В моей настройке у меня есть несколько экземпляров EC2 в разных регионах, связанных туннелями GRE, с использованием ISAKMP через racoon. Эта установка передается по наследству, так что терпите меня, если я возился с терминологией.
Иногда я получаю странный результат от racoonctl -ll show-sa isakmp (простите мои отредактированные IP-адреса), в которых счетчик Phase2 равен 3, но я ожидал, что это будет 1 или 2:
$ sudo racoonctl -ll show-sa isakmp
Source Destination Cookies ST S V E Created Phase2
AA.BB.CC.DDD.4500 EE.FF.III.PP.4500 4fcb2a5a2193f76d:29345905dad89534 9 I 10 M 2016-01-28 15:30:35 3
AA.BB.CC.DDD.4500 EE.GG.JJ.QQQ.4500 75aedcf490649ee5:a08192401adc99c4 9 I 10 M 2016-01-28 15:30:35 3
AA.BB.CC.DDD.4500 EE.HH.KKK.RRR.4500 db698ca0fa4b2ef6:95260abcfb7e3578 9 R 10 M 2016-01-28 15:30:35 2
AA.BB.CC.DDD.4500 EE.GG.LLL.SS.4500 20bccfd70bff99ee:ddc8517f524cf146 9 R 10 M 2016-01-28 15:30:35 2
AA.BB.CC.DDD.4500 EE.HH.OOO.TTT.4500 9ebadf03ed3b0042:ff890371f579df46 9 I 10 M 2016-01-28 15:30:35 1
Мне это кажется странным, потому что я думал, что увижу только два согласования фазы 2, если буду слушать только эти два порта в /etc/racoon/racoon.conf:
listen {
isakmp <local_public_subnet_ip> [500];
isakmp_natt <local_public_subnet_ip> [4500];
}
Если перезапустить racoon в этом состоянии, счет вернется к 2.
Итак, хотя, вероятно, существует множество потенциальных причин, что может вызвать такое поведение? Воспроизвести его мучительно сложно, но я был бы рад предложить любую соответствующую информацию для его отладки.