Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

Syntax

Description

Mostrar información acerca de las asociaciones de seguridad IPsec (SA).

En Junos OS versiones 20.1R2, 20.2R2, 20.3R2, 20.3R1 y posterior, cuando se ejecuta el comando, se muestra un nuevo campo de salida correspondiente a cada SA IPsec dentro de un túnel en cada información de show security ipsec security-associations detailIKE SA Index SA IPsec. Consulte show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)la.

Options

ninguno

Mostrar información acerca de todas las SA.

brief | detail

Adicional Muestra el nivel de salida especificado. El valor predeterminado briefes.

family

Adicional Mostrar SAs por familia. Esta opción se utiliza para filtrar los resultados.

  • inet— familia de direcciones IPv4.

  • inet6— Familia de direcciones IPv6.

fpc slot-numberpic slot-number

Adicional Muestre información sobre las SA IPsec existentes en la ranura del concentrador de PIC flexible (FPC) especificada y la ranura de PIC.

En un clúster de chasis, cuando ejecuta el comando show security ipsec security-associations pic <slot-number> fpc <slot-number> de CLI en modo operativo solo se muestra la información del nodo principal de las SA de IPSec existentes en la ranura del concentrador de PIC flexible (FPC) especificada y la ranura de PIC.

index SA-index-number

Adicional Muestra información detallada acerca de la SA especificada, identificada por este número de índice. Para obtener una lista de todas las SA que incluyan sus números de índice, utilice el comando sin opciones.

kmd-instance

(Opcional) Muestra información acerca de las SA IPsec existentes en el proceso de administración de claves (en este caso, es KMD) identificado por el número de ranura FPC y el número deranura PIC.

  • all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento de servicios (SPU).

  • kmd-instance-name: nombre de la instancia de KMD que se ejecuta en la SPU.

pic slot-numberfpc slot-number

Adicional Muestra información acerca de las SA de IPsec existentes en la ranura PIC especificada y la ranura FPC.

sa-type

(Opcional para ADVPN) Muestra información del tipo especificado de SA. shortcut es la única opción para esta versión.

traffic-selector traffic-selector-name

Adicional Muestra información acerca del selector de tráfico especificado.

vpn-name vpn-name

Adicional Muestra información acerca de la VPN especificada.

ha-link-encryption

(Opcional) Muestra información relacionada solo con el túnel de vínculo de interchasis. Consulte ipsec (alta disponibilidad)show security ipsec security-associations ha-link-encryption (SRX5400, SRX5600, SRX5800) y show security ipsec sa detail ha-link-encryption (SRX5400, SRX5600, SRX5800) .

Required Privilege Level

vista

Output Fields

Tabla 1enumera los campos de salida del show security ipsec security-associations comando, Tabla 2 enumera los campos de salida del show security ipsec sa comando y Tabla 3. enumera los campos de salida del show security ipsec sa detail. Los campos de salida se enumeran en el orden aproximado en el que aparecen.

Tabla 1: show security ipsec security-associations

Nombre del campo

Descripción de campo

Nivel de salida

Total active tunnels

Número total de túneles IPsec activos.

brief

ID

Número de índice de la SA. Puede utilizar este número para obtener información adicional acerca de la SA.

Todos los niveles

Algorithm

La criptografía utilizada para proteger los intercambios entre iguales durante el ICR negociaciones incluye:

  • Algoritmo de autenticación usado para autenticar intercambios entre los interlocutores.

