Question

¿Cómo I ver y verificar IKEv1 Phase1 o IKEv2 SA Parent?

Answer

Interfaz Web:

Navegue a la red > túneles IPSec
ikeINfo

El GREEN color junto a la información indica que la IKE SA (Asociación de seguridad) está arriba o establecida.
Si es RED , eso indica que está abajo o sin SA establecer.

Nombre: el nombre de la puerta de enlace configurada en Network > IKE Gateways
Puerta de enlace: el (número) generado ID internamente para identificar de forma única la IKE puerta de enlace
Rol: el rol de dispositivo local en la IKE negociación de fase 1
Init - Iniciador – El dispositivo local inició la IKE negociación
Resp - Respondedor – El dispositivo local es el respondedor en la IKE negociación, y el dispositivo del par inició la conexión
Modo – IKEv1 tiene dos modos de negociación
Principal – Modo principal, por lo general en caso de estática local y peer IP
Aggr - Agresor – Modo agresivo, por lo general en los casos en que cualquiera de los lados de la VPN tiene una dirección IP dinámica.
Algoritmo – El algoritmo de fase 1 negociado entre los pares.Los algoritmos para la negociación se seleccionan del IKE perfil criptográfico configurado bajo > IKEcripto de red.El formato es Método de autenticación/ DH Algoritmo de grupo/cifrado/Algoritmo de autenticación
Creado – La fecha y hora en que IKE SA se estableció el entre los pares
Expira: la fecha y hora en que SA expiran. Esto es de la vida útil de la clave configurada bajo IKE Crypto

CLI:

El comando "show vpn ike-sa" CLI da el resumen de la fase 1 y de los SAs de fase 2 asociados El comando
visualiza los SAs IKEv1 e IKEv2 por separado. Esto se puede utilizar para determinar qué túneles son IKEv1 y cuáles son IKEv2.

Opciones disponibles:

user@firewall> show vpn ike-sa 
> detail    Show the details of IKE SA status
> gateway   Show for given IKE gateway                 
> match     if the name contains the string or not     
  |         Pipe through a command
  <Enter>   Finish input

Salidas de muestra:

user@firewall> show vpn ike-sa detail gateway GW-1
IKE Gateway GW-1, ID 113 100.0.0.1              => 200.0.0.1             
  Current time: Apr.06 20:39:30

IKE Phase1 SA:
  Cookie:  A872B7F1E93B2EF2:E16469E4A7D3EA18  Init
        State:      Dying
        Mode:       Main
        Authentication:  PSK
        Proposal:   AES128-CBC/SHA1/DH2
        NAT:        Not detected
        Message ID: 0, phase 2: 0
        Phase 2 SA created : 3
        Created:    Apr.06 18:18:28, 2 hours 21 minutes 2 seconds ago
        Expires:    Apr.07 02:18:28

user@firewall> show vpn ike-sa gateway GW-1
IKEv1 phase-1 SAs
GwID/client IP  Peer-Address           Gateway Name           Role Mode Algorithm             Established     Expiration      V  ST Xt Phase2
--------------  ------------           ------------           ---- ---- ---------             -----------     ----------      -  -- -- ------
113             200.0.0.1              GW-1                   Init Main PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1  3      

Show IKEv1 IKE SA: Total 4 gateways found. 1 ike sa found.


IKEv1 phase-2 SAs
Gateway Name           TnID     Tunnel                 GwID/IP          Role Algorithm          SPI(in)  SPI(out) MsgID    ST Xt 
------------           ----     ------                 -------          ---- ---------          -------  -------- -----    -- -- 
GW-1                   780      TUN-1                  113              Init ESP/ DH2/tunl/SHA1 866BC8DD C490D71C 35772C5A 9  1   

Show IKEv1 phase2 SA: Total 4 gateways found. 1 ike sa found.


