show security ike active-peer
语法
show security ike active-peer <peer-address> <aaa-username username> <brief | detail> <debug> local-address IP address local-ike-id IKE ID local-port port number (1..65535) <fpc slot-number pic slot-number> <ike-id IKE-ID> <kmd-instance (all | kmd-instance-name)> <node-local> <pic slot-number fpc slot-number> <port port-number peer-address> <srg-id id-number> routing-instance name of the local gateway routing instance stats <ha-link-encryption>
描述
显示已连接的活动用户列表,其中包含有关他们正在使用的对等地址和端口的详细信息。
选项
peer-address | (可选)显示有关具有指定对等方地址的用户的详细信息。 |
aaa-username username | (可选)显示有关具有指定身份验证、授权和记帐 (AAA) 用户名的用户的信息。 |
brief | (可选)显示有关所有用户的标准信息。(默认) |
detail | (可选)显示有关所有用户的详细信息。 |
debug | (可选)显示有关所有用户的调试信息。 |
local-address | 显示有关具有指定本地网关 IP 地址的用户的信息。 |
local-ike-id | 显示有关具有指定本地网关 IKE ID 的用户的信息。 |
local-port port-number | 在指定本地网关 IP 地址的指定本地网关端口号上显示有关用户的信息。 |
fpc slot-number pic slot-number | (可选)显示有关指定灵活 PIC 集中器 (FPC) 插槽和 PIC 插槽上的用户的信息。 |
ike-id IKE-ID | (可选)显示有关具有指定 IKE ID 的用户的信息。 |
kmd-instance (all | kmd-instance-name) | (可选)显示有关由 FPC 和 PIC slot-number slot-number标识的密钥管理进程 (KMD) 中的用户的信息。
|
node-local | —(可选)显示有关多节点高可用性设置中节点本地隧道的用户的信息。 |
pic slot-number fpc slot-number | (可选)显示有关指定 PIC 插槽和 FPC 插槽上的用户的信息。 |
port port-number peer-address | (可选)显示有关指定对等方地址的指定端口上的用户的信息。 |
routing-instance | 显示有关指定本地网关路由实例上的用户的信息。 |
stats | 显示详细输出以及在对等方累积的 IKE SA 统计信息。 |
ha-link-encryption | (可选)仅显示与机箱间链路 (ICL) 隧道相关的信息。请参阅 ipsec(高可用性)并显示安全性 ike active-peer ha-link-encryption (SRX5400、SRX5600、SRX5800)。 |
srg-id number | (可选)显示与多节点高可用性设置中的特定服务冗余组 (SRG) 相关的信息。 |
所需权限级别
视图
输出字段
表 1 列出了命令 show security ike active-peer
的输出字段。输出字段按其出现的大致顺序列出。
字段名称 |
字段说明 |
输出级别 |
---|---|---|
|
对等方的 IP 地址。 |
|
|
对等方使用的端口。 |
所有级别 |
|
对等方使用的 IKE ID。 |
所有级别 |
|
对等方的用户名。 |
所有级别 |
|
分配给对等方的 IP 地址。 |
|
|
分配给对等方的网络属性可以包括 IP 地址和网络掩码,以及 DNS 和 WINS 服务器地址。 |
|
|
先前分配给对等方的 IP 地址。 |
|
|
与对等方关联的 SA 的索引号。此数字是内部生成的数字。 |
|
|
协商的 IKE SA 数。 |
|
|
活动的 IPsec 隧道数。 |
|
|
活动 IPsec 隧道的 ID。 |
|
|
DPD 配置值。 |
|
|
有关 DPD 操作的信息。 |
|
|
本地网关的接口名称。 |
|
|
本地网关路由实例的名称。 |
|
|
本地网关的 IP 地址。 |
|
|
本地网关使用的 IKE ID。 |
|
示例输出
- 显示安全 IKE 主动对等方
- 显示安全 IKE 主动对等方统计信息
- 显示安全 IKE 主动对等方详细信息
- 显示安全性 IKE 主动对等 HA-链路加密(SRX5400、SRX5600、SRX5800)
- 显示安全性 IKE 主动对等体 SRG-ID 1
- 显示安全性 IKE 主动-对等节点-本地
显示安全 IKE 主动对等方
user@host> show security ike active-peer Remote Address Port Peer IKE-ID AAA username Assigned IP 192.168.6.136 8034 user1tac@650a user1 192.168.80.225
显示安全 IKE 主动对等方统计信息
user@host> show security ike active-peer stats Local gateway interface: xe-1/1/2 Routing instance: default Local address: 192.0.2.1, Port: 500, Local IKE-ID : device.example.net Peer address: 198.51.100.2, Port: 500, Peer IKE-ID : device1.example.net AAA username: not available Assigned network attributes: IP Address : 192.0.2.10 , netmask : 255.255.255.0 DNS Address : 19851.100.25 , DNS2 Address : 198.51.100.26 WINS Address : 203.0.113.25 , WINS2 Address : 203.0.113.26 Assigned network attributes (IPv6): IP Address : :: , prefix : 0 DNS Address : 2001:db8:::ffff , DNS2 Address : 2001:db8::1001 Previous Peer address : 0.0.0.0, Port : 0 Active IKE SA indexes : 1 IKE SA negotiated : 1 IPSec tunnels active : 1, IPSec Tunnel IDs : 500001 IKE_SA_INIT exchange stats: Initiator stats: Responder stats: Request Out : 0 Request In : 1 Response In : 0 Response Out : 1 Invalid KE Payload In : 0 Invalid KE Payload Out : 0 No Proposal Chosen In : 0 No Proposal Chosen Out : 0 Cookie Request In : 0 Cookie Request Out : 0 Cookie Response Out : 0 Cookie Response In : 0 Res Invalid IKE SPI : 0 Res DH Gen Key Fail : 0 Res Verify SA Fail : 0 Res Invalid DH Group Conf: 0 Res IKE SA Fill Fail : 0 Res Get CAs Fail : 0 Res Verify DH Group Fail: 0 Res Get VID Fail : 0 Res DH Compute Key Fail : 0 Res DH Compute Key Fail : 0 IKE_AUTH exchange stats: Initiator stats: Responder stats: Request Out : 0 Request In : 1 Response In : 0 Response Out : 1 No Proposal Chosen In : 0 No Proposal Chosen Out : 0 TS Unacceptable In : 0 TS Unacceptable Out : 0 Authentication Failed In: 0 Authentication Failed Out: 0 IKE SA Rekey CREATE_CHILD_SA exchange stats: Initiator stats: Responder stats: Request Out : 0 Request In : 0 Response In : 0 Response Out : 0 No Proposal Chosen In : 0 No Proposal Chosen Out : 0 Invalid KE In : 0 Invalid KE Out : 0 Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0 Res Verify SA Fail : 0 Res Fill IKE SA Fail : 0 Res Verify DH Group Fail: 0 IPsec SA Rekey CREATE_CHILD_SA exchange stats: Initiator stats: Responder stats: Request Out : 0 Request In : 0 Response In : 0 Response Out : 0 No Proposal Chosen In : 0 No Proposal Chosen Out : 0 Invalid KE In : 0 Invalid KE Out : 0 TS Unacceptable In : 0 TS Unacceptable Out : 0 Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0 Res Verify SA Fail : 0 Res Verify DH Group Fail: 0 Res Verify TS Fail : 0
显示安全 IKE 主动对等方详细信息
user@host> show security ike active-peer detail Local gateway interface: xe-1/1/2 Routing instance: default Local address: 192.0.2.1, Port: 500, Local IKE-ID : device.example.net Peer address: 198.51.100.2, Port: 500, Peer IKE-ID : device1.example.net AAA username: not available Assigned network attributes: IP Address : 192.0.2.10 , netmask : 255.255.255.0 DNS Address : 198.51.100.25 , DNS2 Address : 198.51.100.26 WINS Address : 203.0.113.25 , WINS2 Address : 203.0.113.26 Assigned network attributes (IPv6): IP Address : 5000::1 , prefix : 112 DNS Address : 1000::ffff:ffff , DNS2 Address : 1100::ffff:ffff Previous Peer address : 0.0.0.0, Port : 0 Active IKE SA indexes : 1 IKE SA negotiated : 1 IPSec tunnels active : 1, IPSec Tunnel IDs : 500001
显示安全性 IKE 主动对等 HA-链路加密(SRX5400、SRX5600、SRX5800)
从 Junos OS 20.4R1 版开始,配置高可用性 (HA) 功能时,可以使用此 show 命令仅查看机箱间链路隧道详细信息。以下命令仅显示机箱间链路活动对等方,而不显示常规活动对等方。
user@host> show security ike active-peer ha-link-encryption Remote Address Port Peer IKE-ID AAA username Assigned IP 23.0.0.2 500 23.0.0.2 not available 0.0.0.0
显示安全性 IKE 主动对等体 SRG-ID 1
user@host> show security ike active-peer srg-id 1 Remote Address Port Peer IKE-ID AAA username Assigned IP 10.112.0.1 500 10.112.0.1 not available 0.0.0.0
显示安全性 IKE 主动-对等节点-本地
user@host> show security ike active-peer node-local Remote Address Port Peer IKE-ID AAA username Assigned IP 6.0.0.2 500 DC=juniper, CN=r0, OU=marketing, O=juniper, L=sunnyvale, ST=california, C=usnot available 0.0.0.0
user@host> show security ike active-peer node-local detail Local gateway interface: xe-0/0/2.0 Routing instance: default Local address: 4.0.0.1, Port: 500, Local IKE-ID : DC=juniper, CN=r0, OU=marketing, O=juniper, L=sunnyvale, ST=california, C=us Peer address: 6.0.0.2, Port: 500, Peer IKE-ID : DC=juniper, CN=r0, OU=marketing, O=juniper, L=sunnyvale, ST=california, C=us AAA username: not available Assigned network attributes: IP Address : 0.0.0.0 , netmask : 0.0.0.0 DNS Address : 0.0.0.0 , DNS2 Address : 0.0.0.0 WINS Address : 0.0.0.0 , WINS2 Address : 0.0.0.0 Assigned network attributes (IPv6): IP Address : :: , prefix : 0 DNS Address : :: , DNS2 Address : :: Previous Peer address : 0.0.0.0, Port : 0 Active IKE SA indexes : 25 IKE SA negotiated : 1 IPSec tunnels active : 1, IPSec Tunnel IDs : 500003 DPD Config Mode : always-send DPD Config Interval: 10 DPD Config Treshold: 3 DPD Config P1SA IDX: 25 DPD Stats Req sent: 5, DPD Stats Resp rcvd: 5 DPD Statistics : DPD TTL :3 DPD seq-no :0 DPD Statistics : DPD triggerd p1SA :0 DPD Reserved :0
发布信息
Junos OS 10.4 版中引入的命令。支持显示 Junos OS 版本 12.3X48-D10 中添加的失效对等体检测 (DPD) 统计信息。
ha-link-encryption
支持 Junos OS 20.4R1 版中添加的选项。
支持 Junos OS 22.4R1 版中添加的选项 srg-id
。
支持 Junos OS 23.2R1 版中添加的选项 node-local
。