Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの
 

show services ipsec-vpn ike security-associations

構文

説明

(適応サービス インターフェイスのみ)ネットワーク セキュリティ アソシエーションインターネット鍵交換(IKE)の情報を表示します。セキュリティ アソシエーションが指定されていない場合は、すべてのセキュリティ アソシエーションに関する情報が表示されます。

オプション

なし

(要約と同じ)すべてのIPsecセキュリティ アソシエーションの規格情報を表示します。
要約|詳細

(オプション)指定された出力レベルを表示します。
peer-address

(オプション)特定のセキュリティ アソシエーション アドレスに関する情報を表示します。

必須の権限レベル

ビュー

出力フィールド

表 1 は 、 コマンドの出力フィールドを示 show services ipsec-vpn ike security-associations しています。出力フィールドは、概して表示される順序で一覧表示されます。

表 1:show services ipsec-vpn ike security-associations 出力フィールド

フィールド名

フィールドの説明

出力レベル

IKE ピア

ネットワーク ネゴシエーションのIKE終了。

詳細

役割

セッション内IKEパートパケット ネゴシエーションをトリガー IKEルーターはイニシエーターであり、最初のパケット交換パケットを受け入IKEルーターはレスポンダーです。

詳細

リモート アドレス

レスポンダーの住所。

指定なし

状態

新しいセキュリティ アソシエーションIKEの状態:

  • 成熟した— IKEとの関連付けを確立

  • 成熟していない — セキュリティ アソシエーションIKEはネゴシエーション中です。

指定なし

イニシエーター Cookie

ネットワーク ネゴシエーションIKEトリガーされると、ランダム番号がリモート ノードに送信されます。

すべてのレベル

レスポンダー Cookie

リモート ノードはそれ自身のランダム番号を生成し、パケットが受信された検証としてイニシエーターに送り返します。

利用可能な数多くのセキュリティ サービスの中で、サービス拒否(DoS)に対する保護は、対処が最も困難なサービスの 1 つです。「Cookie」または Anticlogging Token(ACT)は、過度のCPUリソースを使ってCookieの真偽を判断することなく、コンピューティングリソースを攻撃から保護することを目的としています。CPU を大量に使用する公開キー操作が行う前に交換を行った場合、大量のデータDoS(無効な IP ソース アドレスによる単純なフラッディングなど)を阻止できます。

すべてのレベル

Exchange タイプ

イベント 交換内のメッセージ数IKEおよび各メッセージに含まれるペイロード タイプを指定します。各交換タイプは、参加者の匿名性、鍵となる資料の完全転送、参加者の認証など、特定のセキュリティ サービスを提供します。Junos OS、2 種類の交換をサポートします。

  • メイン — 交換は 6 つのメッセージで行われます。 メイン ではペイロードを暗号化して、ネイバーのアイデンティティを保護します。

  • アグレッシブ— 交換は 3 つのメッセージで行われます。 アグ レッシブはペイロードを暗号化し、ネイバーのアイデンティティを保護しないままにします。

  • IKEv2 —交換はバージョン 2 でネゴシエートIKEされます。

すべてのレベル

写真

ネットワーク セキュリティ アソシエーションがIKEサービスPIC。

すべてのレベル

認証方法

交換するペイロードと交換日を決定する認証方法。値には、ECDSA 署名(256 ビット 鍵)、ECDSA 署名(384 ビット鍵)、事前共有鍵、または RSA シグネチャーを使用できます。

メモ:

FIPS Junos モードでは、ECDSA は FIPS リリース Junos OSサポート17.3R1。FIPS Junos OS リリース 17.4R1、ECDSA は FIPS Junosサポートされています。

詳細

地元の

ローカルエンドのプレフィックスとポート番号。

詳細

リモート

リモート エンドのプレフィックスとポート番号。

詳細

有効 期間

セキュリティ アソシエーションの有効期限が終了IKEする時間数。

詳細

アルゴリズム

データ アルゴリズム出力IKEヘッダー。

  • 認証 —(詳細 出力のみ) 使用される認証アルゴリズムのタイプ: md5 または sha1

  • 暗号化 —(詳細 出力のみ) 使用する暗号化アルゴリズムのタイプ: des-cbc3des-cbcまたは None

  • 疑似ランダム機能 : hmac-md5 または hmac-sha1 など、予測不可能な非常に多くのランダムな数値を 生成する機能

詳細

トラフィック統計情報

パケット セキュリティ アソシエーションで送受信されるバイトIKE数。

  • 入力バイト、出力バイト—データ セキュリティ アソシエーション上で送受信されるIKE数。

  • 入力パケット、出力パケット —パケットセキュリティ アソシエーションで送受信IKE数。

詳細

フラグ

ネゴシエーションのステータスの主要な管理プロセスIKE通知します。

  • 送信元通知 - 発信者プログラムに対して、メッセージのネゴシエーションが完了IKE通知されます。

  • 待つ— ネゴシエーションは完了ライブラリは、リモートのエンド再送タイマーが期限切れになるのを待機しています。

  • 削除を待つ - ネゴシエーションに失敗しました。ライブラリは、このネゴシエーションを削除する前に、リモートのエンド再送タイマーが期限切れになるのを待っています。

  • ポリシー マネージャーを待つ - ネゴシエーションはポリシー マネージャーからの応答を待っています。

詳細

IPsec セキュリティ アソシエイト

このセキュリティ アソシエーションとともに作成および削除されたIPsec IKE数。

詳細

フェーズ 2 ネゴシエーション進行中

進行中のフェーズ 2 ネゴシエーションの数とステータス情報:

  • ネゴシエーション タイプ — フェーズ 2 ネゴシエーションのタイプ。現在、Junos OS クイック モード がサポートされています

  • メッセージ ID — フェーズ 2 ネゴシエーションの一意の識別子。

  • ローカルアイデンティティ — ローカルフェーズ2ネゴシエーションのアイデンティティ。形式は id-type-name (proto-name:port-number,[0..id-data-len] = ) iddata-presentationです

  • リモート アイデンティティ —リモート フェーズ 2 ネゴシエーション のアイデンティティ。形式は id-type-name (proto-name:port-number,[0..id-data-len] = ) iddata-presentation

  • フラグ — ネットワーク ネゴシエーションのステータスの主要な管理プロセスIKEします。

    • 送信元通知 - 発信者プログラムに対して、メッセージのネゴシエーションが完了IKE通知されます。

    • 待つ— ネゴシエーションは完了ライブラリは、リモートのエンド再送タイマーが期限切れになるのを待機しています。

    • 削除を待つ - ネゴシエーションに失敗しました。ライブラリは、このネゴシエーションを削除する前に、リモートのエンド再送タイマーが期限切れになるのを待っています。

    • ポリシー マネージャーを待つ - ネゴシエーションはポリシー マネージャーからの応答を待っています。

詳細

出力例

show services ipsec-vpn ike security-associations

show services ipsec-vpn ike security-associations detail

show services ipsec-vpn ike security-associations(ACX500 ルーター上)

リリース情報

リリース7.4 Junos OS前に導入されたコマンド。

リリース12.1でインターネット鍵交換された各サービスPIC Junos OS(IKE)セキュリティ アソシエーションの統計情報。