Que représentent les numéros de port d'une session IPSEC-ESP?

Que représentent les numéros de port d'une session IPSEC-ESP?

106903
Created On 09/25/18 19:24 PM - Last Modified 11/19/19 05:15 AM


Resolution


 

Sur un établissement de tunnel IPSec réussi, une session avec l'application'IPSEC-UDP'et le protocole 50 (ESP) afficher les numéros de port source et de destination. Étant donné qu'un protocole non-TCP et non-UDP ne peut pas prendre en charge les ports, les numéros de port affichés sont en fait les valeurs décimales équivalentes des SPIs qui sont négociées dans L'établissement de tunnels IPSec.

IPSECSPI. png

 

 

Les numéros de port pour la création de session IPSec sont dérivés des valeurs SPI que les homologues IPSec distants échangent pendant la phase 2 d'IKE de L'établissement de tunnel. Cette méthode peut être appliquée uniquement dans le cas où L'un des homologues IPSec est le pare-feu lui-même, ou uniquement si le tunnel IPSec est terminé sur le pare-feu.

 

En cas de trafic IPSec de passage, où le pare-feu de Palo Alto Networks n'est qu'un périphérique intermédiaire entre deux homologues IPSec, il est pratiquement impossible de créer une session basée sur des valeurs de SPI négociées depuis que la phase 2 d'IKE est cryptée et que son contenu n'est pas visible par le pare-feu.

 

Comme les valeurs SPI ne peuvent pas être vues à l'avance, pour le trafic de transit IPSec, le pare-feu de Palo Alto Networks crée une session à l'Aide de la valeur générique 20033 pour le port source et de destination.

 

Dans cet exemple ci-dessous, nous pouvons voir que les ports source et de destination des flux C2S et S2C sont donnés la même valeur 20033:

 

admin @ VM-300 > Show session ID 791

session 791

flux C2S:
source: 192.168.0.11 [Trust]
DST: 129.187.7.11
proto: 50
sport: 20033 dport: 20033
État: type actif: Flow
src utilisateur: Unknown
DST utilisateur: Unknown

S2C Flow:
source: 129.187.7.11 [méfiance]
DST: 192.168.0.11
proto: 50
sport: 20033 dport: 20033
État: actif type: Flow
src utilisateur: inconnu
DST utilisateur: inconnu heure de

début: Thu juin 10 11:58: 59 2015
timeout: 3600 sec
temps de vivre: 3142 sec nombre
total d'octets (C2S): 1080 nombre
total d'octets (S2C): 1014
layer7 nombre de paquets (C2S): 8
layer7 nombre de paquets (S2C): 5
VSys: vsys1
application: IPSec-ESP
règle: any-any
session à consigner à la fin: vraie
session en session Agere: true
session mise à jour par ha Peer: false
layer7 Processing: achèvement du
filtrage d'url activé: true
URL Category: Any
session via syn-cookies: false
session terminé sur l'hôte: false
session traverse tunnel: false
captive Portal session: false Ingres
interface: ethernet1/2
sortie interface: ethernet1/1
session règle de QoS: N/a (classe 4)
Tracker stage l7proc: CTD App n'a pas de décodeur
end-Reason: inconnu

 

 

propriétaire : anatrajan
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXiCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language