IPSEC-ESP セッションのポート番号は何を表していますか。

ipsec トンネルの確立が成功すると、アプリケーション ' ipsec-UDP ' およびプロトコル 50 (ESP) とのセッションによって、ソースと宛先のポート番号が表示されます。非 TCP および非 UDP プロトコルはポートをサポートできないため、表示されるポート番号は、実際には、IPSEC トンネルの確立でネゴシエートされる SPIs の10進数の等価値です。

ipsec セッションの作成のためのポート番号は、トンネル確立の IKE フェーズ2でリモートの ipsec ピアが交換する SPI 値から導出されます。このメソッドは、ipsec ピアの1つがファイアウォール自体である場合、または ipsec トンネルがファイアウォールで終了した場合にのみ適用できます。

パロアルトネットワークファイアウォールが2つの ipsec ピア間の中間デバイスにすぎないパススルー ipsec トラフィックの場合、IKE フェーズ2が暗号化されているため、ネゴシエーションされた SPI 値に基づいてセッションを作成することは実質的に不可能であり、その内容はファイアウォールに表示されます。

SPI 値は事前に見ることができないので、IPSec パススルートラフィックについては、ソースと宛先の両方のポートに対して汎用値20033を使用してセッションを作成します。

以下の例では、c2s と s2c の両方のフローの送信元ポートと宛先の港に同じ値20033が与えられていることがわかります。

管理者 @ vm-300 > 表示セッション id 791

セッション 791

c2s フロー:
ソース: 192.168.0.11 [トラスト]
dst: 129.187.7.11
プロト:50
スポーツ: 20033 dport: 20033
状態: アクティブタイプ: フロー
src ユーザー: 不明な
dst ユーザー:未知の

s2c の流れ:
ソース: 129.187.7.11 [untrust]
dst: 192.168.0.11
プロト:50
スポーツ: 20033 dport: 20033
状態: アクティブタイプ: フロー
src ユーザー: 不明の
dst ユーザー: 不明な

開始時刻: 木6月 10 11:58:59 2015
タイムアウト: 3600 秒
の時間を生きる: 3142 秒合計バイト数 (
c2s): 1080
総バイト数 (s2c): 1014
layer7 パケット数 (c2s): 8
layer7 パケット数 (s2c): 5
vsys: vsys1
アプリケーション: ipsec-esp の
ルール: 任意のセッション
が最後にログに記録される:
セッションエイガーの真のセッション:
HA ピアによって更新された真のセッション: 偽
layer7 処理: 完了した
url フィルタリングが有効: 真
の url カテゴリ:
syn-クッキーを介して任意のセッション: 偽の
セッションホストで終了: false
セッションはトンネルを横断: 偽
キャプティブポータルセッション: 偽の
進入インタフェース: ethernet1/2
出力インタフェース: ethernet1/1
セッション QoS ルール: N/A (クラス 4)
トラッカーステージ l7proc: アプリケーションにデコーダがありません
終了理由: 不明

所有者: anatrajan