NetScreen/SSGでVPN(IPSec SA)の状態を確認する方法

NetScreen/SSGでVPN接続(IPSec SA)の状態確認をするには
以下の方法が利用できる。

■WebUI
        VPNs > Monitor Status

■CLI(telnet,ssh,consoleから)
        get sa
          [
          id id_num |
          active | inactive
          [ stat ] |
          stat
          ]

■CLI例
        get sa            全ての SA を表示
        get sa active     アクティブな SA のみ表示
        get sa inactive   アクティブでない SA のみ表示
        get sa stat       SAの状態(送受信バイト数など)を表示
        get sa id id_num  SAのIDを指定してSAの詳細を表示
                          [id_num] には SA のIDを入力する
　　　　                  例えば get sa id 0x1など
                          (最近のOSではget sa id 1などでもO.K)

では、get saで出力されたフィールドの状態を見て
SAがアクティブなのかそうでないのかや、VPN Monitor機能でトンネルの状態が
アップ/ダウンしているかなどをどのように見れば良いのかを解説する。
ここではCLIでの出力を解説するがWebUIのMonitor Statusで確認できる情報も
同様の考え方で理解する事ができるはずである。

■get sa コマンドの2通りの出力例
  ※SPIの値はxで隠してあるが実際には8桁の16進数で表示される

ns-> get sa
total configured sa: 1
HEX ID    Gateway Port Algorithm     SPI      Life:sec kb    Sta PID vsys
00000001< 1.1.1.1 500  esp:3des/sha1 xxxxxxxx expir    unlim I/I 2 0
00000001> 1.1.1.1 500  esp:3des/sha1 xxxxxxxx expir    unlim I/I 1 0

ns-> get sa
total configured sa: 1
HEX ID    Gateway Port Algorithm     SPI      Life:sec kb    Sta PID vsys
00000001< 2.2.2.2 500  esp:3des/sha1 xxxxxxxx 3596     unlim A/- 2 0
00000001> 2.2.2.2 500  esp:3des/sha1 xxxxxxxx 3596     unlim A/- 1 0

ns-> get sa
total configured sa: 3
HEX ID    Gateway  Port Algorithm     SPI      Life:sec kb    Sta   PID vsys
00000006< 3.3.3.3  500  esp:3des/sha1 xxxxxxxx   881    unlim A/U   -1 0
00000006> 3.3.3.3  500  esp:3des/sha1 xxxxxxxx   881    unlim A/U   -1 0
00000002< 4.4.4.4  500  esp:3des/sha1 xxxxxxxx  1399    unlim A/U   -1 0
00000002> 4.4.4.4  500  esp:3des/sha1 xxxxxxxx  1399    unlim A/U   -1 0
00000007< 0.0.0.0  500  esp:3des/sha1 xxxxxxxx expir    unlim I/I   -1 0
00000007> 0.0.0.0  500  esp:3des/sha1 xxxxxxxx expir    unlim I/I   -1 0

複数のVPNトンネルが構成されている場合にはリモートゲートウェイのIPアドレスの列を
確認する事でどのゲートウェイとのトンネル状態かを示すSAかを確認できる。

■Sta のフィールドは2つの事柄を表現している

   1. 最初の文字列はVPNトンネルがActiveもしくはInactiveを表示
      (A=Active I=Inactive)

   2. 2つめの文字列は(/の後ろ側)はVPN Monitor機能のリンク状態を表示
      (U=Up D=Down -=VPN Monitor is not configured)

■staフィールドに表示される値

I/I: VPN tunnel は Inactive状態 (activeではない)
A/-: VPN tunnel は Active状態  但し、VPN Monitorは構成(設定)されていない
A/U: VPN tunnel は Active状態  であり、VPN MonitorでUpを検出している状態
A/D: VPN tunnel は Active状態  但し、VPN MonitorはDownを検出している状態
        VPN Monitorが送信した ping のレスポンスを受信していない状態。
        これは、対向のNetScreen/SSGが ping にレスポンスを返さない設定に
        なっている可能性がある。または、対向のデバイスがNetScreen/SSGでは
        無く異なるベンダ製の機器である可能性もある。

・A/- か A/U であればVPNトンネルは正常にアップしている状態と考えられる。
・I/I であればVPNトンネルは正常にアップしておらずトンネルを越えて
  データの送受信ができない。
・A/D であればSA自体は正常にアップしているがVPN Monitorがダウンしていれば
  tunnelインターフェースがDownするのでデータの送受信はできないかもしれない

もし、以下のようにフィールドのヘッダー行しか出力されない場合には
SA自体が生成されておらずアクティブなVPNは存在しない。
これは、VPN接続の設定構成自体が完了していない事を示す。

Paris-> get sa
total configured sa: 0
HEX ID    Gateway Port Algorithm     SPI      Life:sec kb    Sta PID vsys

■get saコマンド出力の全てのフィールドについての解説

HEX ID     --16進数で表現されたSAのID番号
              "<" や ">"はSAの方向を示す
Gateway    --対向ゲートウェイのIPアドレス
Port       --ポート番号
Algorithm  --Phase2で使用されている暗号化アルゴリズム
SPI        --SPI値 (SAの識別子)
Life:sec kb -SAの残り寿命を示す expirは寿命が尽きている事を示す
              secには残り秒数、kbには残りのキロバイト数が表示される
              (NetScreenのデフォルトのPhase2パラメータでは秒数で
               SAの寿命を構成するようになっている)
Sta        --VPNトンネル(SA)の状態を示す
PID        --ポリシーベースVPNで構成された場合は該当する
              Policy IDを示す
              ルートベースVPNで構成された場合は[-1]と表示される
vsys       --該当SAが稼動しているvsysを示す

参考：

How do I tell if a VPN Tunnel SA (Security Association) is active?
(KB ID: KB6134)

http://kb.juniper.net/KB6134