Attributi Tunnel IKE (Internet Key Exchange)

Utilizzare l'attributo Tunnel IKE per visualizzare le statistiche di disponibilità e prestazioni per i tunnel IKE noti al daemon IKE per uno specifico stack. I tunnel IKE sono utilizzati da un endpoint di sicurezza (daemon IKE) per negoziare i tunnel IP dinamici.

Tunnel dinamici attivi Il conteggio corrente di tunnel dinamici attivi associati a questo tunnel IKE (Internet Key Exchange). Il formato è un valore intero.

Algoritmo di autenticazione L'algoritmo di autenticazione utilizzato per questo tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • MD5=38
  • SHA1=39
  • MD5_96=40
  • SHA1_96=41
  • SHA2_256_128=7
  • SHA2_384_192=13
  • SHA2_512_256=14
  • XCBC_96=9

Frequenza byte Il numero di byte protetti, al minuto, per questo tunnel durante l'intervallo di tempo più recente. Il formato è un valore intero.

Byte Il numero di byte protetti da questo tunnel durante l'intervallo di tempo più recente. Il formato è un valore intero.

Data/ora di raccolta L'ora e la data del campionamento dei dati. Questo tempo viene visualizzato nel seguente formato:

mm/dd/yy hh:mm:ss (Tivoli Enterprise Portal) or yy/mm/dd hh:mm:ss (3270)

Dove:

  • mm = mese
  • gg = giorno del mese
  • aa = anno
  • hh = ora
  • mm = minuti
  • ss = secondi

Il formato memorizzato è una stringa non più lunga di 16 caratteri nel formato CYYMMDDHHMMSSmmm (come in 1020315064501000 per 0 3 / 1 5 / 02 06:45:01) dove:

  • S = secolo (0 per il ventesimo, 1 per il ventunesimo)
  • A = anno
  • M = mese
  • G = giorno
  • H = ora
  • M = Minuti
  • S = Secondi
  • m = Millisecondi

Gruppo Diffie-Hellman Il gruppo Diffie-Hellman utilizzato per generare il materiale keyring per il tunnel. Ciascun gruppo identifica il numero di bit da utilizzare in un numero primo utilizzato per generare il materiale keyring. Questa colonna è vuota se la PFS (perfect forward security) non è stata negoziata per il tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = NONE
  • 1 = GROUP1
  • 2 = GROUP2
  • 5 = GROUP5
  • 14 = GROUP14
  • 19 = GROUP19
  • 20 = GROUP20
  • 21 = GROUP21
  • 24 = GROUP24

Algoritmo di codifica L'algoritmo di codifica utilizzato dal tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 3 = 3DES
  • 12 = CBC AES
  • 18 = DES

Lunghezza chiave di codifica La lunghezza della chiave di codifica in bit per gli algoritmi a lunghezza variabile, come AES - CBC e AES - GCM, e 0 per gli algoritmi a lunghezza fissa, come DES e 3DES.

Modalità di scambio La modalità di scambio utilizzata da un tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 2 = MAIN
  • 4 = AGGRESSIVE

Stato esteso Indica l'avanzamento della negoziazione del tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = INIT: non è stato iniziato alcun messaggio di scambio chiavi.
  • 1 = WAIT_SA: il primo messaggio di scambio chiavi è stato inviato e l'endpoint sta attenendo una risposta.
  • 2 = IN_KE: una risposta di scambio chiavi è stata inviata.
  • 3 = WAIT_KE: un messaggio di scambio chiavi è stato inviato e l'endpoint sta attenendo una risposta.
  • 4 = ESEGUITO: Tutti i messaggi di scambio chiavi sono stati completati e il tunnel è pronto per il traffico dati.
  • 5 = EXPIRED: il tunnel ha superato la sua durata o la sua dimensione durata e non è disponibile per il traffico di dati.
  • 6 = WAIT_AUTH: è in corso una richiesta di autorizzazione SA.
  • 7 = HALF_CLOSED: il tunnel non è più utilizzato dall'endpoint locale ma il processo di eliminazione non è stato riconosciuto dall'endpoint remoto.

FIPS140 Quando impostato, indica che le operazioni di crittografia per questo tunnel IKE vengono eseguite utilizzando algoritmi di crittografia e moduli progettati per soddisfare i requisiti FIPS 140.

Numero di creazione Il primo tunnel IKE con uno specifico ID tunnel è la generazione 1. Gli aggiornamenti successivi di questo tunnel IKE avranno lo stesso ID tunnel ma avranno numeri di generazione più elevati.

Ricrasmissione IKE Numero cumulativo di messaggi di scambio di chiavi ritrasmessi (fase 1) inviati per questo tunnel durante la durata del daemon IKE. Questi dati sono cumulativi anche nei riavvii TCP/IP.

Riesecuzione IKE Numero cumulativo di messaggi di scambio di chiavi riprodotti (fase 1) ricevuti per questo tunnel durante la vita del daemon IKE. Questi dati sono cumulativi anche nei riavvii TCP/IP.

Tunnel dinamici in corso Il conteggio corrente di tunnel dinamici in corso associati a questo tunnel IKE (Internet Key Exchange). Il formato è un valore intero.

Indicatore iniziazione Indica se l'endpoint di sicurezza locale può iniziare le negoziazioni di tunnel IKE (Internet Key Exchange) con l'endpoint di sicurezza remoto. Ogni endpoint di sicurezza può iniziare degli aggiornamenti indipendentemente dal valore di questo indicatore. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = < vuoto>
  • 1 = Sì

Cookie iniziatore Una stringa di cifre esadecimali che, quando viene combinata con il Cookie risponditore, identifica in modo univoco l'SA per il tunnel. Questo valore è memorizzato come una stringa di 16 caratteri.

Versione indirizzo IP La versione degli indirizzi IP utilizzati per gli endpoint di sicurezza. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = IPv4: Il descrittore del traffico e gli endpoint di sicurezza utilizzano indirizzi IPv4.
  • 1 = IPv6: Il descrittore del traffico e gli endpoint di sicurezza utilizzano indirizzi IPv6.

Riesecuzione IPS Il numero cumulativo di messaggi QUICKMODE (fase 2) riprodotti ricevuti per questo tunnel durante la durata del daemon IKE. Questi dati sono cumulativi anche nei riavvii TCP/IP.

Ritrasmissione IPS Il numero cumulativo di messaggi QUICKMODE (fase 2) ritrasmessi inviati per questo tunnel durante la durata del daemon IKE. Questi dati sono cumulativi anche nei riavvii TCP/IP.

Nome azione scambio chiavi Il nome specificato nell'istruzione di configurazione KeyExchangeAction del Policy Agent di z/OS® Communications Server. Questo nome identifica l'azione utilizzata per attivare questo tunnel IKE (Internet Key Exchange). Le azioni di scambio chiavi descrivono come devono essere protetti gli scambi di chiavi tra gli endpoint di sicurezza. Questo campo è memorizzato come una stringa di 48 caratteri.

Nome regola scambio chiavi Il nome specificato nell'istruzione di configurazione KeyExchangeRule del Policy Agent di z/OS Communications Server. Questo nome identifica la regola utilizzata per attivare questo tunnel IKE (Internet Key Exchange). Le regole di scambio chiavi identificano gli endpoint di sicurezza per un tunnel IKE e la politica da utilizzare per il tunnel facendo riferimento a un'azione di scambio chiavi. Questo campo è memorizzato come una stringa di 48 caratteri.

Data/ora scadenza durata La data/ora in cui scadrà il tunnel. Questa colonna è vuota se non è stata negoziata alcuna durata. Questo tempo viene visualizzato nel seguente formato:

mm/dd/yy hh:mm:ss (Tivoli Enterprise Portal) or yy/mm/dd hh:mm:ss (3270)

Dove:

  • mm = mese
  • gg = giorno del mese
  • aa = anno
  • hh = ora
  • mm = minuti
  • ss = secondi

Il formato memorizzato è una stringa non più lunga di 16 caratteri nel formato CYYMMDDHHMMSSmmm (come in 1020315064501000 per 0 3 / 1 5 / 02 06:45:01) dove:

  • S = secolo (0 per il ventesimo, 1 per il ventunesimo)
  • A = anno
  • M = mese
  • G = giorno
  • H = ora
  • M = Minuti
  • S = Secondi
  • m = Millisecondi

Data/ora aggiornamento durata La data/ora in cui viene aggiornato il tunnel. Questa colonna è vuota se non è stata negoziata alcuna durata. Questo tempo viene visualizzato nel seguente formato:

mm/dd/yy hh:mm:ss (Tivoli Enterprise Portal) or yy/mm/dd hh:mm:ss (3270)

Dove:

  • mm = mese
  • gg = giorno del mese
  • aa = anno
  • hh = ora
  • mm = minuti
  • ss = secondi

Il formato memorizzato è una stringa non più lunga di 16 caratteri nel formato CYYMMDDHHMMSSmmm (come in 1020315064501000 per 0 3 / 1 5 / 02 06:45:01) dove:

  • S = secolo (0 per il ventesimo, 1 per il ventunesimo)
  • A = anno
  • M = mese
  • G = giorno
  • H = ora
  • M = Minuti
  • S = Secondi
  • m = Millisecondi

Dimensione durata Il numero di byte di dati che possono transitare per il tunnel nel corso della sua durata. Questo valore è 0 se non è stata negoziata alcuna dimensione della durata per il tunnel. Il formato è un valore intero.

Tempo durata La quantità di tempo, in secondi, per cui il tunnel deve rimanere attivo. Il formato è un valore intero.

Metodo di autenticazione locale Il metodo di autenticazione per l'endpoint locale.
  • PRESHAREDKEY=3
  • RSASIGNATURE=2
  • ECDSA 256 = 4
  • ECDSA 384 = 5
  • ECDSA 521 = 6
  • DS=7

Ora di scadenza locale L'ora di scadenza del certificato locale.

Tipo di scadenza locale Il formato dell'ora di scadenza del certificato locale.

Indicatore NAT locale Indica se la NAT (network address translation) è stata rilevata davanti all'endpoint di sicurezza locale. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = < vuoto>
  • 1 = Sì

Endpoint di sicurezza locale L'indirizzo IP dell'endpoint di sicurezza locale (IKE) responsabile della negoziazione del tunnel. Il formato è una stringa di caratteri codificati UTF-8 con una lunghezza massima di 45 caratteri.

ID endpoint di sicurezza locale L'identità ISAKMP (Internet Security Associations Key Management Protocol) dell'endpoint di sicurezza locale. Questo campo è una stringa che contiene un identificativo, come descritto dal tipo di IP endpoint di sicurezza locale. Alcune stringhe ID possono raggiungere una lunghezza di 2048 caratteri. L'ID viene sempre troncato a 100 caratteri. Se non vengono scambiati degli ID, questo campo viene memorizzato come degli spazi vuoti.

Tipo ID endpoint di sicurezza locale Il tipo di identità ISAKMP (Internet Security Associations Key Management Protocol) per l'endpoint di sicurezza locale come definito in RFC 2407. Se gli ID client non sono stati scambiati durante la negoziazione, questa colonna è vuota. I peer ISAKMP si scambiano e verificano le relative identità nell'ambito della negoziazione del tunnel IKE (Internet Key Exchange) (fase 1). Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = < vuoto>
  • 1 = IPv4_ADDR
  • 2 = FQDN
  • 3 = USER_FQDN
  • 4 = IPv4_ADDR_SUBNET
  • 5 = IPv6_ADDR
  • 6 = IPv6_ADDR_SUBNET
  • 7 = IPv4_ADDR_RANGE
  • 8 = IPv6_ADDR_RANGE
  • 9 = DER_ASN1_DN
  • 10 = DER_ASN1_GN
  • 11 = KEY_ID

Lunghezza numero di serie locale La lunghezza del numero di serie del certificato locale in byte.

Numero di serie locale Il numero di serie del certificato locale.

Versione principale IKE Versione principale del protocollo IKE in uso.

Versione IKE secondaria La versione secondaria del protocollo IKE in uso.

Indicatore NATT (NAT Traversal) Indica se la funzione NATT (network address translation traversal) è abilitata per il tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = < vuoto>
  • 1 = Sì

Livello supporto NAT Traversal Indica il tipo di supporto NATT (network address translation traversal) utilizzato. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = NONE: Nessun supporto NATT (NAT traversal). Il supporto non è configurato o non è negoziato.
  • 1 = RFCD2: supporto RFC 3947 bozza 2.
  • 3 = RFCD3: supporto RFC 3947 bozza 3.
  • 4 = RFC: supporto RFC 3947 con peer non z/OS.
  • 5 = ZOS: supporto RFC 3947 con peer z/OS.
  • 6 = V2: Supporto RFC 5996 con peer nonz/OS .
  • 7 = V2ZOS: Supporto RFC 5996 con peer z/OS .

Nodo di origine L'identificativo univoco per lo stack TCP/IP visualizzato. Il formato è una stringa alfanumerica con una lunghezza massima di 32 caratteri.

Metodo di autenticazione peer Il metodo di autenticazione peer. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 2 = RSASIGNATURE
  • 3 = PRESHAREDKEY
  • 4 = ECDSA_256
  • 5 = ECDSA_384
  • 6 = ECDSA_521

Percentuale attivazioni non riuscite La percentuale di attivazioni di tunnel dinamici non riuscite per questo tunnel IKE (Internet Key Exchange). Il formato è un numero compreso tra 0 e 100, incluso.

Percentuale tunnel dinamici in corso La percentuale di tunnel dinamici in corso rispetto ai tunnel dinamici attivi. Il formato è un numero compreso tra 0 e 100, incluso.

Funzione pseudocasuale La funzione pseudocasuale utilizzata per inizializzare il materiale della chiave.

Intervallo di riautenticazione Il numero di secondi tra le operazioni di riautenticazione.

Tempo di riautenticazione L'ora in cui il tunnel viene riautenticato.

Ora scadenza remota L'ora di scadenza del certificato remoto

Tipo di scadenza remota Il formato dell'orario di scadenza del certificato remoto.
  • UTC=0X01
  • UTC xff=0001
  • GT=0X02
  • GT xff=0002

Porta UDP IKE remota La porta UDP remota utilizzata per le negoziazioni IKE (Internet Key Exchange). Questa colonna viene memorizzata come una stringa di 5 caratteri.

Indicatore NAT remota Indica se una NAT è stata rilevata davanti all'endpoint di sicurezza remoto. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = < vuoto>
  • 1 = Sì

Indicatore NAPT remota Indica se è stata rilevata una NAPT (network address port translation) davanti all'endpoint di sicurezza remoto. È possibile che una NAPT esista ma che venga rilevata solo come una NAT. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = < vuoto>
  • 1 = Sì

Endpoint di sicurezza remoto L'indirizzo IP dell'endpoint di sicurezza remoto (IKE) responsabile della negoziazione del tunnel. Il formato è una stringa di caratteri codificati UTF-8 con una lunghezza massima di 45 caratteri.

ID endpoint di sicurezza remoto L'identità ISAKMP (Internet Security Associations Key Management Protocol) dell'endpoint di sicurezza remoto. Questo campo è una stringa che contiene un identificativo, come descritto dal tipo di IP endpoint di sicurezza remoto. Alcune stringhe ID possono raggiungere una lunghezza di 2048 caratteri. L'ID viene sempre troncato a 100 caratteri. Se non vengono scambiati degli ID, questo campo viene memorizzato come degli spazi vuoti.

Tipo ID endpoint di sicurezza remoto Il tipo di identità ISAKMP (Internet Security Associations Key Management Protocol) per l'endpoint di sicurezza remoto come definito in RFC 2407. Se gli ID client non sono stati scambiati durante la negoziazione, questa colonna è vuota (Tivoli® Enterprise Portal) o contiene 0 (3270). I peer ISAKMP si scambiano e verificano le relative identità nell'ambito della negoziazione del tunnel IKE (Internet Key Exchange) (fase 1). Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 0 = < vuoto>
  • 1 = IPv4_ADDR
  • 2 = FQDN
  • 3 = USER_FQDN
  • 4 = IPv4_ADDR_SUBNET
  • 5 = IPv6_ADDR
  • 6 = IPv6_ADDR_SUBNET
  • 7 = IPv4_ADDR_RANGE
  • 8 = IPv6_ADDR_RANGE
  • 9 = DER_ASN1_DN
  • 10 = DER_ASN1_GN
  • 11 = KEY_ID

Lunghezza serie remota La lunghezza del numero di serie del certificato remoto in byte.

Numero di serie remoto Il numero di serie del certificato remoto.

Cookie risponditore Una stringa di cifre esadecimali che, quando viene combinata con il Cookie iniziatore, identifica in modo univoco l'SA per il tunnel. Questo valore è memorizzato come una stringa di 16 caratteri.

Ruolo Il ruolo di endpoint di sicurezza locale nell'attivazione del tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 1 = INITIATOR
  • 2 = RESPONDER

Ora di inizio L'ora in cui il tunnel è stato attivato o aggiornato.

Stato Lo stato corrente del tunnel. Questo valore è memorizzato come valore intero e visualizzato come stringa. I valori validi sono:

  • 2 = IN SOSPESO: il tunnel è in attesa di negoziazione.
  • 3 = INCOMPLETE: La negoziazione tunnel è in corso.
  • 4 = ATTIVO: Tunnel attivo e pronto per essere utilizzato.
  • 5 = EXPIRED: Tunnel scaduto e inutilizzabile.
  • 6 = HALF_CLOSED: il tunnel non è più utilizzato dall'endpoint locale, ma il processo di eliminazione non è stato riconosciuto dall'endpoint remoto.

Nome sysplex Il nome del sysplex di cui fa parte il sistema monitorato.

ID sistema L'ID del sistema SMF. Il formato è una stringa alfanumerica che non supera i 4 caratteri.

Nome STC TCPIP Il nome lavoro TCP/IP. Il formato è una stringa alfanumerica che non supera gli 8 caratteri.

Byte totali Il numero cumulativo di byte protetti da questo tunnel da quando il tunnel è stato attivato. Il valore presente in questa colonna può essere aggiunto al prodotto di 1.073.741.823 per il valore contenuto nella colonna Byte totali (in G) per calcolare i byte totali per il tunnel. Per i tunnel SWSA, il valore è solo per i byte che sono transitati nel tunnel da quando esso è stato assegnato a questo stack. Il formato è un valore intero.

Byte totali (in G) Il numero cumulativo di byte protetti da questo tunnel da quando il tunnel è stato attivato, diviso per 1,073,741,824. Il valore in questa colonna può essere moltiplicato per 1.073.741.823 e aggiunto al valore contenuto nella colonna Byte totali per calcolare i byte totali per il tunnel. Il formato è un valore intero.

Totale attivazioni locali non riuscite Il conteggio cumulativo delle attivazioni di tunnel dinamici avviate localmente non riuscite per questo tunnel IKE (Internet Key Exchange). Il formato è un valore intero.

Totale attivazioni remote non riuscite Il conteggio cumulativo delle attivazioni di tunnel dinamici avviate in remoto non riuscite per questo tunnel IKE (Internet Key Exchange). Il formato è un valore intero.

Totale attivazioni locali riuscite Il conteggio cumulativo delle attivazioni di tunnel dinamici avviate localmente riuscite per questo tunnel IKE (Internet Key Exchange). Il formato è un valore intero.

Totale attivazioni remote riuscite Il conteggio cumulativo delle attivazioni di tunnel dinamici avviate in remoto riuscite per questo tunnel IKE (Internet Key Exchange). Il formato è un valore intero.

ID tunnel L'identificativo del tunnel. Questo identificativo è generato dal daemon IKE (Internet Key Exchange) è non è univoco. Più tunnel correlati possono avere lo stesso ID tunnel. Questo valore è una stringa di caratteri con una lunghezza massima di 48 caratteri.