Логирование процесса IPSec в CLI маршрутизатора
1. При выявлении проблем в работе или настройке IPSec(версия ПО 1.1418) первоначально необходимо включить режим debug:
Блок кода |
---|
ESR# debug ESR(debug)# debug ipsec networkconfiguration 23 ESR(debug)# debug ipsec encodingike 13 ESR(debug)# debug ipsec ikeikemanager 23 ESR(debug)# debug ipsec ikemanagernetwork 23 ESR(debug)# debug ipsec configurationencoding 1 |
2. Задать пароль и активировать пользователя techsupport на маршрутизаторе
Блок кода |
---|
configure username techsupport password <Пароль пользователя techsupport> exit tech-support login enable end commit confirm |
...
ESR |
...
4. Сбор информации(лога) для анализа.
- лог процесса IPSec:
Блок кода |
---|
techsupport@esr:~$ sudo cat /var/log/syslog/techsupport/ipsec |
- конфигурационный файл IPSec:
Блок кода |
---|
techsupport@esr:~$ sudo cat /etc/ipsec.conf |
- статус IPSec:
Блок кода |
---|
techsupport@esr:~$ sudo ipsec statusall |
5. если собранный лог достаточно велик и копирование с экрана подключения построчно неудобно, то собранный лог cat /var/log/syslog/techsupport/ipsec возможно скопировать следующим образом:
a) по протоколу scp
Блок кода |
---|
techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /tmp/ipsec - копирование файла ipsec из раздела /var в раздел /tmp на маршрутизаторе ESR |
копирование на ПК(Linux) файла по протоколу scp:
Блок кода |
---|
scp techsupport@<ip-маршрутизатора>:/tmp/<имя файла> /home/<путь для копирования> |
Для windows - можно использовать scp-клиент отдельный или интегрированный в другие приложения.
Блок кода |
---|
techsupport@esr:~$ sudo rm /tmp/ipsec - удаление файла ipsec на маршрутизаторе ESR |
б) через CLI маршрутизатора:
Блок кода |
---|
techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /mnt/data/data/ipsec_log - копирование файла ipsec из раздела /var в раздел /mnt с именем ipsec_log techsupport@esr:~$ logout - переход в CLI маршрутизатора esr# dir flash:data/ Name(debug)# debug ipsec kernel 1 ESR(debug)# show debug ipsec ipsec CONFIGURATION: = 3 IKE: = 3 IKEMANAGER: = 3 NETWORK: = 3 ENCODING: Type = 1 KERNEL: Size = 1 |
2. Произвести настройку локального syslog
Блок кода |
---|
syslog -------------------------------------------------------- ---------- -------- -- ipsec_log file tmpsys:syslog/<name> severity debug exit commit confirm # Просмотр вывода лога syslog сервера ESR# show syslog tmpsys:syslog/<name> |
3. Копирование полученного лога:
Блок кода |
---|
# отобразить содержимое tmpsys: ESR# dir tmpsys:syslog/ Name File 184.22 KB |
далее копирование файла ipsec_log доступными средствами, например usb://usb_name:/FILE или tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE:
Блок кода |
---|
esr# show storage-devices usb NameType Size Last modified Filesystem Total, MB Used, MB Free, MB ------------------------------ -------------------------- ---------- -------- -- ------------------------- <name> vfat 13791.52 1827.40 11964.12 File 51.27 KB esr# copy flash:data/ipsec_log usb://<name>:/ipsec_log Tue Jul 11 16:03:43 2023 # копирование файла <name> на tftp-сервер(копирование по протоколу tftp приведено для примера): ESR# copy tmpsys:syslog/<name> tftp://<ipaddr>:/<name> |******************************************| 100% (230kB52939B) Success! |
Диагностика процесса IPSec из-под учётной записи techsupport
В случае запроса диагностической информации из-под учётной записи techsupport, необходим вывод следующих команд:
1. Настройка учётной записи techsupport:
Блок кода |
---|
configure username esr#techsupport copy flash:data/ipsec_log tftp://<ipaddr>:/ipsec_log | password <Пароль пользователя techsupport> exit tech-support login enable end commit confirm |
2. Подключение к маршрутизатору ESR по ssh/telnet/console(RS-232) с использованием логина techsupport и ранее заданного пароля:
Блок кода |
---|
ESR login: techsupport Password: <Пароль пользователя techsupport> ******************************************|** 100%* (184kB) Success! |
удаление файла:
Блок кода |
---|
esr# delete flash:data/ esr# delete flash:data/ipsec_log |* Welcome to ESR * *****************************************|*** 100% (0B) File deleted successfully. techsupport@ESR:~$ |
3. Команды:
- конфигурационный файл IPSec:
Блок кода |
---|
techsupport@ESR:~$ cat /etc/ipsec.conf |
- статус IPSec:
Блок кода |
---|
techsupport@ESR:~$ sudo ipsec statusall
Password: <Пароль пользователя techsupport> |
- файл с логом процесса IPSec(при необходимости):
Блок кода |
---|
techsupport@ESR:~$ cat /var/log/syslog/<name> |