Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

Syntax

Description

Zeigen Sie Informationen zu den IPsec-Sicherheitszuordnungen (SAs) an.

In Junos OS Releases 20.1R2, 20.2R2, 20.3R2, 20.3R1 und später, wenn Sie den Befehl ausführen, wird unter jeder IPsec SA-Information ein neues Ausgabefeld IKE SA Index angezeigt, das show security ipsec security-associations detail jeder IPsec SA innerhalb eines Tunnels entspricht. Siehe show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800).

Options

keine

Zeigen Sie Informationen zu allen Service-Service-Zuweisungen an.

brief | detail

(Optional) Anzeige der angegebenen Ausgabestufe. Standard ist brief.

family

(Optional) SAs nach Familie anzeigen. Diese Option wird zum Filtern der Ausgabe verwendet.

  • inet— IPv4-Adressfamilie.

  • inet6— IPv6-Adressfamilie.

fpc slot-numberpic slot-number

(Optional) Zeigen Sie Informationen zu vorhandenen IPsec-SAs im angegebenen FPC-Steckplatz (Flexible PIC Concentrator) und PIC-Steckplatz an.

In einem Gehäusecluster werden beim Ausführen des CLI-Befehls show security ipsec security-associations pic <slot-number> fpc <slot-number> im Betriebsmodus nur die primären Knoteninformationen zu den vorhandenen IPsec-SAs im angegebenen FPC-Steckplatz (Flexible PIC Concentrator) und PIC-Steckplatz angezeigt.

index SA-index-number

(Optional) Zeigen Sie detaillierte Informationen zu den angegebenen, durch diese Indexnummer identifizierten SA an. Verwenden Sie den Befehl ohne Optionen, um eine Liste aller SAs zu erhalten, die ihre Indexnummern enthalten.

kmd-instance

(Optional) Zeigen Sie Informationen über vorhandene IPsec-SAs im Schlüsselverwaltungsprozess (in diesem Fall kmD) an, die durch die FPC-Steckplatznummer und PIC-Steckplatznummer identifiziert wurden.

  • all– Alle KMD-Instanzen, die auf der Services Processing Unit (SPU) ausgeführt werden.

  • kmd-instance-name— Name der auf der SPU ausgeführten KMD-Instanz.

pic slot-numberfpc slot-number

(Optional) Zeigen Sie Informationen zu vorhandenen IPsec-SAs im angegebenen PIC-Steckplatz und FPC-Steckplatz an.

sa-type

(Optional für ADVPN) Anzeigeinformationen für den angegebenen Sa-Typ. shortcut ist die einzige Option für diese Version.

traffic-selector traffic-selector-name

(Optional) Zeigen Sie Informationen über den angegebenen Datenverkehrs-Selektor an.

vpn-name vpn-name

(Optional) Zeigen Sie Informationen über das angegebene VPN an.

Ha-Link-Verschlüsselung

(Optional) Nur Informationen zu Interchassis Link Tunnel anzeigen. Siehe IPsec (High Availability), show security ipsec security-associations ha-link-encryption (SRX5400, SRX5600, SRX5800)und show security ipsec sa detail ha-link-encryption (SRX5400, SRX5600, SRX5800).

Required Privilege Level

ansehen

Output Fields

Tabelle 1 Listet die Ausgabefelder für den show security ipsec security-associations Befehl auf, Tabelle 2 listet die Ausgabefelder für den show security ipsec sa Befehl auf und Tabelle 3listet die Ausgabefelder für die show security ipsec sa detail. Ausgabefelder werden in der ungefähren Reihenfolge aufgeführt, in der sie angezeigt werden.

Tabelle 1: show security ipsec security-associations

Feldname

Feldbeschreibung

Ausgangsstufe

Total active tunnels

Gesamtzahl der aktiven IPsec-Tunnel.

brief

ID

Indexnummer der SA. Sie können diese Nummer verwenden, um zusätzliche Informationen über die SA zu erhalten.

Alle Ebenen

Algorithm

Die Verschlüsselung zur Sicherung des Austauschs zwischen Peers während der IKE-Verhandlungen umfasst:

  • Ein Authentifizierungsalgorithmus zur Authentifizierung des Austauschs zwischen den Peers.

