show security ipsec security-associations

Total active tunnels

활성 IPsec 터널의 총 개수입니다.

ID

SA의 색인 번호입니다. 이 번호를 사용하여 SA에 대한 추가 정보를 얻을 수 있습니다.

Algorithm

IKE 협상 중에 피어 간의 교환을 보호하는 데 사용되는 암호화에는 다음이 포함됩니다.

• 피어 간의 교환을 인증하는 데 사용되는 인증 알고리즘입니다.

• 데이터 트래픽을 암호화하는 데 사용되는 암호화 알고리즘.

SPI

SPI(Security Parameter Index) 식별자. SA는 SPI에 의해 고유하게 식별됩니다. 각 항목에는 VPN, 원격 게이트웨이 주소, 각 방향에 대한 SPI, 암호화 및 인증 알고리즘 및 키가 포함됩니다. 피어 게이트웨이에는 각각 두 개의 SA가 있으며, 하나는 각 두 단계의 협상에서 비롯됩니다. IKE 및 IPsec.

Life: sec/kb

SA가 만료된 SA의 수명은 초 또는 킬로바이트 단위로 표시됩니다.

Mon

Mon 필드는 VPN 모니터링 상태를 나타냅니다. VPN 모니터링이 활성화된 경우, 이 필드에는 (업) 또는 D (다운)이 표시됩니다 U . 하이픈(-)은 이 SA에 대해 VPN 모니터링이 활성화되지 않음을 의미합니다. V IPsec datapath 검증이 진행 중임을 의미합니다.

lsys

루트 시스템입니다.

Port

네트워크 주소 변환(NAT)를 사용하는 경우, 이 값은 4500입니다. 그렇지 않으면 표준 IKE 포트인 500입니다.

Gateway

원격 게이트웨이의 IP 주소입니다.

Virtual-system

논리적 시스템의 이름입니다.

VPN name

VPN의 IPsec 이름입니다.

State

- 상태는 두 가지 옵션, 및 을(를) Installed 가지고 있습니다 Not Installed.

• Installed-SA는 SA 데이터베이스에 설치됩니다.

• Not Installed-SA는 SA 데이터베이스에 설치되지 않았습니다.

  전송 모드의 경우 상태 값은 항상 Installed입니다.

Local gateway

로컬 시스템의 게이트웨이 주소입니다.

Remote gateway

원격 시스템의 게이트웨이 주소입니다.

Traffic selector

트래픽 선택기의 이름입니다.

Local identity

파트너 대상 게이트웨이가 해당 피어와 통신할 수 있도록 로컬 피어의 ID. 값은 IP 주소, 정규화된 도메인 이름, 이메일 주소 또는 고유 이름(DN)으로 지정됩니다.

Remote identity

대상 피어 게이트웨이의 IP 주소입니다.

Term

로컬 IP 범위, 원격 IP 범위, 소스 포트 범위, 대상 포트 범위 및 프로토콜을 정의합니다.

Source-port

용어에 대해 구성된 소스 포트 범위.

Destination-Port

용어에 대해 구성된 대상 포트 범위입니다.

Version

IKE 버전 또는 IKEv1IKEv2.

DF-bit

비트 부분을 단편화하지 않는 상태: set또는 을(를) 확인할 수 cleared

Location

FPC—FPC(Flexible PIC Concentrator) 슬롯 번호입니다.

PIC—PIC 슬롯 번호.

KMD-Instance-FPC slot-number 및 PIC slot-number로 식별되는 SPU에서 실행되는 KMD 인스턴스 이름. 현재 각 SPU에서 실행되는 4개의 KMD 인스턴스와 특정 IPsec 협상이 단일 KMD 인스턴스에 의해 수행됩니다.

Tunnel events

터널 이벤트 및 이벤트 발생 횟수. 터널 이벤트 및 수행할 수 있는 작업에 대한 설명은 터널 이벤트를 참조하십시오.

