Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Supervisar VPN

 

Esta sección contiene los siguientes temas:

Supervisión ICR de la información de puerta de enlace

Finalidad

Ver información acerca de asociaciones de seguridad de ICR (SA).

Acción

Selección Monitor>IPSec VPN>IKE Gateway en la interfaz de usuario de J-Web. Para ver información detallada de una SA en particular, seleccione el índice SA ICR en la página ICR puerta de enlace.

De manera alternativa, escriba los siguientes comandos de la CLI:

  • show security ike security-associations

  • show security ike security-associations index index-id detail

Tabla 1resume los campos de resultados clave en la pantalla ICR puerta de enlace.

Tabla 1: Resumen de campos de salida de información de Key ICR SA

Campo

Valores

Obtener más información

ICR asociaciones de seguridad

Índice SA ICR

Número de índice de una SA.

Este número es un número generado internamente que puede utilizar para mostrar información acerca de una sola SA.

Dirección remota

Dirección IP del equipo del mismo nivel de destino con la que se comunica el interlocutor local.

Estado

Estado de las asociaciones de seguridad ICR:

  • DOWN—La SA no se ha negociado con el interlocutor.

  • UP—La SA se ha negociado con el interlocutor.

Cookie de iniciador

Número aleatorio, llamado cookie, que se envía al nodo remoto cuando se activa la negociación del ICR.

Cookie del respondedor

Número aleatorio generado por el nodo remoto y devuelto al iniciador para comprobar que los paquetes se han recibido.

El objetivo de una cookie es proteger los recursos informáticos de los ataques sin gastar demasiados recursos de’CPU para determinar la autenticidad de la cookie.

Medio

Método de negociación acordado por los dos extremos de IPsec, o interlocutores, que se utilizan para intercambiar información entre sí. Cada tipo de intercambio determina el número de mensajes y los tipos de carga que se incluyen en cada mensaje. Los modos, o tipos de intercambio, son:

  • Main—El intercambio se realiza con seis mensajes. Este modo, o tipo de intercambio, cifra la carga útil y protege la identidad del vecino. Se muestra el método de autenticación utilizado: claves compartidas previamente o certificados.

  • Aggressive—El intercambio se realiza con tres mensajes. Este modo, o tipo de intercambio, no cifra la carga, dejando la identidad del vecino desprotegida.

Índice de ICR de Asociación de seguridad (SA)

ICR interlocutor

Dirección IP del equipo del mismo nivel de destino con la que se comunica el interlocutor local.

Índice SA ICR

Número de índice de una SA.

Este número es un número generado internamente que puede utilizar para mostrar información acerca de una sola SA.

Función

Parte que se reproduce en la sesión de ICR. El dispositivo que activa la negociación del ICR es el iniciador y el dispositivo que acepta los primeros ICR los paquetes de Exchange es el que responde.

Estado

Estado de las asociaciones de seguridad ICR:

  • DOWN—La SA no se ha negociado con el interlocutor.

  • UP—La SA se ha negociado con el interlocutor.

Cookie de iniciador

Número aleatorio, llamado cookie, que se envía al nodo remoto cuando se activa la negociación del ICR.

Cookie del respondedor

Número aleatorio generado por el nodo remoto y devuelto al iniciador para comprobar que los paquetes se han recibido.

El objetivo de una cookie es proteger los recursos informáticos de los ataques sin gastar demasiados recursos de’CPU para determinar la autenticidad de la cookie.

Tipo de intercambio

Método de negociación acordado por los dos extremos de IPsec, o interlocutores, que se utilizan para intercambiar información entre sí. Cada tipo de intercambio determina el número de mensajes y los tipos de carga que se incluyen en cada mensaje. Los modos, o tipos de intercambio, son:

  • Main—El intercambio se realiza con seis mensajes. Este modo, o tipo de intercambio, cifra la carga útil y protege la identidad del vecino. Se muestra el método de autenticación utilizado: claves compartidas previamente o certificados.

  • Aggressive—El intercambio se realiza con tres mensajes. Este modo, o tipo de intercambio, no cifra la carga, dejando la identidad del vecino desprotegida.

Método de autenticación

Ruta de acceso elegida para autenticación.

Traducido

Dirección del elemento local del mismo nivel.

Remotos

Dirección del interlocutor remoto.

Cesiones

Número de segundos restantes hasta que expire la ICR SA.

Algorítmica

Algoritmos de ICR utilizados para cifrar y asegurar los intercambios entre los interlocutores durante el proceso de fase 2 de IPsec:

  • Authentication—Tipo de algoritmo de autenticación utilizado.

    • sha1—Autenticación de algoritmo hash seguro 1 (SHA-1).

    • md5—Autenticación MD5.

  • Encryption—Tipo de algoritmo de cifrado utilizado.

