IIKEv1 フェーズ 1 または IKEv2 親の表示と検証方法 SA
48716
Created On 04/07/19 04:52 AM - Last Modified 03/26/21 17:35 PM
Question
IIKEv1 フェーズ 1 または IKEv2 親を表示して確認する方法 SA
Answer
ウェブインターフェイス:
ネットワーク> IPSec トンネルに移動情報の GREEN 横にある色 IKE SA は、(セキュリティ アソシエーション) がアップまたは確立されていることを示します。
の場合は、 RED SA がダウンしているか、または未確立であることを示します。
- 名前–ネットワーク> ゲートウェイで構成されたIKEゲートウェイの名前
- ゲートウェイ– ゲートウェイ ID を一意に識別するために内部で生成された(番号) IKE
- ロール– フェーズ 1 ネゴシエーションにおけるローカル デバイス IKE の役割
- イニト - イニシエータ- ローカルデバイスがネゴシエーションを開始しました IKE
- Resp - レスポンダー – ローカル デバイスがネゴシエーションの応答側 IKE であり、ピア デバイスが接続を開始しました
- モード– IKEv1 には 2 つのネゴシエーション モードがあります
- Main – メイン モード(通常はローカルおよびピアの静的な場合) IP
- Aggr - Aggresive – アグレッシブモード、通常、いずれかの側面が VPN 動的アドレスを持つ場合 IP 。
- アルゴリズム– ピア間でネゴシエーションされたフェーズ 1 アルゴリズム。ネゴシエーションのアルゴリズムは、[ネットワーク > IKE Crypto] で設定されたIKEクリプトプロファイルから選択されます。形式は認証方式/ DH グループ/暗号化アルゴリズム/認証アルゴリズム
- [作成日時] – ピア間で の が IKE SA 確立された日時
- [有効期限] – 有効期限が SA 切れる日時。 これは Crypto で設定されたキーの有効期間から IKE のものです。
CLI:
「show vpn ike-sa」 CLI コマンドは、フェーズ 1 および関連するフェーズ 2 SA の要約を示します コマンドは、IKEv1 と IKEv2 SA を個別に表示します。 これは、IKEv1 と IKEv2 のトンネルを決定するために使用できます。
利用可能なオプション:
user@firewall> show vpn ike-sa > detail Show the details of IKE SA status > gateway Show for given IKE gateway > match if the name contains the string or not | Pipe through a command <Enter> Finish input
出力例:
user@firewall> show vpn ike-sa detail gateway GW-1
IKE Gateway GW-1, ID 113 100.0.0.1 => 200.0.0.1
Current time: Apr.06 20:39:30
IKE Phase1 SA:
Cookie: A872B7F1E93B2EF2:E16469E4A7D3EA18 Init
State: Dying
Mode: Main
Authentication: PSK
Proposal: AES128-CBC/SHA1/DH2
NAT: Not detected
Message ID: 0, phase 2: 0
Phase 2 SA created : 3
Created: Apr.06 18:18:28, 2 hours 21 minutes 2 seconds ago
Expires: Apr.07 02:18:28
user@firewall> show vpn ike-sa gateway GW-1
IKEv1 phase-1 SAs
GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2
-------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------
113 200.0.0.1 GW-1 Init Main PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 3
Show IKEv1 IKE SA: Total 4 gateways found. 1 ike sa found.
IKEv1 phase-2 SAs
Gateway Name TnID Tunnel GwID/IP Role Algorithm SPI(in) SPI(out) MsgID ST Xt
------------ ---- ------ ------- ---- --------- ------- -------- ----- -- --
GW-1 780 TUN-1 113 Init ESP/ DH2/tunl/SHA1 866BC8DD C490D71C 35772C5A 9 1
Show IKEv1 phase2 SA: Total 4 gateways found. 1 ike sa found.
There is no IKEv2 SA found. user@firewall> show vpn ike-sa IKEv1 phase-1 SAs GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2 -------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------ 113 200.0.0.1 GW-1 Init Main PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 2 114 200.0.0.2 GW-2 Resp Main PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1 2 117 10.129.72.42 GW-5 Resp Aggr PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 v1 13 1 2 118 200.0.0.6 GW-6 Init Aggr PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 v1 13 1 2 Show IKEv1 IKE SA: Total 4 gateways found. 4 ike sa found. IKEv1 phase-2 SAs Gateway Name TnID Tunnel GwID/IP Role Algorithm SPI(in) SPI(out) MsgID ST Xt ------------ ---- ------ ------- ---- --------- ------- -------- ----- -- -- GW-1 780 TUN-1 113 Init ESP/ DH2/tunl/SHA1 ABB046B6 8C6CC39A E5367FE6 9 1 GW-2 781 TUN-2 114 Resp ESP/ DH2/tunl/SHA1 E2183BF3 B5F69A27 1C94E7B9 9 1 GW-5 784 TUN-5 117 Resp ESP/ DH2/tunl/SHA1 CD54CC98 FCB719FB 93BCB696 9 1 GW-6 785 TUN-6 118 Init ESP/ DH2/tunl/SHA1 8C8D8DF8 869F14EE 4B9D2EC2 9 1 Show IKEv1 phase2 SA: Total 4 gateways found. 4 ike sa found. IKEv2 SAs Gateway ID Peer-Address Gateway Name Role SN Algorithm Established Expiration Xt Child ST ---------- ------------ ------------ ---- -- --------- ----------- ---------- -- ----- -- 115 200.0.0.3 GW-3 Init 3 PSK/ DH2/A128/SHA1 Apr.06 18:18:28 Apr.07 02:18:28 0 1 Established 116 200.0.0.4 GW-4 Resp 4 PSK/ DH2/A128/SHA1 Apr.06 18:18:32 Apr.07 02:18:32 0 1 Established IKEv2 IPSec Child SAs Gateway Name TnID Tunnel ID Parent Role SPI(in) SPI(out) MsgID ST ------------ ---- ------ -- ------ ---- ------- -------- ----- -- GW-3 782 TUN-3 295 3 Init C701F21D D2623952 00000079 Mature GW-4 783 TUN-4 294 4 Resp F6B7115C C13629DC 0000022D Mature Show IKEv2 SA: Total 2 gateways found. 2 ike sa found.
IKEv1 フェーズ 1 SA のキーカラムの説明:
- GwID – ID ゲートウェイを一意に識別するために内部で生成された (番号 IKE )。
- ピア アドレス– VPN ピア デバイス IP アドレス
- ゲートウェイ名–ネットワーク> ゲートウェイで構成されたIKEゲートウェイの名前
- ロール– フェーズ 1 ネゴシエーションにおけるローカル デバイス IKE の役割
- イニト - イニシエータ- ローカルデバイスがネゴシエーションを開始しました IKE
- Resp - レスポンダー – ローカル デバイスがネゴシエーションの応答側 IKE であり、ピア デバイスが接続を開始しました
- モード– IKEv1 には 2 つのネゴシエーション モードがあります
- Main – メイン モード(通常はローカルおよびピアの静的な場合) IP
- Aggr - Aggresive – アグレッシブモード、通常、いずれかの側面が VPN 動的アドレスを持つ場合 IP 。
- アルゴリズム– ピア間でネゴシエーションされたフェーズ 1 アルゴリズム。ネゴシエーションのアルゴリズムは、[ネットワーク > IKE Crypto] で設定されたIKEクリプトプロファイルから選択されます。 形式は認証方式/ DH グループ/暗号化アルゴリズム/認証アルゴリズム
例:
PSK/ DH2/A128/SHA1:
PSK – 事前共有キーの略です。 これは認証方法です (事前共有キーまたは証明書を使用できます)。
DH2 DH -(Deffie-Hellman)グループは
A128を交渉しました - aes-128-cbc暗号化アルゴリズムは
SHA1を交渉しました - 認証アルゴリズムは
確立されました - IKE SA ピア
の間 での確立された日時有効期限 - SA 有効期限が切れる日時。 これは Crypto で設定されたキーの有効期間から IKE
IKEv1 フェーズ 2 SA のキーカラムの説明:
フェーズ 1 SA に関連付けられたフェーズ 2 SA が表示されます。- ゲートウェイ名–ネットワーク> ゲートウェイで構成されたIKEゲートウェイの名前
- TnID - トンネル ID – トンネルを ID 一意に識別するために内部で生成された(番号)
- トンネル–ネットワーク> IPSec トンネルの下で設定されたトンネルの名前
- GwID – ID ゲートウェイを一意に識別するために内部で生成された (番号 IKE )。
- ロール– フェーズ 2 ネゴシエーションにおけるローカル デバイス IKE の役割
- イニト - イニシエータ- ローカルデバイスがネゴシエーションを開始しました IKE
- Resp - レスポンダー – ローカル デバイスはネゴシエーションの応答側であり IKE 、ピア デバイスは接続を開始しました
- アルゴリズム– ピア間でネゴシエーションされたフェーズ 2 アルゴリズム。 ネゴシエーションのアルゴリズムは、 ネットワーク > IPSec 暗号化で構成された IPSec 暗号化プロファイルから選択されます。形式は IPSec プロトコル/ DH グループ/モード/認証アルゴリズムです
例:
ESP/ DH2/tunl/SHA1:
ESP – セキュリティペイロードをカプセル化します。 これは IPSec プロトコルです。 ( ESP AH または)
tunl – これは常にトンネルであり、トンネルモードを表します。
SHA1 – 認証アルゴリズムがネゴシエート
SPI(in) – SPI 受信番号を示すセキュリティ パラメータ インデックス ( ) SPI これは、送信番号を示すピア ( SPI アウト)
SPI (アウト) – セキュリティ パラメータ インデックス ( ) と同じです SPI SPI 。 これは、ピアの (in) と等しい SPI
IKEv2 SA のキーカラムの説明:
- ゲートウェイID– ゲートウェイ ID を一意に識別するために内部で生成された(番号) IKE
- ピア アドレス– VPN ピア デバイス IP アドレス
- ゲートウェイ名–ネットワーク> ゲートウェイで構成されたIKEゲートウェイの名前
- ロール– ネゴシエーションにおけるローカル デバイスの役割 IKE SA
- イニト - イニシエータ- ローカルデバイスがネゴシエーションを開始しました IKE
- Resp - レスポンダー – ローカル デバイスはネゴシエーションの応答側であり IKE 、ピア デバイスは接続を開始しました
- アルゴリズム– ピア間でネゴシエーションされたフェーズ 1 アルゴリズム
- SN– 子との SA 関連付けで使用される IkEv2 のシリアル番号 SA . ネゴシエーションのアルゴリズムは、[ネットワーク > IKE Crypto] で設定されたIKEクリプトプロファイルから選択されます。 形式は認証方式/ DH グループ/暗号化アルゴリズム/認証アルゴリズム
例:
PSK/ DH2/A128/SHA1 :
PSK – 事前共有キーの略です。 これは認証方式です (事前共有キーまたは証明書を使用できます)。
DH2 – DH (Deffie-Hellman) グループは
A128 を交渉しました – aes-128-cbc 暗号化アルゴリズムは
、SHA1 をネゴシエートしました – 認証アルゴリズムが確立されました
– ピア間での確立日時 IKE SA 。
有効期限 – 有効期限が SA 切れる日時。 これは Crypto で設定されたキーの有効期間から IKE
IKEv2 IPSec 子 SA のキー列の説明:
ゲートウェイ名–ネットワーク>IKEゲートウェイTnID - トンネル –IDトンネル トンネルを一意に識別するために内部で生成された (番号) - ID ネットワーク> IPSec トンネル
親– 親 IKEv2
SA SN 、IKEv2 のフィールドで設定されたトンネルの名前 SA 。
役割– IKE 子 SA ネゴシエーション
Init - イニシエーター – ローカル デバイスがネゴシエーションを開始したローカル デバイスが IKE ネゴシエーションの応答側、
ピア IKE デバイスが接続
アルゴリズムを開始した場合 - ピア間でネゴシエーションされたフェーズ 2 アルゴリズム
SPI(in) – セキュリティ パラメータ インデックス ( SPI ) でのローカル SPI デバイスの役割 これは、送信番号を示すピア ( SPI アウト)
SPI (アウト) – セキュリティ パラメータ インデックス ( ) と同じです SPI SPI 。 これは、ピアの (in) と等しい SPI