[index] CentreCOM AR410 V2 コマンドリファレンス 2.6

SHOW IPSEC POLICY

カテゴリー:IPsec / IPsecポリシー

SHOW IPSEC POLICY[=policy] [SABUNDLE] [COUNTERS]

policy: IPsecポリシー名(1〜23文字)

IPsecポリシーに関する情報を表示する。



パラメーター

POLICY: IPsecポリシー名。省略時はすべてのIPsecポリシーの情報を簡潔に表示する。指定時は、該当ポリシーの詳細情報を表示する。

SABUNDLE: 該当IPsecポリシーに基づいて作成されたSAバンドルの情報だけを表示する。

COUNTERS: 該当IPsecポリシーの統計カウンターを表示する。



入力・出力・画面例 

SecOff > show ipsec policy

  Interface  Name                     Action     KeyManagement  Position
  ------------------------------------------------------------------------
  ppp0       isa                      PERMIT     -                 1
  ppp0       vpn                      IPSEC      ISAKMP            2
  ppp0       inet                     PERMIT     -                 3

SecOff > show ipsec policy=vpn

  Ipsec Policy Information

  Name ........................... vpn
  Interface ...................... ppp0
  Position ....................... 2
  Action ......................... IPSEC
  Key Management ................. ISAKMP
  Isakmp Policy Name .............
  Bundle Specification ........... 1
  Peer IP Address Dynamic ........ FALSE
  Peer IP Address Any ............ FALSE
  Local IP Address Dynamic ....... TRUE
  Lower Layer Available .......... TRUE
  Activating Lower Layer ......... FALSE
  Peer IP Address ................ 1.1.1.1
  Local IP Address ............... 63.12.66.74
  Use PFS Key .................... FALSE
  Group........................... 1
  Filter:
    Local Address ................ 192.168.20.0
    Local Mask ................... 255.255.255.0
    Local Port ................... ANY
    Local Name ................... ANY
    Remote Address ............... 192.168.1.0
    Remote Mask .................. 255.255.255.0
    Remote Port .................. ANY
    Remote Name .................. ANY
    Transport Protocol ........... ANY
    Sa Selector From Pkt ......... 00000000
  DF Bit ......................... CLEAR
  UDP Tunnel ..................... FALSE
      Peer Port .................. -
      Peer IP Address ............ -
      Internal IP Address ........ -
      HeartBeats Enabled ......... -
  Debug device ................... 16
  Filter debug flags ............. 00000000
  Packet debug flags ............. 00000000
  Trace debug flags .............. 00000000
  Packet debug length ............ 72
  Max Out Packet queue length .... 20
  Number of Out Packets queued ... 0

Bundles

  Bundle                           Expiry Limits - hard/soft/used
  Index SA's              State    Bytes                Seconds
  -----------------------------------------------------------------------
   0    1                 VALID    -/-/34910            28800/27360/109

SecOff > show ipsec policy sabundle

  Ipsec Policy SA Bundles

  Bundle                           Expiry Limits - hard/soft/used
  Index SA's              State    Bytes                Seconds
  ------------------------------------------------------------------------
  Policy ..........vpn
   0    1                 VALID    -/-/302062           28800/27360/446

SecOff > show ipsec policy=vpn counters

Setup/Remove Counters:
  setupStarted                   2  setupSaSetupFailImm            0
  setupSaSetupStarted            2  setupSaSetupFailed             0
  setupDone                      2  setupFailed                    0
  removeStarted                  1  removeSaSetupStarted           0
  removeDone                     1

Outbound Packet Processing Counters:
  outDeny                        0  outPermit                      0
  outNoBundle                   12  outNoBundleFail                0
  outMakeSetupStrctFail          0  outSetupBundleFail             0
  outBundleSoftExpire            0  outBundleExpire                0
  outProcessStart              514  outProcessFailImm              0
  outBundleStateBad              0  outProcessFail                 0
  outProcessDone               514

Inbound Packet Processing Counters:
  inDeny                         0  inPermit                       0
  inCompUncompressed             0  inActionIpsecFail              0
  inBundleStateBad               0  inNotFirstSaInBundle           0
  inProcessStart               522  inProcessFailImm               0
  inProcessFail                  0  inProcessDone                522
  inEndOfBundle                  0  inPrematureEndBundle           0
  inBundleSaMatchFail            0  inPolicyActionFail             0
  inPolSelectMatchFail           0  inBundleReplaced               0
  inBundleSoftExpire             0  inBundleExpire                 0



