Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

show security ipsec security-associations

语法

描述

显示有关 IPsec 安全关联 (SA) 的信息。

在 Junos OS 20.1R2、20.2R2、20.3R2、20.3R1 及更高版本中,当您执行命令 show security ipsec security-associations detail 时,每个 IPsec SA 信息下都会显示与隧道内每个 IPsec SA 对应的新输出字段 IKE SA Index 。请参阅 显示安全 IPsec 安全关联详细信息(SRX5400、SRX5600、SRX5800)。

选项

none

显示有关所有 SA 的信息。
brief | detail | extensive

(可选)显示指定的输出级别。默认值为 brief
family

(可选)按系列显示 SA。此选项用于筛选输出。

  • inet—IPv4 地址族。

  • inet6—IPv6 地址族。
fpc slot-numberpic slot-number

(可选)显示有关指定灵活 PIC 集中器 (FPC) 插槽和 PIC 插槽中现有 IPsec SA 的信息。

在机箱群集中,在操作模式下执行 CLI 命令 show security ipsec security-associations pic <slot-number> fpc <slot-number> 时,仅显示有关指定灵活 PIC 集中器 (FPC) 插槽和 PIC 插槽中现有 IPsec SA 的主节点信息。

index SA-index-number

(可选)显示有关此索引号标识的指定 SA 的详细信息。若要获取包含其索引号的所有 SA 的列表,请使用不带选项的命令。
kmd-instance

(可选)显示有关由 FPC 和 PIC slot-number slot-number标识的密钥管理进程(在本例中为 KMD)中现有 IPsec SA 的信息。

当您具有 kmd IPsec VPN 功能的进程时,此选项适用。当启用 iked 使用包运行 junos-ike IPsec VPN 功能的进程时,此选项不可用。

  • all— 在服务处理单元 (SPU) 上运行的所有 KMD 实例。

  • kmd-instance-name—在 SPU 上运行的 KMD 实例的名称。
node-local

—(可选)显示有关多节点高可用性设置中节点本地隧道的 IPsec SA 的信息。
pic slot-numberfpc slot-number

(可选)显示有关指定 PIC 插槽和 FPC 插槽中现有 IPsec SA 的信息。
sa-type shortcut

(可选)它适用于 ADVPN。按类型 shortcut显示有关 IPsec SA 的信息。
traffic-selector traffic-selector-name

(可选)显示有关指定流量选择器的信息。
vpn-name vpn-name

(可选)显示有关指定 VPN 的信息。
ha-link-encryption

(可选)仅显示与机箱间链路隧道相关的信息。请参阅 ipsec(高可用性),显示安全 IPsec 安全关联 ha-link 加密(SRX5400、SRX5600、SRX5800)显示安全 IPsec SA 详细信息 ha-link-加密(SRX5400、SRX5600、SRX5800)。
srg-id

(可选)显示与多节点高可用性设置中的特定服务冗余组 (SRG) 相关的信息。

所需权限级别

视图

输出字段

表 1 列出了命令的 show security ipsec security-associations 输出字段, 表 2 列出了命令的 show security ipsec sa 输出字段, 表 3. 列出了 的 show security ipsec sa detail输出字段。输出字段按其出现的大致顺序列出。

表 1:显示安全 IPsec 安全关联

字段名称

字段说明

输出级别

Total active tunnels

活动 IPsec 隧道总数。

brief

ID

SA 的索引号。您可以使用此号码获取有关 SA 的其他信息。

所有级别

Algorithm

在 IKE 协商期间,用于保护对等方之间交换的加密包括:

  • 一种身份验证算法,用于验证对等方之间的交换。

  • 用于加密数据流量的加密算法。

brief

SPI

安全参数索引 (SPI) 标识符。SA 由 SPI 唯一标识。每个条目都包含 VPN 的名称、远程网关地址、每个方向的 SPI、加密和身份验证算法以及密钥。每个对等网关都有两个 SA,一个由两个协商阶段(IKE 和 IPsec)产生。

brief

Life: sec/kb

SA 的生存期(在此之后过期)以秒或千字节表示。

brief

Mon

Mon 字段是指 VPN 监控状态。如果启用了 VPN 监控,则此字段将显示 U (打开)或 D (关闭)。连字符 (-) 表示未为此 SA 启用 VPN 监控。A V 表示正在进行 IPsec 数据路径验证。

brief

lsys

根系统。

brief

Port

如果使用网络地址转换 (NAT),则此值为 4500。否则,它是标准 IKE 端口 500。

所有级别

Gateway

远程网关的 IP 地址。

brief

Virtual-system

逻辑系统的名称。

detail, extensive

VPN name

VPN 的 IPsec 名称。

detail, extensive

State

状态有两个选项, InstalledNot Installed

  • Installed- SA 安装在 SA 数据库中。

  • Not Installed- SA 数据库中未安装 SA。

    对于传输模式,状态的值始终 Installed为 。

detail, extensive

Local gateway

本地系统的网关地址。

detail, extensive

Remote gateway

远程系统的网关地址。

detail, extensive

Traffic selector

流量选择器的名称。

detail, extensive

Local identity

本地对等方的标识,以便其合作伙伴目标网关可以与其通信。该值指定为 IP 地址、完全限定域名、电子邮件地址或可分辨名称 (DN)。

detail, extensive

Remote identity

目标对等网关的 IP 地址。

detail, extensive

Term

定义本地 IP 范围、远程 IP 范围、源端口范围、目标端口范围和协议。

detail, extensive

Source-port

为术语配置的源端口范围。

detail, extensive

Destination-Port

为术语配置的目标端口范围。

detail, extensive

Version

IKE 版本, IKEv1IKEv2

detail, extensive

DF-bit

不分段位的状态: setcleared

detail, extensive

Location

FPC—灵活的 PIC 集中器 (FPC) 插槽编号。

PIC- PIC 插槽编号。

KMD-Instance— 在 SPU 上运行的 KMD 实例的名称,由 FPC slot-number 和 PIC slot-number标识。目前,每个 SPU 上运行 4 个 KMD 实例,任何特定的 IPsec 协商都由单个 KMD 实例执行。当您具有 kmd IPsec VPN 功能的进程时,此选项适用。当启用 iked 使用包运行 junos-ike IPsec VPN 功能的进程时,此选项不可用。

detail, extensive

Tunnel events

隧道事件和事件发生的次数。有关隧道事件的描述和可以采取的措施,请参阅 隧道事件

  • detail 选项最多按时间倒序显示 10 个隧道事件。

  • extensive 选项显示所有隧道事件。

detail, extensive

Anchorship

SA 的锚点线程 ID(适用于带选项的 detail SRX4600 系列设备)。

  

Direction

SA的方向;它可以是入站或出站。

detail, extensive

AUX-SPI

辅助安全参数索引 (SPI) 的值。

  • 当值为 AHESP时, AUX-SPI 始终为 0。

  • 当值为 AH+ESP时, AUX-SPI 始终为正整数。

detail, extensive

Mode

SA 模式:

  • transport— 保护主机到主机的连接。

  • tunnel—保护安全网关之间的连接。

detail, extensive

Type

SA 的类型:

  • manual- 安全参数不需要协商。它们是静态的,由用户配置。

  • dynamic— 安全参数由 IKE 协议协商。传输模式下不支持动态 SA。

detail, extensive

State

南非州:

  • Installed- SA 安装在 SA 数据库中。

  • Not Installed- SA 数据库中未安装 SA。

    对于传输模式,状态的值始终 Installed为 。

detail, extensive

Protocol

支持的协议。

  • 传输模式支持封装安全协议 (ESP) 和认证头 (AH)。

  • 隧道模式支持 ESP 和 AH。

detail, extensive

Authentication

使用的身份验证类型。

detail, extensive

Encryption

使用的加密类型。

从 Junos OS 19.4R2 版开始,在层次结构级别将 [edit security ipsec proposal proposal-name] OR aes-256-gcm 配置为aes-128-gcm加密算法时,命令的show security ipsec security-associations detail身份验证算法字段将显示相同的已配置加密算法。

