[index] CentreCOM AR550S コマンドリファレンス 2.9

SHOW ISAKMP SA

カテゴリー：IPsec / ISAKMP

SHOW ISAKMP SA[=sa-id]

sa-id: SA番号（0～65535）

ISAKMP SAに関する情報を表示する。

パラメーター

SA: SA番号

入力・出力・画面例

SecOff > show isakmp sa Expiry Limits - hard/soft/used SA Id PeerAddress EncA. HashA. Bytes Seconds ----------------------------------------------------------------------------- 3 1.1.1.1 DES SHA -/-/- 86400/82080/538 SecOff > show isakmp sa=1 SA Id ................................. 1 Initiator Cookie .................... e418dba372510e53 Responder Cookie .................... 80c30ff4f2cb3f29 DOI ................................. IPSEC Policy name ......................... main State ............................... ACTIVE Local address ....................... 202.36.163.161 Remote Address ...................... 202.36.163.201 Time of establishment ............... Commit bit set ...................... FALSE Send notifies ....................... TRUE Send deletes ........................ FALSE Message Retry Limit ................. 5 Initial Message Retry Timeout (s) ... 20 Message Back-off .................... None Exchange Delete Delay (s) ........... 30 Do Xauth ............................ FALSE Xauth Finished .................... TRUE Expiry Limit (bytes) ................ 1024000 Soft Expiry Limit (bytes) ........... 896000 Bytes seen .......................... 304 Expiry Limit (seconds) .............. 86400 Soft Expiry Limit (seconds) ......... 75600 Seconds since creation .............. 2117 Number of Phase 2 exchanges allowed . 4294967295 Number of acquires queued ........... 0 Sa Definition Information: Authentication Type ................. PRESHARED Encryption Algorithm ................ DES - 56 bit Hash Algorithm ...................... SHA group Type .......................... MODP group Description ................... MODP768 DH Private Exponent Bits ............ 767 expiry seconds ...................... 86400 expiry kilobytes .................... 1000 XAuth Information: Id .................................. 0 Next Message ........................ UNKNOWN Status .............................. FAIL Type ................................ Generic Max Failed Attempts ................. 0 Failed Attempts ..................... 0 NAT-Traversal Information: NAT-T enabled ....................... YES Peer NAT-T capable .................. YES NAT discovered ...................... REMOTE Heartbeat information: Send Heartbeats ..................... NO Next sequence number tx ............. 1 Receive Heartbeats .................. NO Last sequence number rx ............. 0 DPD information: DPD Mode ............................ BOTH State ............................... Active Retry Count ......................... 0 Idle Expiry (seconds)................ 300 Next sequence number tx ............. 12516 Last sequence number rx ............. 0

表 1：無指定時

SA Id SA ID

PeerAddress SAのリモート側IPアドレス

EncA SAの暗号化アルゴリズム

HashA SAの認証ハッシュアルゴリズム

Bytes SAの有効期限（バイト）。ハードリミット（SA削除までの期限）、ソフトリミット（SA再ネゴシエートまでの期限）、現在までに処理されたバイト数の順に表示される

Seconds SAの有効期限（秒）。ハードリミット（SA削除までの期限）、ソフトリミット（SA再ネゴシエートまでの期限）、現在までに経過した秒数の順に表示される

表 2：指定時

SA Id SA ID

Initiator Cookie 始動者クッキー

Responder Cookie 応答者クッキー

DOI DOI（Domain Of Interpretation）。IPSECのみサポート

Policy name ISAKMPポリシー名

State ISAKMP SAの状態。ACTIVE、EXPIRED、DOING_NEW_GROUP、DOING_XAUTHのいずれか

Local Address SAのローカル側IPアドレス

Remote Address SAのリモート側IPアドレス

Time of establishment SAの作成日時

Commit bit set Commitビットがセットされているかどうか

Send notifies Notifyペイロードを送信するか

Send deletes Deleteペイロードを送信するか

Message Retry Limit メッセージの最大再送回数

Initial Message Retry Timeout (s) メッセージの初回送信時から最初の再送までの時間（秒）

Message Back-off ISAKMPネゴシエーション時における再送処理間隔の設定。IncrementalまたはNone

Exchange Delete Delay (s) ISAKMPフェーズ1、2において、各フェーズ（ISAKMP Exchange）の最終パケットを送信した側が、最終パケット送信後もISAKMP Exchangeの情報を保持しておく時間（秒）

Do Xauth XAUTH認証を使うかどうか

Xauth Finished XAUTH認証が完了したかどうか

Expiry Limit (bytes) SAの有効期限（バイト数）。SA削除までの期限（ハードリミット）

Soft Expiry Limit (bytes) SAの有効期限（バイト数）。再ネゴシエートまでの期限（ソフトリミット）

Bytes seen 現在までにSAが処理したバイト数

Expiry Limit (seconds) SAの有効期限（秒）。SA削除までの期限（ハードリミット）

Soft Expiry Limit (seconds) SAの有効期限（秒）。再ネゴシエートまでの期限（ソフトリミット）

Seconds since creation SA作成後の経過時間（秒）

Number of Phase 2 exchanges allowed このSA上で実行可能なフェーズ2交換の最大数

Number of acquires queued 処理待ちのIPSEC SAネゴシエーション要求数

Sa Definition Information SA定義に関する情報が表示される

Authentication Type 相手認証方式

Encryption Algorithm SAの暗号アルゴリズム

Hash Algorithm SAの認証用ハッシュアルゴリズム

group Type Diffie-Hellman（Oakley）グループタイプ

group Description Diffie-Hellman（Oakley）グループ

DH Private Exponent Bits DH秘密べき乗数のビット長

expiry seconds ネゴシエートされたSAの有効期限（秒）

expiry kilobytes ネゴシエートされたSAの有効期限（キロバイト）

XAuth Information XAUTHに関する情報が表示される

Id XAUTH認証のメッセージID

Next Message 次に送信されるXAUTHメッセージ。REQかSETのいずれか

Status XAUTH認証の状態。OKかFAILのいずれか

Type XAUTH認証のタイプ。GENERICかRADIUS-CHAPのいずれか

Max Failed Attempts XAUTH認証の最大試行回数。この回数を超えて失敗するとSAが削除される

Failed Attempts XAUTH認証の失敗回数

NAT-Traversal Information IPsec NAT-Traversal（NAT-T）に関する情報が表示される

NAT-T enabled IPsec NAT-Traversal（NAT-T）が有効化どうか

Peer NAT-T capable リモート側がNAT-Tに対応しているかどうか

NAT discovered 通信経路上のNAT機器を検出したかどうか。NO（検出せず）、REMOTE（リモート側に検出）、LOCAL（ローカル側に検出）、BOTH（ローカル・リモート双方に検出）、UNKNOWN（リモート側がNAT-Tに対応していない、または、NAT Discoveryが完了していない）のいずれか

Heartbeat information ISAKMPハートビートに関する情報が表示される

Send Heartbeats ハートビートメッセージを送信するよう設定されているかどうか

Next sequence number tx 次に送信するハートビートメッセージのシーケンス番号

Receive Heartbeats ハートビートメッセージを受信するよう設定されているかどうか

Last sequence number rx 最後に受信したハートビートメッセージのシーケンス番号

DPD information IPsec DPDに関する情報

DPD Mode IPsec DPDのモード。BOTH、RECEIVE、NONEのいずれか

State IPsec DPDのステータス。Active、ActiveReceive、IdleQuery、IdleQueryRetry、Dead、Noneのいずれか

Retry Count R-U-THEREメッセージを送信した回数。StateがActive、ActiveReceive、Noneの場合は0

Idle Expiry (seconds) StateがActiveのとき、再度R-U-THEREメッセージを送信するまでの時間（秒）。StateがActive以外のときは0

Next sequence number tx 次のDPD Notifyペイロードで使用されるシーケンス番号

Last sequence number rx 最後のDPD Notifyペイロードで使用したシーケンス番号

参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication

PN: J613-M0710-03 Rev.K

SA Id	SA ID
PeerAddress	SAのリモート側IPアドレス
EncA	SAの暗号化アルゴリズム
HashA	SAの認証ハッシュアルゴリズム
Bytes	SAの有効期限（バイト）。ハードリミット（SA削除までの期限）、ソフトリミット（SA再ネゴシエートまでの期限）、現在までに処理されたバイト数の順に表示される
Seconds	SAの有効期限（秒）。ハードリミット（SA削除までの期限）、ソフトリミット（SA再ネゴシエートまでの期限）、現在までに経過した秒数の順に表示される