  • Algoritmo de cifrado utilizado para cifrar el tráfico de datos.

brief

SPI

Identificador de índice de parámetro de seguridad (SPI). Una SA se identifica de forma exclusiva mediante un SPI. Cada entrada incluye el nombre de la red privada virtual (VPN), la dirección de puerta de enlace remota, el SPI de cada dirección, los algoritmos de cifrado y autenticación, y las claves. Cada puerta de enlace del mismo nivel tiene dos SAs, uno de los cuales resulta de cada una de las dos fases de la negociación: ICR e IPsec.

brief

Life: sec/kb

La duración de la SA, después de la cual vence, expresada en segundos o en kilobytes.

brief

Mon

El campo LUN se refiere al estado de supervisión de VPN. Si la supervisión de VPN está habilitada, este U campo muestra (arriba D ) o (abajo). Un guión (-) significa que la supervisión de VPN no está habilitada para esta SA. Un V significa que se está realizando la comprobación de la ruta de acceso de IPSec.

brief

lsys

El sistema raíz.

brief

Port

Si se utiliza Traducción de direcciones de red (TDR), este valor es 4500. De lo contrario, es el puerto de ICR estándar, 500.

Todos los niveles

Gateway

Dirección IP de la puerta de enlace remota.

brief

Virtual-system

Nombre del sistema lógico.

detail

VPN name

Nombre IPsec para VPN.

detail

State

El estado tiene dos opciones Installed , Not Installedy.

  • Installed: la SA está instalada en la base de datos de SA.

  • Not Installed: la SA no está instalada en la base de datos de SA.

    Para el modo de transporte, el valor de State Installedes siempre.

detail

Local gateway

Dirección de puerta de enlace del sistema local.

detail

Remote gateway

Dirección de puerta de enlace del sistema remoto.

detail

Traffic selector

Nombre del selector de tráfico.

detail

Local identity

Identidad del elemento local del mismo nivel, de modo que su puerta de enlace de destino asociada pueda comunicar con él. El valor se especifica como una dirección IP, un nombre de dominio completo, una dirección de correo electrónico o un nombre completo (DN).

detail

Remote identity

Dirección IP de la puerta de enlace de destino del mismo nivel.

detail

Term

Define el intervalo IP local, el rango IP remoto, el rango de puertos de origen, el intervalo de puertos de destino y el protocolo.

detail

Source-port

Intervalo de puertos de origen configurado para un término.

detail

Destination-Port

Intervalo de puertos de destino configurado para un término.

detail

Version

Versión de ICR, IKEv1 ya IKEv2sea o.

detail

DF-bit

Estado del bit no fragmentar: seto cleared.

detail

Location

FPC— Número de ranura del concentrador de PIC flexible (FPC).

PIC: número de ranura PIC.

KMD-Instance: el nombre de la instancia de KMD que se ejecuta en la SPU, identificado por un número de ranura FPC y un número de ranura PIC. Actualmente, hay 4 instancias de KMD que se ejecutan en cada la SPU y cualquier negociación IPsec en particular se lleva a cabo mediante una sola instancia KMD.

detail

Tunnel events

Suceso de túnel y el número de veces que se ha producido el suceso. Consulte eventos de túnel para obtener descripciones de eventos de túnel y la acción que puede llevar a cabo.

detail

Anchorship

Delimitador de identificador de subproceso para la SA (para detail dispositivos serie SRX4600 con la opción).

 

Direction

Dirección de la SA; puede ser entrante o saliente.

detail

AUX-SPI

Valor del índice de parámetro de seguridad auxiliar (SPI).

  • Cuando el valor es AH or ESP, AUX-SPI siempre es 0.

  • Cuando el valor es AH+ESP, AUX-SPI siempre es un entero positivo.

detail

Mode

Modo de la SA:

  • transport: protege las conexiones de host a host.

  • tunnel—Protege las conexiones entre puertas de enlace de seguridad.

detail

Type

Tipo de la SA:

  • manual: los parámetros de seguridad no requieren negociación. Son estáticos y los configura el usuario.

  • dynamic: el protocolo de seguridad negocia los parámetros ICR seguridad. Las SA dinámicas no se admiten en el modo de transporte.

detail

State

Estado de la SA:

  • Installed: la SA está instalada en la base de datos de SA.

  • Not Installed: la SA no está instalada en la base de datos de SA.

    Para el modo de transporte, el valor de State Installedes siempre.

detail

Protocol

Protocolo compatible.

