Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

show security ipsec security-associations

構文

説明

IPsec セキュリティ アソシエーション(SA)に関する情報を表示します。

Junos OSリリース20.1R2、20.2R2、20.3R2、20.3R1以降では、 コマンドを実行すると show security ipsec security-associations detail 、トンネル内のすべてのIPsec SAに対応する新しい出力フィールド IKE SA Index が各IPsec SA情報の下に表示されます。 show security ipsec security-associations detail(SRX5400、SRX5600、SRX5800)を参照してください。

オプション

none

すべてのSAに関する情報を表示します。
brief | detail | extensive

(オプション)指定された出力レベルを表示します。デフォルト briefは です。
family

(オプション)SA をファミリ別に表示します。このオプションは、出力をフィルタリングするために使用されます。

  • inet- IPv4 アドレス ファミリー。

  • inet6- IPv6 アドレス ファミリー。
fpc slot-numberpic slot-number

(オプション)指定されたFPC(フレキシブルPICコンセントレータ)スロットとPICスロットにある既存のIPsec SAに関する情報を表示します。

シャーシ クラスタでは、動作モードで CLI コマンドを実行 show security ipsec security-associations pic <slot-number> fpc <slot-number> すると、指定された FPC(フレキシブル PIC コンセントレータ)スロットと PIC スロット内の既存の IPsec SA に関するプライマリ ノード情報のみが表示されます。

index SA-index-number

(オプション)このインデックス番号で識別される指定された SA に関する詳細情報を表示します。インデックス番号を含むすべての SA のリストを取得するには、 オプションを指定せずに コマンドを使用します。
kmd-instance

(オプション)FPC および PIC slot-number slot-numberによって識別される鍵管理プロセス(この場合は KMD)内の既存の IPsec SA に関する情報を表示します。

このオプションは、IPsec VPN機能用のプロセスがある場合kmdに適用されます。このオプションは、IPsec VPN 機能を実行するための package を使用したjunos-ikeプロセスを有効にikedしている場合は使用できません。

  • all- サービス処理ユニット(SPU)で実行されているすべての KMD インスタンス。

  • kmd-instance-name- SPU で実行されている KMD インスタンスの名前。
node-local

—(オプション)マルチノードの高可用性設定におけるノードローカル トンネルの IPsec SA に関する情報を表示します。
pic slot-numberfpc slot-number

(オプション)指定されたPICスロットとFPCスロットにある既存のIPsec SAに関する情報を表示します。
sa-type shortcut

(オプション)これは ADVPN に適用されます。IPsec SAに関する情報をタイプ shortcut別に表示します。
traffic-selector traffic-selector-name

(オプション)指定されたトラフィックセレクターに関する情報を表示します。
vpn-name vpn-name

(オプション)指定された VPN に関する情報を表示します。
ha-link-encryption

(オプション)シャーシ間リンクトンネルに関する情報のみを表示します。ipsec(高可用性)、show security ipsec security-associations ha-link-encryption(SRX5400、SRX5600、SRX5800)、show security ipsec sa detail ha-link-encryption(SRX5400、SRX5600、SRX5800)をご覧ください。

srg-id

(オプション)マルチノード高可用性設定の特定のサービス冗長性グループ(SRG)に関連する情報を表示します。

必要な権限レベル

ビュー

出力フィールド

1 にコマンドshow security ipsec security-associationsの出力フィールドを、表 2 にコマンドの出力フィールドを、表 3 に の出力フィールドshow security ipsec sa detailshow security ipsec saを示します。出力フィールドは、表示されるおおよその順序に従って示しています。

