Cisco ASR 9000 シリーズ ルータ システムのセキュ リティ デバッグ コマンド リファレンス
Cisco ASR 9000 シリーズ ルータ における Crypto Debug コマンド
Cisco ASR 9000 シリーズ ルータにおける Crypto Debug コマンド
発行日;2012/02/03 | 英語版ドキュメント(2009/11/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco ASR 9000 シリーズ ルータにおける Crypto Debug コマンド

debug crypto ace

debug crypto engine

debug crypto ipsec

debug crypto isakmp

debug crypto pki

Cisco ASR 9000 シリーズ ルータにおける Crypto Debug コマンド

このモジュールでは、Cisco ASR 9000 シリーズ ルータ crypto debug コマンドについて説明します。

一般的な debug コマンドの使用に関する高レベルな概念情報については、『 Using Debug Commands on Cisco ASR 9000 Series Routers』を参照してください。

debug crypto ace

IPSec SPA Crypto Engine Driver に関連する情報を表示するには、EXEC モードで debug crypto ace コマンドを使用します。デバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

debug crypto ace { all | error | ha | hapi | ike | ipsec | stats } [ location node-id ] [ job job-id | process pid ]

no debug crypto ace { all | error | ha | hapi | ike | ipsec | stats } [ location node-id ] [ job job-id | process pid ]

 
シンタックスの説明

all

Application Control Engine(ACE)ドライバですべてのデバッグ フラグをイネーブルにします。

error

Crypto Engine ドライバのエラーを表示します。

ha

ACE ドライバでデバッグの High Availability(HA; ハイ アベイラビリティ)をイネーブルにします。

hapi

デバッグ HAPI メッセージを表示します。

ike

ACE ドライバでの Internet Key Exchange(IKE; インターネット キー エクスチェンジ)のデバッグをイネーブルにします。

ipsec

ACE ドライバでの IP Security(IPSec; IP セキュリティ)のデバッグをイネーブルにします。

stats

IPSec 統計情報の収集をイネーブルにします。

location node-id

(任意)ノードのデバッグ情報を表示します。 node-id 引数が rack/slot/module 表記に入力されます。

job job-id

(任意)ジョブのデバッグ情報を表示します。

process pid

(任意)プロセスのデバッグ情報を表示します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドはCisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループとタスク ID の詳細については、 Cisco ASR 9000 Series Aggregation Services Routers System Security Configuration Guide 』の Configuring AAA Services on Cisco ASR 9000 Series Routers モジュールを参照してください タスク グループの割り当てがコマンドの使用の妨げになっていると思われる場合は、AAA の管理者に問い合わせてください。

デバッグ出力には CPU 処理においてハイ プライオリティが割り当てられているため、システムのパフォーマンスに影響を及ぼす可能性があります。debug コマンドを使用する場合のシステム パフォーマンスへの影響に関する詳細については、『 Using Debug Commands on Cisco ASR 9000 Series Routers』を参照してください。

