【网络故障】网络故障—06-其他业务故障排除.docx

目 录第1章 IPSec和IKE故障排除1-11.1 IPSec和IKE故障排除综述1-11.1.1 IPSec和IKE知识简介1-11.1.2 IPSec和IKE配置的一般步骤1-21.1.3 手工方式下IPSec功能和性能的常见问题1-31.1.4 协商方式下IPSec和IKE功能和性能的常见问题1-51.1.5 IPSec和IKE配置过程的注意事项1-61.2 与IPSec和IKE故障相关的show、debug命令介绍1-111.2.1 show access-list1-111.2.2 show crypto ike policy1-121.2.3 show crypto ipsec sa1-131.2.4 show crypto ipsec sa lifetime1-151.2.5 show crypto ipsec statistics1-151.2.6 show crypto ipsec transform1-161.2.7 show crypto map1-171.2.8 debug ike1-181.2.9 debug ipsec1-191.3 IPSec和IKE故障案例分析1-201.3.1 两端的SPI不匹配导致SA协商失败1-201.3.2 密钥不匹配造成无法通信1-211.3.3 两端ACL不匹配导致阶段2协商失败1-231.3.4 两端pre-shared不一致导致阶段1的SA协商失败1-251.3.5 应用接口错误导致阶段2协商失败1-271.3.6 ACL配置重叠导致通讯失败1-30第2章 包过滤防火墙故障排除2-12.1 包过滤防火墙故障排除综述2-12.1.1 包过滤防火墙知识简介2-12.1.2 包过滤防火墙功能和性能的常见问题2-42.1.3 包过滤防火墙故障排除的一般步骤2-42.2 与包过滤防火墙故障相关的show、debug命令介绍2-52.2.1 show access-list2-52.2.2 show firewall2-62.2.3 debug filter2-72.3 包过滤防火墙故障案例分析2-82.3.1 访问控制策略错误导致防火墙失效2-82.3.2 忽略了其他信息使得防火墙不通2-11第3章 L2TP故障排除3-13.1 L2TP故障排除综述3-13.1.1 L2TP知识简介3-13.1.2 L2TP功能和性能的常见问题3-33.1.3 L2TP故障排除的一般步骤3-63.2 与L2TP故障相关的show、debug命令介绍3-73.2.1 show l2tp session3-73.2.2 show l2tp tunnel3-83.2.3 debug l2tp3-83.3 L2TP故障案例分析3-173.3.1 路由器LAC和LNS之间不能建立隧道3-173.3.2 路由器LAC和LNS之间能正常建立隧道但不能创建会话（1）3-193.3.3 路由器LAC和LNS之间能正常建立隧道但不能创建会话（2）3-213.3.4 接入服务器与路由器LNS之间不能互通3-23第4章 GRE故障排除4-14.1 GRE故障排除综述4-14.1.1 GRE知识简介4-14.1.2 GRE功能和性能的常见问题4-24.1.3 GRE故障排除的一般步骤4-24.2 与GRE故障相关的show、debug命令介绍4-34.2.1 show interfaces tunnel4-34.3 GRE故障案例分析4-44.3.1 GRE隧道两端的PC之间不能互相ping通4-4第5章 QoS故障排除5-15.1 QoS故障排除综述5-15.1.1 QoS配置的常见问题5-15.1.2 其他相关问题5-55.1.3 QoS故障排除的一般步骤：5-55.2 与QoS故障相关的show、debug命令介绍5-65.2.1 show access-lists rate-limit5-65.2.2 show qos-interface rate-limit5-75.2.3 show qos-interface traffic-shape5-85.2.4 show qos-interface line-rate5-95.2.5 show qos-interface priority-queue5-105.2.6 show queueing priority5-115.2.7 show qos-interface custom-queue5-115.2.8 show queueing custom5-125.2.9 show qos-interface fair-queue5-135.2.10 