Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティー ike セキュリティーの関連付けを表示

構文

説明

インターネット鍵交換のセキュリティアソシエーション (IKE SAs) に関する情報を表示します。

オプション

  • なし — インデックス番号を含め、既存のSA IKEに関する標準情報を表示します。

  • peer-address—(オプション)宛先ピアの IPv4 または IPv6 アドレスに基づいて、特定の SA の詳細を表示します。このオプションをindex選択すると、同じレベルの出力が得られます。

  • brief—(オプション)すべての既存のSAに関する標準情報IKEします。値

  • detail—(オプション)既存のすべてのSAの詳細情報をIKEします。

  • family—(オプション)ファミリ別IKE SA の表示を行います。このオプションは、出力をフィルタリングするために使用されます。

    • inet—IPv4 アドレス ファミリー。

    • inet6—IPv6 アドレス ファミリー。

  • fpc slot-number—(オプション)このFPC(フレキシブルPICコンセントレータ)IKE内の既存のSAに関する情報を表示します。このオプションは、出力をフィルタリングするために使用されます。

    シャーシクラスターでは、CLI コマンドshow security ike security-associations pic <slot-number> fpc <slot-number>を運用モードで実行すると、指定されたフレキシブル PIC コンセントレーター (FPC) スロットおよび PIC スロットにある既存の IPsec sa に関するプライマリノード情報のみが表示されます。

  • index SA-index-number—(オプション)SAのインデックス番号に基づいて、特定のSAの情報を表示します。特定の SA について、オプションなしでコマンドを使用して既存の Sa のリストを表示します。このオプションをpeer-address選択すると、同じレベルの出力が得られます。

  • kmd-instance —(オプション)FPCのスロット番号とPICスロット番号で特定された鍵管理プロセス(このケースではKMD)における既存のIKEのSAに関する情報を表示します。このオプションは、出力をフィルタリングするために使用されます。

    • all—SPU(サービス処理ユニット)上で実行している全 KMD インスタンス。

    • kmd-instance-name—SPU で実行されている KMD インスタンスの名前。

  • pic slot-number —(オプション)このPICスロット内IKEのSAに関する情報を表示します。このオプションは、出力をフィルタリングするために使用されます。

  • sa-type—(ADVPN の場合はオプション) SA のタイプ。 shortcut は、このリリースの唯一のオプションです。

必須の権限レベル

'95'5c

出力フィールド

表 1show security ike security-associations コマンドの出力フィールドの一覧が表示されます。出力フィールドは、表示されている順序で表示されます。

表 1: セキュリティ ike のセキュリティアソシエーション出力フィールドを表示します

フィールド名

フィールドの説明

IKE Peer or Remote Address

ローカルピアが通信する宛先ピアの IP アドレスです。

Index

SA のインデックス番号。この番号は、1つの SA に関する情報を表示するために使用できる内部的に生成された番号です。

Gateway Name

IKE ゲートウェイの名前。

Location

  • FPC:FPC(Flexible PIC Concentrator)スロット番号。

  • PIC—PIC スロット番号。

  • KMD-Instance—SPU で実行されている KMD インスタンスの名前。FPC のスロット番号と PIC スロット番号で識別されます。現在、各 SPU で4個の KMD インスタンスが実行されており、特定の IKE ネゴシエーションは、1個の KMD インスタンスによって行われています。

Role

IKE セッションで再生される部品。IKE ネゴシエーションをトリガーするデバイスはイニシエーターであり、最初の IKE の exchange パケットを受け付けるデバイスはレスポンダーです。

State

IKE Sa の状態:

  • DOWN:SAはピアとネゴシエートされていない。

  • UP:SAはピアとネゴシエートされました。

Initiator cookie

クッキーと呼ばれる乱数で、IKE ネゴシエーションがトリガーされるとリモートノードに送信されます。

Responder cookie

リモートノードによって生成され、パケットを受信したことを確認するためにイニシエーターに返送された乱数。

Cookie は、過剰な CPU リソースを消費することなく、コンピューティングリソースを攻撃から保護することを目的としています。 cookie の信頼性を判断します。

Exchange type

ネゴシエーション方法は、相互間で情報を交換するために使用される2つの IPsec エンドポイントまたはピアで合意しています。各 exchange タイプまたはモードによって、各メッセージに含まれるメッセージ数とペイロードタイプが決定されます。モードは次のとおりです。