表 1:IPsecポリシー名未指定時
Interface 対象インターフェース名
Name IPsecポリシー名
Action アクション。IPSEC(IPsec適用)、PERMIT(通過)、DENY(破棄)のいずれか
KeyManagement 鍵管理方式。MANUAL(手動)かISAKMP(自動)
Position ポリシー番号(位置)

表 2:IPsecポリシー名指定時
Name IPsecポリシー名
Interface 対象インターフェース名
Position ポリシー番号(位置)
Action アクション。IPSEC(IPsec適用)、PERMIT(通過)、DENY(破棄)のいずれか
Key Management 鍵管理方式。MANUAL(手動)かISAKMP(自動)
Isakmp Policy Name IKEフェーズ1のネゴシエーション時に使用するISAKMPポリシー名
Bundle Specification 使用するSAバンドルスペック番号
Peer IP Address Dynamic PEERパラメーターにDYNAMIC(IPアドレスが動的に変化する相手だけを受け入れる)を指定したかどうか
Peer IP Address Any PEERパラメーターにANY(任意の固定IPアドレスからIPsec SAのネゴシエーション要求を受け入れる)を指定したかどうか
Local IP Address Dynamic ローカル側IPアドレスが動的に決定されるかどうか
Peer IP Address 対向IPsec装置のIPアドレス(IPsecトンネルのリモート側終端アドレス)
IP Route Template IPルートテンプレート名
Local IP Address ローカル側IPアドレス(IPsecトンネルのローカル側終端アドレス)
Use PFS Key Perfect Forward Security (PFS)を使用するかどうか
Group Diffie-Hellman(Oakley)グループ
Filter IPsecポリシー適用対象のパケットを識別するフィルター(セレクター)の情報が表示される
Local Address ローカル側IPアドレス
Local Mask ローカル側IPアドレスに対するマスク
Local Port ローカル側ポート
Local Name ローカル側システム名
Remote Address リモート側IPアドレス
Remote Mask リモート側IPアドレスに対するマスク
Remote Port リモート側ポート
Remote Name リモート側システム名
Transport Protocol トランスポート層プロトコル
SA Selector From Pkt パケット内のどのフィールドを検索に使用するかを示すビットフラグ
DF Bit 外側IPヘッダーに付けるフラグメント不可フラグ(DF Bit)の値。COPY(内側のオリジナルIPヘッダーからコピー)、SET(常にオン)、CLEAR(常にオフ)
Debug device デバッグ情報の出力先デバイス(ポート)番号
Filter debug flags フィルターデバッグがオンに設定されているセレクターと許可/拒否の結果を示すフラグ
Packet debug flags パケットデバッグがオンに設定されている処理部とパケットの向きを示すフラグ。パケットの一部も表示される
Trace debug flags トレースデバッグのオン・オフを示すフラグ
Packet debug length パケットデバッグ時に表示されるデータ長さ
Max Out Packet queue length 出力パケットキューの最大長
Number of Out Packets queued 現在出力キューに入っているパケットの数
Bundles 本ポリシーに基づいて作成されたSAバンドルに関する情報が表示される
Index SAバンドルID
SAs バンドル内のSA ID
State SAバンドルの状態。VALID、INVALID、CREATING、REMOVINGのいずれか
Expiry Limits - hard/soft/used バンドル内SAの有効期限。各SAは、soft limitを超えると再ネゴシエートされ、hadr limitを超えるとSPDから削除される
ExpiryBytes バンドル内SAの有効期限(バイト数)。値は左から順に、削除期限(hard limit)、再ネゴシエーション期限(soft limit)、現在までの処理済みバイト数
ExpirySeconds バンドル内SAの有効期限(秒)。値は左から順に、削除期限(hard limit)、再ネゴシエーション期限(soft limit)、現在までの経過秒数

表 3:SABUNDLEオプション指定時
Policy IPsecポリシー名
Index ポリシー別のSAバンドルID
SAs バンドル内のSA ID
State SAバンドルの状態。VALID、INVALID、CREATING、REMOVINGのいずれか
Expiry Limits - hard/soft/used バンドル内SAの有効期限。各SAは、soft limitを超えると再ネゴシエートされ、hadr limitを超えるとSPDから削除される
ExpiryBytes バンドル内SAの有効期限(バイト数)。値は左から順に、削除期限(hard limit)、再ネゴシエーション期限(soft limit)、現在までの処理済みバイト数
ExpirySeconds バンドル内SAの有効期限(秒)。値は左から順に、削除期限(hard limit)、再ネゴシエーション期限(soft limit)、現在までの経過秒数

