Come confondere la vita di Cisco ISAKMP e IPSec SA


13

Mi confondo sempre sulla configurazione della durata dell'associazione di sicurezza su Cisco IOS.

Sulla maggior parte dell'hardware gestito dal Web è chiaro quale sia la durata della SA per la fase I e quale per la fase II.

Su Cisco, tuttavia, è presente questa crypto isakmp policy <NUM>sezione in cui si specifica la durata SA come lifetime <NUM>.

Devi anche impostare la durata della SA in una crypto map <NAME> <NUM> IPsec-isakmpsezione simile set security-association lifetime seconds <NUM>.

Ragazzi, potreste illuminarmi per favore e porre fine alla mia confusione, per favore? Quale è la fase I e quale è la fase II?

Risposte:


16

Sono stato confuso da questo in passato, quindi ho cercato di risolverlo qui sotto.

Durata della fase I:

La durata della fase I sui router Cisco IOS è gestita dalla politica ISAKMP globale. Tuttavia, questo non è un campo obbligatorio, se non si immette un valore, il router verrà impostato automaticamente su 86400 secondi.

crypto isakmp policy 1
  lifetime <value>

Per verificare la durata di una politica specifica, è possibile emettere il comando show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Per Cisco riguardo a quel comando show, (questo è solo per la durata di isakmp): "Notare che sebbene l'output mostri" nessun limite di volume "per le vite, è possibile configurare solo una durata (come 86.400 secondi); volume -limit la durata non è configurabile ".


Durata della fase II:

La fase II Lifetime può essere gestita su un router Cisco IOS in due modi: globalmente o localmente sulla stessa mappa crittografica. Come per la durata di ISAKMP, nessuno di questi sono campi obbligatori. Se non li si configura, il router imposta automaticamente la durata dell'IPSec su 4608000 kilobyte / 3600 secondi.

Configurazione globale:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Ciò modifica l'impostazione per tutte le SA IPSec su quel router.

Per verificare la durata globale di IPSec, emettere il show crypto ipsec security-association lifetimecomando:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Configurazione di Crypto Map:

Se è necessario modificare la durata IPSec per una connessione, ma non per tutte le altre sul router, è possibile configurare la durata sulla voce Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Per verificare questo singolo valore di durata di Crypto Map, utilizzare il show cyrpto mapcomando (output tagliato per chiarezza):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Se vuoi maggiori informazioni, la Guida alla configurazione della sicurezza Cisco IOS , in particolare le sezioni su Configurazione della sicurezza della rete IPSec e Configurazione del protocollo di sicurezza dello scambio di chiavi Internet , vai più in dettaglio sui comandi pertinenti.)


Wow grazie!!! Questo ha chiarito alcune cose per me. Ho un'altra domanda: ISAKMP SA o IPsec SA si formano in caso di mancata corrispondenza nella vita di SA?
Alex

@Alex intendi una discrepanza tra i due peer che creano la connessione o una mancata corrispondenza tra i timer ISAKMP e IPSec sul router stesso?
Brett Lykins

Intendo tra due coetanei
Alex

1
Risposta breve, sì, si formerà la SA, se viene soddisfatta una serie specifica di altre circostanze . Risposta più lunga, questa è una domanda completamente diversa, e raccomando di chiederla separatamente, e sarei felice di trovare una risposta più dettagliata per te. :)
Brett Lykins

Grazie! Penso che in realtà lo chiederò tra qualche giorno :)
Alex
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.