Comandos utiles para gestion de VPN IPSec
Firewall Huawei Eudemon1000E-N
Mostrar estado de los tuneles VPN IPSec
configurados
display ike sa
Listar los peers de VPN IPSec
configurados
display ike peer brief
Mostrar informacion especifica de un peer IKE
, ejemplo peer14
display ike peer name peer14
Mostrar las policas de phase2
configuradas para cada peer IKE
En este comando tambien tenemos la ACL
asociada a cada politica
display ipsec policy brief
Mostrar informacion de una politica de phase2
en especifico
display ipsec policy name pol4
Mostrar los contadores de la ACL
de una VPN IPsec
Para mostrar los contadores primero debemos identificar a que vsys
esta asociada la VPN
Para eso debemos identificar el nombre del peer que estamos buscando con el comando:
display ike peer brief
Una vez identificado tenemos que mostrar la configuracion de dicho peer y buscar el campo VPN instance bound to the SA
display ike peer name peer1
Luego debemos de identificar la ACL
configurada para dicho peer (el nombre de la ACL
normalmente es un numero mayor a 3000)
display ipsec policy brief
Luego accedemos a vsys
en cuestion
system-view
switch vsys vsys_name
Finalmente dentro de la vsys
ejecutamos
display acl 3001
Mostrar las estadisticas de un tunel VPN
El siguiente comando nos muestra informacion detallada del tunnel
asociado a un remote peer
y ademas tambien muestra las estadisticas de trafico
dis ipsec sa remote 2.2.2.2
ipsec sa information:
===============================
Interface: Tunnel1
===============================
-----------------------------
IPSec policy name: "pol1"
Sequence number : 1
Acl group : 3001
Acl rule : 1
Mode : ISAKMP
-----------------------------
Connection ID : 100730486
Encapsulation mode: Tunnel
Tunnel local : 1.1.1.1
Tunnel remote : 2.2.2.2
Flow source : 192.168.1.0/255.255.255.240 0/0
Flow destination : 192.168.2.0/255.255.255.0 0/0
Flow vpn : vsys_vsysname
[Outbound ESP SAs]
SPI: 2881076090 (0xabb9bb7a)
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 4608000/3518
Max sent sequence-number: 1
UDP encapsulation used for NAT traversal: N
SA encrypted packets (number/bytes): 0/0
[Inbound ESP SAs]
SPI: 259043964 (0xf70b27c)
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 4608000/3518
Max received sequence-number: 1
UDP encapsulation used for NAT traversal: N
SA decrypted packets (number/bytes): 0/0
Anti-replay : Enable
Anti-replay window size: 1024
Awesome post! Keep up the great work! 🙂
Great content! Super high-quality! Keep it up! 🙂