Перейти к содержанию

Наблюдение за состоянием IPSec VPN в межфилиальном режиме#

В данном разделе приведены следующие примеры:

Примечание

Вывод, приведенный для данных примеров, может не соответствовать тестовой конфигурации.

Вывод сведений IKE#

Для просмотра IKE SA, используется команда show vpn ike sa, как показано в примере ниже.

Пример – Вывод защищенных соединений IKE SA#
1
2
3
4
5
admin@V1:~$ show vpn ike sa

Source           Destination         Cookies                       ST S V E  Created        Phase2

198.51.100.1:500 203.0.113.1:500 fca8e0d08086a0c9:9ddaf66104ebcf36 9 I 10 M 2020-06-02 11:59:34 1

Вывод сведений IPSec#

Для просмотра защищенных соединений IPSec SA, используется команда show vpn ipsec sa

Пример – Вывод защищенных соединений IPSec SA#
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
admin@V1:~$ show vpn ipsec sa
198.51.100.1 203.0.113.1 
        esp mode=transport spi=79162189(0x04b7eb4d) reqid=0(0x00000000)
        E: gost-cbc  7878dfd1 56a113fe 89d99c79 fbb6f13c 9cf780d7 1868843c b408d44f 85002838
        A: hmac-gosthash-2012-256  78473f55 101a0cf2 15f5e07f 2457a5e4 2066ddd6 5a1b040f 737cd18b e065fc5c
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: Jun  2 11:59:35 2020   current: Jun  2 12:17:34 2020
        diff: 1079(s)   hard: 3600(s)   soft: 2880(s)
        last: Jun  2 11:59:36 2020      hard: 0(s)      soft: 0(s)
        current: 512(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 8    hard: 0 soft: 0
        sadb_seq=1 pid=14961 refcnt=0
203.0.113.1 198.51.100.1 
        esp mode=transport spi=33049694(0x01f84c5e) reqid=0(0x00000000)
        E: gost-cbc  1c893e2f f1741515 c3993dbe 3797574f 23762850 182f752c 51c51d4b ee269041
        A: hmac-gosthash-2012-256  1585c72e 292f5a2f 5184f88e 6ec19621 dc95fdb1 c7ec9f8a 79f8be70 e88104e3
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: Jun  2 11:59:35 2020   current: Jun  2 12:17:34 2020
        diff: 1079(s)   hard: 3600(s)   soft: 2880(s)
        last: Jun  2 11:59:36 2020      hard: 0(s)      soft: 0(s)
        current: 512(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 8    hard: 0 soft: 0
        sadb_seq=0 pid=14961 refcnt=0

Для отображения состояния процесса IPSec, используется команда show vpn ipsec status, как показано в примере ниже.

Пример – Вывод сведений о состоянии IPSec#
1
2
admin@V1:~$ show vpn ipsec status
IPsec работает, активных туннелей: 2

Отправка сообщений IPSec VPN в системный журнал#

Процесс IPSec генерирует сообщения системного журнала во время исполнения. Следует учитывать, что в текущей реализации в системный журнал записываются только сообщения с уровнем серьезности notice и выше.

Настройка режима регистрации является необязательной. По умолчанию в системный журнал записываются сообщения о запуске и останове IPSec. Режимы регистрации позволяют указать системе проверять пакеты IPSec и регистрировать результат. Следует учесть, что использование некоторых режимов регистрации может существенно снизить производительность системы.

Для сообщений журнала VPN IPSec используются стандартные уровни серьезности сообщений. Numa Edge поддерживает следующие режимы регистрации для IPSec VPN.

Таблица – Уровни серьезности сообщений IPSec VPN

Серьезность Смысл
emerg Критическая ситуация. Произошел общий сбой системы или другой серьезный сбой, такой что система непригодна для использования.
alert Уведомление. Необходимо немедленное вмешательство для предотвращения перехода системы в непригодное для использования состояние — например, произошел сбой сети или имел место несанкционированный доступ к базе данных.
crit Важнейший. Возникло условие максимальной важности, такое как исчерпание ресурсов, — например, в системе отсутствует свободная память, лимиты загрузки ЦП превзойдены или произошёл аппаратный сбой.
err Ошибка. Возникло условие ошибки, например, произошел сбой системного вызова. Однако система все еще функционирует.
warning Предупреждение. Произошло событие, которое в принципе может вызвать ошибку, например, передаваемые в функцию недопустимые параметры. За этой ситуацией следует наблюдать.
notice Замечание. Произошло обычное, но важное событие, такое как непредвиденное событие. Это не ошибка, но оно в принципе может потребовать внимания.
info Информационное. По мере появления сообщается об обычных событиях, которые могут представлять интерес.
debug Уровень отладки. Предоставляются сведения уровня отслеживания.
all Все. Предоставляются сведения обо всех уровнях.

ВНИМАНИЕ

Есть риск ухудшения качества обслуживания. Уровень серьезности debug требователен к ресурсам. Установка уровня регистрации на debug может вызвать ухудшение функционирования системы.

Фильтрация трафика IPSec#

При применении правил межсетевого экрана для фильтрации трафика IPSec к интерфейсам, необходимо учитывать порядок прохождения пакетов.

Для того чтобы разрешить прохождение трафика IPSec через межсетевой экран, необходимо добавить следующие разрешающие правила на внешнем интерфейсе (подключенному ко внешнему сегменту сети):

  • порт источника/назначения UDP с номером 500;
  • протокол ESP (номер протокола 50);
  • протокол AH (номер протокола 51).

Пакет ESP, отправленный удаленным шлюзом IPSec, принимается на внешнем интерфейсе. В том случае если прохождение этого пакета разрешено, он обрабатывается и расшифровывается. Расшифрованный пакет (имеет адрес отправителя из удаленной сети) попадает на внешний интерфейс и затем обрабатывается в соответствии с правилами межсетевого экрана. Таким образом, необходимо добавить разрешающее правило для прохождения пакетов из заданной подсети на внешнем интерфейсе.

Альтернативным вариантом может являться организация дополнительного слоя туннелирования, например, создание туннеля GRE, в который будет заворачиваться трафик IPSec. В этом случае требуется создать разрешающие правила межсетевого экрана, для прохождения трафика туннеля.