sa_mgr show

Команда sa_mgr show предназначена для просмотра информации обо всех IPsec SA, ISAKMP SA, их состоянии и о количестве IKE обменов. Команда sa_mgr show позволяет просмотреть действующие в данный момент IPsec SA.

Синтаксис

sa_mgr [-T timeout] show [-isakmp|-ipsec] [-i CONN1_ID]  [-i CONNn_ID]
[-detail]

-T timeout

время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 60 секунд.

-isakmp

выводится информацию об ISAKMP соединениях.

-ipsec

выводится информацию об IPsec соединениях.

-i CONNn_ID

выводится информация о соединении с указанным идентификатором.

-detail

выводится детальная информация о соединениях.

Значение по умолчанию

Значение по умолчанию отсутствует.

Рекомендации по использованию

sa_mgr show

В данной команде без указания опции –detail выводится краткая информация обо всех соединениях, например:

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) State Sent Rcvd

1 2 (10.0.10.16,500)-(10.0.10.99,500) active 1560 656

2 3 (10.0.10.18,500)-(10.0.10.99,500) active 1560 656

 

IPsec connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd

1 6 (192.168.15.16,*)-(10.0.10.99,*) * AH+ESP tunn 600 1120

2 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140

В выводе присутствует следующая информация:

ISAKMP sessions – количество незавершенных IKE-обменов:

•    ni initiated – в качестве инициатора

•    nr responded – в качестве ответчика.

ISAKMP connections – информация обо всех ISAKMP SA и для каждого соединения:

•   Num – порядковый номер ISAKMP соединения

•   Conn-id – уникальный идентификатор ISAKMP соединения

•    Remote Addr,Port – адрес и порт партнера, если порт любой – *

•    Local Addr,Port – локальный адрес и порт, если порт любой – *

•    State – состояние SA:

•   incomplete – недостроенное соединение

•   active – активное соединение

•  configuration – для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc.)

•   disabled  – SA не используется, подготовлен к удалению

•   unknown – статус соединения неизвестен

•   Sent – количество переданной информации (в байтах)

•   Rcvd – количество принятой информации (в байтах)

IPsec connections – информация обо всех IPsec SA и для каждого соединения:

•   Num – порядковый номер IPsec соединения

•   Conn-id – уникальный идентификатор IPsec соединения

•   Remote Addr,Port – адрес и порт партнера, если порт любой – *

•   Local Addr,Port – локальный адрес и порт, если порт любой – *

•   Protocol – сетевой протокол, если протокол любой – *

•   Action – действие – {AH+ESP|AH|ESP}

•   Type – тип:

•   tunn – туннельный режим

•   trans – транспортный режим

•   nat-t-tunn – туннельный режим через NAT

•   nat-t-trans – транспортный режим через NAT

•   Sent – количество переданной информации (в байтах)

•   Rcvd – количество принятой информации (в байтах)

sa_mgr show –ipsec –i 8

Данная команда выводит информацию о соединении с заданными свойствами.

IPsec connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd

1 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140

sa_smgr how -detail

Команда с опцией detail выводит полную информацию обо всех соединениях.

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connection id: 2

    cookies: 613E427395946DFE.DE99B25554306A75

    local  peer (addr/port): 10.0.10.99/500

    remote peer (addr/port): 10.0.10.16/500

 

    local identity (IPV4_ADDR): 10.0.10.99

    remote identity (IPV4_ADDR): 10.0.10.16

    IKERule name: ike_rule_without_ikecfg

    auth: preshared key

    mode: main

 

    sa:

     transform: gost2814789cp-cbc gostr341194cp

     Oakley group: 5

     sa limits: key lifetime (qm/k/sec): -/200/28800

     sa timing: remaining key lifetime (qm/k/sec): -/198/26622

     status: active

 

IPsec connection id: 6

    local  ident (addr/prot/port): 10.0.10.99/0/0

    remote ident (addr/prot/port): 192.168.15.16/0/0

   

    #pkts sent/rcvd: 32/6777

    #send/recv errors: 2/0

 

    local crypto endpt.: 10.0.10.99, remote crypto endpt.: 10.0.10.16

    connection status: {initiated locally, }

 

    remote identity (IPV4_ADDR): 10.0.10.16

    IPsecAction name: IPsec_action_01

    FilteringRule name: filter_rule_00_00

    PFS: none

 

    inbound esp sa:

     spi: 0x94857A70(2491775600)

      transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limits: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607998/1426

 

    inbound ah sa:

     spi: 0x6CD88232(1826128434)

      transform: ah-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limiting: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607999/1426

 

    outbound esp sa:

     spi: 0xF40CDEE0(4094484192)

      transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limits: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607999/1426

 

    outbound ah sa:

     spi: 0xFBE599CD(4226128333)

      transform: ah-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limiting: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607998/1426

В выводе присутствует следующая информация:

ISAKMP sessions – количество незавершенных IKE-обменов:

•    ni initiated – в качестве инициатора

•    nr responded – в качестве ответчика.

ISAKMP connection – в выводе будет присутствовать:

•   поле IKECFG address, если был получен IKECFG адрес:

ISAKMP connection id: 1

    cookies: F86F80B571D2240F.A0455C78E9DE66C

    local  peer (addr/port): 10.0.10.193/500

    remote peer (addr/port): 10.0.10.178/500

    IKECFG address: 192.168.15.193

•    поле Status может принимать следующие значения:

•   incomplete – недостроенное соединение

•   active – активное соединение

•  configuration – для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc.)

•   disabled  – SA не используется, подготовлен к удалению

•   unknown – статус соединения неизвестен

IPsec connection:

•    поле connection status может принимать значения:

•   initiated locally – локальный хост выступает инициатором

•   initiated remotely – локальный хост выступает ответчиком

•   rekeyed  – произведено досрочное пересоздание соединения

•   no rekeying – досрочное пересоздание соединения в качестве инициатора запрещено

•    поле in use settings может принимать значения:

•   Tunnel – туннельный режим

•   Transport – транспортный режим

•   Tunnel NAT-T – туннельный режим через NAT

•  Transport-NAT-T – транспортный режим через NAT