[index] CentreCOM AR410 V2 コマンドリファレンス 2.6

SHOW IPSEC SA

カテゴリー：IPsec / 一般コマンド

SHOW IPSEC SA[=sa-id] [COUNTERS]

sa-id: SA番号（0〜65535）

SAデータベース（SAD）内のSAに関する情報を表示する。

パラメーター

SA: SA番号。省略時はすべてのSAに関する情報を簡潔に表示する。指定時は該当するSAの詳細情報を表示する。

COUNTERS: SAの統計カウンターを表示する。

入力・出力・画面例

SecOff > show ipsec sa SA Id Policy Bundle State Protocol OutSPI InSPI ----------------------------------------------------------------------------- 0 l2 1 Valid IPCOMP 3 3 1 l2 1 Valid ESP 1194036652 3877490456 SecOff > show ipsec sa=1 SA Id ................................... 1 Policy ................................ l2 Bundle ................................ 1 SA Specification Used ................. 2 State ................................. Valid Protocol .............................. ESP Role .................................. RESPONDER Mode .................................. TUNNEL Outbound SPI .......................... 1194036652 Inbound SPI ........................... 3877490456 Local tunnel IP address ............... 63.12.123.233 Remote tunnel IP address .............. 1.1.1.1 Encryption algorithm .................. DES Encryption ENCO channel................ 2 Hash algorithm ........................ MD5 Hash ENCO channel...................... 3 Filters Remote IP address ................... 1.1.1.1 Remote IP address mask .............. 255.255.255.255 Local port number ................... 1701 Remote port number .................. 1701 Transport protocol .................. UDP Local Name .......................... ANY Remote Name ......................... ANY DF Bit ................................ CLEAR Last sent sequence number ............. 331 Anti-replay checking enabled .......... FALSE Debug device .......................... 16 Filter debug flags .................... 00000000 Packet debug flags .................... 00000000 Trace debug flags ..................... 00000000 Packet debug length ................... 72 SecOff > show ipsec sa counters SA: 0 Outbound packet processing counters: outProcessStart 373 outProcessFailImm 0 outProcessFail 0 outProcessDone 373 ESP: espOutBufChainCopy 0 espEncryptionStart 0 espEncryptionFailImm 0 espEncryptionFail 0 espEncryptionGood 0 espOutHashStart 0 espOutHashFailImm 0 espOutHashFail 0 espOutHashGood 0 AH: ahOutBufChainCopy 0 ahSeqNumberCycled 0 ahFragmentSeen 0 ahOutHashStart 0 ahOutHashFailImm 0 ahOutHashFail 0 ahOutHashGood 0 IPCOMP: compOutBufChainCopy 340 compTooSmall 0 compFragment 0 nonExpansionBackoff 20 dataExpansion 341 compressionStart 353 compressionFailImm 0 compressionFail 0 compressionGood 353 Inbound packet processing counters: inProcessStart 8 inProcessFailImm 0 inProcessFail 0 inProcessDone 8 ESP: espInBufChainCopy 0 espReplayedPacket 0 espInHashStart 0 espInHashFailImm 0 espInHashFail 0 espInHashGood 0 espDecryptionStart 0 espDecryptionFailImm 0 espDecryptionFail 0 espDecryptionGood 0 espIcvInvalid 0 espPaddingInvalid 0 AH: ahInBufChainCopy 0 ahReplayedPacket 0 ahBadPayloadLength 0 ahIcvInvalid 0 ahInHashStart 0 ahInHashFailImm 0 ahInHashFail 0 ahInHashGood 0 IPCOMP: compInBufChainCopy 0 decompressionStart 8 decompressionFailImm 0 decompressionFail 0 decompressionGood 8 SA: 1 Outbound packet processing counters: outProcessStart 373 outProcessFailImm 0 outProcessFail 0 outProcessDone 373 ESP: espOutBufChainCopy 18 espEncryptionStart 373 espEncryptionFailImm 0 espEncryptionFail 0 espEncryptionGood 373 espOutHashStart 373 espOutHashFailImm 0 espOutHashFail 0 espOutHashGood 373 AH: ahOutBufChainCopy 0 ahSeqNumberCycled 0 ahFragmentSeen 0 ahOutHashStart 0 ahOutHashFailImm 0 ahOutHashFail 0 ahOutHashGood 0 IPCOMP: compOutBufChainCopy 0 compTooSmall 0 compFragment 0 nonExpansionBackoff 0 dataExpansion 0 compressionStart 0 compressionFailImm 0 compressionFail 0 compressionGood 0 Inbound packet processing counters: inProcessStart 363 inProcessFailImm 0 inProcessFail 0 inProcessDone 363 ESP: espInBufChainCopy 0 espReplayedPacket 0 espInHashStart 363 espInHashFailImm 0 espInHashFail 0 espInHashGood 363 espDecryptionStart 363 espDecryptionFailImm 0 espDecryptionFail 0 espDecryptionGood 363 espIcvInvalid 0 espPaddingInvalid 0 AH: ahInBufChainCopy 0 ahReplayedPacket 0 ahBadPayloadLength 0 ahIcvInvalid 0 ahInHashStart 0 ahInHashFailImm 0 ahInHashFail 0 ahInHashGood 0 IPCOMP: compInBufChainCopy 0 decompressionStart 0 decompressionFailImm 0 decompressionFail 0 decompressionGood 0

