Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Mostrar grupo de seguridad-servidor VPN IKE seguridad de asociaciones

 

Sintaxis

Release Information

Comando introducido en Junos OS versión 10,2.

Descripción

Muestra ICR asociaciones de seguridad (SA). Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.

Opciones

  • None—muestra todas ICR SA para todos los grupos.

  • Brief—(opcional) Mostrar resultado de resumen.

  • detail—Adicional Muestra el nivel detallado de la salida.

  • group—Adicional Muestra ICR SA para el grupo especificado.

  • group-id—Adicional Muestra ICR SA para el grupo especificado.

    Nota

    Un miembro del grupo puede utilizar una SA ICR para registrarse en varios grupos. Cuando se especifican group las group-id opciones o para enumerar las SA de ICR para un grupo especificado, se muestran todas las SA de ICR existentes que se podrían usar para registrarse en el grupo.

  • index—Adicional Mostrar información de una determinada SA basándose en el número de índice de la SA. Para obtener el número de índice de una SA en particular, utilice el comando sin opciones para mostrar la lista de SA existentes.

Nivel de privilegio requerido

vista

Temas relacionados

Lista de ejemplos

Mostrar grupo de seguridad-servidor VPN IKE seguridad de asociaciones

Mostrar grupo de seguridad-servidor VPN-detalle de asociaciones de seguridad IKE

Campos de salida

Tabla 1enumera los campos de salida del show security group-vpn server ike security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.

Tabla 1: Mostrar grupo de seguridad-servidor VPN-seguridad IKE campos de salida de asociaciones

Nombre del campo

Descripción de campo

Index

Número de índice de una SA. Este número es un número generado internamente que puede utilizar para mostrar información acerca de una sola SA.

Remote Address

Dirección IP del equipo del mismo nivel de destino con la que se comunica el interlocutor local.

State

Estado de las asociaciones de seguridad ICR:

  • DOWN—La SA no se ha negociado con el interlocutor.

  • UP—La SA se ha negociado con el interlocutor.

Initiator cookie

Número aleatorio, llamado cookie, que se envía al nodo remoto cuando se activa la negociación del ICR.

Responder cookie

Número aleatorio generado por el nodo remoto y devuelto al iniciador para comprobar que los paquetes se han recibido.

El objetivo de una cookie es proteger los recursos informáticos de los ataques sin gastar demasiados recursos de CPU para determinar la autenticidad de la cookie.

Mode

Método de negociación acordado por los dos extremos de IPsec, o interlocutores, que se utilizan para intercambiar información entre sí. Cada tipo de intercambio determina el número de mensajes y los tipos de carga que se incluyen en cada mensaje. Los modos, o tipos de intercambio, son

  • main—El intercambio se realiza con seis mensajes. Este modo o tipo de intercambio cifra la carga útil, protegiendo así la identidad del vecino. Se muestra el método de autenticación utilizado: claves compartidas previamente o certificados.

  • aggressive—El intercambio se realiza con tres mensajes. Este modo o tipo de intercambio no cifra la carga, dejando la identidad del vecino desprotegida.

IKE Peer

Dirección IP del equipo del mismo nivel de destino con la que se comunica el interlocutor local.

Exchange type

Método de negociación acordado por los dos extremos de IPsec, o interlocutores, que se utilizan para intercambiar información entre sí. Cada tipo de intercambio determina el número de mensajes y los tipos de carga que se incluyen en cada mensaje. Los modos, o tipos de intercambio, son

  • main—El intercambio se realiza con seis mensajes. Este modo o tipo de intercambio cifra la carga útil, protegiendo así la identidad del vecino. Se muestra el método de autenticación utilizado: claves compartidas previamente o certificados.

  • aggressive—El intercambio se realiza con tres mensajes. Este modo o tipo de intercambio no cifra la carga, dejando la identidad del vecino desprotegida.

Authentication method

Método que utiliza el servidor para autenticar el origen de los mensajes de ICR:

  • pre-shared-keys—Clave previamente compartida para el cifrado y el descifrado que deben tener ambos participantes antes de comenzar las negociaciones de túnel.

rsa-signatures—Firma digital, un certificado que confirma la identidad del titular del certificado.

Local

Dirección del elemento local del mismo nivel.

Remote

Dirección del interlocutor remoto.

Lifetime

Número de segundos restantes hasta que expire la ICR SA.

Algorithms

Algoritmos de Intercambio de claves por red (ICR) utilizados para cifrar y proteger los intercambios entre los interlocutores durante el proceso de fase 2 de IPsec:

  • Authentication—Tipo de algoritmo de autenticación utilizado.

    • sha-256—Autenticación de algoritmo de hash seguro 256.

    • sha-384—Autenticación de algoritmo de hash seguro 384..

  • Encryption—Tipo de algoritmo de cifrado utilizado.

    • aes-256-cbc—Cifrado de 256 bits de estándar de cifrado avanzado (AES).

    • aes-192-cbc—Cifrado de AES192 bits

    • aes-128-cbc—Cifrado de AES 128 bits.

Traffic statistics

  • Input bytes—Número de bytes recibidos.

  • Output bytes—Número de bytes transmitidos.

  • Input packets—Número de paquetes recibidos.

  • Output packets—Número de paquetes transmitidos.

IPSec security associations

  • number created:Número de SA creadas.

  • number deleted: Número de SA eliminadas.

Phase 2 negotiations in progress

Número de negociaciones ICR de la fase 2 en el progreso y en la información de estado:

  • Negotiation type—Tipo de negociación de la fase 2. Actualmente, Junos OS es compatible con el modo rápido.

  • Message ID—Identificador único para una negociación de fase 2.

  • Local identity—Identidad de la negociación de la fase 2 local. El formato es tipo-de-identificador-nombre (proto-Name: Port-Number, [0.. ID-Data-Len] = iddata-Presentation)

  • Remote identity—Identidad de la negociación de la fase 2 remota. El formato es tipo-de-identificador-nombre (proto-Name: Port-Number, [0.. ID-Data-Len] = iddata-Presentation)

  • Flags—Notificación al proceso de administración de claves del estado de la negociación del ICR:

    • caller notification sent—Programa llamador notificado acerca de la finalización de la negociación del ICR.

    • waiting for done—Se realiza la negociación. La biblioteca está esperando a que los temporizadores de retransmisión final remoto expiren.

    • waiting for remove—No se pudo realizar la negociación. La biblioteca está esperando a que los temporizadores de retransmisión final remoto expiren antes de quitar esta negociación.

    • waiting for policy manager—La negociación está esperando una respuesta del administrador de políticas.

Ejemplo

Mostrar grupo de seguridad-servidor VPN IKE seguridad de asociaciones

user@host> show security group-vpn server ike security-associations

Ejemplo

Mostrar grupo de seguridad-servidor VPN-detalle de asociaciones de seguridad IKE

user@host> show security group-vpn server ike security-associations detail