В этом разделе описана конфигурация и формат системных протоколов, связанных с защитой IP. В процессе взаимодействия хостов передаваемые пакеты могут регистрироваться программой-демоном системного протокола - syslogd. Кроме того, можно просмотреть другие важные сообщения о защите IP. Администратор может отслеживать информацию протокола для анализа потока и упрощения отладки. Для установки средств ведения протокола выполните следующие действия.
local4.debug var/adm/ipsec.log
Средство local4 записывает данные о потоке и событиях защиты IP. При этом применяются стандартные уровни приоритета операционной системы. Вы должны задать уровень приоритета debug и сохранять его до тех пор, пока поток данных через туннели и фильтры защиты IP не станет устойчивым и бесперебойным.
Примечание: Ведение протокола событий фильтрации может привести к значительному повышению уровня загрузки хоста, на котором установлена система защиты IP, и занять большой объем памяти.
touch ipsec.log
refresh -s syslogd
mkfilt -g start
Прекратить ведение протокола можно с помощью команды
mkfilt -g stop
Следующий пример файла протокола содержит записи потока данных и прочие записи защиты IP:
1. Aug 27 08:08:40 host1 : Демон ведения протокола фильтрации ipsec_logd (уровень 2.20) инициализирован 08:08:40 08/27/97A 2. Aug 27 08:08:46 host1 : mkfilt: Состояние регистрации пакетов установлено на Включено в 08:08:46 08/27/97 3. Aug 27 08:08:47 host1 : mktun: Активирован статический туннель 2 для IPv4, 9.3.97.244, 9.3.97.130 . 4. Aug 27 08:08:47 host1 : mkfilt: #:1 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 udp eq 4001 eq 4001 both both l=n f=y t=0 e= a= 5. Aug 27 08:08:47 host1 : mkfilt: #:2 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ah any 0 any 0 both both l=n f=y t=0 e= a= 6. Aug 27 08:08:47 host1 : mkfilt: #:3 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 esp any 0 any 0 both both l=n f=y t=0 e= a= 7. Aug 27 08:08:47 host1 : mkfilt: #:4 permit 10.0.0.1 255.255.255.255 10.0.0.2 255.255.255.255 icmp any 0 any 0 local outbound l=y f=y t=1 e= a= 8. Aug 27 08:08:47 host1 : mkfilt: #:4 permit 10.0.0.2 255.255.255.255 10.0.0.1 255.255.255.255 icmp any 0 any 0 local inbound l=y f=y t=1 e= a= 9. Aug 27 08:08:47 host1 : mkfilt: #:6 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 all any 0 any 0 both both l=y f=y t=0 e= a= 10. Aug 27 08:08:47 host1 : mkfilt: Инициализирована поддержка фильтрации (уровень 1.00) 08:08:47 on 08/27/97 11. Aug 27 08:08:48 host1 : #:6 R:p o:10.0.0.1 s:10.0.0.1 d:10.0.0.20 p:udp sp:3327 dp:53 r:l a:n f:n T:0 e:n l:67 12. Aug 27 08:08:48 host1 : #:6 R:p i:10.0.0.1 s:10.0.0.20 d:10.0.0.1 p:udp sp:53 dp:3327 r:l a:n f:n T:0 e:n l:133 13. Aug 27 08:08:48 host1 : #:6 R:p i:10.0.0.1 s:10.0.0.15 d:10.0.0.1 p:tcp sp:4649 dp:23 r:l a:n f:n T:0 e:n l:43 14. Aug 27 08:08:48 host1 : #:6 R:p o:10.0.0.1 s:10.0.0.1 d:10.0.0.15 p:tcp sp:23 dp:4649 r:l a:n f:n T:0 e:n l:41 15. Aug 27 08:08:48 host1 : #:6 R:p i:10.0.0.1 s:10.0.0.15 d:10.0.0.1 p:tcp sp:4649 dp:23 r:l a:n f:n T:0 e:n l:40 16. Aug 27 08:08:51 host1 : #:4 R:p o:10.0.0.1 s:10.0.0.1 d:10.0.0.2 p:icmp t:8 c:0 r:l a:n f:n T:1 e:n l:84 17. Aug 27 08:08:51 host1 : #:5 R:p i:10.0.0.1 s:10.0.0.2 d:10.0.0.1 p:icmp t:0 c:0 r:l a:n f:n T:1 e:n l:84 18. Aug 27 08:08:52 host1 : #:4 R:p o:10.0.0.1 s:10.0.0.1 d:10.0.0.2 p:icmp t:8 c:0 r:l a:n f:n T:1 e:n l:84 19. Aug 27 08:08:52 host1 : #:5 R:p i:10.0.0.1 s:10.0.0.2 d:10.0.0.1 p:icmp t:0 c:0 r:l a:n f:n T:1 e:n l:84 20. Aug 27 08:32:27 host1 : Демон ведения протокола завершает работу в 08:32:27 08/27/97l
Ниже приведены пояснения к перечисленным записям протокола.