  • El modo de transporte admite el protocolo de seguridad de encapsulación (ESP) y el encabezado de autenticación (AH).

  • El modo de túnel admite ESP y AH.

detail

Authentication

Tipo de autenticación utilizada.

detail

Encryption

Tipo de cifrado utilizado.

A partir de Junos OS versión 19.4R2, cuando configure o como algoritmo de cifrado en el nivel de jerarquía, el campo de algoritmo de autenticación del comando mostrará el mismo algoritmo de cifrado aes-128-gcmaes-256-gcm [edit security ipsec proposal proposal-name]show security ipsec security-associations detail configurado.

detail

Soft lifetime

La duración de software informa al sistema de administración de claves IPsec de que la SA está a punto de caducar.

Cada ciclo de vida de una SA tiene dos opciones de presentación: dura e suave, una de las cuales debe estar presente para una SA dinámica. Esto permite que el sistema de administración de claves negocie una nueva SA antes de que venza la duración.

  • Expires in seconds: cantidad de segundos que quedan hasta que caduca la SA.

detail

Hard lifetime

La duración dura especifica la duración de la SA.

  • Expires in seconds: cantidad de segundos que quedan hasta que caduca la SA.

detail

Lifesize Remaining

El LifeSize restante especifica los límites de uso en kilobytes. Si no se especifica ningún LifeSize, mostrará Unlimited.

  • Expires in kilobytes: número de kilobytes que quedan hasta que caduca la SA.

detail

Anti-replay service

Estado del servicio que impide que se reproduzcan paquetes. Puede ser Enabled o Disabled.

detail

Replay window size

Tamaño de la ventana de servicio antireplay, que es de 64 bits.

detail

Bind-interface

Interfaz de túnel a la que está enlazada la VPN basada en ruta.

detail

Copy-Outer-DSCP

Indica si el sistema copia el valor exterior de DSCP del encabezado IP al encabezado de IP interior.

detail

tunnel-establishment

Indica cómo se activa el ICR.

detail

IKE SA index

Indica la lista de asociaciones de seguridad ICR principal.

detail

Tabla 2: show security ipsec sa Output Fields

Nombre del campo

Descripción de campo

Total active tunnels

Número total de túneles IPsec activos.

ID

Número de índice de la SA. Puede utilizar este número para obtener información adicional acerca de la SA.

Algorithm

La criptografía utilizada para proteger los intercambios entre interlocutores durante la ICR las negociaciones de la fase 2 incluye:

  • Algoritmo de autenticación usado para autenticar intercambios entre los interlocutores. Las opciones hmac-md5-96son hmac-sha-256-128, o hmac-sha1-96.

  • Algoritmo de cifrado utilizado para cifrar el tráfico de datos. Las opciones 3des-cbcson aes-128-cbc, aes-192-cbcaes-256-cbc, o des-cbc.

SPI

Identificador de índice de parámetro de seguridad (SPI). Una SA se identifica de forma exclusiva mediante un SPI. Cada entrada incluye el nombre de la red privada virtual (VPN), la dirección de puerta de enlace remota, el SPI de cada dirección, los algoritmos de cifrado y autenticación, y las claves. Cada puerta de enlace del mismo nivel tiene dos SAs, uno de los cuales resulta de cada una de las dos fases de la negociación: Fase 1 y fase 2.

Life:sec/kb

La duración de la SA, después de la cual vence, expresada en segundos o en kilobytes.

Mon

El campo LUN se refiere al estado de supervisión de VPN. Si la supervisión de VPN está habilitada, este campo muestra U (arriba) o D (baja). Un guión (-) significa que la supervisión de VPN no está habilitada para esta SA. V significa que la comprobación de la ruta de acceso de los IPSec está en curso.

lsys

El sistema raíz.

Port

Si se utiliza Traducción de direcciones de red (TDR), este valor es 4500. De lo contrario, es el puerto de ICR estándar, 500.

Gateway

Dirección de puerta de enlace del sistema.

