Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

구문

설명

IPsec 보안 연결(SA)에 대한 정보를 표시합니다.

Junos OS 릴리스 20.1R2, 20.2R2, 20.3R2, 20.3R1 이상에서 명령을 실행할 show security ipsec security-associations detail 때 터널 내의 모든 IPsec SA에 해당하는 새로운 출력 필드 IKE SA Index 가 각 IPsec SA 정보 아래에 표시됩니다. 을(를) 참조하십시오 show security ipsec security-associations detail(SRX5400, SRX5600, SRX5800).

옵션

none

모든 SA에 대한 정보를 표시합니다.

brief | detail

(선택 사항) 지정된 출력 수준을 표시합니다. 기본값은 입니다 brief.

family

(선택 사항) 제품군별 SA를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

  • inet-IPv4 주소 패밀리.

  • inet6-IPv6 주소 패밀리.

fpc slot-numberpic slot-number

(선택 사항) 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯에 기존 IPsec SA에 대한 정보를 표시합니다.

섀시 클러스터에서 운영 모드에서 CLI 명령을 show security ipsec security-associations pic <slot-number> fpc <slot-number> 실행할 때 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯의 기존 IPsec SA에 대한 기본 노드 정보만 표시됩니다.

index SA-index-number

(선택 사항) 이 인덱스 번호로 식별된 지정된 SA에 대한 자세한 정보를 표시합니다. 인덱스 번호를 포함하는 모든 SA 목록을 얻으려면 옵션을 사용하지 않고 명령을 사용합니다.

kmd-instance

(선택 사항) FPC slot-number 및 PIC slot-number에 의해 식별된 키 관리 프로세스(이 경우 KMD)에서 기존 IPsec SA에 대한 정보를 표시합니다.

  • all—SPU(Services Processing Unit)에서 실행되는 모든 KMD 인스턴스.

  • kmd-instance-name-SPU에서 실행되는 KMD 인스턴스 이름.

pic slot-numberfpc slot-number

(선택 사항) 지정된 PIC 슬롯 및 FPC 슬롯에 기존 IPsec SA에 대한 정보를 표시합니다.

sa-type

(ADVPN의 경우 선택 사항) 지정된 유형의 SA에 대한 정보를 표시합니다. shortcut 는 이 릴리스의 유일한 옵션입니다.

traffic-selector traffic-selector-name

(선택 사항) 지정된 트래픽 선택기 정보를 표시합니다.

vpn-name vpn-name

(선택 사항) 지정된 VPN에 대한 정보를 표시합니다.

ha-link-encryption

(선택 사항) 섀시 링크 터널과 관련된 정보만 표시합니다. ipsec(고가용성), show security ipsec security-associations ha-link-encryption(SRX5400, SRX5600, SRX5800)및 을 show security ipsec sa detail ha-link-encryption(SRX5400, SRX5600, SRX5800)참조하십시오.

srg-id

(선택 사항) 멀티노드 고가용성 설정에서 특정 서비스 중복 그룹(SRG)과 관련된 정보를 표시합니다.

필수 권한 수준

보기

출력 필드

표 1 은(는) 명령에 대한 show security ipsec security-associations 출력 필드를 나열하고, 표 2 명령의 show security ipsec sa 출력 필드를 나열하며, 표 3은(는) 의 출력 필드를 show security ipsec sa detail나열합니다. 출력 필드는 나타나는 대략적 순서대로 나열됩니다.

표 1: 보안 ipsec 보안 연결 표시

필드 이름

필드 설명

출력 수준

Total active tunnels

활성 IPsec 터널의 총 개수입니다.

brief

ID

SA의 색인 번호입니다. 이 번호를 사용하여 SA에 대한 추가 정보를 얻을 수 있습니다.

모든 수준

Algorithm

IKE 협상 중에 피어 간의 교환을 보호하는 데 사용되는 암호화에는 다음이 포함됩니다.

  • 피어 간의 교환을 인증하는 데 사용되는 인증 알고리즘입니다.