  • Ein Verschlüsselungsalgorithmus zur Verschlüsselung des Datenverkehrs.

brief

SPI

SPI-Identifikator (Security Parameter Index). Eine SA wird eindeutig von einem SPI identifiziert. Jeder Eintrag enthält den Namen des VPN, die Remote-Gateway-Adresse, die SPIs für jede Richtung, die Verschlüsselungs- und Authentifizierungsalgorithmen und Schlüssel. Die Peer-Gateways verfügen jeweils über zwei SAs, die sich aus jeder der beiden Aushandlungsphasen ergeben: IKE und IPsec.

brief

Life: sec/kb

Die Lebensdauer der SA, nach der sie abläuft, wird entweder in Sekunden oder KB angegeben.

brief

Mon

Das Mon-Feld bezieht sich auf den VPN-Überwachungsstatus. Wenn die VPN-Überwachung aktiviert ist, wird dieses Feld angezeigt U (oben) oder D (unten). Ein Bindestrich (-) bedeutet, dass die VPN-Überwachung für diese SA nicht aktiviert ist. Das V bedeutet, dass die IPsec-Datenpfadüberprüfung im Gange ist.

brief

lsys

Das Root-System.

brief

Port

Wenn Network Address Translation (NAT) verwendet wird, beträgt dieser Wert 4500. Andernfalls ist es der Standard-IKE-Port 500.

Alle Ebenen

Gateway

IP-Adresse des Remote-Gateways.

brief

Virtual-system

Name des logischen Systems.

detail

VPN name

IPsec-Name für VPN.

detail

State

Status hat zwei Optionen, Installed und Not Installed.

  • Installed— Die SA wird in der SA-Datenbank installiert.

  • Not Installed— Die SA ist nicht in der SA-Datenbank installiert.

    Für den Transportmodus ist der Wert von State immer Installed.

detail

Local gateway

Gateway-Adresse des lokalen Systems.

detail

Remote gateway

Gateway-Adresse des Remotesystems.

detail

Traffic selector

Name des Datenverkehrs-Selektors.

detail

Local identity

Identität des lokalen Peers, damit das Zielgateway des Partners mit diesem kommunizieren kann. Der Wert wird als IP-Adresse, vollständig qualifizierter Domänenname, E-Mail-Adresse oder Distinguished Name (DN) angegeben.

detail

Remote identity

IP-Adresse des Ziel-Peer-Gateways.

detail

Term

Definiert lokalen IP-Bereich, Remote-IP-Bereich, Quell-Port-Bereich, Ziel-Port-Bereich und Protokoll.

detail

Source-port

Für einen Begriff konfigurierter Quellportbereich.

detail

Destination-Port

Zielportbereich, der für einen Begriff konfiguriert ist.

detail

Version

IKE-Version, entweder IKEv1 oder IKEv2.

detail

DF-bit

Status des Nicht-Fragment-Bit: set oder cleared.

detail

Location

FPC— Flexible PIC Concentrator (FPC)-Steckplatznummer.

PIC— PIC-Steckplatznummer.

KMD-Instance– Der Name der auf der SPU ausgeführten KMD-Instanz, identifiziert durch FPC-Steckplatznummer und PIC-Steckplatznummer. Derzeit werden auf jeder SPU 4 KMD-Instanzen ausgeführt, und jede bestimmte IPsec-Aushandlung wird von einer einzelnen KMD-Instanz durchgeführt.

detail

Tunnel events

Tunnelereignis und die Anzahl der Ereignisse. Unter Tunnelereignisse finden Sie Beschreibungen von Tunnelereignissen und die aktionen, die Sie durchführen können.

detail

Anchorship

Anker-Thread-ID für sa (für Geräte der SRX4600-Serie mit der detail Option).

 

Direction

Ausrichtung der SA; es kann ein- oder ausgehend sein.

detail

AUX-SPI

Wert des zusätzlichen Sicherheitsparameter-Index (SPI).

  • Wenn der Wert oder AHESPimmer AUX-SPI 0 ist.

  • Wenn der Wert ist AH+ESP, AUX-SPI ist immer eine positive Ganzzahl.

detail

Mode

Modus der SA:

  • transport— Schützt Host-zu-Host-Verbindungen.

  • tunnel—Schützt Verbindungen zwischen Sicherheits-Gateways.

detail

Type

Typ der SA:

  • manual— Sicherheitsparameter erfordern keine Aushandlung. Sie sind statisch und werden vom Benutzer konfiguriert.

  • dynamic— Sicherheitsparameter werden vom IKE-Protokoll ausgehandelt. Dynamische SAs werden im Transportmodus nicht unterstützt.

detail

State

Status der SA:

  • Installed— Die SA wird in der SA-Datenbank installiert.

  • Not Installed— Die SA ist nicht in der SA-Datenbank installiert.

    Für den Transportmodus ist der Wert von State immer Installed.

detail

Protocol

Protokoll unterstützt.

