如何 I 查看和验证IKEv1阶段1或IKEv2父级 SA ?
48641
Created On 04/07/19 04:52 AM - Last Modified 03/26/21 17:35 PM
Question
如何 I 查看和验证IKEv1阶段1或IKEv2父级 SA ?
Answer
网络界面:
导航到 网络> IPSec 隧道GREEN 信息旁边的颜色 IKE 表示 SA (安全协会)已建立或建立。
如果是 RED ,则表示 SA 已关闭或未建立。
- 名称–在 网络 >网关下配置的 IKE 网关名称
- 网关–内部生成的(数字) ID 以唯一识别 IKE 网关
- 角色–第 IKE 1 阶段谈判中的本地设备角色
- Init-发起人–本地设备启动了 IKE 谈判
- 回复-响应者–本地设备是谈判中的响应者 IKE ,对等设备启动了连接
- 模式–IKEv1有两种谈判模式
- 主–主模式,通常在静态本地和同行的情况下 IP
- Aggr-凝性-侵略性模式,通常情况下,其中任何一方 VPN 都有一个动态 IP 地址。
- 算法–同行之间协商的第 1 阶段算法。谈判算法是从 IKE 网络 >加密配置的加密配置文件 IKE 中挑选出来的。格式为身份验证方法/ DH 组/加密算法/身份验证算法
- 创建–同行之间建立的日期和时间 IKE SA
- 过期–到期日期和时间 SA 。 这是从 IKE 加密配置的关键寿命
CLI:
"显示 vpn ike-sa" CLI 命令提供了第 1 阶段和相关阶段 2 SAs 的摘要命令分别显示 IKEv1 和 IKEv2 SA。 这可用于确定哪些隧道是IKEv1,哪些是IKEv2。
可用选项:
user@firewall> show vpn ike-sa > detail Show the details of IKE SA status > gateway Show for given IKE gateway > match if the name contains the string or not | Pipe through a command <Enter> Finish input
样本输出:
user@firewall> show vpn ike-sa detail gateway GW-1
IKE Gateway GW-1, ID 113 100.0.0.1 => 200.0.0.1
Current time: Apr.06 20:39:30
IKE Phase1 SA:
Cookie: A872B7F1E93B2EF2:E16469E4A7D3EA18 Init
State: Dying
Mode: Main
Authentication: PSK
Proposal: AES128-CBC/SHA1/DH2
NAT: Not detected
Message ID: 0, phase 2: 0
Phase 2 SA created : 3
Created: Apr.06 18:18:28, 2 hours 21 minutes 2 seconds ago
Expires: Apr.07 02:18:28
user@firewall> show vpn ike-sa gateway GW-1
IKEv1 phase-1 SAs
GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2
-------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------
113 200.0.0.1 GW-1 Init Main PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 3
Show IKEv1 IKE SA: Total 4 gateways found. 1 ike sa found.
IKEv1 phase-2 SAs
Gateway Name TnID Tunnel GwID/IP Role Algorithm SPI(in) SPI(out) MsgID ST Xt
------------ ---- ------ ------- ---- --------- ------- -------- ----- -- --
GW-1 780 TUN-1 113 Init ESP/ DH2/tunl/SHA1 866BC8DD C490D71C 35772C5A 9 1
Show IKEv1 phase2 SA: Total 4 gateways found. 1 ike sa found.
There is no IKEv2 SA found. user@firewall> show vpn ike-sa IKEv1 phase-1 SAs GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 113 200.0.0.1 GW-1 Init Main PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 2 114 200.0.0.2 GW-2 Resp Main PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1 2 117 10.129.72.42 GW-5 Resp Aggr PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1 2 118 200.0.0.6 GW-6 Init Aggr PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 2 Show IKEv1 IKE SA: Total 4 gateways found. 4 ike sa found. IKEv1 phase-2 SAs Gateway Name TnID Tunnel GwID/IP Role Algorithm SPI(in) SPI(out) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- GW-1 780 TUN-1 113 Init ESP/ DH2/tunl/SHA1 ABB046B6 8C6CC39A E5367FE6 9 1 GW-2 781 TUN-2 114 Resp ESP/ DH2/tunl/SHA1 E2183BF3 B5F69A27 1C94E7B9 9 1 GW-5 784 TUN-5 117 Resp ESP/ DH2/tunl/SHA1 CD54CC98 FCB719FB 93BCB696 9 1 GW-6 785 TUN-6 118 Init ESP/ DH2/tunl/SHA1 8C8D8DF8 869F14EE 4B9D2EC2 9 1 Show IKEv1 phase2 SA: Total 4 gateways found. 4 ike sa found. IKEv2 SAs Gateway ID Peer-Address Gateway Name Role SN Algorithm Established Expiration Xt Child ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 115 200.0.0.3 GW-3 Init 3 PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 0 1 Established 116 200.0.0.4 GW-4 Resp 4 PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 0 1 Established IKEv2 IPSec Child SAs Gateway Name TnID Tunnel ID Parent Role SPI(in) SPI(out) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- GW-3 782 TUN-3 295 3 Init C701F21D D2623952 00000079 Mature GW-4 783 TUN-4 294 4 Resp F6B7115C C13629DC 0000022D Mature Show IKEv2 SA: Total 2 gateways found. 2 ike sa found.
