Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

Syntax

Description

显示有关 IPsec 安全关联 (SA) 的信息。

在 Junos OS 版本 20.1R2、20.2R2、20.3R2、20.3R1 和更高版本中,当您执行 show security ipsec security-associations detail 命令时,隧道中每个 IPsec SA 信息下都显示一个新的输出字段 IKE SA Index ,对应于隧道内的每个 IPsec SA。请参阅 show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

Options

显示有关所有 SA 的信息。

brief | detail

(可选)显示指定的输出级别。默认值为 brief

family

(可选)按系列显示 SA。此选项用于过滤输出。

  • inet—IPv4 地址族。

  • inet6—IPv6 地址族。

fpc slot-numberpic slot-number

(可选)显示指定的灵活 PIC 集中器 (FPC) 插槽和 PIC 插槽中现有 IPsec SA 的信息。

在机箱集群中,在操作模式下执行 CLI 命令 show security ipsec security-associations pic <slot-number> fpc <slot-number> 时,仅显示有关指定灵活 PIC 集中器 (FPC) 插槽和 PIC 插槽中现有 IPsec SA 的主节点信息。

index SA-index-number

(可选)显示有关此索引号标识的指定 SA 的详细信息。要获取包含其索引号的所有 SA 列表,请使用 无选项的命令。

kmd-instance

(可选)显示由 FPC 插槽编号和 PIC 插槽编号识别的密钥管理流程中现有 IPsec SA 的信息(此情况下为 KMD)

  • all—在服务处理单元 (SPU) 上运行的所有 KMD 实例。

  • kmd-instance-name—SPU 上运行的 KMD 实例的名称。

pic slot-numberfpc slot-number

(可选)显示有关指定 PIC 插槽和 FPC 插槽中现有 IPsec SA 的信息。

sa-type

(ADVPN 可选)显示指定类型的 SA 的信息。 shortcut 是此版本的唯一选项。

traffic-selector traffic-selector-name

(可选)显示有关指定流量选择器的信息。

vpn-name vpn-name

(可选)显示有关指定 VPN 的信息。

ha 链路加密

(可选)仅显示与机箱间链路隧道相关的信息。请参阅 ipsec(高可用性)show security ipsec security-associations ha-link-encryption (SRX5400, SRX5600, SRX5800)show security ipsec sa detail ha-link-encryption (SRX5400, SRX5600, SRX5800)

Required Privilege Level

视图

Output Fields

表 1 列出了命令的 show security ipsec security-associations 输出字段, 表 2 列出了命令的 show security ipsec sa 输出字段,并 表 3列出了 的 show security ipsec sa detail输出字段。输出字段按其出现的大致顺序列出。

表 1: show security ipsec security-associations

字段名称

字段说明

输出级别

Total active tunnels

活动 IPsec 隧道总数。

brief

ID

SA 的索引号。您可以使用此号码获取有关 SA 的更多信息。

所有级别

Algorithm

用于在 IKE 协商期间保护对等方之间交换的加密技术包括:

  • 一种认证算法,用于对等方之间的交换进行身份验证。

  • 用于加密数据流量的加密算法。

brief

SPI

安全参数索引 (SPI) 标识符。SPI 可唯一识别 SA。每个条目都包含 VPN 名称、远程网关地址、每个方向的 SPI、加密和身份验证算法以及密钥。对等网关各有两个 SA,每两个协商阶段各产生一个 SA:IKE 和 IPsec。

brief

Life: sec/kb

SA 的生存期(到期后表示为秒数或千字节)。

brief

Mon

Mon 字段指的是 VPN 监控状态。如果启用了 VPN 监控,则此字段将显示 U (打开)或 D (关闭)。连字符 (-) 表示此 SA 未启用 VPN 监控。这意味着 V IPsec 数据路径验证正在进行中。

brief

lsys

根系统。

brief

Port

如果使用网络地址转换 (NAT),则此值为 4500。否则,它是标准 IKE 端口,500。

所有级别

Gateway

远程网关的 IP 地址。

brief

Virtual-system

逻辑系统的名称。

detail

VPN name

VPN 的 IPsec 名称。

detail

State

州有两个选项, InstalledNot Installed.

