在我的设置中,我在不同区域有一些 EC2 实例,它们通过 GRE 隧道连接,使用 ISAKMP 通过 racoon。此设置是继承的,所以如果我的术语出现问题,请多多包涵。
有时我会得到奇怪的输出racoonctl -ll show-sa isakmp(请原谅我编辑的 IP 地址),其中 Phase2 计数为 3,但我预计它是 1 或 2:
$ sudo racoonctl -ll show-sa isakmp
Source Destination Cookies ST S V E Created Phase2
AA.BB.CC.DDD.4500 EE.FF.III.PP.4500 4fcb2a5a2193f76d:29345905dad89534 9 I 10 M 2016-01-28 15:30:35 3
AA.BB.CC.DDD.4500 EE.GG.JJ.QQQ.4500 75aedcf490649ee5:a08192401adc99c4 9 I 10 M 2016-01-28 15:30:35 3
AA.BB.CC.DDD.4500 EE.HH.KKK.RRR.4500 db698ca0fa4b2ef6:95260abcfb7e3578 9 R 10 M 2016-01-28 15:30:35 2
AA.BB.CC.DDD.4500 EE.GG.LLL.SS.4500 20bccfd70bff99ee:ddc8517f524cf146 9 R 10 M 2016-01-28 15:30:35 2
AA.BB.CC.DDD.4500 EE.HH.OOO.TTT.4500 9ebadf03ed3b0042:ff890371f579df46 9 I 10 M 2016-01-28 15:30:35 1
我觉得这很奇怪,因为我认为如果我只监听这两个端口,我只会看到两个 Phase2 谈判/etc/racoon/racoon.conf:
listen {
isakmp <local_public_subnet_ip> [500];
isakmp_natt <local_public_subnet_ip> [4500];
}
如果在此状态下重新启动 racoon,计数将回到 2。
因此,尽管可能有很多潜在原因,但是什么原因导致了这种行为?重现起来非常困难,但我很乐意提供任何相关信息来调试它。