Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

Syntax

Description

Exibir informações sobre as SAs (Security Associations, associações de segurança do IPsec).

No Junos OS Releases 20.1R2, 20.2R2, 20.3R2, 20.3R1 e, mais tarde, quando você executa o comando, um novo campo de saída correspondente a cada IPsec SA dentro de um túnel é exibido sob cada informação show security ipsec security-associations detailIKE SA Index IPsec SA. Veja show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800) .

Options

nenhum

Exibir informações sobre todos os SAs.

brief | detail

(Opcional) Exibir o nível de saída especificado. O padrão é brief .

family

(Opcional) Exibir SAs por família. Essa opção é usada para filtrar a saída.

  • inet— Família de endereços IPv4.

  • inet6—Família de endereços IPv6.

fpc slot-numberpic slot-number

(Opcional) Exibir informações sobre SAs IPsec existentes no slot FPC (Flexible PIC Concentrator) especificado e no slot PIC.

Em um cluster de chassi, quando você executa o comando CLI no modo operacional, apenas as informações de nó primárias sobre os SAs IPsec existentes no slot FPC (Flexible PIC Concentrator) especificado e no slot PIC são show security ipsec security-associations pic <slot-number> fpc <slot-number> exibidos.

index SA-index-number

(Opcional) Exibir informações detalhadas sobre a SA especificada identificada por este número de índice. Para obter uma lista de todos os SAs que incluem seus números de índice, use o comando sem opções.

kmd-instance

(Opcional) Exibir informações sobre SAs IPsec existentes no processo de gerenciamento principal (neste caso, é KMD) identificadas pelo número de slot do FPC e pelo slot-numberdo PIC.

  • all— Todas as instâncias de KMD em execução na Unidade de Processamento de Serviços (SPU).

  • kmd-instance-name— Nome da instância KMD em execução na SPU.

pic slot-numberfpc slot-number

(Opcional) Exibir informações sobre SAs IPsec existentes no slot PIC especificado e no slot FPC.

sa-type

(Opcional para ADVPN) Exibir informações para o tipo de SA especificado. shortcut é a única opção para esta versão.

traffic-selector traffic-selector-name

(Opcional) Exibir informações sobre o seletor de tráfego especificado.

vpn-name vpn-name

(Opcional) Exibir informações sobre a VPN especificada.

criptografia ha-link

(Opcional) Exibir informações relacionadas apenas ao túnel de enlace interchassis. Consulte ipsec (alta disponibilidade)show security ipsec security-associations ha-link-encryption (SRX5400, SRX5600, SRX5800) , e show security ipsec sa detail ha-link-encryption (SRX5400, SRX5600, SRX5800) .

Required Privilege Level

Ver

Output Fields

Tabela 1 lista os campos de saída do comando, lista os campos de saída do comando e . lista os campos show security ipsec security-associations de saída para o Tabela 2show security ipsec saTabela 3show security ipsec sa detail . Os campos de saída são indicados na ordem aproximada na qual eles aparecem.

Tabela 1: show security ipsec security-associations

Nome de campo

Descrição de campo

Nível de saída

Total active tunnels

Número total de túneis IPsec ativos.

brief

ID

Número de índice da SA. Você pode usar esse número para obter informações adicionais sobre a SA.

Todos os níveis

Algorithm

A criptografia usada para proteger trocas entre colegas durante IKE negociações inclui:

  • Um algoritmo de autenticação usado para autenticar trocas entre os colegas.

  • Um algoritmo de criptografia usado para criptografar tráfego de dados.

brief

SPI

Identificador de índice de parâmetro de segurança (SPI). Uma SA é identificada com exclusividade por um SPI. Cada entrada inclui o nome da VPN, o endereço de gateway remoto, as SPIs para cada direção, os algoritmos e chaves de criptografia e autenticação. Cada gateway de peer tem dois SAs, um resultado de cada uma das duas fases de negociação: IKE e IPsec.

brief

Life: sec/kb

A vida útil da SA, após a qual expira, expressa em segundos ou em kilobytes.

brief

Mon

O campo Mon refere-se ao status do monitoramento de VPN. Se o monitoramento de VPN estiver ativado, esse campo será U exibido (para cima) ou D (para baixo). Um hífen (-) significa que o monitoramento de VPN não está habilitado para esta SA. Isso V significa que a verificação do caminho do datapath do IPsec está em andamento.

brief

lsys

O sistema raiz.

brief

Port

Se Network Address Translation (NAT) for usado, esse valor será de 4.500. Caso contrário, ela é a porta IKE padrão, 500.

Todos os níveis

Gateway

Endereço IP do gateway remoto.

brief

Virtual-system

Nome do sistema lógico.

detail

VPN name

Nome IPsec para VPN.

detail

State

O estado tem duas Installed opções, Not Installed e .

