Eltex Knowledge Base
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Логирование процесса IPSec в CLI маршрутизатора.

1. При выявлении проблем в работе или настройке IPSec(версия ПО 1.1418) первоначально необходимо включить режим debug:

Блок кода
ESR# debug
ESR(debug)# debug ipsec networkconfiguration 23
ESR(debug)# debug ipsec encodingike 13
ESR(debug)# debug ipsec ikeikemanager 23
ESR(debug)# debug ipsec ikemanagernetwork 23
ESR(debug)# debug ipsec configurationencoding 1

2. Задать пароль и активировать пользователя techsupport на маршрутизаторе

Блок кода
configure
  username techsupport
    password <Пароль пользователя techsupport>
  exit
  tech-support login enable
  end
commit
confirm

3. Подключиться к маршрутизатору ESR по ssh/console(RS-232) с использованием логина techsupport и ранее заданного пароля.

4. Сбор информации(лога) для анализа.

- лог процесса IPSec:

Блок кода
techsupport@esr:~$ sudo cat /var/log/syslog/techsupport/ipsec

- конфигурационный файл IPSec:

Блок кода
techsupport@esr:~$ sudo cat /etc/ipsec.conf

- статус IPSec:

Блок кода
techsupport@esr:~$ sudo ipsec statusall

5. если собранный лог достаточно велик и копирование с экрана подключения построчно неудобно, то собранный лог cat /var/log/syslog/techsupport/ipsec возможно скопировать следующим образом:

a) по протоколу scp

Блок кода
techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /tmp/ipsec - копирование файла ipsec из раздела /var в раздел /tmp на маршрутизаторе ESR

копирование на ПК(Linux) файла по протоколу scp:

Блок кода
scp techsupport@<ip-маршрутизатора>:/tmp/<имя файла> /home/<путь для копирования>

Для windows - можно использовать scp-клиент отдельный или интегрированный в другие приложения.

Блок кода
techsupport@esr:~$ sudo rm /tmp/ipsec - удаление файла ipsec на маршрутизаторе ESR

б) через CLI маршрутизатора:

Блок кода
techsupport@esr:~$ sudo cp /var/log/syslog/techsupport/ipsec /mnt/data/data/ipsec_log - копирование файла ipsec из раздела /var в раздел /mnt с именем ipsec_log
techsupport@esr:~$ logout - переход в CLI маршрутизатора

esr# dir flash:data
ESR(debug)# debug ipsec kernel 1
ESR(debug)# show debug ipsec
ipsec
    CONFIGURATION:    = 3
    IKE:              = 3
    IKEMANAGER:       = 3
    NETWORK:          = 3
    ENCODING:         = 1
    KERNEL:           = 1

2. Произвести настройку локального syslog

Блок кода
syslog file tmpsys:syslog/<name>
  severity debug
exit
commit
confirm

# Просмотр вывода лога syslog сервера
ESR# show syslog tmpsys:syslog/<name>

3.  Копирование полученного лога:

Блок кода
# отобразить содержимое tmpsys:
ESR# dir tmpsys:syslog/
Name                                                       Type         Size            Last modified               
--------------------------------------------------------   ----------   --------   --   
ipsec_log-------------------------    
<name>                                                     File         18451.2227      KB

далее копирование файла ipsec_log доступными средствами, например usb://usb_name:/FILE или tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE:

Блок кода
esr# show storage-devices usb 
Name                             Filesystem   Total, MB    Used, MB     Free, MB     
------------------------------   ----------   ----------   ----------   ---------- 
<name>       Tue Jul 11 16:03:43 2023

# копирование файла <name> на tftp-сервер(копирование по протоколу tftp приведено для примера):
ESR# copy tmpsys:syslog/<name>  tftp://<ipaddr>:/<name>
|******************************************| 100% (52939B) Success!

4. После траблшутинга IPSec(проблема более неактуальна), необходимо отключить логирование отладочных сообщений:

Блок кода
ESR(debug)# no debug ipsec configuration 
ESR(debug)# no debug ipsec ike
ESR(debug)# no debug ipsec ikemanager 
ESR(debug)# no debug ipsec network 
ESR(debug)# no debug ipsec encoding 
ESR(debug)# no debug ipsec kernel 

ESR(debug)# sh debug ipsec 
ipsec
    CONFIGURATION:    = 0
    IKE:              = 0
    IKEMANAGER:       = 0
    NETWORK:         vfat = 0
    ENCODING:  13791.52     1827.40  = 0
  11964.12  KERNEL:     esr# copy flash:data/ipsec_log usb://<name>:/ipsec_log
|     = 0

Диагностика процесса IPSec из-под учётной записи techsupport(при необходимости).

В случае запроса диагностической информации из-под учётной записи techsupport, необходим вывод следующих команд:

1. Настройка учётной записи techsupport:

Блок кода
configure
  username techsupport
    password <Пароль пользователя techsupport>
  exit
  tech-support login enable
  end
commit
confirm

2. Подключение к маршрутизатору ESR по ssh/telnet/console(RS-232) с использованием логина techsupport и ранее заданного пароля:

Блок кода
ESR login: techsupport
Password: <Пароль пользователя techsupport>

******************************************|**
100%* (230kB) Success!      esr# copy flash:data/ipsec_log tftp://<ipaddr>:/ipsec_log
|* Welcome to ESR                *
*****************************************|***
100% (184kB) Success!

удаление файла:

Блок кода
esr# delete flash:data/
esr# delete flash:data/ipsec_log
|******************************************| 100% (0B) File deleted successfully.
techsupport@ESR:~$

3. Команды:

- конфигурационный файл IPSec:

Блок кода
techsupport@ESR:~$ cat /etc/ipsec.conf

- статус IPSec:

Блок кода
techsupport@ESR:~$ sudo ipsec statusall
Password: <Пароль пользователя techsupport>

- файл с логом процесса IPSec(при необходимости):

Блок кода
techsupport@ESR:~$ cat /var/log/syslog/<name>