启用 IPsec 及其密钥管理服务之前,可以使用有助于故障排除的日志和工具设置系统。
–L 选项提供了完整的日志路径。这些日志包含信息消息以及错误消息。
% svcs -L policy /var/svc/log/network-ipsec-policy:default.log % svcs -L ikev2 /var/svc/log/network-ipsec-ike:ikev2.log
root 角色可以读取这些日志。
% svccfg -s ikev2 listprop | grep debug config/debug_level astring op config/debug_logfile astring /var/log/ikev2/in.ikev2d.log
ikeadm(1M) 手册页中介绍了调试级别。值 verbose 和 all 在故障排除时非常有用。
以下命令可以永久设置调试级别。要临时设置调试级别,请参见Example 11–3。
# svccfg -s ikev2 setprop config/debug_level = all
如果已启用 ikev2 服务,必须刷新此服务以使用新的调试级别。
# svcadm refresh ikev2
Wireshark 应用程序可以读取 snoop 输出。
% pkg info -r wireshark Name: diagnostic/wireshark Summary: Graphical network protocol analyzer Category: Applications/Internet State: Not installed Publisher: solaris ... FMRI: pkg://solaris/diagnostic/wireshark@version # pkg install diagnostic/wireshark