show services ipsec-vpn ipsec security-associations
语法
show services ipsec-vpn ipsec security-associations <brief | detail | extensive> <service-set service-set-name>
描述
(仅限自适应服务接口)显示指定服务集的 IPsec 安全关联。如果未指定服务集,则显示所有服务集的安全关联。
选项
none | 显示有关所有服务集的 IPsec 安全关联的标准信息。 |
brief | detail | extensive | (可选)显示指定的输出级别。 |
service-set service-set-name | (可选)显示有关特定服务集的信息。 |
所需权限级别
视图
输出字段
表 1 列出了命令show services ipsec-vpn ipsec security-associations
的输出字段。输出字段按其出现的大致顺序列出。
字段名称 |
字段说明 |
输出级别 |
---|---|---|
|
为其定义 IPsec 安全关联的服务集的名称。如果适用,还包括外部服务接口 VRF 名称。 |
所有级别 |
|
应用于安全关联的规则集的名称。 |
|
|
应用于安全关联的 IPsec 术语的名称。 |
|
|
安全关联的特定 IPsec 隧道的数字标识符。 |
|
|
本地系统的网关地址。 |
所有级别 |
|
远程系统的网关地址。 |
所有级别 |
|
托管 IPsec 隧道的逻辑接口的名称。 |
所有级别 |
|
IPsec 隧道的 MTU。 |
所有级别 |
|
IPsec 隧道在安全关联重新密钥之间建立的总时间。 |
|
|
IPsec 关联的本地实体的协议、地址或前缀以及端口号。格式为
该 |
所有级别 |
|
IPsec 关联的远程实体的协议、地址或前缀以及端口号。格式为
该 |
所有级别 |
|
配置的主远程对等方的 IP 地址。 |
所有级别 |
|
配置的备份远程对等方的 IP 地址。 |
所有级别 |
|
主接口或备份接口的状态: |
所有级别 |
|
PIC 在主接口和备用接口之间切换的次数,或者自软件激活以来隧道在主对等方和远程对等方之间切换的次数。 |
所有级别 |
|
安全关联的方向: |
所有级别 |
|
安全参数索引的值。 |
所有级别 |
|
辅助安全参数索引的值。
|
所有级别 |
|
安全关联模式:
|
|
|
安全关联类型:
|
|
|
安全关联的状态:
|
|
|
支持的协议:
|
所有级别 |
|
使用的身份验证类型: |
|
|
使用的加密算法类型:可以是
注意:
在 Junos FIPS 模式下,Junos OS 17.3R1 版不支持 AES-GCM。从 Junos OS 17.4R1 版开始,Junos FIPS 模式支持 AES-GCM。 |
|
|
安全关联的每个生存期都有两个显示选项:硬显示选项和软显示选项,动态安全关联必须存在其中一个选项。硬生存期指定 SA 的生存期。软生存期(派生自硬生存期)通知 IPsec 密钥管理系统 SA 即将过期。此信息允许密钥管理系统在硬生存期到期之前协商新的 SA。
|
|
|
阻止重放数据包的服务的状态: |
|
|
为安全关联配置的硬生存期(总生存期),以秒为单位。 |
|
|
防重放服务窗口 |
|
|
配置以禁用 NAT-T 功能。默认情况下,NAT-T 处于启用状态。 |
所有级别。 |
|
指定可以发送 NAT 激活数据包的时间间隔,以便继续 NAT 转换。 |
所有级别。 |
示例输出
显示服务 ipsec-vpn ipsec 安全关联 广泛
user@host> show services ipsec-vpn ipsec security-associations extensive Service set: service-set-1 Rule: _junos_, Term: term-1, Tunnel index: 1 Local gateway: 192.0.2.2, Remote gateway: 198.51.100.4 IPSec inside interface: sp-2/0/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Primary remote gateway: 192.0.2.1, State: Standby Backup remote gateway: 198.51.100.4, State: Active Failover counter: 1 Direction: inbound, SPI: 3743521590, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 23043 seconds Hard lifetime: Expires in 23178 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 2551045240, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 23043 seconds Hard lifetime: Expires in 23178 seconds Anti-replay service: Enabled, Replay window size: 64 disable-natt: No, nat-keepalive: 10
显示服务 IPsec-VPN IPsec 安全关联详细信息
user@host> show services ipsec-vpn ipsec security-associations detail Service set: ipsec-sset-0, IKE Routing-instance: default Rule: ipsec-rule-0, Term: term0, Tunnel index: 1 Local gateway: 192.0.2.1, Remote gateway: 192.0.2.2 IPSec inside interface: ms-3/0/0.1, Tunnel MTU: 1500 UDP encapsulate: Disabled, UDP Destination port: 0 Local identity: ipv4_subnet(any:0,[0..7]=198.51.100.0/16) Remote identity: ipv4_subnet(any:0,[0..7]=203.0.113.0/16) NATT Detection: Not Detected, NATT keepalive interval: 0 Total uptime: 0 days 0 hrs 1 mins 4 secs Direction: inbound, SPI: 4004530393, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Soft lifetime: Expires in 27885 seconds Hard lifetime: Expires in 28736 seconds Anti-replay service: Enabled, Replay window size: 4096 Copy ToS: Enabled Copy TTL: Disabled, TTL value: 64 SA lifetime: 28800 seconds Direction: outbound, SPI: 1323638473, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Soft lifetime: Expires in 27885 seconds Hard lifetime: Expires in 28736 seconds Anti-replay service: Enabled, Replay window size: 4096 Copy ToS: Enabled Copy TTL: Disabled, TTL value: 64 SA lifetime: 28800 seconds
显示服务 IPsec-VPN IPsec 安全关联(在 ACX500 路由器上)
user@host> show services ipsec-vpn ipsec security-associations Service set: SS_1, IKE Routing-instance: Customer-1 Rule: rule_1, Term: 1, Tunnel index: 2 Local gateway: 192.168.1.11, Remote gateway: 192.168.10.130 IPSec inside interface: ms-0/2/0.8, Tunnel MTU: 1300 UDP encapsulate: Disabled, UDP Destination port: 0 Direction SPI AUX-SPI Mode Type Protocol inbound 2204677182 0 tunnel dynamic ESP outbound 3015420439 0 tunnel dynamic ESP Service set: SS_2, IKE Routing-instance: Customer-1 Rule: Customer-1_rule_1, Term: 1, Tunnel index: 1 Local gateway: 192.168.1.12, Remote gateway: 192.168.20.130 IPSec inside interface: ms-0/2/0.7, Tunnel MTU: 1300 UDP encapsulate: Disabled, UDP Destination port: 0 Direction SPI AUX-SPI Mode Type Protocol inbound 2093089828 0 tunnel dynamic ESP outbound 2160146627 0 tunnel dynamic ESP
发布信息
在 Junos OS 7.4 版之前引入的命令。