    • aes-256-cbc—Cifrado de 256 bits de estándar de cifrado avanzado (AES).

    • aes-192-cbc—Cifrado de 192 bits de estándar de cifrado avanzado (AES).

    • aes-128-cbc—Cifrado de 128 bits de estándar de cifrado avanzado (AES).

    • 3des-cbc—3 encriptación estándar de cifrado de datos (DES).

    • des-cbc—Cifrado del estándar de cifrado de datos (DES).

    • Pseudo random function—La familia de funciones pseudoaleatorios se protege criptográficamente.

Estadísticas de tráfico

Las estadísticas de tráfico incluyen lo siguiente:

  • Input bytes—Número de bytes que presenta el dispositivo para su procesamiento.

  • Output bytes—Número de bytes procesados realmente por el dispositivo.

  • Input packets—Número de paquetes presentados para que el dispositivo los procese.

  • Output packets—Número de paquetes procesados realmente por el dispositivo.

Asociaciones de seguridad IPsec

  • number created—Número de SA creadas.

  • number deleted—Número de SA eliminadas.

Función

Parte que se reproduce en la sesión de ICR. El dispositivo que activa la negociación del ICR es el iniciador y el dispositivo que acepta los primeros ICR los paquetes de Exchange es el que responde.

ID. del mensaje

Identificador del mensaje.

Identidad local

Especifica la identidad del elemento local del mismo nivel, de modo que su puerta de enlace de destino asociada pueda comunicarse con él. El valor se especifica como cualquiera de los siguientes: Dirección IPv4, nombre de dominio completo, dirección de correo electrónico o nombre completo.

Identidad remota

Dirección IPv4 de la puerta de enlace de destino del mismo nivel.

Supervisión de IPsec—VPN fase I

Finalidad

Ver información acerca de IPsec VPN Phase I.

Acción

Selección Monitor>IPSec VPN>Phase I en la interfaz de usuario de J-Web.

Tabla 2describe las opciones disponibles para supervisar IPsec VPN-fase I.

Tabla 2: Página de—supervisión de IPSec VPN fase I

CampoValoresObtener más información
Opciones de la ficha ICR SA
ICR asociaciones de seguridad

Índice SA

Número de índice de una SA.

Dirección remota

Dirección IP del equipo del mismo nivel de destino con la que se comunica el interlocutor local.

Estado

Estado de las asociaciones de seguridad ICR:

  • No—se ha negociado la SA hacia abajo con el interlocutor.

  • Se—ha negociado la SA con el interlocutor.

Cookie de iniciador

Número aleatorio, llamado cookie, que se envía al nodo remoto cuando se activa la negociación del ICR.

Cookie del respondedor

Número aleatorio generado por el nodo remoto y devuelto al iniciador para comprobar que los paquetes se han recibido.

El objetivo de una cookie es proteger los recursos informáticos de los ataques sin gastar demasiados recursos de’CPU para determinar la autenticidad de la cookie.

Medio

El método de negociación está acordado por los dos extremos de IPsec, o iguales, que se utilizan para intercambiar información. Cada tipo de intercambio determina el número de mensajes y los tipos de carga que se incluyen en cada mensaje. Los modos, o tipos de intercambio, son:

  • Main—el intercambio se realiza con seis mensajes. Este modo, o tipo de intercambio, cifra la carga útil y protege la identidad del vecino. Se muestra el método de autenticación utilizado: claves compartidas previamente o certificados.

  • —El intercambio se realiza con tres mensajes. Este modo, o tipo de intercambio, no cifra la carga, dejando la identidad del vecino desprotegida.

Supervisión de IPsec—VPN fase II

Finalidad

Ver la información de IPsec VPN Phase II.

Acción

Selección Monitor>IPSec VPN>Phase II en la interfaz de usuario de J-Web.

Tabla 3describe las opciones disponibles para la supervisión de IPsec VPN-Phase II.

Tabla 3: Página supervisión—de IPSec VPN fase II

CampoValoresObtener más información
Detalles de la ficha estadísticas

Por bytes

Proporciona el número total de bytes cifrados y descifrados por el sistema local a través del túnel IPsec.

Por paquetes

Proporciona el número total de paquetes cifrados y descifrados por el sistema local a través del túnel IPsec.

Estadísticas de IPsec

Proporciona detalles de las estadísticas de IPsec.

Detalles de la ficha SA IPsec
Asociaciones de seguridad IPsec

ID

Número de índice de la SA.

Puerta de enlace o puerto

Dirección IP de la puerta de enlace o el puerto remoto.

Algorítmica

Esquema criptográfico que se utiliza para asegurar los intercambios entre iguales durante la ICR las negociaciones de la fase II:

  • Algoritmo de autenticación usado para autenticar intercambios entre los interlocutores. Las opciones son HMAC-MD5-95 o HMAC-SHA1-96.

