Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

Syntaxe

Description

Affichez des informations sur les associations de sécurité (AS) IPsec.

Dans les versions 20.1R2, 20.2R2, 20.3R2, 20.3R1 et ultérieures, lorsque vous exécutez la show security ipsec security-associations detail commande, un nouveau champ IKE SA Index de sortie correspondant à chaque SA IPsec dans un tunnel s’affiche sous chaque information SA IPsec. Voir afficher les détails des associations de sécurité ipsec (SRX5400, SRX5600, SRX5800).

Options

none

Affichez des informations sur tous les SA.

brief | detail

(Facultatif) Affichez le niveau de sortie spécifié. La valeur par défaut est brief.

family

(Facultatif) Afficher les AS par famille. Cette option est utilisée pour filtrer la sortie.

  • inet— Famille d’adresses IPv4.

  • inet6— Famille d’adresses IPv6.

fpc slot-numberpic slot-number

(Facultatif) Affichez des informations sur les SAs IPsec existants dans l’emplacement FPC (Flexible PIC Concentrateor) et l’emplacement PIC spécifiés.

Dans un cluster de châssis, lorsque vous exécutez la commande show security ipsec security-associations pic <slot-number> fpc <slot-number> CLI en mode opérationnel, seules les informations sur les SPsec existants dans l’emplacement FPC (Flexible PIC Concentrateor) et l’emplacement PIC spécifiés sont affichées.

index SA-index-number

(Facultatif) Affichez des informations détaillées sur le SA spécifié identifié par ce numéro d’index. Pour obtenir une liste de tous les sas comprenant leurs numéros d’index, utilisez la commande sans option.

kmd-instance

(Facultatif) Afficher des informations sur les SAs IPsec existants dans le processus de gestion des clés (dans ce cas, il s’agit de KMD) identifié par le FPC slot-number et le PIC slot-number.

  • all— Toutes les instances KMD exécutées sur l’unité de traitement des services (SPU).

  • kmd-instance-name— Nom de l’instance KMD s’exécutant sur le SPU.

node-local

— (Facultatif) Affichez des informations sur les SAs IPsec pour les tunnels locaux de nœud dans une configuration de haute disponibilité multinode.

pic slot-numberfpc slot-number

(Facultatif) Affichez des informations sur les SAs IPsec existants dans l’emplacement PIC et l’emplacement FPC spécifiés.

sa-type

(En option pour ADVPN) Affichez les informations pour le type de SA spécifié. shortcut est la seule option pour cette version.

traffic-selector traffic-selector-name

(Facultatif) Affichez des informations sur le sélecteur de trafic spécifié.

vpn-name vpn-name

(Facultatif) Affichez des informations sur le VPN spécifié.

ha-link-encryption

(Facultatif) Affichez uniquement les informations relatives au tunnel de liaison interchâssis. Voir ipsec (haute disponibilité)afficher le chiffrement ha-link des associations de sécurité ipsec (SRX5400, SRX5600, SRX5800) , et show security ipsec sa detail ha-link-encryption (SRX5400, SRX5600, SRX5800).

srg-id

(Facultatif) Affichez les informations relatives à un groupe de redondance de services (SRG) spécifique dans une configuration haute disponibilité multinode.

Niveau de privilège requis

Vue

Champs de sortie

Tableau 1 répertorie les champs de sortie de la show security ipsec security-associations commande, Tableau 2 les champs de sortie de la show security ipsec sa commande et Tableau 3. répertorie les champs de sortie pour le show security ipsec sa detail. Les champs de sortie sont répertoriés dans l’ordre approximatif dans lequel ils apparaissent.

Tableau 1 : afficher les associations de sécurité ipsec

Field Name

Description du champ

Niveau de production

Total active tunnels

Nombre total de tunnels IPsec actifs.

brief

ID

Numéro d’index du SA. Vous pouvez utiliser ce numéro pour obtenir des informations supplémentaires sur le SA.

Tous les niveaux

Algorithm

La cryptographie utilisée pour sécuriser les échanges entre pairs lors des négociations IKE comprend :

  • Algorithme d’authentification utilisé pour authentifier les échanges entre les pairs.

