12
2023
12
10:57:11

华为 V200 display ike sa

https://support.huawei.com/enterprise/zh/doc/EDOC1100096314/c09c21a0 

display ike sa


命令功能

display ike sa命令用来查看由IKE协商建立的安全联盟信息。

命令格式

display ike sa [ remote ipv4-address ]

display ike sa [ remote-id-type remote-id-type ] remote-id remote-id

display ike sa verbose { remote ipv4-address | connection-id connection-id | [ remote-id-type remote-id-type ] remote-id remote-id }

参数说明

参数参数说明取值

remote ipv4-address

指定对端IPv4地址。

点分十进制格式。

remote-id-type remote-id-type

指定对端ID类型。

对端ID类型为:ip、dn、fqdn和user-fqdn。

remote-id remote-id

指定对端ID。

必须是已存在的对端ID。

verbose

显示安全联盟的详细信息。

-

connection-id connection-id

指定安全联盟的连接索引。

整数形式,取值范围为1~4294967295。

视图

所有视图

缺省级别

1:监控级

使用指南

display ike sa命令可以查看到的信息包括:安全联盟的连接索引、安全联盟的对端IP地址、VPN实例名称、SA所属阶段、对端ID类型、对端ID、此安全联盟的状态。

IPSec隧道建立成功后,当修改本端ID或对端ID信息时,执行命令display ike sa,不会显示最新的本端ID或对端ID信息,直到IPSec隧道重新协商。

使用实例

# 显示IKE SA和IPSec SA的配置信息。

<HUAWEI> display ike saIKE SA information :
    Conn-ID       Peer            VPN   Flag(s)   Phase   RemoteType  RemoteID
  ----------------------------------------------------------------------------------
    117477244     10.100.1.1/4500 vrf1  RD|M      v2:2    IP          10.100.1.1
    117477243     10.100.1.1/4500 vrf1  RD|M      v2:2    IP          10.100.1.1
    117477242     10.100.1.1/4500 vrf1  RD|M      v2:1    IP          10.100.1.1
                                                                                
   Number of IKE SA : 3                                                    
  ----------------------------------------------------------------------------------
                                                                                
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
表28-11 display ike sa命令输出信息描述

项目

描述

IKE SA information

安全联盟配置信息。

Conn-ID

安全联盟的连接索引。

Peer

对端的IP地址和UDP端口号

VPN

应用IPSec安全策略的接口所绑定的VPN实例。

Flag(s)

安全联盟的状态:

  • RD--READY:表示此SA已建立成功。

  • ST--STAYALIVE:表示此端是通道协商发起方。

  • RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。

  • FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。

  • TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。

  • HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。

  • LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。

  • BCK--BACKED UP:表示备份状态。

  • M--ACTIVE:表示IPSec策略组状态为主状态。

  • S--STANDBY:表示IPSec策略组状态为备状态。

  • A--ALONE:表示IPSec策略组状态为不备份状态。

  • NEG--NEGOTIATING:表示SA正在协商中。

  • 字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。

Phase

SA所属阶段:

  • v1:1或v2:1:v1和v2表示IKE的版本;1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。

  • v1:2或v2:2:v1和v2表示IKE的版本;2表示协商安全服务的阶段,此阶段建立IPSec SA。

RemoteType

对端ID类型。

RemoteID

对端ID。

# 对等体间采用IKEv1协商IPSec时,显示建立的IKE SA和IPSec SA的详细信息。

<HUAWEI> display ike sa verbose remote 10.100.1.1
 IKE SA information :-----------------------------------------------
Ike Sa phase   : 2
Establish Time : 2015-09-18 18:58:24
PortCfg Index  : 0xe
IKE Peer Name  : zhe
Connection Id  : 67126707
Version        : v1
Flow VPN       :
Peer VPN       :
------------------------------------------------Intiator Cookie         : 0x a7b1c107a7a67b1
Responder Cookie        : 0xf70b111e391f79a9
Local Address           : 10.2.1.1/500Remote Address          : 10.1.1.1/4500PFS                     : dh-group14 
Flags                   : RD|ST|S
------------------------------------------------

