Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

监控 Vpn

 

本部分包含以下主题:

监控 IKE 网关信息

用途

查看有关 IKE 安全关联(Sa)的信息。

操作

Monitor>IPSec VPN>IKE Gateway在 J-Web 用户界面中。要查看特定 SA 的详细信息,请在 IKE 网关页面上选择 IKE SA 索引。

或者,输入以下 CLI 命令:

  • show security ike security-associations

  • show security ike security-associations index index-id detail

表 1汇总了 IKE 网关显示屏中的主要输出字段。

表 1: 密钥 IKE SA 信息输出字段摘要

字段

其他信息

IKE 安全关联

IKE SA 索引

SA 的索引号。

此编号是内部生成的编号,可用于显示有关单个 SA 的信息。

远程地址

本地对等方通信的目标对等方的 IP 地址。

State

IKE 安全关联的状态:

  • DOWN—SA 未与对等方协商。

  • UP—SA 已与对等方协商。

发起 cookie

在触发 IKE 协商时,随机编号称为 cookie,发送至远程节点。

响应方 cookie

由远程节点生成并返回给启动器的随机编号,用于验证是否已收到数据包。

Cookie 旨在保护计算资源免遭攻击,而无需花费过多的 CPU 资源来确定 cookie’的真实性。

状态

由两个 IPsec 端点或对等方商定的协商方法,用于在自身之间交换信息。每种交换类型确定消息数量以及每条消息中包含的有效负载类型。模式(或交换类型)包括:

  • Main—Exchange 通过六条消息完成。此模式或交换类型可加密有效负载,从而保护邻居的身份。将显示所用的身份验证方法:预共享密钥或证书。

  • Aggressive—Exchange 通过三条消息完成。此模式或交换类型不会加密有效负载,而是保持邻居的身份不受保护。

IKE 安全关联(SA)索引

IKE 对等方

本地对等方通信的目标对等方的 IP 地址。

IKE SA 索引

SA 的索引号。

此编号是内部生成的编号,可用于显示有关单个 SA 的信息。

角色

部件在 IKE 会话中发挥作用。触发 IKE 协商的设备是发起方,而接受第一个 IKE 交换数据包的设备就是响应方。

State

IKE 安全关联的状态:

  • DOWN—SA 未与对等方协商。

  • UP—SA 已与对等方协商。

发起 cookie

在触发 IKE 协商时,随机编号称为 cookie,发送至远程节点。

响应方 cookie

由远程节点生成并返回给启动器的随机编号,用于验证是否已收到数据包。

Cookie 旨在保护计算资源免遭攻击,而无需花费过多的 CPU 资源来确定 cookie’的真实性。

交换类型

由两个 IPsec 端点或对等方商定的协商方法,用于在自身之间交换信息。每种交换类型确定消息数量以及每条消息中包含的有效负载类型。模式(或交换类型)包括:

  • Main—Exchange 通过六条消息完成。此模式或交换类型可加密有效负载,从而保护邻居的身份。将显示所用的身份验证方法:预共享密钥或证书。

  • Aggressive—Exchange 通过三条消息完成。此模式或交换类型不会加密有效负载,而是保持邻居的身份不受保护。

身份验证方法

选择进行身份验证的路径。

本地

本地对等方的地址。

远程

远程对等方的地址。

在 IKE SA 到期之前剩余的秒数。

算法

在 IPsec 阶段2进程中,用于加密和保护对等方之间的交换的 IKE 算法:

  • Authentication—使用的身份验证算法类型。

    • sha1—安全散列算法1(SHA-1)身份验证。

    • md5—MD5 认证。

  • Encryption—使用的加密算法类型。

    • aes-256-cbc—高级加密标准(AES)256位加密。

    • aes-192-cbc—高级加密标准(AES)192位加密。

    • aes-128-cbc—高级加密标准(AES)128位加密。

    • 3des-cbc—3数据加密标准(DES)加密。

    • des-cbc—数据加密标准(DES)加密。

    • Pseudo random function—加密安全伪随机功能系列。

流量统计数据

信息流统计数据包括以下内容:

  • Input bytes—设备为处理所提供的字节数。

  • Output bytes—设备实际处理的字节数。

  • Input packets—提供供设备处理的数据包数量。

  • Output packets—设备实际处理的数据包数量。

IPsec 安全关联

  • number created—创建的 Sa 数。

  • number deleted—删除的 Sa 数。

角色

部件在 IKE 会话中发挥作用。触发 IKE 协商的设备是发起方,而接受第一个 IKE 交换数据包的设备就是响应方。

消息 ID

消息标识符。

本地身份

指定本地对等方的标识,以便其合作伙伴目标网关可以与其进行通信。该值被指定为以下任何一项:IPv4 地址、完全限定域名、电子邮件地址或可分辨名称。

远程身份

目标对等网关的 IPv4 地址。

监控 IPsec VPN—阶段 I

用途

查看 IPsec VPN 阶段 I 信息。

操作

Monitor>IPSec VPN>Phase I在 J-Web 用户界面中。

表 2介绍了用于监控 IPsec VPN 阶段 I 的可用选项。

表 2: IPsec VPN—阶段 I 监控页面

字段其他信息
IKE SA 选项卡选项
IKE 安全关联

SA 索引

SA 的索引号。

远程地址

本地对等方通信的目标对等方的 IP 地址。

State

IKE 安全关联的状态:

  • 下—SA 未与对等方协商。

  • 上—一位 SA 已与对等方协商。

发起 Cookie

在触发 IKE 协商时,随机编号称为 cookie,发送至远程节点。

响应方 Cookie

由远程节点生成并返回给启动器的随机编号,用于验证是否已收到数据包。

Cookie 旨在保护计算资源免遭攻击,而无需花费过多的 CPU 资源来确定 cookie’的真实性。

状态

由两个 IPsec 端点或对等方商定的协商方法,用于交换信息。每种交换类型确定消息数量以及每条消息中包含的有效负载类型。模式(或交换类型)包括:

  • 主要—是 exchange 通过六条消息完成。此模式或交换类型可加密有效负载,从而保护邻居的身份。将显示所用的身份验证方法:预共享密钥或证书。

  • 通过—三封消息主动交换。此模式或交换类型不会加密有效负载,而是保持邻居的身份不受保护。

监控 IPsec VPN—阶段 II

用途

查看 IPsec VPN 阶段 II 信息。

操作

Monitor>IPSec VPN>Phase II在 J-Web 用户界面中。

表 3介绍了用于监控 IPsec VPN 阶段 II 的可用选项。

表 3: IPsec VPN—阶段 II 监控页面

字段其他信息
统计标识栏详细信息

按字节

提供由本地系统在 IPsec 通道中加密和解密的总字节数。

按数据包

提供由本地系统在 IPsec 通道中加密和解密的数据包总数。

IPsec 统计信息

提供了 IPsec 统计数据的详细信息。

IPsec SA 选项卡详细信息
IPsec 安全关联

ID

SA 的索引号。

网关/端口

远程网关/端口的 IP 地址。

算法

在 IKE 阶段 II 协商期间,用于保护对等方之间的交换的加密方案:

  • 用于验证对等方之间的交换的身份验证算法。选项为 hmac-md5-95 或 hmac-sha1-96。

SPI

安全参数索引(SPI)标识符。SA 由 SPI 唯一标识。每个条目都包含 VPN 名称、远程网关地址、每个方向的 SPIs、加密和身份验证算法以及密钥。对等网关各有两个 Sa,每个协商阶段都有一个:阶段 I 和阶段 II。

生动

SA 的生存期,在此时间之后将以秒或千字节为单位表示。

监控

指定 VPN Liveliness 监控是否已启用/禁用。Enabled-"U",禁用-"—"

Vsys

指定根系统。

监控 IPsec VPN 信息

用途

查看有关 IPsec 安全(Sa)的信息。

操作

Monitor>IPSec VPN>IPsec VPN在 J-Web 用户界面中。要查看特定 SA 的 IPsec 统计信息,请在 IPsec VPN 页面上选择 IPsec SA ID 值。

或者,输入以下 CLI 命令:

  • show security ipsec security-associations

  • show security ipsec statistics

表 4汇总 IPsec VPN 显示中的主要输出字段。

表 4: 关键 IPsec VPN 信息输出字段摘要

字段

其他信息

IPsec 安全关联

配置的 SA 总数

设备上配置的 IPsec 安全关联(Sa)总数。

ID

SA 的索引号。

网关

远程网关的 IP 地址。

端口

如果使用网络地址转换(NAT T),则此值为4500。否则,这是标准 IKE 端口500。

算法

在 IKE 阶段2协商期间,用于保护对等方之间的交换的加密密码:

  • 用于验证对等方之间的交换的身份验证算法。选项是 hmac-md5-95 或者 hmac-sha1-96.

  • 一种加密算法,用于加密数据信息流。选项是 3des-cbcaes-128-cbcaes-192-cbcaes-256-cbcdes-cbc.

SPI

安全参数索引(SPI)标识符。SA 由 SPI 唯一标识。每个条目都包含 VPN 名称、远程网关地址、每个方向的 SPIs、加密和身份验证算法以及密钥。对等网关各有两个 Sa,每个协商阶段都有一个:阶段1和阶段2。

生动sec/kb

SA 的生存期,在此时间之后将以秒或千字节为单位表示。

State

状态有两个选项 InstalledNot Installed.