  • Algorithme de chiffrement utilisé pour chiffrer le trafic de données.

brief

SPI

Identifiant SPI (Security Parameter Index). Un SA est identifié de manière unique par un SPI. Chaque entrée comprend le nom du VPN, l’adresse de la passerelle distante, les SPIs de chaque direction, les algorithmes de chiffrement et d’authentification et les clés. Les passerelles peer disposent chacune de deux SLA, l’un résultant de chacune des deux phases de négociation : IKE et IPsec.

brief

Life: sec/kb

La durée de vie du SA, après laquelle il expire, s’exprime soit en secondes, soit en kilo-octets.

brief

Mon

Le champ Mon fait référence à l’état de la surveillance VPN. Si la surveillance VPN est activée, ce champ s’affiche U (haut) ou D (down). Un trait d’union (-) signifie que la surveillance VPN n’est pas activée pour cette SA. A V signifie que la vérification des chemins de données IPsec est en cours.

brief

lsys

Le système racine.

brief

Port

Si la traduction des adresses réseau (NAT) est utilisée, cette valeur est 4 500. Sinon, il s’agit du port IKE standard, 500.

Tous les niveaux

Gateway

adresse IP de la passerelle distante.

brief

Virtual-system

Nom du système logique.

detail

VPN name

Nom IPsec pour VPN.

detail

State

L’état a deux options, Installed et Not Installed.

  • Installed: le SA est installé dans la base de données SA.

  • Not Installed: le SA n’est pas installé dans la base de données SA.

    Pour le mode de transport, la valeur de l’état est toujours Installed.

detail

Local gateway

Adresse de passerelle du système local.

detail

Remote gateway

Adresse de passerelle du système distant.

detail

Traffic selector

Nom du sélecteur de trafic.

detail

Local identity

Identité de l’homologue local afin que sa passerelle de destination partenaire puisse communiquer avec lui. La valeur est spécifiée sous forme d’adresse IP, de nom de domaine complet, d’adresse e-mail ou de nom unique (DN).

detail

Remote identity

Adresse IP de la passerelle peer de destination.

detail

Term

Définit la plage IP locale, la plage IP distante, la plage de ports source, la plage de ports de destination et le protocole.

detail

Source-port

Plage de ports source configurée pour un terme.

detail

Destination-Port

Plage de ports de destination configurée pour un terme.

detail

Version

Version IKE, soit IKEv1IKEv2ou .

detail

DF-bit

État du bit ne fragmente pas : set ou cleared.

detail

Location

FPC: numéro d’emplacement FPC (Flexible PIC Concentrateor).

PIC— Numéro d’emplacement PIC.

KMD-Instance— Nom de l’instance KMD s’exécutant sur le SPU, identifié par FPC slot-number et PIC slot-number. Actuellement, 4 instances KMD s’exécutent sur chaque SPU, et toute négociation IPsec particulière est effectuée par une seule instance KMD.

detail

Tunnel events

Événement tunnel et le nombre de fois que l’événement s’est produit. Consultez les événements de tunnel pour obtenir des descriptions des événements de tunnel et les actions que vous pouvez entreprendre.

detail

Anchorship

ID de thread d’ancre pour le SA (pour les équipements SRX4600 Series avec option detail ).

 

Direction

Direction de l’AS ; qu’il s’agisse d’un trafic entrant ou sortant.

detail

AUX-SPI

Valeur de l’indice auxiliaire de paramètres de sécurité (SPI).

  • Lorsque la valeur est AH ou ESP, AUX-SPI est toujours 0.

  • Lorsque la valeur est AH+ESP, AUX-SPI est toujours un entier positif.

detail

Mode

Mode du SA :

  • transport— Protège les connexions d’hôte à hôte.

  • tunnel—Protège les connexions entre les passerelles de sécurité.

detail

Type

Type de SA :

  • manual— Les paramètres de sécurité ne nécessitent aucune négociation. Ils sont statiques et configurés par l’utilisateur.

  • dynamic— Les paramètres de sécurité sont négociés par le protocole IKE. Les SA dynamiques ne sont pas prises en charge en mode de transport.

detail

State

État du SA :

  • Installed: le SA est installé dans la base de données SA.

  • Not Installed: le SA n’est pas installé dans la base de données SA.

    Pour le mode de transport, la valeur de l’état est toujours Installed.

detail

Protocol

Protocole pris en charge.

  • Le mode de transport prend en charge le protocole ESP (Encapsulation Security Protocol) et l’en-tête d’authentification (AH).

  • Le mode tunnel prend en charge ESP et AH.

detail

Authentication

Type d’authentification utilisé.

detail

Encryption

Type de chiffrement utilisé.

À partir de la version 19.4R2 de Junos OS, lorsque vous configurez aes-128-gcm ou aes-256-gcm en tant qu’algorithme de chiffrement au niveau de la [edit security ipsec proposal proposal-name] hiérarchie, le champ algorithme d’authentification de la show security ipsec security-associations detail commande affiche le même algorithme de chiffrement configuré.

detail

Soft lifetime

La durée de vie logicielle informe le système de gestion des clés IPsec que le SA est sur le point d’expirer.

