Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ike security-associations

Syntax

Description

SAS(Internet Key Exchange 보안 연결)에 대한 IKE(Internet Key Exchange) 표시

Options

  • none—인덱스 번호를 포함하여 기존 IKE(Internet Key Exchange) SAS에 대한 표준 정보를 표시합니다.

  • peer-address—(옵션) 대상 피어의 IPv4 또는 IPv6 주소를 기반으로 특정 SA에 대한 세부 정보를 표시합니다. 이 옵션은 동일한 index 수준의 출력을 제공합니다.

  • brief—(옵션) 모든 기존 SAS에 대한 표준 IKE(Internet Key Exchange) 표시 (기본)

  • detail—(옵션) 모든 기존 SAS에 대한 상세 IKE(Internet Key Exchange) 표시

  • family—(옵션) IKE(Internet Key Exchange) SAS에 대한 디스플레이. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    • inet—IPv4 주소 패밀리.

    • inet6—IPv6 주소 패밀리.

  • fpc slot-number—(옵션) FPC(Flexible PIC Concentrator) 슬롯에 기존 IKE(Internet Key Exchange) SAS에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    섀시 클러스터에서 운영 모드에서 CLI 명령을 실행할 때 show security ike security-associations pic <slot-number> fpc <slot-number> 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯에 있는 기존 IPsec SAS에 대한 기본 노드 정보만 표시됩니다.

  • index SA-index-number—(옵션) SA 인덱스 번호를 기준으로 특정 SA에 대한 정보를 표시합니다. 특정 SA의 경우, 옵션 없는 명령어를 사용해 기존 SA 목록을 표시합니다. 이 옵션은 동일한 peer-address 수준의 출력을 제공합니다.

  • kmd-instance —(옵션) FPC 슬롯 번호 IKE(Internet Key Exchange) PIC 슬롯 번호로 식별되는 주요 관리 프로세스(이 경우 KMD)에 기존 SAS에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

    • all—서비스 프로세싱 유닛(SPU)에서 실행되는 모든 KMD 인스턴스.

    • kmd-instance-name—SPU에서 실행되는 KMD 인스턴스의 이름.

  • pic slot-number —(옵션) 이 PIC 슬롯에 기존 IKE(Internet Key Exchange) SAS에 대한 정보를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

  • sa-type—(ADVPN에 대한 옵션) SA 유형 shortcut 은 이번 릴리스의 유일한 옵션입니다.

Required Privilege Level

보기

Output Fields

표 1 명령의 출력 필드를 show security ike security-associations 나열합니다. 출력 필드는 대략적인 순서로 나열되어 있습니다.

표 1: show security ike security-associations Output Fields

필드 이름

필드 설명

IKE Peer or Remote Address

로컬 피어가 통신하는 대상 피어의 IP 주소

Index

SA 인덱스 수. 이 번호는 단일 SA에 대한 정보를 표시하는 데 사용할 수 있는 내부적으로 생성된 번호입니다.

Gateway Name

IKE(Internet Key Exchange) 이름

Location

  • FPC—FPC(Flexible PIC Concentrator) 슬롯 번호.

  • PIC—PIC 슬롯 번호.

  • KMD-Instance—FPC 슬롯 번호 및 PIC 슬롯 번호로 식별된 SPU에서 실행되는 KMD 인스턴스의 이름. 현재, 각 SPU에서 4개 KMD 인스턴스가 실행되고 있으며, 모든 특정 IKE(Internet Key Exchange) KMD 인스턴스에 의해 수행됩니다.

Role

세션에서 파트가 IKE(Internet Key Exchange). IKE(Internet Key Exchange) 협상을 트리거하는 디바이스는 시작자이자, 첫 번째 IKE(Internet Key Exchange) 교환 패킷을 수신하는 디바이스가 응답자입니다.

State

IKE(INTERNET KEY EXCHANGE) 상태:

  • DOWN—SA는 동료와 협상되지 않은 것이죠.

  • UP—SA는 동료들과 협상을 진행했다.

Initiator cookie

쿠키라고 하는 임의의 수입니다. 쿠키는 사용자 협상이 트리거될 때 IKE(Internet Key Exchange) 리모트 노드로 전송됩니다.

Responder cookie

원격 노드에서 임의 번호가 생성되어 패킷이 수신된 검증으로 시작자에 다시 전송됩니다.

쿠키는 과도한 CPU 리소스를 소비하여 쿠키의 진위를 판단하지 않고 공격으로부터 컴퓨팅 리소스를 보호하는 것을 목표로 합니다.

Exchange type

서로 정보를 교환하는 데 사용되는 2개의 IPsec 엔드포인트 또는 피어에 의해 합의된 협상 방식입니다. 각 교환 유형 또는 모드는 메시지 수와 각 메시지에 포함된 페이로드 유형을 결정합니다. 모드는 다음을 제공합니다.

  • main—거래는 6개 메시지로 수행됩니다. 이 모드는 페이로드를 암호화하여 이웃의 ID를 보호합니다.

  • aggressive—거래는 세 가지 메시지로 수행됩니다. 이 모드는 페이로드를 암호화하지 않고 이웃 ID가 보호되지 않습니다.

IKEv2 프로토콜은 협상을 위해 모드 구성을 사용하지 않습니다. 따라서 이 모드는 보안 연결의 버전 번호를 표시합니다.

Authentication method

를 통해 IKE(Internet Key Exchange) 수 있는 디지털 인증서의 소스를 인증하는 Pre-shared-keysDSA-signatures 데 사용되는 ECDSA-signatures-256ECDSA-signatures-384 방법 RSA-signatures

Local

로컬 피어 주소.

Remote

원격 피어 주소.

Lifetime

sa가 만료될 때까지 남은 IKE(Internet Key Exchange) 수 있습니다.

Reauth Lifetime

활성화하면 재인식이 시작될 때까지 남은 초 수로 새로운 IKEv2 SA 협상이 트리거됩니다.

IKE Fragmentation

Enabled 즉, IKEv2 시작자 및 응답자 모두 메시지 단편화(fragmentation)를 지원하며 IKE(Internet Key Exchange)_SA_INIT 메시지 교환 동안 지원을 협상한 것입니다.

Size 단편화되기 전에 IKEv2 메시지의 최대 크기를 보여줍니다.

Algorithms

IKE(Internet Key Exchange) 2단계 프로세스 동안 피어 간의 교환을 암호화하고 보호하는 데 사용되는 알고리즘을 제공합니다.

  • Authentication—사용되는 인증 알고리즘 유형:

    • sha1—보안 해시 알고리즘 1 인증.

    • md5—MD5 인증.

  • Encryption—사용된 암호화 알고리즘 유형:

    • aes-256-cbc—AES(Advanced Encryption Standard) 256비트 암호화.

    • aes-192-cbc— AES192비트 암호화.

    • aes-128-cbc—AES 128비트 암호화.

    • 3des-cbc—3 DES(Data Encryption Standard) 암호화.

    • aes-128-gcm—AES(Advanced Encryption Standard) 256비트 암호화.

    • des-cbc—DES 암호화.

    Junos OS Release 19.4R2 계층 수준에서 암호화 알고리즘으로 구성하거나 명령의 인증 알고리즘 필드가 동일한 구성된 암호화 알고리즘을 aes-128-gcmaes-256-gcm[edit security ipsec proposalproposal-name] show security ikesecurity-associations detail 표시합니다.

  • Pseudo random function—예측 불가능한 난수 수를 생성하는 기능: hmac-md5hmac-sha1또는.

  • Diffie-Hellman group—새로운 Diffie-Hellman 거래소를 수행할 때 Diffie-Hellman 그룹의 유형을 지정합니다. 다음과 같은 중 하나일 수 있습니다.

    • group1—768비트 MODP(Modular Exponential) 알고리즘.

    • group2—1024비트 MODP 알고리즘.

    • group14—2048비트 MODP 그룹.

    • group15—3072비트 MODP 알고리즘.

    • group16—4096비트 MODP 알고리즘.

    • group19—256비트 임의 Elliptic Curve Group은 ECP 그룹(PRIME) 알고리즘을 modulo합니다.

    • group20—384비트 임의 ECP 그룹 알고리즘.

    • group21—521비트 임의 ECP 그룹 알고리즘.

    • group24—256비트 프라임 주문 하위 그룹을 통해 2048비트 MODP 그룹.

Traffic statistics

  • Input bytes—수신된 bytes 수입니다.

  • Output bytes—전송된 bytes 수입니다.

  • Input packets—수신된 패킷 수입니다.

  • Output packets—전송되는 패킷 수입니다.

