sa_mgr show

Команда sa_mgr  show предназначена для просмотра информации обо всех IPsec SA, ISAKMP SA и их состоянии, и о количестве IKE обменов.

 

Синтаксис 

sa_mgr [-T timeout] show [-isakmp|-ipsec] [-i CONN1_ID]  [-i CONNn_ID] [-detail]

-T  timeout        время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 60 секунд

-isakmp               выводится информация об ISAKMP соединениях

-ipsec                 выводится информация об IPsec соединениях

-i  CONNn_ID      выводится информация о соединении с указанным идентификатором

-detail         выводится детальная информация о соединениях.

Команда sa_mgr  show  позволяет просмотреть действующие в данный момент IPsec SA.

 

Значение по умолчанию       Значение по умолчанию отсутствует.

 

Рекомендации по использованию

В команде sa_mgr  show без указания опции detail выводится краткая информация обо всех соединениях, например:

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) State Sent Rcvd

1 2 (10.0.10.16,500)-(10.0.10.99,500) active 1560 656

2 3 (10.0.10.18,500)-(10.0.10.99,500) active 1560 656

 

IPsec connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd

1 6 (192.168.15.16,*)-(10.0.10.99,*) * AH+ESP tunn 600 1120

2 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140

 

В выводе присутствует следующая информация:

ISAKMP  sessions – количество незавершенных IKE-обменов:

·       ni initiated – в качестве инициатора

·       nr responded – в качестве ответчика.

ISAKMP  connections – информация обо всех ISAKMP SA и для каждого соединения:

·       Num – порядковый номер ISAKMP соединения

·       Conn-id – уникальный идентификатор ISAKMP соединения

·       Remote Addr,Port – адрес и порт партнера, если порт любой – *

·       Local Addr,Port – локальный адрес и порт, если порт любой – *

·       State – состояние SA:

·       incomplete – недостроенное соединение

·       active – активное соединение

·       configuration – для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc.)

·       deleted  – SA не используется, подготовлено к удалению

·       unknown – статус соединения неизвестен

·       Sent – количество переданной информации (в байтах)

·       Rcvd – количество принятой информации (в байтах)

IPsec  connections – информация обо всех IPsec SA и для каждого соединения:

·       Num – порядковый номер IPsec соединения

·       Conn-id – уникальный идентификатор IPsec соединения

·       Remote Addr,Port – адрес и порт партнера, если порт любой – *

·       Local Addr,Port – локальный адрес и порт, если порт любой – *

·       Protocol – сетевой протокол, если протокол любой – *

·       Action – действие – {AH+ESP|AH|ESP}

·       Type – тип:

·       tunn – туннельный режим

·       trans – транспортный режим

·       nat-t-tunn – туннельный режим через NAT

·       nat-t-trans – транспортный режим через NAT

·       Sent – количество переданной информации (в байтах)

·       Rcvd – количество принятой информации (в байтах)

 

sa_mgr show –ipsec –i 8

Данная команда выводит информацию о соединении с заданными свойствами.

IPsec connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd

1 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140

sa_mgr show -detail

Команда с опцией detail выводит полную информацию обо всех соединениях.

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connection id: 2

    cookies: 613E427395946DFE.DE99B25554306A75

    local  peer (addr/port): 10.0.10.99/500

    remote peer (addr/port): 10.0.10.16/500

 

    local identity (IPV4_ADDR): 10.0.10.99

    remote identity (IPV4_ADDR): 10.0.10.16

    IKERule name: ike_rule_without_ikecfg

    auth: preshared key

    mode: main

 

    sa:

     transform: gost2814789cp-cbc gostr341194cp

     Oakley group: 5

     sa limits: key lifetime (qm/k/sec): -/200/28800

     sa timing: remaining key lifetime (qm/k/sec): -/198/26622

     status: active

 

IPsec connection id: 6

    local  ident (addr/prot/port): 10.0.10.99/0/0

    remote ident (addr/prot/port): 192.168.15.16/0/0

   

    #pkts sent/rcvd: 32/6777

    #send/recv errors: 2/0

 

    local crypto endpt.: 10.0.10.99, remote crypto endpt.: 10.0.10.16

    connection status: {initiated locally, }

 

    remote identity (IPV4_ADDR): 10.0.10.16

    IPsecAction name: ipsec_action_01

    Filter LogEventID: filter_rule_00_00

    PFS: none

 

    inbound esp sa:

     spi: 0x94857A70(2491775600)

      transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limits: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607998/1426

 

    inbound ah sa:

     spi: 0x6CD88232(1826128434)

      transform: ah-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limiting: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607999/1426

 

    outbound esp sa:

     spi: 0xF40CDEE0(4094484192)

      transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limits: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607999/1426

 

    outbound ah sa:

     spi: 0xFBE599CD(4226128333)

      transform: ah-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limiting: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607998/1426

 

В выводе присутствует следующая информация:

ISAKMP  sessions – количество незавершенных IKE-обменов:

·       ni initiated – в качестве инициатора

·       nr responded – в качестве ответчика.

ISAKMP  connection – в выводе будет присутствовать:

·       поле IKECFG address, если был получен IKECFG адрес:

ISAKMP connection id: 1

    cookies: F86F80B571D2240F.C177F15CAEA71B4A

    local  peer (addr/port): 10.0.10.193/500

    remote peer (addr/port): 10.0.10.178/500

    IKECFG address: 192.168.15.193

·       поле Status может принимать следующие значения:

·       incomplete – недостроенное соединение

·       active – активное соединение

·       configuration – для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc.)

·       disabled  – SA не используется, подготовлен к удалению

·       unknown – статус соединения неизвестен

IPsec connection:

·       поле connection status может принимать значения:

·       initiated  locally – локальный хост выступает инициатором

·       initiated  remotely – локальный хост выступает ответчиком

·       rekeyed – произведено досрочное пересоздание соединения

·       no  rekeying – досрочное пересоздание соединения в качестве инициатора запрещено

·       поле in use settings может принимать значения:

·       Tunnel – туннельный режим

·       Transport – транспортный режим

·       Tunnel  NAT-T – туннельный режим через NAT

·       Transport-NAT-T – транспортный режим через NAT