Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security ipsec security-associations

Syntax

Description

IPsec 보안 연결(SAS)에 대한 정보를 표시합니다.

Junos OS 릴리스에서는 20.1R2, 20.2R2, 20.3R2, 20.3R1 이상에서 명령을 실행할 때 터널 내의 모든 IPsec SA에 해당하는 새로운 출력 필드가 각 IPsec SA 정보로 show security ipsec security-associations detailIKE SA Index 표시됩니다. 을 show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800) 참조합니다.

Options

없음

모든 SAS에 대한 정보를 표시합니다.

brief | detail

(선택 사항) 지정된 출력 수준을 표시합니다. 기본 설정은 brief 입니다.

family

(선택 사항) 패밀리 에 의해 SAS를 표시합니다. 이 옵션은 출력을 필터링하는 데 사용됩니다.

  • inet—IPv4 주소 패밀리.

  • inet6—IPv6 주소 패밀리.

fpc slot-numberpic slot-number

(선택 사항) 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯에 기존 IPsec SAS에 대한 정보를 표시합니다.

섀시 클러스터에서 운영 모드에서 CLI 명령을 실행할 때 show security ipsec security-associations pic <slot-number> fpc <slot-number> 지정된 FPC(Flexible PIC Concentrator) 슬롯 및 PIC 슬롯에 있는 기존 IPsec SAS에 대한 기본 노드 정보만 표시됩니다.

index SA-index-number

(선택 사항) 이 인덱스 번호로 식별된 지정된 SA에 대한 상세 정보를 표시합니다. 인덱스 번호가 포함된 모든 SAS 목록을 얻었다면 그 어떤 옵션도 사용하지 말고 명령어를 사용하세요.

kmd-instance

(선택 사항) FPC 슬롯 번호 및 PIC 슬롯 번호로 식별된 핵심 관리 프로세스(이 경우 KMD)에 기존 IPsec SAS에 대한 정보를 표시합니다.

  • all—서비스 프로세싱 유닛(SPU)에서 실행되는 모든 KMD 인스턴스.

  • kmd-instance-name—SPU에서 실행되는 KMD 인스턴스의 이름.

pic slot-numberfpc slot-number

(선택 사항) 지정된 PIC 슬롯 및 FPC 슬롯에 기존 IPsec SAS에 대한 정보를 표시합니다.

sa-type

(ADVPN용 옵션) 지정된 유형의 SA에 대한 정보를 표시합니다. shortcut 은 이번 릴리스의 유일한 옵션입니다.

traffic-selector traffic-selector-name

(선택 사항) 지정된 트래픽 선택기에 대한 정보를 표시합니다.

vpn-name vpn-name

(선택 사항) 지정된 VPN에 대한 정보를 표시합니다.

ha 링크 암호화

(선택 사항) Interchassis 링크 터널과 관련된 정보만 표시합니다. ipsec(고가용성)show security ipsec security-associations ha-link-encryption (SRX5400, SRX5600, SRX5800)show security ipsec sa detail ha-link-encryption (SRX5400, SRX5600, SRX5800) 을 확인하십시오.

Required Privilege Level

보기

Output Fields

표 1 명령의 출력 필드를 나열하고, 명령에 대한 출력 필드를 나열하고. 의 출력 필드를 show security ipsec security-associations표 2show security ipsec sa표 3show security ipsec sa detail 나열합니다. 출력 필드는 대략적인 순서로 나열되어 있습니다.

표 1: show security ipsec security-associations

필드 이름

필드 설명

출력 수준

Total active tunnels

활성 IPsec 터널의 총 개수.

brief

ID

SA 인덱스 수. 이 번호를 사용하여 SA에 대한 추가 정보를 얻을 수 있습니다.

모든 레벨

Algorithm

IKE(Internet Key Exchange) 피어 간의 교환을 보호하는 데 사용되는 암호화는 다음과 같습니다.

