Cisco ISAKMP ve IPSec SA'nın ömrünü karıştırmak

Cisco IOS'ta güvenlik ilişkisi ömür boyu yapılandırması hakkında her zaman kafam karışıyor.

Çoğu web yönetimli donanımda hangi SA ömrünün Aşama I için hangisinin Aşama II için olduğu açıktır.

Ancak Cisco'da crypto isakmp policy <NUM>SA ömrünü belirttiğiniz bu bölüme sahipsiniz lifetime <NUM>.

Ayrıca SA ömrünü aşağıdaki crypto map <NAME> <NUM> IPsec-isakmpgibi ayarlamanız gerekir set security-association lifetime seconds <NUM>.

Arkadaşlar beni aydınlatabilir ve sonunda kafa karışıklığımı sona erdirebilir misiniz, lütfen? Hangisi Aşama I, hangisi Aşama II?

Geçmişte bununla kafam karıştı, bu yüzden aşağıda sizin için çözmeye çalıştım.

Aşama I Ömür:

Cisco IOS yönlendiricileri üzerindeki Faz I ömrü, küresel ISAKMP Politikası tarafından yönetilir. Ancak bu zorunlu bir alan değildir, bir değer girmezseniz, yönlendirici varsayılan olarak 86400 saniyeye ayarlanacaktır.

crypto isakmp policy 1
  lifetime <value>

Belirli bir politikanın ömrünü doğrulamak için şu komutu verebilirsiniz show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Cisco'ya göre bu show komutu ile ilgili olarak (bu sadece isakmp ömrü içindir): "Çıktının yaşam süreleri için" ses düzeyi sınırı "göstermese de, yalnızca bir zaman ömrü (86.400 saniye gibi) yapılandırabileceğinizi unutmayın; msgstr "Sınırlı yaşam süreleri yapılandırılamaz".

Aşama II Ömür:

Faz II Ömrü, bir Cisco IOS yönlendiricide iki şekilde yönetilebilir: küresel veya yerel olarak kripto haritasının kendisinde. ISAKMP yaşamında olduğu gibi, bunların ikisi de zorunlu alan değildir. Bunları yapılandırmazsanız, yönlendirici IPSec ömrünü varsayılan olarak 4608000 kilobayt / 3600 saniyeye ayarlar.

Global yapılandırma:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Bu, yönlendiricideki tüm IPSec SA'larının ayarını değiştirir.

Global IPSec ömrünü doğrulamak için şu show crypto ipsec security-association lifetimekomutu verin:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Kripto Harita yapılandırması:

Bir bağlantı için IPSec ömrünü değiştirmeniz gerekiyor ancak yönlendiricideki diğer tüm kullanıcılar için değiştirmemeniz gerekiyorsa, yaşam süresini Kripto Haritası girişinde yapılandırabilirsiniz:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Bu tek tek Kripto Haritası yaşam boyu değerini doğrulamak için şu show cyrpto mapkomutu kullanın (netlik için çıktı sniped):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Daha fazla bilgi istiyorsanız, Cisco IOS Güvenlik Yapılandırma Kılavuzu , özellikle IPSec Ağ Güvenliğini Yapılandırma ve Internet Anahtar Değişimi Güvenlik Protokolünü Yapılandırma bölümleri , ilgili komutlar hakkında daha ayrıntılı olarak açıklanmaktadır.)