一、show crypto isakmp sa查看ipsec vpn第一阶段的建立状态

IPSEC的第一阶段主要是为第二阶段协商做准备，第一阶段主要通过命令show crypto isakmp sa确认是否正常，以下是查看示例：

说明：使用此命令主要关注“state”参数，如果state参数不处于“IKE_IDLE”状态，说明第一阶段没成功，需要先排查第一阶段建立不成功的原因

【IPSEC状态机小知识扩展1】

destination：设备本地连接的总部/分支地址

source：设备本地调用VPN的接口ip地址

state：IPSEC状态机，第一阶段总共4种状态机，只有处于“IKE_IDLE”才说明第一阶段是成功的（其余状态参见“第一阶段VPN状态”）

conn-id：连接的总部/分支数量

lifetime：IKE生存时间

 

二、show cry sta查看ipsec第二阶段建立状态

第二阶段主要是为隧道数据传输做准备，必须在第一阶段正常建立基础之上才能建立，此阶段主要通过命令show crypto sta确认是否正常，操作示例如下：

说明：show crypto sta会同时显示第一阶段和第二阶段的信息，如果发现不存在"QM_IDLE"状态的流，说明第二阶段没成功；如果发现表项为空，说明第一阶段没建立成功；一般不会存在只有"QM_IDLE"没有"IKE_IDLE"状态

【IPSEC状态机小知识扩展2】/

destination：设备本地连接的总部/分支地址

source：设备本地调用VPN的接口ip地址

state：IPSEC状态机，第二阶段只有1种状态机，只有处于“QM_IDLE”才说明第一阶段是成功的

conn-id：连接的总部/分支数量

lifetime：SA生存时间

 

三、show cry ipsec sa查看第二阶段数据加解密状态

【参数说明】

local ident：表示本地路由器的感兴趣流

remote ident：表示对端路由器的感兴趣流

pkts encaps：表示隧道数据包的封装数量，如果显示0说明没封装

pkts encrypt：表示隧道数据的加密数量量，如果显示0表示没有数据加密

pkts digest：表示收到的隧道数据量，如果显示为0，说明没有收到隧道数据

pkts decaps:表示设备接收到隧道数据后接封装数据量，如果显示为0，说明设备没有解封装数据

pkts  decrypt：表示设备接收到隧道数据后解密数据数量，如果显示为0，说明设备没有解密数据

pkts verify：表示设备接收到隧道数据的校验数据量，如果显示为0，说明设备没有校验过数据

 

四、show cry acl查看ipsec vpn隧道的感兴趣流配置

【说明】

 

五、show  vpdn tunnel查看vpdn的隧道建立状态

【参数说明】

LoCID：本地隧道ID号

RemID：对端隧道ID号

Remote Name：本地设备的名称

State：隧道建立状态，如果显示idle说明隧道建立没成功，显示est说明隧道建立成功

Remote Address：对端隧道的地址

port：隧道建立的端口

session：隧道建立的会话ID

VPDN Group：VPDN的类型，可分为PPTP或者L2TP

 

六、show vpdn session查看vpdn的会话建立状态

【参数说明】

LocID：本地设备ID号

RemID：远程设备ID号

TunID：隧道建立ID

username，Intf/Vcid，Circuit：隧道建立使用的用户名和密码

state：隧道建立状态，如果显示idle说明隧道建立没成功，显示est说明隧道建立成功