表 1: show security ipsec セキュリティ関連付け

フィールド名

フィールドの説明

出力レベル

Total active tunnels

アクティブな IPsec トンネルの総数。

brief

ID

SA のインデックス番号。この番号を使用して、SA に関する追加情報を取得できます。

すべてのレベル

Algorithm

IKE ネゴシエーション中にピア間の交換を保護するために使用される暗号化には、以下のものがあります。

  • ピア間の交換を認証するために使用される認証アルゴリズム。

  • データ トラフィックの暗号化に使用される暗号化アルゴリズム。

brief

SPI

SPI(セキュリティ パラメーター インデックス)識別子SA は SPI によって一意に識別されます。各エントリには、VPN の名前、リモート ゲートウェイ アドレス、各方向の SPI、暗号化および認証アルゴリズム、および鍵が含まれています。ピア ゲートウェイにはそれぞれ 2 つの SA があり、1 つはネゴシエーションの 2 つのフェーズ(IKE と IPsec)から生じます。

brief

Life: sec/kb

SA の有効期間(有効期限が切れるまで)を秒単位またはキロバイト単位で表します。

brief

Mon

月フィールドは、VPN 監視ステータスを示します。VPN モニタリングが有効になっている場合、このフィールドには(アップ)またはD(ダウン)が表示されますU。ハイフン(-)は、このSAでVPN監視が有効になっていないことを意味します。AVは、IPsecデータパス検証が進行中であることを意味します。

brief

lsys

ルート システム。

brief

Port

ネットワーク アドレス変換 (NAT) を使用する場合、この値は 4500 です。それ以外の場合は、標準の IKE ポートである 500 です。

すべてのレベル

Gateway

リモートゲートウェイのIPアドレス。

brief

Virtual-system

論理システムの名前。

detail, extensive

VPN name

VPN の IPsec 名

detail, extensive

State

状態には 2 つのオプション InstalledNot Installedがあります。

  • Installed- SA は SA データベースにインストールされます。

  • Not Installed- SA は SA データベースにインストールされていません。

    トランスポート モードの場合、State の値は常に Installedです。

detail, extensive

Local gateway

ローカル・システムのゲートウェイ・アドレス。

detail, extensive

Remote gateway

リモート・システムのゲートウェイ・アドレス。

detail, extensive

Traffic selector

トラフィックセレクターの名前。

detail, extensive

Local identity

パートナー宛先ゲートウェイがローカルピアと通信できるようにするためのローカルピアの ID。値は、IP アドレス、完全修飾ドメイン名、電子メール アドレス、または識別名 (DN) として指定されます。

detail, extensive

Remote identity

宛先ピアゲートウェイの IP アドレス。

detail, extensive

Term

ローカル IP 範囲、リモート IP 範囲、送信元ポート範囲、宛先ポート範囲、およびプロトコルを定義します。

detail, extensive

Source-port

用語に設定された送信元ポート範囲。

detail, extensive

Destination-Port

条件に対して設定された宛先ポート範囲。

detail, extensive

Version

IKE バージョン、 IKEv1 または IKEv2のいずれか。

detail, extensive

DF-bit

フラグメント化しないビットの状態: set または cleared.

detail, extensive

Location

FPC- フレキシブルPICコンセントレータ(FPC)スロット番号。

PIC- PIC スロット番号。

KMD-Instance- FPC および PIC slot-number slot-numberによって識別される、SPU で実行されている KMD インスタンスの名前。現在、各 SPU で 4 つの KMD インスタンスが実行されており、特定の IPsec ネゴシエーションは 1 つの KMD インスタンスによって実行されます。このオプションは、IPsec VPN機能用のプロセスがある場合kmdに適用されます。このオプションは、IPsec VPN 機能を実行するための package を使用したjunos-ikeプロセスを有効にikedしている場合は使用できません。

detail, extensive

Tunnel events

トンネル イベントとイベントが発生した回数。トンネル イベントの説明と実行できるアクションについては、 トンネル イベント を参照してください。

  • オプションは、 detail 最大10個のトンネルイベントを時系列の逆順に表示します。

  • オプションは extensive 、すべてのトンネル イベントを表示します。

detail, extensive

Anchorship

SAのアンカースレッドID(オプション付き detail SRX4600シリーズデバイスの場合)。

  

