Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show services ipsec-vpn ike security-associations

構文

説明

(適応サービスインターフェースのみ)インターネット鍵交換(IKE)セキュリティアソシエーションの情報を表示します。セキュリティ アソシエーションが指定されていない場合は、すべてのセキュリティ アソシエーションの情報が表示されます。

オプション

none

(概要と同じ)すべてのIPsecセキュリティアソシエーションの規格情報を表示します。

brief | detail

(オプション)指定された出力レベルを表示します。

peer-address

(オプション)特定のセキュリティ アソシエーション アドレスに関する情報を表示します。

必要な権限レベル

ビュー

出力フィールド

表 1 に、このコマンドの出力フィールド show services ipsec-vpn ike security-associations を示します。出力フィールドは、表示されるおおよその順序に従って示しています。

表1:show services ipsec-vpn ike security-associations出力フィールド

フィールド名

フィールドの説明

出力レベル

IKE ピア

IKE ネゴシエーションのリモート エンド。

詳細

役割

IKEセッションで果たされた役割。IKE ネゴシエーションをトリガーするルーターがイニシエーターとなり、最初の IKE 交換パケットを受け入れるルーターがレスポンダとなります。

詳細

リモート アドレス

レスポンダのアドレス。

指定なし

状態

IKEセキュリティアソシエーションの状態:

  • 成熟 - IKE セキュリティ アソシエーションが確立されています。

  • 未成熟 - IKE セキュリティ アソシエーションはネゴシエーション処理中です。

指定なし

イニシエーター Cookie

IKE ネゴシエーションがトリガーされると、乱数がリモート・ノードに送信されます。

すべてのレベル

レスポンダークッキー

リモートノードは独自の乱数を生成し、パケットが受信されたことを確認するためにイニシエータに送り返します。

数多くあるセキュリティ サービスの中で、DoS(サービス拒否)に対する防御は、対処が最も困難なサービスの 1 つです。「クッキー」または目詰まり防止トークン(ACT)は、クッキーの信頼性を判断するために過剰なCPUリソースを費やすことなく、コンピューティングリソースを攻撃から保護することを目的としています。CPU を集中的に使用する公開キー操作の前に交換することで、一部の DoS 試行 (無効な IP ソース アドレスによる単純なフラッディングなど) を阻止できます。

すべてのレベル

交換タイプ

IKE 交換内のメッセージの数、および各メッセージに含まれるペイロードの種類を指定します。各交換タイプは、参加者の匿名性、キー情報の完全前方秘匿性、参加者の認証など、特定のセキュリティサービスセットを提供します。Junos OSは、以下の2種類の交換をサポートしています。

  • [メイン(Main)]:6 つのメッセージで交換が行われます。 Main はペイロードを暗号化し、ネイバーの ID を保護します。

  • アグレッシブ:3 つのメッセージで交換が行われます。 アグレッシブ はペイロードを暗号化せず、ネイバーの ID は保護されないままにします。

  • IKEv2—IKE バージョン 2 を使用して交換がネゴシエートされます。

すべてのレベル

写真

IKEセキュリティアソシエーションが表示されるサービスPIC。

すべてのレベル

認証方法

どのペイロードをいつ交換するかを決定する認証方法。値は、ECDSA 署名 (256 ビット鍵)、ECDSA 署名 (384 ビット鍵)、事前共有鍵、または RSA 署名です。

メモ:

Junos FIPSモードでは、ECDSAはJunos OSリリース17.3R1ではサポートされていません。Junos OS Release 17.4R1以降、ECDSAはJunos FIPSモードでサポートされます。

詳細

地元の

ローカルエンドのプレフィックスとポート番号。

詳細

リモート

リモートエンドのプレフィックスとポート番号。

詳細

有効 期間

IKE セキュリティ アソシエーションの有効期限が切れるまでの残り秒数。

詳細

アルゴリズム

IKE アルゴリズム出力のヘッダー。

  • 認証—(詳細 出力のみ)使用される認証アルゴリズムのタイプ: md5 または sha1

  • 暗号化—(詳細 出力のみ)使用される暗号化アルゴリズムのタイプ: des-cbc3des-cbc、または なし

  • 擬似乱数関数 - 非常に予測不可能な乱数を生成する関数: hmac-md5 または hmac-sha1

詳細

トラフィック統計

IKE セキュリティ アソシエーションで送受信されたバイト数およびパケット数。

  • 入力バイト、出力バイト—IKEセキュリティアソシエーションで受信および送信されたバイト数。

  • 入力パケット、出力パケット—IKEセキュリティアソシエーションで受信および送信されたパケット数。

詳細

フラグ

IKE ネゴシエーションのステータスを鍵管理プロセスに通知します。

  • 発信側通知送信済み - 発信側プログラムが IKE ネゴシエーションの完了を通知しました。

  • 完了待ち—ネゴシエーション完了です。ライブラリーは、リモート・エンド再送信タイマーが満了するのを待機しています。

  • 削除を待機しています—ネゴシエーションに失敗しました。ライブラリーは、このネゴシエーションを削除する前に、リモート・エンド再送信タイマーが満了するのを待ちます。

  • ポリシー マネージャーの待機中 - ネゴシエーションはポリシー マネージャーからの応答を待機しています。

詳細

IPsecセキュリティ アソシエイツ

このIKEセキュリティアソシエーションで作成および削除されたIPsecセキュリティアソシエーションの数。

詳細

フェーズ 2 のネゴシエーションが進行中

進行中のフェーズ2ネゴシエーションの数とステータス情報:

  • ネゴシエーション タイプ:フェーズ 2 ネゴシエーションのタイプ。現在、Junos OSは クイック モードをサポートしています。

  • メッセージ ID - フェーズ 2 ネゴシエーションの一意の識別子。

  • ローカル ID - ローカル フェーズ 2 ネゴシエーションの ID。形式は (proto-name:port-number,[0..id-data-len] = iddata-presentation)ですid-type-name

  • リモート ID - リモート フェーズ 2 ネゴシエーションの ID。形式は id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)

  • フラグ—IKE ネゴシエーションのステータスを鍵管理プロセスに通知します。

    • 発信側通知送信済み - 発信側プログラムが IKE ネゴシエーションの完了を通知しました。

    • 完了待ち—ネゴシエーション完了です。ライブラリーは、リモート・エンド再送信タイマーが満了するのを待機しています。

    • 削除を待機しています—ネゴシエーションに失敗しました。ライブラリーは、このネゴシエーションを削除する前に、リモート・エンド再送信タイマーが満了するのを待ちます。

    • ポリシー マネージャーの待機中 - ネゴシエーションはポリシー マネージャーからの応答を待機しています。

詳細

サンプル出力

ショーサービスipsec-vpn IKEセキュリティアソシエーション

ショーサービスipsec-vpn IKEセキュリティアソシエーションの詳細

show services ipsec-vpn ike security-associations(ACX500ルーター上)

リリース情報

Junos OSリリース7.4より前に導入されたコマンド。

Junos OSリリース12.1で導入された各サービスPICのインターネットキー交換(IKE)セキュリティアソシエーションの統計。