Zagubienie czasu życia Cisco ISAKMP i IPSec SA

Zawsze mylę się co do konfiguracji dożywotniego skojarzenia zabezpieczeń w systemie Cisco IOS.

Na większości urządzeń zarządzanych przez Internet jest jasne, który okres użytkowania SA jest dla fazy I, a która dla fazy II.

W Cisco masz jednak tę crypto isakmp policy <NUM>sekcję, w której określasz okres istnienia SA jako lifetime <NUM>.

Musisz także ustawić czas życia SA w crypto map <NAME> <NUM> IPsec-isakmpsekcji jak set security-association lifetime seconds <NUM>.

Czy moglibyście, proszę, oświecić mnie proszę i wreszcie zakończyć moje zamieszanie, proszę? Który to etap I, a który to etap II?

Byłem zdezorientowany tym w przeszłości, więc próbowałem to dla ciebie wyjaśnić poniżej.

Faza I Żywotność:

Żywotność fazy I na routerach Cisco IOS jest zarządzana przez globalną politykę ISAKMP. Jednak nie jest to pole obowiązkowe, jeśli nie wprowadzisz wartości, router ustawi domyślnie na 86400 sekund.

crypto isakmp policy 1
  lifetime <value>

Aby zweryfikować żywotność określonej zasady, możesz wydać polecenie show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Według Cisco w odniesieniu do tego polecenia show (dotyczy tylko czasu życia isakmp): „Należy zauważyć, że chociaż dane wyjściowe pokazują„ brak limitu głośności ”dla czasów życia, można skonfigurować tylko czas życia (na przykład 86 400 sekund); wolumin -limit lifetimeimes nie są konfigurowalne ”.

Faza II Żywotność:

Fazą II Lifetime można zarządzać na routerze Cisco IOS na dwa sposoby: globalnie lub lokalnie na samej mapie kryptograficznej. Podobnie jak w przypadku okresu istnienia ISAKMP, żadne z tych pól nie jest obowiązkowe. Jeśli ich nie skonfigurujesz, router ustawi domyślnie czas życia IPSec na 4608000 kilobajtów / 3600 sekund.

Konfiguracja globalna:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Zmienia to ustawienie dla wszystkich skojarzeń zabezpieczeń IPSec na tym routerze.

Aby zweryfikować globalny czas życia IPSec, wydaj show crypto ipsec security-association lifetimepolecenie:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Konfiguracja mapy kryptograficznej:

Jeśli chcesz zmienić czas życia IPSec dla jednego połączenia, ale nie dla wszystkich innych na routerze, możesz skonfigurować czas życia we wpisie Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Aby zweryfikować tę indywidualną wartość życia Crypto Map, użyj show cyrpto mappolecenia (wyniki zostały przycięte dla zachowania przejrzystości):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Jeśli chcesz uzyskać więcej informacji, zapoznaj się z Przewodnikiem konfiguracji zabezpieczeń Cisco IOS , w szczególności sekcjami Konfigurowanie zabezpieczeń sieciowych IPSec i Konfigurowanie protokołu zabezpieczeń Internet Key Exchange , zapoznaj się bardziej szczegółowo z odpowiednimi poleceniami.)