Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

request security ike debug-enable

Syntax

Beschreibung

Aktivieren Sie die IKE-Ablaufverfolgung für einen einzelnen VPN-Tunnel, der durch eine lokale und eine Remote-IP-Adresse angegeben wird. Die Verwendung dieses Befehls ist eine Alternative zur Konfiguration von IKE-Ablaufverfolgungsoptionen. Sie benötigen keine Konfiguration, um diesen Befehl zu verwenden. Dieser Befehl verfolgt nur einen einzelnen Tunnel, während sich die Konfiguration von IKE-Traceoptionen auf alle VPN-Tunnel auf den Firewalls der SRX-Serie auswirkt.

Hinweis:

Dieser Befehl wird von Firewalls der SRX-Serie und der MX-SPC3 Services Card unterstützt. Geräte der MX-Serie mit Multiservices Modular Interfaces Card (MS-MIC) oder Multiservices Modular PIC Concentrator (MS-MPC) unterstützen diesen Befehl nicht.

So verwenden Sie diesen Befehl:

  1. Identifizieren Sie die lokalen und Remote-IP-Adressen des VPN-Tunnels, den Sie verfolgen möchten.

  2. Aktivieren Sie mit diesem Befehl die IKE-Ablaufverfolgung im VPN-Tunnel.

  3. Versuchen Sie, einen Tunnel einzurichten, um Ablaufverfolgungsinformationen in der Protokolldatei zu erfassen:

    • Bei den Firewalls der SRX-Serie und der virtuellen vSRX-Firewall, auf denen der kmd-Prozess ausgeführt wird, werden die Trace-Informationen in /var/log/kmd einer Datei gespeichert.

    • Für die MX-SPC3 Services Card, die Firewalls der SRX-Serie und die virtuelle vSRX Firewall, auf denen iked-Prozesse (einschließlich gemischter Modus) ausgeführt werden, werden die Trace-Informationen in /var/log/iked einer Datei gespeichert.

    Wenn Sie konfiguriert haben, dass die Ablaufverfolgungsnachrichten in einer bestimmten Datei unter der [edit security ike traceoptions] Hierarchieebene gespeichert werden, werden die Ablaufverfolgungsinformationen unter dem angegebenen Dateinamen gespeichert.

  4. Deaktivieren Sie die IKE-Ablaufverfolgung pro Tunnel mit dem request security ike debug-disable Befehl.

  5. Überprüfen Sie die Protokolldatei mit dem folgenden Befehl:

    • Führen Sie für die Firewalls der SRX-Serie und die virtuelle vSRX-Firewall, auf denen kmd process ausgeführt wird, den oder den show log kmd Dateinamen aus, der unter der Hierarchieebene [edit security ike traceoptions] angegeben ist.

    • Führen Sie für die MX-SPC3 Services Card, die Firewalls der SRX-Serie und die virtuelle vSRX-Firewall, auf denen iked-Prozesse (einschließlich gemischter Modus) ausgeführt werden, den oder den show log iked Dateinamen aus, der unter der Hierarchieebene [edit security ike traceoptions] angegeben ist.

Sie können den show security ike debug-status folgenden Befehl verwenden:

  • , um den Status des IKE-Ablaufverfolgungsvorgangs pro Tunnel anzuzeigen.

  • , um nur den Status des Interchassis-Link-Tunnels anzuzeigen.

Optionen

  • local local-ip-address– Die Adresse des lokalen VPN-Peers.

  • remote remote-ip-address– Die Adresse des Remote-VPN-Peers.

Erforderliche Berechtigungsstufe

Wartung

Informationen zur Veröffentlichung

Dieser Befehl wurde in Junos OS Version 11.4R3 eingeführt.