IPSec トンネルは稼働しているが、誤った SPI カウンターの増加によりパケットがドロップされる

• VPN
• IPSEC
• IPSec トンネルではフェーズ 1 とフェーズ 2 が稼働していますが、パケットがどこかでドロップされています。

• の上グローバル カウンター出力、次のエントリのいずれか同時に増加しています:

flow_tunnel_decap_err

flow_tunnel_ipsec_wrong_spi

flow_tunnel_natt_nomatch

• ピアエンドからは、送信トラフィックは正常に動作しています。

• ESP ヘッダーでは、シーケンス フィールドは通信をリプレイ攻撃から保護するために使用されます。
• パケットがファイアウォールに到着し、前のパケットとのシーケンス番号の差がリプレイ ウィンドウ サイズより大きい場合、そのパケットは攻撃とみなされ、ファイアウォールによってドロップされます。
• これは、接続が安定していない場合、またはパケットが順番に到着しない場合に発生する可能性があります。
   
• 次の CLI 出力は、この問題が発生したグローバル カウンタの例を示しています。

> ショー カウンタ グローバル フィルタ重大度ドロップ アスペクト トンネル カテゴリ フロー flow_tunnel_encap_err 38 0 ドロップ フロー トンネル パケット ドロップ: トンネル カプセル化エラー flow_tunnel_decap_err 705072 2 ドロップ フロー トンネル パケット ドロップ: トンネルカプセル化解除エラー flow_tunnel_encap_nested 38 0 ドロップ フロー トンネル パケット ドロップ: ネストされたトンネルのカプセル化解除 flow_tunnel_ipsec_wrong_spi 70 5074 2ドロップ フロー トンネル パケットがドロップされました: パケット内の spi の IPsec SA が見つかりません

> カウンタの表示グローバル フィルタ重大度ドロップ アスペクト トンネル カテゴリ フロー flow_tunnel_natt_nomatch 11 0 ドロップ フロー トンネル パケット ドロップ: セッション SPI 一致のない IPSec NATT パケット

1. に行くネットワーク > IPSec トンネル > 一般タブを押して無効にします。リプレイ保護' 問題を解決します。

2. クリック '高度なオプションを表示' このオプションが表示されない場合。

後 'リプレイ保護' が無効になっている場合、ファイアウォールは、シーケンス番号の差がリプレイ ウィンドウ サイズよりも大きい場合でも、それらのパケットを許可します。