AF8.0.75版本端口映射不生效

         某客户使用的是咱们AF8.0.75版本，内部使用的是第三方的ipsec  vpn，业务一直稳定运行，在某次放假返工后ipsec vpn业务断开，导致业务无法正常运行，在接到客户电话后第一时间进行了排查具体情况如下：

1、排查客户侧ipsec vpn配置情况，确认客户事发之前有没有调整过某个设备的配置，客户回复确认没有修改过任何的配置。

2、因为无法登录到总部进行排查，所以只能先在本地用户侧检查两端IP地址，协调总部协助，两端互ping，结果都正常（远程处理，此处无截图），说明两端TCP网络没问题。

3、排查端口，通过nmap工具测试对端UDP500和4500端口，本地测试对端，正常，但是对端测试本端500端口不通。

4、排查防火墙端口映射：检查前端AF端口映射，发现端口映射的外部端口是500，但是内部端口是1434 ，并且此条端口映射有匹配数，跟客户确认这个端口是否是客户改的，确认后，客户说这个端口是跟厂家确认，设备ipsec使用端口为1434，那么就只需要确定防火墙跟ipsec设备之后通信和端口是否正常。但是防火墙没法测试udp端口。下一步也是最简单直接的办法了---抓包！

5、抓包看两端数据包交付都正常，IKE数据包有正常交互。

6、检查总部的回包，发现回包回给了本端的500端口，但是这个时候发现一个问题，本端分支发包是通过1434端口发送的，但是端口映射配置的是不转换端口。

7、同步抓一下防火墙内网口的包，确定ipsec设备发送过来的是1434的端口，抓包之后发现设备发送的端口是500（无截图），那么问题来了，1434这个端口是哪来的？ 这个暂时没查到是什么原因导致的，猜测是有人改动，

8、将1434端口修改成500，一对一映射，映射完成之后再进行抓出口的包，并且修改完成后的端口映射有匹配数量。这个时候问题又来了，再次抓包发现出去的包还是使用的1434端口。这个时候就有点奇怪了，改了几次配置，单独配置，也不行，

9、这个时候说明端口映射改完之后没有生效， 排查无果之后跟客户沟通，重启下设备，

10，因为影响了业务，可以重启设备，在重启之后，在进行查看ipsec vpn，发现端口映射起来了，那么就是端口映射的问题，但是之前为什么会改到1434端口，这个没有具体追究。

结论：如果是第三架构的8.0.75及以前建议是升级到8.0.95或者8.0.106 ，这个版本使用还是比较好的

感谢楼主分享，图片上有IP地址等信息，为了您的信息安全请打码处理哦~