【Preguntas frecuentes】 NGFW Mantenimiento de túnel IPSec
Después de establecer el túnel IPSec, puede verificar su estado de ejecución mediante los comandos de visualización, borrar estadísticas, borrar IKE SA y IPSec, o habilitar la función de depuración IPSec según sea necesario.
Comprobación del estado de ejecución de IPSec
Puede ejecutar los siguientes comandos en cualquier vista para verificar las estadísticas de IKE SA, IPSec SA e IPSec.
Tabla 1 Comprobación del estado de ejecución de IPSec
Acción | Comando/Mando |
Comprobando IKE SA | mostrar ike sa [dirección ip remota] |
Comprobando IPSec SA | mostrar ipsec sa [breve | dirección ip remota | política nombre-política [seq-number] | duración |
Comprobación de estadísticas IPSec | mostrar estadísticas de ipsec |
Configurando el registro de IPSec
La Tabla 2 muestra el comando para configurar la función de registro de IPSec. Antes de ejecutar el siguiente comando, ejecute los comandos del canal del centro de información y del monitor del centro de información para enviar registros al terminal de configuración.
Para un túnel IPSec establecido a través de la negociación IKE, ejecute el comando log enable para registrar los registros en la configuración y eliminación del túnel IPSec. Después de habilitar la función de registro, la información de configuración y desmontaje de los túneles IPSec se envía al centro de información. La configuración del centro de información determina la dirección de envío de los registros.
Tabla 2 Configurando el registro de IPSec
Acción | Comando/Mando |
Habilitar el inicio de sesión en la configuración y desmontaje del túnel IPSec (en vista de política IPSec sin plantilla o vista de plantilla de política IPSec) | log {habilitar | deshabilitar |
Habilitar la depuración de IPSec e IKE
Antes de habilitar cualquier función de depuración, debe ejecutar el monitor de terminal y los comandos de depuración de terminal en la vista del usuario para mostrar la información del sistema y la salida de depuración en la pantalla de su terminal.
DARSE CUENTA:
Los comandos de depuración comprometen el rendimiento del sistema. Cuando se complete la depuración, ejecute el comando deshacer depuración de todos para deshabilitar todas las funciones de depuración.
Para la descripción sobre los comandos de depuración, vea Referencia de depuración.
La tabla 3 muestra los comandos de depuración de IPSec.
Tabla 3 Depuración de IPSec
Acción | Comando/Mando |
Depuración de IPSec | depuración de ipsec {todos | error | func-run | misceláneo paquete [acl número acl | política nombre-política [número-política] | parámetros de dirección ip {ah | esp} spi] | sa | sae-buffdump sae-err | sae-misc | sae-modp | sae-modp-buffdump | sae-modp-err | sae-modp-msgdump | sae-msgdump | sae-showsa} |
Depuración de reglas ACL IPSec | depuración de ipsec paquete acl número acl |
La Tabla 4 enumera los comandos de depuración IKE.
Tabla 4 Depurando IKE
Acción | Comando/Mando |
Depuración de IKEv1 | depurando ike {todos | error | intercambio mensaje | misceláneo transporte } |
Depuración de IKEv2 | depurando ikev2 {todos | crypto | error | intercambio mensaje | misceláneo |
Borrar información IPSec
Si es necesario reconfigurar una política de IPSec, puede borrar las SA de IPSec, las SA de IKE y las estadísticas de IPSec. La compensación de las SA interrumpe los servicios. Por lo tanto, tenga cuidado al realizar esta operación.
La tabla 5 enumera las operaciones relacionadas. Realice estas operaciones en la vista de usuario.
Tabla 5 Borrado de información IPSec
Acción | Comando/Mando |
Borrar una IPSec SA | resetear ipsec sa [parámetros destino-dirección protocolo spi | política nombre-política [seq-number] | dirección ip remota] |
Limpiando un IKE SA | restablecer ike sa [ID de conexión] NOTA: Asegúrese de que las SA de IPSec estén desactivadas antes de borrar una SA de IKE. De lo contrario, el IKE SA no se puede borrar. |
Borrar estadísticas IPSec | restablecer las estadísticas de ipsec |