Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ike security-associations

Syntax

Description

Afficher des informations sur les associations de sécurité Internet Key Exchange (IKE SAs).

Options

  • aucune : affiche les informations standard sur les AAS IKE existants, y compris les index.

  • peer-address—(Facultatif) Affiche les détails d’un SA particulier en fonction de l’adresse IPv4 ou IPv6 de l’appairage de destination. Cette option et index fournit le même niveau de sortie.

  • brief—(Facultatif) Affichez des informations standard sur tous les SAS IKE existants. (par défaut)

  • detail—(Facultatif) Affichez des informations détaillées sur tous les SAS IKE existants.

  • family— (facultatif) Afficher les SAS IKE par famille. Cette option permet de filtrer la sortie.

    • inet— Famille d’adresses IPv4.

    • inet6— Famille d’adresses IPv6.

  • fpc slot-number—(Facultatif) Affichez des informations sur les AAS IKE existants dans cet emplacement FPC (Flexible PIC Concentrator). Cette option permet de filtrer la sortie.

    Dans un cluster de châssis, lorsque vous exécutez la commande show security ike security-associations pic <slot-number> fpc <slot-number> CLI en mode opérationnel, seules les informations de nœud principal sur les AS IPSec existants dans l’emplacement FPC (Flexible PIC Concentrator) spécifié et l’emplacement PIC sont affichées.

  • index SA-index-number—(Facultatif) Afficher les informations d’un SA particulier en fonction du numéro d’index du sa. Pour un SA particulier, affichez la liste des SAs existants à l’aide de la commande sans options. Cette option et peer-address fournit le même niveau de sortie.

  • kmd-instance —(Facultatif) Affichez des informations sur les SAS IKE existants dans le processus de gestion des clés (dans ce cas, il s’agit de KMD) identifiés par le numéro d’emplacement FPC et le numéro d’emplacement PIC. Cette option permet de filtrer la sortie.

    • all— Toutes les instances KMD s’exécutent sur l’unité de traitement des services (SPU).

    • kmd-instance-name— Nom de l’instance KMD exécutée sur le SPU.

  • pic slot-number —(Facultatif) Affichez des informations sur les AAS IKE existants dans ce logement PIC. Cette option permet de filtrer la sortie.

  • sa-type—(facultatif pour ADVPN) Type de SA. shortcut est la seule option pour cette version.

Required Privilege Level

Vue

Output Fields

Tableau 1 répertorie les champs de sortie de la show security ike security-associations commande. Les champs de sortie sont répertoriés dans l’ordre approximatif dans lequel ils apparaissent.

Tableau 1 : show security ike security-associations Output Fields

Nom du champ

Description du champ

IKE Peer or Remote Address

Adresse IP de l’appairage de destination avec lequel l’appairage local communique.

Index

Numéro d’index d’un SA. Ce numéro est un numéro généré en interne que vous pouvez utiliser pour afficher des informations sur un seul SA.

Gateway Name

Nom de la passerelle IKE.

Location

  • FPC— Concentrateur PIC flexible (FPC) numéro d’emplacement.

  • PIC— Numéro d’emplacement PIC.

  • KMD-Instance— Nom de l’instance KMD exécutée sur le SPU, identifié par le numéro d’emplacement FPC et le numéro d’emplacement PIC. Actuellement, 4 instances KMD s’exécutent sur chaque SPU, et toute négociation IKE particulière est effectuée par une seule instance KMD.

Role

Partie jouée lors de la session IKE. L’équipement qui déclenche la négociation IKE est l’initiateur et l’équipement qui accepte les premiers paquets d’échange IKE est le répondant.

State

État des SAs IKE :

  • DOWN— SA n’a pas été négociée avec les pairs.

  • UP— SA a été négociée avec l’un de ses pairs.

Initiator cookie

Numéro aléatoire, appelé cookie, qui est envoyé au nœud distant lorsque la négociation IKE est déclenchée.

Responder cookie

Nombre aléatoire généré par le nœud distant et renvoyé à l’initiateur pour vérifier que les paquets ont été reçus.

