Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ike security-associations

구문

설명

IKE(Internet Key Exchange Security Associations)에 대한 정보를 표시합니다.

옵션

  • 없음—인덱스 번호를 포함하여 기존 IKE SA에 대한 표준 정보를 표시합니다.

  • peer-address—(옵션) 대상 피어의 IPv4 또는 IPv6 주소를 기반으로 특정 SA에 대한 세부 정보를 표시합니다. 이 옵션과 index 동일한 출력 수준을 제공합니다.

  • brief—(옵션) 모든 기존 IKE SA에 대한 표준 정보를 표시합니다. (기본)

  • detail—(옵션) 모든 기존 IKE SA에 대한 상세 정보를 표시합니다.

  • family—(옵션) 제품군별 IKE SA 표시. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    • inet—IPv4 주소 제품군.

    • inet6—IPv6 주소 제품군.

  • fpc slot-number—(옵션) 이 FPC(Flexible PIC Concentrator) 슬롯에 기존 IKE SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    섀시 클러스터에서 운영 모드에서 CLI 명령을 show security ike security-associations pic <slot-number> fpc <slot-number> 실행할 때 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯에 있는 기존 IPsec SA에 대한 기본 노드 정보만 표시됩니다.

  • index SA-index-number—(옵션) SA의 인덱스 수를 기반으로 특정 SA에 대한 정보를 표시합니다. 특정 SA의 경우 옵션 없이 명령을 사용하여 기존 SA 목록을 표시합니다. 이 옵션과 peer-address 동일한 출력 수준을 제공합니다.

  • kmd-instance —(옵션) FPC slot-number 및 PIC slot-number로 식별된 키 관리 프로세스(이 경우 KMD)에서 기존 IKE SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    • all—SPU(Services Processing Unit)에서 실행되는 모든 KMD 인스턴스.

    • kmd-instance-name—SPU에서 실행되는 KMD 인스턴스의 이름입니다.

  • pic slot-number —(옵션) 이 PIC 슬롯에 기존 IKE SA에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

  • sa-type—(ADVPN에 옵션) SA 유형. shortcut 유일한 이번 릴리스 옵션입니다.

필수 권한 수준

보기

출력 필드

표 1 명령의 출력 필드를 나열합니다 show security ike security-associations . 출력 필드가 나타나는 대략적 순서로 나열됩니다.

표 1: 보안 ike 보안 연결 출력 필드 표시

필드 이름

필드 설명

IKE Peer or Remote Address

로컬 피어가 통신하는 대상 피어의 IP 주소입니다.

Index

SA의 인덱스 수. 이 번호는 단일 SA에 대한 정보를 표시하는 데 사용할 수 있는 내부적으로 생성된 번호입니다.

Gateway Name

IKE 게이트웨이의 이름

Location

  • FPC—FPC(Flexible PIC Concentrator) 슬롯 번호.

  • PIC—PIC 슬롯 번호.

  • KMD-Instance—FPC slot-number 및 PIC slot-number로 식별된 SPU에서 실행되는 KMD 인스턴스의 이름 . 현재 각 SPU에서 4개의 KMD 인스턴스가 실행되고 있으며, 특정 IKE 협상은 단일 KMD 인스턴스에 의해 수행됩니다.

Role

IKE 세션에서 파트가 진행되었습니다. IKE 협상을 시작하는 디바이스는 시작자이며, 첫 번째 IKE 교환 패킷을 수락하는 디바이스는 응답자입니다.

State

IKE SA의 상태:

  • DOWN—SA는 피어와 협상되지 않았습니다.

  • UP—SA는 피어와 협상되었습니다.

Initiator cookie

쿠키라고 하는 임의의 번호는 IKE 협상이 트리거될 때 원격 노드로 전송됩니다.

Responder cookie

원격 노드에 의해 생성되고 패킷이 수신된 것을 검증하기 위해 시작자로 다시 전송되는 임의의 번호입니다.

쿠키는 쿠키의 진위 여부를 확인하기 위해 과도한 CPU 리소스를 사용하지 않고 컴퓨팅 리소스를 공격으로부터 보호하기 위한 것입니다.