SPI

Identificador de índice de parámetro de seguridad (SPI). Una SA se identifica de forma exclusiva mediante un SPI. Cada entrada incluye el nombre de la red privada virtual (VPN), la dirección de puerta de enlace remota, el SPI de cada dirección, los algoritmos de cifrado y autenticación, y las claves. Cada puerta de enlace del mismo nivel tiene dos SAs, uno de los cuales resulta de cada una de las dos fases de la negociación: Fase I y fase II.

Durante

La duración de la SA, después de la cual vence, expresada en segundos o en kilobytes.

Monitoriza

Especifica si se ha habilitado o deshabilitado la supervisión de Liveliness VPN. Enabled-' U ', Disabled—-' '

Vsys

Especifica el sistema raíz.

Supervisar la información de IPsec VPN

Finalidad

Ver información acerca de la seguridad de IPsec (SA).

Acción

Selección Monitor>IPSec VPN>IPsec VPN en la interfaz de usuario de J-Web. Para ver la información de estadísticas de IPsec correspondiente a una SA determinada, seleccione el valor ID de SA de IPsec en la página IPsec VPN.

De manera alternativa, escriba los siguientes comandos de la CLI:

  • show security ipsec security-associations

  • show security ipsec statistics

Tabla 4resume los campos de resultados clave en la presentación de IPsec VPN.

Tabla 4: Resumen de campos de resultados de información IPsec VPN clave

Campo

Valores

Obtener más información

Asociaciones de seguridad IPsec

SA configurado total

Número total de asociaciones de seguridad IPsec (SA) configuradas en el dispositivo.

ID

Número de índice de la SA.

Gateway

Dirección IP de la puerta de enlace remota.

Traslada

Si se utiliza Traducción de direcciones de red (TDR-T), este valor es 4500. De lo contrario, es el puerto de ICR estándar, 500.

Algorítmica

Cifrado utilizado para proteger los intercambios entre iguales durante la ICR las negociaciones de la fase 2:

  • Algoritmo de autenticación usado para autenticar intercambios entre los interlocutores. Opciones son hmac-md5-95 o hmac-sha1-96.

  • Algoritmo de cifrado utilizado para cifrar el tráfico de datos. Opciones son 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc, o bien des-cbc.

SPI

Identificador de índice de parámetro de seguridad (SPI). Una SA se identifica de forma exclusiva mediante un SPI. Cada entrada incluye el nombre de la red privada virtual (VPN), la dirección de puerta de enlace remota, el SPI de cada dirección, los algoritmos de cifrado y autenticación, y las claves. Cada puerta de enlace del mismo nivel tiene dos SAs, uno de los cuales resulta de cada una de las dos fases de la negociación: Fase 1 y fase 2.

Durante SEC/KB

La duración de la SA, después de la cual vence, expresada en segundos o en kilobytes.

Estado

Estado tiene dos opciones, Installed y Not Installed.

  • Installed—La Asociación de seguridad se instala en la base de datos de asociaciones de seguridad.

  • Not Installed—La Asociación de seguridad no está instalada en la base de datos de asociaciones de seguridad.

Responsables transport modo, el valor de State siempre está instalado.

Vsys

El sistema raíz.

Información de estadísticas de IPsec

Estadísticas de ESP

Las estadísticas del Protocolo de seguridad de encapsulación (ESP) incluyen lo siguiente:

  • Encrypted bytes—Número total de bytes cifrados por el sistema local a través del túnel IPsec.

  • Decrypted bytes—Número total de bytes descifrados por el sistema local a través del túnel IPsec.

  • Encrypted packets—Número total de paquetes cifrados por el sistema local a través del túnel IPsec.

  • Decrypted packets—Número total de paquetes descifrados por el sistema local a través del túnel IPsec.

Estadísticas de AH

Las estadísticas de encabezado de autenticación (AH) incluyen lo siguiente:

  • Input bytes—Número de bytes que presenta el dispositivo para su procesamiento.

  • Output bytes—Número de bytes procesados realmente por el dispositivo.

  • Input packets—Número de paquetes presentados para que el dispositivo los procese.

  • Output packets—Número de paquetes procesados realmente por el dispositivo.

Errores

Errores se incluyen los siguientes

  • AH authentication failures—Número total de errores de encabezado de autenticación (AH). Un error de AH se produce cuando hay una falta de coincidencia del encabezado de autenticación en un paquete transmitido a través de un túnel IPsec.

  • Replay errors—Número total de errores de reproducción. Se genera un error de reproducción cuando se recibe un paquete duplicado en la ventana de reproducción.

  • ESP authentication failures—Número total de errores de carga de seguridad de encapsulación (ESP). Un error de ESP se produce cuando hay una incompatibilidad de autenticación en los paquetes ESP.