  • Der Transportmodus unterstützt Encapsulation Security Protocol (ESP) und Authentication Header (AH).

  • Tunnelmodus unterstützt ESP und AH.

detail

Authentication

Art der verwendeten Authentifizierung.

detail

Encryption

Art der verwendeten Verschlüsselung.

Beginnend mit Junos OS Version 19.4R2 zeigt das Authentifizierungsalgorithmussfeld des show security ipsec security-associations detail Befehls bei der [edit security ipsec proposal proposal-name] Konfiguration aes-128-gcm oder aes-256-gcm als Verschlüsselungsalgorithmus auf Hierarchieebene denselben konfigurierten Verschlüsselungsalgorithmus an.

detail

Soft lifetime

Die Soft Lifetime informiert das IPsec-Schlüsselverwaltungssystem darüber, dass die SA ablaufen soll.

Jede Lebensdauer einer SA hat zwei hard- und soft-Anzeigeoptionen, von denen eine für eine dynamische SA vorhanden sein muss. Auf diese Weise kann das Schlüsselverwaltungssystem eine neue SA aushandeln, bevor die harte Lebensdauer abläuft.

  • Expires in seconds— Anzahl der Sekunden, die bis zum Ablauf der SA verbleiben.

detail

Hard lifetime

Die harte Lebensdauer gibt die Lebensdauer der SA an.

  • Expires in seconds— Anzahl der Sekunden, die bis zum Ablauf der SA verbleiben.

detail

Lifesize Remaining

Die verbleibende Lebensgröße gibt die Nutzungsgrenzen in KB an. Wenn keine Lebensgröße angegeben ist, zeigt es unbegrenzt.

  • Expires in kilobytes— Anzahl der KB, die bis zum Ablauf der SA verbleiben.

detail

Anti-replay service

Status des Dienstes, der verhindert, dass Pakete erneut wiedergegeben werden. Es kann sein Enabled oder Disabled.

detail

Replay window size

Größe des Antireplay-Servicefensters mit 64 Bit.

detail

Bind-interface

Die Tunnelschnittstelle, an die das routenbasierte VPN gebunden ist.

detail

Copy-Outer-DSCP

Gibt an, ob das System den äußeren DSCP-Wert aus dem IP-Header in den inneren IP-Header kopiert.

detail

tunnel-establishment

Gibt an, wie die IKE aktiviert ist.

detail

IKE SA index

Gibt die Liste der übergeordneten IKE-Sicherheitszuordnungen an.

detail

Tabelle 2: show security ipsec sa Output Fields

Feldname

Feldbeschreibung

Total active tunnels

Gesamtzahl der aktiven IPsec-Tunnel.

ID

Indexnummer der SA. Sie können diese Nummer verwenden, um zusätzliche Informationen über die SA zu erhalten.

Algorithm

Die Verschlüsselung zur Sicherung des Austauschs zwischen Peers während der IKE Phase 2-Verhandlungen umfasst:

  • Ein Authentifizierungsalgorithmus zur Authentifizierung des Austauschs zwischen den Peers. Optionen sind hmac-md5-96, hmac-sha-256-128oder hmac-sha1-96.

  • Ein Verschlüsselungsalgorithmus zur Verschlüsselung des Datenverkehrs. Optionen sind 3des-cbc, aes-128-cbc, aes-192-cbc, , aes-256-cbcoder des-cbc.

SPI

SPI-Identifikator (Security Parameter Index). Eine SA wird eindeutig von einem SPI identifiziert. Jeder Eintrag enthält den Namen des VPN, die Remote-Gateway-Adresse, die SPIs für jede Richtung, die Verschlüsselungs- und Authentifizierungsalgorithmen und Schlüssel. Die Peer-Gateways verfügen jeweils über zwei SAs, die sich aus jeder der beiden Aushandlungsphasen ergeben: Phase 1 und Phase 2.

Life:sec/kb

Die Lebensdauer der SA, nach der sie abläuft, wird entweder in Sekunden oder KB angegeben.

Mon

Das Mon-Feld bezieht sich auf den VPN-Überwachungsstatus. Wenn die VPN-Überwachung aktiviert ist, wird in diesem Feld U (up) oder D (down) angezeigt. Ein Bindestrich (-) bedeutet, dass die VPN-Überwachung für diese SA nicht aktiviert ist. Ein V bedeutet, dass die IPSec-Datenpfadüberprüfung in Bearbeitung ist.

lsys

Das Root-System.

Port

Wenn Network Address Translation (NAT) verwendet wird, beträgt dieser Wert 4500. Andernfalls ist es der Standard-IKE-Port 500.

