AF IPSec vpn建立隧道有时会无法通讯

各位大侠，
最近我们通AF建立了一条与云端系统通讯的IPSec vpn隧道，因为是核心业务，没有使用专线，所以针对IPSec的连接质量要求比较高。基本要求时时可以进行通讯的。
我们在使用平常业务的时候会突然发现在感兴趣流的网段不能进行通讯了。登陆防火墙后我们检查VPN隧道建立情况，发现隧道是成功建立的，查看隧道建立的详情，感兴趣流里面的网段也都正常，但是就是不能进行通讯，显示的流量一直都是只有发送，没有接收。如果点击断开连接，防火墙就会自动再次协商，协商完成后，通讯恢复正常。
这中种现象很奇怪，并不是每次都出现，我们现在设置的链路存活期为一天，有时存活时间结束后，系统自动协商没有问题，都可以建立隧道，但是隔几天（什么时候出现不确定，可能一天，也可能两天，三天）就会出现刚才说的那种情况，即隧道可以建立，感兴趣流也正常，但是就是流量只有发包没有收包，断开连接后重新协商又恢复正常。
在此，请教一下论坛各位大神和官方博主，是否有遇到过类似的情况，我印象中，我4年前用的AF也有这个问题，因为不是核心业务，出现问题后所以都是采用断开后重新协商连接就可以。去年年底新购买了一台AF,仍然还是有这个问题，因为需要跑核心业务，尤其是晚上也有业务发生，这个问题需要解决的迫切性就很高了。找了本地原厂的支持，好像也没找到问题。
希望有遇到此类情况的各位大神指点一下，如何才能彻底解决这个问题。
感谢大家。

出口AD把AF访问云端系统的会话超时时间时长延长到5天看看

还是检查你的数据链路多方面测试一下，排查一下。

试问下有没有抓包看下流量啊？

腾讯云的兄弟今天排查了，说是云上的一个地址和云下的有重合，然后感兴趣流又写了 /16 的掩码
云下后来换了个内网地址，就通了
但是还有个机房依然连不通云

针对您描述的通过深信服AF建立的IPSec VPN隧道在业务通讯中出现的问题，以下是一些可能的排查步骤和建议，希望能帮助您彻底解决这个问题：

一、问题概述
现象：IPSec VPN隧道建立成功，感兴趣流网段配置正确，但业务通讯突然中断，显示只有发送流量没有接收流量。断开连接后重新协商，通讯恢复正常。
频率：问题并非每次出现，链路存活期设置为一天，系统自动协商时有时能建立隧道，但隔几天（时间不确定）就会出现问题。
二、排查步骤
检查隧道状态
确认IPSec VPN隧道的状态是否为“UP”，并检查隧道两端的详细配置是否一致，包括认证方法、预共享密钥、加密算法、认证算法等。
分析路由配置
确认VPN路由是否正常学习到，检查第二阶段出入站配置是否正确。
在内网找一台PC，使用长ping命令（如ping <对端内网业务IP> -t -l 400）测试网络连通性，并观察是否有丢包或延迟增加的情况。
抓包分析
在AF设备上抓包，确认是否正确转发ICMP包或其他业务相关的数据包。
抓取内网口、vpntun口以及公网口的数据包，分析数据包的转发路径和加密情况。
特别注意检查是否加密后的ESP包被正确发送至公网，以及是否收到对端的回包。
检查安全策略
确认AF设备上没有配置错误的安全策略或黑名单拦截规则，这些规则可能会阻止特定流量的转发。
针对IP开启直通分析，确认是否存在策略拦截的情况。
检查NAT配置
如果AF设备部署在NAT网络之后，需要检查NAT配置是否正确。
确认NAT-T（NAT穿越）功能是否启用，并检查相关的配置参数。
检查DPD（Dead Peer Detection）功能
确认IPSec VPN隧道是否启用了DPD功能，该功能用于检测对端Peer是否存活。
检查DPD的检测间隔和超时次数设置是否合理，避免因为频繁的检测导致隧道不稳定。
检查系统日志
查看AF设备的系统故障日志，确认是否有与IPSec VPN隧道相关的错误或警告信息。
特别注意检查是否有隧道频繁断开或重新协商的记录。
考虑硬件或软件问题
确认AF设备的硬件状态是否正常，包括CPU、内存、硬盘等使用情况。
考虑是否存在软件bug或版本兼容性问题，可以尝试升级AF设备的软件版本到最新。
三、解决方案
优化路由配置：确保VPN路由正确学习到，并检查第二阶段出入站配置的正确性。
调整安全策略：删除或修改错误的安全策略或黑名单拦截规则，确保特定流量能够正常转发。
优化NAT配置：确保NAT配置正确，并启用NAT-T功能（如果适用）。
调整DPD设置：合理设置DPD的检测间隔和超时次数，避免隧道不稳定。
升级软件版本：如果怀疑是软件bug或版本兼容性问题，可以尝试升级AF设备的软件版本到最新。
联系技术支持：如果以上步骤都无法解决问题，建议联系深信服的技术支持团队进行进一步的故障排查和解决。
四、总结
IPSec VPN隧道在业务通讯中出现问题可能涉及多个方面，包括隧道状态、路由配置、安全策略、NAT配置、DPD功能以及硬件或软件问题等。通过逐步排查和分析，可以找到问题的根源并采取相应的解决方案。希望以上建议能帮助您彻底解决这个问题，确保IPSec VPN隧道的稳定性和可靠性。

