取消
显示结果 
搜索替代 
您的意思是: 
cancel
3800
查看次数
0
有帮助
6
回复

进程Crypto IKEV2导致CPU利用率过高

mhf0503
Level 1
Level 1
各位大神,
现在公司有一个路由器。 型号ASR4450 IOS版本是isr4400-universalk9.03.16.06.S.155-3.S6-ext.SPA.bin. 目前有个怪异的现象,CPU居高不下,同时所有tunnel会断。 抓了EEM出来发现最高的进程是ceypto ikev2,路由器之前是更新过证书,但是平稳运行了数日,之后每天都会出现上述情况。
log里全是crypto的报警 如下
Jan 31 03:13:22.380: %CRYPTO-6-IKMP_NO_ID_CERT_ADDR_MATCH: (NOT ERROR BUT WARNING ONLY)ID of 201.217.220.90 (type 1) and certificate addr with
.Jan 31 03:13:22.380: %CRYPTO-6-IKMP_NO_ID_CERT_ADDR_MATCH: (NOT ERROR BUT WARNING ONLY)ID of 201.217.220.90 (type 1) and certificate addr with
.Jan 31 03:13:22.396: %CRYPTO-6-IKMP_NO_ID_CERT_ADDR_MATCH: (NOT ERROR BUT WARNING ONLY)ID of 190.215.112.26 (type 1) and certificate addr with
.Jan 31 03:13:22.396: %CRYPTO-6-IKMP_NO_ID_CERT_ADDR_MATCH: (NOT ERROR BUT WARNING ONLY)ID of 190.215.112.26 (type 1) and certificate addr with
.Jan 31 03:13:22.996: %CRYPTO-6-IKMP_NO_ID_CERT_ADDR_MATCH: (NOT ERROR BUT WARNING ONLY)ID of 181.10.198.106 (type 1) and certificate addr with
.Jan 31 03:13:22.996: %CRYPTO-6-IKMP_NO_ID_CERT_ADDR_MATCH: (NOT ERROR BUT WARNING ONLY)ID of 181.10.198.106 (type 1) and certificate addr wit
目前找思科TAC,并没有什么太好的解决方案,请问各位大神有没有遇到过这种情况。如果是证书问题,又该如何检查呢。
PS.证书并没有过期
谢谢!
6 条回复6

mhf0503
Level 1
Level 1
自顶一下!~:)

cisco.feng
Spotlight
Spotlight
贴上两端证书的SAN看看
证书SAN不包含路由器配置的FQDN

YilinChen
Spotlight
Spotlight
替代解决方案,改用IKEV1呗,加密强度已足够了

Rockyw
Spotlight
Spotlight
楼主可以参考一下下面的文档
Solved: What is the meaning of %CRYPTO-6-IKMP_NO_ID_CERT_FQDN_MATCH?
https://community.cisco.com/t5/vpn-and-anyconnect/what-is-the-meaning-of-crypto-6-ikmp-no-id-cert-fqdn-match/td-p/495158
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

18653465190
Spotlight
Spotlight
是否考虑更换一下IOS的版本,降低一下IOS版。

mhf0503
Level 1
Level 1
问题解决了。
重新更新了一下证书。
由于证书是由AD部门负责颁发的,所以目前不清楚证书到底哪里出了问题~
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接