Логирование процесса IPSec в CLI маршрутизатора.
1. При выявлении проблем в работе или настройке IPSec, начиная с версии ПО 1.24, первоначально необходимо включить режим debug:
ESR# debug
ESR(debug)# no debug ipsec
ESR(debug)# debug ipsec default 0
ESR(debug)# debug ipsec asn 1
ESR(debug)# debug ipsec cfg 3
ESR(debug)# debug ipsec chd 2
ESR(debug)# debug ipsec enc 1
ESR(debug)# debug ipsec esp 3
ESR(debug)# debug ipsec ike 3
ESR(debug)# debug ipsec job 2
ESR(debug)# debug ipsec knl 2
ESR(debug)# debug ipsec mgr 2
ESR(debug)# debug ipsec net 3
ESR(debug)# debug ipsec tls 1
ESR(debug)# show debug ipsec
ipsec
default = 0
app = default
asn = 1
cfg = 3
chd = default
dmn = default
enc = 1
esp = 3
ike = 3
imc = default
imv = default
job = 2
knl = 2
lib = default
mgr = 2
net = 3
pts = default
tls = 1
tnc = default
2. Произвести настройку локального syslog
syslog file tmpsys:syslog/<name>
severity debug
match process-name ipsec
exit
commit
confirm
# Просмотр вывода лога syslog сервераESR# show syslog tmpsys:syslog/<name>
3. Копирование полученного лога:
# отобразить содержимое tmpsys:ESR# dir tmpsys:syslog/
Name Type Size Last modified
-------------------------------------------------------- ---------- -------- -- -------------------------
<name> File 51.27 KB Tue Jul 11 16:03:43 2023
# копирование файла <name> на tftp-сервер(копирование по протоколу tftp приведено для примера):
ESR# copy tmpsys:syslog/<name> tftp://<ipaddr>:/<name>
|******************************************| 100% (52939B) Success!
4. После траблшутинга IPSec(проблема более неактуальна), необходимо отключить логирование отладочных сообщений:
ESR(debug)# no debug ipsec asn
ESR(debug)# no debug ipsec cfg
ESR(debug)# no debug ipsec chd
ESR(debug)# no debug ipsec enc
ESR(debug)# no debug ipsec esp
ESR(debug)# no debug ipsec ike
ESR(debug)# no debug ipsec job
ESR(debug)# no debug ipsec knl
ESR(debug)# no debug ipsec mgr
ESR(debug)# no debug ipsec net
ESR(debug)# no debug ipsec tls
ESR(debug)# show debug ipsec
ipsec
default = 0
app = default
asn = default
cfg = default
chd = default
dmn = default
enc = default
esp = default
ike = default
imc = default
imv = default
job = default
knl = default
lib = default
mgr = default
net = default
pts = default
tls = default
tnc = default
Диагностика процесса IPSec из учётной записи techsupport (при необходимости).
В случае запроса диагностической информации из-под учётной записи techsupport, необходим вывод следующих команд:
1. Настройка учётной записи techsupport:
configure
username techsupport
password <Пароль пользователя techsupport>
exit
tech-support login enable
end
commit
confirm
2. Подключение к маршрутизатору ESR по ssh/telnet/console(RS-232) с использованием логина techsupport и ранее заданного пароля:
ESR login: techsupport
Password: <Пароль пользователя techsupport>
********************************************
* Welcome to ESR *
********************************************
techsupport@ESR:~$
3. Команды:
- конфигурационный файл IPSec:
techsupport@ESR:~$ cat /etc/ipsec.conf
- статус IPSec:
techsupport@ESR:~$ sudo ipsec statusall
Password: <Пароль пользователя techsupport>
- файл с логом процесса IPSec(при необходимости):
techsupport@ESR:~$ cat /var/log/syslog/<name>
Комментарии (11)