Un cookie vise à protéger les ressources informatiques contre les attaques sans dépenser trop de ressources processeur pour déterminer l’authenticité du cookie.

Exchange type

Méthode de négociation convenue entre les deux points d’extrémité IPsec, ou pairs, utilisée pour échanger des informations entre eux. Chaque type ou mode d’échange détermine le nombre de messages et les types de charge utile contenus dans chaque message. Les modes sont les suivants :

  • main— L’échange se fait à l’aide de six messages. Ce mode chiffre la charge utile pour protéger l’identité du voisin.

  • aggressive— L’échange se fait à l’aide de trois messages. Ce mode ne crypte pas la charge utile, laissant l’identité du voisin non protégée.

Le protocole IKEv2 n’utilise pas la configuration du mode pour la négociation. Par conséquent, le mode affiche le numéro de version de l’association de sécurité.

Authentication method

Méthode utilisée pour authentifier la source des messages IKE, qui peuvent être soit Pre-shared-keys des certificats numériques, tels que DSA-signatures, ECDSA-signatures-256, ECDSA-signatures-384ou RSA-signatures.

Local

Adresse de l’pair local.

Remote

Adresse de l’pair distant.

Lifetime

Nombre de secondes restant jusqu’à l’expiration de l’IKE SA.

Reauth Lifetime

Une fois activé, le nombre de secondes restant jusqu’à ce que la ré-authentification déclenche une nouvelle négociation IKEv2 SA.

IKE Fragmentation

Enabled signifie que l’initiateur IKEv2 et le répondant prennent en charge la fragmentation du message et ont négocié l’assistance pendant l’échange de messages IKE_SA_INIT.

Size indique la taille maximale d’un message IKEv2 avant qu’il ne soit fragmenté.

Algorithms

Algorithmes IKE utilisés pour chiffrer et sécuriser les échanges entre les pairs lors du processus IPsec phase 2 :

  • Authentication— Type d’algorithme d’authentification utilisé :

    • sha1— Authentification sécurisée par l’algorithme de hachage 1.

    • md5— Authentification MD5.

  • Encryption— Type d’algorithme de chiffrement utilisé :

    • aes-256-cbc— Chiffrement AES (Advanced Encryption Standard) 256 bits.

    • aes-192-cbc— Chiffrement AES192 bits.

    • aes-128-cbc— Chiffrement AES 128 bits.

    • 3des-cbc— 3 chiffrement DES (Data Encryption Standard).

    • aes-128-gcm— Chiffrement AES (Advanced Encryption Standard) 256 bits.

    • des-cbc— Chiffrement DES.

    À partir de Junos OS Version 19.4R2, lorsque vous configurez aes-128-gcm ou aes-256-gcm en tant qu’algorithme de chiffrement au niveau de la [edit security ipsec proposalproposal-name] hiérarchie, le champ de l’algorithme d’authentification de la show security ikesecurity-associations detail commande affiche le même algorithme de chiffrement configuré.

  • Pseudo random functionFonction générant des nombres aléatoires hautement imprévisibles : hmac-md5 ou hmac-sha1.

  • Diffie-Hellman group— Spécifie le type de groupe Diffie-Hellman lors de l’exécution du nouvel échange Diffie-Hellman. Il peut s’agir de l’un des éléments suivants :

    • group1— Algorithme MODP (Modular Exponential) 768 bits.

    • group2—Algorithme MODP 1 024 bits.

    • group14— groupe MODP 2048 bits.

    • group15—Algorithme MODP 3072 bits.

    • group16: algorithme MODP 4 096 bits.

    • group19— Algorithme de courbes elliptiques aléatoires de 256 bits modulo a prime (groupe ECP).

    • group20— Algorithme de groupe ECP aléatoire de 384 bits.

    • group21— Algorithme de groupe ECP aléatoire de 521 bits.

    • group24- Groupe MODP 2 048 bits avec sous-groupe de l’ordre premier de 256 bits.

