Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ike security-associations

구문

설명

IKE(Internet Key Exchange) 보안 연결에 대한 정보를 표시합니다.

옵션

  • none - 인덱스 번호를 포함하여 기존 IKE(Internet Key Exchange) SA에 대한 표준 정보를 표시합니다.

  • peer-address- (옵션) 대상 피어의 IPv4 또는 IPv6 주소를 기반으로 특정 SA에 대한 세부 정보를 표시합니다. 이 옵션은 index 동일한 수준의 출력을 제공합니다.

  • brief- (옵션) 기존의 모든 IKE(Internet Key Exchange) SA에 대한 표준 정보를 표시합니다. (기본값)

  • detail- (옵션) 기존의 모든 IKE(Internet Key Exchange) SA에 대한 세부 정보를 표시합니다.

  • family- (옵션) 제품군별로 IKE(Internet Key Exchange) SA를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    • inet- IPv4 주소 패밀리.

    • inet6—IPv6 주소 제품군.

  • fpc slot-number—(옵션) 이 FPC(Flexible PIC Concentrator) 슬롯의 기존 IKE(Internet Key Exchange) SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    섀시 클러스터에서 운영 모드에서 CLI 명령을 show security ike security-associations pic <slot-number> fpc <slot-number> 실행하면 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯의 기존 IPsec SA에 대한 기본 노드 정보만 표시됩니다.

    Junos OS 릴리스 23.4R1부터는 프로세스를 사용하여 IKED IPsec VPN을 실행하기 위해 패키지를 설치할 때 junos-ike 이 옵션을 사용할 수 없습니다.

  • index SA-index-number- (옵션) SA의 인덱스 번호를 기반으로 특정 SA에 대한 정보를 표시합니다. 특정 SA의 경우 옵션 없이 명령을 사용하여 기존 SA 목록을 표시합니다. 이 옵션은 peer-address 동일한 수준의 출력을 제공합니다.

  • kmd-instance —(옵션) FPC slot-number 및 PIC slot-number에 의해 식별된 키 관리 프로세스(이 경우, KMD)에서 기존 IKE SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    • all- SPU(Services Processing Unit)에서 실행되는 모든 KMD 인스턴스.

    • kmd-instance-name- SPU에서 실행되는 KMD 인스턴스의 이름.

    Junos OS 릴리스 23.4R1부터는 프로세스를 사용하여 IKED IPsec VPN을 실행하기 위해 패키지를 설치할 때 junos-ike 이 옵션을 사용할 수 없습니다.

node-local

- (선택 사항) 멀티노드 고가용성 설정에서 노드-로컬 터널에 대한 IKE SA에 대한 정보를 표시합니다.

  • pic slot-number - (옵션) 이 PIC 슬롯에 있는 기존 IKE(Internet Key Exchange) SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    Junos OS 릴리스 23.4R1부터는 프로세스를 사용하여 IKED IPsec VPN을 실행하기 위해 패키지를 설치할 때 junos-ike 이 옵션을 사용할 수 없습니다.

  • sa-type shortcut—(선택 사항) ADVPN에 적용됩니다. 유형 shortcut별로 IKE(Internet Key Exchange) SA에 대한 정보를 표시합니다.

  • srg-id—(옵션) 특정 SRG(Services Redundancy Group)와 관련된 정보를 표시합니다.

필요한 권한 수준

보기

출력 필드

표 1 에는 명령의 출력 필드가 나열되어 있습니다 show security ike security-associations . 출력 필드는 나타나는 대략적인 순서대로 나열됩니다.

표 1: 보안 ike security-associations 출력 필드 표시

필드 이름

필드 설명

IKE Peer or Remote Address

로컬 피어가 통신하는 대상 피어의 IP 주소입니다.

Index

SA의 인덱스 번호입니다. 이 번호는 단일 SA에 대한 정보를 표시하는 데 사용할 수 있는 내부적으로 생성된 번호입니다.

Gateway Name

IKE(Internet Key Exchange) 게이트웨이의 이름입니다.

Location

  • FPC—FPC(Flexible PIC Concentrator) 슬롯 번호.

  • PIC—PIC 슬롯 번호.

  • KMD-Instance- FPC slot-number 및 PIC slot-number로 식별되는 SPU에서 실행되는 KMD 인스턴스의 이름입니다. 현재 각 SPU에서 4개의 KMD 인스턴스가 실행되고 있으며, 모든 특정 IKE 협상은 단일 KMD 인스턴스에 의해 수행됩니다.

Role

IKE 세션에서 역할을 했습니다. IKE 협상을 트리거하는 디바이스는 개시자이며, 첫 번째 IKE 교환 패킷을 수락하는 디바이스는 응답자입니다.

State

IKE SA의 상태:

  • DOWN- SA가 피어와 협상되지 않았습니다.

  • UP- SA가 피어와 협상되었습니다.

Initiator cookie

쿠키라고 하는 난수로, IKE 협상이 트리거될 때 원격 노드로 전송됩니다.

Responder cookie

원격 노드에서 생성되어 패킷이 수신되었는지 확인하기 위해 개시자에게 다시 전송되는 난수입니다.

쿠키는 쿠키의 신뢰성을 확인하기 위해 과도한 CPU 리소스를 소비하지 않고 공격으로부터 컴퓨팅 리소스를 보호하는 것을 목표로 합니다.

Exchange type

서로 간에 정보를 교환하는 데 사용되는 두 IPsec 엔드포인트 또는 피어에서 합의한 협상 방법입니다. 각 교환 유형 또는 모드에 따라 메시지 수와 각 메시지에 포함된 페이로드 유형이 결정됩니다. 모드는 다음과 같습니다.

  • main- 6개의 메시지로 교환이 완료됩니다. 이 모드는 페이로드를 암호화하여 인접 라우터의 ID를 보호합니다.

  • aggressive- 세 개의 메시지로 교환이 완료됩니다. 이 모드는 페이로드를 암호화하지 않으므로 인접 라우터의 ID가 보호되지 않습니다.

IKEv2 프로토콜은 협상에 모드 구성을 사용하지 않습니다. 따라서 모드는 보안 연결의 버전 번호를 표시합니다.

Authentication method

IKE 메시지의 소스를 인증하는 데 사용되는 방법으로, , ECDSA-signatures-384ECDSA-signatures-256, 또는 와 같은 DSA-signatures디지털 인증서일 수 Pre-shared-keys 있습니다RSA-signatures.

Local

로컬 피어의 주소입니다.

Remote

원격 피어의 주소입니다.

Lifetime

IKE(Internet Key Exchange) SA가 만료될 때까지 남은 시간(초)입니다.

Reauth Lifetime

활성화되면 재인증이 새 IKEv2 SA 협상을 트리거할 때까지 남은 시간(초)입니다.

IKE Fragmentation

Enabled 즉, IKEv2 개시자와 응답자 모두 메시지 단편화를 지원하고 IKE_SA_INIT 메시지 교환 중에 지원을 협상했습니다.

Size 은(는) 조각화되기 전 IKEv2 메시지의 최대 크기를 보여줍니다.

Algorithms

IPsec 2단계 프로세스 중 피어 간의 교환을 암호화하고 보호하는 데 사용되는 IKE 알고리즘:

  • Authentication- 사용된 인증 알고리즘 유형:

    • sha1- 보안 해시 알고리즘 1 인증.

    • md5- MD5 인증.

  • Encryption- 사용된 암호화 알고리즘 유형:

    • aes-256-cbc—고급 암호화 표준(AES) 256비트 암호화.

    • aes-192-cbc— AES192비트 암호화.

    • aes-128-cbc—AES 128비트 암호화.

    • 3des-cbc—3 DES(데이터 암호화 표준) 암호화.

    • aes-128-gcm—고급 암호화 표준(AES) 256비트 암호화.

    • des-cbc- DES 암호화.

    Junos OS 릴리스 19.4R2부터 계층 수준에서 또는 aes-256-gcm 를 암호화 알고리즘 [edit security ipsec proposalproposal-name] 으로 구성 aes-128-gcm 하면 명령의 인증 알고리즘 필드에 동일한 구성 암호화 알고리즘이 show security ikesecurity-associations detail 표시됩니다.

  • Pseudo random function- 예측할 수 없는 난수를 생성하는 함수: hmac-md5 또는 hmac-sha1.

  • Diffie-Hellman group- 새 Diffie-Hellman 교환을 수행할 때 Diffie-Hellman 그룹의 유형을 지정합니다. 다음 중 하나일 수 있습니다.

    • group1—768비트 MODP(Modular Exponential) 알고리즘.

    • group2- 1024비트 MODP 알고리즘.

    • group14- 2048비트 MODP 그룹.

    • group15—3072비트 MODP 알고리즘.

    • group16- 4096비트 MODP 알고리즘.

    • group19—256비트 임의 Elliptic Curve Groups modulo a prime(ECP 그룹) 알고리즘.

    • group20—384비트 임의 ECP 그룹 알고리즘.

    • group21—521비트 임의 ECP 그룹 알고리즘.

    • group24—256비트 프라임 오더 하위 그룹이 있는 2048비트 MODP 그룹.

Traffic statistics

  • Input bytes—수신된 바이트 수입니다.

  • Output bytes—전송된 바이트 수입니다.

  • Input packets—수신된 패킷 수입니다.

  • Output packets—전송된 패킷 수입니다.

  • Input fragmented packets- 수신된 IKEv2 단편화된 패킷 수입니다.

  • Output fragmented packets- 전송된 IKEv2 단편화된 패킷 수입니다.

Flags

IKE(Internet Key Exchange) 협상 상태를 키 관리 프로세스에 알림:

  • caller notification sent- 호출자 프로그램이 IKE 협상 완료에 대해 알렸습니다.

  • waiting for done- 협상이 완료되었습니다. 라이브러리가 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

  • waiting for remove- 협상에 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

  • waiting for policy manager- 협상 중에 정책 관리자의 응답을 기다리고 있습니다.

IPSec security associations

  • number created: 생성된 SA의 수입니다.

  • number deleted: 삭제된 SA의 개수입니다.

Phase 2 negotiations in progress

진행 중인 2단계 IKE(Internet Key Exchange) 협상 수 및 상태 정보:

  • Negotiation type- 2단계 협상 유형. Junos OS는 현재 빠른 모드를 지원합니다.

  • Message ID- 2단계 협상의 고유 식별자.

  • Local identity- 로컬 2단계 협상의 ID입니다. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)입니다.

  • Remote identity- 원격 2단계 협상의 ID입니다. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)입니다.

  • Flags- IKE(Internet Key Exchange) 협상 상태를 키 관리 프로세스에 알립니다.

    • caller notification sent- 호출자 프로그램이 IKE 협상 완료에 대해 알렸습니다.

    • waiting for done- 협상이 완료되었습니다. 라이브러리가 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

    • waiting for remove- 협상에 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

    • waiting for policy manager- 협상 중에 정책 관리자의 응답을 기다리고 있습니다.

Local gateway interface

로컬 게이트웨이의 인터페이스 이름입니다.

Routing instance

로컬 게이트웨이 라우팅 인스턴스의 이름입니다.

IPsec Tunnel IDs

하위 IPsec 터널 ID 목록을 나타냅니다

샘플 출력

보안 ike 보안 연결 표시(IPv4)

보안 ike 보안 연관 표시(IPv6)

show security ike security-associations detail(SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스)

show security ike security-associations detail(SRX5400, SRX5600 및 SRX5800 디바이스)

명령 이름

show security ike stats 주제에는 명령의 show security ike security-associations detail 출력 필드가 나열됩니다.

보안 ike 보안 연결 제품군 inet6 표시

보안 ike 보안 연결 인덱스 222075191 세부 정보 표시

보안 ike 보안 연결 인덱스 788674 세부 정보 표시

보안 ike 보안 연결 192.168.1.2 표시

show security ike security-associations fpc 6 pic 1 kmd-instance all(SRX 시리즈 방화벽)

show security ike security-associations detail(ADVPN 제안기, 정적 터널)

show security ike security-associations detail(ADVPN 파트너, 정적 터널)

show security ike security-associations detail(ADVPN 파트너, 바로 가기)

show security ike security-associations sa-type 바로 가기(ADVPN)

보안 ike 보안 연결 sa 유형 바로 가기 세부 정보 표시(ADVPN)

show security ike security-associations detail(IKEv2 재인증)

show security ike security-associations detail(IKEv2 단편화)

보안 ike 보안 연결 srg-id 표시

보안 ike 보안 연결 노드 로컬 표시

보안 ike 보안 연결 노드 로컬 세부 정보 표시

릴리스 정보

Junos OS 릴리스 8.5에서 소개된 명령입니다. , pic, 옵션에 kmd-instance 대한 fpc지원이 Junos OS 릴리스 9.3에 추가되었습니다. 옵션에 대한 family 지원이 Junos OS 릴리스 11.1에 추가되었습니다. Junos OS 릴리스 12.3X48-D10에 자동 검색 VPN에 대한 지원이 추가되었습니다. IKEv2 재인증에 대한 지원이 Junos OS 릴리스 15.1X49-D60에 추가되었습니다. IKEv2 단편화에 대한 지원이 Junos OS 릴리스 15.1X49-D80에 추가되었습니다.

옵션에 대한 ha-link-encryption 지원이 Junos OS 릴리스 20.4R1에 추가되었습니다.

옵션에 대한 srg-id 지원이 Junos OS 릴리스 22.4R1에 추가되었습니다.

옵션에 대한 node-local 지원이 Junos OS 릴리스 23.2R1에 추가되었습니다.