(FortiGate)飛塔防火牆IPsec ***抓包診斷命令

image.png


① sniffer抓包確認UDP 500/4500 雙方通訊是否正常app

diagnose sniffer packet any "host 119.201.75.34 and  ( port 500 or port 4500)" 4dom

(這裏IP119.201.75.34指的是對方公網IP。UDP 500 或 UDP 4500 這兩個端口是IPsec ***協商協議IKE會使用的端口,必定要互通要通暢,不然***沒法正常創建,確認互通正常在進行下一步定位)ide


② 經過日誌,diagnose debug application ike 確認問題是出在第一階段仍是第二階段 debug

diagnose *** ike  log-filter name SZFT                            // 第一階段名稱 rest

diagnose *** ike log-filter dst-addr4 119.201.75.34       //IP換成對方公網IP日誌

diagnose debug console timestamp enable                   //開啓時間標籤接口

diagnose debug  application ike  -1                                //匹配ike數據ip

diagnose debug  enable                                                  //開啓抓包命令it

diagnose debug application  ike 0                                  // 關閉debug io

diagnose debug disable                                                 //關閉debug

diagnose debug reset                                                     //關閉debug


注意事項:diagnose debug application ike的時候要注意,本身不要主動發起鏈接,須要把第一階段/第二階段的自動協商關閉


關掉一階段第二階段的自動協商(如下是接口模式***關閉自動協商的配置命令)

TEST_1000D# config *** ipsec phase1-interface

TEST_1000D (phase1-interface) # edit ***

TEST_1000D (***) # set auto-negotiate disable

TEST_1000D (***) # end

TEST_1000D # config *** ipsec phase2-interface

TEST_1000D (phase1-interface) # edit ***

TEST_1000D (***) # set auto-negotiate disable

TEST_1000D (***) # end


有時候須要重置IPsec ***的鏈接:

diagnose *** ike filter name ***     // 第一階段名稱

diagnose *** ike restart                  //從新主動發起鏈接

diagnose *** tunnel reset            //重置第二階段


重置IPsec ***通道,有VDOM的狀況下:

TEST_1000D # config vdom

TEST_1000D (vdom) # edit root (進入具體的VDOM,這裏咱們假設爲root域)

TEST_1000D (root) #diagnose *** ike filter name ***     (這裏***指的是具體的隧道名稱)

TEST_1000D (root) # diagnose *** tunnel reset

TEST_1000D (root) # diagnose *** ike restart


查看IPsec ***狀態命令:

diagnose *** ike gateway list

diagnose *** tunnel list

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。