Логирование процесса IPSec в CLI маршрутизатора.
1. При выявлении проблем в работе или настройке IPSec(версия ПО 1.1418) первоначально необходимо включить режим debug:
Блок кода |
---|
ESR# debug ESR(debug)# debug ipsec networkconfiguration 23 ESR(debug)# debug ipsec encodingike 13 ESR(debug)# debug ipsec ikeikemanager 23 ESR(debug)# debug ipsec ikemanagernetwork 23 ESR(debug)# debug ipsec configurationencoding 1 |
2. Задать пароль и активировать пользователя techsupport на маршрутизаторе
Блок кода |
---|
configure
username techsupport
password <Пароль пользователя techsupport>
exit
tech-support login enable
end
commit
confirm |
3. Подключиться к маршрутизатору ESR по ssh/console(RS-232) с использованием логина techsupport и ранее заданного пароля.
4. Сбор информации(лога) для анализа.
- лог процесса IPSec:
Блок кода |
---|
techsupport@esr:~$ sudo cat /var/log/syslog/techsupport/ipsec |
- конфигурационный файл IPSec:
Блок кода |
---|
techsupport@esr:~$ sudo cat /etc/ipsec.conf |
- статус IPSec:
Блок кода |
---|
techsupport@esr:~$ sudo ipsec statusall |
5. если собранный лог достаточно велик и копирование с экрана подключения построчно неудобно, то собранный лог cat /var/log/syslog/techsupport/ipsec возможно скопировать следующим образом:
a) по протоколу scp
Блок кода |
---|
techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /tmp/ipsec - копирование файла ipsec из раздела /var в раздел /tmp на маршрутизаторе ESR |
копирование на ПК(Linux) файла по протоколу scp:
Блок кода |
---|
scp techsupport@<ip-маршрутизатора>:/tmp/<имя файла> /home/<путь для копирования> |
Для windows - можно использовать scp-клиент отдельный или интегрированный в другие приложения.
Блок кода |
---|
techsupport@esr:~$ sudo rm /tmp/ipsec - удаление файла ipsec на маршрутизаторе ESR |
б) через CLI маршрутизатора:
Блок кода |
---|
techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /mnt/data/data/ipsec_log - копирование файла ipsec из раздела /var в раздел /mnt с именем ipsec_log techsupport@esr:~$ logout - переход в CLI маршрутизатора esr# dir flash:data ESR(debug)# debug ipsec kernel 1 ESR(debug)# show debug ipsec ipsec CONFIGURATION: = 3 IKE: = 3 IKEMANAGER: = 3 NETWORK: = 3 ENCODING: = 1 KERNEL: = 1 |
2. Произвести настройку локального syslog
Блок кода |
---|
syslog file tmpsys:syslog/<name>
severity debug
exit
commit
confirm
# Просмотр вывода лога syslog сервера
ESR# show syslog tmpsys:syslog/<name> |
3. Копирование полученного лога:
Блок кода |
---|
# отобразить содержимое tmpsys: ESR# dir tmpsys:syslog/ Name Type Size Last modified -------------------------------------------------------- ---------- -------- -- ipsec_log------------------------- <name> File 18451.2227 KB |
далее копирование файла ipsec_log доступными средствами, например usb://usb_name:/FILE или tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE:
Блок кода |
---|
esr# show storage-devices usb Name Filesystem Total, MB Used, MB Free, MB ------------------------------ ---------- ---------- ---------- ---------- <name> Tue Jul 11 16:03:43 2023 # копирование файла <name> на tftp-сервер(копирование по протоколу tftp приведено для примера): ESR# copy tmpsys:syslog/<name> tftp://<ipaddr>:/<name> |******************************************| 100% (52939B) Success! |
4. После траблшутинга IPSec(проблема более неактуальна), необходимо отключить логирование отладочных сообщений:
Блок кода |
---|
ESR(debug)# no debug ipsec configuration ESR(debug)# no debug ipsec ike ESR(debug)# no debug ipsec ikemanager ESR(debug)# no debug ipsec network ESR(debug)# no debug ipsec encoding ESR(debug)# no debug ipsec kernel ESR(debug)# sh debug ipsec ipsec CONFIGURATION: = 0 IKE: = 0 IKEMANAGER: = 0 NETWORK: vfat = 0 ENCODING: 13791.52 1827.40 = 0 11964.12 KERNEL: esr# copy flash:data/ipsec_log usb://<name>:/ipsec_log | = 0 |
Диагностика процесса IPSec из-под учётной записи techsupport(при необходимости).
В случае запроса диагностической информации из-под учётной записи techsupport, необходим вывод следующих команд:
1. Настройка учётной записи techsupport:
Блок кода |
---|
configure
username techsupport
password <Пароль пользователя techsupport>
exit
tech-support login enable
end
commit
confirm |
2. Подключение к маршрутизатору ESR по ssh/telnet/console(RS-232) с использованием логина techsupport и ранее заданного пароля:
Блок кода |
---|
ESR login: techsupport Password: <Пароль пользователя techsupport> ******************************************|** 100%* (230kB) Success! esr# copy flash:data/ipsec_log tftp://<ipaddr>:/ipsec_log |* Welcome to ESR * *****************************************|*** 100% (184kB) Success! |
удаление файла:
Блок кода |
---|
esr# delete flash:data/ esr# delete flash:data/ipsec_log |******************************************| 100% (0B) File deleted successfully. techsupport@ESR:~$ |
3. Команды:
- конфигурационный файл IPSec:
Блок кода |
---|
techsupport@ESR:~$ cat /etc/ipsec.conf |
- статус IPSec:
Блок кода |
---|
techsupport@ESR:~$ sudo ipsec statusall
Password: <Пароль пользователя techsupport> |
- файл с логом процесса IPSec(при необходимости):
Блок кода |
---|
techsupport@ESR:~$ cat /var/log/syslog/<name> |