  • 데이터 트래픽을 암호화하는 데 사용되는 암호화 알고리즘.

brief

SPI

SPI(Security Parameter Index) 식별자. SA는 SPI에 의해 고유하게 식별됩니다. 각 항목에는 VPN, 원격 게이트웨이 주소, 각 방향에 대한 SPI, 암호화 및 인증 알고리즘 및 키가 포함됩니다. 피어 게이트웨이에는 각각 두 개의 SA가 있으며, 하나는 각 두 단계의 협상에서 비롯됩니다. IKE 및 IPsec.

brief

Life: sec/kb

SA가 만료된 SA의 수명은 초 또는 킬로바이트 단위로 표시됩니다.

brief

Mon

Mon 필드는 VPN 모니터링 상태를 나타냅니다. VPN 모니터링이 활성화된 경우, 이 필드에는 (업) 또는 D (다운)이 표시됩니다 U . 하이픈(-)은 이 SA에 대해 VPN 모니터링이 활성화되지 않음을 의미합니다. V IPsec datapath 검증이 진행 중임을 의미합니다.

brief

lsys

루트 시스템입니다.

brief

Port

네트워크 주소 변환(NAT)를 사용하는 경우, 이 값은 4500입니다. 그렇지 않으면 표준 IKE 포트인 500입니다.

모든 수준

Gateway

원격 게이트웨이의 IP 주소입니다.

brief

Virtual-system

논리적 시스템의 이름입니다.

detail

VPN name

VPN의 IPsec 이름입니다.

detail

State

- 상태는 두 가지 옵션, 및 을(를) Installed 가지고 있습니다 Not Installed.

  • Installed-SA는 SA 데이터베이스에 설치됩니다.

  • Not Installed-SA는 SA 데이터베이스에 설치되지 않았습니다.

    전송 모드의 경우 상태 값은 항상 Installed입니다.

detail

Local gateway

로컬 시스템의 게이트웨이 주소입니다.

detail

Remote gateway

원격 시스템의 게이트웨이 주소입니다.

detail

Traffic selector

트래픽 선택기의 이름입니다.

detail

Local identity

파트너 대상 게이트웨이가 해당 피어와 통신할 수 있도록 로컬 피어의 ID. 값은 IP 주소, 정규화된 도메인 이름, 이메일 주소 또는 고유 이름(DN)으로 지정됩니다.

detail

Remote identity

대상 피어 게이트웨이의 IP 주소입니다.

detail

Term

로컬 IP 범위, 원격 IP 범위, 소스 포트 범위, 대상 포트 범위 및 프로토콜을 정의합니다.

detail

Source-port

용어에 대해 구성된 소스 포트 범위.

detail

Destination-Port

용어에 대해 구성된 대상 포트 범위입니다.

detail

Version

IKE 버전 또는 IKEv1IKEv2.

detail

DF-bit

비트 부분을 단편화하지 않는 상태: set또는 을(를) 확인할 수 cleared

detail

Location

FPC—FPC(Flexible PIC Concentrator) 슬롯 번호입니다.

PIC—PIC 슬롯 번호.

KMD-Instance-FPC slot-number 및 PIC slot-number로 식별되는 SPU에서 실행되는 KMD 인스턴스 이름. 현재 각 SPU에서 실행되는 4개의 KMD 인스턴스와 특정 IPsec 협상이 단일 KMD 인스턴스에 의해 수행됩니다.

detail

Tunnel events

터널 이벤트 및 이벤트 발생 횟수. 터널 이벤트 및 수행할 수 있는 작업에 대한 설명은 터널 이벤트를 참조하십시오.

detail

Anchorship

SA를 위한 앵커 스레드 ID(옵션을 포함하는 SRX4600 시리즈 디바이스의 detail 경우).

 

Direction

SA의 방향; 인바운드 또는 아웃바운드일 수 있습니다.

detail

AUX-SPI

보조 보안 매개변수 인덱스(SPI)의 값입니다.

