IKEv2 单边 EST、分支 IN-NEGO + 两端端口 / IP 不对称故障根治（从你 dis ikev2 sa verbose 截图定位根因）

一、先从截图提炼关键故障信息

总部（当前查看设备：EST，本端：117.115.141.122/4500；对端：112.19.151.66/13486）

1. NAT traversal: Detected（检测到 NAT，分支侧存在 NAT，分支 WAN 是 DHCP + 光猫做了源 NAT）
2. 总部 IKE 本地 ID=IP 地址 (ID_IPV4_ADDR)，分支远端 ID=FQDN (nanxi) → IKE 两端 ID 类型不匹配（一边 IP、一边 FQDN，IKEv2 身份校验失败，分支反复重协商 IN-NEGO，总部收到协商包先建 IKE SA 等待子 SA，最终 IPSEC SA 起不来）
3. 端口异常：标准 IKEv2 NAT-T 端口固定UDP4500，分支出口光猫 NAT 随机转换源端口变成 13486，总部侧收到报文源端口非 4500；分支防火墙自身 IKE 监听 4500，来回端口不一致是 NAT 导致。

现象：总部收到 IKE 协商报文→IKE SA 建立 EST；分支收到回应报文，ID 校验失败丢弃，不停重试协商，分支永久 IN-NEGO。

二、2 个核心故障点

故障 1：IKEv2 两端身份 ID 格式不一致（最高优先级，根源）

• 总部 IKE peer：local-id-type ip（用自身公网 IP 做本端 ID）
• 分支 IKE peer：remote-id-type fqdn（用域名 nanxi 做总部 ID）
  IKEv2 预共享密钥认证身份 ID 必须两端严格对应：

方案 A 统一：两边全部使用 IP 地址作为 ID（推荐）

方案 B 统一：两边全部使用 FQDN 作为 ID

不能一端 IP、一端 FQDN。

故障 2：分支前端光猫 NAT 随机端口，NAT-T 环境必开 NAT 穿透 + 防火墙放行策略

• IKE 初始化：UDP500
• NAT-T 协商成功后：UDP4500（所有 NAT 场景强制 4500）
  你分支被光猫 NAT 成 13486 属于运营商光猫做了源端口随机转换。

三、分步整改配置（H3C Comware V7）

步骤 1：统一两端 IKE 对等体 ID（必改，解决 ID 不匹配）

总部配置（117.115.141.122）

分支配置（112.19.151.66，WAN DHCP）

改完后两端：总部 ID = 自身 IP、分支 ID = 自身 IP，对端 ID = 对方公网 IP，ID 格式全一致。

步骤 2：两端安全域放行 IKE&ESP（NAT-T 必放通）

总部防火墙安全策略（外网→防火墙本机）

分支防火墙安全策略（外网→本机）

补充：分支前端光猫做端口映射 / 全锥 NAT：光猫开启 DMZ 指向分支防火墙 WAN IP，或者端口转发 UDP500/4500 到分支 WAN，避免运营商 NAT 随机篡改源端口。

步骤 3：NAT 优化（分支侧）

内网去总部 VPN 流量 deny，不走源 NAT，外网上网正常 NAT。

四、端口不一致说明（不用改 IKE 配置，是运营商 NAT 正常现象）

五、验证 & 排错命令

1. 重置 SA：reset ikev2 sa all 两端清空 SA，重新触发协商
2. 查看 IKE 状态：display ikev2 sa 两端全部变成 EST
3. 查看 IPSEC SA：display ipsec sa 出现 IN/OUT 封装 SA 即为正常
4. 抓包排查：debugging ikev2 all + terminal debugging，查看 ID 校验报错日志

六、精简总结故障

1. 主因：IKE 两端 ID 类型不统一（总部 IP、分支 FQDN）→身份校验失败，分支 IN-NEGO，总部 EST
2. 次因：分支前端光猫 NAT 随机端口，两端防火墙未严格放行 UDP500/4500、ESP
3. 整改：统一全 IP ID + 放行 VPN 端口 + 分支 VPN 流量排除 NAT。