Después de establecer el túnel IPSec, puede verificar su estado de ejecución mediante los comandos de visualización, borrar estadísticas, borrar IKE SA y IPSec, o habilitar la función de depuración IPSec según sea necesario.
Comprobación del estado de ejecución de IPSec
Puede ejecutar los siguientes comandos en cualquier vista para verificar las estadísticas de IKE SA, IPSec SA e IPSec.
Tabla 1 Comprobación del estado de ejecución de IPSec
Acción | Comando/Mando |
Comprobando IKE SA | display ike sa [ remote ip-address ] |
Comprobando IPSec SA | display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] |
Comprobación de estadísticas IPSec | display ipsec statistics |
Configurando el registro de IPSec
La Tabla 2 muestra el comando para configurar la función de registro de IPSec. Antes de ejecutar el siguiente comando, ejecute los comandos del canal del centro de información y del monitor del centro de información para enviar registros al terminal de configuración.
Para un túnel IPSec establecido a través de la negociación IKE, ejecute el comando log enable para registrar los registros en la configuración y eliminación del túnel IPSec. Después de habilitar la función de registro, la información de configuración y desmontaje de los túneles IPSec se envía al centro de información. La configuración del centro de información determina la dirección de envío de los registros.
Tabla 2 Configurando el registro de IPSec
Acción | Comando/Mando |
Habilitar el inicio de sesión en la configuración y desmontaje del túnel IPSec (en vista de política IPSec sin plantilla o vista de plantilla de política IPSec) | log {enable | disable} |
Habilitar la depuración de IPSec e IKE
Antes de habilitar cualquier función de depuración, debe ejecutar el monitor de terminal y los comandos de depuración de terminal en la vista del usuario para mostrar la información del sistema y la salida de depuración en la pantalla de su terminal.
DARSE CUENTA:
Los comandos de depuración comprometen el rendimiento del sistema. Cuando se complete la depuración, ejecute el comando deshacer depuración de todos para deshabilitar todas las funciones de depuración.
Para la descripción sobre los comandos de depuración, vea Referencia de depuración.
La tabla 3 muestra los comandos de depuración de IPSec.
Tabla 3 Depuración de IPSec
Acción | Comando/Mando |
Depuración de IPSec | debugging ipsec { all | error | func-run | misc | packet [ acl acl-number | policy policy-name [ policy-number ] | parameters ip-address { ah | esp } spi ] | sa | sae-buffdump | sae-err | sae-misc | sae-modp | sae-modp-buffdump | sae-modp-err | sae-modp-msgdump | sae-msgdump | sae-showsa } |
Depuración de reglas ACL IPSec | debugging ipsec packet acl acl-number |
La Tabla 4 enumera los comandos de depuración IKE.
Tabla 4 Depurando IKE
Acción | Comando/Mando |
Depuración de IKEv1 | debugging ike { all | error | exchange | message | misc | transport } |
Depuración de IKEv2 | debugging ikev2 { all | crypto | error | exchange | message | misc } |
Borrar información IPSec
Si es necesario reconfigurar una política de IPSec, puede borrar las SA de IPSec, las SA de IKE y las estadísticas de IPSec. La compensación de las SA interrumpe los servicios. Por lo tanto, tenga cuidado al realizar esta operación.
La tabla 5 enumera las operaciones relacionadas. Realice estas operaciones en la vista de usuario.
Tabla 5 Borrado de información IPSec
Acción | Comando/Mando |
Borrar una IPSec SA | reset ipsec sa [ parameters destination-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ] |
Limpiando un IKE SA | reset ike sa [ connection-id ] NOTA: Asegúrese de que las SA de IPSec estén desactivadas antes de borrar una SA de IKE. De lo contrario, el IKE SA no se puede borrar. |
Borrar estadísticas IPSec | reset ipsec statistics |