网络工程 - Cisco ASA IKE 接收器：在端口 500 上丢弃的短 ISAKMP 数据包 - 吾爱随笔录

Cisco ASA IKE 接收器：在端口 500 上丢弃的短 ISAKMP 数据包

网络工程思科思科-ASA 虚拟专用网 ipsec

2022-03-02 01:23:38

我ikev1在我们的生产 Cisco ASA5585 上运行了很多隧道，今天我ikev2为我们的一位新客户配置了隧道，我开始看到以下错误，不知道发生了什么。顺便说一句，我们在 Cisco ASA 上有公共 IP 地址，并且路径中没有任何 NAT。

70.xx.xx.220 这是远程端，是云提供商 VPN 访问 VPC。

Oct 08 2019 16:31:44 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:45 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:45 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:45 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:46 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:47 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500

2个回答

我在这里稍微猜测一下。

ASA-4-713903：是 VPN 对等方行为不端。附上说明。

在您的情况下，您会看到与对等点相关的数据包大小导致的丢弃。我相信这是一个 Ikev2 Keepalive 不匹配。

看来您的隧道末端与保活数据包的隧道末端不匹配。Keepalive 将只是像 ping 一样的标头，并且缺少数据部分，因此它们不会是 Ethernet Runt，但它们将是 Runt ISAKMP。

这似乎是合理的，因为你有很多工作的 Ikev1，但在你的第一个 Ikev2 上你开始看到这个问题。因此，您可能以不同的方式处理 keepalive。它还遵循 VPC 将保持活动状态，因为它必须知道隧道已关闭以进行故障转移等。

这就是我发现的，我们在这个远程对等 IP 地址上有很多数据包丢失导致isakmp无法正确形成 SA（它可能是任何变量）但是当我在云上创建新的 VPN 网关并使用相同的配置时它可以工作并且我们有该新网关上没有丢包。

ASA# show crypto isakmp sa
..
..
IKEv2 SAs:

Session-id:21, Status:UP-ACTIVE, IKE count:1, CHILD count:2

Tunnel-id                                         Local                                        Remote     Status         Role
288826595                           74.xx.xx.10/4500                           70.xx.xx.220/4500      READY    RESPONDER
      Encr: AES-CBC, keysize: 128, Hash: MD596, DH Grp:1, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/861 sec
Child sa: local selector  10.0.0.0/0 - 10.63.255.255/65535
          remote selector 10.20.1.0/0 - 10.200.1.255/65535
          ESP spi in/out: 0x9a93fe79/0xedd4ddbd
Child sa: local selector  10.0.0.0/0 - 10.63.255.255/65535
          remote selector 10.20.2.0/0 - 10.200.2.255/65535
          ESP spi in/out: 0x6e2b9547/0xdde82764

其它你可能感兴趣的问题

上一篇使用开关时的巨型帧问题下一篇参数映射与 IP SLA