  • ESP decryption failures—Número total de errores de descifrado de ESP.

  • Bad headers—Número total de encabezados no válidos detectados.

  • Bad trailers—Número total de remolques no válidos detectados.

Detalles del índice de SA de IPsec: ID

Virtual System

El sistema raíz.

Puerta de enlace local

Dirección de puerta de enlace del sistema local.

Puerta de enlace remota

Dirección de puerta de enlace del sistema remoto.

Identidad local

Especifica la identidad del elemento local del mismo nivel, de modo que su puerta de enlace de destino asociada pueda comunicarse con él. El valor se especifica como cualquiera de los siguientes: Dirección IPv4, nombre de dominio completo, dirección de correo electrónico o nombre completo.

Identidad remota

Dirección IPv4 de la puerta de enlace de destino del mismo nivel.

Bit DF

Estado del bit de’fragmentación Don t—set o cleared.

Nombre de la Directiva

Nombre de la Directiva aplicable.

Dirección

Dirección de la Asociación de seguridad—inbound, o bien outbound.

SPI

Identificador de índice de parámetro de seguridad (SPI). Una SA se identifica de forma exclusiva mediante un SPI. Cada entrada incluye el nombre de la red privada virtual (VPN), la dirección de puerta de enlace remota, el SPI de cada dirección, los algoritmos de cifrado y autenticación, y las claves. Cada puerta de enlace del mismo nivel tiene dos SAs, uno de los cuales resulta de cada una de las dos fases de la negociación: Fase 1 y fase 2.

Medio

Modo de la Asociación de seguridad. El modo puede ser de transporte o de túnel.

  • transport—Protege las conexiones de host a host.

  • tunnel—Protege las conexiones entre puertas de enlace de seguridad.

Escríba

Tipo de la Asociación de seguridad, ya sea manual o dynamic.

  • manual—Los parámetros de seguridad no requieren negociación. Son estáticos y los configura el usuario.

  • dynamic—Los parámetros de seguridad son negociados por el protocolo de ICR. Las asociaciones de seguridad dinámicas no se admiten en el modo de transporte.

Estado

State tiene dos opciones, Installedy Not Installed.

  • Installed—La Asociación de seguridad se instala en la base de datos de asociaciones de seguridad.

  • Not Installed—La Asociación de seguridad no está instalada en la base de datos de asociaciones de seguridad.

Responsables transport modo, el valor de State siempre está Installed.

Protocolo

Protocolo admitido:

  • Transport el modo admite el protocolo de seguridad de encapsulación (ESP) y el encabezado de autenticación (AH).

  • Tunnel el modo admite ESP y AH.

    • Authentication—Tipo de autenticación utilizada.

    • Encryption—Tipo de cifrado utilizado.

Autenticación/cifrado

  • Authentication—Tipo de algoritmo de autenticación utilizado.

    • sha1—Autenticación de algoritmo hash seguro 1 (SHA-1).

    • md5—Autenticación MD5.

  • Encryption—Tipo de algoritmo de cifrado utilizado.

    • aes-256-cbc—Cifrado de 256 bits de estándar de cifrado avanzado (AES).

    • aes-192-cbc—Cifrado de 192 bits de estándar de cifrado avanzado (AES).

    • aes-128-cbc—Cifrado de 128 bits de estándar de cifrado avanzado (AES).

    • 3des-cbc—3 encriptación estándar de cifrado de datos (DES).

    • des-cbc—Cifrado del estándar de cifrado de datos (DES).

Duración de software

La duración de software informa al sistema de administración de claves IPsec de que la SA está a punto de caducar.

  • Expires in seconds—Número de segundos restantes hasta que la SA expire.

  • Expires in kilobytes—Número de kilobytes restantes hasta que la SA caduca.

Cada período de duración de una asociación de seguridad tiene dos opciones de presentación: hard y soft, uno de los cuales debe estar presente para una asociación de seguridad dinámica. Esto permite que el sistema de administración de claves negocie una nueva SA antes de que venza la duración.

Vida dura

La duración dura especifica la duración de la SA.

  • Expires in seconds—Número de segundos restantes hasta que la SA expire.

  • Expires in kilobytes—Número de kilobytes restantes hasta que la SA caduca.

Anti-Play Service

Estado del servicio que impide que se reproduzcan paquetes. Se pueda Enabled o Disabled.

Tamaño de la ventana de reproducción

Tamaño configurado de la ventana de servicio antireplay. Puede ser 32 o 64 paquetes. Si el tamaño de la ventana de reproducción es 0, el servicio antireplay está deshabilitado.

El tamaño de la ventana de antireplay protege al receptor contra ataques de reproducción al rechazar paquetes antiguos o duplicados.