  • Installed—安全关联已安装在安全关联数据库中。

  • Not Installed—安全关联数据库中未安装安全关联。

transport模式的值 State始终安装。

Vsys

根系统。

IPsec 统计信息

ESP 统计信息

封装安全协议(ESP)统计信息包括:

  • Encrypted bytes—由本地系统在 IPsec 通道中加密的总字节数。

  • Decrypted bytes—由本地系统在 IPsec 通道中解密的总字节数。

  • Encrypted packets—由本地系统通过 IPsec 通道加密的数据包总数。

  • Decrypted packets—由本地系统在 IPsec 通道中解密的数据包总数。

AH 统计

认证标头(AH)统计包含以下内容:

  • Input bytes—设备为处理所提供的字节数。

  • Output bytes—设备实际处理的字节数。

  • Input packets—提供供设备处理的数据包数量。

  • Output packets—设备实际处理的数据包数量。

错误

错误包括以下

  • AH authentication failures—身份验证标头(AH)失败总数。如果跨 IPsec 通道传输的数据包中存在身份验证标头不匹配,则会发生 AH 故障。

  • Replay errors—重播错误总数。在重播窗口内收到重复数据包时,将生成重播错误。

  • ESP authentication failures—封装安全负载(ESP)故障总数。Esp 数据包中存在身份验证不匹配时,就会出错。

  • ESP decryption failures—ESP 解密错误总数。

  • Bad headers—检测到的无效标头总数。

  • Bad trailers—检测到的无效尾端总数。

IPsec SA 索引详细信息: ID

虚拟系统

根系统。

本地网关

本地系统的网关地址。

远程网关

远程系统的网关地址。

本地身份

指定本地对等方的标识,以便其合作伙伴目标网关可以与其进行通信。该值被指定为以下任何一项:IPv4 地址、完全限定域名、电子邮件地址或可分辨名称。

远程身份

目标对等网关的 IPv4 地址。

Df 位

’T 分段位的状态—set或者 cleared.

策略名称

适用策略的名称。

方向

安全关联的方向—inboundoutbound.

SPI

安全参数索引(SPI)标识符。SA 由 SPI 唯一标识。每个条目都包含 VPN 名称、远程网关地址、每个方向的 SPIs、加密和身份验证算法以及密钥。对等网关各有两个 Sa,每个协商阶段都有一个:阶段1和阶段2。

状态

安全关联的模式。模式可以为传输或通道。

  • transport—保护主机到主机的连接。

  • tunnel—保护安全网关之间的连接。

类型

安全关联的类型,可以是 manual或者 dynamic.

  • manual—安全参数无需协商。它们是静态的,由用户配置。

  • dynamic—安全参数通过 IKE 协议进行协商。传输模式中不支持动态安全关联。

State

State有两个选项 InstalledNot Installed.

  • Installed—安全关联已安装在安全关联数据库中。

  • Not Installed—安全关联数据库中未安装安全关联。

transport模式的值 State始终为 Installed.

Protocol

支持的协议:

  • Transport模式支持封装安全协议(ESP)和身份验证标头(AH)。

  • Tunnel模式支持 ESP 和 AH。

    • Authentication—使用的身份验证类型。

    • Encryption—使用的加密类型。

身份验证/加密

  • Authentication—使用的身份验证算法类型。

    • sha1—安全散列算法1(SHA-1)身份验证。

    • md5—MD5 认证。

  • Encryption—使用的加密算法类型。

    • aes-256-cbc—高级加密标准(AES)256位加密。

    • aes-192-cbc—高级加密标准(AES)192位加密。

    • aes-128-cbc—高级加密标准(AES)128位加密。

    • 3des-cbc—3数据加密标准(DES)加密。

    • des-cbc—数据加密标准(DES)加密。

软生存期

软生存期通知 IPsec 密钥管理系统 SA 即将到期。

  • Expires in seconds—SA 到期前剩余的秒数。

  • Expires in kilobytes—剩余的 kb 数,直到 SA 到期。

安全关联的每个生命周期都有两个显示选项, hardsoft,其中一个必须存在于动态安全关联中。这允许密钥管理系统在硬生存期到期之前协商新 SA。

硬生存期

硬生存期指定 SA 的生存期。

  • Expires in seconds—SA 到期前剩余的秒数。

  • Expires in kilobytes—剩余的 kb 数,直到 SA 到期。

反重播服务

阻止数据包被重播的服务的状态。它可以 Enabled或者 Disabled.

重播窗口大小

配置的 antireplay 服务时段大小。它可以是32或64数据包。如果重播窗口大小为0,则 antireplay 服务已禁用。

Antireplay 窗口大小通过拒绝旧或重复数据包来保护接收器免遭重放攻击。