  • 피어 간의 교환을 인증하는 데 사용되는 인증 알고리즘

  • 데이터 트래픽을 암호화하는 데 사용되는 암호화 알고리즘

brief

SPI

SPI(Security 매개 변수 인덱스) 식별자 SA는 SPI에 의해 고유하게 식별됩니다. 각 엔트리에는 VPN 이름, 원격 게이트웨이 주소, 각 방향의 SPIS, 암호화 및 인증 알고리즘 및 키가 포함됩니다. 피어 게이트웨이에는 각각 2개의 SAS가 있습니다. 각각은 협상의 두 단계에서 나타남 IKE(Internet Key Exchange) 및 IPsec.

brief

Life: sec/kb

만료된 SA의 수명은 몇 초 또는 킬로바이트로 표시됩니다.

brief

Mon

Mon 필드는 VPN 모니터링 상태를 말합니다. VPN 모니터링이 활성화되면 이 필드가 U (업) 또는 D (아래)로 표시됩니다. 하이픈(-)은 이 SA에 VPN 모니터링이 활성화되지 않았다는 뜻입니다. IPsec 데이터 경로 검증이 진행 V 중입니다.

brief

lsys

루트 시스템.

brief

Port

네트워크 주소 변환(네트워크 주소 변환(NAT))를 사용하는 경우 이 값은 4500입니다. 또는 표준 포트인 IKE(Internet Key Exchange) 500입니다.

모든 레벨

Gateway

원격 게이트웨이의 IP 주소입니다.

brief

Virtual-system

논리적 시스템의 이름.

detail

VPN name

VPN을 위한 IPsec 이름.

detail

State

State에는 두 가지 옵션이 InstalledNot Installed 있습니다.

  • Installed—SA가 SA 데이터베이스에 설치됩니다.

  • Not Installed—SA 데이터베이스에 SA가 설치되지 않았습니다.

    전송 모드에서는 상태의 가치가 항상 Installed 있습니다.

detail

Local gateway

로컬 시스템의 게이트웨이 주소.

detail

Remote gateway

원격 시스템의 게이트웨이 주소.

detail

Traffic selector

트래픽 선택의 이름.

detail

Local identity

파트너 대상 게이트웨이와 통신할 수 있도록 로컬 피어의 ID 이 값은 IP 주소, 완벽하게 정해진 도메인 이름, 이메일 주소 또는 이름(DN)으로 지정됩니다.

detail

Remote identity

대상 피어 게이트웨이의 IP 주소.

detail

Term

로컬 IP 범위, 원격 IP 범위, 소스 포트 범위, 대상 포트 범위 및 프로토콜을 정의합니다.

detail

Source-port

용어에 대해 구성된 소스 포트 범위.

detail

Destination-Port

용어에 대해 구성된 대상 포트 범위

detail

Version

IKE(Internet Key Exchange) 버전 또는 IKEv1IKEv2

detail

DF-bit

단편화되지 않는 상태: setcleared또는.

detail

Location

FPC—FPC(Flexible PIC Concentrator) 슬롯 번호.

PIC—PIC 슬롯 번호.

KMD-Instance—FPC 슬롯 번호 및 PIC 슬롯 번호로 식별된 SPU에서 실행되는 KMD 인스턴스의 이름. 현재, 각 SPU에서 실행되는 4개 KMD 인스턴스와 특정 IPsec 협상은 단일 KMD 인스턴스에 의해 수행됩니다.

detail

Tunnel events

터널 이벤트 및 이벤트가 발생한 횟수 터널 이벤트에 대한 설명과 취할 수 있는 조치는 터널 이벤트를 참조하세요.

detail

Anchorship

SA를 위한 앵커 스레드 ID(SRX4600 시리즈 디바이스의 경우 옵션 detail 지원).

 

Direction

SA 방향, 인바운드 또는 아웃바운드가 될 수 있습니다.

detail

AUX-SPI

보조 보안 매개 변수 인덱스(SPI)의 가치

  • 가치가 항상 AHESPAUX-SPI 0인 경우

  • 가치가 있는 경우 항상 긍정적인 AH+ESPAUX-SPI 정수입니다.

detail

Mode

SA 모드:

  • transport—호스트에서 호스트로의 연결을 보호합니다.

  • tunnel—보안 게이트웨이 간의 연결을 보호합니다.

detail

Type

SA 유형:

  • manual—보안 매개 변수는 협상이 필요하지 않습니다. 이들은 정적이기 때문에 사용자가 구성합니다.

  • dynamic—보안 매개 변수는 IKE(Internet Key Exchange) 프로토콜에 의해 협상됩니다. 동적 SAS는 전송 모드에서 지원되지 않습니다.

detail

State

SA 상태:

  • Installed—SA가 SA 데이터베이스에 설치됩니다.

  • Not Installed—SA 데이터베이스에 SA가 설치되지 않았습니다.

    전송 모드에서는 상태의 가치가 항상 Installed 있습니다.

detail

Protocol

프로토콜 지원.

  • 전송 모드는 ESP(Encapsulation Security Protocol) 및 AH(Authentication Header)를 지원

  • 터널 모드는 ESP 및 AH를 지원하며,

detail

Authentication

사용되는 인증 유형

detail

Encryption

사용된 암호화 유형.

Junos OS Release 19.4R2 계층 수준에서 암호화 알고리즘으로 구성하거나 명령의 인증 알고리즘 필드가 동일한 구성된 암호화 알고리즘을 aes-128-gcmaes-256-gcm [edit security ipsec proposal proposal-name]show security ipsec security-associations detail 표시합니다.

detail

Soft lifetime

소프트 수명은 IPsec 키 관리 시스템에 SA 만료를 알리고 있습니다.

SA의 각 수명은 하드 및 소프트 등 2개의 디스플레이 옵션을 가지며, 그 중 하나는 동적 SA를 위해 반드시 제공되어야 합니다. 따라서 하드 수명이 만료되기 전에 키 관리 시스템이 새로운 SA를 협상할 수 있습니다.

  • Expires in seconds—SA가 만료될 때까지 남겨진 초 수입니다.

detail

Hard lifetime

하드 수명은 SA의 수명을 지정합니다.

  • Expires in seconds—SA가 만료될 때까지 남겨진 초 수입니다.

detail

Lifesize Remaining

남은 수명은 킬로바이트의 사용 제한을 지정합니다. 라이프사이즈가 지정되지 않은 경우 무제한으로 표시됩니다.

  • Expires in kilobytes—SA가 만료될 때까지 킬로바이트 수

detail

Anti-replay service

패킷이 재생되지 않도록 하는 서비스 상태 될 Enabled 수도 Disabled 있습니다.

detail

Replay window size

64비트 크기의 안티플레이 서비스 윈도우입니다.

detail

Bind-interface

경로 기반 VPN이 연결되는 터널 인터페이스

detail

Copy-Outer-DSCP

시스템이 IP 헤더에서 내부 IP 헤더로 외부 DSCP 값을 복사하는지 나타냅니다.

detail

tunnel-establishment

활성화된 IKE(Internet Key Exchange) 나타냅니다.

detail

IKE SA index

상위 보안 연결 목록을 IKE(Internet Key Exchange) 나타냅니다.

detail

표 2: show security ipsec sa Output Fields

필드 이름

필드 설명

Total active tunnels

활성 IPsec 터널의 총 개수.

ID

SA 인덱스 수. 이 번호를 사용하여 SA에 대한 추가 정보를 얻을 수 있습니다.

Algorithm

2단계 협상 동안 피어 간의 교환을 보호하는 IKE(Internet Key Exchange) 암호화는 다음과 같습니다.

  • 피어 간의 교환을 인증하는 데 사용되는 인증 알고리즘 옵션: hmac-md5-96hmac-sha-256-128hmac-sha1-96

  • 데이터 트래픽을 암호화하는 데 사용되는 암호화 알고리즘 옵션: 3des-cbcaes-128-cbcaes-192-cbcaes-256-cbcdes-cbc 선택합니다.

SPI

SPI(Security 매개 변수 인덱스) 식별자 SA는 SPI에 의해 고유하게 식별됩니다. 각 엔트리에는 VPN 이름, 원격 게이트웨이 주소, 각 방향의 SPIS, 암호화 및 인증 알고리즘 및 키가 포함됩니다. 피어 게이트웨이에는 각각 2개의 SAS가 있습니다. 각각은 협상의 두 단계에서 나타남 1단계 및 2단계

Life:sec/kb

만료된 SA의 수명은 몇 초 또는 킬로바이트로 표시됩니다.

Mon

Mon 필드는 VPN 모니터링 상태를 말합니다. VPN 모니터링이 활성화된 경우 이 필드는 U(상부) 또는 D(아래)를 표시하게 됩니다. 하이픈(-)은 이 SA에 VPN 모니터링이 활성화되지 않았다는 뜻입니다. V는 IPSec 데이터 경로 검증이 진행 중입니다.

lsys

루트 시스템.

Port

네트워크 주소 변환(네트워크 주소 변환(NAT))를 사용하는 경우 이 값은 4500입니다. 또는 표준 포트인 IKE(Internet Key Exchange) 500입니다.

Gateway

시스템의 게이트웨이 주소.

표 3: show security ipsec sa detail Output Fields

필드 이름

필드 설명

ID

SA 인덱스 수. 이 번호를 사용하여 SA에 대한 추가 정보를 얻을 수 있습니다.

Virtual-system

가상 시스템 이름.

VPN Name

VPN을 위한 IPSec 이름.

Local Gateway

로컬 시스템의 게이트웨이 주소.

Remote Gateway

원격 시스템의 게이트웨이 주소.

Local Identity

파트너 대상 게이트웨이와 통신할 수 있도록 로컬 피어의 ID 이 값은 IP 주소, 완벽하게 정해진 도메인 이름, 이메일 주소 또는 이름(DN)으로 지정됩니다.

Remote Identity

대상 피어 게이트웨이의 IP 주소.

Version

IKE(Internet Key Exchange) 버전. 예를 들어 IKEv1, IKEv2를 들 수 있습니다.

DF-bit

단편화되지 않는 상태: setcleared또는.

Bind-interface

경로 기반 VPN이 연결되는 터널 인터페이스

터널 이벤트

Direction

SA 방향, 인바운드 또는 아웃바운드가 될 수 있습니다.

AUX-SPI

보조 보안 매개 변수 인덱스(SPI)의 가치

  • 가치가 항상 AHESPAUX-SPI 0인 경우

  • 가치가 있는 경우 항상 긍정적인 AH+ESPAUX-SPI 정수입니다.

VPN Monitoring

VPN 모니터링이 활성화된 경우 필드가 MonU (up) 표시되거나 D (down) 에 표시됩니다. 하이픈(-)은 이 SA에 VPN 모니터링이 활성화되지 않았다는 뜻입니다. V는 IPsec 데이터 경로 검증이 진행 중입니다.

Hard lifetime

하드 수명은 SA의 수명을 지정합니다.

  • Expires in seconds - SA가 만료될 때까지 남겨진 초 수.

Lifesize Remaining

남은 수명은 킬로바이트의 사용 제한을 지정합니다. 라이프사이즈가 지정되지 않은 경우 무제한으로 표시됩니다.

Soft lifetime

소프트 수명은 IPsec 키 관리 시스템에 SA 만료를 알리고 있습니다. SA의 각 수명은 하드 및 소프트 등 2개의 디스플레이 옵션을 가지며, 그 중 하나는 동적 SA를 위해 반드시 제공되어야 합니다. 따라서 하드 수명이 만료되기 전에 키 관리 시스템이 새로운 SA를 협상할 수 있습니다.

  • Expires in seconds - SA가 만료될 때까지 남겨진 초 수.

Mode

SA 모드:

  • transport - 호스트에서 호스트로의 연결을 보호합니다.

  • tunnel - 보안 게이트웨이 간의 연결을 보호합니다.

Type

SA 유형:

  • manual - 보안 매개 변수는 협상이 필요하지 않습니다. 이들은 정적이기 때문에 사용자가 구성합니다.

  • dynamic - 보안 매개 변수는 IKE(Internet Key Exchange) 프로토콜에 의해 협상됩니다. 동적 SAS는 전송 모드에서 지원되지 않습니다.

State

SA 상태:

  • Installed - SA가 SA 데이터베이스에 설치됩니다.

  • Not Installed - SA 데이터베이스에 SA가 설치되지 않았습니다.

전송 모드에서 상태의 값은 항상 설치됩니다.

Protocol

프로토콜 지원.

  • 전송 모드는 ESP(Encapsulation Security Protocol) 및 AH(Authentication Header)를 지원

  • 터널 모드는 ESP 및 AH를 지원하며,

    • Authentication - 사용된 인증 유형.

    • Encryption - 사용된 암호화 유형.

Anti-replay service

패킷이 재생되지 않도록 하는 서비스 상태 될 Enabled 수도 Disabled 있습니다.

Replay window size

안티플레이 서비스 창의 구성된 크기입니다. 32 패킷 또는 64 패킷이 될 수 있습니다. 리플레이 창 크기가 0인 경우, Antireplay 서비스는 비활성화됩니다.

안티 리플레이 창 크기는 오래된 패킷이나 복제 패킷을 거부하여 리플레이 공격으로부터 수신기를 보호합니다.

Interchassis Link Tunnel

고가용성(HA) 링크 암호화 모드

고가용성 모드 지원. 멀티 Multi-Node 노드 고가용성 기능이 활성화되면 표시됩니다.

Sample Output

한마디로 show 명령어 출력은 구성의 모든 값을 표시하지 않습니다. 구성의 하위 세트만 표시됩니다. 시스템의 나머지 구성은 타원(...)로 대체되었습니다.

show security ipsec security-associations (IPv4)

show security ipsec security-associations (IPv6)

show security ipsec security-associations index 511672

show security ipsec security-associations index 131073 detail

Junos OS Release 18.2R1 시작하여 CLI 클래스 이름을 포함한 모든 show security ipsec security-associations index index-number detail 자식 SA 세부 정보가 표시됩니다.

show security ipsec sa

show security ipsec sa detail

Junos OS Release 19.1R1 시작하면 CLI 구성된 옵션을 tunnel-establishmentshow security ipsec sa detailipsec vpn establish-tunnels 표시합니다.

show security ipsec security-association

show security ipsec security-associations brief

show security ipsec security-associations detail

show security ipsec security-associations family inet6

show security ipsec security-associations fpc 6 pic 1 kmd-instance all (SRX Series Devices)

show security ipsec security-associations detail (ADVPN Suggester, Static Tunnel)

show security ipsec security-associations detail (ADVPN Partner, Static Tunnel)

show security ipsec security-associations sa-type shortcut (ADVPN)

show security ipsec security-associations sa-type shortcut detail (ADVPN)

show security ipsec security-associations family inet detail

show security ipsec security-associations detail (SRX4600)

show security ipsec security-associations detail (SRX5400, SRX5600, SRX5800)

터널 내의 모든 IPsec SA에 상응하는 새로운 출력 필드가 각 IPsec SA 정보 아래에 IKE SA Index 표시됩니다.

show security ipsec security-associations detail (SRX Series devices and MX Series Routers)

릴리스 20.Junos OS 20.4R2, 21.1R1 이상에서 명령을 실행하여 VPN에 대한 트래픽 선택기 유형을 볼 수 show security ipsec security-associations detail 있습니다.

show security ipsec security-associations detail (SRX Series devices)

Junos OS Release 21.1R1에서부터 IPsec SA에 대해 정의된 여러 용어에 대한 대상 포트 범위, 로컬 ID, 원격 ID, 프로토콜, 소스 포트 범위 등 트래픽 셀렉터 세부 정보를 볼 수 있습니다.

이전 Junos Releases에서 IP 주소 또는 netmask을 사용하여 정의된 기존 IP 범위를 사용하여 특정 SA를 위한 트래픽 선택을 수행했습니다. 릴리스 Junos OS 21.1R1 이후의 릴리스 21.1R1에서 를 사용하여 지정한 프로토콜을 통해 추가 트래픽이 protocol_name. 또한 소스 및 대상 포트 번호에 대해 저지연 및 높은 포트 범위를 지정합니다.

Release Information

릴리스 8.5에 Junos OS 명령어가 도입되었습니다. Junos OS family 릴리스 11.1에 추가된 옵션 지원.

릴리스 vpn-name 날짜에 추가된 Junos OS 지원 11.4R3. 릴리스 날짜에 추가된 옵션 및 트래픽 셀러 Junos OS traffic-selector 지원 12.1X46-D10.

새로운 릴리스 릴리스에서 추가된 ADVPN(Auto Discovery VPN) Junos OS 지원 12.3X48-D10.

Junos OS Release 버전에 추가된 IPsec 데이터 경로 검증 15.1X49-D70.

Junos OS Release Junos OS 추가된 스레드 앵커 17.4R1.

명령 출력에는 Junos OS 릴리스 18.2R2 보안 연결(SAS)에 대한 스레드 앵커십 정보가 show security ipsec security-assocations detail 포함됩니다.

Junos OS Release 19.4R1 시작으로 show 명령어에 있는 보안 연결(SAS)을 표시하는 새로운 프로세스에서 CLI fc-name 옵션(COS Forward Class 이름)을 iked 해제했습니다. show security ipsec sa

릴리스 ha-link-encryption 날짜에 추가된 Junos OS 지원 20.4R1.