시스템 메시지
Message Center는 문제 해결을 시작할 수있는 장소입니다. 이 기능을 사용하면 지속적으로 생성되는 시스템 활동 및 상태에 대한 메시지를 볼 수 있습니다. Message Center를 열려면 메인 메뉴의 Deploy(구축) 버튼 오른쪽의 System Status(시스템 상태)를 클릭합니다. Message Center 사용에 대한 자세한 내용은 시스템 메시지 섹션을 참조하십시오.
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
이 장에서는 Firepower Threat Defense VPN 문제 해결 툴 및 디버그 정보에 대해 설명합니다.
Message Center는 문제 해결을 시작할 수있는 장소입니다. 이 기능을 사용하면 지속적으로 생성되는 시스템 활동 및 상태에 대한 메시지를 볼 수 있습니다. Message Center를 열려면 메인 메뉴의 Deploy(구축) 버튼 오른쪽의 System Status(시스템 상태)를 클릭합니다. Message Center 사용에 대한 자세한 내용은 시스템 메시지 섹션을 참조하십시오.
FTD 디바이스에 대한 시스템 로그를 활성화할 수 있습니다. 기록 정보는 네트워크 또는 디바이스 구성 관련 문제를 식별하고 격리하는 데 도움이 됩니다. VPN 기록을 활성화하면 이러한 시스템 로그가 분석 및 보관을 위해 FTD 디바이스에서 Firepower Management Center로 전송됩니다.
표시되는 VPN 시스템 로그의 기본 심각도는 'ERROR' 이상입니다(변경되지 않은 경우). VPN 기록은 FTD 플랫폼 설정을 통해 관리됩니다. 대상 디바이스( 에 대한 FTD 플랫폼 설정 정책에서 VPN Logging Settings(VPN 기록 설정)를 편집하여 메시지 심각도 수준을 조정할 수 있습니다. VPN 기록 활성화, 시스템 로그 서버 구성 및 시스템 로그 보기에 대한 자세한 내용은 시스템 로그 구성 관련 정보 섹션을 참조하십시오.
참고 |
디바이스가 Site-to-Site VPN 또는 Remote Access VPN으로 구성될 때마다 기본적으로 VPN 시스템 로그가 Firepower Management Center에 자동으로 전송되도록 설정됩니다. |
Firepower System은 VPN 문제의 소스에 대한 추가 정보를 수집하는 데 도움이 되는 이벤트 정보를 수집합니다. 표시되는 VPN 시스템 로그의 기본 심각도는 'ERROR' 이상입니다(변경되지 않은 경우). 기본적으로 행은 Time(시간) 열에 따라 정렬됩니다.
이 작업을 수행하려면 리프 도메인의 관리자 사용자여야 합니다.
FTD 플랫폼 설정( )에서 Enable Logging to FMC(FMC에 대한 기록 활성화) 확인란을 선택하여 VPN 기록을 활성화합니다. VPN 기록 활성화, 시스템 로그 서버 구성 및 시스템 로그 보기에 대한 자세한 내용은 시스템 로그 구성 관련 정보 섹션을 참조하십시오.
단계 1 |
을 선택합니다. |
단계 2 |
다음 옵션을 이용할 수 있습니다.
|
이 섹션에서는 디버그 명령을 사용하여 VPN 관련 문제점을 진단하고 해결하는 방법을 설명합니다. 이 섹션에서 사용 가능한 모든 디버그 명령을 설명하지는 않습니다. 여기에 있는 명령은 VPN 관련 문제점을 진단하는 데 도움이 되는 유용성에 따라 포함되어 있습니다.
디버깅 출력은 CPU 프로세스에서 높은 우선순위가 할당되기 때문에 시스템을 사용할 수 없게 만들 수 있습니다. 따라서 debug 명령은 특정 문제를 해결하는 경우나 Cisco TAC(Technical Assistance Center)를 통한 문제 해결 세션 중에만 사용해야 합니다. 또한, 네트워크 트래픽과 사용자 수가 적은 기간에 debug 명령을 사용하는 것이 가장 좋습니다. 그러한 기간에 디버깅하면 debug 명령의 처리 오버헤드 증가로 인해 시스템 사용에 지장이 생길 가능성이 줄어듭니다.
디버그 출력은 CLI 세션에서만 확인할 수 있습니다. 콘솔 포트에 연결하거나 system support diagnostic-cli 를 입력하여 진단 CLI를 사용할 때는 출력을 직접 사용할 수 있습니다. show console-output 명령을 사용하여 일반 Firepower Threat Defense CLI에서 출력을 확인할 수도 있습니다.