Tabla 3: show security ipsec sa detail Output Fields

Nombre del campo

Descripción de campo

ID

Número de índice de la SA. Puede utilizar este número para obtener información adicional acerca de la SA.

Virtual-system

Nombre del sistema virtual.

VPN Name

Nombre IPSec para VPN.

Local Gateway

Dirección de puerta de enlace del sistema local.

Remote Gateway

Dirección de puerta de enlace del sistema remoto.

Local Identity

Identidad del elemento local del mismo nivel, de modo que su puerta de enlace de destino asociada pueda comunicar con él. El valor se especifica como una dirección IP, un nombre de dominio completo, una dirección de correo electrónico o un nombre completo (DN).

Remote Identity

Dirección IP de la puerta de enlace de destino del mismo nivel.

Version

ICR versión. Por ejemplo, IKEv1, IKEv2.

DF-bit

Estado del bit no fragmentar: seto cleared.

Bind-interface

Interfaz de túnel a la que está enlazada la VPN basada en ruta.

Eventos de túnel

Direction

Dirección de la SA; puede ser entrante o saliente.

AUX-SPI

Valor del índice de parámetro de seguridad auxiliar (SPI).

  • Cuando el valor es AH or ESP, AUX-SPI siempre es 0.

  • Cuando el valor es AH+ESP, AUX-SPI siempre es un entero positivo.

VPN Monitoring

Si la supervisión de VPN está habilitada Mon , el U (up) campo D (down)muestra o. Un guión (-) significa que la supervisión de VPN no está habilitada para esta SA. Una V significa que la verificación de ruta de datos de IPsec está en curso.

Hard lifetime

La duración dura especifica la duración de la SA.

  • Expires in seconds: Número de segundos que quedan hasta que expire la SA.

Lifesize Remaining

El LifeSize restante especifica los límites de uso en kilobytes. Si no se especifica ningún LifeSize, mostrará Unlimited.

Soft lifetime

La duración de software informa al sistema de administración de claves IPsec de que la SA está a punto de caducar. Cada ciclo de vida de una SA tiene dos opciones de presentación: dura e suave, una de las cuales debe estar presente para una SA dinámica. Esto permite que el sistema de administración de claves negocie una nueva SA antes de que venza la duración.

  • Expires in seconds: Número de segundos que quedan hasta que expire la SA.

Mode

Modo de la SA:

  • transport-Protege las conexiones de host a host.

  • tunnelProtege las conexiones entre puertas de enlace de seguridad.

Type

Tipo de la SA:

  • manual -Los parámetros de seguridad no requieren negociación. Son estáticos y los configura el usuario.

  • dynamic-El protocolo de ICR negocia los parámetros de seguridad. Las SA dinámicas no se admiten en el modo de transporte.

State

Estado de la SA:

  • Installed-La SA está instalada en la base de datos de SA.

  • Not Installed-La SA no está instalada en la base de datos de SA.

Para el modo de transporte, el valor de State siempre se instala.

Protocol

Protocolo compatible.

  • El modo de transporte admite el protocolo de seguridad de encapsulación (ESP) y el encabezado de autenticación (AH).

  • El modo de túnel admite ESP y AH.

    • Authentication-Tipo de autenticación utilizada.

    • Encryption-Tipo de cifrado utilizado.

Anti-replay service

Estado del servicio que impide que se reproduzcan paquetes. Puede ser Enabled o Disabled.

Replay window size

Tamaño configurado de la ventana de servicio antireplay. Puede ser 32 o 64 paquetes. Si el tamaño de la ventana de reproducción es 0, el servicio antireplay está deshabilitado.

El tamaño de la ventana de antireplay protege al receptor contra ataques de reproducción al rechazar paquetes antiguos o duplicados.

Túnel de vínculo de interchassis

AD cifrado de vínculos

Compatible con el modo de alta disponibilidad. Muestra Multi-Node cuando está habilitada la función de alta disponibilidad de varios nodos.

