检查VPN两侧协商信息

• 确认PSK共享密钥是否一致。
• 确认IKE策略、IPsec策略协商参数是否一致。
• 确认两侧的本地子网和远端子网配置是否互为镜像。

检查客户防火墙ACL和云端安全组配置

• 确认放行去往华为云VPC子网的数据流。
• 确认放行来自华为云VPC子网的数据流。

检查防火墙路由表

确认存在目标地址为华为云VPC子网的路由信息：

• 确认配置去往华为云目标网络的路由信息，路由表或VPN路由表中存在路由信息。
• 确认路由转发表状态正常。
  

  路由易错配置：

  1. 目的网段与华为云VPC网段不一致，导致前往华为云的流量无法路由到配置ipsec策略的公网口。
  2. 配置静态路由时指定出接口，而非指定下一跳。

     在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。

  3. 将路由的下一跳地址指定为华为云端的VPN网关地址。

     部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。

     以cisco为例，可以这样配置 ：

     ip route ：192.168.1.0； 255.255.255.0； a.b.c.d

     其中192.168.1.0/24是华为云VPC网段，a.b.c.d是运营商提供的网关地址。

检查客户防火墙域间策略

• trust到untrust：放行本地VPC到云上VPC子网访问策略。
• untrust到trust：放行云上VPC到本地VPC子网访问策略。

检查防火墙NAT配置

确认本地VPN网关是否在NAT设备后（一般是边界防火墙）进行部署，即VPN网关的出接口使用私有地址，然后在NAT设备上做公网地址转换。

这种场景也被称为ipsec nat穿越。