show status interface.ipsec[]

IPsecインタフェースのステータスを参照する

コマンドの書式

show status interface.ipsec[]
show status interface.ipsec*

出力例:IPsecインタフェースが設定されていない場合

interface ipsec0:
	Status: administratively down
	MTU: 1280
	TCPMSS: none
	TCPMSS6: none
	ToS/TrafficClass: copy
	LastChange: (Not Changed)
	Ipkts: 0, Ierrs: 0, Opkts: 0, Oerrs: 0, Colls: 0
	InOctets: 0, OutOctets: 0, InDrops: 0, OutDiscards: 0
	InUnknownProtos: 0

出力例:IPsecインタフェースのセッションが確立している場合

interface ipsec0:
        Status: administratively up
        MTU: 1500
	TCPMSS: 1240
	TCPMSS6: none
        ToS/TrafficClass: 0x0
        LastChange: 2012/01/01 09:00:29
        Ipkts: 3, Ierrs: 0, Opkts: 1, Oerrs: 1, Colls: 0
        InOctets: 536, OutOctets: 72, InDrops: 0, OutDiscards: 0
        InUnknownProtos: 0
        Tunnel address: 10.3.1.156 --> 10.3.1.155
        IP   address: 203.0.113.1 --> 203.0.113.1 netmask: 255.255.255.0
        IPv6 address: fe80::2e0:4dff:feff:324%ipsec0 --> fe80::2e0:4dff:feff:324%ipsec0 prefixlen: 64
 
        PHASE1 <ipsec0> 10.3.1.156 <------> 10.3.1.155
                Cookies: 0x503a535ef:0x02ba3b0ba
                Status: established
                Side: responder
                Phase2 Negotiations: 1
                Create Time: 2012-01-01 09:01:25
                Lifetime[sec]: 86400 (85100 left)
                Identity (local): 10.3.1.156/32 (AddressPrefix)
                Identity (remote): 10.3.1.155/32 (AddressPrefix)
        PHASE2 <ipsec0> 10.3.1.156 --OUT--> 10.3.1.155
                ESP SPI 46420787(0x02C45333)
                Status: mature
                Create Time: 2012-11-19 19:44:20
                Use Time: (not used)
                Lifetime[sec]: 28800 (28141 left)
                Used Packets/Bytes[bytes]: (not yet)/(not yet)
                NAT-T: (Not Detected)
        PHASE2 <ipsec0> 10.3.1.156 <--IN--- 10.3.1.155
                ESP SPI 94725242(0x05A5647A)
                Status: mature
                Create Time: 2012-11-19 19:44:20
                Use Time: 2012-11-19 19:54:12
                Lifetime[sec]: 28800 (28141 left)
                Used Packets/Bytes[bytes]: 3/596
                NAT-T: (Not Detected)