  • Installed—SA 安装在 SA 数据库中。

  • Not Installed—SA 未安装在 SA 数据库中。

    对于传输模式,状态的价值始终 Installed为 。

detail

Local gateway

本地系统的网关地址。

detail

Remote gateway

远程系统的网关地址。

detail

Traffic selector

信息流选择器的名称。

detail

Local identity

本地对等方的身份,以便其合作伙伴目标网关可与其通信。该值指定为 IP 地址、完全限定域名、电子邮件地址或著名名称 (DN)。

detail

Remote identity

目标对等网关的 IP 地址。

detail

Term

定义本地 IP 范围、远程 IP 范围、源端口范围、目标端口范围和协议。

detail

Source-port

为一个术语配置的源端口范围。

detail

Destination-Port

配置了一个术语的目标端口范围。

detail

Version

IKE 版本, 或 IKEv1IKEv2.

detail

DF-bit

不分片位的状态:setcleared.

detail

Location

FPC—灵活 PIC 集中器 (FPC) 插槽编号。

PIC—PIC 插槽编号。

KMD-Instance— SPU 上运行的 KMD 实例的名称,由 FPC 插槽编号 和 PIC 插槽编号标识。目前,每个 SPU 上运行 4 个 KMD 实例,任何特定的 IPsec 协商均由单个 KMD 实例进行。

detail

Tunnel events

隧道事件和事件发生的次数。请参阅 隧道事件 ,了解隧道事件的说明以及您可以采取的操作。

detail

Anchorship

SA 的锚点螺纹 ID(适用于带 detail 选项的 SRX4600 系列设备)。

 

Direction

SA 的方向;也可以是入站或出站

detail

AUX-SPI

辅助安全参数索引 (SPI) 的值。

  • 当值为 AHESP时, AUX-SPI 始终为 0。

  • 当值是 AH+ESP时, AUX-SPI 始终是正整数。

detail

Mode

SA 模式:

  • transport—保护主机到主机的连接。

  • tunnel—保护安全网关之间的连接。

detail

Type

SA 类型:

  • manual—安全参数无需协商。它们是静态的,由用户配置。

  • dynamic—安全参数由 IKE 协议协商。动态 SA 在传输模式下不受支持。

detail

State

SA 状态:

  • Installed—SA 安装在 SA 数据库中。

  • Not Installed—SA 未安装在 SA 数据库中。

    对于传输模式,状态的价值始终 Installed为 。

detail

Protocol

支持协议。

  • 传输模式支持封装安全协议 (ESP) 和认证头 (AH)。

  • 隧道模式支持 ESP 和 AH。

detail

Authentication

使用的身份验证类型。

detail

Encryption

所用加密类型。

从 Junos OS 19.4R2 版开始,当您在层次结构级别配置 aes-128-gcmaes-256-gcm 作为加密算法 [edit security ipsec proposal proposal-name] 时,命令的身份验证算法字段将显示相同配置的 show security ipsec security-associations detail 加密算法。

detail

Soft lifetime

软生存期通知 IPsec 密钥管理系统 SA 即将到期。

SA 的每个生命周期都有两个显示选项,硬和软,其中一个必须存在一个动态 SA。这允许密钥管理系统在硬性生存期过期之前协商新 SA。

  • Expires in seconds—SA 到期前剩余的秒数。

detail

Hard lifetime

艰难的生存期指定了 SA 的生存期。

  • Expires in seconds—SA 到期前剩余的秒数。

detail

Lifesize Remaining

剩余的寿命指定千字节中的使用限制。如果没有生命大小指定,则显示无限。

  • Expires in kilobytes—SA 到期前剩余的千字节数。

detail

Anti-replay service

防止数据包被回放的服务状态。它可以是 EnabledDisabled.

detail

Replay window size

反回放服务窗口的大小,即 64 位。

detail

Bind-interface

基于路由的 VPN 与之绑定的通道接口。

detail

Copy-Outer-DSCP

指示系统是否将外部 DSCP 值从 IP 报头复制到内部 IP 报头。

detail

tunnel-establishment

指示 IKE 如何激活。

detail

IKE SA index

指示父级 IKE 安全关联列表。

detail

表 2: show security ipsec sa Output Fields

字段名称

字段说明

Total active tunnels

活动 IPsec 隧道总数。

ID

SA 的索引号。您可以使用此号码获取有关 SA 的更多信息。

Algorithm

用于在 IKE 第 2 阶段协商期间保护对等方之间的交换的加密技术包括:

  • 一种认证算法,用于对等方之间的交换进行身份验证。选项包括 hmac-md5-96hmac-sha-256-128hmac-sha1-96

  • 用于加密数据流量的加密算法。选项包括 3des-cbcaes-128-cbcaes-192-cbcaes-256-cbcdes-cbc.

SPI

安全参数索引 (SPI) 标识符。SPI 可唯一识别 SA。每个条目都包含 VPN 名称、远程网关地址、每个方向的 SPI、加密和身份验证算法以及密钥。对等网关各有两个 SA,每两个协商阶段各产生一个 SA:第 1 阶段和第 2 阶段。

Life:sec/kb

SA 的生存期(到期后表示为秒数或千字节)。

Mon

Mon 字段指的是 VPN 监控状态。如果启用了 VPN 监控,则此字段将显示 U(向上)或 D(关闭)。连字符 (-) 表示此 SA 未启用 VPN 监控。V 表示 IPSec 数据路径验证正在进行中。

lsys

根系统。

Port

如果使用网络地址转换 (NAT),则此值为 4500。否则,它是标准 IKE 端口,500。

Gateway

系统的网关地址。

表 3: show security ipsec sa detail Output Fields

字段名称

字段说明

ID

SA 的索引号。您可以使用此号码获取有关 SA 的更多信息。

Virtual-system

虚拟系统名称。

VPN Name

VPN 的 IPSec 名称。

Local Gateway

本地系统的网关地址。

Remote Gateway

远程系统的网关地址。

Local Identity

本地对等方的身份,以便其合作伙伴目标网关可与其通信。该值指定为 IP 地址、完全限定域名、电子邮件地址或著名名称 (DN)。

Remote Identity

目标对等网关的 IP 地址。

Version

IKE 版本。例如 IKEv1、IKEv2。

DF-bit

不分片位的状态:setcleared.

Bind-interface

基于路由的 VPN 与之绑定的通道接口。

隧道事件

Direction

SA 的方向;也可以是入站或出站

AUX-SPI

辅助安全参数索引 (SPI) 的值。

  • 当值为 AHESP时, AUX-SPI 始终为 0。

  • 当值是 AH+ESP时, AUX-SPI 始终是正整数。

VPN Monitoring

如果启用了 VPN 监控,则 Mon 字段显示 U (up)D (down)。连字符 (-) 表示此 SA 未启用 VPN 监控。V 表示 IPsec 数据路径验证正在进行中。

Hard lifetime

艰难的生存期指定了 SA 的生存期。

  • Expires in seconds - SA 到期前还剩几秒。

Lifesize Remaining

剩余的寿命指定千字节中的使用限制。如果没有生命大小指定,则显示无限。

Soft lifetime

软生存期通知 IPsec 密钥管理系统 SA 即将到期。SA 的每个生命周期都有两个显示选项,硬和软,其中一个必须存在一个动态 SA。这允许密钥管理系统在硬性生存期过期之前协商新 SA。

  • Expires in seconds - SA 到期前还剩几秒。

Mode

SA 模式:

  • transport - 保护主机到主机的连接。

  • tunnel - 保护安全网关之间的连接。

Type

SA 类型:

  • manual - 安全参数无需协商。它们是静态的,由用户配置。

  • dynamic - 安全参数由 IKE 协议协商。动态 SA 在传输模式下不受支持。

State

SA 状态:

  • Installed - SA 安装在 SA 数据库中。

  • Not Installed - SA 未安装在 SA 数据库中。

对于传输模式,状态的值始终安装。

Protocol

支持协议。

  • 传输模式支持封装安全协议 (ESP) 和认证头 (AH)。

  • 隧道模式支持 ESP 和 AH。

    • Authentication - 使用的身份验证类型。

    • Encryption - 所用加密类型。

Anti-replay service

防止数据包被回放的服务状态。它可以是 EnabledDisabled.

Replay window size

配置了反回放服务窗口的大小。它可以是 32 或 64 个数据包。如果回放窗口大小为 0,则禁用反回放服务。

反回放窗口大小通过拒绝旧数据包或重复数据包来保护接收器免遭重放攻击。

机箱间链路隧道

HA 链路加密模式

支持的高可用性模式。在启用多节点高可用性功能时显示 Multi-Node

Sample Output

为了简洁起伏,show 命令输出不会显示配置的所有值。仅显示一个配置子集。系统上的其余配置已替换为椭圆 (...)。

show security ipsec security-associations (IPv4)

show security ipsec security-associations (IPv6)

show security ipsec security-associations index 511672

show security ipsec security-associations index 131073 detail

从 Junos OS 18.2R1 版开始,CLI show security ipsec security-associations index index-number detail 输出会显示所有儿童 SA 详细信息,包括转发类名称。

show security ipsec sa

show security ipsec sa detail

从 Junos OS 19.1R1 版本开始,CLI show security ipsec sa detail 输出中的新字段tunnel-establishment显示在层次结构下ipsec vpn establish-tunnels配置的选项。

从 Junos OS 21.3R1 版本开始,CLI show security ipsec sa detail 输出中的新字段Tunnel MTU显示在层次结构下ipsec vpn hub-to-spoke-vpn tunnel-mtu配置的选项。

show security ipsec sa details (MX-SPC3)

show security ipsec security-association

show security ipsec security-associations brief

show security ipsec security-associations detail

show security ipsec security-associations family inet6

show security ipsec security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ipsec security-associations detail (ADVPN Suggester, Static Tunnel)

show security ipsec security-associations detail (ADVPN Partner, Static Tunnel)

show security ipsec security-associations sa-type shortcut (ADVPN)

show security ipsec security-associations sa-type shortcut detail (ADVPN)

show security ipsec security-associations family inet detail

show security ipsec security-associations detail (SRX4600)

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

每个 IPsec SA 信息下都显示通道内每个 IPsec SA 对应的新输出字段 IKE SA Index

show security ipsec security-associations detail (SRX Series devices and MX Series Routers)

在 Junos OS 20.4R2、21.1R1 和更高版本中,您可以执行 show security ipsec security-associations detail 命令来查看 VPN 的信息流选择器类型。

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

从 Junos OS 21.1R1 版开始,您可以查看信息流选择器详细信息,包括为 IPsec SA 定义的多个术语的本地身份、远程身份、协议、源端口范围、目标端口范围。

在早期的 Junos 版本中,将使用使用 IP 地址或 Netmask 定义的现有 IP 范围来执行特定 SA 的信息流选择。从 Junos OS 版本 21.1R1 开始,还可通过使用 protocol_name指定的协议选择流量。此外,还针对源端口号和目标端口号指定了低端口范围和高端口范围。

Release Information

在 Junos OS 8.5 版中引入的命令。family支持在 Junos OS 版本 11.1 中添加的选项。

vpn-name支持在 Junos OS 版本 11.4R3 中添加的选项。traffic-selector支持 Junos OS 版本 12.1X46-D10 中添加的选项和流量选择器字段。

Junos OS 版本 12.3X48-D10 中添加了对自动发现 VPN (ADVPN) 的支持。

Junos OS 版本 15.1X49-D70 中添加了 IPsec 数据路径验证支持。

Junos OS 版本 17.4R1 中添加的线程锚定性支持。

从 Junos OS 18.2R2 版开始, show security ipsec security-assocations detail 命令输出将包含安全关联 (SA) 的螺纹锚定信息。

从 Junos OS 19.4R1 版开始,在新进程中iked,我们删除了显示 show 命令show security ipsec sa下的安全关联 (SA) 的 CLI 选项fc-name(COS 转发类名称)。

ha-link-encryption支持在 Junos OS 20.4R1 版中添加的选项。