表 4:COUNTERオプション指定時
Setup/Remove Counters SAバンドルの作成と削除に関するカウンターが表示される。setupStarted
setupSaSetupStarted SAのセットアップ開始回数
setupDone SAバンドルのセットアップ成功回数
removeStarted SAバンドルの削除開始回数
removeDone SAバンドルの削除成功回数
setupSaSetupFailImm SAのセットアップ即時失敗回数
setupSaSetupFailed SAセットアップ失敗回数
setupFailed SAバンドルのセットアップ失敗回数
removeSaSetupStarted SAの削除開始回数
Outbound Packet Processing Counters 外向きSAバンドルの処理に関するカウンターが表示される
outDeny 外向きパケットがDENYアクションのIPsecポリシーにマッチした回数
outNoBundle 外向きパケットがSAバンドルを持たないIPsecポリシーにマッチした回数
outMakeSetupStrctFail セットアップ構造体の問題により、外向きパケット用SAバンドルのセットアップに失敗した回数
outBundleSoftExpire 外向きパケットによりSAバンドルの再ネゴシエーション期限(バイト数)に到達した回数
outProcessStart 外向きパケットに対してIPsec処理を開始した回数
outBundleStateBad 外向きパケットが有効なバンドルを持たないIPsecポリシーにマッチした回数
outProcessDone 外向きパケットに対するIPsec処理が完了した回数
outPermit 外向きパケットがPERMITアクションのIPsecポリシーにマッチした回数
outNoBundleFail バンドルを持たないIPsecポリシーにマッチしたため破棄された外向きパケットの数
outSetupBundleFail 外向きパケット用SAバンドルのセットアップ失敗回数
outBundleExpire 外向きパケットによりSAバンドルの有効期限(バイト数)に到達した回数
outProcessFailImm 外向きパケットに対するIPsec処理が即時失敗した回数
outProcessFail 外向きパケットに対するIPsec処理に失敗した回数
Inbound Packet Processing Counters 内向きSAバンドルの処理に関するカウンターが表示される
inDeny 内向きパケットがDENYアクションのIPsecポリシーにマッチした回数
inCompUncompressed IPComp SA上で圧縮されていないパケットを受信した回数
inBundleStateBad 有効なバンドルを持たないIPsecポリシーにマッチした内向きパケットの数
inProcessStart 内向きパケットに対してIPsec処理を開始した回数
inProcessFail 内向きパケットに対するIPsec処理に失敗した回数
inEndOfBundle 内向きパケットに対し、SAバンドルによる処理が最後まで行われなかった回数
inBundleSaMatchFail 内向きパケットがバンドル内のSAにマッチしなかった回数
inPolSelectMatchFail 内向きパケットがIPsecポリシーのセレクターにマッチしなかった回数
inBundleSoftExpire 内向きパケットによりSAバンドルの再ネゴシエーション期限(バイト数)に到達した回数
inPermit 内向きパケットがPERMITアクションのIPsecポリシーにマッチした回数
inActionIpsecFail 内向きの平文パケットがIPSECアクションのIPsecポリシーにマッチした回数
inNotFirstSaInBundle 内向きパケットがバンドルの先頭でないSAにマッチした回数
inProcessFailImm 内向きパケットに対するIPsec処理が即時失敗した回数
inProcessDone 内向きパケットに対するIPsec処理が完了した回数
inPrematureEndBundle バンドル内のすべてのSAが使用される前に、内向きパケットに対する処理が完了した回数
inPolicyActionFail 内向きIPsecパケットがポリシーにマッチしなかった回数
inBundleReplaced 内向きパケットにより、古いSAバンドルが削除された回数
inBundleExpire 内向きパケットによりSAバンドルの有効期限(バイト数)に到達した回数



備考・注意事項

IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに暗号・圧縮ボード(AR011 V2)を装着する必要がある。



関連コマンド

CREATE IPSEC POLICY
DESTROY IPSEC POLICY
SET IPSEC POLICY



参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication
RFC2393, IP Payload Compression Protocol (IPComp)
RFC2395, IP Payload Compression Using LZS

(C) 2002 - 2008 アライドテレシスホールディングス株式会社

PN: J613-M3048-01 Rev.M