[index] CentreCOM AR560S コマンドリファレンス 2.9

ENABLE IPSEC POLICY DEBUG

カテゴリー：IPsec / IPsecポリシー

ENABLE IPSEC POLICY[=policy] DEBUG={ALL|FILTER|PACKET|TRACE} [DIRECTION={ALL|IN|OUT}] [DISPLAY={ALL|BUFFERHEADER|DATA|IPHEADER}] [RESULT={ALL|FAIL|PASS}] [SELECTOR={ALL|LADDRESS|LNAME|LPORT|RADDRESS|RNAME|RPORT|TRANSPORTPROTOCOL}] [WHERE={ALL|IPSEC|PROTOCOL}]

policy: IPsecポリシー名（1～23文字）

IPsecポリシーのデバッグオプションを有効にする。

パラメーター

POLICY: IPsecポリシー名

DEBUG: 有効にするデバッグオプション。FILTER（IPsecポリシーによるパケットフィルタリングの過程を表示）、PACKET（IPsecパケットを16進ダンプ表示）、TRACE（IPsec処理の過程をトレース）、ALL（すべて）から選択する。

DIRECTION: デバッグオプションを有効にするトラフィックの向き。IN（内向き）、OUT（外向き）、BOTH（双方向）から選択する。

DISPLAY: パケットデバッグ（DEBUG=PACKET）において、パケットの一部について表示を有効にしたいときに指定する。ALLを指定すると、すべての表示がオンになる。BUFFERHEADER、DATA、IPHEADERは、それぞれバッファーヘッダー、データ、IPヘッダーの表示だけを有効にする。

RESULT: フィルターデバッグ（DEBUG=FILTER）において、特定パケットのデバッグを有効にしたいときに指定する。ALLを指定すると、フィルターデバッグがすべて有効になる。FAIL、PASSは、それぞれフィルターにマッチしなかったパケット、マッチしたパケットのデバッグだけを有効にする。

SELECTOR: フィルターデバッグ（DEBUG=FILTER）において、特定フィルター条件（セレクター）についてだけデバッグを有効にしたいときに指定する。

WHERE: パケットデバッグ（DEBUG=PACKET）において、特定のプロトコル処理部についてのみデバッグを有効にしたいときに指定する。IPSECはIPsec処理部、PROTOCOLは各IPsecプロトコルの処理部、ALLはすべてを意味する。

入力・出力・画面例

SecOff > ena ipsec policy=vpn debug=filter Info (181057): IPSEC Policy Debugging has been enabled. SecOff > IPSEC: filt: pass: laddr: pol vpn pol 192.168.20.0:255.255.255.0, pkt 192.168.20.100 IPSEC: filt: pass: raddr: pol vpn pol 192.168.1.0:255.255.255.0, pkt 192.168.1.2 IPSEC: filt: pass: laddr: sa 2 sa 192.168.20.0:255.255.255.0, pkt 192.168.20.100 IPSEC: filt: pass: raddr: sa 2 sa 192.168.1.0:255.255.255.0, pkt 192.168.1.2 SecOff > ena ipsec policy=vpn debug=packet Info (181057): IPSEC Policy Debugging has been enabled. SecOff > IPSEC vpn: 2: OUT: pre processing: IP: 45000028eb1040002006d908c0a81464c0a80102 TCP: 0429005005b7e65c01faee4c5004000038560000 data: IPSEC vpn: 2: OUT: post processing: IP: 450000604b7f00004032fa573f0c42ef3d737527 ESP: 14f45fa300000b09:35d26e02458706623d9aa9bf data: 9fcd18d0a34ffeecb8b0f574ddeaa820f8ba0db36cd7a9fc0254f08215e2aa7ecdb34688 6193f17d39cc7f096276238bf262b668920b51c535d26e02458706623d9aa9bf SecOff > ena ipsec policy=vpn debug=trace Info (181057): IPSEC Policy Debugging has been enabled. SecOff > IPSEC vpn: 2: OUT: pre processing: IP: 4500002cf81040002006cc04c0a81464c0a80102 TCP: 042c005005b9c354000000006002200013e60000 data: 020405b4 IPSEC vpn: 2: OUT: post processing: IP: 450000604b8000004032fa563f0c42ef3d737527 ESP: 14f45fa300000b0a:303cd3682ca0d4724d415643 data: f6bdc7fc7a25cbb885eb3461ce36cda7bbf752aa3298a3b5ef1f3aae0d8b94aa19d769f5 95fc677f693c2b0ecfe13a5feae75b52430aa46d303cd3682ca0d4724d415643 SecOff > IPSEC vpn: 2: IN: pre processing: IP: 450000605ae800003732f3ee3d7375273f0c42ef ESP: 52d700ff00000c8c:29109cc701bee3a76460a2eb data: 993a2918084608c51648755a8f6ebd12d68f806a169d4c243a04c0741d50a3ab52493dcd 069d1ec17a17349b9ec9f6c6bb739a39b576298129109cc701bee3a76460a2eb IPSEC vpn: 2: IN: post processing: IP: 4500002c5ae500003f068a30c0a80102c0a81464 TCP: 0050042cf254a5a005b9c355601204009b7b0000 data: 02040218

備考・注意事項

本コマンドは、トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。

参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication

PN: 613-001314 Rev.G