説明

1. interface セクション
項目 項目の意味
Status
administratively up

設定により有効化されている

administratively down
設定により有効化されていない
  • 意図した状態でない場合は、設定不足の可能性があります
MTU インタフェースのMTU値
TCPMSS インタフェースのIPv4 TCP-MSS書き換えの値
TCPMSS インタフェースのIPv6 TCP-MSS書き換えの値
ToS/TrafficClass カプセル化後のパケットのToSまたはTrafficClassの値
LastChange
固定IPアドレスでの設定時
コンフィグ取得時、または最後にコンフィグ反映された時刻
フロートリンクでの設定時
IPsec/IKEの送信元または送信先IPアドレスが変更された時刻(該当インタフェースのみ更新されます)
  • 起動時に取得したコンフィグに設定されていない場合は"(Not Changed)"と表示されます
  • 起動時に取得したコンフィグによって有効化され、その後状態が変化していない場合には、"2012/01/01 "xx:xx:xx" のようなシステム起動時の初期時刻が表示されます。これは起動後の時刻合わせに追従しません
Ipkts 受信パケット数
Opkts 送信パケット数
Ierrs エラーとみなした受信パケット数
Oerrs エラーとみなした送信パケット数
Colls 送信時にコリジョンを検出した回数
InOctets 受信バイト数
OutOctets 送信バイト数
InDrops ドロップした受信パケット数
OutDiscards 破棄した送信パケット数
InUnknownProtos プロトコルが不明だった受信パケット数
Tunnel address トンネルの始点アドレス、および終点アドレス
IP address netmask インタフェースに割り当てられているIPv4アドレス、およびサブネットマスク
IPv6 address prefixlen scopeid インタフェースに割り当てられているIPv6アドレス、およびプレフィックス長
2. PHASE1 セクション
項目 項目の意味
PHASE1 IKE Phase1(ISAKMP-SA)の始点・終点アドレス
  • IPv4アドレスまたはIPv6アドレスが入ります。始点・終点のアドレスファミリは常に同一です。
Cookies: IKE Phase1 の Cookie(SPI)
  • 歴史的事情により、用語がCookieとSPIの2種類あります。元となったISAKMPプロトコルではCookie、新しいIKEではSPIと呼ばれます。
  • SA(Security Association)の識別子として機能します。
Status: IKE Phase1 のステータス
  • 折 衝ステータスは次のように遷移します。
    1. spawn
    2. start
    3. 1st message received
    4. 2nd message sent
    5. 3rd message received
    6. established
    7. expired
  • messageの received / sent は鍵交換モードや折衝サイド(initiator/responder)により順番が変わります。
Side: IKE Phase1 の折衝サイド
initiator
始動者
responder
応答者
Phase2 negotiations: 当該 IKE Phase1 を利用して折衝した IKE Phase2 の数
  • IKE Phase1の有効期限以内にIKE Phase2を再折衝するとき、同一のpeerとの間で複数のIKE Phase2セッションを確立する場合には、その数だけ値が増加します。IKE Phase2の設定に問題があって再折衝を繰り返す場合、この値が急激に増加する可能性があります。
Create Time: IKE Phase1 の確立日時
  • 有効期限の計算はこの日時を起点に行われます。
Lifetime[sec]: IKE Phase1 の有効期限(秒数)

Identity (local):

Identity (remote):

IKE Phase1 の ID
  • IKE Phase1では、有効期限は時間による管理のみです。また、有効期限の8割を消費しても自動で再折衝することはありません。DPDなどでセッションの維持が必要とされた場合のみ再折衝します。
  • IKE Phase2の有効期限が切れる前にIKE Phase1の有効期限が切れた場合、IKE Phase1の有効期限を延長します。これにより、IKE Phase1の有効期限後もIKE Phase2の管理メッセージを送受信できますが、RFCには規定のない動作のため相互接続性は保証されません。この期限延長中のIKE Phase1は新しいIKE Phase2の折衝には利用できません。期限延長に対応しない対向装置の場合、IKE Phase2の管理メッセージは対向装置側で対応するPhase1が見つからないメッセージとして破棄されます。
3. PHASE2 セクション
項目 項目の意味
PHASE2 IKE Phase2(IPsec-SA)の始点・終点アドレス
  • IN方向とOUT方向を別々のセクションで表示します
  • IPv4アドレスまたはIPv6アドレスが入ります。始点・終点のアドレスファミリは常に同一です。
ESP SPI IPsec SAの識別子
  • 10進数と十六進数で表示されます
Status: IPsec SA のステート
  • ステートは次のように遷移します。
    1. larval(IKEで詳細を折衝中)
    2. mature(有効期間内)
    3. dying(有効期間の8割を経過)
    4. dead(有効期間を超過しリソース回収待ち)
  • mature または dying のSAが通信に使用されます
Create: IKE Phase2 の確立日時
  • 有効期限の計算はこの日時を起点に行われます。
Use Time: IPsec SAを利用して最後に転送した日時
Lifetime[sec]: IKE Phase2 の有効期限(秒数)
Used Packets/Bytes[bytes]: IPsec SAを利用した転送パケット数及びバイト数
NAT-T: NAT Traversalの使用状態