show security ipsec security-associations

Total active tunnels

Nombre total de tunnels IPsec actifs.

ID

Numéro d’index de l’AS. Vous pouvez utiliser ce numéro pour obtenir des informations supplémentaires sur l’AS.

Algorithm

La cryptographie utilisée pour sécuriser les échanges entre pairs pendant les négociations IKE comprend :

• Algorithme d’authentification utilisé pour authentifier les échanges entre les pairs.

• Algorithme de chiffrement utilisé pour chiffrer le trafic de données.

SPI

Identificateur de l’indice des paramètres de sécurité (SPI). Une SA est identifiée de manière unique par un SPI. Chaque entrée comprend le nom du VPN, l’adresse de la passerelle distante, les SPI pour chaque direction, les algorithmes de chiffrement et d’authentification et les clés. Les passerelles homologues ont chacune deux SA, l’une résultant de chacune des deux phases de négociation : IKE et IPsec.

Life: sec/kb

La durée de vie de la SA, après laquelle elle expire, exprimée en secondes ou en kilo-octets.

Mon

Le champ Mon fait référence à l’état de la surveillance VPN. Si la surveillance VPN est activée, ce champ s’affiche U (haut) ou D (bas). Un trait d’union (-) signifie que la surveillance VPN n’est pas activée pour cette SA. A V signifie que la vérification IPsec du chemin d’accès aux données est en cours.

lsys

Le système racinaire.

Port

Si la traduction d’adresses réseau (NAT) est utilisée, cette valeur est 4500. Sinon, il s’agit du port IKE standard, 500.

Gateway

Adresse IP de la passerelle distante.

Virtual-system

Nom du système logique.

VPN name

Nom IPsec pour VPN.

State

L’état a deux options, Installed et Not Installed.

• Installed: l’AS est installée dans la base de données de l’AS.

• Not Installed: la SA n’est pas installée dans la base de données de la SA.

  Pour le mode transport, la valeur de State est toujours Installed.

Local gateway

Adresse de passerelle du système local.

Remote gateway

Adresse de passerelle du système distant.

Traffic selector

Nom du sélecteur de trafic.

Local identity

Identité de l’homologue local afin que sa passerelle de destination partenaire puisse communiquer avec lui. La valeur est spécifiée sous la forme d’une adresse IP, d’un nom de domaine complet, d’une adresse e-mail ou d’un nom distinctif (DN).

Remote identity

Adresse IP de la passerelle homologue de destination.

Term

Définit la plage d’adresses IP locales, la plage d’adresses IP distantes, la plage de ports source, la plage de ports de destination et le protocole.

Source-port

Plage de ports source configurée pour une durée déterminée.

Destination-Port

Plage de ports de destination configurée pour une durée déterminée.

Version

version IKE, soit IKEv1 ou IKEv2.

DF-bit

État du bit ne pas fragmenter : set ou cleared.

Location

FPC—Numéro d’emplacement du concentrateur PIC flexible (FPC).

PIC—Numéro d’emplacement PIC.

KMD-Instance: nom de l’instance KMD s’exécutant sur le SPU, identifiée par FPC slot-number et PIC slot-number. Actuellement, 4 instances KMD s’exécutent sur chaque SPU, et toute négociation IPsec particulière est effectuée par une seule instance KMD. Cette option s’applique lorsque vous disposez d’un kmd processus pour les fonctionnalités VPN IPsec. Cette option n’est pas disponible lorsque vous activez iked le processus à l’aide du package pour l’exécution junos-ike des fonctionnalités VPN IPsec.

Tunnel events

L’événement tunnel et le nombre de fois qu’il s’est produit. Reportez-vous à la section Événements de tunnel pour obtenir une description des événements de tunnel et des actions que vous pouvez entreprendre.

• L’option detail affiche jusqu’à dix événements de tunnel dans l’ordre chronologique inverse.

• L’option extensive affiche tous les événements du tunnel.

Anchorship

ID de thread d’ancrage pour la SA (pour les équipements de la série SRX4600 avec l’option detail ).

Direction

Direction de l’AS ; Il peut être entrant ou sortant.

AUX-SPI

Valeur de l’indice des paramètres de sécurité auxiliaires (SPI).

• Lorsque la valeur est ou ESP, AUX-SPI la valeur est AH toujours égale à 0.

• Lorsque la valeur est , AUX-SPI est AH+ESPtoujours un entier positif.

Mode

Mode de la SA :

• transport: protège les connexions d’hôte à hôte.

• tunnel—Protège les connexions entre les passerelles de sécurité.

Type

Type de l’AS :

• manual—Les paramètres de sécurité ne nécessitent aucune négociation. Ils sont statiques et configurés par l’utilisateur.

• dynamic—Les paramètres de sécurité sont négociés par le protocole IKE. Les SA dynamiques ne sont pas prises en charge en mode transport.

State

État de l’Afrique du Sud :

• Installed: l’AS est installée dans la base de données de l’AS.

• Not Installed: la SA n’est pas installée dans la base de données de la SA.

  Pour le mode transport, la valeur de State est toujours Installed.

Protocol

Protocole pris en charge.

• Le mode transport prend en charge le protocole ESP (Encapsulation Security Protocol) et l’en-tête d’authentification (AH).

• Le mode tunnel prend en charge ESP et AH.

Authentication

Type d’authentification utilisé.

Encryption

Type de chiffrement utilisé.

À partir de Junos OS version 19.4R2, lorsque vous configurez aes-128-gcm ou aes-256-gcm en tant qu’algorithme de chiffrement au niveau de la hiérarchie, le champ Algorithme d’authentification de la [edit security ipsec proposal proposal-name] show security ipsec security-associations detail commande affiche le même algorithme de chiffrement configuré.

Soft lifetime

La durée de vie logicielle informe le système de gestion des clés IPsec que la SA est sur le point d’expirer.

Chaque durée de vie d’un SA dispose de deux options d’affichage, hard et soft, dont l’une doit être présente pour un SA dynamique. Cela permet au système de gestion des clés de négocier une nouvelle SA avant l’expiration de la durée de vie du matériel.

• Expires in seconds: nombre de secondes restantes avant l’expiration de la SA.

Hard lifetime

La durée de vie matérielle spécifie la durée de vie de la SA.

• Expires in seconds: nombre de secondes restantes avant l’expiration de la SA.

Lifesize Remaining

La taille de vie restante spécifie les limites d’utilisation en kilo-octets. Si aucune taille de vie n’est spécifiée, elle affiche illimité.

• Expires in kilobytes: nombre de kilo-octets restants avant l’expiration de la SA.

Anti-replay service

État du service qui empêche la relecture des paquets. Il peut s’agir de Enabled ou Disabled.

Replay window size

Taille de la fenêtre du service antireplay, qui est de 64 bits.

Bind-interface

Interface de tunnel à laquelle le VPN basé sur le routage est lié.

Copy-Outer-DSCP

Indique si le système copie la valeur DSCP externe de l’en-tête IP vers l’en-tête IP interne.

tunnel-establishment

Indique comment l’IKE est activé.

IKE SA index

Indique la liste des associations de sécurité IKE parentes.

Total active tunnels

ID

Algorithm

SPI

Life:sec/kb

Mon

lsys

Port

Gateway

ID

Virtual-system

VPN Name

Local Gateway

Remote Gateway

Local Identity

Remote Identity

Version

Passive Mode Tunneling

DF-bit

Bind-interface

Direction

AUX-SPI

VPN Monitoring

Hard lifetime

Lifesize Remaining

Soft lifetime

Mode

Type

State

Protocol

Anti-replay service

Replay window size

Mode de chiffrement des liens HA