show services ipsec-vpn ipsec security-associations
構文
show services ipsec-vpn ipsec security-associations <brief | detail | extensive> <service-set service-set-name>
説明
(アダプティブ サービス インターフェイスのみ)指定されたサービス セットの IPsec セキュリティ アソシエーションを表示します。サービス・セットが指定されていない場合は、すべてのサービス・セットのセキュリティー・アソシエーションが表示されます。
オプション
| none | すべてのサービス セットの IPsec セキュリティ アソシエーションに関する標準情報を表示します。 |
| brief | detail | extensive | (オプション)指定された出力レベルを表示します。 |
| service-set service-set-name | (オプション)特定のサービス セットに関する情報を表示します。 |
必要な権限レベル
ビュー
出力フィールド
表 1 は、 コマンドの出力フィールドをshow services ipsec-vpn ipsec security-associations示しています。出力フィールドは、概して表示される順序で一覧表示されます。
フィールド名 |
フィールドの説明 |
出力レベル |
|---|---|---|
|
IPsec セキュリティ アソシエーションが定義されているサービス セットの名前。必要に応じて、外部サービス インターフェイス VRF 名を含めます。 |
すべてのレベル |
|
セキュリティ アソシエーションに適用されるルール セットの名前。 |
|
|
セキュリティ アソシエーションに適用される IPsec 条件の名前。 |
|
|
セキュリティ アソシエーションの特定の IPsec トンネルの数字識別子。 |
|
|
ローカル システムのゲートウェイ アドレス。 |
すべてのレベル |
|
リモート システムのゲートウェイ アドレス。 |
すべてのレベル |
|
IPsec トンネルをホストする論理インターフェイスの名前。 |
すべてのレベル |
|
IPsecトンネルのMTU。 |
すべてのレベル |
|
セキュリティ アソシエーションのキー更新で IPsec トンネルがアップした時間の合計。 |
|
|
IPsec アソシエーションのローカル エンティティのプロトコル、アドレス、プレフィックス、ポート番号。の形式は.
フィールドの値は、 |
すべてのレベル |
|
IPsec アソシエーションのリモート エンティティのプロトコル、アドレス、プレフィックス、ポート番号。の形式は.
フィールドの値は、 |
すべてのレベル |
|
設定されたプライマリリモートピアのIPアドレス。 |
すべてのレベル |
|
設定されたバックアップリモートピアのIPアドレス。 |
すべてのレベル |
|
プライマリまたはバックアップ インターフェイスの状態: |
すべてのレベル |
|
プライマリインターフェイスとバックアップインターフェイスを切り替えたPICの回数、またはソフトウェアがアクティブ化されてからプライマリピアとリモートピア間で切り替えたトンネルの回数。 |
すべてのレベル |
|
セキュリティ アソシエーションの方向: |
すべてのレベル |
|
セキュリティ パラメーター インデックスの値。 |
すべてのレベル |
|
補助セキュリティー・パラメーター・インデックスの値。
|
すべてのレベル |
|
セキュリティ アソシエーションのモード:
|
|
|
セキュリティ アソシエーションのタイプ:
|
|
|
セキュリティ アソシエーションのステータス:
|
|
|
対応プロトコル:
|
すべてのレベル |
|
使用される認証のタイプ: |
|
|
使用される暗号化アルゴリズムの種類: 、 、
メモ:
Junos FIPS モードでは、AES-GCM は Junos OS リリース 17.3R1 ではサポートされていません。Junos OS リリース 17.4R1 以降、AES-GCM は Junos FIPS モードでサポートされています。 |
|
|
セキュリティアソシエーションの各ライフタイムには、ハードとソフトの2つの表示オプションがあり、そのうちの1つは動的なセキュリティアソシエーションに存在する必要があります。ハード ライフタイムは、SA のライフタイムを指定します。ハード ライフタイムから派生するソフト ライフタイムは、SA の有効期限が間に合わされていることを IPsec 鍵管理システムに通知します。この情報により、鍵管理システムは、ハード ライフタイムが終了する前に新しい SA をネゴシエートできます。
|
|
|
パケットの再生を防止するサービスの状態: |
|
|
セキュリティ アソシエーション向けに設定されたハード ライフタイム(合計ライフタイム)(秒)。 |
|
|
アンチプレイ サービス ウィンドウの設定サイズ(パケット数): |
|
|
NAT-T 機能を無効にするように設定します。デフォルトではNAT-Tは有効になっています。 |
すべてのレベル。 |
|
NAT 変換が続行されるように、NAT キープアライブ パケットを送信できる間隔を指定します。 |
すべてのレベル。 |
サンプル出力
- 広範な show services ipsec-vpn ipsec セキュリティ アソシエーション
- show services ipsec-vpn ipsec セキュリティ アソシエーションの詳細
- show services ipsec-vpn ipsec セキュリティ アソシエーション(ACX500 ルーター上)
広範な show services ipsec-vpn ipsec セキュリティ アソシエーション