我也遇到类似的问题，公司的AF连接到腾讯云，AF前面还有个路由器，特地做了500和4500映射，AF上可以看到有隧道建立，但就是不通，换了个华为防火墙，也一样不通，找不到原因
奇怪的是同样架构下，AF或者华为都能连到另一个机房的IPSec，而且很顺利就配完了，秒通

这种 IPSec VPN 隧道能建立但单向无流量的问题比较复杂，可能由多种原因导致，以下是一些常见因素及相应解决思路：
网络设备与链路方面
NAT 设备问题：若网络中存在 NAT 设备，可能会导致 IPSec VPN 流量出现问题。NAT 设备可能会对 IPSec 协议的某些字段进行错误转换或丢弃，影响隧道内数据的正常传输。可检查 NAT 设备的配置，尝试关闭 NAT 设备对 VPN 流量的转换功能，或调整 NAT 设备的相关策略。
网络链路不稳定：网络链路中的信号干扰、线路老化、设备故障等都可能导致数据包丢失或延迟过高。虽然隧道显示建立正常，但实际链路状况可能不佳，影响了数据的接收。可以使用 ping 命令、traceroute 命令等工具，检查 VPN 两端之间的网络连通性和延迟情况，也可联系网络服务提供商，检测线路是否存在问题。
防火墙与安全策略方面
防火墙策略配置错误：AF 防火墙的安全策略可能存在配置不当的情况，导致对 VPN 隧道内的流量进行了拦截或限制。仔细检查 AF 防火墙的安全策略，确保允许 VPN 隧道的感兴趣流网段之间的双向流量通过。
会话老化与超时设置：AF 防火墙的会话老化时间或超时设置可能不合理。当会话老化时间过短，而 VPN 隧道内的流量处于相对空闲状态时，防火墙可能会提前关闭会话，导致后续数据接收出现问题。可以适当调整 AF 防火墙的会话老化时间和超时设置，延长会话保持时间。
IPSec VPN 配置方面
IKE 协商参数不匹配：在 IPSec VPN 隧道建立过程中，IKE 协商的参数如加密算法、认证方式等必须在两端设备上保持一致。若参数存在细微差异，可能会导致隧道建立看似正常，但数据传输出现问题。仔细检查 VPN 两端设备的 IKE 协商参数配置，确保加密算法、认证方式、DH 组等参数完全相同。
DPD（Dead Peer Detection）配置问题：DPD 用于检测 VPN 对端设备是否存活。如果 DPD 配置不当，可能会导致设备无法及时检测到对端设备的状态变化，从而出现流量异常的情况。检查 DPD 的配置参数，确保其能够及时准确地检测 VPN 对端设备的状态。
系统与应用方面
操作系统或应用程序问题：终端设备的操作系统或运行的应用程序可能存在网络相关的故障或异常，影响了 VPN 隧道的正常通讯。可以尝试在终端设备上更新操作系统补丁、网络驱动程序，或检查应用程序的网络设置。
DNS 解析问题：如果涉及到域名访问，DNS 解析出现问题可能导致无法正确获取目标 IP 地址，进而出现只有发送没有接收的情况。可检查 DNS 服务器的配置和运行状态，在终端设备上使用 nslookup 等工具检查域名解析是否正常。

这个很难判断 不知道你是什么模式对接的 野蛮模式？

有点复杂了，看400工程师有啥方案不