Traffic statistics

  • Input bytes—Nombre d’octets reçus.

  • Output bytes—Nombre d’octets transmis.

  • Input packets—Nombre de paquets reçus.

  • Output packets—Nombre de paquets transmis.

  • Input fragmented packets— Nombre de paquets fragmentés IKEv2 reçus.

  • Output fragmented packets— Nombre de paquets IKEv2 fragmentés transmis.

Flags

Notification au processus de gestion clé du statut de la négociation IKE :

  • caller notification sent— Le programme d’appel a été avisé de l’issue de la négociation IKE.

  • waiting for done— La négociation est terminée. La bibliothèque attend l’expiration des délais de retransmission à distance.

  • waiting for remove— La négociation a échoué. La bibliothèque attend que les délais de retransmission de fin à distance expirent avant de retirer cette négociation.

  • waiting for policy manager— Les négociations attendent une réponse de la part du gestionnaire de polices.

IPSec security associations

  • number created: Le nombre d’AS créés.

  • number deleted: Le nombre d’accords de niveau de service supprimé.

Phase 2 negotiations in progress

Nombre de négociations IKE de phase 2 en cours et informations sur l’état :

  • Negotiation type— Type de négociation de phase 2. Junos OS prend actuellement en charge le mode rapide.

  • Message ID— Identifiant unique pour une négociation de phase 2.

  • Local identity— Identité de la négociation de la phase 2 locale. Le format est id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

  • Remote identity— Identité de la négociation à distance de la phase 2. Le format est id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

  • Flags— Notification au processus de gestion clé du statut de la négociation IKE :

    • caller notification sent— Le programme d’appel a été avisé de l’issue de la négociation IKE.

    • waiting for done— La négociation est terminée. La bibliothèque attend l’expiration des délais de retransmission à distance.

    • waiting for remove— La négociation a échoué. La bibliothèque attend que les délais de retransmission de fin à distance expirent avant de retirer cette négociation.

    • waiting for policy manager— Les négociations attendent une réponse de la part du gestionnaire de polices.

Local gateway interface

Nom de l’interface de la passerelle locale.

Routing instance

Nom de l’instance de routage de la passerelle locale.

IPsec Tunnel IDs

Indique la liste des ID de tunnel IPsec enfants

Sample Output

show security ike security-associations (IPv4)

show security ike security-associations (IPv6)

show security ike security-associations detail (SRX300, SRX320, SRX340, SRX345, and SRX550HM Devices)

show security ike security-associations detail (SRX5400, SRX5600, and SRX5800 Devices)

command-name

Le sujet afficher les statistiques d’ike de sécurité répertorie les champs de sortie de la show security ike security-associations detail commande.

show security ike security-associations family inet6

show security ike security-associations index 222075191 detail

show security ike security-associations index 788674 detail

show security ike security-associations 192.168.1.2

show security ike security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ike security-associations detail (ADVPN Suggester, Static Tunnel)

show security ike security-associations detail (ADVPN Partner, Static Tunnel)

show security ike security-associations detail (ADVPN Partner, Shortcut)

show security ike security-associations sa-type shortcut (ADVPN)

show security ike security-associations sa-type shortcut detail (ADVPN)

show security ike security-associations detail (IKEv2 Reauthentication)

show security ike security-associations detail (IKEv2 Fragmentation)

Release Information

Commande introduite dans Junos OS version 8.5. Prise en charge de , fpcpicet kmd-instance des options ajoutées dans Junos OS Version 9.3. Prise en charge de l’option family ajoutée dans Junos OS Version 11.1. Prise en charge du VPN de découverte automatique ajouté à Junos OS version 12.3X48-D10. Prise en charge de la ré-authentification IKEv2 ajoutée dans Junos OS version 15.1X49-D60. Prise en charge de la fragmentation IKEv2 ajoutée dans Junos OS Version 15.1X49-D80.

Prise en charge de l’option ha-link-encryption ajoutée dans Junos OS Version 20.4R1.