detail, extensive

Soft lifetime

软生存期通知 IPsec 密钥管理系统 SA 即将过期。

SA 的每个生存期都有两个显示选项:硬显示选项和软显示选项,动态 SA 必须存在其中一个显示选项。这允许密钥管理系统在硬生存期到期之前协商新的 SA。

  • Expires in seconds- SA 到期前剩余秒数。

detail, extensive

Hard lifetime

硬生存期指定 SA 的生存期。

  • Expires in seconds- SA 到期前剩余秒数。

detail, extensive

Lifesize Remaining

剩余生存大小指定使用限制(以 KB 为单位)。如果未指定生存大小,则显示无限制。

  • Expires in kilobytes- SA 到期前剩余的千字节数。

detail, extensive

Anti-replay service

阻止数据包重播的服务状态。它可以是 EnabledDisabled

detail, extensive

Replay window size

防重放服务窗口的大小,为 64 位。

detail, extensive

Bind-interface

基于路由的 VPN 绑定到的隧道接口。

detail, extensive

Copy-Outer-DSCP

指示系统是否将外部 DSCP 值从 IP 报头复制到内部 IP 报头。

detail, extensive

tunnel-establishment

指示如何激活 IKE。

detail, extensive

IKE SA index

指示父 IKE 安全关联的列表。

detail, extensive
表 2:显示安全 ipsec sa 输出字段

字段名称

字段说明

Total active tunnels

活动 IPsec 隧道总数。

ID

SA 的索引号。您可以使用此号码获取有关 SA 的其他信息。

Algorithm

在 IKE 第 2 阶段协商期间,用于保护对等方之间交换的加密包括:

  • 一种身份验证算法,用于验证对等方之间的交换。选项包括 hmac-md5-96hmac-sha-256-128hmac-sha1-96

  • 用于加密数据流量的加密算法。选项包括 3des-cbcaes-128-cbcaes-192-cbcaes-256-cbcdes-cbc

SPI

安全参数索引 (SPI) 标识符。SA 由 SPI 唯一标识。每个条目都包含 VPN 的名称、远程网关地址、每个方向的 SPI、加密和身份验证算法以及密钥。每个对等网关都有两个 SA,一个由协商的两个阶段(阶段 1 和第 2 阶段)产生。

Life:sec/kb

SA 的生存期(在此之后过期)以秒或千字节表示。

Mon

Mon 字段是指 VPN 监控状态。如果启用了 VPN 监控,则此字段将显示 U(向上)或 D(向下)。连字符 (-) 表示未为此 SA 启用 VPN 监控。V 表示正在进行 IPSec 数据路径验证。

lsys

根系统。

Port

如果使用网络地址转换 (NAT),则此值为 4500。否则,它是标准 IKE 端口 500。

Gateway

系统的网关地址。
表 3:显示安全 ipsec sa 详细信息输出字段

字段名称

字段说明

ID

SA 的索引号。您可以使用此号码获取有关 SA 的其他信息。

Virtual-system

虚拟系统名称。

VPN Name

VPN 的 IPSec 名称。

Local Gateway

本地系统的网关地址。

Remote Gateway

远程系统的网关地址。

Local Identity

本地对等方的标识,以便其合作伙伴目标网关可以与其通信。该值指定为 IP 地址、完全限定域名、电子邮件地址或可分辨名称 (DN)。

Remote Identity

目标对等网关的 IP 地址。

Version

IKE 版本。例如,IKEv1、IKEv2。

Passive Mode Tunneling

格式错误的数据包的 IPsec 隧道。您可以启用或禁用该选项。

DF-bit

不分段位的状态: setcleared

Bind-interface

基于路由的 VPN 绑定到的隧道接口。
隧道事件

Direction

SA的方向;它可以是入站或出站。

AUX-SPI

辅助安全参数索引 (SPI) 的值。

  • 当值为 AHESP时, AUX-SPI 始终为 0。

  • 当值为 AH+ESP时, AUX-SPI 始终为正整数。

VPN Monitoring

如果启用了 VPN 监控,则该 Mon 字段将显示 U (up)D (down)。连字符 (-) 表示未为此 SA 启用 VPN 监控。V 表示正在进行 IPsec 数据路径验证。

