Збентеження життя Cisco ISAKMP та IPSec SA


13

Мене завжди бентежить питання конфігурації життя асоціації безпеки на Cisco IOS.

У більшості апаратних засобів, що управляються веб-сайтом, зрозуміло, який термін служби SA призначений для I фази, а який - для II фази.

Однак у Cisco ви отримали цей crypto isakmp policy <NUM>розділ, де ви вказали термін служби SA як lifetime <NUM>.

Ви також повинні встановити термін експлуатації SA у crypto map <NAME> <NUM> IPsec-isakmpподібному розділі set security-association lifetime seconds <NUM>.

Чи не могли б ви, хлопці, просвітити мене, будь ласка, і нарешті покінчити з моєю розгубленістю? Яка фаза I, а друга - II фаза?

Відповіді:


16

Мене це плутало в минулому, тому я спробував це викреслити для вас нижче.

Перша фаза:

Перша фаза роботи на маршрутизаторах Cisco IOS управляється глобальною політикою ISAKMP. Однак це не обов'язкове поле, якщо ви не введете значення, роутер за замовчуванням дорівнює 86400 секунд.

crypto isakmp policy 1
  lifetime <value>

Щоб перевірити термін служби певної політики, ви можете задати команду show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Per Cisco щодо цієї команди show (це стосується лише часу життя isakmp): "Зауважте, що хоча на виході показано" немає обмеження гучності "протягом життя, ви можете налаштувати лише час життя (наприклад, 86 400 секунд); гучність -обмежити час життя не можна налаштувати ".


Фаза II:

Життям фази II можна керувати на маршрутизаторі Cisco IOS двома способами: глобально або локально на самій криптовалюті. Як і у випадку ISAKMP, жодне з цих не є обов'язковими полями. Якщо їх не налаштувати, маршрутизатор за замовчуванням термін служби IPSec становить 4608000 кілобайт / 3600 секунд.

Глобальна конфігурація:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Це змінює налаштування для всіх IPSec SA на цьому маршрутизаторі.

Щоб перевірити глобальний термін служби IPSec, видайте show crypto ipsec security-association lifetimeкоманду:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Конфігурація криптовалюти:

Якщо вам потрібно змінити термін служби IPSec для одного з'єднання, але не для всіх інших на маршрутизаторі, ви можете налаштувати термін служби в записи Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Для перевірки цього індивідуального значення життя show cyrpto mapдля криптокарти використовуйте команду (вихідний фрагмент для ясності):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Якщо ви хочете отримати додаткову інформацію, у посібнику з конфігурації безпеки Cisco IOS , зокрема в розділах Налаштування мережевої безпеки IPSec та налаштування протоколу захисту обміну ключами в Інтернеті , детальніше ознайомтеся з відповідними командами.)


Нічого, дякую !!! Це дійсно прояснило деякі речі для мене. У мене є ще одне запитання: чи формуватиме ISAKMP SA або IPsec SA, якщо є невідповідність терміну служби SA?
Алекс

@Alex Ви маєте на увазі невідповідність між двома колегами, які створюють з'єднання, або невідповідність таймерів ISAKMP та IPSec на самому маршрутизаторі?
Бретт Лікінс

Я маю на увазі між двома однолітками
Алекс

1
Коротка відповідь, так, SA утвориться, якщо буде дотримано певний набір інших обставин . Більш довга відповідь, це зовсім інше питання, і я рекомендую задавати його окремо, і я б із задоволенням наклав детальнішу відповідь для вас. :)
Бретт Лікінс

Дякую! Я думаю, що я насправді запитаю про це через кілька днів :)
Алекс
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.