表 1：SA無指定時

SA Id	SA ID
Policy	該当SAのもとになったIPsecポリシー名
Bundle	SAが所属するSAバンドルID
State	SAの状態。UNDEF、VALID、CREATING、REMOVINGのいずれか
Protocol	SAが使用するIPsecプロトコル。ESP、AH、IPCOMPのいずれか
OutSPI	外向きトラフィックのSPI（Security Parameter Index）
InSPI	内向きトラフィックのSPI（Security Parameter Index）

表 2：SA指定時

SA Id	SA ID
Policy	該当SAのもとになったIPsecポリシー名
Bundle	SAが所属するSAバンドルID
SA Specification Used	SAの作成に使用したSAスペック番号
State	SAの状態。UNDEF、VALID、CREATING、REMOVINGのいずれか
Protocol	SAが使用するIPsecプロトコル。ESP、AH、IPCOMPのいずれか
CPI	IPComp SAのCPI（Compression Parameter Index）。IPComp SAでのみ表示
Role	始動者（INITIATOR）、応答者（RESPONDER）のどちらであるか
Mode	SA動作モード。TUNNEL、TRANSPORT、UDP_ENCAP_TUNNEL、UDP_ENCAP_TRANSPORTのいずれか
Outbound SPI	外向きトラフィックのSPI（Security Parameter Index）
Inbound SPI	内向きトラフィックのSPI（Security Parameter Index）
Local tunnel IP address	IPsecトンネルのローカル側終端IPアドレス。トンネルモードの場合のみ表示
Remote tunnel IP address	IPsecトンネルのリモート側終端IPアドレス。トンネルモードの場合のみ表示
Encryption algorithm	ESP SAが使用する暗号アルゴリズム。ESP SAでのみ表示
Encryption ENCO channel	暗号化プロセスが使用するENCOチャンネル番号。ESP SAでのみ表示
Hash algorithm	AH SA、ESP SAが使用する認証用ハッシュアルゴリズム。AH SAとESP SAでのみ表示
Hash ENCO channel	ハッシュプロセスが使用するENCOチャンネル番号。AH SAとESP SAでのみ表示
Compression algorithm	IPComp SAが使用する圧縮アルゴリズム。IPComp SAでのみ表示
Compression ENCO channel	圧縮プロセスが使用するENCOチャンネル番号。IPComp SAでのみ表示
NAT-Traversal NAT-OA	NAT-Traversal（NAT-T）におけるNAT-OAペイロードに関する情報が表示される
Peer original source IP address	リモート側のオリジナル始点IPアドレス
Peer original destination IP address	リモート側のオリジナル終点IPアドレス
Filters	SAの元になったIPsecポリシーのパケットセレクターに関する情報が表示される
Local IP address	ローカル側IPアドレス
Local IP address mask	ローカル側IPアドレスに対するマスク
Remote IP address	リモート側IPアドレス
Remote IP address mask	リモート側IPアドレスに対するマスク
Local Name	ローカル側システム名
Remote Name	リモート側システム名
Local port number	ローカル側ポート
Remote port number	リモート側ポート
Transport protocol	トランスポート層プロトコル
DF Bit	外側IPヘッダーのフラグメント不可フラグ（DF Bit）の値。COPY（内側のオリジナルIPヘッダーの値をコピー）、CLEAR（常にオフ）、SET（常にオン）のいずれか
Last sent sequence number	SAが送信した最新パケットのシーケンス番号
Anti-replay checking enabled	リプレイ防止機能の有効・無効
Anti-replay window size	リプレイ防止ウィンドウサイズ
Last received sequence number	SAが受信した最新パケットのシーケンス番号
Anti-replay bitmap	リプレイ防止ウィンドウのビットマップ。ビットマップはリプレイ防止ウィンドウサイズと同じ長さ（以下nとする）で、過去n個分のシーケンス番号を保存している。「1」は該当シーケンス番号のパケットが受信済み、「0」は未受信であることを示す
Debug device	デバッグ情報の出力先デバイス（ポート）番号
Filter debug flags	フィルターデバッグがオンに設定されているセレクターと許可/拒否の結果を示すフラグ
Packet debug flags	パケットデバッグがオンに設定されている処理部とパケットの向きを示すフラグ。パケットの一部も表示される
Trace debug flags	トレースデバッグのオン・オフを示すフラグ
Packet debug length	パケットデバッグ時に表示されるデータ長さ

