show security ike security-associations
구문
show security ike security-associations
<peer-address>
<brief | detail>
<family (inet | inet6)>
<fpc slot-number>
<index SA-index-number>
<kmd-instance (all | kmd-instance-name)>
<pic slot-number>
<sa-type shortcut >
<ha-link-encryption>
설명
IKE(Internet Key Exchange Security Associations)에 대한 정보를 표시합니다.
옵션
없음—인덱스 번호를 포함하여 기존 IKE SA에 대한 표준 정보를 표시합니다.
peer-address
—(옵션) 대상 피어의 IPv4 또는 IPv6 주소를 기반으로 특정 SA에 대한 세부 정보를 표시합니다. 이 옵션과index
동일한 출력 수준을 제공합니다.brief
—(옵션) 모든 기존 IKE SA에 대한 표준 정보를 표시합니다. (기본)detail
—(옵션) 모든 기존 IKE SA에 대한 상세 정보를 표시합니다.family
—(옵션) 제품군별 IKE SA 표시. 이 옵션은 출력을 필터링하는 데 사용됩니다.inet
—IPv4 주소 제품군.inet6
—IPv6 주소 제품군.
fpc slot-number
—(옵션) 이 FPC(Flexible PIC Concentrator) 슬롯에 기존 IKE SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.섀시 클러스터에서 운영 모드에서 CLI 명령을
show security ike security-associations pic <slot-number> fpc <slot-number>
실행할 때 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯에 있는 기존 IPsec SA에 대한 기본 노드 정보만 표시됩니다.index SA-index-number
—(옵션) SA의 인덱스 수를 기반으로 특정 SA에 대한 정보를 표시합니다. 특정 SA의 경우 옵션 없이 명령을 사용하여 기존 SA 목록을 표시합니다. 이 옵션과peer-address
동일한 출력 수준을 제공합니다.
kmd-instance
—(옵션) FPC slot-number 및 PIC slot-number로 식별된 키 관리 프로세스(이 경우 KMD)에서 기존 IKE SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.all
—SPU(Services Processing Unit)에서 실행되는 모든 KMD 인스턴스.kmd-instance-name
—SPU에서 실행되는 KMD 인스턴스의 이름입니다.
pic slot-number
—(옵션) 이 PIC 슬롯에 기존 IKE SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.sa-type
—(ADVPN에 옵션) SA 유형.shortcut
유일한 이번 릴리스 옵션입니다.
ha-link-encryption
—(옵션) 섀시 링크 터널과 관련된 정보를 표시합니다. ipsec(고가용성) 및 보안 ike 보안 연결 고 링크 암호화(SRX5400, SRX5600, SRX5800) 표시을 참조하십시오.
필수 권한 수준
보기
출력 필드
표 1 명령의 출력 필드를 나열합니다 show security ike security-associations
. 출력 필드가 나타나는 대략적 순서로 나열됩니다.
필드 이름 |
필드 설명 |
---|---|
|
로컬 피어가 통신하는 대상 피어의 IP 주소입니다. |
|
SA의 인덱스 수. 이 번호는 단일 SA에 대한 정보를 표시하는 데 사용할 수 있는 내부적으로 생성된 번호입니다. |
|
IKE 게이트웨이의 이름 |
|
|
|
IKE 세션에서 파트가 진행되었습니다. IKE 협상을 시작하는 디바이스는 시작자이며, 첫 번째 IKE 교환 패킷을 수락하는 디바이스는 응답자입니다. |
|
IKE SA의 상태:
|
|
쿠키라고 하는 임의의 번호는 IKE 협상이 트리거될 때 원격 노드로 전송됩니다. |
|
원격 노드에 의해 생성되고 패킷이 수신된 것을 검증하기 위해 시작자로 다시 전송되는 임의의 번호입니다. 쿠키는 쿠키의 진위 여부를 확인하기 위해 과도한 CPU 리소스를 사용하지 않고 컴퓨팅 리소스를 공격으로부터 보호하기 위한 것입니다. |
|
서로 정보를 교환하는 데 사용되는 두 IPsec 단말 장치(피어)에서 합의된 협상 방법 각 교환 유형 또는 모드는 메시지의 개수와 각 메시지에 포함된 페이로드 유형을 결정합니다. 모드는 다음과 같습니다.
