显示安全 ike 统计信息
语法
Release Information
命令 Junos OS Release 19.4 R1 中引入。
说明
显示有关 SRX5000 系列设备和 SRX5K-SPC SPC3 卡之间使用 IKEv2 的隧道(如进行中、已建立和已到期协商)的全球 IKE (互联网密钥交换)统计信息。
所需的权限级别
观看
示例输出列表
显示安全 ike 统计信息输出字段
表 1列出了总 IKE SA 和隧道计数统计信息的输出字段。表 2列出IKE_SA_INIT了、 IKE_AUTH、 IKE SA Rekey CREATE_CHILD_SA、 IPsec SA Rekey CREATE_CHILD_SA交换统计信息的输出字段。表 3列出了该show security ike stats命令 IKE 消息失败统计信息的总数。输出字段按其出现的大致顺序列出。
表 1: total-IKE SA 和通道计数统计输出字段
字段名称 | 字段说明 |
|---|
Number of IKE SAs | 当前处于活动状态的 IKE Sa 的数量。 |
Number of IPsec Tunnels | 当前处于活动状态的 IPsec 隧道数。 |
表 2: IKEV2_negotiaton_exchange_statistics
字段名称 | 启动器统计信息输出字段的字段说明 | 响应方统计信息输出字段的字段说明 |
|---|
IKE_SA_INIT exchange stats | Request Out —发起方IKE_SA_INIT发送的请求消息数。 Response In—发起方IKE_SA_INIT收到的响应消息数。 Invalid KE Payload In—发起方IKE_SA_INIT INVALID_KE_PAYLOAD收到的通知消息数。 No Proposal Chosen In—发起方IKE_SA_INIT NO_PROPSAL_CHOSEN收到的通知消息数。 Cookie Request In—发起方IKE_SA_INIT收到的 cookie 请求通知消息数。 Cookie Response Out—响应方IKE_SA_INIT发送的 cookie 响应通知消息数。 Res Invalid IKE SPI—IKE_SA_INIT响应消息数量,包含由发起方收到的无效 SPI。 Res Verify SA Fail—在发起IKE_SA_INIT方验证对等方 SA 期间,响应消息处理的数量失败。 Res IKE SA Fill Fail—在发起IKE_SA_INIT方验证 IKE SA 填充操作期间,处理失败的响应消息数。 Res Verify DH Group Fail—在发起IKE_SA_INIT方验证 diffie-hellman 组期间,处理失败的响应消息数。 Res DH Compute Key Fail—在发起IKE_SA_INIT方验证 diffie-hellman 计算密钥期间,处理失败的响应消息数。
| Request In—响应方IKE_SA_INIT收到的请求消息数。 Response Out—响应方IKE_SA_INIT发送的响应消息数。 Invalid KE Payload Out—响应方IKE_SA_INIT INVALID_KE_PAYLOAD发送的通知消息数。 No Proposal Chosen Out—响应方IKE_SA_INIT NO_PROPSAL_CHOSEN发送的通知消息数。 Cookie Request Out—响应方IKE_SA_INIT发送的 cookie 请求通知消息数。 Cookie Response In—响应方IKE_SA_INIT收到的 cookie 响应通知消息数。 Res DH Gen Key Fail—在响应IKE_SA_INIT方的 diffie-hellman 生成键期间处理失败的响应消息数。 Res Invalid DH Group Conf—由于在IKE_SA_INIT响应方配置了无效的 diffie-hellman 组,响应消息处理的数量失败。 Res Get CAs Fail—在响应IKE_SA_INIT方处获取 CAs 操作期间,处理失败的响应消息数。 Res Get VID Fail—在响应IKE_SA_INIT方获取供应商 ID 请求操作期间,处理失败的响应消息数。 Res DH Compute Key Fail—响应方IKE_SA_INIT的 diffie-hellman 计算键过程中处理失败的消息数。
|
IKE_AUTH exchange stats | Request Out—发起方IKE_AUTH发送的请求消息数。 Response In—发起方IKE_AUTH收到的响应消息数。 No Proposal Chosen In—发起方IKE_AUTH NO_PROPSAL_CHOSEN收到的通知消息数。 TS Unacceptable In—发起方IKE_AUTH TS_UNACCEPTABLE收到的通知消息数。 Authentication Failed In—发起方IKE_AUTH AUTHENTICATION_FAILED收到的通知消息数。
| Request In—响应方IKE_AUTH收到的请求消息数。 Response Out—响应方IKE_AUTH发送的响应消息数。 No Proposal Chosen Out—响应方IKE_AUTH NO_PROPSAL_CHOSEN发送的通知消息数。 TS Unacceptable out—响应方IKE_AUTH TS_UNACCEPTABLE发送的通知消息数。 Authentication Failed Out—响应方IKE_AUTH AUTHENTICATION_FAILED发送的通知消息数。
|
IKE SA Rekey CREATE_CHILD_SA exchange stats | Request Out—发起方发送的 IKE CREATE_CHILD_SA SA rekey 次数请求消息数。 Response In—发起方收到的 IKE CREATE_CHILD_SA SA 重新生成密钥响应消息数。 No Proposal Chosen In—发起方收到的 IKE CREATE_CHILD_SA NO_PROPSAL_CHOSEN SA 重新生成密钥通知消息数。 Invalid KE In—发起方收到的 IKE CREATE_CHILD_SA INVALID_KE_PAYLOAD SA 重新生成密钥通知消息数。 Res DH Compute Key Fail—在发起方验证 Diffie-hellman CREATE_CHILD_SA计算密钥期间,IKE SA rekey 次数响应消息处理失败。 Res Verify SA Fail—在对等方 SA CREATE_CHILD_SA验证期间,在发起方运行失败时,IKE SA rekey 次数响应消息处理失败。 Res Fill IKE SA Fail—发起方在 IKE SA CREATE_CHILD_SA填充操作期间发生的 IKE SA 重新加密响应消息处理失败次数。 Res Verify DH Group Fail—在发起方验证 Diffie-hellman CREATE_CHILD_SA组期间,IKE SA 重新生成密钥响应消息处理失败。
| Request In—响应方收到的 IKE CREATE_CHILD_SA SA rekey 次数请求消息数。 Response Out—响应方发送的 IKE CREATE_CHILD_SA SA 重新生成密钥响应消息数。 No Proposal Chosen Out—响应方发送的 IKE CREATE_CHILD_SA NO_PROPSAL_CHOSEN SA 重新生成密钥通知消息数。 Invalid KE Out—响应方发送的 IKE CREATE_CHILD_SA INVALID_KE_PAYLOAD SA 重新生成密钥通知消息数。 Res DH Compute Key Fail—响应方的 Diffie-hellman 计算CREATE_CHILD_SA键期间,IKE SA 重新生成码响应消息处理失败。
|
IPsec SA Rekey CREATE_CHILD_SA exchange stats | Request Out—发起方发送的 IPsec CREATE_CHILD_SA SA rekey 次数请求消息数。 Response In—发起方收到的 IPsec CREATE_CHILD_SA SA 重新生成密钥响应消息数。 No Proposal Chosen In—发起方收到的 IPsec CREATE_CHILD_SA NO_PROPSAL_CHOSEN SA 重新生成密钥通知消息数。 Invalid KE In—发起方收到的 IPsec CREATE_CHILD_SA INVALID_KE_PAYLOAD SA 重新生成密钥通知消息数。 TS Unacceptable In—发起方收到的 IPsec CREATE_CHILD_SA TS_UNACCEPTABLE SA 重新生成密钥通知消息数。 Res DH Compute Key Fail—在发起方验证 Diffie-hellman CREATE_CHILD_SA计算密钥期间,IPsec SA rekey 码响应消息处理失败。 Res Verify SA Fail—在发起方验证对CREATE_CHILD_SA等方 SA 期间,IPsec SA rekey 重新加密响应消息处理失败的次数。 Res Verify DH Group Fail—在发起方验证 Diffie-hellman CREATE_CHILD_SA组期间,IPsec SA 重新生成程序响应消息处理失败次数。 Res Verify TS Fail—在发起方验证 TS CREATE_CHILD_SA期间,IPsec SA rekey 次数响应消息处理失败。
| Request In—响应方收到的 IPsec CREATE_CHILD_SA SA rekey 次数请求消息数。 Response Out—响应方发送的 IPsec CREATE_CHILD_SA SA 重新加密响应消息数。 No Proposal Chosen Out—响应方发送的 IPsec CREATE_CHILD_SA NO_PROPSAL_CHOSEN SA 重新生成密钥通知消息数。 Invalid KE Out—响应方发送的 IPsec CREATE_CHILD_SA INVALID_KE_PAYLOAD SA 重新生成密钥通知消息数。 TS Unacceptable Out—响应方发送的 IPsec CREATE_CHILD_SA TS_UNACCEPTABLE SA 重新生成密钥通知消息数。 Res DH Compute Key Fail—响应方上的 Diffie-hellman CREATE_CHILD_SA计算参数中的 IPsec SA 重新加密响应消息处理失败次数。