  • 값이 AH 또는 ESP, 은(는) AUX-SPI 항상 0인 경우.

  • 값이 인 경우 AH+ESP, AUX-SPI 은(는) 항상 양의 정수입니다.

detail

Mode

SA의 모드:

  • transport-호스트-호스트 연결을 보호합니다.

  • tunnel—보안 게이트웨이 간의 연결을 보호합니다.

detail

Type

SA 유형:

  • manual—보안 매개 변수는 협상이 필요하지 않습니다. 정적이고 사용자가 구성합니다.

  • dynamic-보안 매개 변수는 IKE 프로토콜에 의해 협상됩니다. 동적 SA는 전송 모드에서 지원되지 않습니다.

detail

State

SA 상태:

  • Installed-SA는 SA 데이터베이스에 설치됩니다.

  • Not Installed-SA는 SA 데이터베이스에 설치되지 않았습니다.

    전송 모드의 경우 상태 값은 항상 Installed입니다.

detail

Protocol

지원되는 프로토콜입니다.

  • 전송 모드는 ESP(Encapsulation Security Protocol) 및 인증 헤더(AH)를 지원합니다.

  • 터널 모드는 ESP 및 AH를 지원합니다.

detail

Authentication

사용된 인증 유형입니다.

detail

Encryption

사용된 암호화 유형입니다.

릴리스 19.4R2 Junos OS 계층 수준에서 또는 암호화 알고리즘 [edit security ipsec proposal proposal-name]으로 구성 aes-128-gcm 하면 aes-256-gcm 명령의 show security ipsec security-associations detail 인증 알고리즘 필드에 동일한 구성된 암호화 알고리즘이 표시됩니다.

detail

Soft lifetime

소프트 수명은 SA가 곧 만료될 것임을 IPsec 키 관리 시스템에 알릴 수 있습니다.

SA의 각 수명에는 하드 및 소프트의 두 가지 디스플레이 옵션이 있으며, 그 중 하나는 동적 SA에 존재해야 합니다. 이를 통해 하드 수명이 만료되기 전에 키 관리 시스템이 새로운 SA를 협상할 수 있습니다.

  • Expires in seconds—SA가 만료될 때까지 남은 시간(초) 수.

detail

Hard lifetime

하드 수명은 SA의 수명을 지정합니다.

  • Expires in seconds—SA가 만료될 때까지 남은 시간(초) 수.

detail

Lifesize Remaining

나머지 실물 크기는 킬로바이트의 사용 제한을 지정합니다. 실물 크기가 지정되지 않으면 무제한으로 표시됩니다.

  • Expires in kilobytes—SA가 만료될 때까지 남은 킬로바이트 수입니다.

detail

Anti-replay service

패킷 재생을 방지하는 서비스 상태. 또는 DisabledEnabled 수 있습니다.

detail

Replay window size

64비트인 반플레이 서비스 창 크기.

detail

Bind-interface

경로 기반 VPN이 바인딩된 터널 인터페이스입니다.

detail

Copy-Outer-DSCP

시스템이 IP 헤더에서 내부 IP 헤더로 외부 DSCP 값을 복사하는지 나타냅니다.

detail

tunnel-establishment

IKE(Internet Internet) 활성화 방법을 나타냅니다.

detail

IKE SA index

상위 IKE(Internet Internet) 보안 연결 목록을 나타냅니다.

detail

표 2: show security ipsec sa 출력 필드

필드 이름

필드 설명

Total active tunnels

활성 IPsec 터널의 총 개수입니다.

ID

SA의 색인 번호입니다. 이 번호를 사용하여 SA에 대한 추가 정보를 얻을 수 있습니다.

Algorithm

IKE(Internet Internet Exchange) 2단계 협상 중에 피어 간의 교환을 보호하는 데 사용되는 암호화에는 다음이 포함됩니다.

