昨天去一个客户那边处理故障，ASA 5505 ，IOS 是比较老的，8.25 版本的，需要配置IPSec VPN 跟对方深信服对接，按照要求基本配置好，但是一直不通，通过debug命令报错
debug   crypto isakmp
debug crypto ipsec
报错如下：

ASA1# Sep 03 22:49:22 [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, QM FSM error (P2 struct &0xca213e20, mess id 0xa700e609)!
Sep 03 22:49:22 [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Sep 03 22:49:22 [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch

经过对比，发现是两边的感兴趣流不一致，于是ACL 配置感兴趣流一致，重新测试，发现还是不通。
然后重新排障，一一分析两边的配置，发现对方深信服开启了PFS，  关闭后测试正常。 这里提醒一下大家，有些厂家的PFS 是关闭的，有些是开启的，这个参数一定要查，然后感兴趣流最好一致，虽然有些厂家的可以兼容。