在我的设置中,我通过GRE隧道连接了不同地区的一些EC2实例,通过racoon使用ISAKMP。 这个设置是遗传的,所以如果我用术语摸索,请忍受。
有时我从racoonctl -ll show-sa isakmp (请原谅我的编辑的IP地址)奇怪的输出中Phase2计数是3,但我预计它是1或2:
$ sudo racoonctl -ll show-sa isakmp Source Destination Cookies ST SVE Created Phase2 AA.BB.CC.DDD.4500 EE.FF.III.PP.4500 4fcb2a5a2193f76d:29345905dad89534 9 I 10 M 2016-01-28 15:30:35 3 AA.BB.CC.DDD.4500 EE.GG.JJ.QQQ.4500 75aedcf490649ee5:a08192401adc99c4 9 I 10 M 2016-01-28 15:30:35 3 AA.BB.CC.DDD.4500 EE.HH.KKK.RRR.4500 db698ca0fa4b2ef6:95260abcfb7e3578 9 R 10 M 2016-01-28 15:30:35 2 AA.BB.CC.DDD.4500 EE.GG.LLL.SS.4500 20bccfd70bff99ee:ddc8517f524cf146 9 R 10 M 2016-01-28 15:30:35 2 AA.BB.CC.DDD.4500 EE.HH.OOO.TTT.4500 9ebadf03ed3b0042:ff890371f579df46 9 I 10 M 2016-01-28 15:30:35 1
我觉得这很奇怪,因为我认为如果我只是在/etc/racoon/racoon.conf监听这两个端口,我只会看到两个Phase2协商:
listen { isakmp <local_public_subnet_ip> [500]; isakmp_natt <local_public_subnet_ip> [4500]; }
如果在这种状态下重新启动浣熊,计数将回到2。
所以,虽然可能有很多潜在的原因,但究竟是什么原因导致了这种行为呢? 这是非常难以复制,但我很乐意提供任何相关的信息来debugging它。