show security ike security-associations

로컬 피어가 통신하는 대상 피어의 IP 주소입니다.

SA의 인덱스 번호입니다. 이 번호는 단일 SA에 대한 정보를 표시하는 데 사용할 수 있는 내부적으로 생성된 번호입니다.

IKE(Internet Key Exchange) 게이트웨이의 이름입니다.

• FPC—FPC(Flexible PIC Concentrator) 슬롯 번호.

• PIC—PIC 슬롯 번호.

• KMD-Instance- FPC slot-number 및 PIC slot-number로 식별되는 SPU에서 실행되는 KMD 인스턴스의 이름입니다. 현재 각 SPU에서 4개의 KMD 인스턴스가 실행되고 있으며, 모든 특정 IKE 협상은 단일 KMD 인스턴스에 의해 수행됩니다.

IKE 세션에서 역할을 했습니다. IKE 협상을 트리거하는 디바이스는 개시자이며, 첫 번째 IKE 교환 패킷을 수락하는 디바이스는 응답자입니다.

IKE SA의 상태:

• DOWN- SA가 피어와 협상되지 않았습니다.

• UP- SA가 피어와 협상되었습니다.

쿠키라고 하는 난수로, IKE 협상이 트리거될 때 원격 노드로 전송됩니다.

원격 노드에서 생성되어 패킷이 수신되었는지 확인하기 위해 개시자에게 다시 전송되는 난수입니다.

쿠키는 쿠키의 신뢰성을 확인하기 위해 과도한 CPU 리소스를 소비하지 않고 공격으로부터 컴퓨팅 리소스를 보호하는 것을 목표로 합니다.

서로 간에 정보를 교환하는 데 사용되는 두 IPsec 엔드포인트 또는 피어에서 합의한 협상 방법입니다. 각 교환 유형 또는 모드에 따라 메시지 수와 각 메시지에 포함된 페이로드 유형이 결정됩니다. 모드는 다음과 같습니다.

• main- 6개의 메시지로 교환이 완료됩니다. 이 모드는 페이로드를 암호화하여 인접 라우터의 ID를 보호합니다.

• aggressive- 세 개의 메시지로 교환이 완료됩니다. 이 모드는 페이로드를 암호화하지 않으므로 인접 라우터의 ID가 보호되지 않습니다.

IKEv2 프로토콜은 협상에 모드 구성을 사용하지 않습니다. 따라서 모드는 보안 연결의 버전 번호를 표시합니다.

IKE 메시지의 소스를 인증하는 데 사용되는 방법으로, , ECDSA-signatures-384ECDSA-signatures-256, 또는 와 같은 DSA-signatures디지털 인증서일 수 Pre-shared-keys 있습니다RSA-signatures.

로컬 피어의 주소입니다.

원격 피어의 주소입니다.

IKE(Internet Key Exchange) SA가 만료될 때까지 남은 시간(초)입니다.

활성화되면 재인증이 새 IKEv2 SA 협상을 트리거할 때까지 남은 시간(초)입니다.

Enabled 즉, IKEv2 개시자와 응답자 모두 메시지 단편화를 지원하고 IKE_SA_INIT 메시지 교환 중에 지원을 협상했습니다.

Size 은(는) 조각화되기 전 IKEv2 메시지의 최대 크기를 보여줍니다.

IPsec 2단계 프로세스 중 피어 간의 교환을 암호화하고 보호하는 데 사용되는 IKE 알고리즘:

• Authentication- 사용된 인증 알고리즘 유형:

  • sha1- 보안 해시 알고리즘 1 인증.

  • md5- MD5 인증.

• Encryption- 사용된 암호화 알고리즘 유형:

  • aes-256-cbc—고급 암호화 표준(AES) 256비트 암호화.

  • aes-192-cbc— AES192비트 암호화.

  • aes-128-cbc—AES 128비트 암호화.

  • 3des-cbc—3 DES(데이터 암호화 표준) 암호화.

  • aes-128-gcm—고급 암호화 표준(AES) 256비트 암호화.

  • des-cbc- DES 암호화.

  Junos OS 릴리스 19.4R2부터 계층 수준에서 또는 aes-256-gcm 를 암호화 알고리즘 [edit security ipsec proposalproposal-name] 으로 구성 aes-128-gcm 하면 명령의 인증 알고리즘 필드에 동일한 구성 암호화 알고리즘이 show security ikesecurity-associations detail 표시됩니다.

• Pseudo random function- 예측할 수 없는 난수를 생성하는 함수: hmac-md5 또는 hmac-sha1.

• Diffie-Hellman group- 새 Diffie-Hellman 교환을 수행할 때 Diffie-Hellman 그룹의 유형을 지정합니다. 다음 중 하나일 수 있습니다.

  • group1—768비트 MODP(Modular Exponential) 알고리즘.

  • group2- 1024비트 MODP 알고리즘.

  • group14- 2048비트 MODP 그룹.

  • group15—3072비트 MODP 알고리즘.

  • group16- 4096비트 MODP 알고리즘.

  • group19—256비트 임의 Elliptic Curve Groups modulo a prime(ECP 그룹) 알고리즘.

  • group20—384비트 임의 ECP 그룹 알고리즘.

  • group21—521비트 임의 ECP 그룹 알고리즘.

  • group24—256비트 프라임 오더 하위 그룹이 있는 2048비트 MODP 그룹.

• Input bytes—수신된 바이트 수입니다.

• Output bytes—전송된 바이트 수입니다.

• Input packets—수신된 패킷 수입니다.

• Output packets—전송된 패킷 수입니다.

• Input fragmented packets- 수신된 IKEv2 단편화된 패킷 수입니다.

• Output fragmented packets- 전송된 IKEv2 단편화된 패킷 수입니다.

IKE(Internet Key Exchange) 협상 상태를 키 관리 프로세스에 알림:

• caller notification sent- 호출자 프로그램이 IKE 협상 완료에 대해 알렸습니다.

• waiting for done- 협상이 완료되었습니다. 라이브러리가 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

• waiting for remove- 협상에 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

• waiting for policy manager- 협상 중에 정책 관리자의 응답을 기다리고 있습니다.

• number created: 생성된 SA의 수입니다.

• number deleted: 삭제된 SA의 개수입니다.

진행 중인 2단계 IKE(Internet Key Exchange) 협상 수 및 상태 정보:

• Negotiation type- 2단계 협상 유형. Junos OS는 현재 빠른 모드를 지원합니다.

• Message ID- 2단계 협상의 고유 식별자.

• Local identity- 로컬 2단계 협상의 ID입니다. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)입니다.

• Remote identity- 원격 2단계 협상의 ID입니다. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation)입니다.

• Flags- IKE(Internet Key Exchange) 협상 상태를 키 관리 프로세스에 알립니다.

  • caller notification sent- 호출자 프로그램이 IKE 협상 완료에 대해 알렸습니다.

  • waiting for done- 협상이 완료되었습니다. 라이브러리가 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

  • waiting for remove- 협상에 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 종료 재전송 타이머가 만료되기를 기다리고 있습니다.

  • waiting for policy manager- 협상 중에 정책 관리자의 응답을 기다리고 있습니다.

로컬 게이트웨이의 인터페이스 이름입니다.

로컬 게이트웨이 라우팅 인스턴스의 이름입니다.

하위 IPsec 터널 ID 목록을 나타냅니다