  • Installed— A S.A. está instalada no banco de dados SA.

  • Not Installed— A S.A. não está instalada no banco de dados SA.

    Para o modo de transporte, o valor do estado é Installed sempre.

detail

Local gateway

Endereço de gateway do sistema local.

detail

Remote gateway

Endereço de gateway do sistema remoto.

detail

Traffic selector

Nome do seletor de tráfego.

detail

Local identity

Identidade do peer local para que seu gateway de destino de parceiro possa se comunicar com ele. O valor é especificado como um endereço IP, nome de domínio totalmente qualificado, endereço de e-mail ou nome distinto (DN).

detail

Remote identity

endereço IP do gateway de peer de destino.

detail

Term

Define o intervalo de IP local, o intervalo de IP remoto, o intervalo de porta de origem, o intervalo de portas de destino e o protocolo.

detail

Source-port

Intervalo de porta de origem configurado para um termo.

detail

Destination-Port

Intervalo de porta de destino configurado por um termo.

detail

Version

IKE versão, ou IKEv1IKEv2 .

detail

DF-bit

Estado da bit não fragmentada: set ou cleared .

detail

Location

FPC— Número de slot flexível do PIC Concentrator (FPC).

PIC— número do slot DO PIC.

KMD-Instance— O nome da instância KMD em execução na SPU, identificado pelo número de slot do FPC e o slot-numberdo PIC. Atualmente, 4 instâncias KMD em execução em cada SPU, e qualquer negociação IPsec específica é realizada por uma única instância KMD.

detail

Tunnel events

Evento do túnel e o número de vezes que o evento ocorreu. Consulte Eventos de túnel para ver descrições dos eventos do túnel e as ações que você pode tomar.

detail

Anchorship

ID de segmento de ancoragem para SA (para dispositivos da Série SRX4600 com a detail opção).

 

Direction

Direção da SS; pode ser de entrada ou saída.

detail

AUX-SPI

Valor do índice de parâmetro de segurança auxiliar (SPI).

  • Quando o valor AH é ESP ou, AUX-SPI sempre, 0.

  • Quando o valor AH+ESP é, AUX-SPI é sempre um número inteiro positivo.

detail

Mode

Modo da S.A.

  • transport— Protege as conexões host-para-host.

  • tunnel—Protege as conexões entre gateways de segurança.

detail

Type

Tipo de SA:

  • manual— Os parâmetros de segurança não exigem negociação. Eles são estáticos e estão configurados pelo usuário.

  • dynamic— Os parâmetros de segurança são negociados pelo protocolo IKE segurança. Os SAs dinâmicos não são suportados no modo de transporte.

detail

State

Estado da SA:

  • Installed— A S.A. está instalada no banco de dados SA.

  • Not Installed— A S.A. não está instalada no banco de dados SA.

    Para o modo de transporte, o valor do estado é Installed sempre.

detail

Protocol

Protocolo suportado.

  • O modo de transporte aceita o Encapsulation Security Protocol (ESP) e o Authentication Header (AH).

  • O modo túnel aceita ESP e AH.

detail

Authentication

Tipo de autenticação usada.

detail

Encryption

Tipo de criptografia usada.

A partir do Junos OS Release 19.4R2, quando você configura ou como um algoritmo de criptografia em nível de hierarquia, o campo de algoritmo de autenticação do comando exibe o mesmo algoritmo de criptografia aes-128-gcmaes-256-gcm [edit security ipsec proposal proposal-name]show security ipsec security-associations detail configurado.

detail

Soft lifetime

A vida útil leve informa ao sistema de gerenciamento de chaves IPsec que a SA está prestes a expirar.

Cada vida útil de uma SA tem duas opções de exibição, duras e moles, uma das quais deve estar presente para uma SA dinâmica. Isso permite que o sistema de gerenciamento principal negocie uma nova S.A. antes da dura vida expirar.

  • Expires in seconds— Número de segundos até a sa expirar.

detail

Hard lifetime

A dura vida útil especifica a vida útil da SA.

  • Expires in seconds— Número de segundos até a sa expirar.

detail

Lifesize Remaining

O lifesize restante especifica os limites de uso em quilobytes. Caso não haja um lifesize especificado, ele mostrará ilimitado.

  • Expires in kilobytes— Número de quilobytes esquerda até a SA expirar.

detail

Anti-replay service

Estado do serviço que impede a repetição dos pacotes. Pode ser EnabledDisabled ou.

detail

Replay window size

Tamanho da janela de serviço antireplay, que é de 64 bits.

detail

Bind-interface

A interface do túnel à qual a VPN baseada em roteamento está ligada.

detail

Copy-Outer-DSCP

Indica se o sistema copia o valor DSCP externo do header IP até o header IP interno.

detail

tunnel-establishment

Indica como a IKE é ativada.

detail

IKE SA index

Indica a lista de associações de IKE de segurança dos pais.

detail

Tabela 2: show security ipsec sa Output Fields

Nome de campo

Descrição de campo

Total active tunnels

Número total de túneis IPsec ativos.