|
表 3: IKEv2_negotiation_message_failure_statistics
字段名称 | 字段说明 |
|---|
Discarded | 丢弃消息的总数。 |
Integrity fail | 具有完整性检查失败的消息总数。 |
Invalid exchange type | 无效交换类型失败的消息总数。 |
Disorder | 由于 disorder 而失败的消息总数。 |
ID error | ID 错误的消息总数。 |
Invalid SPI | 具有无效 SPI 故障的消息总数。 |
Invalid length | 具有无效长度错误的消息总数。 |
示例输出
显示安全 ike 统计信息
user@host> show security ike statsTotal IKE SA and Tunnel Count Statistics:
Number of IKE SAs: 2 Number of IPsec Tunnels: 2
IKE_SA_INIT exchange stats:
Initiator stats: Responder stats:
Request Out : 0 Request In : 0
Response In : 0 Response Out : 0
Invalid KE Payload In : 0 Invalid KE Payload Out : 0
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Cookie Request In : 0 Cookie Request Out : 0
Cookie Response Out : 0 Cookie Response In : 0
Res Invalid IKE SPI : 0 Res DH Gen Key Fail : 0
Res Verify SA Fail : 0 Res Invalid DH Group Conf: 0
Res IKE SA Fill Fail : 0 Res Get CAs Fail : 0
Res Verify DH Group Fail: 0 Res Get VID Fail : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail : 0
IKE_AUTH exchange stats:
Initiator stats: Responder stats:
Request Out : 0 Request In : 0
Response In : 0 Response Out : 0
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
TS Unacceptable In : 0 TS Unacceptable Out : 0
Authentication Failed In: 0 Authentication Failed Out: 0
IKE SA Rekey CREATE_CHILD_SA exchange stats:
Initiator stats: Responder stats:
Request Out : 678 Request In : 0
Response In : 678 Response Out : 0
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Invalid KE In : 0 Invalid KE Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Fill IKE SA Fail : 0
Res Verify DH Group Fail: 0
IPsec SA Rekey CREATE_CHILD_SA exchange stats:
Initiator stats: Responder stats:
Request Out : 886 Request In : 0
Response In : 886 Response Out : 0
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Invalid KE In : 0 Invalid KE Out : 0
TS Unacceptable In : 0 TS Unacceptable Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Verify DH Group Fail: 0
Res Verify TS Fail : 0
Total IKE message failure stats:
Discarded : 0 ID error : 0
Integrity fail : 0 Invalid SPI : 0
Invalid exchange type: 0 Invalid length: 0
Disorder : 0
