Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

Syntax

Description

Отображение сведений о ассоциациях безопасности IPsec.

В Junos OS выпусках 20.1R2, 20.2R2, 20.3R2, 20.3R1 и более поздних, при выполнении команды новое поле вывода, соответствующее каждому SA IPsec в туннеле, отображается под каждой информацией show security ipsec security-associations detailIKE SA Index IPsec SA. См. show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800) .

Options

нет

Отображение сведений обо всех SAS.

brief | detail

(Необязательно) Отобразить указанный уровень выходных данных. Значение по умолчанию brief .

family

(Необязательно) Отображение SAS по семейство. Этот параметр используется для фильтрации выходных данных.

  • inet— семейство адресов IPv4.

  • inet6-Семейство адресов IPv6.

fpc slot-numberpic slot-number

(Необязательно) Отображение сведений о существующих безопасности IPsec в указанном гнезде Flexible PIC Concentrator (FPC) и слоте PIC.

В кластере с шасси при выполнении команды интерфейс командной строки в режиме эксплуатации отображаются только данные основного узла о существующих IPsec SAs в указанном гнезде show security ipsec security-associations pic <slot-number> fpc <slot-number> Flexible PIC Concentrator (FPC) и слоте PIC.

index SA-index-number

(Необязательно) Отобразить подробную информацию об указанном SA, определенном этим индексным номером. Для получения списка всех SAS, включая их индексные номера, используйте команду без параметров.

kmd-instance

(Необязательно) Отображение сведений о существующих IPsec SAs в процессе управления ключами (в данном случае это КМD), которые определены номером слота FPC и номеромслота PIC.

  • all— Все экземпляры KMD, работающие на процессоре обработки услуг (SPU).

  • kmd-instance-name— Имя экземпляра KMD, запущенного на SPU.

pic slot-numberfpc slot-number

(Необязательно) Отображение сведений о существующих безопасности IPsec в указанном слоте PIC и слоте FPC.

sa-type

(Необязательно для ADVPN) Отображение данных для указанного типа SA. shortcut является единственным вариантом для этого выпуска.

traffic-selector traffic-selector-name

(Необязательно) Отображение данных указанного селектора трафика.

vpn-name vpn-name

(Необязательно) Отображение сведений о указанной VPN.

ha-link-encryption

(Необязательно) Отображение информации, касающейся только туннеля канала с шасси. См. ipsec (высокая доступность)show security ipsec security-associations ha-link-encryption (SRX5400, SRX5600, SRX5800) и show security ipsec sa detail ha-link-encryption (SRX5400, SRX5600, SRX5800) .

Required Privilege Level

Вид

Output Fields

Табл. 1 перечисляет поля выходных данных для этой команды, перечисляет поля выходных данных для этой команды и . перечисляет show security ipsec security-associationsТабл. 2 поля show security ipsec saТабл. 3 выходных данных для show security ipsec sa detail команды. Поля выходных данных перечислены в примерном порядке их появления.

Табл. 1: show security ipsec security-associations

Имя поля

Описание поля

Уровень выходных данных

Total active tunnels

Общее количество активных туннелей IPsec.

brief

ID

Индексный номер SA. Этот номер можно использовать для получения дополнительной информации об SA.

Все уровни

Algorithm

Криптография, используемая для обеспечения безопасности обмена данными между равноправными IKE, включает:

  • Алгоритм аутентификации, используемый для аутентификации обмена данными между равноправными узлами.

  • Алгоритм шифрования, используемый для шифрования трафика данных.

brief

SPI

Идентификатор индекса параметра безопасности (SPI). SA однозначно идентифицирована spi. Каждая запись включает в себя имя VPN, адрес удаленного шлюза, spis для каждого направления, алгоритмы шифрования и аутентификации, а также ключи. На равноправных шлюзах каждый из них имеет два СА, по одному из них в каждом из двух этапов согласования: IKE и IPsec.

brief

Life: sec/kb

Срок действия SA, по истечении которого он будет выражен в секундах или в килобайтах.

brief

Mon

Поле Mon ссылается на состояние мониторинга VPN. Если мониторинг VPN включен, это поле отображает U (вверх) или D (вниз). Дефис (-) означает, что мониторинг VPN для этого SA не включен. Это V означает, что проверка IPsec datapath продолжается.

brief

lsys

Корневая система.

brief

Port

Если преобразование сетевых адресов (NAT) используется, это значение будет 4500. В противном случае это стандартное IKE порте 500.

Все уровни

Gateway

IP-адрес удаленного шлюза.

brief

Virtual-system

Имя логической системы.

detail

VPN name

Имя IPsec для VPN.

detail

State

Состояние имеет два варианта, InstalledNot Installed и.

  • InstalledSa установлена в базе данных SA.

  • Not Installed— SA не установлена в базе данных SA.

    В транспортном режиме значение состояния всегда составляет Installed .

detail

Local gateway

Адрес шлюза локальной системы.

detail

Remote gateway

Адрес шлюза удаленной системы.

detail

Traffic selector

Имя селектора трафика.

detail

Local identity

Идентификатор локального одноранговых узла, чтобы с ним связывался шлюз назначения- партнер. Это значение определяется как IP-адрес, полное доменное имя, адрес электронной почты или отличительное имя (DN).

detail

Remote identity

IP-адрес шлюза равноправного узла назначения.

detail

Term

Определяет локальный IP-диапазон, удаленный диапазон IP-адресов, диапазон портов источника, диапазон портов назначения и протокол.

detail

Source-port

Диапазон портов источника, настроенный под термин.

detail

Destination-Port

Диапазон портов назначения, настроенный под термин.

detail

Version

IKE версии, или IKEv1IKEv2 .

detail

DF-bit

Состояние бита "не фрагментация": set или cleared .

detail

Location

FPC- Номер слота для концентратора PIC (FPC).

PIC— номер слота PIC.

KMD-Instance- Имя экземпляра KMD, запущенного на SPU, определено номером слота FPC и номером слотаPIC. На данный момент на каждом SPU запущено 4 экземпляра KMD, и любое конкретное согласование IPsec осуществляется одним экземпляром KMD.

detail

Tunnel events

Туннельное событие и число произошедших событий. Описание событий туннеля и действия, которые можно принять, см. в туннельных событиях.

detail

Anchorship

Якорный ID потока для SA (для устройств серии SRX4600 с detail параметром).

 

Direction

Направление SA; это могут быть входящие или исходящие.

detail

AUX-SPI

Значение индекса параметров вспомогательной безопасности (SPI).

  • Если значением является AH или ESP , всегда AUX-SPI 0.

  • Если это AH+ESP значение, AUX-SPI то это всегда плюсовая величина.

detail

Mode

Режим SA:

  • transport-Защищает соединения между хостами и хостами.

  • tunnel—Защищает соединения между шлюзами безопасности.

detail

Type

Тип SA:

  • manual— параметры безопасности не требуют согласования. Они являются статическими и настраиваются пользователем.

  • dynamic— параметры безопасности согласуются IKE протоколом. Динамические SAS в транспортном режиме не поддерживаются.

detail

State

Состояние SA:

  • InstalledSa установлена в базе данных SA.

  • Not Installed— SA не установлена в базе данных SA.

    В транспортном режиме значение состояния всегда составляет Installed .

detail

Protocol

Протокол поддерживается.

  • Транспортный режим поддерживает протоколы безопасности инкапсуляции (ESP) и загон аутентификации (AH).

  • Туннельный режим поддерживает ESP и AH.

detail

Authentication

Используемый тип аутентификации.

detail

Encryption

Используемый тип шифрования.

Начиная с Junos OS выпуска 19.4R2, при настройке или в качестве алгоритма шифрования на уровне иерархии поле алгоритма аутентификации этой команды отображает такой же настроенный алгоритм aes-128-gcmaes-256-gcm [edit security ipsec proposal proposal-name]show security ipsec security-associations detail шифрования.

detail

Soft lifetime

Soft lifetime сообщает системе управления ключами IPsec о том, что SA вот-вот истечет.

Каждый срок действия SA имеет два варианта отображения, жесткий и мягкий, один из которых должен присутствовать для динамического SA. Это позволяет системе управления ключами согласовывать новую SA до истечения жесткого срока действия.

  • Expires in seconds— Количество секунд, оставленных до истечения SA.

detail

Hard lifetime

Жесткий срок действия определяет срок действия SA.

  • Expires in seconds— Количество секунд, оставленных до истечения SA.

detail

Lifesize Remaining

Оставшееся время жизни определяет ограничения по использованию в килобайтах. Если не задана ни одна заданная продолжительность жизни, она не ограничена.

  • Expires in kilobytes— Число килобайтов, оставленных до истечения sa.

detail

Anti-replay service

Состояние службы, предотвращая повторное воспроизведение пакетов. Это может быть EnabledDisabled или.

detail

Replay window size

Размер окна службы воспроизведения , который составляет 64 бита.

detail

Bind-interface

Туннельный интерфейс, к которому привязана VPN на основе маршрутов.

detail

Copy-Outer-DSCP

Указывает, копирует ли система значение внешнего DSCP из IP-загона во внутренний ЗАГС.

detail

tunnel-establishment

Указывает, как IKE активирована сигнализация.

detail

IKE SA index

Указывает список родительских ассоциаций IKE безопасности.

detail

Табл. 2: show security ipsec sa Output Fields

Имя поля

Описание поля

Total active tunnels

Общее количество активных туннелей IPsec.

ID

Индексный номер SA. Этот номер можно использовать для получения дополнительной информации об SA.

Algorithm

Криптография, используемая для обеспечения безопасности обмена данными между равноправными узлами во время IKE фазы 2 включает:

  • Алгоритм аутентификации, используемый для аутентификации обмена данными между равноправными узлами. Возможные hmac-md5-96 варианты: hmac-sha-256-128 , или hmac-sha1-96 .

  • Алгоритм шифрования, используемый для шифрования трафика данных. Возможные 3des-cbcaes-128-cbc варианты: , aes-192-cbc , aes-256-cbc или des-cbc .

SPI

Идентификатор индекса параметра безопасности (SPI). SA однозначно идентифицирована spi. Каждая запись включает в себя имя VPN, адрес удаленного шлюза, spis для каждого направления, алгоритмы шифрования и аутентификации, а также ключи. На равноправных шлюзах каждый из них имеет два СА, по одному из них в каждом из двух этапов согласования: Фазы 1 и 2.

Life:sec/kb

Срок действия SA, по истечении которого он будет выражен в секундах или в килобайтах.

Mon

Поле Mon ссылается на состояние мониторинга VPN. Если мониторинг VPN включен, в этом поле отображается "U ( включен) или "D" (не включен). Дефис (-) означает, что мониторинг VPN для этого SA не включен. V означает, что проверка IPSec datapath продолжается.

lsys

Корневая система.

Port

Если преобразование сетевых адресов (NAT) используется, это значение будет 4500. В противном случае это стандартное IKE порте 500.

Gateway

Адрес шлюза системы.

Табл. 3: show security ipsec sa detail Output Fields

Имя поля

Описание поля

ID

Индексный номер SA. Этот номер можно использовать для получения дополнительной информации об SA.

Virtual-system

Имя виртуальной системы.

VPN Name

ИМЯ IPSec для VPN.

Local Gateway

Адрес шлюза локальной системы.

Remote Gateway

Адрес шлюза удаленной системы.

Local Identity

Идентификатор локального одноранговых узла, чтобы с ним связывался шлюз назначения- партнер. Это значение определяется как IP-адрес, полное доменное имя, адрес электронной почты или отличительное имя (DN).

Remote Identity

IP-адрес шлюза равноправного узла назначения.

Version

IKE версии. Например, IKEv1, IKEv2.

DF-bit

Состояние бита "не фрагментация": set или cleared .

Bind-interface

Туннельный интерфейс, к которому привязана VPN на основе маршрутов.

События туннеля

Direction

Направление SA; это могут быть входящие или исходящие.

AUX-SPI

Значение индекса параметров вспомогательной безопасности (SPI).

  • Если значением является AH или ESP , всегда AUX-SPI 0.

  • Если это AH+ESP значение, AUX-SPI то это всегда плюсовая величина.

VPN Monitoring

Если мониторинг VPN включен, то Mon в поле U (up) отображается D (down) или. Дефис (-) означает, что мониторинг VPN для этого SA не включен. V означает, что проверка IPsec datapath продолжается.

Hard lifetime

Жесткий срок действия определяет срок действия SA.

  • Expires in seconds - Количество секунд, оставленных до истечения SA.

Lifesize Remaining

Оставшееся время жизни определяет ограничения по использованию в килобайтах. Если не задана ни одна заданная продолжительность жизни, она не ограничена.

Soft lifetime

Soft lifetime сообщает системе управления ключами IPsec о том, что SA вот-вот истечет. Каждый срок действия SA имеет два варианта отображения, жесткий и мягкий, один из которых должен присутствовать для динамического SA. Это позволяет системе управления ключами согласовывать новую SA до истечения жесткого срока действия.

  • Expires in seconds - Количество секунд, оставленных до истечения SA.

Mode

Режим SA:

  • transport - Защищает соединения между хостами и хостами.

  • tunnel - Защищает подключения между шлюзами безопасности.

Type

Тип SA:

  • manual - Параметры безопасности не требуют согласования. Они являются статическими и настраиваются пользователем.

  • dynamic - Параметры безопасности согласуются протоколом IKE. Динамические SAS в транспортном режиме не поддерживаются.

State

Состояние SA:

  • Installed - SA установлена в базе данных SA.

  • Not Installed - SA не установлена в базе данных SA.

В транспортном режиме значение состояния всегда устанавливается.

Protocol

Протокол поддерживается.

  • Транспортный режим поддерживает протоколы безопасности инкапсуляции (ESP) и загон аутентификации (AH).

  • Туннельный режим поддерживает ESP и AH.

    • Authentication - Используемый тип аутентификации.

    • Encryption - Используемый тип шифрования.

Anti-replay service

Состояние службы, предотвращая повторное воспроизведение пакетов. Это может быть EnabledDisabled или.

Replay window size

Настроенный размер окна службы воспроизведения. Это может быть 32 или 64 пакета. Если размер окна повторного воспроизведения 0, служба антирекламы будет отключена.

Размер окна защиты от воспроизведения защищает приемник от повторяющихся атак, отклоняет старые или дублированные пакеты.

Туннель канала interchassis

HA режима шифрования соединения

Режим высокой доступности поддерживается. Отображается, Multi-Node когда включена функция высокой доступности для нескольких узлов.

Sample Output

Для экономии в выходных данных команды show отображаются не все значения конфигурации. Отображается только подмножество конфигурации. Остальная конфигурация системы была заменена на эллипсы (...).

show security ipsec security-associations (IPv4)

show security ipsec security-associations (IPv6)

show security ipsec security-associations index 511672

show security ipsec security-associations index 131073 detail

Начиная Junos OS выпуске 18.2R1, в выходных данных интерфейс командной строки отображаются все данные, в том числе и имя класса show security ipsec security-associations index index-number detail переад релиза.

show security ipsec sa

show security ipsec sa detail

Начиная Junos OS выпуска 19.1R1, новое поле выходных данных интерфейс командной строки отображает параметр, настроенный tunnel-establishmentshow security ipsec sa detail в ipsec vpn establish-tunnels иерархии.

Начиная Junos OS версии 21.3R1, новое поле выходных данных интерфейс командной строки отображает параметр, настроенный Tunnel MTUshow security ipsec sa detail в ipsec vpn hub-to-spoke-vpn tunnel-mtu иерархии.

show security ipsec sa details (MX-SPC3)

show security ipsec security-association

show security ipsec security-associations brief

show security ipsec security-associations detail

show security ipsec security-associations family inet6

show security ipsec security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ipsec security-associations detail (ADVPN Suggester, Static Tunnel)

show security ipsec security-associations detail (ADVPN Partner, Static Tunnel)

show security ipsec security-associations sa-type shortcut (ADVPN)

show security ipsec security-associations sa-type shortcut detail (ADVPN)

show security ipsec security-associations family inet detail

show security ipsec security-associations detail (SRX4600)

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

Новое поле вывода, соответствующее каждой SA IPsec в туннеле, отображается под каждой информацией IKE SA Index IPsec SA.

show security ipsec security-associations detail (SRX Series devices and MX Series Routers)

В Junos OS 20.4R2, 21.1R1 и более поздних версиях можно выполнить команду для просмотра типа селектора show security ipsec security-associations detail трафика для VPN.

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

Начиная с Junos OS выпуска 21.1R1, можно просматривать данные селектора трафика, включая локальные идентификационные данные, удаленную идентификацию, протокол, диапазон порта источника, диапазон портов назначения для нескольких терминов, определенных для SA IPsec.

В более ранних Junos, выбор трафика для конкретной SA выполняется с использованием существующего диапазона IP, определенного с использованием IP-адреса или сетевойmask. Начиная Junos OS выпуска 21.1R1, дополнительный трафик выбирается через протокол, указанный protocol_name. А также низкий и высокий диапазон портов, определенный для номеров портов источника и назначения.

Release Information

Команда, введенная Junos OS версии 8.5. Поддержка family параметра, добавленного Junos OS версии 11.1.

Поддержка vpn-name параметра, добавленного в Junos OS release 11.4R3. Поддержка параметра traffic-selector и поля выбора трафика, добавленных в Junos OS release 12.1X46-D10.

Поддержка VPN автоматического обнаружения (ADVPN) добавлена в Junos OS версии 12.3X48-D10.

Поддержка проверки данных IPsec, добавленная в Junos OS release 15.1X49-D70.

Поддержка привязки потока, добавленная в Junos OS release 17.4R1.

Начиная с Junos OS релиза 18.2R2, выходные данные команды будут включать информацию о привязке потоков для ассоциаций безопасности show security ipsec security-assocations detail (SAS).

Начиная Junos OS релизе 19.4R1, параметр интерфейс командной строки (coS Forward Class name) был показан в новом процессе, который отображает ассоциации безопасности fc-name (SAS) под командой ikedshow security ipsec sa show.

Поддержка ha-link-encryption параметра, добавленного в Junos OS release 20.4R1.