Wie I können Sie IKEv1 Phase1 oder IKEv2 Parent anzeigen und SA verifizieren?
48726
Created On 04/07/19 04:52 AM - Last Modified 03/26/21 17:35 PM
Question
Wie I können IKEv1 Phase1 oder IKEv2 Parent angezeigt und überprüft SA werden?
Answer
Web-Schnittstelle:
Navigieren zu Netzwerk > IPSec-TunnelDie GREEN Farbe neben Info zeigt IKE an, dass die SA (Sicherheitszuordnung) eingerichtet oder eingerichtet wurde.
Wenn dies RED der Fall ist, gibt dies an, dass die SA nicht festgelegt ist.
- Name – Der Name des Gateways, das unter Netzwerk->-Gateways konfiguriert ist IKE
- Gateway – Die intern generierte (Nummer), ID um das Gateway eindeutig zu identifizieren IKE
- Rolle – Die Rolle des lokalen Geräts in der IKE Phase-1-Aushandlung
- Init - Initiator – Das lokale Gerät hat die IKE Aushandlung initiiert
- Resp - Responder – Das lokale Gerät ist der Responder in der IKE Aushandlung, und das Peer-Gerät hat die Verbindung initiiert.
- Modus – IKEv1 hat zwei Verhandlungsmodi
- Main – Hauptmodus, in der Regel bei statischen lokalen und Peer IP
- Aggr - Aggresive – Aggressiver Modus, in der Regel in Fällen, in denen eine der Seiten des eine VPN dynamische IP Adresse hat.
- Algorithmus – Der Phase-1-Algorithmus, der zwischen den Peers ausgehandelt wird.Die Algorithmen für die Aushandlung werden aus dem IKE Unternetzwerk-> IKECryptokonfigurierten Kryptoprofil ausgewählt. Das Format ist Authentifizierungsmethode/ DH Gruppe/Verschlüsselungsalgorithmus/Authentifizierungsalgorithmus
- Erstellt – Das Datum und die Uhrzeit, zu der die IKE SA zwischen den Peers festgelegt wurde
- Abläuft – Das Datum und die Uhrzeit, zu der der SA abläuft. Dies stammt aus der Schlüssellebensdauer, die unter Crypto konfiguriert ist. IKE
CLI:
Der Befehl "show vpn ike-sa" CLI gibt die Zusammenfassung der Phase-1 und der zugehörigen Phase-2-SAs Der Befehl zeigt dieIKEv1- und IKEv2-SAs separat an. Dies kann verwendet werden, um zu bestimmen, welche Tunnel IKEv1 und welche IKEv2 sind.
Verfügbare Optionen:
user@firewall> show vpn ike-sa > detail Show the details of IKE SA status > gateway Show for given IKE gateway > match if the name contains the string or not | Pipe through a command <Enter> Finish input
Beispielausgänge:
user@firewall> show vpn ike-sa detail gateway GW-1
IKE Gateway GW-1, ID 113 100.0.0.1 => 200.0.0.1
Current time: Apr.06 20:39:30
IKE Phase1 SA:
Cookie: A872B7F1E93B2EF2:E16469E4A7D3EA18 Init
State: Dying
Mode: Main
Authentication: PSK
Proposal: AES128-CBC/SHA1/DH2
NAT: Not detected
Message ID: 0, phase 2: 0
Phase 2 SA created : 3
Created: Apr.06 18:18:28, 2 hours 21 minutes 2 seconds ago
Expires: Apr.07 02:18:28
user@firewall> show vpn ike-sa gateway GW-1
IKEv1 phase-1 SAs
GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2
-------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------
113 200.0.0.1 GW-1 Init Main PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 3
Show IKEv1 IKE SA: Total 4 gateways found. 1 ike sa found.
IKEv1 phase-2 SAs
Gateway Name TnID Tunnel GwID/IP Role Algorithm SPI(in) SPI(out) MsgID ST Xt
------------ ---- ------ ------- ---- --------- ------- -------- ----- -- --
GW-1 780 TUN-1 113 Init ESP/ DH2/tunl/SHA1 866BC8DD C490D71C 35772C5A 9 1
Show IKEv1 phase2 SA: Total 4 gateways found. 1 ike sa found.