从 Junos OS 23.4R1 版开始,当防火墙使用 iked 进程运行 IPsec VPN 服务时,将显示输出 IntervalThreshold 详细说明。

Hard lifetime

硬生存期指定 SA 的生存期。

  • Expires in seconds - 距离 SA 过期还有的秒数。

Lifesize Remaining

剩余生存大小指定使用限制(以 KB 为单位)。如果未指定生存大小,则显示无限制。

Soft lifetime

软生存期通知 IPsec 密钥管理系统 SA 即将过期。SA 的每个生存期都有两个显示选项:硬显示选项和软显示选项,动态 SA 必须存在其中一个显示选项。这允许密钥管理系统在硬生存期到期之前协商新的 SA。

  • Expires in seconds - 距离 SA 过期还有的秒数。

Mode

SA 模式:

  • transport - 保护主机到主机的连接。

  • tunnel - 保护安全网关之间的连接。

Type

SA 的类型:

  • manual - 安全参数不需要协商。它们是静态的,由用户配置。

  • dynamic - 安全参数由 IKE 协议协商。传输模式下不支持动态 SA。

State

南非州:

  • Installed - SA 安装在 SA 数据库中。

  • Not Installed - SA 数据库中未安装 SA。

对于传输模式,“状态”的值始终为“已安装”。

Protocol

支持的协议。

  • 传输模式支持封装安全协议 (ESP) 和认证头 (AH)。

  • 隧道模式支持 ESP 和 AH。

    • Authentication - 使用的身份验证类型。

    • Encryption - 使用的加密类型。

Anti-replay service

阻止数据包重播的服务状态。它可以是 EnabledDisabled

Replay window size

已配置的防重放服务窗口大小。它可以是 32 或 64 个数据包。如果重放窗口大小为 0,则禁用防重放服务。

防重放窗口大小通过拒绝旧数据包或重复数据包来保护接收方免受重放攻击。

机箱间链路通道

HA 链路加密模式

支持高可用性模式。在启用多节点高可用性功能时显示 Multi-Node

示例输出

为简洁起见,show 命令输出不显示配置的所有值。仅显示配置的子集。系统上的其余配置已替换为省略号 (...)。

显示安全 IPsec 安全关联 (IPv4)

显示安全 IPsec 安全关联 (IPv6)

显示安全 IPsec 安全关联索引511672

显示安全 IPsec 安全关联索引131073详细信息

从 Junos OS 18.2R1 版开始,CLI show security ipsec security-associations index index-number detail 输出显示所有子 SA 详细信息,包括转发类名称。

显示安全 IPsec SA

显示安全 IPsec SA 详细信息

从 Junos OS 19.1R1 版开始,CLI show security ipsec sa detail 输出中的新字段隧道建立会显示在层次结构下ipsec vpn establish-tunnels配置的选项。

从 Junos OS 21.3R1 版开始,CLI show security ipsec sa detail 输出中的新字段隧道 MTU 会显示在层次结构下ipsec vpn hub-to-spoke-vpn tunnel-mtu配置的选项。

从 Junos OS 版本 22.1R3 开始,如果未配置隧道 MTU,则SRX5000系列设备上,隧道 MTU 不会显示在 CLI 输出中。

显示安全 IPsec SA 详细信息 (MX-SPC3)

显示使用被动模式隧道的安全 IPsec SA 详细信息 (MX-SPC3)

显示安全 IPsec 安全关联

显示安全 IPsec 安全关联简介

显示安全 IPsec 安全关联详细信息

显示启用了 VPN 监控的安全 IPsec 安全关联

显示启用了 VPN 监控时的安全 IPsec 安全关联详细信息

显示安全 IPsec 安全关联系列 INET6

显示安全 IPsec 安全关联 FPC 6 PIC 1 kmd 实例全部(SRX 系列防火墙)

显示安全 IPsec 安全关联详细信息(ADVPN 建议器、静态隧道)

显示安全 IPsec 安全关联详细信息(ADVPN 伙伴,静态隧道)

显示安全 IPsec 安全关联 SA 类型快捷方式 (ADVPN)

显示安全 IPsec 安全关联 SA 类型快捷方式详细信息 (ADVPN)