show qos-interface random-detect5-145.2.11 show interface5-155.2.12 show access-list5-16第6章 DDR、ISDN故障排除6-16.2 DDR、ISDN故障排除综述6-16.2.1 DDR、ISDN知识简介6-16.2.2 DDR功能和性能的常见问题6-26.2.3 DDR故障排除的一般步骤6-76.3 与DDR故障相关的show、debug命令介绍6-86.3.1 show dialer interface6-86.3.2 show dialer map6-96.3.3 show isdn active6-106.3.4 show isdn status6-106.3.5 debug dialer6-116.3.6 debug modem6-126.4 DDR故障案例分析6-136.4.1 Dialer接口借用Ethernet0口地址时ping不通6-136.4.2 远程拨号Modem配置引起无法登录6-156.4.3 与Cisco路由器无法互通6-156.4.4 与NT Workstation无法互通6-166.4.5 路由器ISDN拨号不成功6-166.4.6 路由器不能正常提供接入服务器功能6-186.4.7 AUX接口数据配置错误导致超级终端显示乱码6-186.4.8 拨号用户可以访问Internet而无法访问局域网内的服务器6-196.5 Modem AT命令集6-16.5.1 AT 标准指令6-16.5.2 AT 扩充指令6-3第7章 语音故障排除6-17.2 语音故障排除综述6-17.2.1 语音知识简介6-17.2.2 语音功能和性能的常见问题6-37.3 与VoIP故障相关的show、debug命令介绍6-147.3.1 show aaa unsent-h323-call-record6-157.3.2 show call-history6-167.3.3 show call-history voice-port6-187.3.4 show gateway6-197.3.5 show gw-h323 statistics aaa6-207.3.6 show gw-voip-aaa local-user6-207.3.7 show ip rtp header-compression6-217.3.8 show ip tcp header-compression6-227.3.9 show r2 call-statistics6-227.3.10 show rcv ccb6-237.3.11 show rcv statistic6-257.3.12 show running-config h3236-277.3.13 show vcc6-287.3.14 show voice-port6-317.3.15 show voip6-327.3.16 show voip data-statistic6-337.3.17 show vpp6-357.3.18 debug ip rtp header-compression6-367.3.19 debug ip tcp header-compression6-367.3.20 debug ipfax6-377.3.21 debug ipp6-387.3.22 debug r26-437.3.23 debug ras6-497.3.24 debug rcv6-497.3.25 debug vcc6-507.3.26 debug voice-data6-597.3.27 debug vpm6-607.3.28 debug vpp6-707.4 语音故障案例分析6-1第1章 IPSec和IKE故障排除1.1 IPSec和IKE故障排除综述1.1.1 IPSec和IKE知识简介1. IPSec简介IPSec就是IP安全，也就是安全的IP。IPsec在网络层起作用，为上层协议提供安全服务。IPSec提供的安全服务包括：l 完整性：确保接收到的数据在传送过程中没有被中间人窜改过。l 真实性：确保接收到的数据是由所声称的发送方发送的，防止地址欺骗。l 机密性：发送方在发送前将数据进行加密，确保数据的私有性。l 反重放：IPsec报文的接收方可以检测到并拒绝重放的报文。IPSec安全协议包括：AH和ESP。l AH协议提供了完整性、真实性、以及放重放服务，没有提供机密性服务。但是AH协议的完整性和真实性服务比ESP协议的保护范围更大。l ESP协议提供了完整性、真实性、机密性以及防重放服务。