Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ike security-associations

语法

描述

显示有关互联网密钥交换安全关联 (IKE SA) 的信息。

选项

  • none - 显示有关现有 IKE SA 的标准信息,包括索引号。

  • peer-address—(可选)根据目标对等方的 IPv4 或 IPv6 地址显示有关特定 SA 的详细信息。此选项和 index 提供相同级别的输出。

  • brief—(可选)显示有关所有现有 IKE SA 的标准信息。(默认)

  • detail—(可选)显示有关所有现有 IKE SA 的详细信息。

  • family—(可选)按家族显示 IKE SA。此选项用于筛选输出。

    • inet—IPv4 地址族。

    • inet6—IPv6 地址族。

  • fpc slot-number—(可选)显示有关此灵活 PIC 集中器 (FPC) 插槽中现有 IKE SA 的信息。此选项用于筛选输出。

    在机箱群集中,在操作模式下执行 CLI 命令 show security ike security-associations pic <slot-number> fpc <slot-number> 时,仅显示有关指定灵活 PIC 集中器 (FPC) 插槽和 PIC 插槽中现有 IPsec SA 的主节点信息。

    从 Junos OS 23.4R1 版开始,安装软件包以使用进程运行 IKED IPsec VPN 时junos-ike,此选项不可用。

  • index SA-index-number—(可选)根据特定 SA 的索引号显示该 SA 的信息。对于特定 SA,请使用不带选项的命令显示现有 SA 的列表。此选项和 peer-address 提供相同级别的输出。

  • kmd-instance —(可选)显示由 FPC slot-number 和 PIC slot-number标识的密钥管理进程中的现有 IKE SA(在本例中为 KMD)的相关信息。此选项用于筛选输出。

    • all— 在服务处理单元 (SPU) 上运行的所有 KMD 实例。

    • kmd-instance-name—在 SPU 上运行的 KMD 实例的名称。

    从 Junos OS 23.4R1 版开始,安装软件包以使用进程运行 IKED IPsec VPN 时junos-ike,此选项不可用。

node-local

—(可选)显示有关多节点高可用性设置中节点本地隧道的 IKE SA 的信息。

  • pic slot-number —(可选)显示有关此 PIC 插槽中现有 IKE SA 的信息。此选项用于筛选输出。

    从 Junos OS 23.4R1 版开始,安装软件包以使用进程运行 IKED IPsec VPN 时junos-ike,此选项不可用。

  • sa-type shortcut—(可选)它适用于 ADVPN。按类型 shortcut显示有关 IKE SA 的信息。

  • srg-id—(可选)显示与特定服务冗余组 (SRG) 相关的信息。

所需权限级别

视图

输出字段

表 1 列出了命令 show security ike security-associations 的输出字段。输出字段按其出现的大致顺序列出。

表 1:显示安全 IKE 安全关联输出字段

字段名称

字段说明

IKE Peer or Remote Address

本地对等方与之通信的目标对等方的 IP 地址。

Index

SA 的索引号。此数字是内部生成的数字,可用于显示有关单个 SA 的信息。

Gateway Name

IKE 网关的名称。

Location

  • FPC—灵活的 PIC 集中器 (FPC) 插槽编号。

  • PIC- PIC 插槽编号。

  • KMD-Instance— 在 SPU 上运行的 KMD 实例的名称,由 FPC slot-number 和 PIC slot-number标识。目前,每个 SPU 上运行 4 个 KMD 实例,任何特定的 IKE 协商都由单个 KMD 实例执行。

Role

在 IKE 会话中扮演的角色。触发 IKE 协商的设备是发起方,接受第一个 IKE 交换数据包的设备是响应方。

State

IKE SA 的状态:

  • DOWN— SA 尚未与对等方协商。

  • UP—SA 已与对等方协商。

Initiator cookie

随机数,称为 Cookie,在触发 IKE 协商时发送到远程节点。

Responder cookie

由远程节点生成并发送回发起方以验证是否已收到数据包的随机数。

Cookie 旨在保护计算资源免受攻击,而无需花费过多的 CPU 资源来确定 Cookie 的真实性。

Exchange type

由两个 IPsec 终结点(或对等方)商定的协商方法,用于在彼此之间交换信息。每种交换类型或模式确定消息数和每条消息中包含的有效负载类型。模式包括:

  • main—交换是通过六条消息完成的。此模式对有效负载进行加密,从而保护邻居的身份。

  • aggressive—交换通过三条消息完成。此模式不会加密有效负载,使邻居的身份不受保护。

IKEv2 协议不使用模式配置进行协商。因此,该模式显示安全关联的版本号。

Authentication method

用于验证 IKE 消息源的方法, Pre-shared-keys IKE 消息可以是数字证书,如 DSA-signaturesECDSA-signatures-256ECDSA-signatures-384RSA-signatures

Local

本地对等方的地址。

Remote

远程对等方的地址。

Lifetime

IKE SA 过期前剩余的秒数。

Reauth Lifetime

启用后,重新身份验证触发新的 IKEv2 SA 协商之前的剩余秒数。

IKE Fragmentation

Enabled 意味着 IKEv2 发起方和响应方都支持消息分段,并在IKE_SA_INIT消息交换期间协商了支持。

Size 显示 IKEv2 消息分段之前的最大大小。

Algorithms

在 IPsec 第 2 阶段过程中,用于加密和保护对等方之间交换的 IKE 算法:

  • Authentication—使用的身份验证算法类型:

    • sha1— 安全散列算法 1 身份验证。

    • md5- MD5 认证。

  • Encryption—使用的加密算法类型:

    • aes-256-cbc—高级加密标准 (AES) 256 位加密。

    • aes-192-cbc— AES192 位加密。

    • aes-128-cbc—AES 128 位加密。

    • 3des-cbc—3 数据加密标准 (DES) 加密。

    • aes-128-gcm—高级加密标准 (AES) 256 位加密。

    • des-cbc—DES 加密。

    从 Junos OS 19.4R2 版开始,在层次结构级别将 [edit security ipsec proposalproposal-name] OR aes-256-gcm 配置为aes-128-gcm加密算法时,命令的 show security ikesecurity-associations detail身份验证算法字段将显示相同的已配置加密算法。

  • Pseudo random function- 生成高度不可预测的随机数的函数: hmac-md5hmac-sha1

  • Diffie-Hellman group— 指定执行新的 Diffie-Hellman 交换时 Diffie-Hellman 组的类型。它可以是以下项之一:

    • group1—768 位模块化指数 (MODP) 算法。

    • group2- 1024 位 MODP 算法。

    • group14- 2048 位 MODP 组。

    • group15- 3072 位 MODP 算法。

    • group16- 4096 位 MODP 算法。

    • group19—256 位随机椭圆曲线组模素数(ECP 组)算法。

    • group20—384 位随机 ECP 组算法。

    • group21—521 位随机 ECP 组算法。

    • group24- 具有 256 位素数阶子组的 2048 位 MODP 组。

Traffic statistics

  • Input bytes—接收的字节数。

  • Output bytes—传输的字节数。

  • Input packets—接收的数据包数。

  • Output packets—传输的数据包数。

  • Input fragmented packets— 收到的 IKEv2 分段数据包数。

  • Output fragmented packets— 传输的 IKEv2 分段数据包数。

Flags

向密钥管理进程发送 IKE 协商状态的通知:

  • caller notification sent— 调用方程序收到有关 IKE 协商完成的通知。

  • waiting for done——谈判完成。库正在等待远程端重新传输计时器过期。

  • waiting for remove—协商失败。在删除此协商之前,库正在等待远程端重新传输计时器过期。

  • waiting for policy manager— 协商正在等待策略管理器的响应。

IPSec security associations

  • number created: 创建的 SA 数。

  • number deleted:已删除的 SA 数。

Phase 2 negotiations in progress

正在进行的第 2 阶段 IKE 协商数和状态信息:

  • Negotiation type— 第 2 阶段协商的类型。Junos OS 目前支持快速模式。

  • Message ID— 第 2 阶段协商的唯一标识符。

  • Local identity— 本地第 2 阶段协商的身份。格式为 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)

  • Remote identity—远程第 2 阶段协商的身份。格式为 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)

  • Flags— 向密钥管理进程发送 IKE 协商状态的通知:

    • caller notification sent— 调用方程序收到有关 IKE 协商完成的通知。

    • waiting for done——谈判完成。库正在等待远程端重新传输计时器过期。

    • waiting for remove—协商失败。在删除此协商之前,库正在等待远程端重新传输计时器过期。

    • waiting for policy manager— 协商正在等待策略管理器的响应。

Local gateway interface

本地网关的接口名称。

Routing instance

本地网关路由实例的名称。

IPsec Tunnel IDs

指示子 IPsec 隧道 ID 的列表

示例输出

显示安全 IKE 安全关联 (IPv4)

显示安全 IKE 安全关联 (IPv6)

显示安全 IKE 安全关联详细信息(SRX300、SRX320、SRX340、SRX345 和SRX550HM设备)

显示安全 IKE 安全关联详细信息(SRX5400、SRX5600 和SRX5800设备)

命令名称

显示安全性 ike 统计信息主题列出了命令的show security ike security-associations detail输出字段。

显示安全 IKE 安全关联系列 INET6

显示安全 IKE 安全关联索引222075191详细信息

显示安全 IKE 安全关联索引788674详细信息

显示安全 IKE 安全关联 192.168.1.2

显示安全 IKE 安全关联 FPC 6 PIC 1 kmd 实例全部(SRX 系列防火墙)

显示安全 IKE 安全关联详细信息(ADVPN 建议器、静态隧道)

显示安全 IKE 安全关联详细信息(ADVPN 伙伴,静态隧道)

显示安全 IKE 安全关联详细信息(ADVPN 合作伙伴,快捷方式)

显示安全 IKE 安全关联 SA 类型快捷方式 (ADVPN)

显示安全 IKE 安全关联 SA 类型快捷方式详细信息 (ADVPN)

显示安全 IKE 安全关联详细信息(IKEv2 重新验证)

显示安全 IKE 安全关联详细信息(IKEv2 分段)

显示安全 IKE 安全关联 SRG-ID

显示安全 IKE 安全关联节点本地

显示安全 IKE 安全关联节点本地详细信息

发布信息

在 Junos OS 8.5 版中引入的命令。支持 Junos OS 9.3 版中添加的 fpcpickmd-instance 选项。支持 Junos OS 11.1 版中添加的选项 family 。支持 Junos OS 版本 12.3X48-D10 中添加的自动发现 VPN。Junos OS 版本 15.1X49-D60 中添加了对 IKEv2 重新身份验证的支持。支持 Junos OS 版本 15.1X49-D80 中添加的 IKEv2 分段。

ha-link-encryption支持 Junos OS 20.4R1 版中添加的选项。

支持 Junos OS 22.4R1 版中添加的选项 srg-id

支持 Junos OS 23.2R1 版中添加的选项 node-local