Direction

SAの方向;インバウンドまたはアウトバウンドにすることができます。

detail, extensive

AUX-SPI

補助セキュリティ パラメーター インデックス (SPI) の値。

  • 値が AH または ESPの場合、 AUX-SPI は常に 0 になります。

  • 値が の場合 AH+ESPAUX-SPI は常に正の整数です。

detail, extensive

Mode

SA のモード:

  • transport- ホスト間の接続を保護します。

  • tunnel—セキュリティ ゲートウェイ間の接続を保護します。

detail, extensive

Type

SA のタイプ:

  • manual- セキュリティ パラメータにネゴシエーションは必要ありません。これらは静的であり、ユーザーによって構成されます。

  • dynamic- セキュリティ パラメータは IKE プロトコルによってネゴシエートされます。トランスポート モードでは、ダイナミック SA はサポートされません。

detail, extensive

State

SA の状態:

  • Installed- SA は SA データベースにインストールされます。

  • Not Installed- SA は SA データベースにインストールされていません。

    トランスポート モードの場合、State の値は常に Installedです。

detail, extensive

Protocol

プロトコルがサポートされています。

  • トランスポート モードは、カプセル化セキュリティ プロトコル(ESP)と認証ヘッダー(AH)をサポートします。

  • トンネル モードは ESP と AH をサポートします。

detail, extensive

Authentication

使用される認証の種類。

detail, extensive

Encryption

使用される暗号化の種類。

Junos OS リリース 19.4R2 以降、 階層レベルで暗号化アルゴリズムとして または aes-256-gcm を設定するaes-128-gcmと、コマンドのshow security ipsec security-associations detail認証アルゴリズム フィールドに同じ設定済みの暗号化アルゴリズム [edit security ipsec proposal proposal-name]が表示されます。

detail, extensive

Soft lifetime

ソフト ライフタイムは、SA の有効期限が近づいていることを IPsec キー管理システムに通知します。

SA の各ライフタイムには、ハードとソフトの 2 つの表示オプションがあり、そのうちの 1 つが動的 SA に存在する必要があります。これにより、鍵管理システムは、ハード ライフタイムが終了する前に新しい SA をネゴシエートすることができます。

  • Expires in seconds- SA が期限切れになるまでの残り秒数。

detail, extensive

Hard lifetime

ハードライフタイムは、SAのライフタイムを指定します。

  • Expires in seconds- SA が期限切れになるまでの残り秒数。

detail, extensive

Lifesize Remaining

残りのライフサイズは、使用制限をキロバイト単位で指定します。ライフサイズが指定されていない場合は、無制限と表示されます。

  • Expires in kilobytes- SA の有効期限が切れるまでの残りキロバイト数。

detail, extensive

Anti-replay service

パケットの再生を妨げるサービスの状態。 Enabled Disabledまたは .

detail, extensive

Replay window size

アンチリプレイ サービス ウィンドウのサイズ(64 ビット)。

detail, extensive

Bind-interface

ルートベース VPN がバインドされているトンネル インターフェイス。

detail, extensive

Copy-Outer-DSCP

システムが外部 DSCP 値を IP ヘッダーから内部 IP ヘッダーにコピーするかどうかを示します。

detail, extensive

tunnel-establishment

IKE がどのようにアクティブ化されるかを示します。

detail, extensive

IKE SA index

親IKEセキュリティアソシエーションのリストを示します。

detail, extensive
表 2: show security ipsec sa 出力フィールド

フィールド名

フィールドの説明

Total active tunnels

アクティブな IPsec トンネルの総数。

ID

SA のインデックス番号。この番号を使用して、SA に関する追加情報を取得できます。

Algorithm

IKE フェーズ 2 ネゴシエーション中にピア間の交換を保護するために使用される暗号化には、以下のものがあります。

  • ピア間の交換を認証するために使用される認証アルゴリズム。 hmac-md5-96オプションは 、 、 hmac-sha-256-128です hmac-sha1-96

  • データ トラフィックの暗号化に使用される暗号化アルゴリズム。3des-cbcオプションは 、 、 aes-128-cbcaes-192-cbcaes-256-cbc、または des-cbcです。

