ACG ipsec vpn 掉线

看你这个图，是对端发送删除SA的操作。是SA超时了吗？

不是人为操作的，自动掉线

嗯嗯，我的意思是，两端的sa是建立超时了吗，然后就删除了。

还有就是组网是有NAT的吧，配置上有没有遗留的问题。

有NAT，内网源地址被NAT成ACG出接口地址的

那NAT中的ACL有没有写拒绝保护的数据流。

还有就是看你这个日志，删除SA的信息是从36.7.74.218发送过来的。

没有，全部any到any

好的，我复述一下您的组网，源--->ACG--------sanfor------>目的。。两边建立的IPSEC都是依赖于公网口对吧。

如果是这样你在NAT的ACL中，第一条规则写拒绝锁保护的数据流。第二条再允许。这样IPSEC的数据流不会先去走NAT了。否则会造成一些影响。

源--->ACG--->出口防火墙，ACG与对方sanfor建立通道到目的，流量不走防火墙

那这样出口防火墙也有NAT是吧？

我把内网源地址NAT成ACG出接口地址的

是的

那这样ACG的出接口地址，还是隶属于私网。公网地址部署在出口防火墙上？

对的

那这种上外网等于说，出口防火墙上还有一个NAT。总共两个NAT.

是这个问题引起的吗？我这边对接是成功的，只是过了几个月自动掉线了，我把ACG上ipsec 配置清空了，重新配的话又可以了

方便看一下您ACG和出口防火墙的配置吗？您深信服那边让看一下了吗？ 一般都部署在出口防火墙上来着。

配置客户那边不愿意公开，不好意思啊

哦哦，没关系的。您这种还要做nat server 映射。您打一下400 问一下， 他们估计需要您收一下debugg或者日志。

好的，谢谢

您这种还是尝试可以在ACG中的NAT acl中，写一条拒绝的ACL，内容为IPSEC保护的数据流。然后两边reset一下sa，再重新建立一下sa

因为你这种算是两种NAT穿越。ACG上还是应该写一下的。