Логирование процесса IPSec в CLI маршрутизатора.
1. При выявлении проблем в работе или настройке IPSec(версия ПО 1.18) первоначально необходимо включить режим debug:
ESR# debug ESR(debug)# debug ipsec configuration 3 ESR(debug)# debug ipsec ike 3 ESR(debug)# debug ipsec ikemanager 3 ESR(debug)# debug ipsec network 3 ESR(debug)# debug ipsec encoding 1 ESR(debug)# debug ipsec kernel 1 ESR(debug)# show debug ipsec ipsec CONFIGURATION: = 3 IKE: = 3 IKEMANAGER: = 3 NETWORK: = 3 ENCODING: = 1 KERNEL: = 1
2. Произвести настройку локального syslog
syslog file tmpsys:syslog/<name> severity debug exit commit confirm # Просмотр вывода лога syslog сервера ESR# show syslog tmpsys:syslog/<name>
3. Копирование полученного лога:
# отобразить содержимое tmpsys: ESR# dir tmpsys:syslog/ Name Type Size Last modified -------------------------------------------------------- ---------- -------- -- ------------------------- <name> File 51.27 KB Tue Jul 11 16:03:43 2023 # копирование файла <name> на tftp-сервер(копирование по протоколу tftp приведено для примера): ESR# copy tmpsys:syslog/<name> tftp://<ipaddr>:/<name> |******************************************| 100% (52939B) Success!
4. После траблшутинга IPSec(проблема более неактуальна), необходимо отключить логирование отладочных сообщений:
ESR(debug)# no debug ipsec configuration ESR(debug)# no debug ipsec ike ESR(debug)# no debug ipsec ikemanager ESR(debug)# no debug ipsec network ESR(debug)# no debug ipsec encoding ESR(debug)# no debug ipsec kernel ESR(debug)# sh debug ipsec ipsec CONFIGURATION: = 0 IKE: = 0 IKEMANAGER: = 0 NETWORK: = 0 ENCODING: = 0 KERNEL: = 0
Диагностика процесса IPSec из-под учётной записи techsupport(при необходимости).
В случае запроса диагностической информации из-под учётной записи techsupport, необходим вывод следующих команд:
1. Настройка учётной записи techsupport:
configure username techsupport password <Пароль пользователя techsupport> exit tech-support login enable end commit confirm
2. Подключение к маршрутизатору ESR по ssh/telnet/console(RS-232) с использованием логина techsupport и ранее заданного пароля:
ESR login: techsupport Password: <Пароль пользователя techsupport> ******************************************** * Welcome to ESR * ******************************************** techsupport@ESR:~$
3. Команды:
- конфигурационный файл IPSec:
techsupport@ESR:~$ cat /etc/ipsec.conf
- статус IPSec:
techsupport@ESR:~$ sudo ipsec statusall Password: <Пароль пользователя techsupport>
- файл с логом процесса IPSec(при необходимости):
techsupport@ESR:~$ cat /var/log/syslog/<name>