В следующем примере показано согласование между двумя хостами туннелей 1 и 2 уровней с точки зрения инициатора. (Уровень ведения протокола isakmpd задан в виде isakmp_events .)
1. Dec 6 14:34:42 host1 Администратор туннеля: 0: обработка Connection_request_msg 2. Dec 6 14:34:42 host1 Администратор туннеля: 1: Создание нового объекта туннеля P1 (tid) 3. Dec 6 14:34:42 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( SA PROPOSAL TRANSFORM ) 4. Dec 6 14:34:42 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 ( SA PROPOSAL TRANSFORM ) 5. Dec 6 14:34:42 host1 isakmpd: Согласование уровня I завершено 6. Dec 6 14:34:42 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( KE NONCE ) 7. Dec 6 14:34:42 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 ( KE NONCE ) 8. Dec 6 14:34:42 host1 isakmpd: Шифрование сообщение для отправки: ( ID HASH ) 9. Dec 6 14:34:42 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( Encrypted Payloads ) 10. Dec 6 14:34:42 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 ( Encrypted Payloads ) 11. Dec 6 14:34:42 host1 Администратор туннеля: 1: обработка P1_sa_created_msg (tid) 12. Dec 6 14:34:42 host1 Администратор туннеля: 1: получена правильная P1 SA, обновление туннеля P1 (tid) 13. Dec 6 14:34:42 host1 Администратор туннеля: 0: проверка ожидающих активации туннелей P2 14. Dec 6 14:34:42 host1 isakmpd: Расшифровано полученное сообщение msg: ( ID HASH ) 15. Dec 6 14:34:42 host1 isakmpd: Согласование уровня I завершено !!! 16. Dec 6 14:34:42 host1 isakmpd: Согласование уровня I идентифицировано 17. Dec 6 14:34:44 host1 Администратор туннеля: 0: обработка Connection_request_msg 18. Dec 6 14:34:44 host1 Администратор туннеля: 0: Получен объект соединения для активного туннеля P1 19. Dec 6 14:34:44 host1 Администратор туннеля: 1: Создан пустой туннель P2 (tid) 20. Dec 6 14:34:44 host1 Администратор туннеля: 0: проверка ожидающих активации туннелей P2 21. Dec 6 14:34:44 host1 Администратор туннеля: 1: Начало согласования P2 (P2 tid) 22. Dec 6 14:34:45 host1 isakmpd: Шифрование сообщения для отправки: ( HASH SA PROPOSAL TRANSFORM NONCE ID ID ) 23. Dec 6 14:34:45 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( Encrypted Payloads ) 24. Dec 6 14:34:45 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 ( Encrypted Payloads ) 25. Dec 6 14:34:45 host1 isakmpd: Расшифровано полученное сообщение: ( HASH SA PROPOSAL TRANSFORM NONCE ID ID ) 26. Dec 6 14:34:45 host1 isakmpd: Шифрование сообщения для отправки: ( HASH ) 27. Dec 6 14:34:45 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( Encrypted Payloads ) 28. Dec 6 14:34:45 host1 isakmpd: Согласована конфигурация защиты уровня II 29. Dec 6 14:34:45 host1 isakmpd: Согласование уровня II завершено. 30. Dec 6 14:34:45 host1 Администратор туннеля: 0: обработка P2_sa_created_msg 31. Dec 6 14:34:45 host1 Администратор туннеля: 1: получено сообщение p2_sa_created для существующего туннеля в качестве инициатора (tid) 32. Dec 6 14:34:45 host1 Администратор туннеля: 1: Filter::AddFilterRules: Созданы правила фильтрации для туннеля 33. Dec 6 14:34:45 host1 Администратор туннеля: 0: обработка List_tunnels_msg
Ниже приведены пояснения к перечисленным записям протокола.
В полях протокола записей в целях
экономии объема памяти DASD используются следующие сокращения: