RTシリーズのIPsec&IKE&VPN&...に関するFAQ
どうやって調べたらよいですか?
| 最終変更日 | 2018/Nov/06 |
| 文書サイズ | 4.0KB |
[SAの状態を確認する]
show ipsec sa コマンドを使うと、ルータが管理しているSA(鍵)の情報が表示されます。 SAがまったく表示されないときには、 IKEによる鍵交換が失敗していて、鍵が作られていないことが分かります。 一方、SAが表示されれば、IKEによる鍵交換は成功していることが分かります。
[ログを見る]
syslog debug onというコマンドを設定しておくと、 IKEに関係するログを生成します。 show logコマンドやless logコマンドでログを表示できます。
なお、他社製品との相互接続など、細かい情報を収集したいときには、 ipsec ike logコマンド を設定することで、詳細なログを見ることができます。
[設定を確認する]
IPsecに関する設定は、アドレスなどを除いて、 双方のルータで一致している必要があります。たとえば、 以下の設定項目が一致しているかどうか確認します。
[VPNの通信を確認する]
| 準備の設定 | |
|---|---|
| すべてのIPパケットのpassしログを残すフィルタの定義 | ip filter 1 pass-log * * * * * |
| syslogにIPフィルタ関連のログを残す設定 | syslog notice on |
| LAN1インタフェースの入力と出力を観測する。 | |
| 入力で1番のフィルタを適用する | ip lan1 secure filter in 1 |
| 出力で1番のフィルタを適用する | ip lan1 secure filter out 1 |
| TUNNEL[01]インタフェースの入力と出力を観測する。 | |
| TUNNELインタフェースを選択する | tunnel select 1 |
| 入力で1番のフィルタを適用する | ip tunnel secure filter in 1 |
| 出力で1番のフィルタを適用する | ip tunnel secure filter out 1 |
| PP[01]インタフェースの入力と出力を観測する。 | |
| PPインタフェースを選択する | pp select 1 |
| 入力で1番のフィルタを適用する | ip pp secure filter in 1 |
| 出力で1番のフィルタを適用する | ip pp secure filter out 1 |