Chaque durée de vie d’une SA dispose de deux options d’affichage, dure et souple, dont l’une doit être présente pour une SA dynamique. Cela permet au système de gestion des clés de négocier une nouvelle SA avant l’expiration de la durée de vie difficile.

  • Expires in seconds— Nombre de secondes qu’il reste jusqu’à l’expiration du SA.

detail

Hard lifetime

La dure durée de vie spécifie la durée de vie du SA.

  • Expires in seconds— Nombre de secondes qu’il reste jusqu’à l’expiration du SA.

detail

Lifesize Remaining

La taille restante spécifie les limites d’utilisation en kilooctets. S’il n’y a pas de taille de vie spécifiée, il s’affiche illimité.

  • Expires in kilobytes— Nombre de kilooctets qu’il reste jusqu’à l’expiration du sa.

detail

Anti-replay service

État du service qui empêche les paquets d’être rejoués. Il peut être Enabled ou Disabled.

detail

Replay window size

Taille de la fenêtre de service antireplay, soit 64 bits.

detail

Bind-interface

Interface tunnel à laquelle le VPN basé sur le routage est lié.

detail

Copy-Outer-DSCP

Indique si le système copie la valeur DSCP externe de l’en-tête IP vers l’en-tête IP interne.

detail

tunnel-establishment

Indique comment l’IKE est activé.

detail

IKE SA index

Indique la liste des associations de sécurité IKE parentes.

detail

Tableau 2 : afficher les champs de sortie ipsec sa de sécurité

Field Name

Description du champ

Total active tunnels

Nombre total de tunnels IPsec actifs.

ID

Numéro d’index du SA. Vous pouvez utiliser ce numéro pour obtenir des informations supplémentaires sur le SA.

Algorithm

La cryptographie utilisée pour sécuriser les échanges entre pairs lors des négociations de phase 2 de l’IKE comprend :

  • Algorithme d’authentification utilisé pour authentifier les échanges entre les pairs. Les options sont hmac-md5-96, hmac-sha-256-128ou hmac-sha1-96.

  • Algorithme de chiffrement utilisé pour chiffrer le trafic de données. Les options sont 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbcou des-cbc.

SPI

Identifiant SPI (Security Parameter Index). Un SA est identifié de manière unique par un SPI. Chaque entrée comprend le nom du VPN, l’adresse de la passerelle distante, les SPIs de chaque direction, les algorithmes de chiffrement et d’authentification et les clés. Les passerelles peer disposent chacune de deux SLA, l’un résultant de chacune des deux phases de négociation : Phases 1 et 2.

Life:sec/kb

La durée de vie du SA, après laquelle il expire, s’exprime soit en secondes, soit en kilo-octets.

Mon

Le champ Mon fait référence à l’état de la surveillance VPN. Si la surveillance VPN est activée, ce champ affiche U (haut) ou D (down). Un trait d’union (-) signifie que la surveillance VPN n’est pas activée pour cette SA. Un V signifie que la vérification du chemin de données IPSec est en cours.

lsys

Le système racine.

Port

Si la traduction des adresses réseau (NAT) est utilisée, cette valeur est 4 500. Sinon, il s’agit du port IKE standard, 500.

Gateway

Adresse de passerelle du système.

Tableau 3 : afficher la sécurité ipsec sa détails champs de sortie

Field Name

Description du champ

ID

Numéro d’index du SA. Vous pouvez utiliser ce numéro pour obtenir des informations supplémentaires sur le SA.

Virtual-system

Le nom du système virtuel.

VPN Name

Nom IPSec pour VPN.

Local Gateway

Adresse de passerelle du système local.

Remote Gateway

Adresse de passerelle du système distant.

Local Identity

Identité de l’homologue local afin que sa passerelle de destination partenaire puisse communiquer avec lui. La valeur est spécifiée sous forme d’adresse IP, de nom de domaine complet, d’adresse e-mail ou de nom unique (DN).

Remote Identity

Adresse IP de la passerelle peer de destination.

Version

Version IKE. Par exemple, IKEv1, IKEv2.

Passive Mode Tunneling

Tunnelisation IPsec des paquets malformés. Vous pouvez activer ou désactiver l’option.

DF-bit

État du bit ne fragmente pas : set ou cleared.

Bind-interface

Interface tunnel à laquelle le VPN basé sur le routage est lié.

Événements tunnel

Direction

Direction de l’AS ; qu’il s’agisse d’un trafic entrant ou sortant.

AUX-SPI

Valeur de l’indice auxiliaire de paramètres de sécurité (SPI).

  • Lorsque la valeur est AH ou ESP, AUX-SPI est toujours 0.

  • Lorsque la valeur est AH+ESP, AUX-SPI est toujours un entier positif.

VPN Monitoring

Si la surveillance VPN est activée, le champ s’affiche MonU (up) ou D (down). Un trait d’union (-) signifie que la surveillance VPN n’est pas activée pour cette SA. Un V signifie que la vérification du chemin de données IPsec est en cours.

Hard lifetime

La dure durée de vie spécifie la durée de vie du SA.

  • Expires in seconds - Nombre de secondes qu’il reste jusqu’à l’expiration du SA.

Lifesize Remaining

La taille restante spécifie les limites d’utilisation en kilooctets. S’il n’y a pas de taille de vie spécifiée, il s’affiche illimité.

Soft lifetime

La durée de vie logicielle informe le système de gestion des clés IPsec que le SA est sur le point d’expirer. Chaque durée de vie d’une SA dispose de deux options d’affichage, dure et souple, dont l’une doit être présente pour une SA dynamique. Cela permet au système de gestion des clés de négocier une nouvelle SA avant l’expiration de la durée de vie difficile.

  • Expires in seconds - Nombre de secondes qu’il reste jusqu’à l’expiration du SA.

Mode

Mode du SA :

  • transport - Protège les connexions d’hôte à hôte.

  • tunnel - Protège les connexions entre les passerelles de sécurité.

Type

Type de SA :

  • manual - Les paramètres de sécurité ne nécessitent aucune négociation. Ils sont statiques et configurés par l’utilisateur.

  • dynamic - Les paramètres de sécurité sont négociés par le protocole IKE. Les SA dynamiques ne sont pas prises en charge en mode de transport.

State

État du SA :

  • Installed - Le SA est installé dans la base de données SA.

  • Not Installed - Le SA n’est pas installé dans la base de données SA.

Pour le mode de transport, la valeur de l’état est toujours installée.

Protocol

Protocole pris en charge.

  • Le mode de transport prend en charge le protocole ESP (Encapsulation Security Protocol) et l’en-tête d’authentification (AH).

  • Le mode tunnel prend en charge ESP et AH.

    • Authentication - Type d’authentification utilisé.

    • Encryption - Type de chiffrement utilisé.

Anti-replay service

État du service qui empêche les paquets d’être rejoués. Il peut être Enabled ou Disabled.

Replay window size

Taille configurée de la fenêtre de service antireplay. Il peut s’agir de 32 ou 64 paquets. Si la taille de la fenêtre de replay est de 0, le service antireplay est désactivé.

La taille de la fenêtre antireplay protège le récepteur contre les attaques de replay en rejetant les paquets anciens ou dupliqués.

Tunnel de liaison interchâssis

Mode de chiffrement de liaison HA

Mode haute disponibilité pris en charge. S’affiche Multi-Node lorsque la fonctionnalité de haute disponibilité multi-nœuds est activée.

Exemple de sortie

Par souci de brièveté, les sorties de commande show n’affichent pas toutes les valeurs de la configuration. Seul un sous-ensemble de la configuration est affiché. Le reste de la configuration du système a été remplacé par des ellipses (...).

afficher les associations de sécurité ipsec (IPv4)

afficher les associations de sécurité Ipsec (IPv6)

afficher l’index des associations de sécurité ipsec 511672

afficher l’index des associations de sécurité ipsec 131073 détail

À partir de la version 18.2R1 de Junos OS, la sortie CLI show security ipsec security-associations index index-number detail affiche tous les détails sa de l’enfant, y compris le nom de la classe de transfert.

afficher la sécurité ipsec sa

afficher le détail de la sécurité ipsec sa

À partir de junos OS version 19.1R1, un nouveau champ tunnel-establishment dans la sortie de la CLI show security ipsec sa detail affiche l’option configurée sous ipsec vpn establish-tunnels hiérarchie.

À partir de junos OS version 21.3R1, un nouveau champ Tunnel MTU dans la sortie de la CLI show security ipsec sa detail affiche l’option configurée sous ipsec vpn hub-to-spoke-vpn tunnel-mtu hiérarchie.

