【故障案例】深信服AF防火墙VPN隧道无法建立

一、问题描述  

我们在使用深信服AF-2150防火墙作为总部VPN网关，分支通过IPSec VPN接入。2023年8月发现部分分支无法建立VPN连接，受影响分支机构表现为隧道状态持续"协商中"，业务系统访问中断。

二、告警信息  

1. AF控制台告警："IPSec VPN第一阶段协商超时（错误代码：0x8007）"  

2. 系统日志显示重复记录："Received invalid NAT-OA payload"  

三、处理过程  

1. 基础排查  

   - 验证总部与分支公网IP可达性（ICMP/Telnet 500端口测试正常）  

   - 核对IKEv1预共享密钥、加密算法（AES256/SHA1/DH14）配置一致性  

   - 检查分支设备NAT穿透功能状态（已启用）  

2. 深度分析  

   - 在AF开启VPN调试日志：`diagnose vpn ike log-filter dst-ip x.x.x.x`  

   - 抓包发现分支发送的ID载荷格式异常，包含非标准FQDN标识  

   - 对比版本发现分支使用旧版AR2200路由器（V200R009C00），总部AF为V8.0.35  

3. 定位验证  

   - 搭建测试环境复现问题：旧版华为设备与AF对接时存在ID载荷兼容性问题  

   - 临时关闭AF的"严格ID校验"功能后隧道可建立  

四、根因  

AF新版本（V8.0.30+）增强的IKE协议校验机制与部分厂商旧款设备（如华为AR2200 V200R009）的ID载荷生成逻辑存在兼容性问题，导致第一阶段协商失败。

五、解决方案  

1. 紧急处理：  

   - 在AF VPN高级设置中关闭"严格模式"：  

     【网络】-【IPSec VPN】-【高级设置】取消勾选"启用严格ID校验"  

2. 根本解决：  

   - 协调分支升级华为AR2200至V200R019C10SPC300版本  

   - 恢复AF严格模式并验证正常协商（观察24小时无异常）  

六、建议与总结  

1. 跨厂商VPN对接时应提前验证版本兼容性表（参考深信服兼容性矩阵文档）  

2. 建议客户建立设备生命周期管理制度，对EOL设备及时替换  

3. 重要功能变更前应在测试环境验证，避免生产环境直接启用新特性  

4. 可配置AF的VPN健康检查功能（探测周期建议设为60秒）实现快速故障感知  

感谢分享，学习了！！！！！！！！！！！！！！

道路千万条，学习第一条！每天迅速GET新知识！