Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show services ipsec-vpn ipsec security-associations

语法

描述

(仅限自适应服务接口)显示指定服务集的 IPsec 安全关联。如果未指定服务集,则显示所有服务集的安全关联。

选项

none

显示有关所有服务集的 IPsec 安全关联的标准信息。

brief | detail | extensive

(可选)显示指定的输出级别。

service-set service-set-name

(可选)显示有关特定服务集的信息。

所需权限级别

视图

输出字段

表 1 列出了命令show services ipsec-vpn ipsec security-associations的输出字段。输出字段按其出现的大致顺序列出。

表 1:显示服务 ipsec-vpn ipsec 安全关联输出字段

字段名称

字段说明

输出级别

Service set

为其定义 IPsec 安全关联的服务集的名称。如果适用,还包括外部服务接口 VRF 名称。

所有级别

Rule

应用于安全关联的规则集的名称。

detail extensive

Term

应用于安全关联的 IPsec 术语的名称。

detail extensive

Tunnel index

安全关联的特定 IPsec 隧道的数字标识符。

detail extensive

Local gateway

本地系统的网关地址。

所有级别

Remote gateway

远程系统的网关地址。

所有级别

IPsec inside interface

托管 IPsec 隧道的逻辑接口的名称。

所有级别

Tunnel MTU

IPsec 隧道的 MTU。

所有级别

Total uptime

IPsec 隧道在安全关联重新密钥之间建立的总时间。

detail

Local identity

IPsec 关联的本地实体的协议、地址或前缀以及端口号。格式为 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)。该协议始终显示为 any,因为它在 IPsec 规则中不可由用户配置。同样,输出中的端口号字段始终显示为 0,因为它在 IPsec 规则中不可由用户配置。参数的值 id-data-len 可以是以下值之一,具体取决于 IPsec 规则中配置的地址:

  • 对于 IPv4 地址,长度为 4,显示的值为 3。

  • 对于 IPv4 地址的子网掩码,长度为 8,显示的值为 7。

  • 对于 IPv4 地址范围,长度为 8,显示的值为 7。

  • 对于 IPv6 地址前缀,长度为 16,显示的值为 15。

  • 对于 IPv6 地址前缀的子网掩码,长度为 32,显示的值为 31。

  • 对于一系列 IPv6 地址前缀,长度为 32,显示的值为 31。

id-data-presentation 字段的值表示 IPv4 地址或 IPv6 前缀详细信息。如果指定了完全限定域名 (FQDN),而不是 IPsec 关联的本地对等方的地址,则会显示该域名,而不是地址详细信息。

所有级别

Remote identity

IPsec 关联的远程实体的协议、地址或前缀以及端口号。格式为 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)。该协议始终显示为 any,因为它在 IPsec 规则中不可由用户配置。同样,输出中的端口号字段始终显示为 0,因为它在 IPsec 规则中不可由用户配置。参数的值 id-data-len 可以是以下值之一,具体取决于 IPsec 规则中配置的地址:

  • 对于 IPv4 地址,长度为 4,显示的值为 3。

  • 对于 IPv4 地址的子网掩码,长度为 8,显示的值为 7。

  • 对于 IPv4 地址范围,长度为 8,显示的值为 7。

  • 对于 IPv6 地址前缀,长度为 16,显示的值为 15。

  • 对于 IPv6 地址前缀的子网掩码,长度为 32,显示的值为 31。

  • 对于一系列 IPv6 地址前缀,长度为 32,显示的值为 31。

id-data-presentation 字段的值表示 IPv4 地址或 IPv6 前缀详细信息。如果指定了完全限定域名 (FQDN),而不是 IPsec 关联的远程对等方的地址,则会显示该域名,而不是地址详细信息。

所有级别

Primary remote gateway

配置的主远程对等方的 IP 地址。

所有级别

Backup remote gateway

配置的备份远程对等方的 IP 地址。

所有级别

State

主接口或备份接口的状态: ActiveOfflineStandby。两个 ES PIC 都初始化为 Offline。对于主对等方和备份对等方, State 可以是 ActiveStandby。如果两个对等方都处于 状态 Standby,则两个对等方之间尚不存在连接。

所有级别

Failover counter

PIC 在主接口和备用接口之间切换的次数,或者自软件激活以来隧道在主对等方和远程对等方之间切换的次数。

所有级别

Direction

安全关联的方向: inboundoutbound

所有级别

SPI

安全参数索引的值。

所有级别

AUX-SPI

辅助安全参数索引的值。

  • 当 的值 ProtocolAHESP时, AUX-SPI 始终 0为 。

  • 当 的值ProtocolAH+ESP为 时,AUX-SPI 始终为正整数。

所有级别

Mode

安全关联模式:

  • transport— 保护单个主机到主机保护。

  • tunnel— 保护安全网关之间的连接。

detail extensive

Type

安全关联类型:

  • manual- 安全参数不需要协商。它们是静态的,由用户配置。

  • dynamic— 安全参数由 IKE 协议协商。传输模式下不支持动态安全关联。

detail extensive

State

安全关联的状态:

  • Installed- 安全关联安装在安全关联数据库中。(对于传输模式安全关联,“状态”的值必须始终为“已安装”。

  • Not installed- 安全关联未安装在安全关联数据库中。

detail extensive

Protocol

支持的协议:

  • transport 模式支持封装安全协议 (ESP) 或认证头 (AH)。

  • tunnel 模式支持 ESPAH+ESP

所有级别

Authentication

使用的身份验证类型: hmac-md5-96hmac-sha1-96none

detail extensive

Encryption

使用的加密算法类型:可以是 3des-cbc、 、 aes-cbc (192 bits)aes-cbc (128 bits)aes-gcm (128 bits)aes-gcm(192 bits)aes-gcm (256 bits)aes-cbc (256 bits)des-cbc或 。None

注意:

在 Junos FIPS 模式下,Junos OS 17.3R1 版不支持 AES-GCM。从 Junos OS 17.4R1 版开始,Junos FIPS 模式支持 AES-GCM。

detail

Soft lifetime

Hard lifetime

安全关联的每个生存期都有两个显示选项:硬显示选项和软显示选项,动态安全关联必须存在其中一个选项。硬生存期指定 SA 的生存期。软生存期(派生自硬生存期)通知 IPsec 密钥管理系统 SA 即将过期。此信息允许密钥管理系统在硬生存期到期之前协商新的 SA。

  • Expires inseconds seconds- 安全关联到期前剩余的秒数。

  • Expires inkilobyteskilobytes- 安全关联到期前剩余的千字节数。  

detail extensive

Anti-replay service

阻止重放数据包的服务的状态: EnabledDisabled

detail extensive

SA lifetime

为安全关联配置的硬生存期(总生存期),以秒为单位。

detail

Replay window size

防重放服务窗口 32 的配置大小(以数据包为单位):或 64。防重放窗口大小通过拒绝旧数据包或重复数据包来保护接收方免受重放攻击。如果重播窗口大小为 0,则禁用防重放服务。

detail

disable-natt

配置以禁用 NAT-T 功能。默认情况下,NAT-T 处于启用状态。

所有级别。

nat-keepalive

指定可以发送 NAT 激活数据包的时间间隔,以便继续 NAT 转换。

所有级别。

示例输出

显示服务 ipsec-vpn ipsec 安全关联 广泛

显示服务 IPsec-VPN IPsec 安全关联详细信息

显示服务 IPsec-VPN IPsec 安全关联(在 ACX500 路由器上)

发布信息

在 Junos OS 7.4 版之前引入的命令。