表 3：COUNTERオプション指定時

outProcessStart	外向きパケットに対する処理を開始した回数
outProcessFail	外向きパケットに対する処理が失敗した回数
outProcessFailImm	外向きパケットに対する処理が即時失敗した回数
outProcessDone	外向きパケットに対する処理完了回数
espOutBufChainCopy	外向きパケットがESP処理のためチェインからバッファーにコピーされた回数
espEncryptionStart	ESP暗号化処理の開始回数
espEncryptionFail	ESP暗号化処理の失敗回数
espOutHashStart	外向きパケットに対するESP認証処理の開始回数
espOutHashFail	外向きパケットに対するESP認証処理の失敗回数
espEncryptionFailImm	ESP暗号化処理の即時開始回数
espEncryptionGood	ESP暗号化処理の成功回数
espOutHashFailImm	外向きパケットに対するESP認証処理の即時失敗回数
espOutHashGood	外向きパケットに対するESP認証処理の成功回数
ahOutBufChainCopy	外向きパケットがAH処理のためチェインからバッファーにコピーされた回数
ahOutHashStart	外向きパケットに対するAH認証処理の開始回数
ahOutHashFail	外向きパケットに対するAH認証処理の失敗回数
ahSeqNumberCycled	AH認証処理のシーケンスナンバーが一巡した回数
ahOutHashFailImm	外向きパケットに対するAH認証処理が即時失敗した回数
ahOutHashGood	外向きパケットに対するAH認証処理の成功回数
compOutBufChainCopy	外向きパケットがIPComp処理のためチェインからバッファーにコピーされた回数
nonExpansionBackoff	non-expansion backoffのためパケットが圧縮されなかった回数
compressionStart	外向きパケットに対するIPComp圧縮処理の開始回数
compressionFail	外向きパケットに対するIPComp圧縮処理の失敗回数
compTooSmall	パケットが小さすぎるためIPComp圧縮処理が行われなかった回数
dataExpansion	圧縮によってパケットサイズが増大した回数
compressionFailImm	外向きパケットに対するIPComp圧縮処理が即時失敗した回数
compressionGood	外向きパケットに対するIPComp圧縮処理の成功回数
inProcessStart	内向きパケットに対する処理開始回数
inProcessFail	内向きパケットに対する処理が失敗した回数
inProcessFailImm	内向きパケットに対する処理が即時失敗した回数
inProcessDone	内向きパケットに対する処理が成功した回数
espInBufChainCopy	内向きパケットがESP処理のためチェインからバッファーにコピーされた回数
espInHashStart	内向きパケットに対するESP認証処理が開始された回数
espInHashFail	内向きパケットに対するESP認証処理が失敗した回数
espDecryptionStart	内向きパケットに対するESP復号化処理が開始された回数
espDecryptionFail	内向きパケットに対するESP復号化処理が失敗した回数
espIcvInvalid	無効なICVを持つESPパケット受信数
espReplayedPacket	無効なシーケンス番号を持つESPパケット受信回数
espInHashFailImm	内向きパケットに対するESP認証処理が即時失敗した回数
espInHashGood	内向きパケットに対するESP認証処理が成功した回数
espDecryptionFailImm	内向きパケットに対するESP復号化処理が即時失敗した回数
espDecryptionGood	内向きパケットに対するESP復号化処理が成功した回数
espPaddingInvalid	パディングが無効なESPパケット受信数
ahInBufChainCopy	内向きパケットがAH処理のためチェインからバッファーにコピーされた回数
ahBadPayloadLength	無効なペイロード長を持つAHパケット受信数
ahInHashStart	内向きパケットに対するAH認証処理の開始回数
ahInHashFail	内向きパケットに対するAH認証処理の失敗回数
ahReplayedPacket	無効なシーケンス番号を持つAHパケット受信回数
ahIcvInvalid	無効なICVを持つAHパケット受信数
ahInHashFailImm	内向きパケットに対するAH認証処理の即時失敗回数
ahInHashGood	内向きパケットに対するAH認証処理の成功回数
compInBufChainCopy	内向きパケットがIPComp処理のためチェインからバッファーにコピーされた回数
decompressionStart	内向きパケットに対するIPComp圧縮解除処理の開始回数
decompressionFail	内向きパケットに対するIPComp圧縮解除処理の失敗回数
decompressionFailImm	内向きパケットに対するIPComp圧縮解除処理の即時失敗回数
decompressionGood	内向きパケットに対するIPComp圧縮解除処理の成功回数

備考・注意事項

IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに暗号・圧縮ボード（AR011 V2）を装着する必要がある。

関連コマンド

SHOW IPSEC

参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication
RFC2393, IP Payload Compression Protocol (IPComp)
RFC2395, IP Payload Compression Using LZS

(C) 2002 - 2008 アライドテレシスホールディングス株式会社

PN: J613-M3048-01 Rev.M