IPSec使用的主要算法目前有：l 验证算法：MD5、SHA1，用于提供完整性和真实性。l 加密算法：DES、3DES，用于提供机密性。2. IKE简介与IPSec密不可分的一个协议是IKE，它用于IPSec安全联盟及密钥的自动化管理，定时为IPSec协商密钥、创建、删除安全联盟等。IKE使用两个阶段的ISAKMP：l 第一阶段：协商创建一个通信信道，并对该信道进行认证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源认证服务。l 第二阶段，使用已建立的IKE SA建立IPSec SA。从下图我们可以看出IKE和IPSec之间的关系。图1-1 IKE和IPSec之间的关系图1.1.2 IPSec和IKE配置的一般步骤1. IPSec和IKE故障排除的一般步骤IPSec和IKE的配置过程比较复杂，需要配置的命令较多。IPSec配置的三个要素如下，熟练掌握将有助于安全配置：l what：哪些数据需要保护，用ACL去定义你要保护的数据流。l where：在传输路径的哪一段实施保护，定义隧道的两个端点。l how：如何保护这些数据，定义转换方式transform。2. 手工模式IPSec基本配置手工方式和协商方式的配置过程稍有不同：对于手工方式，配置步骤如下：(1) 明确要保护什么（what），也就是定义ACL。(2) 明确实施保护的位置（where）。(3) 明确如何保护（how），定义transform。(4) 定义安全策略（crypto map），定义安全策略的模式为manual，将上面三个要素捆绑到安全策略中。(5) 定义安全联盟所用的密钥。(6) 在合适的接口上应用安全策略。3. 协商模式IPSec基本配置对于协商方式，由于安全联盟的参数是协商出来的，而不是手工配置的，所以只有第5步与手工方式不同，其余5步基本相同。配置步骤如下：(1) 明确要保护什么（what），也就是定义ACL。(2) 明确实施保护的位置（where）。(3) 明确如何保护（how），定义transform。(4) 定义安全策略（crypto map），定义安全策略的模式为isakmp，将上面三个要素捆绑到安全策略中 。(5) 配置IKE的参数（IKE的policy和共享密钥）。(6) 在合适的接口上应用安全策略。1.1.3 手工方式下IPSec功能和性能的常见问题1. 手工方式下安全联盟不能建立当用show crypto ipsec sa 或show crypto ipsec sa map命令检查安全联盟时发现没有看到相应的安全联盟时，检查以下配置：l 相应的安全策略是否应用到了接口上。l 检查安全策略是否设置了要保护的数据流。检查match address命令是否引用了正确的ACL号，该ACL号是否已经定义。l 检查安全策略是否设置了转换方式。检查set transform命令是否引用了转换方式（transform），而且该transform已经被定义。l 检查安全策略是否设置了隧道端点。检查set peer命令和set local-address命令是否设置。l 检查安全联盟的SPI。检查在安全策略中是否设置了安全联盟的SPI，是否进入和外出两个方向都设置了，SPI的值是否是唯一的，不能与其它的一样。l 检查安全联盟的密钥是否设置正确。如果在引用的转换方式中采用了加密算法，则应该设置加密密钥；如果在转换方式中采用了验证算法，则应该设置验证密钥。 如果采用十六进制方式指定密钥，则要分别指定加密密钥和验证密钥；如果采用字符串方式指定密钥，则只需配置一个string-key参数。需要注意的是，外出和进入两个方向的密钥都要设置。l 如果以十六进制指定密钥，还要检查密钥的长度是否与算法要求的相同。在接口应用IPSec安全策略或改变安全策略参数时会给出一定的提示信息，用户可以根据这些信息来定位问题。参数不全时（例如SPI或验证密钥没有配置）的提示信息如下： Some parameters of the crypto map mapm-10 are invalid,please check it.参数配置了但不符合算法需要时（例如引用的transform重选择的是sha1算法，而配置的验证密钥不足20个字节）的提示信息如下： Parameter error. Can not create security association for "map_m 10"2. 