Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show services ipsec-vpn ipsec security-associations

構文

説明

(適応サービス インターフェイスのみ)指定されたサービス セットのIPsecセキュリティ アソシエーションを表示します。サービス セットが指定されていない場合は、すべてのサービス セットのセキュリティ アソシエーションが表示されます。

オプション

なし

すべてのサービス セットのIPsecセキュリティ アソシエーションに関する規格情報を表示します。

要約|詳細|広範囲

(オプション)指定された出力レベルを表示します。

サービスセット service-set-name

(オプション)特定のサービス セットに関する情報を表示します。

必須の権限レベル

ビュー

出力フィールド

表 1 は、 コマンドの出力フィールドを示show services ipsec-vpn ipsec security-associationsしています。出力フィールドは、概して表示される順序で一覧表示されます。

表 1:show services ipsec-vpn ipsec security-associations 出力フィールド

フィールド名

フィールドの説明

出力レベル

Service set

IPsecセキュリティ アソシエーションが定義されているサービス セットの名前。必要に応じて、外部サービス インターフェイス VRF 名を含まれます。

すべてのレベル

Rule

セキュリティ アソシエーションに適用されたルール セットの名前。

detail extensive

Term

セキュリティ アソシエーションに適用される IPsec 用語の名前。

detail extensive

Tunnel index

セキュリティ アソシエーションの特定のIPsecトンネルの数字識別子。

detail extensive

Local gateway

ローカル システムのゲートウェイ アドレス。

すべてのレベル

Remote gateway

リモート システムのゲートウェイ アドレス。

すべてのレベル

IPsec inside interface

IPsecトンネルをホストする論理インターフェイスの名前。

すべてのレベル

Tunnel MTU

MTUを定義します。

すべてのレベル

Total uptime

セキュリティ アソシエーション再キー全体で IPsec トンネルがアップした時間の合計。

detail

Local identity

IPsecアソシエーションのローカルエンティティのプロトコル、アドレスまたはプレフィックス、ポート番号。形式は . id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)IPsecルールではユーザーが設定できないため、プロトコルは常に任意の値で表示されます。同様に、出力のポート番号フィールドは常に 0 と表示されます。これは IPsec ルールでユーザーが設定できません。パラメーターの値は id-data-len 、IPsec ルールで設定されたアドレスに応じて、以下のいずれかを使用できます。

  • IPv4アドレスの場合、長さは4で、表示される値は3です。

  • IPv4 アドレスのサブネット マスクの場合、長さは 8 で、値は 7 です。

  • 一部の IPv4 アドレスの場合、長さは 8 で、値は 7 です。

  • IPv6アドレス プレフィックスの場合、長さは16で、値は15です。

  • IPv6 アドレス プレフィックスのサブネット マスクの場合、長さは 32 で、表示される値は 31 です。

  • IPv6アドレス プレフィックスの範囲では、長さは32で、表示される値は31です。

フィールドの値は id-data-presentation 、IPv4 アドレスまたは IPv6 プレフィックスの詳細を示します。IPsec アソシエーションのローカル ピアのアドレスではなく、完全に認定されたドメイン名(FQDN)が指定されている場合は、アドレスの詳細の代わりにそれが表示されます。

すべてのレベル

Remote identity

IPsecアソシエーションのリモートエンティティのプロトコル、アドレスまたはプレフィックス、ポート番号。形式は . id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)IPsecルールではユーザーが設定できないため、プロトコルは常に任意の値で表示されます。同様に、出力のポート番号フィールドは常に 0 と表示されます。これは IPsec ルールでユーザーが設定できません。パラメーターの値は id-data-len 、IPsec ルールで設定されたアドレスに応じて、以下のいずれかを使用できます。

  • IPv4アドレスの場合、長さは4で、表示される値は3です。

  • IPv4 アドレスのサブネット マスクの場合、長さは 8 で、値は 7 です。

  • 一部の IPv4 アドレスの場合、長さは 8 で、値は 7 です。

  • IPv6アドレス プレフィックスの場合、長さは16で、値は15です。

  • IPv6 アドレス プレフィックスのサブネット マスクの場合、長さは 32 で、表示される値は 31 です。

  • IPv6アドレス プレフィックスの範囲では、長さは32で、表示される値は31です。

フィールドの値は id-data-presentation 、IPv4 アドレスまたは IPv6 プレフィックスの詳細を示します。IPsec アソシエーションのリモート ピアのアドレスではなく、完全に認定されたドメイン名(FQDN)が指定されている場合は、アドレスの詳細の代わりにそれが表示されます。

すべてのレベル

Primary remote gateway

設定されたプライマリ リモート ピアのIPアドレス。

すべてのレベル

Backup remote gateway

設定されたバックアップ リモート ピアの IP アドレス。

すべてのレベル

State

プライマリ インターフェイスまたはバックアップ インターフェイスの状態: Active、 、 OfflineStandby、 .どちらの ES PIC も 次の値に使用されます Offline。プライマリ ピアとバックアップ ピアの場合は State 、 または Active を 使用します Standby。両方のピアが「 」の状態である Standby場合、2 つのピア間の接続はまだ存在しません。

すべてのレベル

Failover counter

PICがプライマリ インターフェイスとバックアップ インターフェイス間で切り替えた回数、またはソフトウェアがアクティブ化された後にプライマリ ピアとリモート ピア間でトンネルが切り替えた回数。

すべてのレベル

Direction

セキュリティ アソシエーションの方向: inbound または outbound.

