การทำให้ Cisco ISAKMP และ IPSec SA สับสนตลอดอายุการใช้งาน

ฉันสับสนเกี่ยวกับการกำหนดค่าอายุการใช้งานสมาคมความปลอดภัยใน Cisco IOS เสมอ

สำหรับฮาร์ดแวร์ที่มีการจัดการผ่านเว็บส่วนใหญ่จะเห็นได้อย่างชัดเจนว่าอายุการใช้งาน SA นั้นเป็นอย่างไรสำหรับเฟส I และสำหรับ Phase II

เกี่ยวกับซิสโก้ แต่คุณได้รับนี้crypto isakmp policy <NUM>ส่วนที่คุณระบุ SA lifetime <NUM>อายุการใช้งานเป็น

นอกจากนี้คุณยังจะต้องตั้ง SA อายุการใช้งานในส่วนเช่นcrypto map <NAME> <NUM> IPsec-isakmpset security-association lifetime seconds <NUM>

คุณช่วยบอกฉันทีได้โปรดและยุติความสับสนในที่สุดได้ไหม อันไหนคือเฟส 1 และอันไหนคือเฟส 2

ฉันเคยสับสนกับเรื่องนี้ในอดีตดังนั้นฉันจึงพยายามแยกมันให้คุณด้านล่าง

อายุการใช้งานเฟสฉัน:

ระยะที่ 1 อายุการใช้งานของเราเตอร์ Cisco IOS ได้รับการจัดการโดยนโยบาย ISAKMP ทั่วโลก อย่างไรก็ตามนี่ไม่ใช่ฟิลด์บังคับถ้าคุณไม่ป้อนค่าเราเตอร์จะใช้ค่าเริ่มต้นเป็น 86400 วินาที

crypto isakmp policy 1
  lifetime <value>

ในการตรวจสอบอายุการใช้งานของนโยบายเฉพาะคุณสามารถออกคำสั่งshow crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

สำหรับ Cisco ในเรื่องที่เกี่ยวกับคำสั่ง show (นี่เป็นเพียงช่วงอายุ isakmp เท่านั้น): "โปรดทราบว่าแม้ว่าเอาต์พุตจะแสดง" ไม่ จำกัด ปริมาณ "สำหรับอายุการใช้งานคุณสามารถกำหนดค่าอายุการใช้งานเพียงครั้งเดียว (เช่น 86,400 วินาที); อายุการใช้งานไม่ จำกัด "

อายุการใช้งาน Phase II:

อายุการใช้งาน Phase II สามารถจัดการได้บนเราเตอร์ Cisco IOS ได้สองวิธี: ทั่วโลกหรือในเครื่องบนแผนที่เข้ารหัส เช่นเดียวกับอายุการใช้งาน ISAKMP ฟิลด์เหล่านี้ไม่จำเป็นต้องกรอก หากคุณไม่ได้กำหนดค่าเราเตอร์จะใช้ค่าเริ่มต้นของอายุการใช้งาน IPSec เป็น 4608000 กิโลไบต์ / 3600 วินาที

การกำหนดค่าทั่วโลก:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

นี่เป็นการเปลี่ยนแปลงการตั้งค่าสำหรับ IPSec SA ทั้งหมดบนเราเตอร์นั้น

ในการตรวจสอบอายุการใช้งาน IPSec ทั่วโลกให้ใช้show crypto ipsec security-association lifetimeคำสั่ง:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

การกำหนดค่าแผนที่ Crypto:

หากคุณต้องการเปลี่ยนอายุการใช้งาน IPSec สำหรับการเชื่อมต่อหนึ่งครั้ง แต่ไม่ใช่สำหรับการเชื่อมต่ออื่น ๆ ทั้งหมดบนเราเตอร์คุณสามารถกำหนดค่าอายุการใช้งานในรายการ Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

ในการตรวจสอบค่าอายุการใช้งานแผนที่เข้ารหัสลับนี้ใช้show cyrpto mapคำสั่ง (เอาต์พุต sniped เพื่อความชัดเจน):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(หากคุณต้องการข้อมูลเพิ่มเติมคู่มือการกำหนดค่าความปลอดภัยของCisco IOSโดยเฉพาะในส่วนการกำหนดค่าความปลอดภัยเครือข่าย IPSecและการกำหนดค่าโปรโตคอลความปลอดภัยอินเทอร์เน็ตคีย์แลกเปลี่ยนดูรายละเอียดเพิ่มเติมเกี่ยวกับคำสั่งที่เกี่ยวข้อง)