show services ipsec-vpn ike security-associations
構文
show services ipsec-vpn ike security-associations <brief | detail> <peer-address>
説明
(適応サービスインターフェースのみ)インターネット鍵交換(IKE)セキュリティアソシエーションの情報を表示します。セキュリティ アソシエーションが指定されていない場合は、すべてのセキュリティ アソシエーションの情報が表示されます。
オプション
none | (概要と同じ)すべてのIPsecセキュリティアソシエーションの規格情報を表示します。 |
brief | detail | (オプション)指定された出力レベルを表示します。 |
peer-address | (オプション)特定のセキュリティ アソシエーション アドレスに関する情報を表示します。 |
必要な権限レベル
ビュー
出力フィールド
表 1 に、このコマンドの出力フィールド show services ipsec-vpn ike security-associations
を示します。出力フィールドは、表示されるおおよその順序に従って示しています。
フィールド名 |
フィールドの説明 |
出力レベル |
---|---|---|
IKE ピア |
IKE ネゴシエーションのリモート エンド。 |
詳細 |
役割 |
IKEセッションで果たされた役割。IKE ネゴシエーションをトリガーするルーターがイニシエーターとなり、最初の IKE 交換パケットを受け入れるルーターがレスポンダとなります。 |
詳細 |
リモート アドレス |
レスポンダのアドレス。 |
指定なし |
状態 |
IKEセキュリティアソシエーションの状態:
|
指定なし |
イニシエーター Cookie |
IKE ネゴシエーションがトリガーされると、乱数がリモート・ノードに送信されます。 |
すべてのレベル |
レスポンダークッキー |
リモートノードは独自の乱数を生成し、パケットが受信されたことを確認するためにイニシエータに送り返します。 数多くあるセキュリティ サービスの中で、DoS(サービス拒否)に対する防御は、対処が最も困難なサービスの 1 つです。「クッキー」または目詰まり防止トークン(ACT)は、クッキーの信頼性を判断するために過剰なCPUリソースを費やすことなく、コンピューティングリソースを攻撃から保護することを目的としています。CPU を集中的に使用する公開キー操作の前に交換することで、一部の DoS 試行 (無効な IP ソース アドレスによる単純なフラッディングなど) を阻止できます。 |
すべてのレベル |
交換タイプ |
IKE 交換内のメッセージの数、および各メッセージに含まれるペイロードの種類を指定します。各交換タイプは、参加者の匿名性、キー情報の完全前方秘匿性、参加者の認証など、特定のセキュリティサービスセットを提供します。Junos OSは、以下の2種類の交換をサポートしています。
|
すべてのレベル |
写真 |
IKEセキュリティアソシエーションが表示されるサービスPIC。 |
すべてのレベル |
認証方法 |
どのペイロードをいつ交換するかを決定する認証方法。値は、ECDSA 署名 (256 ビット鍵)、ECDSA 署名 (384 ビット鍵)、事前共有鍵、または RSA 署名です。
メモ:
Junos FIPSモードでは、ECDSAはJunos OSリリース17.3R1ではサポートされていません。Junos OS Release 17.4R1以降、ECDSAはJunos FIPSモードでサポートされます。 |
詳細 |
地元の |
ローカルエンドのプレフィックスとポート番号。 |
詳細 |
リモート |
リモートエンドのプレフィックスとポート番号。 |
詳細 |
有効 期間 |
IKE セキュリティ アソシエーションの有効期限が切れるまでの残り秒数。 |
詳細 |
アルゴリズム |
IKE アルゴリズム出力のヘッダー。
|
詳細 |
トラフィック統計 |
IKE セキュリティ アソシエーションで送受信されたバイト数およびパケット数。
|
詳細 |
フラグ |
IKE ネゴシエーションのステータスを鍵管理プロセスに通知します。
|
詳細 |
IPsecセキュリティ アソシエイツ |
このIKEセキュリティアソシエーションで作成および削除されたIPsecセキュリティアソシエーションの数。 |
詳細 |
フェーズ 2 のネゴシエーションが進行中 |
進行中のフェーズ2ネゴシエーションの数とステータス情報:
|
詳細 |
サンプル出力
- ショーサービスipsec-vpn IKEセキュリティアソシエーション
- ショーサービスipsec-vpn IKEセキュリティアソシエーションの詳細
- show services ipsec-vpn ike security-associations(ACX500ルーター上)
ショーサービスipsec-vpn IKEセキュリティアソシエーション
user@host> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 192.0.2.1 Matured 062d291d21275fc7 82ef00e3d1f1c981 Main 192.0.2.2 Matured cd6d581d7bb1664d 88a707779f3ad8d1 Main 192.0.2.3 Matured 86621051e3e78360 6bc5cc83fd67baa4 IKEv2 PIC: sp-0/3/0 192.0.2.7 Matured 565e2813075e6fdb 67886757a74edcd6 IKEv2
ショーサービスipsec-vpn IKEセキュリティアソシエーションの詳細
user@host> show services ipsec-vpn ike security-associations detail IKE peer 198.51.100.2 Role: Responder, State: Matured Initiator cookie: d91c9f20f78e1d4e, Responder cookie: 727a04ed8d5021a1 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 2013.0.113.2:500, Remote: 198.51.100:500 Lifetime: Expires in 1357 seconds Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 22244 Output bytes : 22236 Input packets: 263 Output packets: 263 Flags: Caller notification sent IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 0 IKE peer 192.0.2.4 Role: Initiator, State: Matured Initiator cookie: cf22bd81a7000001, Responder cookie: fe83795c2800002e Exchange type: Main, Authentication method: Pre-shared-keys Local: 192.0.2.5:500, Remote: 192.0.2.4:500 Lifetime: Expires in 187 seconds Algorithms: Authentication : md5 Encryption : 3des-cbc Pseudo random function: hmac-md5 Traffic statistics: Input bytes : 1000 Output bytes : 1280 Input packets: 5 Output packets: 9 Flags: Caller notification sent IPsec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 3582889153 Local: 192.0.2.5:500, Remote: 192.0.2.4:500 Local identity: ipv4_subnet(tcp:80,[0..7]=10.1.1.0/24) Remote identity: ipv4_subnet(tcp:100,[0..7]=10.1.2.0/24) Flags: Caller notification sent, Waiting for done
show services ipsec-vpn ike security-associations(ACX500ルーター上)
user@host> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 192.168.10.130 Matured 90864887dfecb178 9a2ee2ab786f960d Main 192.168.20.130 Matured 1dd17732a8c9b13a b06e5072ac7362bf Main 192.0.2.7 Matured 565e2813075e6fdb 67886757a74edcd6 IKEv2
リリース情報
Junos OSリリース7.4より前に導入されたコマンド。
Junos OSリリース12.1で導入された各サービスPICのインターネットキー交換(IKE)セキュリティアソシエーションの統計。