IKEv1 阶段 1 SA 关键列的解释:
- GwID – 内部生成的(数字) ID 以唯一识别 IKE 网关。
- 对等地址– VPN 对等设备 IP 地址
- 网关名称–在网络>IKE网关下配置的网关名称
- 角色–第 IKE 1 阶段谈判中的本地设备角色
- Init-发起人–本地设备启动了 IKE 谈判
- 回复-响应者–本地设备是谈判中的响应者 IKE ,对等设备启动了连接
- 模式–IKEv1有两种谈判模式
- 主–主模式,通常在静态本地和同行的情况下 IP
- Aggr-凝性-侵略性模式,通常情况下,其中任何一方 VPN 都有一个动态 IP 地址。
- 算法–同行之间协商的第 1 阶段算法。谈判算法是从 IKE 网络 >加密配置的加密配置文件 IKE 中挑选出来的。 格式为身份验证方法/ DH 组/加密算法/身份验证算法
示例
PSK:/DH2/A128/SHA1:–
PSK 代表预共享密钥。 这是身份验证方法(可以预共享密钥或证书)。
DH2–( DH 德菲-赫尔曼)小组谈判
A128-aes-128-cbc加密算法谈判
SHA1-身份验证算法谈判
建立-同行之间的建立日期和时间 IKE SA
到期 -到期的日期和时间 SA 。 这是从加密配置的关键寿命 IKE
IKEv1 阶段 2 SA 关键列的解释:
这显示了与第 1 阶段 SA 相关的阶段 2 SA- 网关名称–在网络>IKE网关下配置的网关名称
- TnID - 隧道 ID – 内部生成的(数字) ID 以唯一识别隧道
- 隧道–在 IPSec 隧道下配置的隧道名称> IPSec 隧道
- GwID – 内部生成的(数字) ID 以唯一识别 IKE 网关。
- 角色–第 IKE 2 阶段谈判中的本地设备角色
- Init-发起人–本地设备启动了 IKE 谈判
- 回复-响应者–本地设备是谈判中的响应者 IKE ,对等设备启动了连接
- 算法–同行之间协商的第2阶段算法。 谈判算法是从网络>IPSec加密配置的IPSec加密配置文件中挑选出来的。格式为 IPSec 协议/ DH 组/模式/身份验证算法
示例
ESP:/DH2/调谐/SHA1:–
ESP 封装安全有效载荷。 这是IPSec协议。 (它可以 ESP AH 或)
通-这始终是图恩,代表隧道模式。
SHA1–通过谈判
SPI (in)身份验证算法-安全参数索引 SPI ()表示接收 SPI 号码。 这等于同行的 SPI (出
SPI )(出)-安全参数索引 SPI ()表示传输 SPI 数。 这等于同行的 SPI (在)
IKEv2 SAs 关键列的解释:
- 网关 ID–内部生成的(数字) ID 以唯一识别 IKE 网关
- 对等地址– VPN 对等设备 IP 地址
- 网关名称–在网络>IKE网关下配置的网关名称
- 角色–谈判中的本地设备角色 IKE SA
- Init-发起人–本地设备启动了 IKE 谈判
- 回复-响应者–本地设备是谈判中的响应者 IKE ,对等设备启动了连接
- 算法–同行之间谈判的第 1 阶段算法
- SN– SA 用于与孩子关联的IkEv2的序列号 SA 。 谈判算法是从 IKE 网络>加密配置的加密配置文件 IKE 中挑选出来的。 格式为身份验证方法/ DH 组/加密算法/身份验证算法
示例
PSK:/DH2/A128/SHA1:–
PSK 代表预共享密钥。 这是身份验证方法(可以预共享密钥或证书)。
DH2–( DH 德菲-赫尔曼)小组谈判
A128-aes-128-cbc加密算法谈判
SHA1-身份验证算法谈判
建立-在 IKE SA 同行之间建立的日期和时间。
到期–到期日期和时间 SA 。 这是从加密配置的关键寿命 IKE
IKEv2 IPSec儿童SAs关键列的解释:
网关名称-网>网关TnID - 隧道ID下配置IKE的网关名称 - 内部生成的(编号) ID 以唯一识别
隧道- 根据网络配置的隧道名称> IPSec 隧道
父级- 父 IKEv2,IKEv2 SA SN 字段 SA 。
角色- 儿童谈判中的本地设备角色 IKE SA
Init - 发起人- 本地设备启动 IKE 谈判
Resp - 响应者– 本地设备是谈判中的响应者 IKE ,对等设备启动了连接
算法- 对等器
SPI(in)之间谈判的第 2 阶段算法 - 安全参数索引 SPI ()以指示接收 SPI 号码。 这等于同行的 SPI (出
SPI )(出)-安全参数索引 SPI ()表示传输 SPI 数。 这等于同行的 SPI (在)