IKEv2 프로토콜은 협상을 위해 모드 구성을 사용하지 않습니다. 따라서 이 모드는 보안 연결의 버전 번호를 표시합니다. |
|
IKE 메시지의 출처를 인증하는 데 사용되는 방법( 예: |
|
로컬 피어의 주소. |
|
원격 피어의 주소. |
|
IKE SA가 만료될 때까지 남은 초 수입니다. |
|
활성화되면 재인증이 새로운 IKEv2 SA 협상을 시작할 때까지 남은 시간 수입니다. |
|
|
|
IPsec Phase 2 프로세스 동안 피어 간의 교환을 암호화하고 보호하는 데 사용되는 IKE 알고리즘:
|
|
|
|
IKE 협상 상태에 대한 주요 관리 프로세스 통보:
|
|
|
|
진행 중인 2단계 IKE 협상 수 및 상태 정보:
|
|
로컬 게이트웨이의 인터페이스 이름입니다. |
|
로컬 게이트웨이 라우팅 인스턴스의 이름입니다. |
|
하위 IPsec 터널 ID 목록을 나타낸다. |
샘플 출력
- 보안 ike 보안 연결 표시(IPv4)
- 보안 ike 보안 연결 표시(IPv6)
- 보안 ike 보안 연결 세부 정보 표시(SRX300, SRX320, SRX340, SRX345, SRX550HM 디바이스)
- 보안 ike 보안 연결 세부 정보 표시(SRX5400, SRX5600 및 SRX5800 디바이스)
- 명령어 이름
- 보안 ike 보안 연결 제품군 inet6을 보여 줍니다.
- 보안 ike 보안 연결 인덱스 222075191 세부 정보를 표시
- 보안 ike 보안 연결 인덱스 788674 세부 정보 표시
- 보안 ike 보안 연결 표시 192.168.1.2
- 보안 ike 보안 연결 fpc 6 pic 1 kmd-instance 모두 표시(SRX 시리즈 디바이스)
- 보안 ike 보안 연결 세부 정보 표시(ADVPN Suggester, Static Tunnel)
- 보안 ike 보안 연결 세부 정보 표시(ADVPN 파트너, 정적 터널)
- 보안 ike 보안 연결 세부 정보 표시(ADVPN 파트너, 바로 가기)
- Security ike Security-Associations sa-type 바로 가기(ADVPN)를 보여 줍니다.
- 보안 ike 보안 연결 sa-type 바로 가기 세부 정보 표시(ADVPN)
- 보안 ike 보안 연결 세부 정보 표시(IKEv2 재인증)
- 보안 ike 보안 연결 세부 정보 표시(IKEv2 단편화)
- 보안 ike 보안 연결 고 링크 암호화(SRX5400, SRX5600, SRX5800) 표시
보안 ike 보안 연결 표시(IPv4)
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 8 192.168.1.2 UP 3a895f8a9f620198 9040753e66d700bb Main Index Remote Address State fInitiator cookie Responder cookie Mode 9 192.168.1.3 UP 5ba96hfa9f65067 70890755b65b80b Main
보안 ike 보안 연결 표시(IPv6)
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5 UP e48efd6a444853cf 0d09c59aafb720be Aggressive 2001:db8::1112
보안 ike 보안 연결 세부 정보 표시(SRX300, SRX320, SRX340, SRX345, SRX550HM 디바이스)
user@host> show security ike security-associations detail IKE peer 192.168.134.245, Index 2577565, Gateway Name: tropic Role: Initiator, State: UP Initiator cookie: b869b3424513340a, Responder cookie: 4cb3488cb19397c3 Exchange type: Main, Authentication method: Pre-shared-keys Trusted CA group: xyz_ca_grp Local: 192.168.134.241:500, Remote: 192.168.134.245:500 Local gateway interface: ge-0/0/0 Routing instance: default Lifetime: Expires in 169 seconds Peer ike-id: 192.168.134.245 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes-128-gcm Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 1012 Output bytes : 1196 Input packets: 4 Output packets: 5 Flags: IKE SA is created IPSec