지정된 기능에 대한 디버깅 메시지를 표시하려면 debug 명령을 사용합니다. 디버그 메시지의 표시를 비활성화하려면 이 명령의 no 형식을 사용합니다. no debug all 은 모든 디버깅 명령을 끄는 데 사용합니다.
debug feature [ subfeature] [ level]
no debug feature [ subfeature]
feature |
디버깅을 활성화하려는 기능을 지정합니다. 사용 가능한 기능을 보려면 CLI 도움말에 대한 debug ? 명령을 사용합니다. |
subfeature |
(선택 사항) 기능에 따라 하나 이상의 하위 기능에 대한 디버그 메시지를 활성화할 수 있습니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
level |
(선택 사항) 디버깅 레벨을 지정합니다. 모든 기능에서 이 레벨을 사용할 수 있는 것은 아닙니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
기본 디버깅 레벨은 1입니다.
원격 액세스 VPN에서 실행 중인 다중 세션에서는 지정된 로그의 크기 때문에 문제 해결이 어려울 수 있습니다. debug webvpn condition 명령을 사용하여 더 정확하게 디버그 프로세스를 대상으로 필터를 설정할 수 있습니다.
debug webvpn condition { group name | p-ipaddress ip_address [{ subnet subnet_mask | prefix length}] | reset | user name}
여기서 각 항목은 다음을 나타냅니다.
그룹 정책(터널 그룹 또는 연결 프로파일 이외)의 group name 필터.
클라이언트의 공용 IP 주소에 대한 p-ipaddress ip_address [{ subnet subnet_mask | prefix length}] 필터. 서브넷 마스크(IPv4용) 또는 접두사(IPv6용)는 선택 사항입니다.
reset 모든 필터 재설정. no debug webvpn condition 명령을 사용하여 특정 필터를 끌 수 있습니다.
사용자 이름을 기준으로 하는 user name 필터.
조건을 여러 개 구성하는 경우 조건이 결합되어(AND로 처리되어) 모든 조건이 충족될 경우에만 디버그가 표시됩니다.
조건 필터를 설정한 후 기본 debug webvpn 명령을 사용하여 디버그를 켭니다. 조건을 설정하는 것만으로 디버그가 활성화되지는 않습니다. 현재 디버깅 상태를 보려면 show debug 및 show webvpn debug-condition 명령을 사용합니다.
다음은 사용자 jdoe에 대해 조건부 디버그를 활성화하는 예를 보여줍니다.
firepower# debug webvpn condition user jdoe
firepower# show webvpn debug-condition
INFO: Webvpn conditional debug is turned ON
INFO: User name filters:
INFO: jdoe
firepower# debug webvpn
INFO: debug webvpn enabled at level 1.
firepower# show debug
debug webvpn enabled at level 1
INFO: Webvpn conditional debug is turned ON
INFO: User name filters:
INFO: jdoe
인증, 권한 부여 및 계정(AAA, "트리플 A"로 발음)과 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug aaa [ accounting | authentication | authorization | common | internal | shim | url-redirect]
aaa |
AAA 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
accounting |
(선택 사항) AAA 계정 디버깅을 활성화합니다. |
authentication |
(선택 사항) AAA 인증 디버깅을 활성화합니다. |
authorization |
(선택 사항) AAA 권한 부여 디버깅을 활성화 합니다. |
common |
(선택 사항) 일반적인 AAA 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
internal |
(선택 사항) AAA 내부 디버깅을 활성화합니다. |
shim |
(선택 사항) AAA shim 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
url-redirect |
(선택 사항) AAA url-redirect 디버깅을 활성화합니다. |
기본 디버깅 레벨은 1입니다.
암호화와 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug crypto [ ca | condition | engine | ike-common | ikev1 | ikev2 | ipsec | ss-apic]
crypto |
crypto 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
ca |
(선택 사항) PKI 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
condition |
(선택 사항) IPsec/ISAKMP 디버그 필터를 지정합니다. ?를 사용하여 사용 가능한 필터를 확인합니다. |
engine |
(선택 사항) Crypto engine 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
ike-common |
(선택 사항) 일반적인 IKE 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
ikev1 |
(선택 사항) IKE 버전 1 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
ikev2 |
(선택 사항) IKE 버전 2 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
ipsec |
(선택 사항) IPsec 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
condition |
(선택 사항) Crypto Secure Socket API 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
vpnclient |
(선택 사항) EasyVPN 클라이언트 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
기본 디버깅 레벨은 1입니다.
