古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 

FITELnet技術情報

VPNログの解析について
2006年02月14日 初版
2010年03月29日 対応機器を追加
2010年07月05日 対応機器を追加
2014年12月01日 対応機器を追加
コマンド形式
show vpnlog [ 表示するvpnlog数 | reverse ]

説明
VPN に関するログを表示します。 最大ログ件数は下記表を参照ください。
対象機種 最大ログ件数
FITELnet F60 4096件
FITELnet-F80 512件
FITELnet-F100 512件
FITELnet-F140 512件
FITELnet F200 4096件
FITELnet-F1000 1024件
FITELnet F2000 4096件
FITELnet F2200 10000件

ログが最大数を超えた時は最も古いログから上書きされます。
「表示するvpnlog数」を指定することで新しいログを指定した数だけ表示することができます。
「reverse」を指定することで新しいログから順に表示することができます。


実行例

Router#show vpnlog

000 0000:00:00.00 2003/05/26 (mon) 19:13:36   0 00000000 00000000
    #BOOT[V01.00-042503] SIDE-A.frm SIDE-A.cfg
001 0000:00:00.61 2003/05/26 (mon) 19:13:37  16 10000002 00000000
    vpn enabled.
002 0000:00:10.05 2003/05/26 (mon) 19:13:47  16 10000321 00000000
    IKE SA 1.1.3.1
003 0000:00:11.03 2003/05/26 (mon) 19:13:48  16 10000221 00000000
    IPSEC SA 1.1.3.1 1459fa98 6e89e2ef
004 0000:08:42.08 2003/05/26 (mon) 19:22:18  16 10000221 00000000
    IPSEC SA 1.1.3.1 db6dccfc 2b4c1a70
005 0000:10:11.18 2003/05/26 (mon) 19:23:47  16 10000222 00000000
    1459fa98          3KB,6e89e2ef          2KB
006 0000:17:12.94 2003/05/26 (mon) 19:30:48  16 10000321 00000000
    IKE SA 1.1.3.1
007 0000:17:13.84 2003/05/26 (mon) 19:30:49  16 10000221 00000000
    IPSEC SA 1.1.3.1 2d9a2002 31ad55dd
008 0000:18:42.32 2003/05/26 (mon) 19:32:18  16 10000222 00000000
    db6dccfc          0KB,2b4c1a70          0KB

Phase1 SA の確立に成功した場合

initiator 側
367 0001:43:07.07 2003/10/23 (thu) 10:58:59  16 10000321 00000000
    IKE SA 200.200.200.1

responder 側
365 0001:43:02.11 2003/10/23 (thu) 11:03:27  16 10000321 00000000
    IKE SA 200.200.200.2

Phase1 SA の確立に失敗した場合


1.相手からの応答がない場合

initiator 側
002 0000:01:22.74 2003/08/25 (mon) 12:54:35  16 10000306 00000000
    Fail ike negotiation IP 10.250.1.31 8197
003 0000:01:22.75 2003/08/25 (mon) 12:54:35  16 10000205 00000000
    Fail ike connect IP 10.250.1.31 8197

* Fail ike negotiation IP   :phase 1のmain modeの場合
* Fail ike negotiation AG :phase 1のaggressive modeの場合
* Fail ike negotiation QM:phase 2のquick modeの場合

2.responder 側に該当するピアアドレスの設定がない場合

initiator 側
135 0000:27:24.64 2003/10/22 (wed) 21:57:34  16 10000306 00000000
    Fail ike negotiation IP 200.200.200.1 24
136 0000:27:24.64 2003/10/22 (wed) 21:57:34  16 10000205 00000000
    Fail ike connect IP 200.200.200.1 24

responder 側
168 0000:27:03.69 2003/10/22 (wed) 22:03:40  16 10000301 00000000
    Fail invalid peer IP 200.200.200.2
169 0000:27:03.69 2003/10/22 (wed) 22:03:40  16 10000306 00000000
    Fail ike negotiation IP 200.200.200.2 24


3.pre-shared key が一致していない場合

initiator 側
054 0000:09:11.29 2003/10/22 (wed) 21:39:20  16 10000306 00000000
    Fail ike negotiation IP 200.200.200.1 1
055 0000:09:11.29 2003/10/22 (wed) 21:39:20  16 10000205 00000000
    Fail ike connect IP 200.200.200.1 1

responder 側
089 0000:07:12.15 2003/10/22 (wed) 21:43:48  16 10000306 00000000
    Fail ike negotiation IP 200.200.200.2 1

Phase2 SA の確立に成功した場合

initiator 側
488 0001:55:07.87 2003/10/23 (thu) 11:10:59  16 10000221 00000000
    IPSEC SA 200.200.200.1 07debed2 f7bdd420

responder 側
486 0001:55:02.92 2003/10/23 (thu) 11:15:27  16 10000221 00000000
    IPSEC SA 200.200.200.2 f7bdd420 07debed2

Phase2 SA の確立に失敗した場合


4. 暗号アルゴリズムが一致していない場合

initiator 側(des)
333 0001:39:26.70 2003/10/23 (thu) 10:55:19  16 10000306 00000000
    Fail ike negotiation QM 200.200.200.1 14
334 0001:39:26.70 2003/10/23 (thu) 10:55:19  16 10000206 00000000
    Fail ipsec connect 200.200.200.1 14

responder 側(3des)
345 0001:41:10.98 2003/10/23 (thu) 11:01:36  16 10000305 00000000
    Fail no proposal chosen QM 200.200.200.2
346 0001:41:10.98 2003/10/23 (thu) 11:01:36  16 10000306 00000000
    Fail ike negotiation QM 200.200.200.2 14

5.ipsec access-list が一致していない場合

initiator 側の ipsec access-list
ipsec access-list 1 ipsec ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

responder 側の ipsec access-list
ipsec access-list 1 ipsec ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

initiator 側
264 0002:56:23.57 2003/10/22 (wed) 20:26:57  16 10000306 00000000
    Fail ike negotiation QM 200.200.200.1 14
265 0002:56:23.57 2003/10/22 (wed) 20:26:57  16 10000206 00000000
    Fail ipsec connect 200.200.200.1 14

responder 側
182 0011:05:47.83 2003/10/22 (wed) 20:29:14  16 1000020f 00000000
    peer ID :ipv4(any:0,[0..4]=200.200.200.2)
183 0011:05:47.83 2003/10/22 (wed) 20:29:14  16 1000020f 00000000
    local ID :ipv4_subnet(any:0,[0..8]=192.168.1.0/24)
184 0011:05:47.83 2003/10/22 (wed) 20:29:14  16 1000020f 00000000
    remote ID :ipv4_subnet(any:0,[0..8]=192.168.2.0/24)
185 0011:05:47.83 2003/10/22 (wed) 20:29:14  16 10000304 00000000
    Fail invalid selector QM 200.200.200.2
186 0011:05:47.83 2003/10/22 (wed) 20:29:14  16 10000306 00000000
    Fail ike negotiation QM 200.200.200.2 14


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007