SA Id	SA ID
Initiator Cookie	始動者クッキー
Responder Cookie	応答者クッキー
DOI	DOI（Domain Of Interpretation）。IPSECのみサポート
Policy name	ISAKMPポリシー名
State	ISAKMP SAの状態。ACTIVE、EXPIRED、DOING_NEW_GROUP、DOING_XAUTHのいずれか
Local Address	SAのローカル側IPアドレス
Remote Address	SAのリモート側IPアドレス
Time of establishment	SAの作成日時
Commit bit set	Commitビットがセットされているかどうか
Send notifies	Notifyペイロードを送信するか
Send deletes	Deleteペイロードを送信するか
Message Retry Limit	メッセージの最大再送回数
Initial Message Retry Timeout (s)	メッセージの初回送信時から最初の再送までの時間（秒）
Message Back-off	ISAKMPネゴシエーション時における再送処理間隔の設定。IncrementalまたはNone
Exchange Delete Delay (s)	ISAKMPフェーズ1、2において、各フェーズ（ISAKMP Exchange）の最終パケットを送信した側が、最終パケット送信後もISAKMP Exchangeの情報を保持しておく時間（秒）
Do Xauth	XAUTH認証を使うかどうか
Xauth Finished	XAUTH認証が完了したかどうか
Expiry Limit (bytes)	SAの有効期限（バイト数）。SA削除までの期限（ハードリミット）
Soft Expiry Limit (bytes)	SAの有効期限（バイト数）。再ネゴシエートまでの期限（ソフトリミット）
Bytes seen	現在までにSAが処理したバイト数
Expiry Limit (seconds)	SAの有効期限（秒）。SA削除までの期限（ハードリミット）
Soft Expiry Limit (seconds)	SAの有効期限（秒）。再ネゴシエートまでの期限（ソフトリミット）
Seconds since creation	SA作成後の経過時間（秒）
Number of Phase 2 exchanges allowed	このSA上で実行可能なフェーズ2交換の最大数
Number of acquires queued	処理待ちのIPSEC SAネゴシエーション要求数
Sa Definition Information	SA定義に関する情報が表示される
Authentication Type	相手認証方式
Encryption Algorithm	SAの暗号アルゴリズム
Hash Algorithm	SAの認証用ハッシュアルゴリズム
group Type	Diffie-Hellman（Oakley）グループタイプ
group Description	Diffie-Hellman（Oakley）グループ
DH Private Exponent Bits	DH秘密べき乗数のビット長
expiry seconds	ネゴシエートされたSAの有効期限（秒）
expiry kilobytes	ネゴシエートされたSAの有効期限（キロバイト）
XAuth Information	XAUTHに関する情報が表示される
Id	XAUTH認証のメッセージID
Next Message	次に送信されるXAUTHメッセージ。REQかSETのいずれか
Status	XAUTH認証の状態。OKかFAILのいずれか
Type	XAUTH認証のタイプ。GENERICかRADIUS-CHAPのいずれか
Max Failed Attempts	XAUTH認証の最大試行回数。この回数を超えて失敗するとSAが削除される
Failed Attempts	XAUTH認証の失敗回数
NAT-Traversal Information	IPsec NAT-Traversal（NAT-T）に関する情報が表示される
NAT-T enabled	IPsec NAT-Traversal（NAT-T）が有効化どうか
Peer NAT-T capable	リモート側がNAT-Tに対応しているかどうか
NAT discovered	通信経路上のNAT機器を検出したかどうか。NO（検出せず）、REMOTE（リモート側に検出）、LOCAL（ローカル側に検出）、BOTH（ローカル・リモート双方に検出）、UNKNOWN（リモート側がNAT-Tに対応していない、または、NAT Discoveryが完了していない）のいずれか
Heartbeat information	ISAKMPハートビートに関する情報が表示される
Send Heartbeats	ハートビートメッセージを送信するよう設定されているかどうか
Next sequence number tx	次に送信するハートビートメッセージのシーケンス番号
Receive Heartbeats	ハートビートメッセージを受信するよう設定されているかどうか
Last sequence number rx	最後に受信したハートビートメッセージのシーケンス番号
DPD information	IPsec DPDに関する情報
DPD Mode	IPsec DPDのモード。BOTH、RECEIVE、NONEのいずれか
State	IPsec DPDのステータス。Active、ActiveReceive、IdleQuery、IdleQueryRetry、Dead、Noneのいずれか
Retry Count	R-U-THEREメッセージを送信した回数。StateがActive、ActiveReceive、Noneの場合は0
Idle Expiry (seconds)	StateがActiveのとき、再度R-U-THEREメッセージを送信するまでの時間（秒）。StateがActive以外のときは0
Next sequence number tx	次のDPD Notifyペイロードで使用されるシーケンス番号
Last sequence number rx	最後のDPD Notifyペイロードで使用したシーケンス番号