Команда sa_mgr show предназначена для просмотра информации обо всех IPsec SA, ISAKMP SA и их состоянии, и о количестве IKE обменов.
Синтаксис
sa_mgr [-T timeout] show [-isakmp|-ipsec] [-i CONN1_ID] [-i CONNn_ID] [-detail]
-T timeout время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 60 секунд
-isakmp выводится информация об ISAKMP соединениях
-ipsec выводится информация об IPsec соединениях
-i CONNn_ID выводится информация о соединении с указанным идентификатором
-detail выводится детальная информация о соединениях.
Команда sa_mgr show позволяет просмотреть действующие в данный момент IPsec SA.
Значение по умолчанию Значение по умолчанию отсутствует.
Рекомендации по использованию
В команде sa_mgr show без указания опции –detail выводится краткая информация обо всех соединениях, например:
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Remote Addr,Port)-(Local Addr,Port) State Sent Rcvd
1 2 (10.0.10.16,500)-(10.0.10.99,500) active 1560 656
2 3 (10.0.10.18,500)-(10.0.10.99,500) active 1560 656
IPsec connections:
Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd
1 6 (192.168.15.16,*)-(10.0.10.99,*) * AH+ESP tunn 600 1120
2 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140
В выводе присутствует следующая информация:
ISAKMP sessions – количество незавершенных IKE-обменов:
· ni initiated – в качестве инициатора
· nr responded – в качестве ответчика.
ISAKMP connections – информация обо всех ISAKMP SA и для каждого соединения:
· Num – порядковый номер ISAKMP соединения
· Conn-id – уникальный идентификатор ISAKMP соединения
· Remote Addr,Port – адрес и порт партнера, если порт любой – *
· Local Addr,Port – локальный адрес и порт, если порт любой – *
· incomplete – недостроенное соединение
· active – активное соединение
· configuration – для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc.)
· deleted – SA не используется, подготовлено к удалению
· unknown – статус соединения неизвестен
· Sent – количество переданной информации (в байтах)
· Rcvd – количество принятой информации (в байтах)
IPsec connections – информация обо всех IPsec SA и для каждого соединения:
· Num – порядковый номер IPsec соединения
· Conn-id – уникальный идентификатор IPsec соединения
· Remote Addr,Port – адрес и порт партнера, если порт любой – *
· Local Addr,Port – локальный адрес и порт, если порт любой – *
· Protocol – сетевой протокол, если протокол любой – *
· Action – действие – {AH+ESP|AH|ESP}
· Type – тип:
· tunn – туннельный режим
· trans – транспортный режим
· nat-t-tunn – туннельный режим через NAT
· nat-t-trans – транспортный режим через NAT
· Sent – количество переданной информации (в байтах)
· Rcvd – количество принятой информации (в байтах)
sa_mgr show –ipsec –i 8
Данная команда выводит информацию о соединении с заданными свойствами.
IPsec connections:
Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd
1 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140
sa_mgr show -detail
Команда с опцией detail выводит полную информацию обо всех соединениях.
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connection id: 2
cookies: 613E427395946DFE.DE99B25554306A75
local peer (addr/port): 10.0.10.99/500
remote peer (addr/port): 10.0.10.16/500
local identity (IPV4_ADDR): 10.0.10.99
remote identity (IPV4_ADDR): 10.0.10.16
IKERule name: ike_rule_without_ikecfg
auth: preshared key
mode: main
sa:
transform: gost2814789cp-cbc gostr341194cp
Oakley group: 5
sa limits: key lifetime (qm/k/sec): -/200/28800
sa timing: remaining key lifetime (qm/k/sec): -/198/26622
status: active
IPsec connection id: 6
local ident (addr/prot/port): 10.0.10.99/0/0
remote ident (addr/prot/port): 192.168.15.16/0/0
#pkts sent/rcvd: 32/6777
#send/recv errors: 2/0
local crypto endpt.: 10.0.10.99, remote crypto endpt.: 10.0.10.16
connection status: {initiated locally, }
remote identity (IPV4_ADDR): 10.0.10.16
IPsecAction name: ipsec_action_01
Filter LogEventID: filter_rule_00_00
PFS: none
inbound esp sa:
spi: 0x94857A70(2491775600)
transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac
in use settings ={Tunnel, }
sa limits: key lifetime (k/sec): 4608000/3600
sa timing: remaining key lifetime (k/sec): 4607998/1426
inbound ah sa:
spi: 0x6CD88232(1826128434)
transform: ah-gostr341194cp-hmac
in use settings ={Tunnel, }
sa limiting: key lifetime (k/sec): 4608000/3600
sa timing: remaining key lifetime (k/sec): 4607999/1426
outbound esp sa:
spi: 0xF40CDEE0(4094484192)
transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac
in use settings ={Tunnel, }
sa limits: key lifetime (k/sec): 4608000/3600
sa timing: remaining key lifetime (k/sec): 4607999/1426
outbound ah sa:
spi: 0xFBE599CD(4226128333)
transform: ah-gostr341194cp-hmac
in use settings ={Tunnel, }
sa limiting: key lifetime (k/sec): 4608000/3600
sa timing: remaining key lifetime (k/sec): 4607998/1426
В выводе присутствует следующая информация:
ISAKMP sessions – количество незавершенных IKE-обменов:
· ni initiated – в качестве инициатора
· nr responded – в качестве ответчика.
ISAKMP connection – в выводе будет присутствовать:
· поле IKECFG address, если был получен IKECFG адрес:
ISAKMP connection id: 1
cookies: F86F80B571D2240F.C177F15CAEA71B4A
local peer (addr/port): 10.0.10.193/500
remote peer (addr/port): 10.0.10.178/500
IKECFG address: 192.168.15.193
· поле Status может принимать следующие значения:
· incomplete – недостроенное соединение
· active – активное соединение
· configuration – для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc.)
· disabled – SA не используется, подготовлен к удалению
· unknown – статус соединения неизвестен
IPsec connection:
· поле connection status может принимать значения:
· initiated locally – локальный хост выступает инициатором
· initiated remotely – локальный хост выступает ответчиком
· rekeyed – произведено досрочное пересоздание соединения
· no rekeying – досрочное пересоздание соединения в качестве инициатора запрещено
· поле in use settings может принимать значения:
· Tunnel – туннельный режим
· Transport – транспортный режим
· Tunnel NAT-T – туннельный режим через NAT
· Transport-NAT-T – транспортный режим через NAT