Exchange type

서로 정보를 교환하는 데 사용되는 두 IPsec 단말 장치(피어)에서 합의된 협상 방법 각 교환 유형 또는 모드는 메시지의 개수와 각 메시지에 포함된 페이로드 유형을 결정합니다. 모드는 다음과 같습니다.

  • main—익스체인지는 6개의 메시지로 이루어집니다. 이 모드는 페이로드를 암호화하여 이웃의 ID를 보호합니다.

  • aggressive—익스체인지는 3개의 메시지로 이루어집니다. 이 모드는 페이로드를 암호화하지 않으므로 이웃의 ID가 보호되지 않습니다.

IKEv2 프로토콜은 협상을 위해 모드 구성을 사용하지 않습니다. 따라서 이 모드는 보안 연결의 버전 번호를 표시합니다.

Authentication method

IKE 메시지의 출처를 인증하는 데 사용되는 방법( 예: DSA-signatures, ECDSA-signatures-384ECDSA-signatures-256, 또는 RSA-signatures) 디지털 인증서가 될 Pre-shared-keys 수 있습니다.

Local

로컬 피어의 주소.

Remote

원격 피어의 주소.

Lifetime

IKE SA가 만료될 때까지 남은 초 수입니다.

Reauth Lifetime

활성화되면 재인증이 새로운 IKEv2 SA 협상을 시작할 때까지 남은 시간 수입니다.

IKE Fragmentation

Enabled 즉, IKEv2 시작자 및 응답자 지원 메시지 단편화와 IKE_SA_INIT 메시지 교환 중에 지원을 협상한 것을 의미합니다.

Size 단편화되기 전에 IKEv2 메시지의 최대 크기를 보여줍니다.

Algorithms

IPsec Phase 2 프로세스 동안 피어 간의 교환을 암호화하고 보호하는 데 사용되는 IKE 알고리즘:

  • Authentication—사용된 인증 알고리즘의 유형:

    • sha1—보안 해시 알고리즘 1 인증.

    • md5—MD5 인증.

  • Encryption—사용되는 암호화 알고리즘의 유형:

    • aes-256-cbc—AES(Advanced Encryption Standard) 256비트 암호화.

    • aes-192-cbc— AES192비트 암호화.

    • aes-128-cbc—AES 128비트 암호화.

    • 3des-cbc—3 DES(Data Encryption Standard) 암호화.

    • aes-128-gcm—AES(Advanced Encryption Standard) 256비트 암호화.

    • des-cbc—DES 암호화.

    Junos OS Release 19.4R2에서 시작하여 계층 수준에서 구성 aes-128-gcm 하거나 암호화 알고리즘 [edit security ipsec proposalproposal-name] 으로 사용할 때 명령의 show security ikesecurity-associations detail 인증 알고리즘 필드는 동일한 구성된 암호화 알고리즘 aes-256-gcm 을 표시합니다.

  • Pseudo random function—예측할 수 없는 난수(random number)를 생성하는 기능: hmac-md5 또는 hmac-sha1.

  • Diffie-Hellman group—새로운 Diffie-Hellman Exchange를 수행할 때 Diffie-Hellman 그룹의 유형을 지정합니다. 다음 중 하나가 될 수 있습니다.

    • group1—768비트 MODP(Modular Exponential) 알고리즘.

    • group2—1024비트 MODP 알고리즘.

    • group14—2048비트 MODP 그룹.

    • group15—3072비트 MODP 알고리즘.

    • group16—4096비트 MODP 알고리즘.

    • group19—256비트 임의 Elliptic Curve Group ECP 그룹(modulo a prime) 알고리즘.

    • group20—384비트 임의 ECP 그룹 알고리즘.

    • group21—521비트 임의 ECP 그룹 알고리즘.

    • group24—256비트 프라임 오더 하위 그룹을 보유한 2048비트 MODP 그룹.

Traffic statistics

  • Input bytes—수신 바이트 수.

  • Output bytes—전송된 바이트 수입니다.

  • Input packets—수신된 패킷 수입니다.

  • Output packets—전송된 패킷의 수입니다.

  • Input fragmented packets—수신된 IKEv2 단편화된 패킷 수입니다.

  • Output fragmented packets—전송된 IKEv2 단편화된 패킷 수입니다.