  • Input fragmented packets—받은 IKEv2 단편화 패킷 수입니다.

  • Output fragmented packets—전송되는 IKEv2 단편화 패킷의 수입니다.

Flags

협상의 상태에 대한 주요 관리 프로세스에 IKE(Internet Key Exchange) 통보:

  • caller notification sent—발신자 프로그램은 협상이 완료된 것을 IKE(Internet Key Exchange) 통보합니다.

  • waiting for done—협상이 수행됩니다. 이 라이브러리는 원격 최종 재전신 시간(retransmission timers)이 만료될 때까지 기다리고 있습니다.

  • waiting for remove—협상에 실패했습니다. 이 협상을 제거하기 전에 리모트 엔드 재전신 시간(retransmission timers)이 만료될 때까지 기다릴 것입니다.

  • waiting for policy manager—협상은 정책 관리자의 응답을 기다리고 있습니다.

IPSec security associations

  • number created: 생성된 SAS 수입니다.

  • number deleted: 삭제된 SAS 수입니다.

Phase 2 negotiations in progress

진행 상황 및 상태 IKE(Internet Key Exchange) 협상을 위한 2단계 개수:

  • Negotiation type—2단계 협상 유형. Junos OS 빠른 모드를 제공합니다.

  • Message ID—2단계 협상에 대한 고유 식별자.

  • Local identity—로컬 2단계 협상 ID 형식은 id-type 이름(proto-name:port-number,[0..id-data-len] = iddata-presentation) 입니다.

  • Remote identity—원격 2단계 협상의 ID 형식은 id-type 이름(proto-name:port-number,[0..id-data-len] = iddata-presentation) 입니다.

  • Flags—매니지드 협상의 상태의 핵심 관리 프로세스에 IKE(Internet Key Exchange) 통보:

    • caller notification sent—발신자 프로그램은 협상이 완료된 것을 IKE(Internet Key Exchange) 통보합니다.

    • waiting for done—협상이 수행됩니다. 이 라이브러리는 원격 최종 재전신 시간(retransmission timers)이 만료될 때까지 기다리고 있습니다.

    • waiting for remove—협상에 실패했습니다. 이 협상을 제거하기 전에 리모트 엔드 재전신 시간(retransmission timers)이 만료될 때까지 기다릴 것입니다.

    • waiting for policy manager—협상은 정책 관리자의 응답을 기다리고 있습니다.

Local gateway interface

로컬 게이트웨이의 인터페이스 이름.

Routing instance

로컬 게이트웨이 라우팅 인스턴스의 이름.

IPsec Tunnel IDs

자식 IPsec 터널 아이디 목록을 나타

Sample Output

show security ike security-associations (IPv4)

show security ike security-associations (IPv6)

show security ike security-associations detail (SRX300, SRX320, SRX340, SRX345, and SRX550HM Devices)

show security ike security-associations detail (SRX5400, SRX5600, and SRX5800 Devices)

command-name

show security ike stats 항목은 명령의 출력 필드를 show security ike security-associations detail 나열합니다.

show security ike security-associations family inet6

show security ike security-associations index 222075191 detail

show security ike security-associations index 788674 detail

show security ike security-associations 192.168.1.2

show security ike security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ike security-associations detail (ADVPN Suggester, Static Tunnel)

show security ike security-associations detail (ADVPN Partner, Static Tunnel)

show security ike security-associations detail (ADVPN Partner, Shortcut)

show security ike security-associations sa-type shortcut (ADVPN)

show security ike security-associations sa-type shortcut detail (ADVPN)

show security ike security-associations detail (IKEv2 Reauthentication)

show security ike security-associations detail (IKEv2 Fragmentation)

Release Information

릴리스 8.5에 Junos OS 명령어가 도입되었습니다. 에 대한 지원 및 Junos OS fpcpic 릴리스 kmd-instance 9.3에 추가된 옵션. Junos OS family 릴리스 11.1에 추가된 옵션 지원. 새로운 릴리스 릴리스에서 Auto Discovery VPN에 Junos OS 지원 12.3X48-D10. 새로운 릴리스 릴리스에 추가된 IKEv2 재인식 Junos OS 지원 15.1X49-D60. IKEv2 단편화 추가 지원 Junos OS 릴리스 15.1X49-D80.

릴리스 ha-link-encryption 날짜에 추가된 Junos OS 지원 20.4R1.