Security Gateway and IPsec release 3
作成日 | 1999/Jul/23 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 7.9KB |
このドキュメントでは、ipsec ike logコマンドの設定が clearの場合に表示される最も基本的なログ出力について説明する。 鍵交換は普通2つの段階を踏むが、 ログでは、それぞれを「ISAKMP phase」「IPsec phase」と表現する。
ISAKMP phaseの開始から終了までには、以下のようなログが出力される。
1行目は、192.168.110.196に対するISAKMP phaseを開始したことを示す。 2行目は、この鍵交換を実施するコンテキストが生成されたことを示し、 そのために用意されたクッキーとメッセージIDを表示している。クッキーは、 始動側の8バイトのクッキーであり、この場合は0x1522e3b92e427f88である。 また、メッセージIDは0である。
3行目はISAKMP SAが完成したことを示し、4行目はISAKMP SAによる通信が 動作し始めたことを示す。
1999/07/05 12:58:55: [IKE] initiate ISAKMP phase to 192.168.110.196 1999/07/05 12:58:55: [IKE] add ISAKMP context 1522e3b92e427f88 00000000 1999/07/05 12:58:56: [IKE] add ISAKMP SA[1] 1999/07/05 12:58:56: [IKE] activate ISAKMP socket(192.168.110.196)
IPsec phaseの開始から終了までには、以下のようなログが出力される。
1行目は、192.168.110.196に対するIPsec phaseを開始したことを示す。 2行目は、この鍵交換を実施するコンテキストが生成されたことを示し、 そのために用意されたクッキーとメッセージIDを表示している。クッキーは、 始動側の8バイトのクッキーであり、先に示したものと同じである。 また、メッセージIDは0x82de403bである。
3行目と4行目は、IPsec SAが完成したことを示し、5行目と6行目は、 IPsec SAによる通信が可能となったことを示す。 最後の行は、IPsec phaseのコンテキストが削除されたことを示す。 なお、ISAKMP phaseのコンテキストは、この時点では削除されていない。 ISAKMP phaseのコンテキストが削除されるタイミングは、ISAKMP SA が削除されるタイミングと同じである。
1999/07/05 12:58:57: [IKE] initiate IPsec phase to 192.168.110.196 1999/07/05 12:58:57: [IKE] add IPsec context 1522e3b92e427f88 82de403b 1999/07/05 12:58:58: [IKE] add IPsec SA[2] 1999/07/05 12:58:58: [IKE] add IPsec SA[3] 1999/07/05 12:58:58: [IKE] activate IPsec socket(192.168.110.196:outbound) 1999/07/05 12:58:58: [IKE] activate IPsec socket(192.168.110.196:inbound) 1999/07/05 12:58:59: [IKE] delete IPsec context 1522e3b92e427f88 82de403b
ISAKMP SAが更新されるときのログを示す。 1行目は、ISAKMP SAの寿命が少なくなったことを示す。 また、2行目は、このISAKMP SAによる通信路が古くなったことを示す。 それ以降のログは、先に説明したものと同様である。
1999/07/05 12:59:37: [IKE] SA[1] change state to OLD 1999/07/05 12:59:37: [IKE] inactivate ISAKMP socket(192.168.110.196) 1999/07/05 12:59:38: [IKE] initiate ISAKMP phase to 192.168.110.196 1999/07/05 12:59:38: [IKE] add ISAKMP context c730e6b44e729d2f 00000000 1999/07/05 12:59:39: [IKE] add ISAKMP SA[4] 1999/07/05 12:59:39: [IKE] activate ISAKMP socket(192.168.110.196)
IPsec SAが更新されるときのログを示す。 1行目と2行目は、IPsec SAの寿命が少なくなったことを示す。 また、3行目と4行目は、これらのIPsec SAによる通信路が古くなったことを示す。 それ以降のログは、先に説明したものと同様である。
1999/07/05 12:59:39: [IKE] SA[2] change state to OLD 1999/07/05 12:59:39: [IKE] SA[3] change state to OLD 1999/07/05 12:59:39: [IKE] inactivate IPsec socket(192.168.110.196:outbound) 1999/07/05 12:59:39: [IKE] inactivate IPsec socket(192.168.110.196:inbound) 1999/07/05 12:59:40: [IKE] initiate IPsec phase to 192.168.110.196 1999/07/05 12:59:40: [IKE] add IPsec context c730e6b44e729d2f 8f8594f5 1999/07/05 12:59:41: [IKE] add IPsec SA[5] 1999/07/05 12:59:41: [IKE] add IPsec SA[6] 1999/07/05 12:59:41: [IKE] activate IPsec socket(192.168.110.196:outbound) 1999/07/05 12:59:41: [IKE] activate IPsec socket(192.168.110.196:inbound) 1999/07/05 12:59:42: [IKE] delete IPsec context c730e6b44e729d2f 8f8594f5
ISAKMP SAが削除されるときには、以下のようなログが出力される。
1行目はISAKMP SAの寿命が0になったことを示す。 また、2行目はISAKMP SAが削除されたことを示す。 3行目から5行目は、ISAKMP SAが削除されたことを相手に伝えるIKEのメッセージ交換 を示すログである。最後の行は、ISAKMP SAの削除に伴って、 ISAKMP phaseのコンテキストが 削除されたことを示す。
1999/07/05 12:59:51: [IKE] SA[1] change state to DEAD 1999/07/05 12:59:51: [IKE] delete SA[1] 1999/07/05 12:59:51: [IKE] initiate informational exchange (delete) 1999/07/05 12:59:51: [IKE] add info context c730e6b44e729d2f c0adf237 1999/07/05 12:59:52: [IKE] delete info context c730e6b44e729d2f c0adf237 1999/07/05 12:59:53: [IKE] delete ISAKMP context 1522e3b92e427f88 00000000
IPsec SAが削除されるときには、以下のようなログが出力される。
1行目と2行目はIPsec SAの寿命が0になったことを示す。 また、3行目と4行目はIPsec SAが削除されたことを示す。 5行目以降は、IPsec SAが削除されたことを相手に伝えるIKEのメッセージ交換 を示すログである。
1999/07/05 12:59:53: [IKE] SA[2] change state to DEAD 1999/07/05 12:59:53: [IKE] SA[3] change state to DEAD 1999/07/05 12:59:53: [IKE] delete SA[2] 1999/07/05 12:59:53: [IKE] delete SA[3] 1999/07/05 12:59:53: [IKE] initiate informational exchange (delete) 1999/07/05 12:59:53: [IKE] add info context c730e6b44e729d2f dc7da421 1999/07/05 12:59:53: [IKE] initiate informational exchange (delete) 1999/07/05 12:59:53: [IKE] add info context c730e6b44e729d2f 3e2c9d07 1999/07/05 12:59:54: [IKE] delete info context c730e6b44e729d2f 3e2c9d07 1999/07/05 12:59:55: [IKE] delete info context c730e6b44e729d2f dc7da421