手工方式下建立了安全联盟，但不能通信如果用show crypto ipsec sa或show crypto ipsec sa map命令检查安全联盟时看到相应的安全联盟已经建立，但不能通信，则检查以下配置：l 安全联盟两端的配置的ACL是否互为镜像l 选用的安全协议是否一样l 选用的算法是否一致l SPI是否匹配l 密钥是否匹配l 定义的隧道端点是否相同由于通信是双方面的，一方虽然建立了安全联盟，但其双方的参数无法匹配起来，同样不能通信。3. 手工方式下建立了安全联盟，有些数据流能通信，但有些不通出现这种情况时，可检查两端的安全策略所定义的数据流是否互为镜像。图1-2 数据流部分重叠上图所示的就是两个数据流不是互为镜像，造成双方只有部分数据流是相同的。例如：RouterA(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 anyRouterB(config)# access-list 100 permit ip 10.1.2.0 0.0.0.255 any这时，双方定义的数据流的集合只有10.1.1.010.1.2.0之间的数据流是相同的（也就是图中的C部分），其余不相同（上图中的A、B两部分）。这样只能保证相交部分的数据流能通信，其它部分的数据流不能通信。 注意：采用手工方式创建安全联盟，由于手工方式的数据、安全联盟是静态的，诊断相对容易些，只要注意几点便可排除常见的故障：(1) 参数是否配齐(2) 参数是否匹配(3) ACL是否互为镜像1.1.4 协商方式下IPSec和IKE功能和性能的常见问题协商方式的IPSec安全联盟是由IKE协商生成的。要诊断此类的故障，首先要清楚安全联盟的建立过程。其处理过程如下：图1-3(1) 当一个报文从某接口外出时，如果此接口应用了IPSec，会进行安全策略的匹配。(2) 如果找到匹配的安全策略，会查找相应的安全联盟。如果安全联盟还没有建立，则触发IKE进行协商。IKE首先建立阶段1的安全联盟，或称为IKE SA。(3) 在阶段1安全联盟的保护下协商阶段2的安全联盟，也就是IPSec SA。(4) 用IPSec SA保护通讯数据。当出现故障时，首先要知道是在哪个阶段出现的问题，然后再根据相应的阶段进行诊断。1. 阶段1的SA没有建立。如果是阶段1的SA没有建立，应该对实施IPSec通信的双方都进行检查。l 接口是否应用了安全策略；l 是否有匹配的数据流触发；l 是否为对方配置了共享密钥，以及共享密钥是否一致（采用pre-share验证方式时）。2. 阶段2的SA没有建立在阶段1的SA建立后，影响阶段2的SA建立的因素主要有：l ACL是否匹配，按照前面所叙述的匹配原则进行检查；l 转换方式是否一致；l 设置的隧道对端地址是否匹配；l 应用的接口是否正确。3. 两个阶段的SA都建立起来了，但不能通信在这种情况下，一般都是由于ACL的配置不当引起的。应该检查ACL的配置是否符合要求。1.1.5 IPSec和IKE配置过程的注意事项1. 确定要保护的数据流时的注意事项需要保护10.1.1.0/24与10.1.2.0/24子网之间的所有IP 通信。如下图所示：图1-4 IPSec和IKE典型组网图用100199之间的扩展ACL来表示，规则编号为169，正确数据流过滤规则为：Router_A(config)# access-list 169 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255Router_B(config)# access-list 169 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255注意事项：(1) 对于IPSec要保护的数据流，我们只定义外出方向的数据流，不需要定义进入方向的数据流。进入方向的数据流与外出方向数据流的源和目的正好相反。(2) 如果只需要保护某一类数据，而非所有的IP数据，则可以在access-list的定义中明确出来，如指定具体的端口号或端口范围。(3) IPSec提供的是端到端的安全。参与IPSec通信的两个对等体所定义的数据流的集合必须完全重合。否则会造成一部分通信能通，而有些通信不能通。所谓数据流完全重合也就是两个对等体所定义的数据流互为映射。也就是说RA定义的数据流的源就是RB定义的数据流的目的，RA定义的数据流的目的就是RB定义的数据流的源。ACL的定义应该准确反映实际需求，不能用any关键词简单代替。2. 确定实施保护的位置时的注意事项报文在从源报文传输路径的哪一段实施安全保护呢？或换句话说，IPSec安全隧道的两个端点定义在哪里？IPSec安全隧道是用来保护需要保护的通讯数据的，应该是在要保护的数据进入不信任网络前就要实施了IPSec保护，在离开不信任网络后才可解除IPSec保护。 