security associations: 1 created, 0 deleted Phase 2 negotiations in progress: 0 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 192.168.134.241:500, Remote: 192.168.134.245:500 Local identity: 192.168.134.241 Remote identity: 192.168.134.245 Flags: IKE SA is created IPsec SA Rekey CREATE_CHILD_SA exchange stats: Initiator stats: Responder stats: Request Out : 1 Request In : 0 Response In : 1 Response Out : 0 No Proposal Chosen In : 0 No Proposal Chosen Out : 0 Invalid KE In : 0 Invalid KE Out : 0 TS Unacceptable In : 0 TS Unacceptable Out : 0 Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0 Res Verify SA Fail : 0 Res Verify DH Group Fail: 0 Res Verify TS Fail : 0
보안 ike 보안 연결 세부 정보 표시(SRX5400, SRX5600 및 SRX5800 디바이스)
user@host> show security ike security-associations detail IKE peer 2.0.0.2, Index 2068, Gateway Name: IKE_GW Role: Responder, State: DOWN Initiator cookie: aa08091f3d4f1fb6, Responder cookie: 08c89a7add5f9332 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local gateway interface: ge-0/0/3 Routing instance: default Local: 2.0.0.1:500, Remote: 2.0.0.2:500 Lifetime: Expires in 186 seconds Reauth Lifetime: Disabled IKE Fragmentation: Enabled, Size: 576 Remote Access Client Info: Unknown Client Peer ike-id: 2.0.0.2 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha256-128 Encryption : aes128-cbc Pseudo random function: hmac-sha256 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 704 Output bytes : 1408 Input packets: 4 Output packets: 4 Input fragmented packets: 0 Output fragmented packets: 0 IPSec security associations: 4 created, 2 deleted Phase 2 negotiations in progress: 1 IPSec Tunnel IDs: 500766, 500767 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 2.0.0.1:500, Remote: 2.0.0.2:500 Local identity: 2.0.0.1 Remote identity: 2.0.0.2 Flags: IKE SA is created IPsec SA Rekey CREATE_CHILD_SA exchange stats: Initiator stats: Responder stats: Request Out : 0 Request In : 0 Response In : 0 Response Out : 0 No Proposal Chosen In : 0 No Proposal Chosen Out : 0 Invalid KE In : 0 Invalid KE Out : 0 TS Unacceptable In : 0 TS Unacceptable Out : 0 Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0 Res Verify SA Fail : 0 Res Verify DH Group Fail: 0 Res Verify TS Fail : 0
명령어 이름
show security ike 통계 항목에는 명령의 출력 필드가 show security ike security-associations detail
나열됩니다.
보안 ike 보안 연결 제품군 inet6을 보여 줍니다.
