我想找出哪个阶段 2 与 cisco ASA 设备上的特定阶段 1 相关联。
设备上有几个阶段 1 和阶段 2。使用以下命令,我可以看到活动的 SA:
show crypto isakamp sa details
show crypto ipsec sa details
但是每个阶段只有一个活动。配置本身并没有明确说明“此阶段 2 与此阶段 1 相关联”,例如 Fortinet 的 Fortigate 60D。
参考 cisco 网站上的此文档,我了解 VPN 隧道是在尝试每个阶段配置后建立的,直到找到匹配项。
有没有办法在 cisco ASA 设备上知道哪个阶段 2 与特定阶段 1 相关联?
另一个有用的 vpn show 命令是:
显示 vpn-sessiondb 详细信息 l2l
这应该给你你正在寻找的东西。此命令为协商的每个隧道提供了相当多的信息。这也可用于查看其他类型的 VPN。根据代码版本,语法可能略有不同。
一种方法是使用特定的对等 ip 显示它。
检查第一阶段隧道
ASA#show crypto isakmp sa detail | b [peer IP add]
检查第 2 阶段隧道
ASA#show crypto ipsec sa peer [peer IP add]
显示 PSK
ASA#more system:running-config | b tunnel-group [peer IP add]
显示正常运行时间等
ASA#sh vpn-sessiondb detail l2l | b [peer IP add]