Anchorship

SA를 위한 앵커 스레드 ID(옵션을 포함하는 SRX4600 시리즈 디바이스의 detail 경우).

Direction

SA의 방향; 인바운드 또는 아웃바운드일 수 있습니다.

AUX-SPI

보조 보안 매개변수 인덱스(SPI)의 값입니다.

• 값이 AH 또는 ESP, 은(는) AUX-SPI 항상 0인 경우.

• 값이 인 경우 AH+ESP, AUX-SPI 은(는) 항상 양의 정수입니다.

Mode

SA의 모드:

• transport-호스트-호스트 연결을 보호합니다.

• tunnel—보안 게이트웨이 간의 연결을 보호합니다.

Type

SA 유형:

• manual—보안 매개 변수는 협상이 필요하지 않습니다. 정적이고 사용자가 구성합니다.

• dynamic-보안 매개 변수는 IKE 프로토콜에 의해 협상됩니다. 동적 SA는 전송 모드에서 지원되지 않습니다.

State

SA 상태:

• Installed-SA는 SA 데이터베이스에 설치됩니다.

• Not Installed-SA는 SA 데이터베이스에 설치되지 않았습니다.

  전송 모드의 경우 상태 값은 항상 Installed입니다.

Protocol

지원되는 프로토콜입니다.

• 전송 모드는 ESP(Encapsulation Security Protocol) 및 인증 헤더(AH)를 지원합니다.

• 터널 모드는 ESP 및 AH를 지원합니다.

Authentication

사용된 인증 유형입니다.

Encryption

사용된 암호화 유형입니다.

릴리스 19.4R2 Junos OS 계층 수준에서 또는 암호화 알고리즘 [edit security ipsec proposal proposal-name]으로 구성 aes-128-gcm 하면 aes-256-gcm 명령의 show security ipsec security-associations detail 인증 알고리즘 필드에 동일한 구성된 암호화 알고리즘이 표시됩니다.

Soft lifetime

소프트 수명은 SA가 곧 만료될 것임을 IPsec 키 관리 시스템에 알릴 수 있습니다.

SA의 각 수명에는 하드 및 소프트의 두 가지 디스플레이 옵션이 있으며, 그 중 하나는 동적 SA에 존재해야 합니다. 이를 통해 하드 수명이 만료되기 전에 키 관리 시스템이 새로운 SA를 협상할 수 있습니다.

• Expires in seconds—SA가 만료될 때까지 남은 시간(초) 수.

Hard lifetime

하드 수명은 SA의 수명을 지정합니다.

• Expires in seconds—SA가 만료될 때까지 남은 시간(초) 수.

Lifesize Remaining

나머지 실물 크기는 킬로바이트의 사용 제한을 지정합니다. 실물 크기가 지정되지 않으면 무제한으로 표시됩니다.

• Expires in kilobytes—SA가 만료될 때까지 남은 킬로바이트 수입니다.

Anti-replay service

패킷 재생을 방지하는 서비스 상태. 또는 Disabled일 Enabled 수 있습니다.

Replay window size

64비트인 반플레이 서비스 창 크기.

Bind-interface

경로 기반 VPN이 바인딩된 터널 인터페이스입니다.

Copy-Outer-DSCP

시스템이 IP 헤더에서 내부 IP 헤더로 외부 DSCP 값을 복사하는지 나타냅니다.

tunnel-establishment

IKE(Internet Internet) 활성화 방법을 나타냅니다.

IKE SA index

상위 IKE(Internet Internet) 보안 연결 목록을 나타냅니다.

Total active tunnels

ID

Algorithm

SPI

Life:sec/kb

Mon

lsys

Port

Gateway

ID

Virtual-system

VPN Name

Local Gateway

Remote Gateway

Local Identity

Remote Identity

Version

DF-bit

Bind-interface

Direction

AUX-SPI

VPN Monitoring

Hard lifetime

Lifesize Remaining

Soft lifetime

Mode

Type

State

Protocol

Anti-replay service

Replay window size

HA 링크 암호화 모드