如何缓解“flow_tunnel_ipsec_auth_failed”全局计数器的异常增加

• 缓解全局计数器flow_tunnel_ipsec_auth_failed异常增加。 

> show counter global filter delta yes severity drop
....
name value rate severity category aspect description
--------------------------------------------------------------------------------
flow_tunnel_ipsec_auth_failed 3 0 drop flow tunnel Packet dropped: Authentication failed

• 当 IPsec 隧道接收的 ESP 数据包因未通过身份验证检查而被丢弃时，此计数器flow_tunnel_ipsec_auth_failed递增。

• 下一代防火墙
• 支持的 PAN-OS
• IPsec VPN 隧道
• flow_tunnel_ipsec_auth_failed全局计数器

1. 检查防火墙系统日志：MONITOR>Logs> System，并使用（子类型 eq vpn）搜索过滤器。 检查哪个 IPsec VPN 隧道已关闭、运行状况不佳或不稳定。
2. 根据步骤 1 中的发现，对 ESP 数据包执行适当的数据包捕获，并解密这些数据包，用作以下文章的参考：

• 如何在帕洛阿尔托网络设备上解密 IKE 和 ESP 数据包
• 如何解密 IKEv2 数据包

3. 检查解密后的ESP报文是否损坏。 在这种情况下，请检查隧道端点之间是否有设备正在修改这些数据包。与中间设备供应商或设备的责任方合作，以解决问题。
4. 比较隧道两端的隧道配置，验证匹配协议、身份验证算法、enc算法，以及其中一个的本地ip、spi和代理id ip是否等于另一个的远程ip、spi和代理id ip。 为此，请在 PANW 防火墙上使用以下命令：

> show running tunnel flow name <value>

5. 确保在 IPsec 隧道的对等方之间未发现互操作性问题。 例如，如果 ESP 下一个标头与有效负载不匹配，NGFW 将丢弃 ESP 数据包。
6. 如果防火墙在执行上述步骤后仍遇到全局计数器异常增加的问题flow_tunnel_ipsec_auth_failed请收集防火墙的技术支持文件，并考虑联系 Palo Alto Networks 客户支持团队以获得进一步的帮助。

如何解决 IPSec VPN 连接问题。
如何排除没有通过 IPsec 隧道的流量流的问题。