ipsec vpn用户访问内网奇葩现象排错

1、问题描述：

客户网络出口部署了AF，并开通了sangfor vpn移动用户授权，外网PC通过pdlan拨号与出口AF建立隧道，从而访问内网服务器，最近客户发现外网用户接入pdlan后，无法访问192.168.10.210的服务器，ping测试发现会通一个数据包，其他三个包都被丢弃了。然后在内网的PC去ping192.168.10.210确正常无丢包。但是ping同网段的其他服务器完全正常。

2、组网拓扑如下：

3、故障排错

首先，在出口的AF上进行ping，发现防火墙命令控制也是只通一个包，后续则被丢弃。于是在防火墙上进行全局排除尝试，故障依旧。然后开始定位下一级的核心防火墙，在核心的防火墙上ping发现正常，无丢包。最后在核心的防火墙上做排除，重新进行测试发现故障依旧。最后，排除了那么多设备还是无法解决，故将中心转向AC，二话不说，直接在AC上设置全局排除，测试发现正常。

4、故障分析

最后定位出来是由于AC引起的，原因是由于192.168.10.210的服务器是新增加的服务器，该服务器在AC上以IP作为用户名认证后被放到一个无任何外网访问权限的组中，所以服务器对外的回包被AC给拦截。

那么为什么会有一个包通呢，这个就是AC的应用识别功能了，AC在识别服务器的ping回包时，第一个数据包并不会拦截，AC设备需要收集一定的数据包来确认应用名称并随后进行拦截动作。故第一个包被AC放通，后续的包被AC拦截。

干货干货，快来围观~

好东西，上架AC后，有用户的VPN经常反映不能访问，一般就直接把Vpn地址加到全局排除去了。

@北回归线   不愧为技术牛人！思路清晰，文档整理分享非常棒！

ac策略还是比较不错的，功能全，适合场景多

今天天气真好啊，心情也美美的！

好帖，赞一个！！！