Beim Durchgehen eines JSEC-Buches habe ich festgestellt, dass auf der folgenden Folie erklärt wird, dass 6 ähnliche Phase-1-Nachrichten für die Einrichtung eines Tunnels vorhanden sind.
Ich schaue in das kmdProtokoll und die traceoptionsDaten, sehe jedoch keine Informationen zu den in diesen Protokollen abgebildeten IKE-Nachrichten. Vielleicht sehe ich es falsch? Wenn mein SRX an einer dieser Nachrichten auflegt, wo würde ich nachsehen, um das festzustellen?
Antworten:
Juniper KB erklärt, wie Informationen im Kmd-Protokoll gefunden / interpretiert werden: Wie finde ich den VPN-Eintrag im Kmd-Protokoll auf einem Gerät der J-Serie oder SRX-Serie?
Für Releases vor 12 sind die folgenden kmd-Protokollprobleme unten auch für die High-End-Firewalls relevant. [SRX High End] Anforderungssicherheit ike debug-enable druckt keine nützliche kmd-Debug-Ausgabe
Es ist ziemlich wichtig, welche SRX und welche Softwareversion Sie wirklich verwenden.
Nur als Referenz verwende ich diese Methode, um einen einzelnen VPN-Tunnel zu beheben, ohne tatsächlich Änderungen / Festschreibungen vornehmen zu müssen
user @ srx> Sicherheit anfordern ike Debug-Enable Local Remote Level
user @ srx> zeige log / var / log / kmd
user @ srx> Sicherheit anfordern ike debug-disable
Hier ausführlich erläutert: KB [SRX] Wie kann ich IKE-Traceoptionen nur für bestimmte Sicherheitszuordnungen aktivieren?