在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何准备 IPsec 和 IKE 系统以便开展故障排除

启用 IPsec 及其密钥管理服务之前,可以使用有助于故障排除的日志和工具设置系统。

  1. 找到 IPsec 和 IKEv2 服务的日志。

    –L 选项提供了完整的日志路径。这些日志包含信息消息以及错误消息。

    % svcs -L policy
    /var/svc/log/network-ipsec-policy:default.log
    
    % svcs -L ikev2
    /var/svc/log/network-ipsec-ike:ikev2.log
  2. 针对 IKEv2 配置调试日志文件。

    root 角色可以读取这些日志。

    % svccfg -s ikev2 listprop | grep debug
    config/debug_level             astring     op
    config/debug_logfile           astring     /var/log/ikev2/in.ikev2d.log

    ikeadm(1M) 手册页中介绍了调试级别。值 verboseall 在故障排除时非常有用。

  3. (u53ef选) 配置调试级别。

    以下命令可以永久设置调试级别。要临时设置调试级别,请参见Example 11–3

    # svccfg -s ikev2 setprop config/debug_level = all

    如果已启用 ikev2 服务,必须刷新此服务以使用新的调试级别。

    # svcadm refresh ikev2
  4. (u53ef选) 安装 wireshark 软件包。

    Wireshark 应用程序可以读取 snoop 输出。

    % pkg info -r wireshark
              Name: diagnostic/wireshark
           Summary: Graphical network protocol analyzer
          Category: Applications/Internet
             State: Not installed
         Publisher: solaris
    ...
              FMRI: pkg://solaris/diagnostic/wireshark@version
    # pkg install diagnostic/wireshark