タスク ID

タスク ID
演算

crypto

読み取り

debug crypto ace ipsec コマンドによる出力例を示します。

RP/0/RSP0/CPU0:router# debug crypto ace ipsec
 
RP/0/RSP0/CPU0:router#RP/0/4/CPU0:Jan 18 12:19:50.014 : ike[379]: Crypto tunnel is UP . Peer 5.0.1.1:500 f_vrf: default i_vrf: default Id: 83886337
LC/0/1/CPU0:Jan 18 12:19:49.930 : ace_driver_lc_1[268]: (ace_ipsec_grp_msg_hdlr): msg_type=1 mlen=556 sender=(type:1 nodeid:0x40)
LC/0/1/CPU0:Jan 18 12:19:49.931 : ace_driver_lc_1[268]: (ace_ipsec_handle_create_flows_cmd)
LC/0/1/CPU0:Jan 18 12:19:49.932 : ace_driver_lc_1[268]: (ace_ipsec_handle_create_flow_cmd): ifHandle=0x501b880, flow=504
LC/0/1/CPU0:Jan 18 12:19:49.933 : ace_driver_lc_1[268]: (ace_ipsec_handle_single_create_flow_cmd): ifHandle=0x501b880 flowId=504 vrf=0x60000000
LC/0/1/CPU0:Jan 18 12:19:49.934 : ace_driver_lc_1[268]: CREATE FLOW ifHandle=83998848, flowId=504
LC/0/1/CPU0:Jan 18 12:19:49.935 : ace_driver_lc_1[268]: instance:1, flags=0x1008 ipSrcAddr=0x4000101 ipDstAddr=0x5000101 aclName=acl1 lineNumber=10
LC/0/1/CPU0:Jan 18 12:19:49.936 : ace_driver_lc_1[268]: lifetime: kb=4194303 seconds=3600 soft_vol_kb=4193634 soft_sec=3551
LC/0/1/CPU0:Jan 18 12:19:49.937 : ace_driver_lc_1[268]: idleTimeout=0 localUdpPort=0 remoteUdpPort=0 origRemoteIpAddr=0x0
LC/0/1/CPU0:Jan 18 12:19:49.938 : ace_driver_lc_1[268]: fVrfId=60000000 iVrfId=60000000 mibIndex=0
LC/0/1/CPU0:Jan 18 12:19:49.939 : ace_driver_lc_1[268]: antiReplayWindowSize=64 dpdIdleIntervalSec=0
LC/0/1/CPU0:Jan 18 12:19:49.941 : ace_driver_lc_1[268]: transform[ESP]=esp-256-aes
LC/0/1/CPU0:Jan 18 12:19:49.941 : ace_driver_lc_1[268]: transform[AH]=
LC/0/1/CPU0:Jan 18 12:19:49.943 : ace_driver_lc_1[268]: In: seq=0 octHigh=0 octLow=0
LC/0/1/CPU0:Jan 18 12:19:49.944 : ace_driver_lc_1[268]: Out: seq=0 octHigh=0 octLow=0
LC/0/1/CPU0:Jan 18 12:19:49.945 : ace_driver_lc_1[268]: Inbound ESP SPI : 0x2d9bfc56 key_len=32
LC/0/1/CPU0:Jan 18 12:19:49.946 : ace_driver_lc_1[268]: Outbound ESP SPI : 0xd3bb8433 key_len=32
LC/0/1/CPU0:Jan 18 12:19:49.947 : ace_driver_lc_1[268]: (fill_ha_update_params): flags 0x1 windowTopSeqNum=0 octetsHigh=0 octetsLow=0
LC/0/1/CPU0:Jan 18 12:19:49.948 : ace_driver_lc_1[268]: (fill_ha_update_params): flags 0x0 windowTopSeqNum=0 octetsHigh=0 octetsLow=0
LC/0/1/CPU0:Jan 18 12:19:49.950 : ace_driver_lc_1[268]: (ace_ipsec_add_flow): ifHandle=0x501b880 , flow=504 instance=1
LC/0/1/CPU0:Jan 18 12:19:49.951 : ace_driver_lc_1[268]: (ace_add_ivrf_entry): ivrf_id=60000000
LC/0/1/CPU0:Jan 18 12:19:49.952 : ace_driver_lc_1[268]: (ace_update_ivrf_refcount): ivrfId=0x60000000 add=1 cur_ref_count=0
LC/0/1/CPU0:Jan 18 12:19:49.958 : ace_driver_lc_1[268]: (ace_ipsec_hapi_resp_cb)
LC/0/1/CPU0:Jan 18 12:19:49.959 : ace_driver_lc_1[268]: (ace_ipsec_handle_ikea_ack): IKEA COMB_SET_SA1 status=No error errcode=0x0
LC/0/1/CPU0:Jan 18 12:19:49.960 : ace_driver_lc_1[268]: (ace_ipsec_handle_end_of_chain): CREATE_FLOW: ifHandle=0x501b880. flags 0 sender: type=1 node0x40
LC/0/1/CPU0:Jan 18 12:19:49.961 : ace_driver_lc_1[268]: (ace_ipsec_hapi_resp_cb)
LC/0/1/CPU0:Jan 18 12:19:49.962 : ace_driver_lc_1[268]: (ace_ipsec_handle_ikea_ack): IKEA COMB_SET_SA1 status=No error errcode=0x0
LC/0/1/CPU0:Jan 18 12:19:49.963 : ace_driver_lc_1[268]: (ace_ipsec_handle_end_of_chain): CREATE_FLOW: ifHandle=0x501b880. flags 0 sender: type=1 node0x40
LC/0/1/CPU0:Jan 18 12:19:49.964 : ace_driver_lc_1[268]: (ace_ipsec_handle_end_of_bundle): CREATE_FLOW: ifHandle=0x501b880
 

debug crypto engine

crypto エンジンの暗号化および復号化機能に関する情報を表示するには、EXEC モードで debug crypto engine コマンドを使用します。デバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