crypto ca와 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug crypto ca [ cluster | messages | periodic-authentication | scep-proxy | transactions | trustpool] [ 1-255]
crypto ca |
crypto ca 에 대한 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
cluster |
(선택 사항) PKI 클러스터 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
cmp |
(선택 사항) CMP 트랜잭션 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
messages |
(선택 사항) PKI 입/출력 메시지 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
periodic-authentication |
(선택 사항) PKI periodic-authentication 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
scep-proxy |
(선택 사항) SCEP 프록시 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
server |
(선택 사항) 로컬 CA 서버 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
transactions |
(선택 사항) PKI 트랜잭션 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
trustpool |
(선택 사항) 신뢰 풀 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
1-255 |
(선택 사항) 디버깅 레벨을 지정합니다. |
기본 디버깅 레벨은 1입니다.
Internet Key Exchange 버전 1(IKEv1)과 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug crypto ikev1 [ timers] [ 1-255]
ikev1 |
ikev1 에 대한 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
timers |
(선택 사항) IKEv1 타이머에 대한 디버깅을 활성화합니다. |
1-255 |
(선택 사항) 디버깅 레벨을 지정합니다. |
기본 디버깅 레벨은 1입니다.
Internet Key Exchange 버전 2(IKEv2)와 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug crypto ikev2 [ ha | platform | protocol | timers]
ikev2 |
ikev2 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
ha |
(선택 사항) IKEv2 HA 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
platform |
(선택 사항) IKEv2 플랫폼 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
protocol |
(선택 사항) IKEv2 프로토콜 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
timers |
(선택 사항) IKEv2 타이머에 대한 디버깅을 활성화합니다. |
기본 디버깅 레벨은 1입니다.
IPsec과 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug crypto ipsec [ 1-255]
ipsec |
ipsec 에 대한 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
1-255 |
(선택 사항) 디버깅 레벨을 지정합니다. |
기본 디버깅 레벨은 1입니다.
LDAP(Lightweight Directory Access Protocol)와 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug ldap [ 1-255]
ldap |
LDAP에 대한 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
1-255 |
(선택 사항) 디버깅 레벨을 지정합니다. |
기본 디버깅 레벨은 1입니다.
SSL 세션과 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug ssl [ cipher | device] [ 1-255]
ssl |
SSL 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
cipher |
(선택 사항) SSL 암호 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
device |
(선택 사항) SSL 디바이스 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
1-255 |
(선택 사항) 디버깅 레벨을 지정합니다. |
기본 디버깅 레벨은 1입니다.
WebVPN과 관련된 구성 또는 설정을 디버깅하려면 다음 명령을 참조하십시오.
debug webvpn [ anyconnect | chunk | cifs | citrix | compression | condition | cstp-auth | customization | failover | html | javascript | kcd | listener | mus | nfs | request | response | saml | session | task | transformation | url | util | xml]
webvpn |
WebVPN 디버깅을 활성화합니다. ?를 사용하여 사용 가능한 하위 기능을 확인합니다. |
anyconnect |
(선택 사항) WebVPN AnyConnect 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
chunk |
(선택 사항) WebVPN chunk 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
cifs |
(선택 사항) WebVPN CIFS 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
citrix |
(선택 사항) WebVPN Citrix 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
compression |
(선택 사항) WebVPN 압축 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
condition |
(선택 사항) WebVPN 필터 조건 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
cstp-auth |
(선택 사항) WebVPN CSTP 인증 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
customization |
(선택 사항) WebVPN customization 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
failover |
(선택 사항) WebVPN 페일오버 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
html |
(선택 사항) WebVPN HTML 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
javascript |
(선택 사항) WebVPN Javascript 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
kcd |
(선택 사항) WebVPN KCD 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
listener |
(선택 사항) WebVPN 리스너 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
mus |
(선택 사항) WebVPN MUS 디버그 레벨을 지정 합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
nfs |
(선택 사항) WebVPN NFS 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
request |
(선택 사항) WebVPN 요청 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
response |
(선택 사항) WebVPN 응답 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
saml |
(선택 사항) WebVPN SAML 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
session |
(선택 사항) WebVPN 세션 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
task |
(선택 사항) WebVPN 작업 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
transformation |
(선택 사항) WebVPN 변환 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
url |
(선택 사항) WebVPN URL 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
util |
(선택 사항) WebVPN 유틸리티 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
xml |
(선택 사항) WebVPN XML 디버그 레벨을 지정합니다. ?를 사용하여 사용 가능한 레벨을 확인합니다. |
기본 디버깅 레벨은 1입니다.