Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security group-vpn server ike security-associations

Syntax

Description

IKE セキュリティーアソシエーション (Sa) を表示します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

Options

  • なし — すべてのグループのIKEすべてのすべてのすべてのSAを表示します。

  • 概要 —(オプション)サマリ出力を表示します。

  • detail—(オプション)詳細な出力レベルを表示します。

  • group—(オプション)指定したIKEのSAのパスを表示します。

  • group-id—(オプション)指定したIKEのSAのパスを表示します。

    グループメンバーが IKE SA を使用して、複数のグループに登録することができます。指定したグループgroupgroup-id IKE sa をリストするまたはオプションを指定すると、グループへの登録に使用できる既存のすべての IKE sa が表示されます。

  • index—(オプション)SAのインデックス番号に基づいて、特定のSAの情報を表示します。特定の SA のインデックス番号を取得するには、オプションを指定せずにコマンドを使用して、既存の sa のリストを表示します。

Required Privilege Level

'95'5c

Output Fields

表 1show security group-vpn server ike security-associations コマンドの出力フィールドの一覧が表示されます。出力フィールドは、表示されている順序で表示されます。

表 1: show security group-vpn server ike security-associations Output Fields

フィールド名

フィールドの説明

Index

SA のインデックス番号。この番号は、1つの SA に関する情報を表示するために使用できる内部的に生成された番号です。

Remote Address

ローカルピアが通信する宛先ピアの IP アドレスです。

State

IKE セキュリティアソシエーションの状態:

  • DOWN:SAはピアとネゴシエートされていない。

  • UP:SAはピアとネゴシエートされました。

Initiator cookie

クッキーと呼ばれる乱数で、IKE ネゴシエーションがトリガーされるとリモートノードに送信されます。

Responder cookie

リモートノードによって生成され、パケットを受信したことを確認するためにイニシエーターに返送された乱数。

Cookie は、過度の CPU リソースを使って Cookie の信頼性を判断することなく、コンピューティング リソースを攻撃から保護することを目的としています。

Mode

ネゴシエーション方法は、両者の間で情報を交換するために使用される2つの IPsec エンドポイントまたはピアで合意しています。各交換タイプによって、各メッセージに含まれるメッセージ数とペイロードタイプが決定されます。モード (交換タイプ) は

  • main—交換は 6 つのメッセージで行われます。このモードまたは exchange タイプは、ペイロードを暗号化して、その近隣のアイデンティティを保護します。次のような認証方法が表示されます。事前共有鍵または証明書。

  • aggressive—交換は 3 つのメッセージで行われます。このモードまたは交換タイプは、ペイロードを暗号化せずに、近隣のアイデンティティを保護しないままにします。

IKE Peer

ローカルピアが通信する宛先ピアの IP アドレスです。

Exchange type

ネゴシエーション方法は、両者の間で情報を交換するために使用される2つの IPsec エンドポイントまたはピアで合意しています。各交換タイプによって、各メッセージに含まれるメッセージ数とペイロードタイプが決定されます。モード (交換タイプ) は

  • main—交換は 6 つのメッセージで行われます。このモードまたは exchange タイプは、ペイロードを暗号化して、その近隣のアイデンティティを保護します。次のような認証方法が表示されます。事前共有鍵または証明書。

  • aggressive—交換は 3 つのメッセージで行われます。このモードまたは交換タイプは、ペイロードを暗号化せずに、近隣のアイデンティティを保護しないままにします。

Authentication method

サーバーが IKE メッセージの送信元を認証するために使用する方法:

  • pre-shared-keys:トンネル ネゴシエーションを開始する前に、両方の参加者が持つ暗号化と暗号化解除のための事前共有鍵。

rsa-signatures—認定者のアイデンティティを確認する証明書、デジタル署名。

Local

ローカルピアのアドレスです。

Remote

リモートピアのアドレス。

Lifetime

IKE SA が期限切れになるまでの残り秒数。

Algorithms

IPsec フェーズ2プロセスで、ピア間の交換を暗号化および保護するために使用されるインターネット鍵交換 (IKE) アルゴリズム:

  • Authentication—使用される認証アルゴリズムのタイプ。

    • sha-256—セキュア ハッシュ アルゴリズム 256 認証。

    • sha-384—セキュア ハッシュ アルゴリズム 384 認証..

  • Encryption—使用されている暗号化アルゴリズムのタイプ。

    • aes-256-cbc—AES(Advanced Encryption Standard)256 ビット暗号化。

    • aes-192-cbc— AES192 ビット暗号化

    • aes-128-cbc—AES 128 ビット暗号化。

Traffic statistics

  • Input bytes—受信したバイト数。

  • Output bytes—送信バイト数

  • Input packets—受信したパケット数。

  • Output packets—送信パケット数

IPSec security associations

  • number created:作成された Sa の数。

  • number deleted: 削除された Sa の数。

Phase 2 negotiations in progress

進行中および状態情報のフェーズ 2 IKE ネゴシエーション数:

  • Negotiation type—フェーズ 2 ネゴシエーションのタイプ。Junos OS 現在、クイックモードをサポートしています。

  • Message ID—フェーズ 2 ネゴシエーションの一意の識別子。

  • Local identity—ローカル フェーズ 2 ネゴシエーションのアイデンティティ。形式は、id タイプ名 (proto-name: port-number, [0. id-データ-len] = iddata-プレゼンテーション)

  • Remote identity—リモート フェーズ 2 ネゴシエーションのアイデンティティ。形式は、id タイプ名 (proto-name: port-number, [0. id-データ-len] = iddata-プレゼンテーション)

  • Flags—ネットワーク ネゴシエーションのステータスの主要な管理プロセスIKEします。

    • caller notification sent— ネゴシエーションの完了を通知するIKEします。

    • waiting for done—ネゴシエーションが完了します。ライブラリは、リモートエンド再送タイマーが期限切れになるまで待機します。

    • waiting for remove—ネゴシエーションに失敗しました。ライブラリは、リモートエンド再送タイマーが期限切れになるのを待ってから、このネゴシエーションを削除します。

    • waiting for policy manager—ネゴシエーションは、ポリシー マネージャーからの応答を待っています。

Sample Output

show security group-vpn server ike security-associations

Sample Output

show security group-vpn server ike security-associations detail

Release Information

Junos OS リリース10.2 で導入されたコマンド