IPSec 隧道已启动但数据包因错误的 SPI 计数器增加而被丢弃

• 虚拟专用网络
• 安全协议
• IPSec 隧道的第 1 阶段和第 2 阶段已启动，但数据包在某处被丢弃。

• 在全局计数器输出，以下任何一项同时递增：

flow_tunnel_decap_err

flow_tunnel_ipsec_wrong_spi

flow_tunnel_natt_nomatch

• 从对端来看，出站流量正常。

• 在 ESP 标头中，序列字段用于保护通信免受重放攻击。
• 如果一个数据包到达防火墙，并且与前一个数据包的序号之差大于重播窗口大小，那么它将被认为是攻击并被防火墙丢弃。
• 当连接不稳定或数据包未按顺序到达时，可能会发生这种情况。
   
• 以下 CLI 输出显示了具有此问题的全局计数器示例：

> show counter global filter severity drop aspect tunnel category flow flow_tunnel_encap_err 38 0 drop flow tunnel Packet dropped: tunnel encapsulation error flow_tunnel_decap_err 705072 2 drop flow tunnel Packet dropped: tunnel decapsulation error flow_tunnel_encap_nested 38 0 drop flow tunnel Packet dropped: nested tunnel decapsulation flow_tunnel_ipsec_wrong_spi 705074 2 drop flow tunnel Packet dropped：IPsec SA for spi in packet not found

> 显示计数器全局过滤器严重性下降方面隧道类别流 flow_tunnel_natt_nomatch 11 0 下降流隧道数据包丢弃：没有会话 SPI 匹配的 IPSec NATT 数据包

1. 去网络 > IPSec 隧道 > 常规选项卡并禁用 '重播保护' 来解决问题。

2. 点击 '显示高级选项' 如果不显示此选项。

后 '重播保护' 被禁用，防火墙将允许这些数据包，即使它们的序列号差异大于重放窗口大小。