  • main—交換は 6 つのメッセージで行われます。このモードは、ペイロードを暗号化し、近隣ノードのアイデンティティを保護します。

  • aggressive—交換は 3 つのメッセージで行われます。このモードでは、ペイロードは暗号化されず、近傍のアイデンティティは保護対象外になります。

IKEv2 プロトコルは、ネゴシエーションのためにモード構成を使用しません。そのため、このモードでは、セキュリティアソシエーションのバージョン番号が表示されます。

Authentication method

IKE メッセージの送信元を認証するために使用される方法Pre-shared-keysRSA-signatures。または、、、 DSA-signaturesECDSA-signatures-384ECDSA-signatures-256などのデジタル証明書のいずれかまたは両方を指定できます。

Local

ローカルピアのアドレスです。

Remote

リモートピアのアドレス。

Lifetime

IKE SA が期限切れになるまでの残り秒数。

Reauth Lifetime

有効にすると、再認証が行われるまでの残り時間 (秒数) 新しい IKEv2 SA ネゴシエーションがトリガーされます。

IKE Fragmentation

EnabledIKEv2 イニシエーターとレスポンダーの両方がメッセージの断片化をサポートし、IKE_SA_INIT メッセージ交換中にサポートをネゴシエートしていることを意味します。

Size断片化が発生する前の IKEv2 メッセージの最大サイズを示します。

Algorithms

IPsec フェーズ2プロセスで、ピア間の交換を暗号化および保護するために使用される IKE アルゴリズム:

  • Authentication—使用される認証アルゴリズムのタイプ:

    • sha1—セキュア ハッシュ アルゴリズム 1 認証。

    • md5—MD5 認証。

  • Encryption—使用される暗号化アルゴリズムのタイプ:

    • aes-256-cbc—AES(Advanced Encryption Standard)256 ビット暗号化。

    • aes-192-cbc— AES192 ビット暗号化。

    • aes-128-cbc—AES 128 ビット暗号化。

    • 3des-cbc—3 DES(データ暗号化規格)暗号化。

    • aes-128-gcm—AES(Advanced Encryption Standard)256 ビット暗号化。

    • des-cbc—DES 暗号化。

    Junos OS リリース 19.4R2 から、階層レベルで設定した場合、または暗号化アルゴリズムとしてコマンドの認証アルゴリズム フィールドに、同じ設定された暗号化アルゴリズムが表示されます aes-128-gcmaes-256-gcm[edit security ipsec proposalproposal-name] show security ikesecurity-associations detail

  • Pseudo random function:予測不能なランダムな数値を生成する機能:hmac-md5またhmac-sha1はです。

  • Diffie-Hellman group—新しい Diffie-Hellman 交換を実行する際に、Diffie-Hellman グループのタイプを指定します。以下のいずれかを指定できます。

    • group1—768 ビットモジュラー指数(MODP)アルゴリズム。

    • group2—1024 ビット MODP アルゴリズム。

    • group14—2048 ビット MODP Group。

    • group15—3072 ビット MODP アルゴリズム。

    • group16—4096 ビット MODP アルゴリズム。

    • group19—256 ビットのランダム楕円曲線グループ係数(ECP グループ)アルゴリズムです。

    • group20—384 ビットのランダム ECP グループ アルゴリズム。

    • group21—521 ビットのランダム ECP グループ アルゴリズム。

    • group24—2048 ビットの MODP グループと 256 ビットの素数注文サブグループ。

Traffic statistics

  • Input bytes—受信したバイト数。

  • Output bytes—送信バイト数

  • Input packets—受信したパケット数。

  • Output packets—送信パケット数

  • Input fragmented packets—受信した IKEv2 フラグメント パケット数。

  • Output fragmented packets—送信された IKEv2 フラグメントパケットの数。

Flags

IKE ネゴシエーションのステータスの鍵管理プロセスへの通知:

  • caller notification sent— ネゴシエーションの完了を通知するIKEします。

  • waiting for done—ネゴシエーションが完了します。ライブラリは、リモートエンド再送タイマーが期限切れになるまで待機します。

  • waiting for remove—ネゴシエーションに失敗しました。ライブラリは、リモートエンド再送タイマーが期限切れになるのを待ってから、このネゴシエーションを削除します。