------------------------------------------------
Ike Sa phase   : 1
Establish Time :
PortCfg Index  : 0xe
IKE Peer Name  : zhe
Connection Id  : 67125326
Version        : v1Exchange Mode  : Main Flow VPN       :
Peer VPN       :
------------------------------------------------Intiator Cookie               : 0x a7b1c107a7a67b1
Responder Cookie               : 0xf70b111e391f79a9
Local Address                  : 10.2.1.1/500Remote Address                 : 10.1.1.1/4500Encryption Algorithm           : AES-256
Authentication Algorithm       : SHA2-256
Authentication Method          : Pre-Shared key DPD Capability                 : Yes DPD Enable                     : Yes  DPD Message Learning Enable    : YesDPD Message Format             : Seq-Notify-Hash 
Reference Counter              : 60
Flags                          : RD|ST|S
Remote Id Type                 : IP
Remote Id                      : 10.136.24.108DH Group                       : group14 NAT Traversal Version          : RFC3947 SA Remaining Soft Timeout (sec):100 SA Remaining Hard Timeout (sec):200------------------------------------------------
                                                                                
   Number of IKE SA : 2------------------------------------------------
                                                                                
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING

# 对等体间采用IKEv2协商IPSec时,显示建立的IKE SA和IPSec SA的详细信息。

<HUAWEI> display ike sa verbose remote 10.100.1.1
  Ike sa verbose information : ------------------------------------------------                                
Ike Sa phase   : 2                                                              
Establish Time : 2015-09-18 18:58:24                                            
PortCfg Index  : 0x4                                                            
IKE Peer Name  : ptest                                                          
Connection Id  : 117440514                                                      
Version        : v2                                                             
Flow VPN       :                                                                
Peer VPN       :                                                                
------------------------------------------------                                
Intiator Cookie         : 0x10dbb95cdb031726                                    
Responder Cookie        : 0x4ba2840bddcf74fd                                    
Local Address           : 10.2.1.1/500Remote Address          : 10.1.1.1/4500PFS                     : dh-group14 
Flags                   : RD|ST|A
------------------------------------------------                                
                                                                                
------------------------------------------------                                
Ike Sa phase   : 1                                                              
Establish Time : 2015-09-18 18:58:24                                            
PortCfg Index  : 0x4                                                            
IKE Peer Name  : ptest                                                          
Connection Id  : 117440513                                                      
Version        : v2 
Flow VPN       :                                                                
Peer VPN       :                                                                
------------------------------------------------                                
Intiator Cookie                        : 0x10dbb95cdb031726                                    
Responder Cookie                       : 0x4ba2840bddcf74fd                                    
Local Address                          : 10.2.1.1/500 Remote Address                         : 10.1.1.1/4500Encryption Algorithm                   : AES-256                                               
Authentication Method                  : Pre-Shared key                                        
Integrity Algorithm                    : hmac-sha2-256                                         
Prf Algorithm                          : hmac-sha2-256DPD Capability                         : Yes
DPD Enable                             : Yes Reference Counter                      : 1                                                     
Flags                                  : RD|ST|A 
Remote Id Type                          : IPRemote Id                              : 10.136.24.108DH Group                               : group2Re-authentication remaining time (sec) : -  IKEv2 fragmentation negotiation success: NoSA Remaining Soft Timeout (sec)        :100
SA Remaining Hard Timeout (sec)        :200------------------------------------------------                                
                                                                                
   Number of IKE SA : 2------------------------------------------------
                                                                                
  Flag Description:                                                             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT           
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP                
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING
表28-12 display ike sa verbose命令输出信息描述

项目

描述

Ike Sa phase

SA所属阶段:

  • 1:表示建立安全通道进行通信的阶段,此阶段建立IKE SA。

  • 2:表示协商安全服务的阶段,此阶段建立IPSec SA。

Establish Time

安全联盟的创建时间。

PortCfg Index

应用IPSec安全策略的接口索引。

IKE Peer Name

IKE对等体名称。可通过ike peer命令进行配置。

Connection Id

安全联盟的连接索引。

Version

IKE对等体开启的IKE协议版本:

  • v1:开启IKEv1协议。

  • v2:开启IKEv2协议。

  • v1v2:同时开启IKEv1和IKEv2协议。

可通过version命令进行配置。

Exchange Mode

IKEv1阶段1协商模式。

  • Main:主模式。

  • Aggressive:野蛮模式。

可通过exchange-mode命令进行配置。

Flow VPN

数据流所属VPN实例。

Peer VPN

IKE对等体所属VPN实例。

Intiator Cookie

IKE协商发起者的cookie。

Responder Cookie

IKE协商响应者的cookie。

Local Address

IPSec隧道的本端IP地址。可通过tunnel local命令进行配置。

Remote Address

IPSec隧道的对端IP地址和UDP端口号。可通过tunnel remote(手工方式IPSec安全策略视图)命令进行配置。

Encryption Algorithm

IKE安全提议使用的加密算法。可通过encryption-algorithm命令进行配置。

Authentication Algorithm

IKE安全提议使用的认证算法。可通过authentication-algorithm命令进行配置。

Authentication Method

IKE安全提议使用的认证方法。可通过authentication-method命令进行配置。

Integrity Algorithm

IKEv2协商IKE安全提议使用的完整性算法。可通过integrity-algorithm命令进行配置。

Prf Algorithm

IKEv2协商伪随机数产生函数的算法。可通过prf命令进行配置。

DPD Capability

DPD能力是否协商成功:

  • Yes

  • No

DPD Enable

是否开启DPD功能:

  • Yes

  • No

可通过dpd type命令进行配置。

DPD Message Learning Enable

是否开启DPD报文的载荷顺序自学习功能:

  • Yes

  • No

可通过dpd msg notify-hash-sequence learning命令进行配置。

DPD Message Format

DPD报文的载荷顺序。

  • Seq-Notify-Hash

  • Seq-Hash-Notify

Reference Counter

IKE SA协商出的IPSec SA数目。

Flags

安全联盟的状态:

  • RD--READY:表示此SA已建立成功。

  • ST--STAYALIVE:表示此端是通道协商发起方。

  • RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。

  • FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。

  • TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。

  • HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。

  • LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。

  • BCK--BACKED UP:表示备份状态。

  • M--ACTIVE:表示IPSec策略组状态为主状态。

  • S--STANDBY:表示IPSec策略组状态为备状态。

  • A--ALONE:表示IPSec策略组状态为不备份状态。

  • NEG--NEGOTIATING:表示SA正在协商中。

  • 字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。

PFS

IPSec隧道协商时使用完美的前向安全PFS(Perfect Forward Secrecy)功能。可通过pfs命令进行配置。

Remote Id Type

对端ID类型。可通过remote-id-type命令进行配置。

Remote Id

IKE协商时的对端ID。可通过remote-id命令进行配置。

DH Group

IKE安全提议使用的DH密钥交换参数。可通过dh命令进行配置。

NAT Traversal Version

NAT穿越版本:

  • draft-ietf-ipsec-nat-t-ike-00

  • draft-ietf-ipsec-nat-t-ike-02

  • RFC3947

Re-authentication remaining time (sec)

IKEv2发起重认证的剩余时间,单位为秒。

配置了IKEv2重认证的时间间隔,设备作为响应方时,不会主动发起IKEv2重认证,因此查看时IKEv2发起重认证的剩余时间显示为-。可以在发起方查看该时间。

IKEv2 fragmentation negotiation success

IKEv2报文分片是否协商成功:

  • Yes

  • No

SA Remaining Soft Timeout (sec)

IKE SA剩余的软存活时间,单位为秒。

SA Remaining Hard Timeout (sec)

IKE SA剩余的硬存活时间,单位为秒。

Number of IKE SA

IKE SA和IPSec SA的总数。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4667.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:324 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: