Question

Comment I visualiser et vérifier IKEv1 Phase1 ou IKEv2 Parent SA ?

Answer

Interface Web:

Naviguer vers le réseau > tunnels IPSec La
ikeINfo (ikeINfo)

couleur à côté GREEN IKE d’Info indique que SA la (Security Association) est en place ou établie.
Si RED c’est le cas, cela indique SA le est vers le bas ou non établi.

Nom – Le nom de la passerelle configurée sous les passerelles > IKE réseau
Passerelle – Le (nombre) généré à ID l’interne pour identifier de façon unique la passerelle IKE
Rôle – Le rôle des dispositifs locaux dans la IKE négociation de la phase 1
Init - Initiateur – Le dispositif local a lancé la IKE négociation
Resp - Répondeur – L’appareil local est le répondeur dans la IKE négociation, et l’appareil pair a lancé la connexion
Mode – IKEv1 a deux modes de négociation
Principal – Mode principal, généralement en cas de statique locale et pair IP
Aggr - Aggresive - Mode agressif, généralement dans les cas où l’un ou l’autre des côtés de la VPN a une adresse IP dynamique.
Algorithme – L’algorithme de phase 1 négocié entre pairs.Les algorithmes de négociation sont choisis à partir du IKE profil crypto configuré sous Network > IKE Crypto.Le format est Méthode d’authentification/ DH Algorithme de groupe/cryptage/Algorithme d’authentification
Créé – La date et l’heure à laquelle IKE SA l’établissement entre les pairs
Expire – La date et l’heure à laquelle SA le expire. C’est à partir de la durée de vie clé configurée IKE sous Crypto

CLI:

La commande « show vpn ike-sa » donne le résumé de la phase 1 et des CLI AS de phase 2 associées
La commande affiche les AS IKEv1 et IKEv2 séparément. Cela peut être utilisé pour déterminer quels tunnels sont IKEv1 et qui sont IKEv2.

Options disponibles:

user@firewall> show vpn ike-sa 
> detail    Show the details of IKE SA status
> gateway   Show for given IKE gateway                 
> match     if the name contains the string or not     
  |         Pipe through a command
  <Enter>   Finish input

Exemples de sorties :

user@firewall> show vpn ike-sa detail gateway GW-1
IKE Gateway GW-1, ID 113 100.0.0.1              => 200.0.0.1             
  Current time: Apr.06 20:39:30

IKE Phase1 SA:
  Cookie:  A872B7F1E93B2EF2:E16469E4A7D3EA18  Init
        State:      Dying
        Mode:       Main
        Authentication:  PSK
        Proposal:   AES128-CBC/SHA1/DH2
        NAT:        Not detected
        Message ID: 0, phase 2: 0
        Phase 2 SA created : 3
        Created:    Apr.06 18:18:28, 2 hours 21 minutes 2 seconds ago
        Expires:    Apr.07 02:18:28

user@firewall> show vpn ike-sa gateway GW-1
IKEv1 phase-1 SAs
GwID/client IP  Peer-Address           Gateway Name           Role Mode Algorithm             Established     Expiration      V  ST Xt Phase2
--------------  ------------           ------------           ---- ---- ---------             -----------     ----------      -  -- -- ------
113             200.0.0.1              GW-1                   Init Main PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1  3      

Show IKEv1 IKE SA: Total 4 gateways found. 1 ike sa found.


IKEv1 phase-2 SAs
Gateway Name           TnID     Tunnel                 GwID/IP          Role Algorithm          SPI(in)  SPI(out) MsgID    ST Xt 
------------           ----     ------                 -------          ---- ---------          -------  -------- -----    -- -- 
GW-1                   780      TUN-1                  113              Init ESP/ DH2/tunl/SHA1 866BC8DD C490D71C 35772C5A 9  1   

Show IKEv1 phase2 SA: Total 4 gateways found. 1 ike sa found.


There is no IKEv2 SA found.

user@firewall> show vpn ike-sa

IKEv1 phase-1 SAs
GwID/client IP  Peer-Address           Gateway Name           Role Mode Algorithm             Established     Expiration      V  ST Xt Phase2
--------------  ------------           ------------           ---- ---- ---------             -----------     ----------      -  -- -- ------
113             200.0.0.1              GW-1                   Init Main PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1  2      
114             200.0.0.2              GW-2                   Resp Main PSK/ DH2/A128/SHA1    Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1  2      
117             10.129.72.42           GW-5                   Resp Aggr PSK/ DH2/A128/SHA1    Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1  2      
118             200.0.0.6              GW-6                   Init Aggr PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1  2      

Show IKEv1 IKE SA: Total 4 gateways found. 4 ike sa found.


IKEv1 phase-2 SAs
Gateway Name           TnID     Tunnel                 GwID/IP          Role Algorithm          SPI(in)  SPI(out) MsgID    ST Xt 
------------           ----     ------                 -------          ---- ---------          -------  -------- -----    -- -- 
GW-1                   780      TUN-1                  113              Init ESP/ DH2/tunl/SHA1 ABB046B6 8C6CC39A E5367FE6 9  1   
GW-2                   781      TUN-2                  114              Resp ESP/ DH2/tunl/SHA1 E2183BF3 B5F69A27 1C94E7B9 9  1   
GW-5                   784      TUN-5                  117              Resp ESP/ DH2/tunl/SHA1 CD54CC98 FCB719FB 93BCB696 9  1   
GW-6                   785      TUN-6                  118              Init ESP/ DH2/tunl/SHA1 8C8D8DF8 869F14EE 4B9D2EC2 9  1   

Show IKEv1 phase2 SA: Total 4 gateways found. 4 ike sa found.



IKEv2 SAs
Gateway ID      Peer-Address           Gateway Name           Role SN       Algorithm             Established     Expiration      Xt Child  ST                  
----------      ------------           ------------           ---- --       ---------             -----------     ----------      -- -----  --                  
115             200.0.0.3              GW-3                   Init 3        PSK/ DH2/A128/SHA1    Apr.06 18:18:28 Apr.07 02:18:28 0  1      Established          
116             200.0.0.4              GW-4                   Resp 4        PSK/ DH2/A128/SHA1    Apr.06 18:18:32 Apr.07 02:18:32 0  1      Established          

IKEv2 IPSec Child SAs
Gateway Name           TnID     Tunnel                    ID       Parent   Role SPI(in)  SPI(out) MsgID    ST              
------------           ----     ------                    --       ------   ---- -------  -------- -----    --              
GW-3                   782      TUN-3                     295      3        Init C701F21D D2623952 00000079 Mature           
GW-4                   783      TUN-4                     294      4        Resp F6B7115C C13629DC 0000022D Mature           

Show IKEv2 SA: Total 2 gateways found. 2 ike sa found.

Explication des colonnes clés pour les AS de phase 1 de l’IKEv1 :

GwID – Le (nombre) généré à ID l’interne pour identifier uniquement la IKE passerelle.
Peer-Address – L’adresse VPN de l’appareil IP par les pairs
Nom de la passerelle – Le nom de la passerelle configurée sous les IKEpasserelles > réseau
Rôle – Le rôle des dispositifs locaux dans la IKE négociation de la phase 1
Init - Initiateur – Le dispositif local a lancé la IKE négociation
Resp - Répondeur – L’appareil local est le répondeur dans la IKE négociation, et l’appareil pair a lancé la connexion
Mode – IKEv1 a deux modes de négociation
Principal – Mode principal, généralement en cas de statique locale et pair IP
Aggr - Aggresive - Mode agressif, généralement dans les cas où l’un ou l’autre des côtés de la VPN a une adresse IP dynamique.
Algorithme – L’algorithme de phase 1 négocié entre pairs.Les algorithmes de négociation sont choisis à partir du IKE profil crypto configuré sous Network > IKE Crypto. Le format est Méthode d’authentification/ DH Algorithme de groupe/cryptage/Algorithme d’authentification

Exemple :
PSK/ DH2/A128/SHA1 :
PSK – Signifie clé pré-partagée. Il s’agit de la méthode d’authentification (il peut s’agir d’une clé ou d’un certificat pré-partagé).
DH2 –Le DH groupe (Deffie-Hellman)
a négocié A128 – algorithme de cryptage aes-128-cbc
négocié SHA1 – Algorithme d’authentification

négocié Établi – La date et l’heure à laquelle l’expiration a été établie entre IKE SA les
pairs – La date et l’heure à SA laquelle l’expire. Il s’agit d’une durée de vie clé configurée IKE sous Crypto

Explication des colonnes clés pour les AS de phase 2 de l’IKEv1 :

Cela montre les AS de phase 2 associées aux AS de phase 1

Nom de la passerelle – Le nom de la passerelle configurée sous les IKEpasserelles > réseau
TnID - Tunnel ID – Le (nombre) généré à ID l’interne pour identifier uniquement le tunnel
Tunnel – Le nom du tunnel configuré sous network > tunnels IPSec
GwID – Le (nombre) généré à ID l’interne pour identifier uniquement la IKE passerelle.
Rôle – Le rôle des dispositifs locaux dans la IKE négociation de la phase 2
Init - Initiateur – Le dispositif local a lancé la IKE négociation
Resp - Répondeur – L’appareil local est l’intervenant dans la IKE négociation, dispositif par les pairs a lancé la connexion
Algorithme – L’algorithme de phase 2 négocié entre les pairs. Les algorithmes de négociation sont choisis à partir du profil crypto IPSec configuré sous Network > IPSec Crypto.Le format est IPSec Protocol/ DH Group/Mode/Authentication Algorithm

Exemple :
ESP/ DH2/tunl/SHA1 :
ESP – Encapsulant la charge utile de sécurité. C’est le protocole IPSec. (Il peut être ESP ou AH )
tunl - C’est toujours tunnl, représentant le mode Tunnel.
SHA1 – Algorithme d’authentification

SPI négocié (in) – L’indice de paramètres de sécurité ( SPI ) pour indiquer le nombre de SPI recevoir. Ceci est égal à celui du pair SPI (out)
SPI (out) – L’indice de paramètres de sécurité ( SPI ) pour indiquer le nombre de SPI transmission. C’est égal à celui SPI du pair (in)

Explication des colonnes clés pour IKEv2 SAs:

PasserelleID – Le (nombre) généré à ID l’interne pour identifier de façon unique la passerelle IKE
Peer-Address – L’adresse VPN de l’appareil IP par les pairs
Nom de la passerelle – Le nom de la passerelle configurée sous les IKEpasserelles > réseau
Rôle – Le rôle des dispositifs locaux dans la IKE SA négociation
Init - Initiateur – Le dispositif local a lancé la IKE négociation
Resp - Répondeur – L’appareil local est l’intervenant dans la IKE négociation, dispositif par les pairs a lancé la connexion
Algorithme – L’algorithme de phase 1 négocié entre pairs
SN– Numéro de série de l’IkEv2 SA utilisé en association avec l’enfant SA . Les algorithmes de négociation sont choisis à partir du IKE profil crypto configuré sous Network > IKE Crypto. Le format est Méthode d’authentification/ DH Algorithme de groupe/cryptage/Algorithme d’authentification

Exemple :
PSK/ DH2/A128/SHA1 :
PSK – Signifie clé pré-partagée. Il s’agit de la méthode d’authentification (il peut s’agir d’une clé ou d’un certificat pré-partagé).
DH2 – Le DH groupe (Deffie-Hellman) a négocié
A128 – algorithme de cryptage aes-128-cbc
négocié SHA1 – Algorithme d’authentification
négocié Établi – La date et l’heure où le a IKE SA été établi entre les pairs.
Expiration – La date et l’heure à laquelle SA le expire. Il s’agit d’une durée de vie clé configurée IKE sous Crypto

Explication des colonnes clés pour IKEv2 IPSec Child SAs:

Nom de la passerelle – Le nom de la passerelle configurée sous Network > IKE Gateways
TnID - Tunnel ID – Le (nombre) généré à l’interne pour identifier de façon unique le ID
tunnel Tunnel – Le nom du tunnel configuré sous Réseau > IPSec Tunnels
Parent – La société mère IKEv2 , le SA domaine SN d’IKEv2 SA .
Rôle – Le rôle de l’appareil local dans la IKE négociation enfant SA
Init - Initiateur – L’appareil local a lancé IKE la négociation
Resp - Répondeur – L’appareil local est le répondeur dans la négociation, dispositif pair a lancé l’algorithme IKE de
connexion - L’algorithme de phase-2 négocié entre les
SPI pairs (in) - L’indice de paramètres de sécurité ( SPI ) pour indiquer le nombre de SPI recevoir. Ceci est égal à celui du pair SPI (out)
SPI (out) – L’indice de paramètres de sécurité ( SPI ) pour indiquer le nombre de SPI transmission. C’est égal à celui SPI du pair (in)

Comment afficher I et vérifier IKEv1 Phase1 ou IKEv2 Parent SA ?