Security Gateway and IPsec release 3

IKEのログ出力

作成日1999/Jul/23
最終変更日2018/Nov/06
文書サイズ7.9KB

このドキュメントでは、ipsec ike logコマンドの設定が clearの場合に表示される最も基本的なログ出力について説明する。 鍵交換は普通2つの段階を踏むが、 ログでは、それぞれを「ISAKMP phase」「IPsec phase」と表現する。

  1. ISAKMP phaseの開始から終了まで
  2. IPsec phaseの開始から終了まで
  3. ISAKMP SAの更新
  4. IPsec SAの更新
  5. ISAKMP SAの削除
  6. IPsec SAの削除

1. ISAKMP phaseの開始から終了まで

ISAKMP phaseの開始から終了までには、以下のようなログが出力される。

1行目は、192.168.110.196に対するISAKMP phaseを開始したことを示す。 2行目は、この鍵交換を実施するコンテキストが生成されたことを示し、 そのために用意されたクッキーとメッセージIDを表示している。クッキーは、 始動側の8バイトのクッキーであり、この場合は0x1522e3b92e427f88である。 また、メッセージIDは0である。

3行目はISAKMP SAが完成したことを示し、4行目はISAKMP SAによる通信が 動作し始めたことを示す。 

1999/07/05 12:58:55: [IKE] initiate ISAKMP phase to 192.168.110.196
1999/07/05 12:58:55: [IKE] add ISAKMP context 1522e3b92e427f88 00000000
1999/07/05 12:58:56: [IKE] add ISAKMP SA[1]
1999/07/05 12:58:56: [IKE] activate ISAKMP socket(192.168.110.196)

2. IPsec phaseの開始から終了まで

IPsec phaseの開始から終了までには、以下のようなログが出力される。

1行目は、192.168.110.196に対するIPsec phaseを開始したことを示す。 2行目は、この鍵交換を実施するコンテキストが生成されたことを示し、 そのために用意されたクッキーとメッセージIDを表示している。クッキーは、 始動側の8バイトのクッキーであり、先に示したものと同じである。 また、メッセージIDは0x82de403bである。

3行目と4行目は、IPsec SAが完成したことを示し、5行目と6行目は、 IPsec SAによる通信が可能となったことを示す。 最後の行は、IPsec phaseのコンテキストが削除されたことを示す。 なお、ISAKMP phaseのコンテキストは、この時点では削除されていない。 ISAKMP phaseのコンテキストが削除されるタイミングは、ISAKMP SA が削除されるタイミングと同じである。 

1999/07/05 12:58:57: [IKE] initiate IPsec phase to 192.168.110.196
1999/07/05 12:58:57: [IKE] add IPsec context 1522e3b92e427f88 82de403b
1999/07/05 12:58:58: [IKE] add IPsec SA[2]
1999/07/05 12:58:58: [IKE] add IPsec SA[3]
1999/07/05 12:58:58: [IKE] activate IPsec socket(192.168.110.196:outbound)
1999/07/05 12:58:58: [IKE] activate IPsec socket(192.168.110.196:inbound)
1999/07/05 12:58:59: [IKE] delete IPsec context 1522e3b92e427f88 82de403b

3. ISAKMP SAの更新

ISAKMP SAが更新されるときのログを示す。 1行目は、ISAKMP SAの寿命が少なくなったことを示す。 また、2行目は、このISAKMP SAによる通信路が古くなったことを示す。 それ以降のログは、先に説明したものと同様である。 

1999/07/05 12:59:37: [IKE] SA[1] change state to OLD
1999/07/05 12:59:37: [IKE] inactivate ISAKMP socket(192.168.110.196)
1999/07/05 12:59:38: [IKE] initiate ISAKMP phase to 192.168.110.196
1999/07/05 12:59:38: [IKE] add ISAKMP context c730e6b44e729d2f 00000000
1999/07/05 12:59:39: [IKE] add ISAKMP SA[4]
1999/07/05 12:59:39: [IKE] activate ISAKMP socket(192.168.110.196)

4. IPsec SAの更新

IPsec SAが更新されるときのログを示す。 1行目と2行目は、IPsec SAの寿命が少なくなったことを示す。 また、3行目と4行目は、これらのIPsec SAによる通信路が古くなったことを示す。 それ以降のログは、先に説明したものと同様である。 

1999/07/05 12:59:39: [IKE] SA[2] change state to OLD
1999/07/05 12:59:39: [IKE] SA[3] change state to OLD
1999/07/05 12:59:39: [IKE] inactivate IPsec socket(192.168.110.196:outbound)
1999/07/05 12:59:39: [IKE] inactivate IPsec socket(192.168.110.196:inbound)
1999/07/05 12:59:40: [IKE] initiate IPsec phase to 192.168.110.196
1999/07/05 12:59:40: [IKE] add IPsec context c730e6b44e729d2f 8f8594f5
1999/07/05 12:59:41: [IKE] add IPsec SA[5]
1999/07/05 12:59:41: [IKE] add IPsec SA[6]
1999/07/05 12:59:41: [IKE] activate IPsec socket(192.168.110.196:outbound)
1999/07/05 12:59:41: [IKE] activate IPsec socket(192.168.110.196:inbound)
1999/07/05 12:59:42: [IKE] delete IPsec context c730e6b44e729d2f 8f8594f5

5. ISAKMP SAの削除

ISAKMP SAが削除されるときには、以下のようなログが出力される。

1行目はISAKMP SAの寿命が0になったことを示す。 また、2行目はISAKMP SAが削除されたことを示す。 3行目から5行目は、ISAKMP SAが削除されたことを相手に伝えるIKEのメッセージ交換 を示すログである。最後の行は、ISAKMP SAの削除に伴って、 ISAKMP phaseのコンテキストが 削除されたことを示す。 

1999/07/05 12:59:51: [IKE] SA[1] change state to DEAD
1999/07/05 12:59:51: [IKE] delete SA[1]
1999/07/05 12:59:51: [IKE] initiate informational exchange (delete)
1999/07/05 12:59:51: [IKE] add info context c730e6b44e729d2f c0adf237
1999/07/05 12:59:52: [IKE] delete info context c730e6b44e729d2f c0adf237
1999/07/05 12:59:53: [IKE] delete ISAKMP context 1522e3b92e427f88 00000000

6. IPsec SAの削除

IPsec SAが削除されるときには、以下のようなログが出力される。

1行目と2行目はIPsec SAの寿命が0になったことを示す。 また、3行目と4行目はIPsec SAが削除されたことを示す。 5行目以降は、IPsec SAが削除されたことを相手に伝えるIKEのメッセージ交換 を示すログである。 

1999/07/05 12:59:53: [IKE] SA[2] change state to DEAD
1999/07/05 12:59:53: [IKE] SA[3] change state to DEAD
1999/07/05 12:59:53: [IKE] delete SA[2]
1999/07/05 12:59:53: [IKE] delete SA[3]
1999/07/05 12:59:53: [IKE] initiate informational exchange (delete)
1999/07/05 12:59:53: [IKE] add info context c730e6b44e729d2f dc7da421
1999/07/05 12:59:53: [IKE] initiate informational exchange (delete)
1999/07/05 12:59:53: [IKE] add info context c730e6b44e729d2f 3e2c9d07
1999/07/05 12:59:54: [IKE] delete info context c730e6b44e729d2f 3e2c9d07
1999/07/05 12:59:55: [IKE] delete info context c730e6b44e729d2f dc7da421