一般情况下是连接公网的接口处，或者说是连接不信任网络的接口处。可以在两个子网的网关间实施安全保护，也可以在主机与网关，或主机与主机间实施保护，如下图所示：图1-5 IPSec实施保护的位置IPSec实施保护的位置分为：(1) 对于第一种情况，数据在两个网关间是受到保护的，在子网中是不受保护的，这种配置的前提是双方对于子网是信任的。隧道的端点即是两个路由器连接公网的接口。(2) 对于第二种情况，数据在主机和对方的网关间受到保护。这时隧道的端点是主机和路由器。主机不相信自己所在的子网内部，而相信对方所在网络的子网，在数据发出主机前，就对数据进行了IPSec保护。 这种情况一般多用于移动办公的用户连到总部的网关的情况。(3) 第三种情况是由主机到主机的情况。对于主机与主机间的情况，由于与路由器没太大关系，只要保证路由器能允许IPSec数据流和IKE协商报文通过即可。3. 确定如何保护数据时的注意事项我们知道了要保护哪些数据，以及在哪里需要保护，那么又如何保护呢？也就是说，需要什么样的安全服务：是否需要机密性？是否需要数据源验证？以及保护的强度如何？等等。如果数据不怕被中间人看到，但需要防止中间人窜改数据、或伪造数据，则需要数据源验证功能。AH协议和ESP协议都提供了数据源验证功能，但ESP协议没有对报文头进行验证。一般情况下，如果只需要验证功能，建议选择AH协议。如果即需要验证功能，还需要数据的机密性，则必须采用ESP协议来完成。ESP即提供了验证功能，也提供了数据加密功能。使用什么样的安全协议、什么样的加密算法、什么样的验证算法。这些由转换方式（transform）来定义。(1) 推荐用法当只需要验证功能时，使用AH协议；当需要对数据进行加密和验证时，使用ESP协议。(2) 不推荐用法（以下方法在协议上是允许的，但不推荐使用）l 使用ESP只做加密，而不做验证：这种方式被证明是危险的；l 使用ESP加密，AH进行验证：使用这种方法比直接用ESP对数据进行加密和验证处理复杂，并且在绝大多数情况下没有多少用途；l 用AH、ESP进行两次验证：除特别想使用这种方式外，否则不要用，没有实际意义；l 只使用ESP的验证而不加密：这在协议标准上称作“NULL加密”，推荐使用AH替代这种方式。 注意：(1) 没有验证的加密是不安全的。在安全中，第一位的是验证。如果没有验证，无法得知数据的真实性和可靠性。(2) 在transform定义时要注意封装模式的选择，如果保护的数据的源和目的不与IPsec隧道重合不能使用传输（transport）模式，只能使用隧道（tunnel）模式。否则，无法对数据实施IPSec保护。4. 定义安全策略时的注意事项在确定了三个要素后，用安全策略（crypto map）将它们联系到一起。安全策略包括：l 需要保护的数据流（即What），用match address命令来指定ACL。l 如何保护（即How），用set transform命令来指定所使用的转换方式。l 安全隧道建立在哪里（即Where），用set peer命令指定隧道的对端地址。对于手工建立安全联盟的安全策略，隧道的本端地址需用命令set local-address 来指定；对协商方式建立安全联盟的安全策略，采用IPSec安全策略应用的接口地址，不需要指定本端的隧道地址。对于手工方式创建的安全策略，由于协议算法所需要的密钥和一些参数需要手工指定，所以还必须配置其它的参数，这些参数包括：l 安全联盟的安全参数索引SPIl 算法所使用的密钥。如果使用了验证算法就必须指定验证算法所使用的密钥；如果使用了加密算法，就必须指定加密算法所使用的密钥。而且位数必须符合算法的要求。在手工配置密钥时，需要注意以下几点：(1) IPSec安全联盟是单向的，分为外出数据流的安全联盟和进入数据流的安全联盟。所以在配置时需要分别配置入方向和出方向的安全联盟。(2) SPI参数是安全参数索引，严格讲，对于每一个安全联盟，应该是唯一的，不应该与其它的安全联盟的SPI相同。同一个隧道的两个方向的安全联盟也不应该相同。(3) 对于一个安全隧道的两端，其参数应该是匹配的。匹配的含义就是一端的出方向的安全联盟的参数应该与另一端的入方向的安全联盟的参数相同；一端入方向的安全联盟的参数应该与另一端出方向的安全联盟参数相同。(4) 手工方式下，可以用两种方式来指定安全联盟的密钥：字符串或十六进制形式。如果使用字符串方式，只需为每个方向的安全联盟指定一个字符串，便可为协议所使用的算法派生出相应的密钥。如果用十六进制形式指定密钥，则必须严格按照算法的要求指定协议所有算法所需的密钥。 