There is no IKEv2 SA found. user@firewall> show vpn ike-sa IKEv1 phase-1 SAs GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 113 200.0.0.1 GW-1 Init Main PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 2 114 200.0.0.2 GW-2 Resp Main PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1 2 117 10.129.72.42 GW-5 Resp Aggr PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1 2 118 200.0.0.6 GW-6 Init Aggr PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 2 Show IKEv1 IKE SA: Total 4 gateways found. 4 ike sa found. IKEv1 phase-2 SAs Gateway Name TnID Tunnel GwID/IP Role Algorithm SPI(in) SPI(out) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- GW-1 780 TUN-1 113 Init ESP/ DH2/tunl/SHA1 ABB046B6 8C6CC39A E5367FE6 9 1 GW-2 781 TUN-2 114 Resp ESP/ DH2/tunl/SHA1 E2183BF3 B5F69A27 1C94E7B9 9 1 GW-5 784 TUN-5 117 Resp ESP/ DH2/tunl/SHA1 CD54CC98 FCB719FB 93BCB696 9 1 GW-6 785 TUN-6 118 Init ESP/ DH2/tunl/SHA1 8C8D8DF8 869F14EE 4B9D2EC2 9 1 Show IKEv1 phase2 SA: Total 4 gateways found. 4 ike sa found. IKEv2 SAs Gateway ID Peer-Address Gateway Name Role SN Algorithm Established Expiration Xt Child ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 115 200.0.0.3 GW-3 Init 3 PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 0 1 Established 116 200.0.0.4 GW-4 Resp 4 PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 0 1 Established IKEv2 IPSec Child SAs Gateway Name TnID Tunnel ID Parent Role SPI(in) SPI(out) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- GW-3 782 TUN-3 295 3 Init C701F21D D2623952 00000079 Mature GW-4 783 TUN-4 294 4 Resp F6B7115C C13629DC 0000022D Mature Show IKEv2 SA: Total 2 gateways found. 2 ike sa found.
Erläuterung der wichtigsten Spalten für IKEv1 Phase-1-SAs:
- GwID – Die intern generierte (Anzahl), ID um das Gateway eindeutig zu IKE identifizieren.
- Peer-Adresse – Die VPN Peer-Device-Adresse IP
- Gatewayname – Der Name des IKEGateways, das unter Netzwerk- > Gateways konfiguriert ist
- Rolle – Die Rolle des lokalen Geräts in der IKE Phase-1-Aushandlung
- Init - Initiator – Das lokale Gerät hat die IKE Aushandlung initiiert
- Resp - Responder – Das lokale Gerät ist der Responder in der IKE Aushandlung, und das Peer-Gerät hat die Verbindung initiiert.
- Modus – IKEv1 hat zwei Verhandlungsmodi
- Main – Hauptmodus, in der Regel bei statischen lokalen und Peer IP
- Aggr - Aggresive – Aggressiver Modus, in der Regel in Fällen, in denen eine der Seiten des eine VPN dynamische IP Adresse hat.
- Algorithmus – Der Phase-1-Algorithmus, der zwischen den Peers ausgehandelt wird.Die Algorithmen für die Aushandlung werden aus dem IKE Unternetzwerk-> IKECryptokonfigurierten Kryptoprofil ausgewählt. Das Format ist Authentifizierungsmethode/ DH Gruppe/Verschlüsselungsalgorithmus/Authentifizierungsalgorithmus
Beispiel:
PSK/ DH2/A128/SHA1:
PSK – Steht für Pre-Shared Key. Dies ist die Authentifizierungsmethode (es kann ein vorinstallierter Schlüssel oder Zertifikat sein).
DH2 – Die DH (Deffie-Hellman) Gruppe verhandelte
A128 – aes-128-cbc Verschlüsselungsalgorithmus ausgehandelt
SHA1 – Authentifizierungsalgorithmus ausgehandelt
Etabliert – Das Datum und die Uhrzeit, wenn die IKE SA zwischen den Peers
Ablauf festgelegt wurde – Das Datum und die Uhrzeit, wenn die SA abläuft. Dies ist von Schlüssellebensdauer unter Crypto konfiguriert IKE
Erläuterung der wichtigsten Spalten für IKEv1 Phase-2-SAs:
Hier werden die Phase-2-SAs angezeigt, die den Phase-1-SAs zugeordnet sind.- Gatewayname – Der Name des IKEGateways, das unter Netzwerk- > Gateways konfiguriert ist
- TnID - Tunnel ID – Die intern generierte (Nummer), ID um den Tunnel eindeutig zu identifizieren
- Tunnel – Der Name des Tunnels, der unter Netzwerk > IPSec-Tunnel konfiguriert ist
- GwID – Die intern generierte (Anzahl), ID um das Gateway eindeutig zu IKE identifizieren.