Sample Output

Para mayor brevedad, el comando mostrar resultados no muestra todos los valores de la configuración. Solo se muestra un subconjunto de la configuración. El resto de la configuración del sistema ha sido sustituida por puntos suspensivos (...).

show security ipsec security-associations (IPv4)

show security ipsec security-associations (IPv6)

show security ipsec security-associations index 511672

show security ipsec security-associations index 131073 detail

A partir de Junos OS versión 18.2 R1, el show security ipsec security-associations index index-number detail resultado de la CLI muestra todos los detalles de SA secundarios, incluido el nombre de clase de reenvío.

show security ipsec sa

show security ipsec sa detail

A partir de Junos OS versión 19.1R1, un campo nuevo en la salida del CLI muestra la opción tunnel-establishmentshow security ipsec sa detail configurada en ipsec vpn establish-tunnels jerarquía.

A partir Junos OS versión 21.3R1, un nuevo campo en la salida del CLI muestra la opción Tunnel MTUshow security ipsec sa detail configurada en ipsec vpn hub-to-spoke-vpn tunnel-mtu jerarquía.

show security ipsec sa details (MX-SPC3)

show security ipsec security-association

show security ipsec security-associations brief

show security ipsec security-associations detail

show security ipsec security-associations family inet6

show security ipsec security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ipsec security-associations detail (ADVPN Suggester, Static Tunnel)

show security ipsec security-associations detail (ADVPN Partner, Static Tunnel)

show security ipsec security-associations sa-type shortcut (ADVPN)

show security ipsec security-associations sa-type shortcut detail (ADVPN)

show security ipsec security-associations family inet detail

show security ipsec security-associations detail (SRX4600)

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

Un nuevo campo de salida correspondiente a cada SA IPsec dentro de un túnel se muestra en cada información de IKE SA Index SA IPsec.

show security ipsec security-associations detail (SRX Series devices and MX Series Routers)

En Junos OS versión 20.4R2, 21.1R1 y posteriores, puede ejecutar el comando para ver el tipo de selector de tráfico de una show security ipsec security-associations detail VPN.

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

A partir de Junos OS versión 21.1R1, puede ver los detalles del selector de tráfico, que incluye, identidad local, identidad remota, protocolo, rango de puerto de origen, intervalo de puerto de destino para varios términos definidos para una SA IPsec.

En las versiones anteriores de Junos, la selección de tráfico para una SA determinada se realiza mediante el intervalo de IP existente definido mediante dirección IP o máscara de red. A partir Junos OS versión 21.1R1 hacia adelante, además se selecciona tráfico a través del protocolo especificado mediante protocol_name. Además, se especificó el rango de puertos bajo y alto para los números de puertos de origen y destino.

Release Information

Comando introducido en Junos OS versión 8,5. Compatibilidad con la family opción agregada en Junos OS versión 11.1.

Compatibilidad con la vpn-name opción agregada en la Junos OS versión 11.4R3. Compatibilidad con los traffic-selector campos de opción y selector de tráfico agregados en Junos os versión 12.1 X46-D10.

Compatibilidad con la VPN de detección automática (ADVPN) agregada en Junos OS versión 12.3 X48-D10.

Compatibilidad con la comprobación de la ruta de acceso de IPsec agregada en Junos OS Release 15.1 X49-D70.

Compatibilidad con la fijación de roscas añadida en Junos OS Release 17.4 R1.

A partir del Junos OS de la versión show security ipsec security-assocations detail 18.2 R2, la salida del comando incluirá información de anclaje de los subprocesos para las asociaciones de seguridad (SA).

A partir de Junos OS versión 19.4R1, hemos desaprobado la opción CLI (nombre de clase cos forward) en el nuevo proceso que muestra las asociaciones de seguridad (AS) en el comando fc-nameikedshow security ipsec sa mostrar.

Compatibilidad con la ha-link-encryption opción agregada en la Junos OS versión 20.4R1.