show status ike

IKE(IKE Phase-1)のステータスを参照する

コマンドの書式

show status { ike | ike.anonymous }
ike
IKEのステータスを参照する
ike.anonymous
PPPACインタフェースに関連するIKEのステータスのみ参照する

出力例:IPsecトンネルが設定されていない場合

(None)

出力例:IPsecトンネルが設定されている場合

PHASE1  10.3.1.156 <------> 10.3.1.155
        Cookies: 0x7f9eb163b:0x7a3bbac02
        Status: established
        Side: initiator
        Phase2 Negotiations: 1
        Create Time: 2012-01-01 09:00:52
        Lifetime[sec]: 86400 (86251 left)
        Identity (local): 10.3.1.156/32 (AddressPrefix)
        Identity (remote): 10.3.1.155/32 (AddressPrefix)

説明

1. PHASE1 セクション
項目 項目の意味
PHASE1 IKE Phase1(ISAKMP-SA)の始点・終点アドレス
  • IPv4アドレスまたはIPv6アドレスが入ります。始点・終点のアドレスファミリは常に同一です。
Cookies: IKE Phase1 の Cookie(SPI)
  • 歴史的事情により、用語がCookieとSPIの2種類あります。元となったISAKMPプロトコルではCookie、新しいIKEではSPIと呼ばれます。
  • SA(Security Association)の識別子として機能します。
Status: IKE Phase1 のステータス
  • 折 衝ステータスは次のように遷移します。
    1. spawn
    2. start
    3. 1st message received
    4. 2nd message sent
    5. 3rd message received
    6. established
    7. expired
  • messageの received / sent は鍵交換モードや折衝サイド(initiator/responder)により順番が変わります。
Side: IKE Phase1 の折衝サイド
initiator
始動者
responder
応答者
Phase2 negotiations: 当該 IKE Phase1 を利用して折衝した IKE Phase2 の数
  • IKE Phase1の有効期限以内にIKE Phase2を再折衝するとき、同一のpeerとの間で複数のIKE Phase2セッションを確立する場合には、その数だけ値が増加します。IKE Phase2の設定に問題があって再折衝を繰り返す場合、この値が急激に増加する可能性があります。
Create Time: IKE Phase1 の確立日時
  • 有効期限の計算はこの日時を起点に行われます。
Lifetime[sec]: IKE Phase1 の有効期限(秒数)

Identity (local):

Identity (remote):

 IKE Phase1 の ID
  • IKE Phase1では、有効期限は時間による管理のみです。また、有効期限の8割を消費しても自動で再折衝することはありません。DPDなどでセッションの維持が必要とされた場合のみ再折衝します。
  • IKE Phase2の有効期限が切れる前にIKE Phase1の有効期限が切れた場合、IKE Phase1の有効期限を延長します。これにより、IKE Phase1の有効期限後もIKE Phase2の管理メッセージを送受信できますが、RFCには規定のない動作のため相互接続性は保証されません。この期限延長中のIKE Phase1は新しいIKE Phase2の折衝には利用できません。期限延長に対応しない対向装置の場合、IKE Phase2の管理メッセージは対向装置側で対応するPhase1が見つからないメッセージとして破棄されます。