В этой части описаны особенности ASA относительно команд show, debug и при работе с конфигурацией. Особенности эти удобные и простые. Могут быть полезными как просто при настройке ASA, так и при поиске неисправностей.
Команды просмотра
В ASA все команды show можно выполнять из любого конфигурационного режима.
В IOS, для того чтобы выполнить команду show из какого-нибудь конфигурационного режима, приходится добавлять do.
Просмотр конфигурационного файла
Посмотреть текущую конфигурацию:
ASA1# show running-config
В ASA есть много настроек по умолчанию. Для того чтобы не загромождать конфигурационный файл, они не отображаются в выводе команды show run. Для просмотра всех команд конфигурационного файла используется команда show run all:
ASA1# show running-config all
Примечание: Иногда команды выводятся в выводе команды show run в одних версиях ОС, но исчезают в других. В таком случае следует поискать исчезнувшую команду в show run all. Возможно, она перешла в категорию скрытых команд.
В выводе show run all можно найти много интересного. Например, различные регулярные выражения и class-map, политики по умолчанию относящиеся к настройке VPN и многое другое.
Посмотреть стартовую конфигурацию:
ASA1# show startup-config
Фильтрация вывода при просмотре конфигурационного файла
Конфигурационный файл ASA можно просматривать частями.
Для этого могут использоваться фильтры аналогичные IOS:
ASA1# show run | include nat nat (inside) 0 access-list test nat (dmz1) 1 0.0.0.0 0.0.0.0
Однако в ASA есть более удобный вариант просмотра. Достаточно указать в команде show run в качестве параметра первое слово команды (или больше, для более точного вывода):
ASA1# show run nat nat (inside) 0 access-list test nat (dmz1) 1 0.0.0.0 0.0.0.0
Просмотр настроенных ACL:
ASA1# sh run access-list access-list test extended permit tcp 192.168.1.0 255.255.255.0 host dmzhost eq www
Аналогично можно фильтровать вывод show run all:
ASA1# show run all class-map
Удаление настроек
Для удаления какой-либо команды может использоваться аналогичная команда с параметром no впереди. Кроме того, для удаления настроек можно использовать команду clear configure с соответствующими параметрами. clear configure позволяет удалить не только одну строку, но и группу настроек.
Например, удалить все правила nat настроенные на ASA:
ASA1(config)# clear configure nat
Соответственно, удаление текущей конфигурации:
ASA1(config)# clear configure all
Другой вариант восстановления конфигурации по умолчанию:
ASA1(config)# configure factory-default
Команды debug
Команды отладки в ASA отличаются от аналогичных команд в IOS тем, что у них для регулировки степени подробности сообщений, используется значение уровня от 1 до 255. Чем больше число, тем более подробный будет вывод команд debug. По умолчанию устанавливается уровень 1.
На примере команды debug crypto isakmp описана суть уровней в команде debug.
Отобразить сообщения относящиеся к работе ISAKMP:
debug crypto isakmp [timers] [level]
Параметры команды debug crypto isakmp:
- timers — выводит сообщения об истечении таймеров ISAKMP,
- level:
- 1 — выводит сообщение только в случае ошибки,
- 2-7 — показывает дополнительную информацию,
- 254 — выводит расшифрованные сообщения ISAKMP,
- 255 — выводит шестнадцатеричные dump’ы пакетов ISAKMP.
Отключение всех сообщений debug:
ASA1(config)# un al
Опубликовано: Безопасность cisco
» Оставить комментарий
Вы должны войти чтобы прокомментировать.