user@host> show services ipsec-vpn ipsec security-associations extensive Service set: service-set-1 Rule: _junos_, Term: term-1, Tunnel index: 1 Local gateway: 192.0.2.2, Remote gateway: 198.51.100.4 IPSec inside interface: sp-2/0/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Primary remote gateway: 192.0.2.1, State: Standby Backup remote gateway: 198.51.100.4, State: Active Failover counter: 1 Direction: inbound, SPI: 3743521590, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 23043 seconds Hard lifetime: Expires in 23178 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 2551045240, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 23043 seconds Hard lifetime: Expires in 23178 seconds Anti-replay service: Enabled, Replay window size: 64 disable-natt: No, nat-keepalive: 10
show services ipsec-vpn ipsec セキュリティ アソシエーションの詳細
user@host> show services ipsec-vpn ipsec security-associations detail Service set: ipsec-sset-0, IKE Routing-instance: default Rule: ipsec-rule-0, Term: term0, Tunnel index: 1 Local gateway: 192.0.2.1, Remote gateway: 192.0.2.2 IPSec inside interface: ms-3/0/0.1, Tunnel MTU: 1500 UDP encapsulate: Disabled, UDP Destination port: 0 Local identity: ipv4_subnet(any:0,[0..7]=198.51.100.0/16) Remote identity: ipv4_subnet(any:0,[0..7]=203.0.113.0/16) NATT Detection: Not Detected, NATT keepalive interval: 0 Total uptime: 0 days 0 hrs 1 mins 4 secs Direction: inbound, SPI: 4004530393, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Soft lifetime: Expires in 27885 seconds Hard lifetime: Expires in 28736 seconds Anti-replay service: Enabled, Replay window size: 4096 Copy ToS: Enabled Copy TTL: Disabled, TTL value: 64 SA lifetime: 28800 seconds Direction: outbound, SPI: 1323638473, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Soft lifetime: Expires in 27885 seconds Hard lifetime: Expires in 28736 seconds Anti-replay service: Enabled, Replay window size: 4096 Copy ToS: Enabled Copy TTL: Disabled, TTL value: 64 SA lifetime: 28800 seconds
show services ipsec-vpn ipsec セキュリティ アソシエーション(ACX500 ルーター上)
user@host> show services ipsec-vpn ipsec security-associations
Service set: SS_1, IKE Routing-instance: Customer-1
Rule: rule_1, Term: 1, Tunnel index: 2
Local gateway: 192.168.1.11, Remote gateway: 192.168.10.130
IPSec inside interface: ms-0/2/0.8, Tunnel MTU: 1300
UDP encapsulate: Disabled, UDP Destination port: 0
Direction SPI AUX-SPI Mode Type Protocol
inbound 2204677182 0 tunnel dynamic ESP
outbound 3015420439 0 tunnel dynamic ESP
Service set: SS_2, IKE Routing-instance: Customer-1
Rule: Customer-1_rule_1, Term: 1, Tunnel index: 1
Local gateway: 192.168.1.12, Remote gateway: 192.168.20.130
IPSec inside interface: ms-0/2/0.7, Tunnel MTU: 1300
UDP encapsulate: Disabled, UDP Destination port: 0
Direction SPI AUX-SPI Mode Type Protocol
inbound 2093089828 0 tunnel dynamic ESP
outbound 2160146627 0 tunnel dynamic ESP
リリース情報
Junos OS リリース 7.4 より前に導入されたコマンド。