ID

Número de índice da SA. Você pode usar esse número para obter informações adicionais sobre a SA.

Algorithm

A criptografia usada para proteger trocas entre colegas durante IKE das negociações da Fase 2 inclui:

  • Um algoritmo de autenticação usado para autenticar trocas entre os colegas. As opções hmac-md5-96hmac-sha-256-128 são, hmac-sha1-96 ou.

  • Um algoritmo de criptografia usado para criptografar tráfego de dados. As opções 3des-cbcaes-128-cbc são, aes-192-cbcaes-256-cbcdes-cbc ou.

SPI

Identificador de índice de parâmetro de segurança (SPI). Uma SA é identificada com exclusividade por um SPI. Cada entrada inclui o nome da VPN, o endereço de gateway remoto, as SPIs para cada direção, os algoritmos e chaves de criptografia e autenticação. Cada gateway de peer tem dois SAs, um resultado de cada uma das duas fases de negociação: Fase 1 e Fase 2.

Life:sec/kb

A vida útil da SA, após a qual expira, expressa em segundos ou em kilobytes.

Mon

O campo Mon refere-se ao status do monitoramento de VPN. Se o monitoramento de VPN estiver ativado, esse campo exibirá U (up) ou D (down). Um hífen (-) significa que o monitoramento de VPN não está habilitado para esta SA. A V significa que a verificação do caminho do datapath do IPSec está em andamento.

lsys

O sistema raiz.

Port

Se Network Address Translation (NAT) for usado, esse valor será de 4.500. Caso contrário, ela é a porta IKE padrão, 500.

Gateway

Endereço de gateway do sistema.

Tabela 3: show security ipsec sa detail Output Fields

Nome de campo

Descrição de campo

ID

Número de índice da SA. Você pode usar esse número para obter informações adicionais sobre a SA.

Virtual-system

O nome do sistema virtual.

VPN Name

Nome IPSec para VPN.

Local Gateway

Endereço de gateway do sistema local.

Remote Gateway

Endereço de gateway do sistema remoto.

Local Identity

Identidade do peer local para que seu gateway de destino de parceiro possa se comunicar com ele. O valor é especificado como um endereço IP, nome de domínio totalmente qualificado, endereço de e-mail ou nome distinto (DN).

Remote Identity

endereço IP do gateway de peer de destino.

Version

IKE versão. Por exemplo, IKEv1, IKEv2.

DF-bit

Estado da bit não fragmentada: set ou cleared .

Bind-interface

A interface do túnel à qual a VPN baseada em roteamento está ligada.

Eventos de túnel

Direction

Direção da SS; pode ser de entrada ou saída.

AUX-SPI

Valor do índice de parâmetro de segurança auxiliar (SPI).

  • Quando o valor AH é ESP ou, AUX-SPI sempre, 0.

  • Quando o valor AH+ESP é, AUX-SPI é sempre um número inteiro positivo.

VPN Monitoring

Se o monitoramento de VPN estiver ativado, o Mon campo será exibido ou U (up)D (down) . Um hífen (-) significa que o monitoramento de VPN não está habilitado para esta SA. A V significa que a verificação do caminho do datapath do IPsec está em andamento.

Hard lifetime

A dura vida útil especifica a vida útil da SA.

  • Expires in seconds - Número de segundos até a sa expirar.

Lifesize Remaining

O lifesize restante especifica os limites de uso em quilobytes. Caso não haja um lifesize especificado, ele mostrará ilimitado.

Soft lifetime

A vida útil leve informa ao sistema de gerenciamento de chaves IPsec que a SA está prestes a expirar. Cada vida útil de uma SA tem duas opções de exibição, duras e moles, uma das quais deve estar presente para uma SA dinâmica. Isso permite que o sistema de gerenciamento principal negocie uma nova S.A. antes da dura vida expirar.

  • Expires in seconds - Número de segundos até a sa expirar.

Mode

Modo da S.A.

  • transport - Protege as conexões host-to-host.

  • tunnel - Protege as conexões entre gateways de segurança.

Type

Tipo de SA:

  • manual - Os parâmetros de segurança não exigem negociação. Eles são estáticos e estão configurados pelo usuário.

  • dynamic - Os parâmetros de segurança são negociados pelo protocolo IKE segurança. Os SAs dinâmicos não são suportados no modo de transporte.