  • waiting for policy manager—ネゴシエーションは、ポリシー マネージャーからの応答を待っています。

IPSec security associations

  • number created:作成された Sa の数。

  • number deleted: 削除された Sa の数。

Phase 2 negotiations in progress

進行中および状態情報のフェーズ 2 IKE ネゴシエーション数:

  • Negotiation type—フェーズ 2 ネゴシエーションのタイプ。Junos OS 現在、クイックモードをサポートしています。

  • Message ID—フェーズ 2 ネゴシエーションの一意の識別子。

  • Local identity—ローカル フェーズ 2 ネゴシエーションのアイデンティティ。形式は id-type-name(proto-name:port-number、[0..id-data-len] = iddata-presentation) です

  • Remote identity—リモート フェーズ 2 ネゴシエーションのアイデンティティ。形式は id-type-name(proto-name:port-number、[0..id-data-len] = iddata-presentation) です

  • Flags—ネットワーク ネゴシエーションのステータスの主要な管理プロセスIKEします。

    • caller notification sent— ネゴシエーションの完了を通知するIKEします。

    • waiting for done—ネゴシエーションが完了します。ライブラリは、リモートエンド再送タイマーが期限切れになるまで待機します。

    • waiting for remove—ネゴシエーションに失敗しました。ライブラリは、リモートエンド再送タイマーが期限切れになるのを待ってから、このネゴシエーションを削除します。

    • waiting for policy manager—ネゴシエーションは、ポリシー マネージャーからの応答を待っています。

Local gateway interface

ローカル ゲートウェイのインターフェイス名。

Routing instance

ローカル ゲートウェイ ルーティング インスタンスの名前。

IPsec Tunnel IDs

子 IPsec トンネル ID のリストを示します。

サンプル出力

security ike security-association (IPv4) を表示します

security ike security-association (IPv6) を表示します

security ike のセキュリティアソシエーションの詳細 (SRX300、SRX320、SRX340、SRX345、SRX550HM デバイス) を表示します。

セキュリティ ike セキュリティ-アソシエーションの詳細 (SRX5400、SRX5600、SRX5800 デバイス) を表示します。

command-name

show security ike stats トピックは 、 コマンドの出力フィールドを一 show security ike security-associations detail 覧表示します。

security ike セキュリティ-関連付けファミリー inet6 を表示

セキュリティ ike セキュリティ-アソシエーションインデックス222075191の詳細を表示します。

セキュリティ ike セキュリティ-アソシエーションインデックス788674の詳細を表示します。

セキュリティー ike セキュリティーアソシエーション192.168.1.2 を表示

セキュリティー ike セキュリティー-association fpc 6 pic 1 kmd-インスタンスすべて (SRX シリーズデバイス)

security ike セキュリティ-アソシエーションの詳細を表示します (ADVPN Suggester、スタティックトンネル)

セキュリティ ike セキュリティ-アソシエーションの詳細を表示します (ADVPN パートナー、静的トンネル)

セキュリティー ike セキュリティー-アソシエーションの詳細を表示 (ADVPN パートナー、ショートカット)

セキュリティー ike セキュリティーアソシエーション sa タイプのショートカット (ADVPN) を表示

セキュリティー ike セキュリティー-アソシエーション sa-タイプのショートカットの詳細を表示 (ADVPN)

セキュリティ ike セキュリティ-アソシエーションの詳細を表示 (IKEv2 再認証)

セキュリティ ike セキュリティ-アソシエーションの詳細 (IKEv2 の断片化) を表示します

リリース情報

Junos OS リリース8.5 で導入されたコマンドJunos OS リリース 9.3 fpcpic追加さkmd-instanceれた、、およびオプションのサポート。Junos OS リリース 11.1 familyで追加されたオプションをサポートします。Junos OS Release 12.3 X48-D10 で追加された自動検出 VPN のサポート。Junos OS Release 15.1 X49-D60 で追加された IKEv2 再認証をサポートします。Junos OS Release 15.1 X49-D80 で追加された IKEv2 フラグメント化のサポート。

リリースリリース ha-link-encryption で追加されたオプションJunos OSサポート20.4R1。