IPSEC ESP 会话中的端口号代表什么?
Resolution
在成功的 IPSec 隧道建立后, 使用应用程序 "IPSec-UDP" 和协议 50 (ESP) 的会话将显示源和目标端口号。由于非 TCP 和非 UDP 协议无法支持端口, 因此所显示的端口号实际上是在 IPSEC 隧道设置中协商的 SPIs 的十进制等价值。
ipsec 会话创建的端口号派生自在隧道建立 IKE 阶段2中远程 IPSec 对等方交换的 SPI 值。只有当 ipsec 对等方是防火墙本身, 或者只有在防火墙上终止 ipsec 隧道时, 才可以应用此方法。
如果通过 ipsec 通信, 而帕洛阿尔托网络防火墙只是两个 IPSec 对等方之间的中间设备, 则实际上不可能基于协商的 SPI 值创建会话, 因为 IKE 阶段2已加密, 其内容不对防火墙可见。
由于无法预先看到 SPI 值, 因此, 对于 IPSec 直通通信量, 帕洛阿尔托网络防火墙使用源和目标端口的通用值20033创建会话。
在下面的示例中, 我们可以看到 c2s 和 s2c 流的源和目标端口都具有相同的值 20033:
admin@vm-300> 显示会话 id 791
会话 791
c2s 流:
源: 192.168.0.11 [信任]
dst: 129.187.7.11
原:50
运动: 20033 dport: 20033
状态: 活动类型: 流
src 用户: 未知的
dst 用户:未知的
s2c 流:
来源: 129.187.7.11 [不信任]
dst: 192.168.0.11
原:50
体育: 20033 dport: 20033
状态: 活动类型: 流 src 用户: 未知的
dst 用户: 未知的
开始时间: 星期四 6月10日 11:58:59 2015
超时: 3600 秒
生存时间: 3142 秒
总字节计数 (c2s): 1080
总字节计数 (s2c): 1014
layer7 数据包计数 (c2s): 8
layer7 数据包计数 (s2c): 5
vsys: vsys1
应用程序: ipsec esp
规则: 任何-任何
要在末尾记录的会话: 会话中的 true 会话:
HA 对等方更新的 true 会话: 错误的
layer7 处理: 已启用已完成的
url 筛选: True
url 类别: 任何
通过 syn cookie 的会话: 错误
会话在主机上终止: 假
会话遍历隧道: 假的
捕获门户会话: 错误的
入口接口: ethernet1/2
出口接口: ethernet1/1
会话 QoS 规则: N/A (类 4)
跟踪器阶段 l7proc: 应用程序没有解码器
结束原因: 未知
所有者: anatrajan