1.清除VPN配置: 

clear configure crypto map 虚拟专用网_AAAA

2.调试并显示命令:

启用日志记录:

ciscoasa#terminal monitor
ciscoasa(配置)# logging buffer-size 1048576
ciscoasa(配置)# logging buffered 7
ciscoasa(配置)# logging monitor 7
ciscoasa(配置)# debug crypto condition peer 10.10.10.10
ciscoasaa(config)#
ciscoasa(配置)# 调试加密ipsec 127

debug icmp trace命令用于捕获用户的ICMP流量。

ciscoasa#debug icmp trace

ciscoasa#

!--- Output is suppressed.

ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32
ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32

!--- The 采用r IP address is 192.168.1.50.

用户ping ASA的内部接口(ping 192.168.1.1)。此输出显示在控制台上。

为了禁用调试icmp跟踪,请使用以下命令之一:

没有调试icmp跟踪

调试icmp跟踪

全部调试,全部取消调试,或 全部

这三个选项中的每一个都可以帮助管理员确定源IP地址。在此示例中,用户的源IP地址为192.168.1.50。管理员已准备好了解有关应用程序X的更多信息并确定问题的原因。

To see ISAKMP configuration 采用 显示运行crypto isakmp
查看IPSec配置 use 显示运行加密ipsec
查看加密映射配置 采用 show run crypto map
查看IPsec操作数据使用 显示crypt ipsec sa
查看ISAKMP操作数据的使用 显示crypto isakmp sa

To debug isakmp 采用 调试crypto isakmp
To debug ipsec 采用 调试加密ipsec

手动拆卸ISAKMP或IPSEC SA:
清除加密ipsec
清除加密isakmp

To clear IPsec SA counters 采用 清除crypto ipsec sa计数器
To clear IPsec SAs by entry 采用 清除IPsec SA条目ipaddress
To clear IPsec SAs by map 采用 清除IPsec SA映射cryptomap_name
To clear IPsec SA by peer 采用 清除IPsec SA对等ipaddress
要通过ipaddress清除ISAKMP SA,请使用 清除加密的Isakmp SA IP地址

3. 在Pix / ASA中恢复预共享密钥: 

more system:running-config

4.使用捕获确认IPSec数据包到达防火墙:

管理员需要创建访问列表,该访问列表定义了ASA需要捕获的流量。定义访问列表后,capture命令合并访问列表并将其应用于接口。

ciscoasa(配置)#访问列表inside_test允许icmp任何主机192.168.1.1
ciscoasa(配置)#捕获inside_interface访问列表inside_test接口
用户ping ASA的内部接口(ping 192.168.1.1)。显示此输出。

ciscoasa#显示捕获 inside_interface
   1:13:04:06.284897 192.168.1.50>192.168.1.1:icmp:回显请求

!—用户IP地址为192.168.1.50。

注意:要将捕获文件下载到诸如ethereal之类的系统中,可以按照此输出所示进行操作。

!—打开Internet Explorer,并使用以下https链接格式浏览:

http:// _ [<pix_ip>/<asa_ip>]/capture/<capture name>/pcap
请参阅ASA / PIX:使用CLI和ASDM配置示例进行数据包捕获,以了解有关ASA中数据包捕获的更多信息。

关闭数据包捕获并删除ACL:

ASA(配置)#没有捕获 inside_interface
ASA(配置)#清除配置访问列表 inside_test

您可以使用以下命令清除捕获日志:
作为一个#清晰捕获 inside_interface

您还可以在查看捕获输出时使用管道功能:
作为一个#显示捕获 inside_interface | inc 192.168.1.1

为了确认IPSEC数据包正在到达防火墙,可以为所有UDP 500流量创建捕获。
首先为您要捕获的流量创建一个访问列表。
访问列表捕获1允许udp任意eq 500

接下来创建一个捕获。
外部捕获cap1访问列表capture1接口

接下来显示捕获结果。
显示捕获帽1的详细信息
1:13:04:06.284897 192.168.1.50>192.168.1.1:UDP:500

或在网络上查看捕获
http:// _ capture / pcap / cap1

5. Syslog

确保启用了日志记录。日志记录级别需要设置为调试。日志可以发送到各个位置。本示例使用ASA日志缓冲区。在生产环境中,您可能需要一个外部日志服务器。

ciscoasa(配置)#记录启用
ciscoasa(配置)#记录缓冲调试
用户ping ASA的内部接口(ping 192.168.1.1)。显示此输出。

ciscoasa#显示记录

!—输出被抑制。

%ASA-6-302020:为faddr 192.168.1.50/512建立的ICMP连接
gaddr 192.168.1.1/0 laddr 192.168.1.1/0
%ASA-6-302021:faddr 192.168.1.50/512的拆卸ICMP连接
gaddr 192.168.1.1/0 laddr 192.168.1.1/0

!—用户IP地址为192.168.1.50。

6.“ ping -f”命令 通过IPSEC 虚拟专用网对MTU大小进行故障排除

视窗命令提示符下的-f标志可防止对ICMP数据包进行分段。结合-l标志,您可以设置要发送的ICMP数据包的大小。

因此,假设标准的以太网MTU为1500,并考虑到8字节的ICMP报头和20字节的IP报头,我应该能够发送大小为1472字节的ICMP数据包,但1473太大了:

C:Usersnetcanuck>ping 172.16.32.1 -f -l 1472

Pinging 172.16.32.1 with 1472 bytes of data:
Reply from 172.16.32.1: bytes=1472 time=3ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=4ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=4ms TTL=251
Reply from 172.16.32.1: bytes=1472 time=3ms TTL=251

C:Usersnetcanuck>ping 172.16.32.1 -f -l 1473

Pinging 172.16.32.1 with 1473 bytes of data:
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.

7.其他ASA故障排除命令

请参考这里 发布.

通过 约翰

发表评论