IPSec 隧道不会出现由于封装错误而丢弃的隧道流量

• 由于封装错误，IPSec 隧道不会出现并且隧道流量正在被丢弃
• 第一阶段失败
• 没有IKE/ISAKMP发起的数据包firewall对等
• 全局计数器在过滤隧道流量时显示如下所示的封装错误

flow_tunnel_encap_err     1      1 drop     flow    tunnel    Packet dropped: tunnel encapsulation error

• 从 cli 测试 vpn 网关返回消息“SA忽略测试启动：找不到隧道配置。”在 ikemgr.log 中，如下例所示

> test vpn ike-sa gateway <GATEWAY>
<DATE>  [INFO]: {    3:     }: <GATEWAY>: IKEv2 SA test initiate ignored: cannot find tunnel configuration

• 流基本调试显示由于隧道解析失败而丢弃的有趣数据包

Packet enters tunnel encap stage, tunnel interface null
Resolving tunnels in multi-tunnel case for ifp:tunnel.x   <--------  x is the associated tunnel interface
Packet dropped, tunnel resolution failure

• 下一代 Firewall
• PAN-OS 10.1.5, 10.1.6
• IPSec 在另一个下一代上配置和终止 Firewall

admin@firewall(active)> configure
admin@firewall(active)# show network tunnel ipsec ShapeTX_AWS_Tunnel
  tunnel-interface tunnel.1;
  disabled yes;                                        <-------------------- DISABLED
  comment "Left IPSEC tunnel to AWS";

1. 从网络> IPSec 隧道> 选择 IPSec 隧道配置

2. 选择使能够

3. 犯罪变化

> configure
Entering configuration mode
# set network tunnel ipsec <Name of IPSec Tunnel> disabled no
# commit