- Rolle – Die Rolle des lokalen Geräts in der IKE Phase-2-Aushandlung
- Init - Initiator – Das lokale Gerät hat die IKE Aushandlung initiiert
- Resp - Responder – Das lokale Gerät ist der Responder in der IKE Aushandlung, Peer-Gerät initiierte die Verbindung
- Algorithmus – Der Phase-2-Algorithmus, der zwischen den Peers ausgehandelt wird. Die Aushandlungsalgorithmen werden aus dem IPSec-Kryptoprofil ausgewählt, das unter Network > IPSec Cryptokonfiguriert ist.Das Format ist IPSec-Protokoll/ DH Gruppe/Modus/Authentifizierungsalgorithmus
Beispiel:
ESP/ DH2/tunl/SHA1:
ESP – Einkapseln der Sicherheitsnutzlast. Dies ist das IPSec-Protokoll. (Es kann ESP sein oder ) AH
tunl – Dies ist immer tunnl, die Tunnel-Modus darstellt.
SHA1 – Authentifizierungsalgorithmus ausgehandelt
SPI (in) – Der Sicherheitsparameterindex ( ), um die SPI SPI Empfangsnummer anzugeben. Dies entspricht der SPI (Out)
SPI (Out) des Peers – Der Sicherheitsparameterindex ( ), um die SPI SPI Übertragungsnummer anzugeben. Dies entspricht dem des Peers SPI (in)
Erläuterung der wichtigsten Spalten für IKEv2-SAs:
- GatewayID – Die intern generierte (Nummer), ID um das Gateway eindeutig zu identifizieren IKE
- Peer-Adresse – Die VPN Peer-Device-Adresse IP
- Gatewayname – Der Name des IKEGateways, das unter Netzwerk- > Gateways konfiguriert ist
- Rolle – Die lokale Geräterolle in der IKE SA Aushandlung
- Init - Initiator – Das lokale Gerät hat die IKE Aushandlung initiiert
- Resp - Responder – Das lokale Gerät ist der Responder in der IKE Aushandlung, Peer-Gerät initiierte die Verbindung
- Algorithmus – Der Phase-1-Algorithmus, der zwischen den Peers ausgehandelt wird
- SN– Seriennummer des IkEv2, SA das in Verbindung mit dem Kind verwendet SA wird. Die Algorithmen für die Aushandlung werden aus dem IKE Unternetzwerk-> IKECryptokonfigurierten Kryptoprofil ausgewählt. Das Format ist Authentifizierungsmethode/ DH Gruppe/Verschlüsselungsalgorithmus/Authentifizierungsalgorithmus
Beispiel:
PSK/ DH2/A128/SHA1 :
PSK – Steht für Pre-Shared Key. Dies ist die Authentifizierungsmethode (es kann ein vorinstallierter Schlüssel oder Zertifikat sein).
DH2 – Die DH (Deffie-Hellman) Gruppe verhandelte
A128 – aes-128-cbc Verschlüsselungsalgorithmus verhandelt
SHA1 – Authentifizierungsalgorithmus ausgehandelt
Etabliert – Das Datum und die Uhrzeit, wenn die zwischen den Peers etabliert IKE SA wurde.
Ablauf – Das Datum und die Uhrzeit, zu der der SA abläuft. Dies ist von Schlüssellebensdauer unter Crypto konfiguriert IKE
Erläuterung der wichtigsten Spalten für IKEv2 IPSec Child SAs:
Gatewayname – Der Name des IKEGateways,das unter Network > GatewaysTnID – TunnelID konfiguriert ist – Die intern generierte (Nummer), um ID den
Tunneltunnel eindeutig zu identifizieren – Der Name des Tunnels, der unter Network > IPSec Tunnels
Parent – Das übergeordnete IKEv2 , das Feld von SA SN IKEv2 konfiguriert SA ist.
Rolle – Die lokale Geräterolle in der IKE untergeordneten SA Aushandlung
Init - Initiator – Das lokale Gerät initiierte die IKE Aushandlung
Resp - Responder – Das lokale Gerät ist der Responder in der IKE Aushandlung, das Peer-Gerät initiierte den
Verbindungsalgorithmus – Der Phase-2-Algorithmus, der zwischen den Peers
SPI (in) – Der Sicherheitsparameterindex ( ) ausgehandelt wurde, um die SPI SPI Empfangsnummer anzugeben. Dies entspricht der SPI (Out)
SPI (Out) des Peers – Der Sicherheitsparameterindex ( ), um die SPI SPI Übertragungsnummer anzugeben. Dies entspricht dem des Peers SPI (in)