show security group-vpn member ipsec security-associations
Syntax
show security group-vpn member ipsec security-associations [brief | detail] [index sa-index]
Description
Zeigt GRUPPEN-VPN-Sicherheitszuordnungen (SAs) für ein Gruppenmitglied an. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.
Options
none – Anzeige von Informationen zu allen VPN-Gruppen-SAs für das Gruppenmitglied.
brief—(Optional) Ausgabe mit Zusammenfassung anzeigen.detail—(Optional) Detaillierte Ausgabe anzeigen.indexsa-index– (optional) Detaillierte Informationen über die angegebene SA anzuzeigen, die anhand der Indexnummer identifiziert wurde. Verwenden Sie den Befehl ohne Optionen, um eine Liste aller SAs zu erhalten, die ihre Indexnummern enthalten.
Required Privilege Level
ansehen
Output Fields
Tabelle 1 Listen Sie die Ausgabefelder für den Befehl show security group-vpn member ipsec security-associations auf. Die Ausgabefelder werden in der ungefähren Reihenfolge aufgeführt, in der sie angezeigt werden.
Feldname |
Feldbeschreibung |
|---|---|
|
Gesamtanzahl der aktiven IPsec-Tunnel. |
|
Index-Nummer der Sicherheitszuordnung Sie können diese Nummer verwenden, um zusätzliche Informationen über die Sicherheitszuordnung zu erhalten. |
|
IP-Adresse des Gruppenservers (Remote-Gateway). |
|
Wenn Network Address Translation-Traversal (NAT-T) verwendet wird, beträgt dieser Wert 4500. Anderenfalls ist es der IKE 500. |
|
Verschlüsselung zum Sichern des Austauschs zwischen Peers während der phase 2 IKE Phase 2-Aus verhandlungen umfasst
|
|
Spi-Kennung (Security Parameter Index). Eine Sicherheitszuordnung wird eindeutig von einem SPI identifiziert. |
|
Die Lebensdauer der SICHERHEITSzuordnung, nach der sie abläuft, wird entweder in Sekunden oder KB ausgedrückt. |
|
Gruppenkennung. |
|
Das Root-System. |
|
Gateway-Adresse des lokalen Systems. |
|
IP-Adresse des Gruppenservers |
|
Identität des lokalen Peers, sodass das Partnerziel-Gateway damit kommunizieren kann. Der Wert wird als IPv4-Adresse, vollständig qualifizierter Domänenname, E-Mail-Adresse oder distinguished name angegeben. |
|
IPv4-Adresse des Ziel-Peer-Gateways. |
|
Status der Nicht-Fragment-Bit: festgelegt oder genehmigt. |
Forward-Policy-Mismatch |
Aktivieren der Unterstützung von Paketen, die in Richtlinien nicht übereinstimmen |
|
Name der geltenden Richtlinie |
|
Ausrichtung der Sicherheits-Association; kann eingehend oder ausgehend sein. |
|
Wert des zusätzlichen Sicherheitsparameter-Index.
|
|
Die schwere Lebensdauer gibt die Lebensdauer der SA an.
|
|
Die verbleibende Lebensdauer gibt die Nutzungsgrenzen in KB an. Wenn keine bestimmte Lebensgröße festgelegt ist, weist dies eine unbegrenzte Anzahl auf.
|
|
Die Soft-Lifetime informiert das IPsec-Schlüsselverwaltungssystem darüber, dass die Sicherheitszuordnung abläuft. Die Lebensdauer einer Sicherheitsgemeinschaft hat zwei verschiedenen Anzeigeoptionen, hard und soft, von denen eine für eine dynamische Sicherheitsgemeinschaft vorhanden sein muss. Das wichtige Verwaltungssystem kann auf diese Weise vor Ablauf der schweren Lebensdauer eine neue Sicherheitszuordnung aushandeln.
|
|
Art der Sicherheitsgemeinschaft:
|
|
Protokollgestütztes. Der Transportmodus unterstützt das Encapsulation Security Protocol (ESP). |
|
State of the Service, der verhindert, dass Pakete erneut wiedergegeben werden. oder |
Sample Output
show security group-vpn member ipsec security-associations
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 2 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>49157 192.168.1.53 848 ESP:3des/sha1 c0792f86 114/ unlim 2000 root <>49156 192.168.1.53 848 ESP:aes-256/md5 7def169d 18/ unlim 2000 root <>49156 192.168.1.53 848 ESP:aes-256/md5 86c48448 146/ unlim 2000 root
Sample Output
show security group-vpn member ipsec security-associations detail
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: group2000
Local Gateway: 192.168.1.70, GDOI Server: 192.168.1.53
Group Id: 2000
Routing Instance: vr1
Recovery Probe: Enabled
DF-bit: clear
Forward-policy-mismatch:Enabled
Stats:
Pull Succeeded : 3
Pull Failed : 0
Pull Timeout : 6
Pull Aborted : 0
Push Succeeded : 1773
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(10): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 49157
Source IP: ipv4_subnet(any:900,[0..7]=192.168.1.0/24)
Destination IP: ipv4_subnet(any:901,[0..7]=192.168.1.0/24)
Direction: bi-directional, SPI: c0792f86
Protocol: ESP, Authentication: sha1, Encryption: 3des
Hard lifetime: Expires in 81 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expired
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled, Window size: 3000 milliseconds
Direction: bi-directional, SPI: a645b381
Protocol: ESP, Authentication: sha1, Encryption: 3des
Hard lifetime: Expires in 207 seconds, Activated in 51 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 117 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled, Window size: 3000 milliseconds
Release Information
Befehl eingeführt in Junos OS Version 10.2.
Command Einführung in Junos OS Release 18.2R1 für die MX-Serie.