SPI

SPI(セキュリティ パラメーター インデックス)識別子SA は SPI によって一意に識別されます。各エントリには、VPN の名前、リモート ゲートウェイ アドレス、各方向の SPI、暗号化および認証アルゴリズム、および鍵が含まれています。ピア ゲートウェイにはそれぞれ 2 つの SA があり、1 つはネゴシエーションの 2 つのフェーズ(フェーズ 1 とフェーズ 2)から生じます。

Life:sec/kb

SA の有効期間(有効期限が切れるまで)を秒単位またはキロバイト単位で表します。

Mon

月フィールドは、VPN 監視ステータスを示します。VPN モニタリングが有効になっている場合、このフィールドには U(アップ)または D(ダウン)が表示されます。ハイフン(-)は、このSAでVPN監視が有効になっていないことを意味します。V は、IPSec データ・パス検査が進行中であることを意味します。

lsys

ルート システム。

Port

ネットワーク アドレス変換 (NAT) を使用する場合、この値は 4500 です。それ以外の場合は、標準の IKE ポートである 500 です。

Gateway

システムのゲートウェイ アドレス。
表 3: show security ipsec sa detail出力フィールド

フィールド名

フィールドの説明

ID

SA のインデックス番号。この番号を使用して、SA に関する追加情報を取得できます。

Virtual-system

仮想システム名。

VPN Name

VPN の IPSec 名。

Local Gateway

ローカル・システムのゲートウェイ・アドレス。

Remote Gateway

リモート・システムのゲートウェイ・アドレス。

Local Identity

パートナー宛先ゲートウェイがローカルピアと通信できるようにするためのローカルピアの ID。値は、IP アドレス、完全修飾ドメイン名、電子メール アドレス、または識別名 (DN) として指定されます。

Remote Identity

宛先ピアゲートウェイの IP アドレス。

Version

IKE バージョンたとえば、IKEv1、IKEv2 などです。

Passive Mode Tunneling

不正な形式のパケットの IPsec トンネリング。このオプションを有効または無効にすることができます。

DF-bit

フラグメント化しないビットの状態: set または cleared.

Bind-interface

ルートベース VPN がバインドされているトンネル インターフェイス。
トンネル イベント

Direction

SAの方向;インバウンドまたはアウトバウンドにすることができます。

AUX-SPI

補助セキュリティ パラメーター インデックス (SPI) の値。

  • 値が AH または ESPの場合、 AUX-SPI は常に 0 になります。

  • 値が の場合 AH+ESPAUX-SPI は常に正の整数です。

VPN Monitoring

VPN モニタリングが有効になっている場合、フィールドには Mon または D (down)が表示されますU (up)。ハイフン(-)は、このSAでVPN監視が有効になっていないことを意味します。V は、IPsec データパス検証が進行中であることを示します。

Junos OSリリース23.4R1以降、ファイアウォールがikedプロセスでIPsec VPNサービスを実行すると、出力と詳細が表示されますIntervalThreshold

Hard lifetime

ハードライフタイムは、SAのライフタイムを指定します。

  • Expires in seconds - SA の有効期限が切れるまでの残り秒数。

Lifesize Remaining

残りのライフサイズは、使用制限をキロバイト単位で指定します。ライフサイズが指定されていない場合は、無制限と表示されます。

Soft lifetime

ソフト ライフタイムは、SA の有効期限が近づいていることを IPsec キー管理システムに通知します。SA の各ライフタイムには、ハードとソフトの 2 つの表示オプションがあり、そのうちの 1 つが動的 SA に存在する必要があります。これにより、鍵管理システムは、ハード ライフタイムが終了する前に新しい SA をネゴシエートすることができます。

  • Expires in seconds - SA の有効期限が切れるまでの残り秒数。

Mode

SA のモード:

  • transport - ホスト間の接続を保護します。

  • tunnel - セキュリティ ゲートウェイ間の接続を保護します。

Type

SA のタイプ:

  • manual - セキュリティ パラメータにネゴシエーションは必要ありません。これらは静的であり、ユーザーによって構成されます。

  • dynamic - セキュリティパラメータはIKEプロトコルによってネゴシエートされる。トランスポート モードでは、ダイナミック SA はサポートされません。

State

SA の状態:

  • Installed - SA が SA データベースにインストールされます。

  • Not Installed - SA が SA データベースにインストールされていない。

トランスポート モードの場合、状態の値は常に [インストール済み] です。

Protocol

プロトコルがサポートされています。

  • トランスポート モードは、カプセル化セキュリティ プロトコル(ESP)と認証ヘッダー(AH)をサポートします。

  • トンネル モードは ESP と AH をサポートします。

    • Authentication - 使用される認証の種類。

    • Encryption - 使用される暗号化の種類。

Anti-replay service

パケットの再生を妨げるサービスの状態。 Enabled Disabledまたは .

Replay window size

アンチリプレイ サービス ウィンドウの構成済みサイズ。32 パケットまたは 64 パケットを指定できます。再生ウィンドウのサイズが 0 の場合、アンチリプレイ サービスは無効になります。

アンチリプレイ ウィンドウ サイズは、古いパケットまたは重複したパケットを拒否することにより、リプレイ攻撃から受信者を保護します。

シャーシ間リンクトンネル

HA リンク暗号化モード

高可用性モードがサポートされています。マルチノードの高可用性機能が有効になっている場合に表示されます Multi-Node

サンプル出力

簡潔にするために、show コマンドの出力には設定のすべての値が表示されるわけではありません。構成のサブセットのみが表示されます。システム上の残りの構成は省略記号 (...) に置き換えられています。

show security ipsec security-associations(IPv4)

show security ipsec security-associations(IPv6)

show security ipsec security-associations index 511672

show security ipsec security-associations index 131073 detail

Junos OS リリース 18.2R1 以降、CLI show security ipsec security-associations index index-number detail 出力には、転送クラス名を含むすべての子 SA の詳細が表示されます。

show security ipsec sa

show security ipsec sa detail

Junos OSリリース19.1R1以降、CLIshow security ipsec sa detailの出力の新しいフィールドトンネル確立に、階層でipsec vpn establish-tunnels設定されたオプションが表示されます。

Junos OSリリース21.3R1以降、CLIshow security ipsec sa detailの出力の新しいフィールドトンネルMTUに、階層でipsec vpn hub-to-spoke-vpn tunnel-mtu設定されたオプションが表示されます。

Junos OS Release 22.1R3以降、トンネルMTUが設定されていない場合、SRX5000デバイスラインでトンネルMTUがCLI出力に表示されません。

show security ipsec sa detail(MX-SPC3)

show security ipsec sa detail(MX-SPC3)パッシブ モード トンネリング

show security ipsec security-association(英語)

show security ipsec security-associationsの概要

show security ipsec security-associations detail

show security ipsec セキュリティアソシエーションと VPN 監視が有効化されている

show security ipsec security-associations detail with VPN 監視が有効な場合

show security ipsec セキュリティアソシエーションファミリー inet6

show security、ipsec、セキュリティアソシエーション、fpc 6、pic、1、kmdインスタンスすべて(SRXシリーズファイアウォール)

show security ipsec security-associations detail(ADVPN Suggester、スタティックトンネル)

show security ipsec security-associations detail(ADVPN パートナー、スタティック トンネル)

show security ipsec security-associations sa-type shortcut(ADVPN)

show security ipsec security-associations sa-type shortcutdetail(ADVPN)

show security ipsec security-associations family inet detail

show security ipsec security-associationsdetail(SRX4600)

show security ipsec security-associations detail(SRX5400、SRX5600、SRX5800)

トンネル内のすべての IPsec SA に対応する新しい出力フィールド IKE SA Index が、各 IPsec SA 情報の下に表示されます。

show security ipsec security-associations ha-link-encryption(SRX5400、SRX5600、SRX5800)

