【破障之光】防火墙路由优先级引发VPN通信失败，跨版本AF对接中的隐性陷阱

一、问题描述

某集团总部与分部之间通过深信服AF防火墙建立了SANGFOR VPN，实现分部访问总部业务系统。总部和分部均部署了双宽带接入（电信、联通），总部使用的是较早版本AF（8.0.48），分部使用的是新版AF（8.0.95）。

SANGFOR  VPN对接完成后，VPN隧道显示正常建立，但分部始终无法访问总部业务系统，例如分部无法访问总部ERP系统或共享服务，ping不通总部IP。

二、告警信息
无明显系统告警，VPN状态正常，隧道建立成功。连接列表中可看到对端内网地址，但业务访问无响应。

三、处理过程

1、确认VPN配置
首先确认总部与分部之间的SANGFOR  VPN连接状态，隧道处正常状态，VPN本地子网与对端子网配置无误。

2、检查防火墙路由表
在分部AF防火墙中检查路由表，确认已存在指向总部网段的VPN路由，且下一跳为VPN虚拟接口，初步判断路由配置未缺失。

3、检查安全策略配置
核查分部AF防火墙控制策略配置，确认未对总部网段/本地网段流量进行拦截，确保策略允许终端与总部资源正常互访。

4、使用“故障排查”功能分析数据流
通过防火墙的“故障排查”功能，输入分部终端IP并指定访问总部IP，启用定向数据流分析。类似定向抓包，可精准查看数据包流经的各个处理模块。

5、核查路由优先级逻辑
在“故障排查”结果中发现，终端访问总部业务系统时实际走的是策略路由，而非VPN路由。进一步确认后了解到，分部AF使用的新版本防火墙，策略路由优先级高于VPN路由，这与总部老版本路由逻辑相反。

6、调整路由优先级解决问题
最终通过策略调整，将VPN路由优先级上调，确保访问总部资源的流量优先匹配VPN路由。调整后测试，分部终端即可正常访问总部服务系统。

四、根因
AF防火墙新旧版本间的路由优先级策略差异导致VPN通信异常。分部AF策略路由导致流量未能进入VPN隧道，导致隧道虽在，但业务无法通过。

五、解决方案

1、调整分部AF防火墙的策略路由优先级设置，确保VPN路由优先级高于策略路由；

六、建议与总结

1、多出口环境下部署VPN时，务必明确各类路由优先级（策略、静态、VPN、默认、动态等）；

2、对于存在跨版本设备的网络，应特别注意厂商版本间逻辑行为变化，参考发布说明；

此类问题比较隐蔽，若非深入理解AF设备路由机制，极易被误判为VPN配置异常。通过此次排障过程，也印证了：真正的障碍，不在配置，而在理解机制。

感谢分享故障处理经验