À partir de la version 22.1R3 de Junos OS, sur la ligne SRX5000, le tunnel MTU n’est pas affiché dans la sortie CLI si le tunnel MTU n’est pas configuré.

afficher les détails de sécurité ipsec sa (MX-SPC3)

afficher les détails de sécurité ipsec sa (MX-SPC3) avec tunnelisation en mode passif

afficher l’association de sécurité ipsec

afficher la présentation des associations de sécurité ipsec

afficher le détail des associations de sécurité ipsec

afficher la famille d’associations de sécurité ipsec inet6

afficher les associations de sécurité ipsec fpc 6 pic 1 kmd-instance tout (pare-feu SRX Series)

afficher le détail des associations de sécurité ipsec (suggestion ADVPN, tunnel statique)

afficher le détail des associations de sécurité ipsec (partenaire ADVPN, tunnel statique)

afficher le raccourci de type SA (ADVPN) des associations de sécurité ipsec

show security ipsec security-associations security-type raccourci detail (ADVPN)

afficher en détail la famille des associations de sécurité ipsec

afficher le détail des associations de sécurité ipsec (SRX4600)

afficher les détails des associations de sécurité ipsec (SRX5400, SRX5600, SRX5800)

Un nouveau champ IKE SA Index de sortie correspondant à chaque SA IPsec dans un tunnel est affiché sous chaque information SA IPsec.

Dans junos OS version 22.3R1 et versions ultérieures, lorsque vous configurez la fonctionnalité de chiffrement de liaison de contrôle HA du cluster de châssis, vous pouvez exécuter le show security ike sa ha-link-encryption detail, show security ipsec sa ha-link-encryption detailet show security ipsec sa ha-link-encryption les commandes pour afficher les détails du tunnel de chiffrement de la liaison de contrôle du cluster chassis.

afficher le détail de la sécurité ike sa ha-link-chiffrement

afficher le détail de la sécurité ipsec sa ha-link-encryption

show security ipsec sa-ha-link-encryption

afficher le détail des associations de sécurité ipsec (pare-feu SRX Series et routeurs MX Series)

Dans les versions 20.4R2, 21.1R1 et ultérieures de Junos OS, vous pouvez exécuter la commande pour afficher le show security ipsec security-associations detail type de sélecteur de trafic pour un VPN.

afficher les détails des associations de sécurité ipsec (SRX5400, SRX5600, SRX5800)

À partir de la version 21.1R1 de Junos OS, vous pouvez consulter les détails du sélecteur de trafic, y compris l’identité locale, l’identité distante, le protocole, la plage de ports source et la plage de ports de destination pour plusieurs termes définis pour une SA IPsec.

Dans les versions précédentes de Junos, la sélection du trafic pour un SA particulier est effectuée à l’aide de la plage IP existante définie à l’aide de l’adresse IP ou du masque de réseau. À partir de la version 21.1R1 de Junos OS, le trafic est également sélectionné via le protocole spécifié à l’aide protocol_namede . De plus, les plages de ports basses et élevées spécifiées pour les numéros de port source et de destination.

afficher les associations de sécurité ipsec srg-id

afficher les associations de sécurité ipsec nœud-local

afficher le détail des associations de sécurité ipsec nœud-local

Informations de publication

Commande introduite dans la version 8.5 de Junos OS. Prise en charge de l’option family ajoutée dans la version 11.1 de Junos OS.

Prise en charge de l’option vpn-name ajoutée dans la version 11.4R3 de Junos OS. Prise en charge des traffic-selector options et du champ de sélection de trafic ajouté dans la version 12.1X46-D10 de Junos OS.

Prise en charge d’Auto Discovery VPN (ADVPN) ajoutée dans la version 12.3X48-D10 de Junos OS.

Prise en charge de la vérification des chemins de données IPsec ajoutée dans la version 15.1X49-D70 de Junos OS.

Prise en charge de l’ancrage de thread ajoutée dans la version 17.4R1 de Junos OS.

À partir de la version 18.2R2 de Junos OS, la sortie de commande show security ipsec security-assocations detail comprendra des informations d’ancrage de thread pour les associations de sécurité (SA).

À partir de la version 19.4R1 de Junos OS, nous avons déprécié l’option fc-name CLI (COS Forward Class name) dans le nouveau iked processus qui affiche les associations de sécurité (SAs) sous commande show security ipsec sashow .

Prise en charge de l’option ha-link-encryption ajoutée dans la version 20.4R1 de Junos OS.

Prise en charge de l’option srg-id ajoutée dans la version 22.4R1 de Junos OS.

La prise en charge du passive-mode-tunneling MX-SPC3 est introduite dans la version 23.1R1 de Junos OS.

La prise en charge de l’option node-local est ajoutée dans la version 23.2R1 de Junos OS.