State

Estado da SA:

  • Installed - A SAS está instalada no banco de dados SA.

  • Not Installed - A SAS não está instalada no banco de dados SA.

Para o modo de transporte, o valor do estado é sempre instalado.

Protocol

Protocolo suportado.

  • O modo de transporte aceita o Encapsulation Security Protocol (ESP) e o Authentication Header (AH).

  • O modo túnel aceita ESP e AH.

    • Authentication - Tipo de autenticação usada.

    • Encryption - Tipo de criptografia usada.

Anti-replay service

Estado do serviço que impede a repetição dos pacotes. Pode ser EnabledDisabled ou.

Replay window size

Tamanho configurado da janela de serviço antireplay. Podem ser 32 ou 64 pacotes. Se o tamanho da janela de replay for 0, o serviço de antireplay será desabilitado.

O tamanho da janela antireplay protege o receptor contra ataques de replay ao rejeitar pacotes antigos ou duplicados.

Túnel de enlace interchassis

Modo de criptografia de enlace HA

Suporte ao modo de alta disponibilidade. É exibido quando o recurso de alta disponibilidade de Multi-Node vários nós está ativado.

Sample Output

Para a brevidade, as saídas de comando show não exibem todos os valores da configuração. Somente um subconjunto da configuração é exibido. O restante da configuração do sistema foi substituído por elipses (...).

show security ipsec security-associations (IPv4)

show security ipsec security-associations (IPv6)

show security ipsec security-associations index 511672

show security ipsec security-associations index 131073 detail

A partir da versão 18.2R1 Junos OS, a saída CLI exibe todos os detalhes show security ipsec security-associations index index-number detail sa-filho, incluindo o nome da classe de encaminhamento.

show security ipsec sa

show security ipsec sa detail

A partir da versão 19.1R1 Junos OS, um novo campo na saída da CLI exibe a tunnel-establishmentshow security ipsec sa detail opção configurada na ipsec vpn establish-tunnels hierarquia.

show security ipsec security-association

show security ipsec security-associations brief

show security ipsec security-associations detail

show security ipsec security-associations family inet6

show security ipsec security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ipsec security-associations detail (ADVPN Suggester, Static Tunnel)

show security ipsec security-associations detail (ADVPN Partner, Static Tunnel)

show security ipsec security-associations sa-type shortcut (ADVPN)

show security ipsec security-associations sa-type shortcut detail (ADVPN)

show security ipsec security-associations family inet detail

show security ipsec security-associations detail (SRX4600)

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

Um novo campo de saída correspondente a cada IPsec SA dentro de IKE SA Index um túnel é exibido em cada informação IPsec SA.

show security ipsec security-associations detail (SRX Series devices and MX Series Routers)

Na Versão 20.4R2, 21.1R1 do Junos OS e posteriormente, você pode executar o comando para exibir o tipo de seletor de tráfego para show security ipsec security-associations detail uma VPN.

show security ipsec security-associations detail (SRX Series devices)

A partir da versão 21.1R1 do Junos OS, você pode ver os detalhes do seletor de tráfego, que incluem, identidade local, identidade remota, protocolo, intervalo de porta de origem, intervalo de porta de destino para vários termos definidos para uma IPsec SA.

Nas versões anteriores do Junos, a seleção de tráfego para uma DETERMINADA S.A. é executada usando-se um intervalo de IP existente definido usando endereço IP ou netmask. A partir da versão 21.1R1 do Junos OS, além disso, o tráfego é selecionado por meio do protocolo especificado usando-se protocol_name. Além disso, uma escala de porta baixa e alta especificada para números de porta de origem e destino.

Release Information

Comando introduzido no Junos OS Release 8.5. Suporte para family a opção adicionada na Versão 11.1 do Junos OS.

Suporte para a vpn-name opção adicionada no Junos OS Release 11.4R3. Suporte para o traffic-selector campo de opção e seletor de tráfego adicionado no Junos OS Release 12.1X46-D10.

Suporte para ADVPN (Auto Discovery VPN) adicionado no Junos OS Release 12.3X48-D10.

Suporte para verificação de caminho de dados IPsec adicionada no Junos OS Release 15.1X49-D70.

Suporte para ancoragem de segmentos adicionado no Junos OS Release 17.4R1.

A partir do Junos OS Release 18.2R2 a saída de comando incluirá informações de ancoragem de segmento para as associações de show security ipsec security-assocations detail segurança (SAs).

A partir da versão 19.4R1 Junos OS, nós prevalecemos a opção CLI (nome da classe COS Forward) no novo processo que exibe as associações de segurança fc-nameiked (SAs) sob o comando show show security ipsec sa .

Suporte para a ha-link-encryption opção adicionada no Junos OS Release 20.4R1.