Junos OSリリース20.4R1以降、高可用性(HA)機能を設定すると、このshowコマンドを使用してシャーシ間リンクトンネルの詳細のみを表示できます。

show security ipsec sa detail ha-link-encryption(SRX5400、SRX5600、SRX5800)

Junos OSリリース20.4R1以降、高可用性(HA)機能を設定すると、このshowコマンドを使用してシャーシ間リンクトンネルの詳細のみを表示できます。シャーシ間リンク暗号化トンネル用に作成されたマルチ SA が表示されます。

Junos OSリリース22.3R1以降では、シャーシクラスタHA制御リンク暗号化機能を設定すると、 、 、show security ike sa ha-link-encryption detailshow security ipsec sa ha-link-encryption detailおよび show security ipsec sa ha-link-encryption コマンドを実行してシャーシクラスタ制御リンク暗号化トンネルの詳細を表示できます。

show security ike sa ha-link-encryption detail

show security ipsec sa ha-link-encryption detail

show security ipsec sa ha-link-encryption

show security ipsec security-associations detail(SRXシリーズファイアウォールとMXシリーズルーター)

Junos OSリリース20.4R2、21.1R1以降では、 show security ipsec security-associations detail コマンドを実行してVPNのトラフィックセレクタータイプを表示できます。

show security ipsec security-associations detail(SRX5400、SRX5600、SRX5800)

Junos OSリリース21.1R1以降、IPsec SAに定義された複数の条件のローカルID、リモートID、プロトコル、送信元ポート範囲、宛先ポート範囲などのトラフィックセレクターの詳細を表示できます。

以前のJunosリリースでは、特定のSAのトラフィック選択は、IPアドレスまたはネットマスクを使用して定義された既存のIP範囲を使用して実行されていました。Junos OSリリース21.1R1以降では、を使用して指定された protocol_nameプロトコルを介してトラフィックが選択されます。また、送信元ポート番号と宛先ポート番号に指定された低ポート範囲と高ポート範囲。

show security ipsec security-associations srg-id

show security ipsec security-associationsノードローカル

show security ipsec security-associationsノードローカルの詳細

リリース情報

Junos OSリリース8.5で導入されたコマンド。Junos OSリリース11.1で追加されたオプションのサポート family

Junos OSリリース11.4R3で追加された オプションのサポート vpn-nametraffic-selector Junos OSリリース12.1X46-D10で追加されたオプションとトラフィックセレクターフィールドのサポート。

Junos OSリリース12.3X48-D10で追加された自動発見VPN(ADVPN)のサポート。

Junos OSリリース15.1X49-D70で追加されたIPsecデータパス検証のサポート。

スレッドアンカーシップのサポートは、Junos OSリリース17.4R1で追加されました。

Junos OS リリース 18.2R2 show security ipsec security-assocations detail 以降、コマンド出力には、セキュリティアソシエーション (SA) のスレッドアンカーシップ情報が含まれるようになります。

Junos OSリリース19.4R1以降、showコマンドshow security ipsec saの下にセキュリティアソシエーション(SA)を表示する新しいikedプロセスのCLIオプションfc-name(COS転送クラス名)は非推奨になりました。

Junos OSリリース20.4R1で追加された オプションのサポート ha-link-encryption

Junos OSリリース22.4R1で追加された オプションのサポート srg-id

passive-mode-tunneling Junos OSリリース23.1R1で、MX-SPC3上の のサポートが導入されました。

Junos OSリリース23.2R1で、 node-local オプションのサポートが追加されました。

Junos OSリリース23.4R1以降、 kmd-instance IPsec VPN用のプロセスがあるkmd場合にのみ、 オプションを使用できます。パッケージを使用して junos-ikedプロセスを有効にするiked場合、このオプションは使用できません。

Junos OSリリース23.4R1では、キロバイト単位のライフサイズ、残りのライフサイズ、およびikedプロセスを実行しているIPsec VPNを使用したコマンド出力でのVPN監視情報のサポートが追加されました。

関連ドキュメント