show security ipsec security-associations

Total active tunnels

- アクティブな IPsec トンネルの総数。

ID

SA のインデックス番号。この番号を使用して、SAに関する追加情報を取得できます。

Algorithm

IKE ネゴシエーション中にピア間の交換を保護するために使用される暗号化には、以下が含まれます。

• ピア間の交換を認証するために使用される認証アルゴリズム。

• データ トラフィックの暗号化に使用される暗号化アルゴリズム。

SPI

SPI(セキュリティ パラメーター インデックス)識別子。SAは、SPIによって一意に識別されます。各エントリーには、VPNの名前、リモートゲートウェイアドレス、各方向のSPI、暗号化と認証アルゴリズム、およびキーが含まれています。ピア ゲートウェイにはそれぞれ 2 つの SA があり、1 つはネゴシエーションの 2 つのフェーズのそれぞれに起因します。IKEとIPsec。

Life: sec/kb

SA の有効期間(有効期限が切れる)は、秒単位またはキロバイトで表されます。

Mon

Mon フィールドは VPN 監視ステータスを示します。VPN監視が有効になっている場合、このフィールドには(アップ)またはD(ダウン)が表示されますU。ハイフン(-)は、このSAでVPN監視が有効になっていないを意味します。A V は、IPsec データパス検証が進行中であることを意味します。

lsys

ルート システムです。

Port

NAT(ネットワーク アドレス変換)を使用する場合、この値は 4500 です。それ以外の場合は、標準のIKEポート500です。

Gateway

リモートゲートウェイのIPアドレス。

Virtual-system

論理システムの名前。

VPN name

VPN の IPsec 名。

State

状態には、2 つのオプションがあります。 InstalledNot Installed

• Installed-SAがSAデータベースにインストールされています。

• Not Installed-SAがSAデータベースにインストールされていません。

  トランスポート モードの場合、State の値は常に Installedです。

Local gateway

ローカル システムのゲートウェイ アドレス。

Remote gateway

リモート システムのゲートウェイ アドレス。

Traffic selector

トラフィックセレクターの名前。

Local identity

パートナーの宛先ゲートウェイと通信できるように、ローカル ピアの ID。この値は、IP アドレス、完全修飾ドメイン名、電子メール アドレス、または識別名(DN)として指定されます。

Remote identity

宛先ピア ゲートウェイの IP アドレス。

Term

ローカル IP 範囲、リモート IP 範囲、送信元ポート範囲、宛先ポート範囲、プロトコルを定義します。

Source-port

条件に設定された送信元ポート範囲。

Destination-Port

条件に設定された宛先ポート範囲。

Version

IKEバージョン、 IKEv1 または IKEv2.

DF-bit

ビットをフラグメント化しない状態:set または cleared.

Location

FPC-フレキシブルPICコンセントレータ(FPC)スロット番号。

PIC- PIC スロット番号。

KMD-Instance-FPC slot-number および PIC slot-numberによって識別される SPU 上で実行されている KMD インスタンスの名前。現在、各 SPU で 4 つの KMD インスタンス、および特定の IPsec ネゴシエーションが 1 つの KMD インスタンスによって実行されています。

Tunnel events

トンネル イベントとイベントが発生した回数。トンネルイベントの説明と実行できるアクションについては、 トンネルイベントを参照してください。

Anchorship

SA のアンカー スレッド ID(オプションを含む detail SRX4600 シリーズ デバイスの場合)。

Direction

SA の方向。インバウンドまたはアウトバウンドが可能です。

AUX-SPI

補助セキュリティ パラメーター インデックス(SPI)の値。

• 値が または ESPAUX-SPI の場合はAH、常に 0 になります。

• 値が の場合、 はAH+ESPAUX-SPI常に正の整数です。

Mode

SA のモード:

• transport—ホスト間の接続を保護します。

• tunnel—セキュリティ ゲートウェイ間の接続を保護します。

Type

SAのタイプ:

• manual—セキュリティ パラメーターにはネゴシエーションは必要ありません。静的で、ユーザーが設定します。

• dynamic—セキュリティパラメータは、IKEプロトコルによってネゴシエートされます。動的 SA は、トランスポート モードではサポートされていません。

State

SA の状態:

• Installed-SAがSAデータベースにインストールされています。

• Not Installed-SAがSAデータベースにインストールされていません。

  トランスポート モードの場合、State の値は常に Installedです。

Protocol

プロトコルがサポートされています。

• トランスポート モードは、ESP(カプセル化セキュリティ プロトコル)と AH(認証ヘッダー)をサポートします。

• トンネル モードは、ESP と AH をサポートします。

Authentication

使用される認証のタイプ。

Encryption

使用される暗号化のタイプ。

Junos OSリリース19.4R2以降、 階層レベルで [edit security ipsec proposal proposal-name] または aes-256-gcm 暗号化アルゴリズムとしてを設定aes-128-gcmすると、 コマンドのshow security ipsec security-associations detail認証アルゴリズムフィールドに、設定された同じ暗号化アルゴリズムが表示されます。

Soft lifetime

ソフト ライフタイムは、SA の有効期限が迫っていることを IPsec 鍵管理システムに通知します。

SAの各ライフタイムには、ハードとソフトの2つの表示オプションがあり、そのうちの1つは動的SAに存在する必要があります。これにより、ハード ライフタイムが終了する前に、鍵管理システムが新しい SA をネゴシエートできます。

• Expires in seconds- SAが期限切れになるまでの秒数。

Hard lifetime

ハード ライフタイムは、SA のライフタイムを指定します。

• Expires in seconds- SAが期限切れになるまでの秒数。

Lifesize Remaining

ライフサイズの残りは、使用制限をキロバイト単位で指定します。ライフサイズが指定されていない場合、無制限と表示されます。

• Expires in kilobytes- SA が期限切れになるまで残されたキロバイト数。

Anti-replay service

パケットが再生されるのを防ぐサービスの状態。または.EnabledDisabled

Replay window size

64 ビットのアンチリプレイ サービス ウィンドウのサイズ。

Bind-interface

ルートベースVPNがバインドされているトンネルインターフェイス。

Copy-Outer-DSCP

システムが、外部 DSCP 値を IP ヘッダーから内部 IP ヘッダーにコピーするかどうかを示します。

tunnel-establishment

IKE のアクティブ化方法を示します。

IKE SA index

親IKEセキュリティアソシエーションのリストを示します。

Total active tunnels

ID

Algorithm

SPI

Life:sec/kb

Mon

lsys

Port

Gateway

ID

Virtual-system

VPN Name

Local Gateway

Remote Gateway

Local Identity

Remote Identity

Version

DF-bit

Bind-interface

Direction

AUX-SPI

VPN Monitoring

Hard lifetime

Lifesize Remaining

Soft lifetime

Mode

Type

State

Protocol

Anti-replay service

Replay window size

HA リンク暗号化モード