Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security group-vpn server ike security-associations

Syntax

Description

Muestra asociaciones de seguridad ICR (SA). El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX.

Options

  • ninguno: muestra todas las SA de IKE para todos los grupos.

  • Breve: (Opcional) Muestra la salida de resumen.

  • detail— (Opcional) Muestra un nivel detallado de salida.

  • group—(Opcional) Muestra SA IKE para el grupo especificado.

  • group-id—(Opcional) Muestra SA IKE para el grupo especificado.

    Un miembro del grupo puede usar una SA de IKE para registrarse en varios grupos. Cuando se especifican las group opciones o group-id para enumerar las SA de ICR para un grupo especificado, se muestran todas las SA de IKE existentes que se pueden usar para registrarse en el grupo.

  • index—(Opcional) Muestra información para una SA determinada basada en el número de índice de la SA. Para obtener el número de índice de una SA determinada, muestre la lista de SA existentes mediante el comando sin opciones.

Required Privilege Level

Vista

Output Fields

Tabla 1 enumera los campos de salida para el show security group-vpn server ike security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.

Tabla 1: show security group-vpn server ike security-associations Output Fields

Nombre del campo

Descripción del campo

Index

Número de índice de una SA. Este número es un número generado internamente que puede usar para mostrar información sobre una sola SA.

Remote Address

Dirección IP del par de destino con el que se comunica el par local.

State

Estado de las asociaciones de seguridad de ICR:

  • DOWN— La SA no se negoció con el par.

  • UP— La SA se negoció con el par.

Initiator cookie

Número aleatorio, denominado cookie, que se envía al nodo remoto cuando se activa la negociación de IKE.

Responder cookie

Número aleatorio generado por el nodo remoto y enviado de vuelta al iniciador como una verificación de que se recibieron los paquetes.

Una cookie tiene como objetivo proteger los recursos informáticos de ataques sin gastar recursos excesivos de CPU para determinar la autenticidad de la cookie.

Mode

Método de negociación acordado por los dos puntos de conexión IPsec, o pares, utilizado para intercambiar información entre sí. Cada tipo de intercambio determina el número de mensajes y los tipos de carga que se contienen en cada mensaje. Los modos o tipos de intercambio son

  • main: el intercambio se realiza con seis mensajes. Este modo o tipo de intercambio cifra la carga, protegiendo la identidad del vecino. Se muestra el método de autenticación utilizado: claves o certificado previamente compartidos.

  • aggressive: el intercambio se realiza con tres mensajes. Este tipo de modo o de intercambio no cifra la carga, lo que deja sin protección la identidad del vecino.

IKE Peer

Dirección IP del par de destino con el que se comunica el par local.

Exchange type

Método de negociación acordado por los dos puntos de conexión IPsec, o pares, utilizado para intercambiar información entre sí. Cada tipo de intercambio determina el número de mensajes y los tipos de carga que se contienen en cada mensaje. Los modos o tipos de intercambio son

  • main: el intercambio se realiza con seis mensajes. Este modo o tipo de intercambio cifra la carga, protegiendo la identidad del vecino. Se muestra el método de autenticación utilizado: claves o certificado previamente compartidos.

  • aggressive: el intercambio se realiza con tres mensajes. Este tipo de modo o de intercambio no cifra la carga, lo que deja sin protección la identidad del vecino.

Authentication method

Método que el servidor utiliza para autenticar el origen de los mensajes IKE:

  • pre-shared-keys: clave previamente compartida para el cifrado y el descifrado que ambos participantes deben tener antes de comenzar las negociaciones de túnel.

rsa-signatures: firma digital, un certificado que confirma la identidad del titular del certificado.

Local

Dirección del par local.

Remote

Dirección del par remoto.

Lifetime

Número de segundos restantes hasta que expire la SA de IKE.

Algorithms

Algoritmos de intercambio de claves por red (IKE) utilizados para cifrar y proteger los intercambios entre los pares durante el proceso de fase 2 de IPsec:

  • Authentication— Tipo de algoritmo de autenticación utilizado.

    • sha-256— Autenticación del algoritmo hash seguro 256.

    • sha-384— Autenticación del algoritmo hash seguro 384.

  • Encryption— Tipo de algoritmo de cifrado utilizado.

    • aes-256-cbc: cifrado estándar de cifrado avanzado (AES) de 256 bits.

    • aes-192-cbc— Cifrado AES192 bits

    • aes-128-cbc: cifrado AES de 128 bits.

Traffic statistics

  • Input bytes—Número de bytes recibidos.

  • Output bytes—Número de bytes transmitidos.

  • Input packets—Número de paquetes recibidos.

  • Output packets—Número de paquetes transmitidos.

IPSec security associations

  • number created: Número de SA creadas.

  • number deleted: Número de SA eliminadas.

Phase 2 negotiations in progress

Número de negociaciones de ICR de fase 2 en curso e información de estado:

  • Negotiation type— Tipo de negociación de fase 2. Junos OS admite actualmente el modo rápido.

  • Message ID: identificador único para una negociación de fase 2.

  • Local identity— Identidad de la negociación local de fase 2. El formato es id-type-name (proto-name:port-number,[0.id-data-len] = iddata-presentation)

  • Remote identity: identidad de la negociación de fase 2 remota. El formato es id-type-name (proto-name:port-number,[0.id-data-len] = iddata-presentation)

  • Flags: notificación al proceso de administración de claves del estado de la negociación de ICR:

    • caller notification sent— Programa de llamador notificado sobre la finalización de la negociación de ICR.

    • waiting for done: la negociación está hecha. La biblioteca está a la espera de que expiren los temporizadores de retransmisión de extremo remoto.

    • waiting for remove: la negociación ha fracasado. La biblioteca está a la espera de que expiren los temporizadores de retransmisión de extremo remoto antes de eliminar esta negociación.

    • waiting for policy manager: la negociación está a la espera de una respuesta del gestor de políticas.

Sample Output

show security group-vpn server ike security-associations

Sample Output

show security group-vpn server ike security-associations detail

Release Information

Comando introducido en la versión 10.2 de Junos OS.