Cisco ××× 完全配置指南-连载-路由器连接的故障诊断与排除（2）

Cisco ××× 完全配置指南-连载-路由器连接的故障诊断与排除（2）

二、 ISAKMP/IKE 阶段 2 连接

可以使用下面的命令来故障诊断和排除ISAKMP/IKE阶段1的连接

Ø  show crypto engine connections active显示构建的每一个数据的SA和穿过每一个数据SA的流量

Ø  show crypto ipsec sa显示两台IPSec对等设备之间建立的数据SA和用于保护连接的组件和统计信息

Ø  debug crypto isakmp显示构建管理连接所采取的步骤和通过管理连接构建数据连接的步骤

Ø  debug crypto engine显示与加密和解密数据有关的事件

Ø  debug crypto ipsec显示两台对等设备之间的两个单向的数据SA的实际建立过程

Ø  clear crypto sa [counters | map map_name | peer IP_address| spi IP_address {ah | esp} SPI_#]清除统计数字，和一个crypto map相关的所有数据SA和一台对等设备相关的所有的数据SA，或到一台特定的对等设备的特定的数据SA

 

详细配置见附件