Превышение срока службы Cisco ISAKMP и IPSec SA

Я всегда путаюсь о конфигурации жизненного цикла ассоциации безопасности в Cisco IOS.

На большинстве аппаратных средств, управляемых через веб-интерфейс, ясно, какое время жизни SA соответствует Фазе I, а для фазы II.

В Cisco, однако, у вас есть этот раздел crypto isakmp policy <NUM> , где вы указываете время жизни SA как lifetime <NUM> .

Вы также должны установить время жизни SA в криптографической карте <NAME> & Lt; NUM & GT; Раздел IPsec-isakmp , например , устанавливает время жизни системы защиты и связи .

Не могли бы вы, ребята, просветить меня, пожалуйста, и наконец положить конец моему смущению, пожалуйста? Какой из них - Фаза I, а какая - Фаза II?

13 голосов | спросил Alex 4 MarpmTue, 04 Mar 2014 12:43:47 +04002014-03-04T12:43:47+04:0012 2014, 12:43:47

1 ответ


15

Я был в замешательстве этим в прошлом, поэтому я попытался разбить его для вас ниже.

Фаза I Срок службы:

Время жизни фазы I на маршрутизаторах Cisco IOS управляется глобальной политикой ISAKMP. Однако это не обязательное поле, если вы не вводите значение, маршрутизатор будет по умолчанию 86400 секунд.

  политика crypto isakmp 1
  время жизни <значение>
 

Чтобы проверить время жизни определенной политики, вы можете выдать команду show crypto isakmp policy :

  TEST-1861 # показать политику crypto isakmp

Глобальная политика IKE
Набор защиты приоритета 1
        алгоритм шифрования: AES - Advanced Encryption Standard (256-битные ключи).
        хэш-алгоритм: Secure Hash Standard
        метод аутентификации: предварительный ключ
        Группа Диффи-Хеллмана: №5 (1536 бит)
        срок службы: 86400 секунд, без ограничения объема
 

Для Cisco в отношении этой команды show (это только для времени жизни isakmp): «Обратите внимание, что хотя на выходе отображается« ограничение по объему »для сроков службы, вы можете настроить только время жизни (например, как 86 400 секунд), время жизни ограничено по размеру ».


Фаза II Продолжительность жизни:

Фаза II Продолжительность жизни может управляться маршрутизатором Cisco IOS двумя способами: глобально или локально на самой криптографической карте. Как и в случае с продолжительностью ISAKMP, ни одно из них не является обязательным. Если вы не настроите их, маршрутизатор по умолчанию использует срок службы IPSec до 4608000 килобайт /3600 секунд.

Глобальная конфигурация:

  crypto ipsec продолжительность жизни системы безопасности [seconds | kilobytes] <value>
 

Это изменяет настройку для всех IPSec SA на этом маршрутизаторе.

Чтобы проверить глобальное время жизни IPSec, выполните команду show crypto ipsec security-association lifetime :

  TEST-1861 # show crypto ipsec продолжительность жизни системы безопасности
Срок службы системы безопасности: 4608000 килобайт /3600 секунд
 

Конфигурация криптографической карты:

Если вам нужно изменить срок службы IPSec для одного соединения, но не для всех остальных на маршрутизаторе, вы можете настроить время жизни в записи Crypto Map:

  криптографическая карта <map-name> & Lt; последовательность номер & GT; ISAKMP-IPSec
  установить продолжительность жизни системы безопасности [секунды | килобайт] <значение>
 

Чтобы проверить это индивидуальное значение Crypto Map lifetime, используйте команду show cyrpto map (вывод снизу для ясности):

  TEST-1861 # показать криптографическую карту
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Список расширенных IP-адресов Crypto-list
            список доступа Crypto-list разрешает ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Разрешение криптографического списка ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Текущий аналог: 67.221.X.X
        Срок службы системы безопасности: 4608000 килобайт /3600 секунд
 

(Если вы хотите получить дополнительную информацию, Руководство по настройке безопасности Cisco IOS , в частности разделы Настройка сетевой безопасности IPSec и Конфигурирование протокола безопасности интернет-ключей , более подробно рассмотрите соответствующие команды.)

ответил Brett Lykins 4 MarpmTue, 04 Mar 2014 17:43:51 +04002014-03-04T17:43:51+04:0005 2014, 17:43:51

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132