Comandos utiles para gestion de VPN IPSec Firewall Huawei Eudemon1000E-N

vacosta Networking

Comandos utiles para gestion de VPN IPSec Firewall Huawei Eudemon1000E-N

Mostrar estado de los tuneles VPN IPSec configurados

display ike sa

Listar los peers de VPN IPSec configurados

display ike peer brief

Mostrar informacion especifica de un peer IKE, ejemplo peer14

display ike peer name peer14

Mostrar las policas de phase2 configuradas para cada peer IKE

En este comando tambien tenemos la ACL asociada a cada politica

display ipsec policy brief

Mostrar informacion de una politica de phase2 en especifico

display ipsec policy name pol4

Mostrar los contadores de la ACL de una VPN IPsec

Para mostrar los contadores primero debemos identificar a que vsys esta asociada la VPN

Para eso debemos identificar el nombre del peer que estamos buscando con el comando:

display ike peer brief

Una vez identificado tenemos que mostrar la configuracion de dicho peer y buscar el campo VPN instance bound to the SA

display ike peer name peer1

Luego debemos de identificar la ACL configurada para dicho peer (el nombre de la ACL normalmente es un numero mayor a 3000)

display ipsec policy brief

Luego accedemos a vsys en cuestion

system-view
switch vsys vsys_name

Finalmente dentro de la vsys ejecutamos

display acl 3001

Mostrar las estadisticas de un tunel VPN

El siguiente comando nos muestra informacion detallada del tunnel asociado a un remote peer y ademas tambien muestra las estadisticas de trafico

dis ipsec sa remote 2.2.2.2

ipsec sa information:

===============================
Interface: Tunnel1
===============================

  -----------------------------
  IPSec policy name: "pol1"
  Sequence number  : 1
  Acl group        : 3001
  Acl rule         : 1
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 100730486
    Encapsulation mode: Tunnel
    Tunnel local      : 1.1.1.1
    Tunnel remote     : 2.2.2.2
    Flow source       : 192.168.1.0/255.255.255.240 0/0
    Flow destination  : 192.168.2.0/255.255.255.0 0/0
    Flow vpn          : vsys_vsysname

    [Outbound ESP SAs]
      SPI: 2881076090 (0xabb9bb7a)
      Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256-128
      SA remaining key duration (kilobytes/sec): 4608000/3518
      Max sent sequence-number: 1
      UDP encapsulation used for NAT traversal: N
      SA encrypted packets (number/bytes): 0/0

    [Inbound ESP SAs]
      SPI: 259043964 (0xf70b27c)
      Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256-128
      SA remaining key duration (kilobytes/sec): 4608000/3518
      Max received sequence-number: 1
      UDP encapsulation used for NAT traversal: N
      SA decrypted packets (number/bytes): 0/0
      Anti-replay : Enable
      Anti-replay window size: 1024

Deja un comentario