文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >Cisco ASA IKE接收机:端口500上丢弃的Runt ISAKMP数据包

Cisco ASA IKE接收机:端口500上丢弃的Runt ISAKMP数据包
EN

Network Engineering用户
提问于 2019-10-08 16:52:39
回答 2查看 1.3K关注 0票数 0

我有很多ikev1隧道运行在我们的生产思科ASA5585和今天我已经为我们的一个新客户配置了ikev2隧道,我已经开始看到以下错误,不确定是怎么回事。顺便说一句,我们在Cisco ASA上有公共IP地址,在路径上没有任何NAT。

70.xx.xx.220这是远程终端,它是云提供商VPN来访问VPC。

代码语言:javascript
复制
Oct 08 2019 16:31:44 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:45 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:45 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:45 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:46 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
Oct 08 2019 16:31:47 ASA-01 : %ASA-4-713903: IKE Receiver: Runt ISAKMP packet discarded on Port 500 from 70.xx.xx.200:500
cisco
cisco-asa
vpn
ipsec
EN

回答 2

Network Engineering用户

回答已采纳

发布于 2019-10-09 14:54:47

这就是我所发现的,我们在这个远程对等IP地址上丢失了很多数据包,导致isakmp不能正确地形成SA (它可以是任何变量),但是当我在云上创建新的VPN网关时,使用相同的配置,它可以工作,我们在那个新网关上没有丢包。

代码语言:javascript
复制
ASA# show crypto isakmp sa
..
..
IKEv2 SAs:

Session-id:21, Status:UP-ACTIVE, IKE count:1, CHILD count:2

Tunnel-id                                         Local                                        Remote     Status         Role
288826595                           74.xx.xx.10/4500                           70.xx.xx.220/4500      READY    RESPONDER
      Encr: AES-CBC, keysize: 128, Hash: MD596, DH Grp:1, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/861 sec
Child sa: local selector  10.0.0.0/0 - 10.63.255.255/65535
          remote selector 10.20.1.0/0 - 10.200.1.255/65535
          ESP spi in/out: 0x9a93fe79/0xedd4ddbd
Child sa: local selector  10.0.0.0/0 - 10.63.255.255/65535
          remote selector 10.20.2.0/0 - 10.200.2.255/65535
          ESP spi in/out: 0x6e2b9547/0xdde82764
票数 0
EN

Network Engineering用户

发布于 2019-10-09 06:40:14

我在这里猜一下。

ASA-4-713903:是VPN的对等行为。在描述上有跟踪记录。

在您的情况下,您将看到与对等方相关的由于数据包大小而丢弃的信息。我相信这是一场Ikev2围棋比赛。

看来,您的隧道结束与隧道的末端不匹配,以保持数据包的存活。Keepalives只会像ping一样是头,并且缺少数据部分,因此它们不会是以太网Runt,但它们将是Runt ISAKMP。

这似乎是合理的,因为您有大量的工作Ikev1,但在您的第一个Ikev2,您开始看到这个问题。因此,您可能有不同的处理方式。因此,VPC将有一个保持活力,因为它必须知道隧道已下降到故障转移等。

票数 1
EN
页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://networkengineering.stackexchange.com/questions/62923

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档