すべてのレベル

SPI

セキュリティ パラメーター インデックスの値。

すべてのレベル

AUX-SPI

補助セキュリティー パラメーター インデックスの値。

  • の値が または Protocol AH の場合は ESPAUX-SPI 0

  • の値が の Protocol 場合 AH+ESP、常 AUX-SPI に正の整数になります。

すべてのレベル

Mode

セキュリティ アソシエーションのモード:

  • transport:単一のホストからホスト間の保護。

  • tunnel:セキュリティ ゲートウェイ間の接続を保護します。

detail extensive

Type

セキュリティ アソシエーションのタイプ:

  • manual—セキュリティ パラメーターはネゴシエーションを必要とします。静的であり、ユーザーが設定します。

  • dynamic:セキュリティ パラメーターは、プロトコルによってネゴシエートIKEされます。トランスポート モードでは、動的セキュリティ アソシエーションはサポートされていません。

detail extensive

State

セキュリティ アソシエーションのステータス:

  • Installed—セキュリティ アソシエーションがセキュリティ アソシエーション データベースにインストールされます。(トランスポート モード セキュリティ アソシエーションの場合、状態の値は常にインストールされている必要があります)。

  • Not installed—セキュリティ アソシエーション データベースにセキュリティ アソシエーションがインストールされていません。

detail extensive

Protocol

対応プロトコル:

  • transport モードは、カプセル化セキュリティ プロトコル( )ESPまたは認証ヘッダー( )をサポートしていますAH

  • tunnel モードは、 または ESP をサポートします AH+ESP

すべてのレベル

Authentication

使用する認証のタイプ: hmac-md5-96、 、 、 hmac-sha1-96none、 .

detail extensive

Encryption

使用する暗号化アルゴリズムのタイプ: 3des-cbcaes-gcm (128 bits)aes-cbc (192 bits)aes-cbc (128 bits)aes-gcm(192 bits)aes-gcm (256 bits)aes-cbc (256 bits)des-cbcを指定できます。None

メモ:

FIPS Junos モードでは、AES-GCM は FIPS Junos OSサポート17.3R1。FIPS Junos OS リリース 17.4R1、AES-GCM は FIPS Junosサポートされています。

detail

Soft lifetime

Hard lifetime

セキュリティ アソシエーションの各ライフタイムにはハード/ソフトという 2 つの表示オプションがあります。そのうちの 1 つが動的なセキュリティ アソシエーションに必要です。ハード ライフタイムは、SA のライフタイムを指定します。ハード ライフタイムから派生したソフト ライフタイムは、SA が間近で期限切れとなる IPsec 鍵管理システムを通知します。この情報により、鍵管理システムは、ハード ライフタイムが切れる前に新しいSAをネゴシエートできます。

  • Expires inseconds seconds—セキュリティ アソシエーションの有効期限切れまでの時間。

  • Expires inkilobyteskilobytes—セキュリティ アソシエーションの有効期限切れまでのキロバイト数。  

detail extensive

Anti-replay service

パケットが再プレイされるのを防ぐサービスの状態: Enabled または Disabled

detail extensive

SA lifetime

セキュリティ アソシエーション用に設定されたハード ライフタイム(合計ライフタイム)(秒)。

detail

Replay window size

アンチプレイ サービス ウィンドウの、パケットで設定されたサイズ: 32 または 64。アンチプレイ ウィンドウ サイズは、古いパケットまたは重複するパケットを拒否することで、レシーバをリプレイ攻撃から保護します。リプレイ ウィンドウのサイズが の場合 0、アンチプレイ サービスは無効になります。

detail

disable-natt

NAT-T 機能を無効に設定します。デフォルトでは、 NAT-T が有効になっています。

すべてのレベル。

nat-keepalive

キープアティブ パケットNAT送信する間隔を指定して、NATします。

すべてのレベル。

出力例

show services ipsec-vpn ipsec security associations extensive(

show services ipsec-vpn ipsec セキュリティ アソシエーションの詳細

show services ipsec-vpn ipsecセキュリティ アソシエーション(ACX500上)

リリース情報

リリース7.4 Junos OS前に導入されたコマンド。