  • 피어 간의 교환을 인증하는 데 사용되는 인증 알고리즘입니다. 옵션은 , hmac-sha-256-128, 입니다.hmac-sha1-96hmac-md5-96

  • 데이터 트래픽을 암호화하는 데 사용되는 암호화 알고리즘. 옵션은 , , aes-128-cbcaes-192-cbc, aes-256-cbc또는 des-cbc입니다3des-cbc.

SPI

SPI(Security Parameter Index) 식별자. SA는 SPI에 의해 고유하게 식별됩니다. 각 항목에는 VPN, 원격 게이트웨이 주소, 각 방향에 대한 SPI, 암호화 및 인증 알고리즘 및 키가 포함됩니다. 피어 게이트웨이에는 각각 두 개의 SA가 있으며, 하나는 각 두 단계의 협상에서 비롯됩니다. 1단계 및 2단계.

Life:sec/kb

SA가 만료된 SA의 수명은 초 또는 킬로바이트 단위로 표시됩니다.

Mon

Mon 필드는 VPN 모니터링 상태를 나타냅니다. VPN 모니터링이 활성화된 경우, 이 필드에는 U(업) 또는 D(다운)가 표시됩니다. 하이픈(-)은 이 SA에 대해 VPN 모니터링이 활성화되지 않음을 의미합니다. V는 IPSec 데이터 경로 검증이 진행 중임을 의미합니다.

lsys

루트 시스템입니다.

Port

네트워크 주소 변환(NAT)를 사용하는 경우, 이 값은 4500입니다. 그렇지 않으면 표준 IKE 포트인 500입니다.

Gateway

시스템의 게이트웨이 주소입니다.

표 3: show security ipsec sa detail 출력 필드

필드 이름

필드 설명

ID

SA의 색인 번호입니다. 이 번호를 사용하여 SA에 대한 추가 정보를 얻을 수 있습니다.

Virtual-system

가상 시스템 이름입니다.

VPN Name

VPN의 IPSec 이름입니다.

Local Gateway

로컬 시스템의 게이트웨이 주소입니다.

Remote Gateway

원격 시스템의 게이트웨이 주소입니다.

Local Identity

파트너 대상 게이트웨이가 해당 피어와 통신할 수 있도록 로컬 피어의 ID. 값은 IP 주소, 정규화된 도메인 이름, 이메일 주소 또는 고유 이름(DN)으로 지정됩니다.

Remote Identity

대상 피어 게이트웨이의 IP 주소입니다.

Version

IKE 버전입니다. 예를 들어 IKEv1, IKEv2가 있습니다.

DF-bit

비트 부분을 단편화하지 않는 상태: set또는 을(를) 확인할 수 cleared

Bind-interface

경로 기반 VPN이 바인딩된 터널 인터페이스입니다.

터널 이벤트

Direction

SA의 방향; 인바운드 또는 아웃바운드일 수 있습니다.

AUX-SPI

보조 보안 매개변수 인덱스(SPI)의 값입니다.

  • 값이 AH 또는 ESP, 은(는) AUX-SPI 항상 0인 경우.

  • 값이 인 경우 AH+ESP, AUX-SPI 은(는) 항상 양의 정수입니다.

VPN Monitoring

VPN 모니터링이 활성화된 경우 필드는 또는 D (down)을(를Mon) 표시합니다U (up). 하이픈(-)은 이 SA에 대해 VPN 모니터링이 활성화되지 않음을 의미합니다. V는 IPsec datapath 검증이 진행 중임을 의미합니다.

Hard lifetime

하드 수명은 SA의 수명을 지정합니다.

  • Expires in seconds - SA가 만료될 때까지 남은 시간(초) 수.

Lifesize Remaining

나머지 실물 크기는 킬로바이트의 사용 제한을 지정합니다. 실물 크기가 지정되지 않으면 무제한으로 표시됩니다.

