「flow_tunnel_ipsec_auth_failed」グローバルカウンターの異常な増加を緩和する方法

• グローバルカウンターの異常な増加を緩和するflow_tunnel_ipsec_auth_failed。 

> show counter global filter delta yes severity drop
....
name value rate severity category aspect description
--------------------------------------------------------------------------------
flow_tunnel_ipsec_auth_failed 3 0 drop flow tunnel Packet dropped: Authentication failed

• このカウンタflow_tunnel_ipsec_auth_failed、IPsec トンネルで受信した ESP パケットが認証チェックに失敗したためにドロップされた場合に増加します。

• 次世代ファイアウォール
• サポートされている PAN-OS
• IPsec VPN トンネル
• flow_tunnel_ipsec_auth_failedグローバルカウンター

1. ファイアウォール システム ログ(MONITOR> Logs> System)を検査し、(サブタイプ eq vpn) 検索フィルタを使用します。 どのIPsec VPNトンネルがダウンしているか、異常であるか、または安定していないかを確認します。
2. 手順 1 の結果に基づいて、ESP パケットの適切なパケット キャプチャを実行し、それらのパケットを復号化します。

• どのようにパロアルトネットワークデバイス上の IKE と ESP パケットを復号化する
• IKEv2 パケットの復号化方法

3. 復号化されたESPパケットが破損していないか確認してください。 その場合は、これらのパケットを変更しているトンネルのエンドポイント間に配置されているデバイスがあるかどうかを確認します。中間デバイスのベンダーまたはデバイスの責任者と協力して、問題を解決します。
4. トンネルの両端のトンネル設定を比較して、一致するプロトコル、認証アルゴリズム、encアルゴリズム、および一方のローカルIP、SPI、およびプロキシID IPが他方のリモートIP、SPI、およびプロキシID IPと等しいことを確認します。 そのためには、PANW ファイアウォールで次のコマンドを使用します。

> show running tunnel flow name <value>

5. IPsecトンネルのピア間に相互運用性の問題が見つからないことを確認します。 たとえば、NGFW は、ESP 次のヘッダーがペイロードと一致しない場合、ESP パケットをドロップします。
6. 上記の手順を実行しても、ファイアウォールでグローバル カウンター flow_tunnel_ipsec_auth_failed異常に増加するという問題が引き続き発生する場合は、ファイアウォールのテクニカル サポート ファイルを収集し、パロアルトネットワークスのカスタマー サポート チームに連絡してサポートを受けることを検討してください。

IPSec VPN 接続の問題をトラブルシューティングする方法。
IPsecトンネルを通過しないトラフィックフローをトラブルシューティングする方法。