显示安全 IPsec 安全关联家族 inet 详细信息

显示安全 IPsec 安全关联详细信息 (SRX4600)

显示安全 IPsec 安全关联详细信息(SRX5400、SRX5600、SRX5800)

与隧道中的每个 IPsec SA 对应的新输出字段 IKE SA Index 将显示在每个 IPsec SA 信息下。

显示安全 IPsec 安全关联 HA-Link 加密(SRX5400、SRX5600、SRX5800)

从 Junos OS 20.4R1 版开始,配置高可用性 (HA) 功能时,可以使用此 show 命令仅查看机箱间链路隧道详细信息。

显示安全 IPsec SA 详细信息 HA-链路加密(SRX5400、SRX5600、SRX5800)

从 Junos OS 20.4R1 版开始,配置高可用性 (HA) 功能时,可以使用此 show 命令仅查看机箱间链路隧道详细信息。它显示为机箱间链路加密隧道创建的多个 SA。

在 Junos OS 22.3R1 及更高版本中,配置机箱群集 HA 控制链路加密功能时,可以执行 show security ike sa ha-link-encryption detailshow security ipsec sa ha-link-encryption detailshow security ipsec sa ha-link-encryption 命令来查看机箱群集控制链路加密隧道详细信息。

显示安全 IKE SA HA-LINK-加密详细信息

显示安全 IPsec SA HA-链路加密详细信息

显示安全 IPsec SA HA-链路加密

显示安全 IPsec 安全关联详细信息(SRX 系列防火墙和 MX 系列路由器)

在 Junos OS 20.4R2、21.1R1 及更高版本中,您可以执行 show security ipsec security-associations detail 命令来查看 VPN 的流量选择器类型。

显示安全 IPsec 安全关联详细信息(SRX5400、SRX5600、SRX5800)

从 Junos OS 21.1R1 版开始,您可以查看流量选择器详细信息,包括本地身份、远程身份、协议、源端口范围、为 IPsec SA 定义的多个术语的目标端口范围。

在早期的 Junos 版本中,特定 SA 的流量选择是使用使用 IP 地址或网络掩码定义的现有 IP 范围执行的。从 Junos OS 21.1R1 版开始,还可以通过使用 指定的 protocol_name协议选择流量。此外,还为源端口号和目标端口号指定的低端口范围和高端口范围。

显示安全 IPsec 安全关联 SRG-ID

显示安全 IPsec 安全关联节点本地

显示安全 IPsec 安全关联节点本地详细信息

发布信息

在 Junos OS 8.5 版中引入的命令。支持 Junos OS 11.1 版中添加的选项 family

支持 Junos OS 11.4R3 版中添加的选项 vpn-name 。支持 Junos OS 12.1X46-D10 版中添加的选项 traffic-selector 和流量选择器字段。

支持 Junos OS 版本 12.3X48-D10 中添加的自动发现 VPN (ADVPN)。

Junos OS 版本 15.1X49-D70 中添加了对 IPsec 数据路径验证的支持。

支持 Junos OS 17.4R1 版中添加的线程锚定。

从 Junos OS 18.2R2 版开始, show security ipsec security-assocations detail 命令输出将包括安全关联 (SA) 的线程锚点信息。

从 Junos OS 19.4R1 版开始,我们弃用了在 show 命令show security ipsec sa下显示安全关联 (SA) 的新 iked 进程中的 CLI 选项fc-name(COS 转发类名)。

ha-link-encryption支持 Junos OS 20.4R1 版中添加的选项。

支持 Junos OS 22.4R1 版中添加的选项 srg-id

Junos OS 23.1R1 版中引入了对 passive-mode-tunneling MX-SPC3 上的支持。

Junos OS 23.2R1 版中添加了对 node-local 选项的支持。

从 Junos OS 版本 23.4R1 开始, kmd-instance 仅当您具有 kmd IPsec VPN 进程时,选项才可用。使用 iked 包启用 junos-iked 进程时,此选项不可用。

Junos OS 23.4R1 版中添加了对运行 iked 进程的 IPsec VPN 命令输出中的生命大小(以千字节为单位)、剩余生存大小和 VPN 监控信息的支持。

相关文档