show ipsec security-associations

Association de sécurité

Nom de l’association de sécurité.

Famille d’interfaces

Statut de la famille d’interfaces de l’association de sécurité. Si le champ famille d’interfaces est absent, il s’agit d’une association de sécurité en mode transport. La famille d’interfaces peut avoir l’une des trois options suivantes :

• Up (Up) : l’association de sécurité est référencée dans la famille d’interfaces et la famille d’interfaces est active.

• Down (Down) : l’association de sécurité est référencée dans la famille d’interfaces et la famille d’interfaces est inactive.

• Aucune référence : l’association de sécurité n’est pas référencée dans la famille d’interfaces.

Passerelle locale

Adresse de passerelle du système local.

Passerelle distante

Adresse de passerelle du système distant.

Identité locale

Préfixe et numéro de port de l’extrémité locale

Identité à distance

Préfixe et numéro de port de l’extrémité distante.

Direction

Direction de l’association de sécurité : entrante ou sortante.

SPI

Valeur de l’index des paramètres de sécurité.

AUX-SPI

Valeur de l’index des paramètres de sécurité auxiliaires.

• Lorsque la valeur est AH ou ESP, AUX-SPI est toujours égal à 0.

• Lorsque la valeur estAH+ESP, AUX-SPI est toujours un entier positif.

État

Statut de l’association de sécurité :

• Installé : l’association de sécurité est installée dans la base de données de l’association de sécurité. (Pour les associations de sécurité en mode transport, la valeur de State doit toujours être Installed.)

• Non installé : l’association de sécurité n’est pas installée dans la base de données de l’association de sécurité.

Mode

Mode de l’association de sécurité :

• transport : protège les protections d’un seul hôte à un seul hôte.

• tunnel : protège les connexions entre les passerelles de sécurité.

Type

Type d’association de sécurité :.

• manual : les paramètres de sécurité ne nécessitent aucune négociation. Ils sont statiques et configurés par l’utilisateur.

• dynamic : les paramètres de sécurité sont négociés par le protocole IKE. Les associations de sécurité dynamique ne sont pas prises en charge en mode transport.

Protocole

Protocole pris en charge :

• mode transport : prend en charge le protocole ESP (Encapsulation Security Protocol) ou l’en-tête d’authentification (AH).

• mode tunnel : prend en charge ESP ou AH+ESP.

Authentification

Type d’authentification utilisé : hmac-md5-96, hmac-sha1-96 ou Aucun.

Cryptage

Type de chiffrement utilisé : des-cbc, 3des-csc ou Aucun.

Durée de vie douce

Durée de vie difficile

(sortie dynamique uniquement) Chaque durée de vie d’une association de sécurité comporte deux options d’affichage, matérielle et logicielle, dont l’une doit être présente pour une association de sécurité dynamique. La durée de vie matérielle spécifie la durée de vie de la SA. La durée de vie logicielle, qui est dérivée de la durée de vie matérielle, informe le système de gestion de clés IPsec que la SA est sur le point d’expirer. Cela permet au système de gestion des clés de négocier une nouvelle SA avant l’expiration de la durée de vie du matériel.

• Expire dans seconds seconds : nombre de secondes restantes avant l’expiration de l’association de sécurité.

• Expire dans kilobytes kilobytes : nombre de kilo-octets restants jusqu’à l’expiration de l’association de sécurité.

Service anti-replay

État du service qui empêche la relecture des paquets : Activé ou Désactivé.

Taille de la fenêtre de relecture

Taille configurée, en paquets, de la fenêtre du service antireplay : 32 ou 64. La taille de la fenêtre anti-rejeu protège le récepteur contre les attaques par rejeu en rejetant les paquets anciens ou dupliqués. Si la taille de la fenêtre de relecture est égale à 0, le service antireplay est désactivé.