Come confondere la vita di Cisco ISAKMP e IPSec SA

Mi confondo sempre sulla configurazione della durata dell'associazione di sicurezza su Cisco IOS.

Sulla maggior parte dell'hardware gestito dal Web è chiaro quale sia la durata della SA per la fase I e quale per la fase II.

Su Cisco, tuttavia, è presente questa crypto isakmp policy <NUM>sezione in cui si specifica la durata SA come lifetime <NUM>.

Devi anche impostare la durata della SA in una crypto map <NAME> <NUM> IPsec-isakmpsezione simile set security-association lifetime seconds <NUM>.

Ragazzi, potreste illuminarmi per favore e porre fine alla mia confusione, per favore? Quale è la fase I e quale è la fase II?

Sono stato confuso da questo in passato, quindi ho cercato di risolverlo qui sotto.

Durata della fase I:

La durata della fase I sui router Cisco IOS è gestita dalla politica ISAKMP globale. Tuttavia, questo non è un campo obbligatorio, se non si immette un valore, il router verrà impostato automaticamente su 86400 secondi.

crypto isakmp policy 1
  lifetime <value>

Per verificare la durata di una politica specifica, è possibile emettere il comando show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Per Cisco riguardo a quel comando show, (questo è solo per la durata di isakmp): "Notare che sebbene l'output mostri" nessun limite di volume "per le vite, è possibile configurare solo una durata (come 86.400 secondi); volume -limit la durata non è configurabile ".

Durata della fase II:

La fase II Lifetime può essere gestita su un router Cisco IOS in due modi: globalmente o localmente sulla stessa mappa crittografica. Come per la durata di ISAKMP, nessuno di questi sono campi obbligatori. Se non li si configura, il router imposta automaticamente la durata dell'IPSec su 4608000 kilobyte / 3600 secondi.

Configurazione globale:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Ciò modifica l'impostazione per tutte le SA IPSec su quel router.

Per verificare la durata globale di IPSec, emettere il show crypto ipsec security-association lifetimecomando:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Configurazione di Crypto Map:

Se è necessario modificare la durata IPSec per una connessione, ma non per tutte le altre sul router, è possibile configurare la durata sulla voce Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Per verificare questo singolo valore di durata di Crypto Map, utilizzare il show cyrpto mapcomando (output tagliato per chiarezza):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Se vuoi maggiori informazioni, la Guida alla configurazione della sicurezza Cisco IOS , in particolare le sezioni su Configurazione della sicurezza della rete IPSec e Configurazione del protocollo di sicurezza dello scambio di chiavi Internet , vai più in dettaglio sui comandi pertinenti.)