本文讨论 IPSEC VPN 通信因错误而失败的问题。
"数据包丢弃, 无法处理 IPv4 主机绑定 ESP/AH 数据包"
问题
下一节显示了由防火墙丢弃 ESP 数据包的数据包诊断日志。
在这里, ESP 数据包从源118.201.215.22 接收到目标103.80.209.5
IP: 118.201.215.22->> 103.80.209.5, 协议 50
版 4, 国际人道主义法 5, tos 0x00, len 120,
id 19317, frag_off 0x0000, ttl 43, 校验和 48553
L4 二进制转储:16 字节
00000000: d1 9e 2d d2 00 00 00 a7 61 a7 7f d5 18 c0..。-......。8.
会话设置: vsys 1
会话设置: 入口接口 ae1 出口接口回送 3 (区域 14)
策略查找, 匹配规则索引 4,
分配新会话 169972.
数据包丢弃, 无法处理 IPv4 主机绑定 ESP/AH 数据包
丢弃, 会话设置失败
在全局计数器的输出中可以看到以下计数器:
>> 显示计数器全局筛选器三角洲是包过滤器是 |匹配下降
flow_host_slowpath_drop 1 0 滴流隧道 ESP/AH 主机绑定包在隧道完成安装前出现
原因
此问题的根本原因是由于 ESP 数据包和 IPSEC VPN 终止接口的入口接口位于不同的安全区域的配置问题。
解决办法
要解决此问题, 请确保两个接口都位于同一安全区域中。
在上面的示例中, ae1 接口 ( ESP 数据包的入口接口) 和环回. 3 接口 (IPSEC VPN 终止接口) 应位于同一安全区域中.
要检查这一点, 在WebGUI > 网络 > 接口的内部 . 并查看接口的安全区域。