debug crypto engine { all | dump | error | event | keyevent }

no debug crypto engine { all | dump | error | event | keyevent }

 
シンタックスの説明

all

すべての crypto エンジンのトランザクション情報を表示します。

dump

すべての crypto エンジン メッセージのダンプを 16 進形式で表示します。

error

crypto エンジンのトランザクション エラーを表示します。

event

crypto エンジンのトランザクション イベントを表示します。

keyevent

キーに関連付けられたイベントを表示します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドはCisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループとタスク ID の詳細については、 Cisco ASR 9000 Series Aggregation Services Routers System Security Configuration Guide 』の Configuring AAA Services on Cisco ASR 9000 Series Routers モジュールを参照してください タスク グループの割り当てがコマンドの使用の妨げになっていると思われる場合は、AAA の管理者に問い合わせてください。

debug crypto engine コマンドを使用すると、暗号化および復号化の処理がいつ行われるかなどの crypto エンジンに関する情報が表示されます。

デバッグ出力には CPU 処理においてハイ プライオリティが割り当てられているため、システムのパフォーマンスに影響を及ぼす可能性があります。debug コマンドを使用する場合のシステム パフォーマンスへの影響に関する詳細については、『 Using Debug Commands on Cisco ASR 9000 Series Routers』を参照してください。


) crypto エンジンは、暗号化および復号化を実行する実際のメカニズムです。crypto エンジンは、ソフトウェアの場合もあれば、ハードウェア アクセラレータの場合もあります。一部のプラットフォームには複数の crypto エンジンがあるため、ルータに複数のハードウェア アクセラレータがあります。


タスク ID

タスク ID
演算

crypto

読み取り

events キーワードを使用する debug crypto engine コマンドによる出力例を次に示します。

RP/0/RSP0/CPU0:router# debug crypto engine events
 
RP/0/RSP0/CPU0:Aug 28 00:28:44.303 MET2MET,M3.5.0/: ce_cmd[65679]: crypto_generate_dsa_keypair ...
RP/0/RSP0/CPU0:Aug 28 00:28:44.455 MET2MET,M3.5.0/: ce_cmd[65679]: crypto_convert_dsa_pubkey_in_der ...
RP/0/RSP0/CPU0:Aug 28 00:28:44.456 MET2MET,M3.5.0/: ce_cmd[65679]: crypto_set_key_req
RP/0/RSP0/CPU0:Aug 28 00:28:44.461 MET2MET,M3.5.0/: ce_cmd[65679]: crypto_set_key_req
 

debug crypto ipsec

IP セキュリティ(IPSec)イベントを表示するには、EXEC モードで debug crypto ipsec コマンドを使用します。デバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

debug crypto ipsec { sa-id { all | errors | events | stats | traffics }

no debug crypto ipsec { sa-id { all | errors | events | stats | traffics }

debug crypto ipsec { crypto-engine | detail | distribute | errors | events | packets | rri | spi | stats | traffics | tunnel-interface } [ location node-id ]}

no debug crypto ipsec { crypto-engine | detail | distribute | errors | events | packets | rri | spi | stats | traffics | tunnel-interface } [ location node-id ]}

 
シンタックスの説明

sa-id

特定の Service Affecting(SA)ID の情報を表示します。範囲は 1 ~ 500 です。

all

イベント、エラー、トラフィック、および分散のすべてのデバッグをイネーブルにします。

errors

crypto エンジンのトランザクション エラーを表示します。

events

crypto エンジンのトランザクション イベントを表示します。

stats

すべての IPSec 統計情報を表示します。

traffics

IPSec データ トラフィック情報を表示します。

crypto-engine

すべての crypto エンジンの IPSec イベントを表示します。

detail

すべての IPSec イベントの詳細を表示します。

distribute

(IPSec コントロール プロセス間の)IPSec セッション コントロール分散情報を表示します。

packets

IPSec パケット情報を表示します。

rri

すべての Reverse Route Injection(RRI; 逆ルート注入)IPSec イベントを表示します。

spi

すべての Security Parameter Index(SPI; セキュリティ パラメータ インデックス)イベントを表示します。

tunnel-interface

IPSec トンネル インターフェイス情報を表示します。

location node-id

(任意)指定されたノードの IPSec 情報を表示します。 node-id 引数が rack/slot/module 表記に入力されます。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドはCisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループとタスク ID の詳細については、 Cisco ASR 9000 Series Aggregation Services Routers System Security Configuration Guide 』の Configuring AAA Services on Cisco ASR 9000 Series Routers モジュールを参照してください タスク グループの割り当てがコマンドの使用の妨げになっていると思われる場合は、AAA の管理者に問い合わせてください。

デバッグ出力には CPU 処理においてハイ プライオリティが割り当てられているため、システムのパフォーマンスに影響を及ぼす可能性があります。debug コマンドを使用する場合のシステム パフォーマンスへの影響に関する詳細については、『 Using Debug Commands on Cisco ASR 9000 Series Routers』を参照してください。