Soft lifetime

소프트 수명은 SA가 곧 만료될 것임을 IPsec 키 관리 시스템에 알릴 수 있습니다. SA의 각 수명에는 하드 및 소프트의 두 가지 디스플레이 옵션이 있으며, 그 중 하나는 동적 SA에 존재해야 합니다. 이를 통해 하드 수명이 만료되기 전에 키 관리 시스템이 새로운 SA를 협상할 수 있습니다.

  • Expires in seconds - SA가 만료될 때까지 남은 시간(초) 수.

Mode

SA의 모드:

  • transport - 호스트-호스트 연결을 보호합니다.

  • tunnel - 보안 게이트웨이 간의 연결을 보호합니다.

Type

SA 유형:

  • manual - 보안 매개 변수는 협상이 필요하지 않습니다. 정적이고 사용자가 구성합니다.

  • dynamic - 보안 매개 변수는 IKE 프로토콜에 의해 협상됩니다. 동적 SA는 전송 모드에서 지원되지 않습니다.

State

SA 상태:

  • Installed - SA는 SA 데이터베이스에 설치됨.

  • Not Installed - SA는 SA 데이터베이스에 설치되지 않음.

전송 모드의 경우 상태 값이 항상 설치됩니다.

Protocol

지원되는 프로토콜입니다.

  • 전송 모드는 ESP(Encapsulation Security Protocol) 및 인증 헤더(AH)를 지원합니다.

  • 터널 모드는 ESP 및 AH를 지원합니다.

    • Authentication - 사용된 인증 유형.

    • Encryption - 사용된 암호화 유형.

Anti-replay service

패킷 재생을 방지하는 서비스 상태. 또는 DisabledEnabled 수 있습니다.

Replay window size

재생 방지 서비스 창의 구성된 크기. 32개 또는 64개의 패킷이 될 수 있습니다. 재생 창 크기가 0인 경우, 재생 해제 서비스가 비활성화됩니다.

재생 방지 창 크기는 이전 패킷 또는 중복 패킷을 거부하여 재생 공격으로부터 수신기를 보호합니다.

섀시 간 링크 터널

HA 링크 암호화 모드

고가용성 모드 지원. Multi-Node 다중 노드 고가용성 기능이 활성화된 경우 표시합니다.

샘플 출력

간결성을 위해 show 명령 출력은 구성의 모든 값을 표시하지 않습니다. 구성의 하위 집합만 표시됩니다. 시스템의 나머지 구성은 타원(...)으로 대체되었습니다.

show security ipsec security-associations(IPv4)

show security ipsec security-associations(IPv6)

보안 ipsec 보안 연결 색인 511672

보안 ipsec 보안 연결 색인 131073 세부 정보 표시

Junos OS 릴리스 18.2R1부터 CLI show security ipsec security-associations index index-number detail 출력은 포워딩 클래스 이름을 포함한 모든 하위 SA 세부 정보를 표시합니다.

show security ipsec sa

보안 ipsec sa 세부 정보 표시

Junos OS 릴리스 19.1R1부터 CLI show security ipsec sa detail 출력의 새로운 필드에 tunnel-establishment 계층에서 ipsec vpn establish-tunnels 구성된 옵션이 표시됩니다.

Junos OS 릴리스 21.3R1부터 CLI show security ipsec sa detail 출력의 새로운 필드는 Tunnel MTU 계층에서 ipsec vpn hub-to-spoke-vpn tunnel-mtu 구성된 옵션을 표시합니다.

Junos OS 릴리스 22.1R3부터는 디바이스 SRX5000 라인 터널 MTU가 구성되지 않은 경우 터널 MTU가 CLI 출력에 표시되지 않습니다.

show security ipsec sa details(MX-SPC3)

보안 ipsec 보안 연결 표시

보안 ipsec 보안 연결 개요 표시

보안 ipsec 보안 연결 세부 정보 표시

show security ipsec security-associations family inet6

show security ipsec security-associations fpc 6 pic 1kmd-instance all(SRX 시리즈 디바이스)

show security ipsec security-associations detail(ADVPN Suggester, Static Tunnel)

show security ipsec security-associations detail(ADVPN 파트너, 정적 터널)

show security ipsec security-associations sa-type 바로 가기(ADVPN)

show security ipsec security-associations sa-type 바로 가기 세부 정보(ADVPN)