user@host> show security ike security-associations family inet6 IKE peer 2001:db8:1212::1112, Index 5, Gateway Name: tropic Role: Initiator, State: UP Initiator cookie: e48efd6a444853cf, Responder cookie: 0d09c59aafb720be Exchange type: Aggressive, Authentication method: Pre-shared-keys Local: 2001:db8:1212::1111:500, Remote: 2001:db8:1212::1112:500 Lifetime: Expires in 19518 seconds Peer ike-id: not valid AAA assigned IP: 0.0.0.0 Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 1568 Output bytes : 2748 Input packets: 6 Output packets: 23 Flags: Caller notification sent IPSec security associations: 5 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 2900338624 Local: 2001:db8:1212::1111:500, Remote: 2001:db8:1212::1112:500 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Flags: Caller notification sent, Waiting for done
보안 ike 보안 연결 인덱스 222075191 세부 정보를 표시
user@host> show security ike security-associations index 222075191 detail node0: - IKE peer 192.168.1.2, Index 222075191, Gateway Name: ZTH_HUB_GW Location: FPC 0, PIC 3, KMD-Instance 2 Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 2 Suggestions accepted: 4 Suggestions declined: 1 Role: Responder, State: UP Initiator cookie: 7b996b4c310d2424, Responder cookie: 5724c5882a212157 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 192.168.1.1:500, Remote: 192.168.1.2:500 Lifetime: Expires in 828 seconds Peer ike-id: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering, CN=cssvk36-d Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 20474 Output bytes : 21091 Input packets: 237 Output packets: 237 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 192.168.1.1:500, Remote: 192.168.1.2:500 Local identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering, CN=host1 Remote identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering, CN=host2 Flags: IKE SA is created
보안 ike 보안 연결 인덱스 788674 세부 정보 표시
user@host> show security ike security-associations index 788674 detail IKE peer 192.168.1.1, Index 788674, Gateway Name: ZTH_SPOKE_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 2 Suggestions accepted: 2 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 7b996b4c310d2424, Responder cookie: 5724c5882a212157 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 192.168.1.2:500, Remote: 192.168.1.1:500 Lifetime: Expires in 734 seconds Peer ike-id: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering, CN=test Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 22535 Output bytes : 21918 Input packets: 256 Output packets: 256 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 192.168.1.2:500, Remote: 192.168.1.1:500 Local identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering, CN=host1 Remote identity: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering, CN=host2 Flags: IKE SA is created
보안 ike 보안 연결 표시 192.168.1.2
user@host> show security ike security-associations 192.168.1.2 Index State Initiator cookie Responder cookie Mode Remote Address 8 UP 3a895f8a9f620198 9040753e66d700bb Main 192.168.1.2
보안 ike 보안 연결 fpc 6 pic 1 kmd-instance 모두 표시(SRX 시리즈 디바이스)
user@host> show security ike security-associations fpc 6 pic 1 kmd-instance all Index Remote Address State Initiator cookie Responder cookie Mode 1728053250 192.168.1.2 UP fc959afd1070d10b bdeb7e8c1ea99483 Main
보안 ike 보안 연결 세부 정보 표시(ADVPN Suggester, Static Tunnel)
user@host> show security ike security-associations detail IKE peer 192.168.0.105, Index 13563297, Gateway Name: zth_hub_gw Location: FPC 0, PIC 0, KMD-Instance 1 Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 12 Suggestion response accepted: 12 Suggestion response declined: 0 Role: Responder, State: UP Initiator cookie: 4d3f4e4b2e75d727, Responder cookie: 81ab914e13cecd21 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 192.168.0.154:500, Remote: 192.168.0.105:500 Lifetime: Expires in 26429 seconds Peer ike-id: DC=example, CN=host02, L=Sunnyvale, ST=CA, C=US
보안 ike 보안 연결 세부 정보 표시(ADVPN 파트너, 정적 터널)
user@host> show security ike security-associations detail IKE peer 192.168.0.154, Index 4980720, Gateway Name: zth_spoke_gw Location: FPC 0, PIC 0, KMD-Instance 1 Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 12 Suggestions accepted: 12 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 4d3f4e4b2e75d727, Responder cookie: 81ab914e13cecd21 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 192.168.0.105:500, Remote: 192.168.0.154:500 Lifetime: Expires in 26252 seconds Peer ike-id: DC=example, CN=host01, OU=SBU, O=example, L=Sunnyvale, ST=CA, C=US
보안 ike 보안 연결 세부 정보 표시(ADVPN 파트너, 바로 가기)
user@host> show security ike security-associations detail IKE peer 192.168.0.106, Index 4980737, Gateway Name: GW-ADVPN-GT-ADVPN-zth_spoke_vpn-268173323 Location: FPC 0, PIC 0, KMD-Instance 1 Auto Discovery VPN: Type: Shortcut, Local Capability: Partner, Peer Capability: Partner Role: Responder, State: UP Initiator cookie: e1ed0c655929debc, Responder cookie: 437de6ed784ba63e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 192.168.0.105:500, Remote: 192.168.0.106:500 Lifetime: Expires in 28796 seconds Peer ike-id: DC=example, CN=paulyd, L=Sunnyvale, ST=CA, C=US
Security ike Security-Associations sa-type 바로 가기(ADVPN)를 보여 줍니다.
