Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

显示安全组-vpn 服务器 ike 安全协会

 

语法

Release Information

命令 Junos OS 版本10.2 中引入。

说明

显示 IKE 安全关联(Sa)。组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。

选项

  • 无—显示所有组的所有 IKE sa。

  • brief—(可选)显示汇总输出。

  • detail—必显示输出的详细级别。

  • group—必显示指定组 IKE SAs。

  • group-id—必显示指定组 IKE SAs。

    注意

    组成员可使用 IKE SA 注册到多个组。如果指定groupgroup-id选项列出指定组的 IKE sa,则会显示可用于注册到该组的所有现有 IKE sa。

  • index—必根据 SA 的索引号显示特定 SA 的信息。要获取特定 SA 的索引号,请使用不带选项的命令显示现有 Sa 的列表。

所需的权限级别

观看

示例输出列表

显示安全组-vpn 服务器 ike 安全协会

显示安全组-vpn 服务器 ike 安全-关联详细信息

输出字段

表 1列出了show security group-vpn server ike security-associations 命令的输出字段。输出字段按其出现的大致顺序列出。

表 1: 显示安全组-vpn 服务器 ike 安全-关联输出字段

字段名称

字段说明

Index

SA 的索引号。此编号是内部生成的编号,可用于显示有关单个 SA 的信息。

Remote Address

本地对等方通信的目标对等方的 IP 地址。

State

IKE 安全关联的状态:

  • DOWN—SA 未与对等方协商。

  • UP—SA 已与对等方协商。

Initiator cookie

在触发 IKE 协商时,随机编号称为 cookie,发送至远程节点。

Responder cookie

由远程节点生成并返回给启动器的随机编号,用于验证是否已收到数据包。

Cookie 旨在保护计算资源免遭攻击,而无需花费过多的 CPU 资源来确定 cookie 的真实性。

Mode

由两个 IPsec 端点或对等方商定的协商方法,用于在自身之间交换信息。每种交换类型确定消息数量以及每条消息中包含的有效负载类型。模式(或交换类型)

  • main—Exchange 通过六条消息完成。此模式或交换类型加密有效负载,从而保护邻居的身份。将显示所用的身份验证方法:预共享密钥或证书。

  • aggressive—Exchange 通过三条消息完成。此模式或交换类型不会加密有效负载,而是保持邻居的身份不受保护。

IKE Peer

本地对等方通信的目标对等方的 IP 地址。

Exchange type

由两个 IPsec 端点或对等方商定的协商方法,用于在自身之间交换信息。每种交换类型确定消息数量以及每条消息中包含的有效负载类型。模式(或交换类型)

  • main—Exchange 通过六条消息完成。此模式或交换类型加密有效负载,从而保护邻居的身份。将显示所用的身份验证方法:预共享密钥或证书。

  • aggressive—Exchange 通过三条消息完成。此模式或交换类型不会加密有效负载,而是保持邻居的身份不受保护。

Authentication method

服务器用于验证 IKE 消息源的方法:

  • pre-shared-keys—在开始隧道协商之前,两个参与者都必须预先共享加密和解密密钥。

rsa-signatures—数字签名,即确认证书持有者身份的证书。

Local

本地对等方的地址。

Remote

远程对等方的地址。

Lifetime

在 IKE SA 到期之前剩余的秒数。

Algorithms

互联网密钥交换(IKE)算法,用于在 IPsec 阶段2进程中对对等方进行加密和安全交换:

  • Authentication—使用的身份验证算法类型。

    • sha-256—安全哈希算法256身份验证。

    • sha-384—安全哈希算法384身份验证。。

  • Encryption—使用的加密算法类型。

    • aes-256-cbc—高级加密标准(AES)256位加密。

    • aes-192-cbc—AES192 位加密

    • aes-128-cbc—AES 128 位加密。

Traffic statistics

  • Input bytes—接收的字节数。

  • Output bytes—传输的字节数。

  • Input packets—接收的数据包数。

  • Output packets—传输的数据包数。

IPSec security associations

  • number created:创建的 Sa 数。

  • number deleted可以:删除的 Sa 数。

Phase 2 negotiations in progress

正在进行的阶段 2 IKE 协商数和状态信息:

  • Negotiation type—阶段2协商类型。Junos OS 当前支持快速模式。

  • Message ID—阶段2协商的唯一标识符。

  • Local identity—本地阶段2协商的身份。格式为 id 类型名称(proto 名称:端口号、[0.. id-数据长度] = iddata-演示文稿)

  • Remote identity—远程阶段2协商的身份。格式为 id 类型名称(proto 名称:端口号、[0.. id-数据长度] = iddata-演示文稿)

  • Flags—通知 IKE 协商状态的主要管理流程:

    • caller notification sent—调用方程序通知 IKE 协商的完成。

    • waiting for done—协商已完成。库正在等待远程端重新传输计时器过期。

    • waiting for remove—协商失败。库正在等待远程端重新传输计时器在卸下此协商之前过期。

    • waiting for policy manager—协商正在等待来自策略管理器的响应。

示例输出

显示安全组-vpn 服务器 ike 安全协会

user@host> show security group-vpn server ike security-associations

示例输出

显示安全组-vpn 服务器 ike 安全-关联详细信息

user@host> show security group-vpn server ike security-associations detail