Gateway

Gateway-Adresse des Systems.

Tabelle 3: show security ipsec sa detail Output Fields

Feldname

Feldbeschreibung

ID

Indexnummer der SA. Sie können diese Nummer verwenden, um zusätzliche Informationen über die SA zu erhalten.

Virtual-system

Der Name des virtuellen Systems.

VPN Name

IPSec-Name für VPN.

Local Gateway

Gateway-Adresse des lokalen Systems.

Remote Gateway

Gateway-Adresse des Remotesystems.

Local Identity

Identität des lokalen Peers, damit das Zielgateway des Partners mit diesem kommunizieren kann. Der Wert wird als IP-Adresse, vollständig qualifizierter Domänenname, E-Mail-Adresse oder Distinguished Name (DN) angegeben.

Remote Identity

IP-Adresse des Ziel-Peer-Gateways.

Version

IKE-Version. Zum Beispiel IKEv1, IKEv2.

DF-bit

Status des Nicht-Fragment-Bit: set oder cleared.

Bind-interface

Die Tunnelschnittstelle, an die das routenbasierte VPN gebunden ist.

Tunnelereignisse

Direction

Ausrichtung der SA; es kann ein- oder ausgehend sein.

AUX-SPI

Wert des zusätzlichen Sicherheitsparameter-Index (SPI).

  • Wenn der Wert oder AHESPimmer AUX-SPI 0 ist.

  • Wenn der Wert ist AH+ESP, AUX-SPI ist immer eine positive Ganzzahl.

VPN Monitoring

Wenn die VPN-Überwachung aktiviert ist, wird das Mon Feld angezeigt U (up) oder D (down). Ein Bindestrich (-) bedeutet, dass die VPN-Überwachung für diese SA nicht aktiviert ist. Ein V bedeutet, dass die IPsec-Datenpfadüberprüfung in Bearbeitung ist.

Hard lifetime

Die harte Lebensdauer gibt die Lebensdauer der SA an.

  • Expires in seconds Anzahl der Sekunden, die bis zum Ablauf der SA verbleiben.

Lifesize Remaining

Die verbleibende Lebensgröße gibt die Nutzungsgrenzen in KB an. Wenn keine Lebensgröße angegeben ist, zeigt es unbegrenzt.

Soft lifetime

Die Soft Lifetime informiert das IPsec-Schlüsselverwaltungssystem darüber, dass die SA ablaufen soll. Jede Lebensdauer einer SA hat zwei hard- und soft-Anzeigeoptionen, von denen eine für eine dynamische SA vorhanden sein muss. Auf diese Weise kann das Schlüsselverwaltungssystem eine neue SA aushandeln, bevor die harte Lebensdauer abläuft.

  • Expires in seconds Anzahl der Sekunden, die bis zum Ablauf der SA verbleiben.

Mode

Modus der SA:

  • transport Schützt Host-zu-Host-Verbindungen

  • tunnel - Schützt Verbindungen zwischen Sicherheits-Gateways

Type

Typ der SA:

  • manual Sicherheitsparameter erfordern keine Aushandlung. Sie sind statisch und werden vom Benutzer konfiguriert.

  • dynamic Sicherheitsparameter werden vom IKE-Protokoll ausgehandelt. Dynamische SAs werden im Transportmodus nicht unterstützt.

State

Status der SA:

  • Installed - Die SA wird in der SA-Datenbank installiert.

  • Not Installed Sa wird nicht in der SA-Datenbank installiert.

Beim Transportmodus ist der Wert "State" immer "Installiert".

Protocol

Protokoll unterstützt.

  • Der Transportmodus unterstützt Encapsulation Security Protocol (ESP) und Authentication Header (AH).

  • Tunnelmodus unterstützt ESP und AH.

    • Authentication Verwendeter Authentifizierungstyp

    • Encryption Art der verwendeten Verschlüsselung

Anti-replay service

Status des Dienstes, der verhindert, dass Pakete erneut wiedergegeben werden. Es kann sein Enabled oder Disabled.

Replay window size

Konfigurierte Größe des Antireplay-Servicefensters. Es kann 32 oder 64 Pakete sein. Wenn das Wiedergabefenster 0 groß ist, ist der Antireplay-Dienst deaktiviert.

Die Anti-Wiedergabe-Fenstergröße schützt den Empfänger vor Replay-Angriffen, indem alte oder doppelte Pakete ausgeschlossen werden.

