show status ipsec

IPsec-SA(IKE Phase-2)のステータスを参照する

コマンドの書式

show status { ipsec | ipsec.anonymous | ipsec.security-policy }
ipsec
IPsec-SAのステータスを参照する
ipsec.anonymous
PPPACインタフェースに関連するIPsec-SAのステータスのみ参照する
ipsec.security-policy
IPsecセキュリティポリシーを参照する

出力例:IPsecのセッションが確立していない場合

No SAD entries.

出力例:IPsecのセッションが確立している場合

 172.16.20.1 172.16.20.2
        esp mode=transport spi=50831713(0x0307a161) reqid=16387(0x00004003)
        E: aes-cbc  bf34022e d51d07c2 7b450497 8152ca06 515e5fa2 210a52fd e8c9f1a1 024f6db5
        A: hmac-sha1  3c40ac53 13c1d1ef e9a1adc7 0c41c663 fd2e7b2c
        seq=0x00000000 replay=32 flags=0x00000000 state=mature
        created: Jan  1 11:07:28 2012   current: Jan  1 11:08:33 2012
        diff: 65(s)     hard: 28800(s)  soft: 23040(s)
        last: Jan  1 08:59:56 2012      hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=1 pid=914 refcnt=2
172.16.20.2 172.16.20.1
        esp mode=transport spi=142094498(0x087830a2) reqid=16388(0x00004004)
        E: aes-cbc  078635a9 7315752d b1672e8f 7ed45663 52ab80ad 9b65d07f 8d4d44a8 7741a5d6
        A: hmac-sha1  a0142b9e d00d2006 2c175088 19799752 da730a1f
        seq=0x00000000 replay=32 flags=0x00000000 state=mature
        created: Jan  1 11:07:28 2012   current: Jan  1 11:08:33 2012
        diff: 65(s)     hard: 28800(s)  soft: 23040(s)
        last: Jan  1 08:59:56 2012      hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=914 refcnt=1

説明

項目 項目の意味
172.16.20.1 172.16.20.2 IPsec SA の始点と終点を示します
  • IPv4 または IPv6 アドレスが入ります。始点と終点のアドレスファミリは常に同一です
esp mode=transport ... IPsec SA のカプセル化モードを示します
  • tunnel または transport が入ります。IPsec I/F は表示上は transport になります
esp … spi=50831713(0x0307a161) ... IPsec SA の SPI (Security Parameter Index) を示します
  • <10 進>(<16 進>)という形式で表示されますが、同じ内容です
esp … reqid=16387(0x00004003) IPsec SA の Reqid を示します
  • 内部情報です
E: aes-cbc <dump> IPsec SA の暗号鍵(key material)を示します
  • 取り扱いに注意が必要です
A: hmac-sha1 <dump> IPsec SA の認証鍵(key material)を示します
  • 取り扱いに注意が必要です
seq=0x00000000 IPsec SA のシーケンス番号を示します
  • IPsec では受信履歴を管理するために、1 パケットごとにシーケンス番号を割り当てます。同一シーケンス番号のパケットを複数受信した場合は、リプレイ攻撃と見なして破棄します
replay=32 リプレイ攻撃を防ぐための履歴管理ウインドウのサイズを示します
  • この場合、直近の 32 パケットについて受信履歴を保存します。これより古いパケットは全て受信済みと見なして破棄します
flags=0x00000000 IPsec SA の属性フラグです
  • 内部情報です
state=mature IPsec SA のステートを示します
  • IPsec SA は次のように遷移します
    1. Larval(IKEを折衝中)
    2. Mature(有効期間中)
    3. Dying(有効期間の8割を経過)
    4. Dead(有効期間を超過し削除待ち)
  • MatureまたはDyingのSA のみ通信に使用可能です
create: Jan 1 11:07:28 2012 IKE により IPsec SA が確立した際の時刻を示します
  • 有効期間の管理の起点となります
current: Jan 1 11:08:33 2012 ステータス表示を実行した時点の時刻を示します
  • ステータス表示が古かったり、NTP による時刻同期ができない場合でも、この表示をもとに有効期間を確認できます
diff: 65(s) IPsec SA の作成からの経過時間です
  • IPsec SA が作成されてから、ステータス表示を実行した時点までに経過した時間を示します
hard: 28800(s) IPsec SA の有効期限(lifetime-of-time)です
  • この期限を過ぎると IPsec SA のステートは「Dead」になり通信に使えなくなります
soft: 23040(s) IPsec SAのrekey (鍵の再交換)までの期限(時間)です
  • 期限を過ぎると IPsec SA のステートは「Dying」になり IKE による rekey が実行されます
current: 0 (bytes)hard: 0 (bytes)soft: 0 (bytes) IPsec SAの転送バイト数に基づく有効期限情報(lifetime-of-byte)です
  • 内容は上記の時間による管理と同じです。バイト数の current は、時間の diff に相当します
allocated:hard:soft: IPsec SAの被参照数に基づく有効期限情報です
  • 内容は上記の時間による管理と同じです。回数の allocated は、時間の diff に相当します
sadb_seq=1 PF_KEYのシーケンス番号です
  • 内部情報です
pid=914 PF_KEYメッセージの送信先PIDです
  • 内部情報です
refcnt=2 IPsec SAのプロトコルスタック内部での被参照数です
  • 内部情報です