注意：对于手工方式的安全策略，其安全联盟的密钥需要在安全策略定义中指定，以上的配置就足够了；而对于自动协商方式的安全策略，由其产生的安全联盟的密钥、SPI等一些参数是由IKE协商产生的。所以，对于协商方式的安全策略，还需要一些IKE的配置工作。5. IKE的配置在进行完上面的几步后，IPSec的安全策略已经配置完成。如果采用自动协商方式的安全策略，就应该进行相关的IKE配置。如果采用手工方式的安全策略，则不需要这一步。IKE的配置主要有两方面：l IKE的安全策略（policy）l 共享密钥（pre-shared key）在配置IKE时，需要注意以下几点：(1) IKE的配置是基于整个路由器的，而IPSec的安全策略是基于接口的。(2) 路由器有一个缺省的IKE安全策略。其优先级最低，当参与IKE协商的双方配置的IKE安全策略都不匹配时，会采用此缺省的IKE安全策略。所以，即使没有配置IKE的policy，双方也会有匹配的IKE安全策略，因为有一个缺省的policy。(3) 如果在一台路由器上定义了好几个参数相同的IKE policy，其效果与配置一个是相同的。6. 应用所定义的安全策略最后一步就是应用所定义的安全策略。在接口配置模式下，执行crypto map命令在指定接口应用此安全策略。如果所应用的安全策略是手工方式建立安全联盟，会立即生成安全联盟。如果所应用的是自动协商方式的安全联盟，不会立即建立安全联盟，只有当符合某IPSec安全策略的数据流从该接口外出时，才会触发IKE去协商IPSec安全联盟。安全策略应该应用到要保护的数据流的外出接口上。应该强调三点：l 外出接口；l 确保保护的数据流应该从此接口出去，而不是其它的接口；l 对方实施了措施，确保保护的数据应该从此接口进来。7. IPSec和IKE的其它配置IKE的keepalive机制可以判断对端是否还能正常通讯。IKE的keepalive需要配置两个参数：l interval：发送keepalive报文的时间间隔。l timeout：超时检测的时间间隔，建议时间间隔为interval的3倍左右。 注意：(1) 在一台路由器上应该同时配置这两个参数，并且参数要匹配。(2) interval和timeout要成对出现，即在一个路由器上配置了timeout参数，那么在对端就要配置interval参数。(3) interval的参数应该小于对端的timeout参数值，而不应该与本端进行比较。1.2 与IPSec和IKE故障相关的show、debug命令介绍华为中低端路由器上用于排除IPSec 和IKE故障的的常用命令在下面分别介绍。1.2.1 show access-list【用法说明】显示包过滤规则及在接口上的应用情况。【语法】show access-list all | access-list-number | interface type number 【参数说明】all：显示所有的规则，包括普通时间段内及特殊时间段内的规则。access-list-number：为显示当前所使用的规则中序号为access-list-number的规则。interface：表示要显示在指定接口上应用的规则序号； type：为接口类型。number：为接口编号。【输出实例】Quidway# show access-list 100Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes - rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches - rule 2)100 deny udp any any eq rip (no matches - rule 3) 【输出关键点说明】显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则有效，哪些规则无效。1.2.2 show crypto ike policy【用法说明】显示IKE的安全策略、安全联盟参数。【语法】show crypto ike policy | sa 【参数说明】policy：显示IKE的安全策略。sa：显示IKE的安全联盟参数。