There is no IKEv2 SA found.

user@firewall> show vpn ike-sa

IKEv1 phase-1 SAs
GwID/client IP  Peer-Address           Gateway Name           Role Mode Algorithm             Established     Expiration      V  ST Xt Phase2
--------------  ------------           ------------           ---- ---- ---------             -----------     ----------      -  -- -- ------
113             200.0.0.1              GW-1                   Init Main PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1  2      
114             200.0.0.2              GW-2                   Resp Main PSK/ DH2/A128/SHA1    Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1  2      
117             10.129.72.42           GW-5                   Resp Aggr PSK/ DH2/A128/SHA1    Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1  2      
118             200.0.0.6              GW-6                   Init Aggr PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1  2      

Show IKEv1 IKE SA: Total 4 gateways found. 4 ike sa found.


IKEv1 phase-2 SAs
Gateway Name           TnID     Tunnel                 GwID/IP          Role Algorithm          SPI(in)  SPI(out) MsgID    ST Xt 
------------           ----     ------                 -------          ---- ---------          -------  -------- -----    -- -- 
GW-1                   780      TUN-1                  113              Init ESP/ DH2/tunl/SHA1 ABB046B6 8C6CC39A E5367FE6 9  1   
GW-2                   781      TUN-2                  114              Resp ESP/ DH2/tunl/SHA1 E2183BF3 B5F69A27 1C94E7B9 9  1   
GW-5                   784      TUN-5                  117              Resp ESP/ DH2/tunl/SHA1 CD54CC98 FCB719FB 93BCB696 9  1   
GW-6                   785      TUN-6                  118              Init ESP/ DH2/tunl/SHA1 8C8D8DF8 869F14EE 4B9D2EC2 9  1   

Show IKEv1 phase2 SA: Total 4 gateways found. 4 ike sa found.



IKEv2 SAs
Gateway ID      Peer-Address           Gateway Name           Role SN       Algorithm             Established     Expiration      Xt Child  ST                  
----------      ------------           ------------           ---- --       ---------             -----------     ----------      -- -----  --                  
115             200.0.0.3              GW-3                   Init 3        PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 0  1      Established          
116             200.0.0.4              GW-4                   Resp 4        PSK/ DH2/A128/SHA1    Apr.06 18:18:32 Apr.07 02:18:32 0  1      Established          

IKEv2 IPSec Child SAs
Gateway Name           TnID     Tunnel                    ID       Parent   Role SPI(in)  SPI(out) MsgID    ST              
------------           ----     ------                    --       ------   ---- -------  -------- -----    --              
GW-3                   782      TUN-3                     295      3        Init C701F21D D2623952 00000079 Mature           
GW-4                   783      TUN-4                     294      4        Resp F6B7115C C13629DC 0000022D Mature           

Show IKEv2 SA: Total 2 gateways found. 2 ike sa found.

Explicación de las columnas clave para IKEv1 Phase-1 SAs:

GwID: el (número) generado ID internamente para identificar de forma única la IKE puerta de enlace.
Peer-Address – La VPN dirección del dispositivo del mismo nivel IP
Nombre de puerta de enlace: el nombre de la puerta de enlace configurada en Puertas de enlace de > IKEde red
Rol: el rol de dispositivo local en la IKE negociación de fase 1
Init - Iniciador – El dispositivo local inició la IKE negociación
Resp - Respondedor – El dispositivo local es el respondedor en la IKE negociación, y el dispositivo del par inició la conexión
Modo – IKEv1 tiene dos modos de negociación
Principal – Modo principal, por lo general en caso de estática local y peer IP
Aggr - Agresor – Modo agresivo, por lo general en los casos en que cualquiera de los lados de la VPN tiene una dirección IP dinámica.
Algoritmo – El algoritmo de fase 1 negociado entre los pares.Los algoritmos para la negociación se seleccionan del IKE perfil criptográfico configurado bajo > IKEcripto de red. El formato es Método de autenticación/ DH Algoritmo de grupo/cifrado/Algoritmo de autenticación

Ejemplo:
PSK/ DH2 / A128 / SHA1:
PSK – Significa clave pre-compartida. Este es el método de autenticación (puede ser clave o certificado previamente compartido).
DH2 –El DH grupo (Deffie-Hellman) negoció
el algoritmo de cifrado A128 – aes-128-cbc negociado
SHA1 – Algoritmo de autenticación negociado

Establecido – La fecha y hora en que se estableció entre IKE SA la
expiración de los pares – La fecha y hora en que SA expira. Esto es de la vida útil de la clave configurada bajo IKE Crypto

