ssh経由でcrypto ipsecをデバッグする

SSHを使用してASAでIP Sec VPNをデバッグする方法は? デバッグを選択した場合、すべてのデバッグ情報がフラッディングされ、 debug crypto ipsec ターミナルモニタ logging monitor を試してみます。 SSH経由でIPSECデバッグだけを表示するにはどうしたらいいですか?

1
「show debug」の出力は何ですか? CLIにフラッディングしている他のデバッグを実行していますか?
追加された 著者 Jukka Suomela,
私はロギングクラスオプションを使用したくない
追加された 著者 hana,
#show debug debug crypto ipsecをレベル1で有効にします他のデバッグは実行されていません
追加された 著者 hana,

2 答え

単一のL2L VPN接続をデバッグする場合は、次の設定を有効にすることができます

ASA#debug crypto condition peer 1.1.1.1

これにより、デバッグをこの特定のL2L VPNピアだけに限定する必要があります

設定を確認するには

ASA# sh crypto debug-condition
Crypto conditional debug is turned ON
IKE debug context unmatched flag:  OFF
IPSec debug context unmatched flag:  OFF
IKE debug context error flag:  OFF
IPSec debug context error flag:  OFF
IKE peer IP address filters:
1.1.1.1/32

この後、 debug crypto isakmp コマンドと debug crypto ipsec コマンドを使用できます

完了したら、コマンドで設定した上記の条件を削除してください

ASA# debug crypto condition reset
Do you want to clear the crypto debug filters? [confirm]

また、監視のためにロギングレバーを変更する必要があるかもしれません

ロギングモニタのデバッグ

SSH接続中にコマンドを発行すると

端末モニタ

それを無効にするには

端末のモニタなし

すべてのデバッグを無効にすることができるはずです

no debug all

- Jouni

1
追加された
私はRA ipsec VPNをデバッグしたい、私は条件オプションに行く、それは最善の選択肢と思われる、
追加された 著者 hana,

デバッグするVPNの問題のほとんどは、デバッグのIKE部分のデバッグを解決できます。ところで、SSHがASA自体に組み込まれている間にデバッグを意味すると仮定しています。

*あなたのコードバージョンに応じて

debug crypto ikev1 1-254(127で始まり、次に254) debug crypto ikev2 1-254(127で始まり、次に254)

debug crypto isakmp 1-254(127で始まり、次に254)

これにより、自動的にデバッグ出力が端末に直接表示されますが、IPsec VPNに対してのみ表示されます。トンネルを立ち上げる際に絶えず流れているアクティブなトラフィックがあり、端末がオーバーフローする可能性がある場合、この出力は非常に詳細に表示されます。

1
追加された
はい、レベル1でもデバッグが表示されますが、
追加された 著者 hana,
ですから、これは基本的に debug crypto ipsec が "debugging ike phase 2"
追加された 著者 hana,
タイラー修正:)。私は、VPNの問題をトラブルシューティングするために実際に 'debug crypto ipsec'を使ったことはありません。
追加された 著者 Nick Roberts,