Смущение жизни Cisco ISAKMP и IPSec SA

13

Меня всегда смущает конфигурация времени жизни ассоциации безопасности в Cisco IOS.

На большинстве аппаратных средств, управляемых через Интернет, ясно, какой срок службы SA предназначен для фазы I, а для фазы II.

На Cisco, однако, вы получили этот crypto isakmp policy <NUM>раздел, где вы указываете время жизни SA как lifetime <NUM>.

Вы также должны установить время жизни SA в crypto map <NAME> <NUM> IPsec-isakmpразделе, как set security-association lifetime seconds <NUM>.

Не могли бы вы, ребята, просветить меня, пожалуйста, и, наконец, положить конец моему замешательству, пожалуйста? Какая фаза I, а какая фаза II?

Alex
источник

Ответы:

16

Я был смущен этим в прошлом, поэтому я попытался рассказать об этом ниже.

Фаза I Срок службы:

Время жизни фазы I на маршрутизаторах Cisco IOS управляется глобальной политикой ISAKMP. Однако это не обязательное поле, если вы не введете значение, по умолчанию маршрутизатор будет использовать 86400 секунд.

crypto isakmp policy 1
  lifetime <value>

Чтобы проверить срок действия конкретной политики, вы можете выполнить команду show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

В соответствии с Cisco в отношении этой команды show (это только для времени жизни isakmp): «Обратите внимание, что хотя выходные данные показывают« без ограничения громкости »для времени жизни, вы можете настроить только время жизни (например, 86 400 секунд); объем -лимиты времени не настраиваются ".


Фаза II Срок службы:

Время жизни фазы II может управляться на маршрутизаторе Cisco IOS двумя способами: глобально или локально на самой криптографической карте. Как и в случае времени жизни ISAKMP, ни одно из этих полей не является обязательным. Если вы не настроите их, маршрутизатор по умолчанию использует время жизни IPSec до 4608000 килобайт / 3600 секунд.

Глобальная конфигурация:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Это изменяет настройку для всех IPSec SA на этом маршрутизаторе.

Чтобы проверить глобальное время жизни IPSec, введите show crypto ipsec security-association lifetimeкоманду:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Конфигурация криптокарты:

Если вам нужно изменить время жизни IPSec для одного соединения, но не для всех других на маршрутизаторе, вы можете настроить время жизни в записи Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Чтобы проверить это индивидуальное значение времени жизни Crypto Map, используйте show cyrpto mapкоманду (выходные данные приведены для ясности):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Если вам нужна дополнительная информация, в Руководстве по настройке безопасности Cisco IOS , в частности в разделах « Настройка сетевой безопасности IPSec и настройка протокола безопасности обмена ключами в Интернете» , более подробно рассматриваются соответствующие команды.)

Бретт Ликинс
источник
Вау, спасибо!!! Это действительно прояснило некоторые вещи для меня. У меня есть еще один вопрос: сформируется ли ISAKMP SA или IPsec SA в случае несоответствия времени жизни SA?
Алекс
@ Алекс, вы имеете в виду несоответствие между двумя узлами, создающими соединение, или несоответствие между таймерами ISAKMP и IPSec на самом маршрутизаторе?
Бретт Ликинс,
Я имею в виду между двумя сверстниками
Алекс
1
Краткий ответ: да, SA будет формироваться, если будут выполнены определенные обстоятельства . Более длинный ответ, это совсем другой вопрос, и я рекомендую задавать его отдельно, и я с удовольствием выложу для вас более подробный ответ. :)
Бретт Лайкинс
Спасибо! Я думаю, что на самом деле я спрошу это через несколько дней :)
Алекс