RTシリーズのIPsec&IKE&VPN&...に関するFAQ
どうやって調べたらよいですか?
最終変更日 | 2018/Nov/06 |
文書サイズ | 4.0KB |
[SAの状態を確認する]
show ipsec sa コマンドを使うと、ルータが管理しているSA(鍵)の情報が表示されます。 SAがまったく表示されないときには、 IKEによる鍵交換が失敗していて、鍵が作られていないことが分かります。 一方、SAが表示されれば、IKEによる鍵交換は成功していることが分かります。
[ログを見る]
syslog debug onというコマンドを設定しておくと、 IKEに関係するログを生成します。 show logコマンドやless logコマンドでログを表示できます。
なお、他社製品との相互接続など、細かい情報を収集したいときには、 ipsec ike logコマンド を設定することで、詳細なログを見ることができます。
[設定を確認する]
IPsecに関する設定は、アドレスなどを除いて、 双方のルータで一致している必要があります。たとえば、 以下の設定項目が一致しているかどうか確認します。
[VPNの通信を確認する]
準備の設定 | |
---|---|
すべてのIPパケットのpassしログを残すフィルタの定義 | ip filter 1 pass-log * * * * * |
syslogにIPフィルタ関連のログを残す設定 | syslog notice on |
LAN1インタフェースの入力と出力を観測する。 | |
入力で1番のフィルタを適用する | ip lan1 secure filter in 1 |
出力で1番のフィルタを適用する | ip lan1 secure filter out 1 |
TUNNEL[01]インタフェースの入力と出力を観測する。 | |
TUNNELインタフェースを選択する | tunnel select 1 |
入力で1番のフィルタを適用する | ip tunnel secure filter in 1 |
出力で1番のフィルタを適用する | ip tunnel secure filter out 1 |
PP[01]インタフェースの入力と出力を観測する。 | |
PPインタフェースを選択する | pp select 1 |
入力で1番のフィルタを適用する | ip pp secure filter in 1 |
出力で1番のフィルタを適用する | ip pp secure filter out 1 |