show ike security-associations

IKE 对等方

IKE 协商的远程端。

作用

在 IKE 会话中扮演的角色。触发 IKE 协商的路由器是发起方，接受第一个 IKE 交换数据包的路由器是响应方。

远程地址

响应者的地址。

状态

IKE 安全关联的状态：

• 成熟 — 建立 IKE 安全关联。

• 不成熟 — IKE 安全关联正在协商过程中。

发起方 Cookie

触发 IKE 协商时，将向远程节点发送一个随机数。

响应方 Cookie

远程节点生成自己的随机数，并将其发送回发起方，以验证是否已收到数据包。

在众多可用的安全服务中，针对拒绝服务 （DoS） 的保护是最难解决的问题之一。“cookie”或防堵塞令牌 （ACT） 旨在保护计算资源免受攻击，而无需花费过多的 CPU 资源来确定 cookie 的真实性。在 CPU 密集型公钥操作之前进行交换可能会阻止某些 DoS 尝试（例如使用无效 IP 源地址进行简单泛洪）。

交换类型

指定 IKE 交换中的消息数以及每条消息中包含的有效负载类型。每种交换类型都提供一组特定的安全服务，例如参与者的匿名性、密钥材料的完全向前保密以及参与者的身份验证。Junos OS 支持两种类型的交换：

• 主 - 交换通过六条消息完成。 Main 加密有效负载，保护邻居的身份。

• 积极 — 交换通过三条消息完成。 积极 不会加密有效负载，使邻居的身份不受保护。

身份验证方法

身份验证类型确定交换哪些有效负载以及何时交换。Junos OS 仅支持 预共享密钥。

当地

本地端的前缀和端口号。

远程

远程端的前缀和端口号。

一生

IKE 安全关联过期前剩余的秒数。

算法

IKE 算法输出的标头。

• 身份验证 - 使用的身份验证算法类型：md5 或 sha1。

• 加密 - 使用的加密算法类型： des-cbc、 3des-cbc 或 None。

• 伪随机函数 - 生成高度不可预测的随机数的函数：hmac-md5 或hmac-sha1。

流量统计

IKE 安全关联上接收和传输的字节数和数据包数。

• 输入字节、输出字节 - IKE 安全关联上接收和传输的字节数。

• 输入数据包、输出数据包 — IKE 安全关联上接收和传输的数据包数。

标志

向密钥管理进程发送 IKE 协商状态的通知：

• 已发送呼叫方通知 — 呼叫方程序已收到有关 IKE 协商完成的通知。

• 等待完成 - 协商完成。库正在等待远程端重新传输计时器过期。

• 等待删除 - 协商失败。在删除此协商之前，库正在等待远程端重新传输计时器过期。

• 正在等待策略管理器 — 协商正在等待策略管理器的响应。

IPsec 安全伙伴

使用此 IKE 安全关联创建和删除的 IPsec 安全关联数。

第 2 阶段谈判正在进行中

正在进行的第 2 阶段 IKE 协商数和状态信息：

• 协商类型 — 第 2 阶段协商的类型。Junos OS 当前支持 快速模式。

• 消息 ID — 第 2 阶段协商的唯一标识符。

• 本地身份 — 本地第 2 阶段 协商的标识。格式为 id-type-name （proto-name：port-number，[0..id-data-len] = iddata-presentation）

• 远程身份 — 远程第 2 阶段 协商的身份。格式为 id-type-name （proto-name：port-number，[0..id-data-len] = iddata-presentation）

• 标志 — 向密钥管理进程发送有关 IKE 协商状态的通知：

  • 已发送呼叫方通知 — 呼叫方程序已收到有关 IKE 协商完成的通知。

  • 等待完成 - 协商完成。库正在等待远程端重新传输计时器过期。

  • 等待删除 - 协商失败。在删除此协商之前，库正在等待远程端重新传输计时器过期。

  • 正在等待策略管理器 — 协商正在等待策略管理器的响应。