sa_mgr show

Команда sa_mgr show предназначена для просмотра информации обо всех IPsec SA, ISAKMP SA и их состоянии, и о количестве IKE обменов.

Синтаксис

sa_mgr [-T timeout] show [-isakmp|-ipsec] [-i CONN1_ID]  [-i CONNn_ID]
[-detail]

-T timeout

время ожидания ответа от vpnsvc сервиса.

Допустимые значения - 10..36000 секунд, 0 - бесконечное время ожидания.

Значение по умолчанию - 60 секунд.

-isakmp 

выводится информация об ISAKMP соединениях.

-ipsec 

выводится информация об IPsec соединениях.

-i CONNn_ID 

выводится информация о соединении с указанным идентификатором.

-detail 

выводится детальная информация о соединениях.

Команда sa_mgr show  позволяет просмотреть действующие в данный момент IPsec SA.

Значение по

умолчанию

отсутствует

Рекомендации по

использованию

В команде sa_mgr show без указания опции -detail выводится краткая информация обо всех соединениях, например:

ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) State Sent Rcvd

1 2 (10.0.10.16,500)-(10.0.10.99,500) active 1560 656

2 3 (10.0.10.18,500)-(10.0.10.99,500) active 1560 656

IPsec connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd

1 6 (192.168.15.16,*)-(10.0.10.99,*) * AH+ESP tunn 600 1120

2 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140

В выводе присутствует следующая информация:

ISAKMP sessions - количество незавершенных IKE-обменов:

•   ni initiated - в качестве инициатора;

•   nr responded - в качестве ответчика.

ISAKMP connections - информация обо всех ISAKMP SA и для каждого соединения:

•   Num - порядковый номер ISAKMP соединения

•   Conn-id - уникальный идентификатор ISAKMP соединения

•   Remote Addr,Port - адрес и порт партнера, если порт любой - *

•   Local Addr,Port - локальный адрес и порт, если порт любой - *

•   State - состояние SA:

•   incomplete - недостроенное соединение;

•   active - активное соединение;

•  configuration - для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc);

•   disabled  - SA не используется, подготовлено к удалению;

•   unknown - статус соединения неизвестен;

•   Sent - количество переданной информации (в байтах);

•   Rcvd - количество принятой информации (в байтах).

IPsec connections - информация обо всех IPsec SA и для каждого соединения:

•   Num - порядковый номер IPsec соединения;

•   Conn-id - уникальный идентификатор IPsec соединения;

•   Remote Addr,Port - адрес и порт партнера, если порт любой - *;

•   Local Addr,Port - локальный адрес и порт, если порт любой - *;

•   Protocol - сетевой протокол, если протокол любой - *;

•   Action - действие - {AH+ESP|AH|ESP}.

•   Type - тип:

•  tunn - туннельный режим;

•  trans - транспортный режим;

•  nat-t-tunn - туннельный режим через NAT (по RFC 3947);

•  nat-t-trans - транспортный режим через NAT (по RFC 3947);

•  nat-t3-tunn - туннельный режим через NAT (по спецификации draft-ietf-ipsec-nat-t-ike-03.txt);

•  Sent - количество переданной информации (в байтах);

•  Rcvd - количество принятой информации (в байтах).

Команда  sa_mgr show -ipsec -i 8  выводит информацию о соединении с заданными свойствами.

IPsec connections:

Num Conn-id (Remote Addr,Port)-(Local Addr,Port) Protocol Action Type Sent Rcvd

1 8 (192.168.15.18,*)-(10.0.10.99,*) * ESP tunn 1600 3140

Команда sa_mgr show -detail с опцией detail выводит полную информацию обо всех соединениях.

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connection id: 2

    cookies: 613E427395946DFE.DE99B25554306A75

    local  peer (addr/port): 10.0.10.99/500

    remote peer (addr/port): 10.0.10.16/500

 

    local identity (IPV4_ADDR): 10.0.10.99

    remote identity (IPV4_ADDR): 10.0.10.16

    IKERule name: ike_rule_without_ikecfg

    auth: preshared key

    xauth user name: Client1

    mode: main

 

    sa:

     transform: gost2814789cp-cbc gostr341194cp

     Oakley group: 5

     sa limits: key lifetime (qm/k/sec): -/200/28800

     sa timing: remaining key lifetime (qm/k/sec): -/198/26622

     status: active

 

IPsec connection id: 6

    local  ident (addr/prot/port): 10.0.10.99/0/0

    remote ident (addr/prot/port): 192.168.15.16/0/0

   

    #pkts sent/rcvd: 32/6777

    #send/recv errors: 2/0

 

    local crypto endpt.: 10.0.10.99, remote crypto endpt.: 10.0.10.16

    connection status: {initiated locally, }

 

    remote identity (IPV4_ADDR): 10.0.10.16

    xauth user name: Client1

    IPsecAction name: ipsec_action_01

    Filter LogEventID: filter_rule_00_00

    PFS: none

 

    inbound esp sa:

     spi: 0x94857A70(2491775600)

      transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limits: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607998/1426

 

    inbound ah sa:

     spi: 0x6CD88232(1826128434)

      transform: ah-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limiting: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607999/1426

 

    outbound esp sa:

     spi: 0xF40CDEE0(4094484192)

      transform: esp-gost2814789cp-cbc esp-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limits: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607999/1426

 

    outbound ah sa:

     spi: 0xFBE599CD(4226128333)

      transform: ah-gostr341194cp-hmac

      in use settings ={Tunnel, }

      sa limiting: key lifetime (k/sec): 4608000/3600

      sa timing: remaining key lifetime (k/sec): 4607998/1426

В выводе присутствует следующая информация:

ISAKMP sessions - количество незавершенных IKE-обменов:

•   ni initiated - в качестве инициатора;

•   nr responded - в качестве ответчика.

ISAKMP connection - в выводе будет присутствовать:

•   поле IKECFG address, если был получен IKECFG адрес:

ISAKMP connection id: 1

    cookies: F86F80B571D2240F.C177F15CAEA71B4A

    local  peer (addr/port): 10.0.10.193/500

    remote peer (addr/port): 10.0.10.178/500

    IKECFG address: 192.168.15.193

•   поле Status может принимать следующие значения:

•  incomplete - недостроенное соединение;

•   active - активное соединение;

•  configuration - для данного SA проводится дополнительная настройка (IKECFG, XAuth, etc.);

•  disabled  - SA не используется, подготовлен к удалению;

•   unknown - статус соединения неизвестен

IPsec connection:

•   поле connection status может принимать значения:

•   initiated locally - локальный хост выступает инициатором;

•   initiated remotely - локальный хост выступает ответчиком;

•   rekeyed - произведено досрочное пересоздание соединения;

•   no rekeying - досрочное пересоздание соединения в качестве инициатора запрещено.

•    поле in use settings может принимать значения:

•   Tunnel - туннельный режим;

•   Transport - транспортный режим;

•   Tunnel NAT-T - туннельный режим через NAT;

•   Transport-NAT-T - транспортный режим через NAT.