タスク ID

タスク ID
演算

crypto

読み取り

errors キーワードを使用する debug crypto ipsec コマンドによる出力例を次に示します。

RP/0/RSP0/CPU0:router# debug crypto ipsec errors
 
RP/0/RP1/CPU0:Apr 26 21:47:37.286 PST8PST: ipsec_pp[207]: Rcvd: Pulse Msg: 0
RP/0/RP1/CPU0:Apr 26 21:47:37.286 PST8PST: ipsec_pp[207]: Rcvd: Packet from ICF pak_handle = eace99f7, flow_id = 2
RP/0/RP1/CPU0:Apr 26 21:47:37.286 PST8PST: ipsec_pp[207]: Failed to proc pak from ICF - Flow 2
RP/0/RP1/CPU0:Apr 26 21:48:01.286 PST8PST: ipsec_pp[207]: Rcvd: Pulse Msg: 0
RP/0/RP1/CPU0:Apr 26 21:48:01.287 PST8PST: ipsec_pp[207]: Rcvd: Packet from ICF pak_handle = eacfe677, flow_id = 2
RP/0/RP1/CPU0:Apr 26 21:48:01.288 PST8PST: ipsec_pp[207]: Failed to proc pak from ICF - Flow 2
RP/0/RP1/CPU0:Apr 26 21:48:54.333 PST8PST: ipsec_pp[207]: Rcvd: Pulse Msg: 0
 

debug crypto isakmp

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)イベントに関するメッセージを表示するには、EXEC モードで debug crypto isakmp コマンドを使用します。デバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

debug crypto isakmp [ error | terse ]

no debug crypto isakmp [ error | terse ]

 
シンタックスの説明

error

IKE コードで発生した障害またはエラーを表示します。

terse

プロトコルのメッセージ交換に基づいて、障害以外の発生を表示します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドはCisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループとタスク ID の詳細については、 Cisco ASR 9000 Series Aggregation Services Routers System Security Configuration Guide 』の Configuring AAA Services on Cisco ASR 9000 Series Routers モジュールを参照してください タスク グループの割り当てがコマンドの使用の妨げになっていると思われる場合は、AAA の管理者に問い合わせてください。

デバッグ出力には CPU 処理においてハイ プライオリティが割り当てられているため、システムのパフォーマンスに影響を及ぼす可能性があります。debug コマンドを使用する場合のシステム パフォーマンスへの影響に関する詳細については、『 Using Debug Commands on Cisco ASR 9000 Series Routers』を参照してください。

タスク ID

タスク ID
演算

crypto

読み取り

debug crypto isakmp コマンドによる出力例を次に示します。

RP/0/RSP0/CPU0:router# debug crypto isakmp
 
RP/0/RSP0/CPU0:Aug 3 20:08:30.149 : rsvp[117]: Forwarding PATH message on GigabitEthernet0/3/0/0 from 51.51.51.51 to 70.70.70.70 (length=212 bytes, TTL=254, TOS=0xff, flags=0x1 ,RA)

debug crypto pki

Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)クライアント イベントに関するメッセージを表示するには、EXEC モードで debug crypto pki コマンドを使用します。デバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

debug crypto pki { errors | messages | transactions }

no debug crypto pki { errors | messages | transactions }

 
シンタックスの説明

errors

PKI エラー メッセージを表示します。

messages

PKI 入力および出力のメッセージを表示します。

transactions

PKI トランザクションを表示します。

 
デフォルト

デフォルトの動作または値はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

リリース 3.7.2

このコマンドはCisco ASR 9000 シリーズ ルータに追加されました。

 
使用上のガイドライン

このコマンドを使用するには、適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。ユーザ グループとタスク ID の詳細については、 Cisco ASR 9000 Series Aggregation Services Routers System Security Configuration Guide 』の Configuring AAA Services on Cisco ASR 9000 Series Routers モジュールを参照してください タスク グループの割り当てがコマンドの使用の妨げになっていると思われる場合は、AAA の管理者に問い合わせてください。

デバッグ出力には CPU 処理においてハイ プライオリティが割り当てられているため、システムのパフォーマンスに影響を及ぼす可能性があります。debug コマンドを使用する場合のシステム パフォーマンスへの影響に関する詳細については、『 Using Debug Commands on Cisco ASR 9000 Series Routers』を参照してください。

タスク ID

タスク ID
演算

crypto

読み取り

debug crypto pki コマンドの使用例を次に示します。

RP/0/RSP0/CPU0:router# debug crypto pki