【输出实例】Quidway# show crypto ike policyProtection suite priority 15encryption algorithm: DES - CBChash algorithm: MD5authentication method:Pre-Shared KeyDiffie-Hellman Group: MODP1024Lifetime: 5000 seconds, no volume limitProtection suite priority 20encryption algorithm: DES - CBChash algorithm: SHAauthentication method:Pre-Shared KeyDiffie-Hellman Group: MODP768lifetime:10000 seconds, no volume limitDefault protection suiteencryption algorithm: DES - CBChash algorithm: SHAauthentication method:Pre-Shared KeyDiffie-Hellman Group: MODP768Lifetime: 86400 seconds, no volume limitQuidway# show crypto ike saconn-id peer flags phase doi1 202.38.0.2 RD|ST 1 IPSEC2 202.38.0.2 RD|ST 2 IPSECFlag meaning:RD-Ready ST-Stayalive RT-Replaced FD-Fading【输出关键点说明】show crypto ike policy显示按照优先级的先后顺序排列的IKE策略，如采用的加密算法（encryption algorithm）为DES-CBC，认证算法（hash algorithm）为MD5，认证方法（authentication method）为共享密钥方式，DH组为MODP1024，生命周期为5000秒。show crypto ike sa显示安全通道列表，内容包括对端地址（peer）、通道状态（flags）、协商阶段（phase)和DOI。安全通道与安全联盟是完全不同的两个概念，安全通道是一个两端可以互通的通道，而IPSec SA则是一个单向的连接，所以安全通道是由一对或几对安全联盟组成的。1.2.3 show crypto ipsec sa【用法说明】显示安全联盟的相关信息。【语法】show crypto ipsec sa all | brief | peer ip-address | map map-name map-number | entry dest-address protocol spi 【参数说明】all：显示所有的安全联盟的信息。brief：显示所有的安全联盟的简要信息。peer：显示对端地址的安全联盟的信息。ip-address：指定对端地址，格式为A.B.C.D的IP地址格式。map：显示名字为map-name，安全策略顺序号为map-number的安全策略组中的安全联盟的信息。entry：显示由目的地址、协议、SPI所唯一确定的一个安全联盟的信息。dest-address：指定目的地址，格式为A.B.C.D的IP地址格式。protocol：指定协议，输入关键字ah或esp，不区分大小写。spi：指定安全参数索引（SPI）。【输出实例】Quidway# show crypto ipsec sa briefSrc Address Dst Address SPI Protocol Algorithm10.1.1.1 10.1.1.2 300 NEW_ESP E:Hardware; A:HMAC-MD5-9610.1.1.2 10.1.1.1 400 NEW_ESP E:Hardware; A:HMAC-MD5-96Quidway# show crypto ipsec sa allinterface: Ethernet 0crypto map name: map1crypto map sequence: 100negotiation mode: isakmpin use settings = tunnellocal address: 10.1.1.1peer address: 10.1.1.2inbound esp SAs:spi: 400 (0x190)transform: ESP-HARDWARE ESP-AUTH-MD5key id: 1sa timing: remaining key lifetime (kilobytes/seconds): 432018/90max received sequence-number: 358outbound esp SAs:spi: 300 (0x12c)transform: ESP-HARDWARE ESP-AUTH-MD5key id: 2sa timing: remaining key lifetime (kilobyt