보안 ipsec 보안 연결 제품군 세부 정보 표시

show security ipsec security-associations detail(SRX4600)

show security ipsec security-associations detail(SRX5400, SRX5600, SRX5800)

터널 내의 모든 IPsec SA에 해당하는 새로운 출력 필드 IKE SA Index 가 각 IPsec SA 정보 아래에 표시됩니다.

Junos OS 릴리스 22.3R1 이상에서 섀시 Cluster HA 제어 링크 암호화 기능을 구성할 때, show security ipsec sa ha-link-encryption detailshow security ipsec sa ha-link-encryption 명령을 실행show security ike sa ha-link-encryption detail하여 섀시 클러스터 제어 링크 암호화 터널 세부 정보를 볼 수 있습니다.

보안 ike sa ha-link-encryption 세부 정보 표시

보안 ipsec sa ha-link-encryption 세부 정보 표시

보안 ipsec sa ha-link-encryption 표시

show security ipsec security-associations detail(SRX 시리즈 디바이스 및 MX 시리즈 라우터)

Junos OS 릴리스 20.4R2, 21.1R1 이상에서 명령을 실행 show security ipsec security-associations detail 하여 VPN의 트래픽 선택기 유형을 볼 수 있습니다.

show security ipsec security-associations detail(SRX5400, SRX5600, SRX5800)

릴리스 21.1R1 Junos OS 로컬 ID, 원격 ID, 프로토콜, 소스 포트 범위, IPsec SA에 정의된 여러 용어에 대한 대상 포트 범위를 포함하는 트래픽 선택기 세부 정보를 볼 수 있습니다.

이전 Junos 릴리스에서 특정 SA에 대한 트래픽 선택은 IP 주소 또는 넷마스크를 사용하여 정의된 기존 IP 범위를 사용하여 수행됩니다. Junos OS 릴리스 21.1R1 이후부터 을(를) 사용하여 protocol_name지정된 프로토콜을 통해 추가 트래픽이 선택됩니다. 또한 소스 및 대상 포트 번호에 대해 지정된 낮고 높은 포트 범위도 지정됩니다.

보안 ipsec 보안 연결 srg-id 표시

출시 정보

Junos OS 릴리스 8.5에서 소개된 명령입니다. 옵션에 family 대한 지원이 Junos OS 릴리스 11.1에 추가되었습니다.

옵션에 대한 vpn-name 지원이 Junos OS 릴리스 11.4R3에 추가되었습니다. 옵션 및 트래픽 선택기 필드에 대한 traffic-selector 지원이 Junos OS 릴리스 12.1X46-D10에 추가되었습니다.

자동 검색 VPN(ADVPN)에 대한 지원이 Junos OS 릴리스 12.3X48-D10에 추가되었습니다.

Junos OS 릴리스 15.1X49-D70에 IPsec datapath 검증을 위한 지원이 추가되었습니다.

Junos OS 릴리스 17.4R1에 스레드 앵커십에 대한 지원이 추가되었습니다.

릴리스 18.2R2 show security ipsec security-assocations detail Junos OS 시작 시 명령 출력에는 보안 연결(SA)에 대한 스레드 앵커 정보가 포함됩니다.

릴리스 19.4R1 Junos OS 표시 명령 show security ipsec sa아래에 보안 연결(SA)을 표시하는 새로운 iked 프로세스에서 CLI 옵션 fc-name (COS 포워드 클래스 이름)이 더 이상 사용되지 않습니다.

옵션에 대한 ha-link-encryption 지원이 Junos OS 릴리스 20.4R1에 추가되었습니다.

옵션에 대한 srg-id 지원이 Junos OS 릴리스 22.4R1에 추가되었습니다.