Flags

IKE 협상 상태에 대한 주요 관리 프로세스 통보:

  • caller notification sent—발신자 프로그램은 IKE 협상 완료에 대해 통보했습니다.

  • waiting for done—협상이 완료되었습니다. 라이브러리는 원격 엔드 재전송 타이머가 만료될 때까지 기다리고 있습니다.

  • waiting for remove—협상이 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 엔드 재전송 타이머가 만료되기를 기다리고 있습니다.

  • waiting for policy manager—협상은 정책 관리자의 응답을 기다리고 있습니다.

IPSec security associations

  • number created: 생성된 SA의 수입니다.

  • number deleted: 삭제된 SA의 수입니다.

Phase 2 negotiations in progress

진행 중인 2단계 IKE 협상 수 및 상태 정보:

  • Negotiation type—2단계 협상 유형. Junos OS는 현재 퀵 모드를 지원합니다.

  • Message ID—2단계 협상을 위한 고유 식별자.

  • Local identity—지역 2단계 협상의 아이덴티티. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

  • Remote identity—원격 2단계 협상의 아이덴티티. 형식은 id-type-name (proto-name:port-number,[0..id-data-len] = iddata-presentation).

  • Flags—IKE 협상의 상태에 대한 주요 관리 프로세스 통보:

    • caller notification sent—발신자 프로그램은 IKE 협상 완료에 대해 통보했습니다.

    • waiting for done—협상이 완료되었습니다. 라이브러리는 원격 엔드 재전송 타이머가 만료될 때까지 기다리고 있습니다.

    • waiting for remove—협상이 실패했습니다. 라이브러리는 이 협상을 제거하기 전에 원격 엔드 재전송 타이머가 만료되기를 기다리고 있습니다.

    • waiting for policy manager—협상은 정책 관리자의 응답을 기다리고 있습니다.

Local gateway interface

로컬 게이트웨이의 인터페이스 이름입니다.

Routing instance

로컬 게이트웨이 라우팅 인스턴스의 이름입니다.

IPsec Tunnel IDs

하위 IPsec 터널 ID 목록을 나타낸다.

샘플 출력

보안 ike 보안 연결 표시(IPv4)

보안 ike 보안 연결 표시(IPv6)

보안 ike 보안 연결 세부 정보 표시(SRX300, SRX320, SRX340, SRX345, SRX550HM 디바이스)

보안 ike 보안 연결 세부 정보 표시(SRX5400, SRX5600 및 SRX5800 디바이스)

명령어 이름

show security ike 통계 항목에는 명령의 출력 필드가 show security ike security-associations detail 나열됩니다.

보안 ike 보안 연결 제품군 inet6을 보여 줍니다.

보안 ike 보안 연결 인덱스 222075191 세부 정보를 표시

보안 ike 보안 연결 인덱스 788674 세부 정보 표시

보안 ike 보안 연결 표시 192.168.1.2

보안 ike 보안 연결 fpc 6 pic 1 kmd-instance 모두 표시(SRX 시리즈 디바이스)

보안 ike 보안 연결 세부 정보 표시(ADVPN Suggester, Static Tunnel)

보안 ike 보안 연결 세부 정보 표시(ADVPN 파트너, 정적 터널)

보안 ike 보안 연결 세부 정보 표시(ADVPN 파트너, 바로 가기)

Security ike Security-Associations sa-type 바로 가기(ADVPN)를 보여 줍니다.

보안 ike 보안 연결 sa-type 바로 가기 세부 정보 표시(ADVPN)

보안 ike 보안 연결 세부 정보 표시(IKEv2 재인증)

보안 ike 보안 연결 세부 정보 표시(IKEv2 단편화)

출시 정보

Junos OS 릴리스 8.5에 명령어 도입. Junos OS 릴리스 9.3에 추가된 , pickmd-instance 옵션에 대한 fpc지원. family Junos OS 릴리스 11.1에 추가된 옵션을 지원합니다. Junos OS 릴리스 12.3X48-D10에 추가된 Auto Discovery VPN 지원. Junos OS 릴리스 15.1X49-D60에 추가된 IKEv2 재인증 지원. Junos OS 릴리스 15.1X49-D80에 추가된 IKEv2 단편화 지원.

ha-link-encryption Junos OS 릴리스 20.4R1에 추가된 옵션 지원.