Une fois qu'un tunnel IPSec est établi, vous pouvez vérifier son état de fonctionnement à l'aide de commandes Disply , clear statistics, clear IKE SAs et IPSec SAs, ou enable IPSec debugging selon les besoins.
Vérification de l'état d'exécution IPSec
Vous pouvez exécuter les commandes suivantes dans n’importe quelle vue pour vérifier les statistiques IKE SA, IPSec SA et IPSec.
action | Commander |
---|---|
Vérification d'une SA IKE | display ike sa [ remote ip-address ] |
Vérification d'une SA IPSec | display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ] |
Vérification des statistiques IPSec | display ipsec statistics |
Configuration de la journalisation IPSec
Le tableau 2 présente la commande permettant de configurer la fonction de journalisation IPSec. Avant d'exécuter la commande suivante, exécutez les commandes info-center source et info-center monitor channel pour envoyer les journaux au terminal de configuration.
Pour un tunnel IPSec établi par négociation IKE, exécutez la commande log enable pour enregistrer les journaux lors de la configuration et de la suppression du tunnel IPSec. Une fois la fonction de journalisation activée, les informations de configuration et de démontage relatives aux tunnels IPSec sont envoyées au centre de documentation. La configuration du centre de documentation détermine le sens d'envoi des journaux.
Activation du débogage IPSec et IKE
Avant d'activer des fonctions de débogage, vous devez exécuter les commandes terminal monitor et terminal debugging dans la vue utilisateur pour afficher les informations système et la sortie de débogage sur votre terminal.
Les commandes de débogage compromettent les performances du système. Une fois le débogage terminé, exécutez la commande undo debugging all pour désactiver toutes les fonctions de débogage.
Pour obtenir une description des commandes de débogage, voir Référence de débogage .
Le tableau 3 présente les commandes de débogage IPSec.
Tableau 3 Débogage d'IPSec
Action | Command |
---|---|
Débogage d'IPSec | debugging ipsec { all | error | func-run | misc | packet [ acl acl-number | policy policy-name [ policy-number ] | parameters ip-address { ah | esp } spi ] | sa | sae-buffdump | sae-err | sae-misc | sae-modp | sae-modp-buffdump | sae-modp-err | sae-modp-msgdump | sae-msgdump | sae-showsa } |
Débogage des règles ACL IPSec | debugging ipsec packet acl acl-number |
Le tableau 4 répertorie les commandes de débogage IKE.
Tableau 4 Débogage IKE
Action | Command |
---|---|
Débogage IKEv1 | debugging ike { all | error | exchange | message | misc | transport} |
Débogage IKEv2 | debugging ikev2 { all | crypto | error | exchange | message | misc } |
Clearing IPSec Information
Si une stratégie IPSec doit être reconfigurée, vous pouvez utiliser clear IPSec SAs, IKE SAs, and IPSec statistics. Clearing SAs interrupts services.
Par conséquent, soyez prudent lorsque vous effectuez cette opération.
Le tableau 5 répertorie les opérations associées. Effectuez ces opérations dans la vue utilisateur.
Action | Command |
---|---|
Effacer une IPSec SA | reset ipsec sa [ parameters destination-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ] |
Effacer une IKE SA | reset ike sa [ connection-id ] NOTE: Ensure that IPSec SAs are cleared before you clear an IKE SA. Otherwise, the IKE SA cannot be cleared. |
Effacer les statistiques IPSec | reset ipsec statistics |