Explicación de las columnas clave para IKEv1 Phase-2 SAs:

Esto muestra las SAs de fase 2 asociadas con las SAs de fase 1

Nombre de puerta de enlace: el nombre de la puerta de enlace configurada en Puertas de enlace de > IKEde red
TnID - Túnel ID – El (número) generado ID internamente para identificar de forma única el túnel
Túnel – El nombre del túnel configurado bajo túneles ipsec de la red >
GwID: el (número) generado ID internamente para identificar de forma única la IKE puerta de enlace.
Rol: el rol de dispositivo local en la IKE negociación de fase 2
Init - Iniciador – El dispositivo local inició la IKE negociación
Resp - Respondedor – El dispositivo local es el respondedor en la negociación, el IKE dispositivo del par inició la conexión
Algoritmo – El algoritmo de fase 2 negociado entre los pares. Los algoritmos para la negociación se seleccionan del perfil criptográfico IPSec configurado bajo network > IPSec Crypto.El formato es Protocolo IPSec/ DH Grupo/Modo/Algoritmo de autenticación

Ejemplo:
ESP/ DH2 / tunl / SHA1:
ESP – Encapsulación de carga útil de seguridad. Este es el Protocolo IPSec. (Puede ser ESP AH o)
tunl – Esto siempre es tunnl, que representa el modo túnel.
SHA1 – Algoritmo de autenticación negociado

SPI (in): el índice de parámetros de seguridad ( SPI ) para indicar el número de SPI recepción. Esto es igual al SPI (out)
SPI (out) del par – el índice del parámetro de seguridad ( ) para indicar el SPI número de SPI transmisión. Esto es igual a los pares SPI (in)

Explicación de las columnas clave para los SAs IKEv2:

Puerta de enlace: ID el (número) generado ID internamente para identificar de forma única la IKE puerta de enlace
Peer-Address – La VPN dirección del dispositivo del mismo nivel IP
Nombre de puerta de enlace: el nombre de la puerta de enlace configurada en Puertas de enlace de > IKEde red
Rol: el rol de dispositivo local en la IKE SA negociación
Init - Iniciador – El dispositivo local inició la IKE negociación
Resp - Respondedor – El dispositivo local es el respondedor en la negociación, el IKE dispositivo del par inició la conexión
Algoritmo – El algoritmo phase-1 negociado entre los pares
SN– Número de serie del IkEv2 SA utilizado en asociación con el SA niño. Los algoritmos para la negociación se seleccionan del IKE perfil criptográfico configurado bajo > IKEcripto de red. El formato es Método de autenticación/ DH Algoritmo de grupo/cifrado/Algoritmo de autenticación

Ejemplo:
PSK/ DH2 / A128 / SHA1
PSK : – Significa clave pre-compartida. Este es el método authentication (puede ser clave o certificado previamente compartido).
DH2 – El DH grupo (Deffie-Hellman) negoció
el algoritmo de cifrado A128 – aes-128-cbc negociado
SHA1 – Algoritmo de autenticación negociado Establecido
– La fecha y hora en que se estableció entre los IKE SA pares.
Expiración: la fecha y hora en que SA expira. Esto es de la vida útil de la clave configurada bajo IKE Crypto

Explicación de las columnas clave para los SAs secundarios IKEv2 IPSec:

Nombre del gateway – El nombre del gateway configurado bajo Network > IKEGateways
TnID - TunnelID – El (número) generado ID internamente para identificar de forma única el
túnel – El nombre del túnel configurado bajo red >primario de los túneles IPSec
– El IKEv2 primario , el campo de SA SN IKEv2 SA .
Rol – El rol de dispositivo local en la IKE negociación secundaria SA
Init - Iniciador – El dispositivo local inició la IKE negociación
Resp - Respondedor – El dispositivo local es el respondedor en la negociación, el IKE dispositivo del mismo nivel inició el
algoritmo de conexión – El algoritmo de fase-2 negociado entre los pares
SPI (in) – El índice de parámetros de seguridad ( ) para indicar el SPI número de SPI recepción. Esto es igual al SPI (out)
SPI (out) del par – el índice del parámetro de seguridad ( ) para indicar el SPI número de SPI transmisión. Esto es igual a los pares SPI (in)