show security ike security-associations

로컬 피어가 통신하는 대상 피어의 IP 주소입니다.

SA의 인덱스 수. 이 번호는 단일 SA에 대한 정보를 표시하는 데 사용할 수 있는 내부적으로 생성된 번호입니다.

IKE 게이트웨이의 이름

• FPC—FPC(Flexible PIC Concentrator) 슬롯 번호.

• PIC—PIC 슬롯 번호.

• KMD-Instance—FPC slot-number 및 PIC slot-number로 식별된 SPU에서 실행되는 KMD 인스턴스의 이름 . 현재 각 SPU에서 4개의 KMD 인스턴스가 실행되고 있으며, 특정 IKE 협상은 단일 KMD 인스턴스에 의해 수행됩니다.

IKE 세션에서 파트가 진행되었습니다. IKE 협상을 시작하는 디바이스는 시작자이며, 첫 번째 IKE 교환 패킷을 수락하는 디바이스는 응답자입니다.

IKE SA의 상태:

• DOWN—SA는 피어와 협상되지 않았습니다.

• UP—SA는 피어와 협상되었습니다.

쿠키라고 하는 임의의 번호는 IKE 협상이 트리거될 때 원격 노드로 전송됩니다.

원격 노드에 의해 생성되고 패킷이 수신된 것을 검증하기 위해 시작자로 다시 전송되는 임의의 번호입니다.

쿠키는 쿠키의 진위 여부를 확인하기 위해 과도한 CPU 리소스를 사용하지 않고 컴퓨팅 리소스를 공격으로부터 보호하기 위한 것입니다.

서로 정보를 교환하는 데 사용되는 두 IPsec 단말 장치(피어)에서 합의된 협상 방법 각 교환 유형 또는 모드는 메시지의 개수와 각 메시지에 포함된 페이로드 유형을 결정합니다. 모드는 다음과 같습니다.

• main—익스체인지는 6개의 메시지로 이루어집니다. 이 모드는 페이로드를 암호화하여 이웃의 ID를 보호합니다.

• aggressive—익스체인지는 3개의 메시지로 이루어집니다. 이 모드는 페이로드를 암호화하지 않으므로 이웃의 ID가 보호되지 않습니다.

IKEv2 프로토콜은 협상을 위해 모드 구성을 사용하지 않습니다. 따라서 이 모드는 보안 연결의 버전 번호를 표시합니다.

IKE 메시지의 출처를 인증하는 데 사용되는 방법( 예: DSA-signatures, ECDSA-signatures-384ECDSA-signatures-256, 또는 RSA-signatures) 디지털 인증서가 될 Pre-shared-keys 수 있습니다.

로컬 피어의 주소.

원격 피어의 주소.

IKE SA가 만료될 때까지 남은 초 수입니다.

활성화되면 재인증이 새로운 IKEv2 SA 협상을 시작할 때까지 남은 시간 수입니다.

Enabled 즉, IKEv2 시작자 및 응답자 지원 메시지 단편화와 IKE_SA_INIT 메시지 교환 중에 지원을 협상한 것을 의미합니다.

Size 단편화되기 전에 IKEv2 메시지의 최대 크기를 보여줍니다.

IPsec Phase 2 프로세스 동안 피어 간의 교환을 암호화하고 보호하는 데 사용되는 IKE 알고리즘:

• Authentication—사용된 인증 알고리즘의 유형:

  • sha1—보안 해시 알고리즘 1 인증.

  • md5—MD5 인증.

• Encryption—사용되는 암호화 알고리즘의 유형:

  • aes-256-cbc—AES(Advanced Encryption Standard) 256비트 암호화.

  • aes-192-cbc— AES192비트 암호화.

  • aes-128-cbc—AES 128비트 암호화.

  • 3des-cbc—3 DES(Data Encryption Standard) 암호화.

  • aes-128-gcm—AES(Advanced Encryption Standard) 256비트 암호화.

  • des-cbc—DES 암호화.

  Junos OS Release 19.4R2에서 시작하여 계층 수준에서 구성 aes-128-gcm 하거나 암호화 알고리즘 [edit security ipsec proposalproposal-name] 으로 사용할 때 명령의 show security ikesecurity-associations detail 인증 알고리즘 필드는 동일한 구성된 암호화 알고리즘 aes-256-gcm 을 표시합니다.

• Pseudo random function—예측할 수 없는 난수(random number)를 생성하는 기능: hmac-md5 또는 hmac-sha1.

• Diffie-Hellman group—새로운 Diffie-Hellman Exchange를 수행할 때 Diffie-Hellman 그룹의 유형을 지정합니다. 다음 중 하나가 될 수 있습니다.

  • group1—768비트 MODP(Modular Exponential) 알고리즘.

  • group2—1024비트 MODP 알고리즘.

  • group14—2048비트 MODP 그룹.

  • group15—3072비트 MODP 알고리즘.

  • group16—4096비트 MODP 알고리즘.

  • group19—256비트 임의 Elliptic Curve Group ECP 그룹(modulo a prime) 알고리즘.

  • group20—384비트 임의 ECP 그룹 알고리즘.

  • group21—521비트 임의 ECP 그룹 알고리즘.

  • group24—256비트 프라임 오더 하위 그룹을 보유한 2048비트 MODP 그룹.

• Input bytes—수신 바이트 수.

• Output bytes—전송된 바이트 수입니다.

• Input packets—수신된 패킷 수입니다.

• Output packets—전송된 패킷의 수입니다.

• Input fragmented packets—수신된 IKEv2 단편화된 패킷 수입니다.

• Output fragmented packets—전송된 IKEv2 단편화된 패킷 수입니다.

IKE 협상 상태에 대한 주요 관리 프로세스 통보:

• caller notification sent—발신자 프로그램은 IKE 협상 완료에 대해 통보했습니다.

• waiting for done—협상이 완료되었습니다. 라이브러리는 원격 엔드 재전송 타이머가 만료될 때까지 기다리고 있습니다.

• waiting for remove—협상이 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 엔드 재전송 타이머가 만료되기를 기다리고 있습니다.

• waiting for policy manager—협상은 정책 관리자의 응답을 기다리고 있습니다.

• number created: 생성된 SA의 수입니다.

• number deleted: 삭제된 SA의 수입니다.

진행 중인 2단계 IKE 협상 수 및 상태 정보:

• Negotiation type—2단계 협상 유형. Junos OS는 현재 퀵 모드를 지원합니다.

• Message ID—2단계 협상을 위한 고유 식별자.

• Local identity—지역 2단계 협상의 아이덴티티. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

• Remote identity—원격 2단계 협상의 아이덴티티. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

• Flags—IKE 협상의 상태에 대한 주요 관리 프로세스 통보:

  • caller notification sent—발신자 프로그램은 IKE 협상 완료에 대해 통보했습니다.

  • waiting for done—협상이 완료되었습니다. 라이브러리는 원격 엔드 재전송 타이머가 만료될 때까지 기다리고 있습니다.

  • waiting for remove—협상이 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 엔드 재전송 타이머가 만료되기를 기다리고 있습니다.

  • waiting for policy manager—협상은 정책 관리자의 응답을 기다리고 있습니다.

로컬 게이트웨이의 인터페이스 이름입니다.

로컬 게이트웨이 라우팅 인스턴스의 이름입니다.

하위 IPsec 터널 ID 목록을 나타낸다.