user@host> show security ike security-associations sa-type shortcut Index State Initiator cookie Responder cookie Mode Remote Address 4980742 UP vb56fbe694eaee5b6 064dbccbfa3b2aab IKEv2 192.168.0.106
보안 ike 보안 연결 sa-type 바로 가기 세부 정보 표시(ADVPN)
user@host> show security ike security-associations sa-type shortcut detail IKE peer 192.168.0.106, Index 4980742, Gateway Name: GW-ADVPN-GT-ADVPN-zth_spoke_vpn-268173327 Location: FPC 0, PIC 0, KMD-Instance 1 Auto Discovery VPN: Type: Shortcut, Local Role: Partner, Peer Role: Partner Role: Responder, State: UP
보안 ike 보안 연결 세부 정보 표시(IKEv2 재인증)
user@host> show security ike security-associations detail IKE peer 10.1.2.11, Index 6009224, Gateway Name: GW Role: Responder, State: UP Initiator cookie: 2c74d14c798a9d70, Responder cookie: 83cbb49bfbcb80cb Exchange type: IKEv2, Authentication method: RSA-signatures Local: 10.1.1.11:500, Remote: 10.1.2.11:500 Lifetime: Expires in 173 seconds Reauth Lifetime: Expires in 600 seconds Peer ike-id: vsrx@example.net AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes128-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1782 Output bytes : 1743 Input packets: 2
보안 ike 보안 연결 세부 정보 표시(IKEv2 단편화)
user@host> show security ike security-associations detail IKE peer 172.24.23.157, Index 11883008, Gateway Name: routebased_s2s_gw-552_1 Role: Responder, State: UP Initiator cookie: f3255e720f162e3a, Responder cookie: 17555e3ff7451841 Exchange type: Main, Authentication method: Pre-shared-keys Trusted CA group: xyz_ca_grp Local: 192.168.254.1:500, Remote: 172.24.23.157:500 Lifetime: Expires in 530 seconds Reauth Lifetime: Disabled IKE Fragmentation: Enabled, Size: 576 Peer ike-id: 172.24.23.157 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 1004 Output bytes : 756 Input packets: 6 Output packets: 4 Input fragmented packets: 3 Output fragmented packets: 3 IPSec security associations: 1 created, 1 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 192.168.254.1:500, Remote: 172.24.23.157:500 Local identity: 192.168.254.1 Remote identity: 172.24.23.157 Flags: IKE SA is created
보안 ike 보안 연결 고 링크 암호화(SRX5400, SRX5600, SRX5800) 표시
Junos OS 릴리스 20.4R1부터 고가용성(HA) 기능을 구성할 때 이 show 명령을 사용하여 섀시 간 링크 터널 세부 정보만 볼 수 있습니다. 다음 명령은 두 노드에 링크 암호화 SA만 표시합니다.
user@host> show security ike security-associations ha-link-encryption Index State Initiator cookie Responder cookie Mode Remote Address 4294966287 UP 7b77b4e2fd5a87e5 ab4a398e6a28687a IKEv2 23.0.0.2
출시 정보
Junos OS 릴리스 8.5에 명령어 도입. Junos OS 릴리스 9.3에 추가된 , pic
및 kmd-instance
옵션에 대한 fpc
지원. family
Junos OS 릴리스 11.1에 추가된 옵션을 지원합니다. Junos OS 릴리스 12.3X48-D10에 추가된 Auto Discovery VPN 지원. Junos OS 릴리스 15.1X49-D60에 추가된 IKEv2 재인증 지원. Junos OS 릴리스 15.1X49-D80에 추가된 IKEv2 단편화 지원.
ha-link-encryption
Junos OS 릴리스 20.4R1에 추가된 옵션 지원.