Interchassis Link Tunnel

Ha-Link-Verschlüsselungsmodus

Unterstützter Hochverfügbarkeitsmodus. Zeigt an Multi-Node , wenn Hochverfügbarkeitsfunktion für mehrere Knoten aktiviert ist.

Sample Output

Zur Kürze zeigen die Befehlsausgänge show nicht alle Werte der Konfiguration an. Es wird nur ein Teil der Konfiguration angezeigt. Der Rest der Konfiguration auf dem System wurde durch Ellipsen ersetzt (...).

show security ipsec security-associations (IPv4)

show security ipsec security-associations (IPv6)

show security ipsec security-associations index 511672

show security ipsec security-associations index 131073 detail

Beginnend mit Junos OS Version 18.2R1 zeigt die CLI-Ausgabe show security ipsec security-associations index index-number detail alle untergeordneten SA-Details an, einschließlich des Weiterleitungsklassennamens.

show security ipsec sa

show security ipsec sa detail

Beginnend mit Junos OS Version 19.1R1 zeigt ein neues Feld tunnel-establishment in der Ausgabe der CLI show security ipsec sa detail die unter ipsec vpn establish-tunnels der Hierarchie konfigurierte Option an.

Beginnend mit Junos OS Version 21.3R1 zeigt ein neues Feld Tunnel MTU in der Ausgabe der BEFEHLSZEILE show security ipsec sa detail die unter ipsec vpn hub-to-spoke-vpn tunnel-mtu der Hierarchie konfigurierte Option an.

show security ipsec sa details (MX-SPC3)

show security ipsec security-association

show security ipsec security-associations brief

show security ipsec security-associations detail

show security ipsec security-associations family inet6

show security ipsec security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ipsec security-associations detail (ADVPN Suggester, Static Tunnel)

show security ipsec security-associations detail (ADVPN Partner, Static Tunnel)

show security ipsec security-associations sa-type shortcut (ADVPN)

show security ipsec security-associations sa-type shortcut detail (ADVPN)

show security ipsec security-associations family inet detail

show security ipsec security-associations detail (SRX4600)

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

Unter jeder IPsec SA-Information wird ein neues Ausgabefeld IKE SA Index angezeigt, das jeder IPsec SA in einem Tunnel entspricht.

show security ipsec security-associations detail (SRX Series devices and MX Series Routers)

In Junos OS Version 20.4R2, 21.1R1 und höher können Sie den Befehl ausführen, um den show security ipsec security-associations detail Datenverkehrs-Selektortyp für ein VPN anzuzeigen.

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

Ab Junos OS Version 21.1R1 können Sie die Details des Datenverkehrs-Selektors anzeigen, einschließlich lokaler Identität, Remoteidentität, Protokoll, Quell-Port-Bereich, Zielportbereich für mehrere Begriffe, die für eine IPsec SA definiert sind.

In den früheren Junos Releases wird die Datenverkehrsauswahl für eine bestimmte SA unter Verwendung des vorhandenen IP-Bereichs durchgeführt, der mithilfe von IP-Adresse oder Netzmaske definiert wurde. Ab Junos OS Version 21.1R1 wird zusätzlich der Datenverkehr über das Protokoll ausgewählt, das mit protocol_name angegeben wurde. Und auch der niedrige und hohe Portbereich, der für Quell- und Ziel-Portnummern angegeben ist.

Release Information

Befehl wird in Junos OS Version 8.5 eingeführt. Unterstützung für die family in Junos OS Version 11.1 hinzugefügte Option.

Unterstützung für die vpn-name in Junos OS Version 11.4R3 hinzugefügte Option. Unterstützung des traffic-selector Options- und Datenverkehrs-Selektorfelds, das in Junos OS Version 12.1X46-D10 hinzugefügt wurde.

Unterstützung für Auto Discovery VPN (ADVPN) in Junos OS Version 12.3X48-D10 hinzugefügt.

Unterstützung für IPsec-Datenpfadüberprüfung in Junos OS Version 15.1X49-D70 hinzugefügt.

Unterstützung für Thread-Ankership in Junos OS Version 17.4R1.

Ab Junos OS Version 18.2R2 enthält die show security ipsec security-assocations detail Befehlsausgabe Informationen zur Thread-Ankership für die Sicherheitszuordnungen (SAs).

Ab Junos OS Version 19.4R1 haben wir die CLI-Option fc-name (COS Forward Class Name) in dem neuen iked Prozess abgesetzt, bei dem die Sicherheitszuordnungen (SAs) unter dem Befehl show security ipsec sashow angezeigt werden.

Unterstützung für die ha-link-encryption in Junos OS Version 20.4R1 hinzugefügte Option.