Verwirrung über die Lebensdauer von Cisco ISAKMP und IPSec SA


13

Ich bin immer verwirrt über die lebenslange Konfiguration der Sicherheitszuordnungen unter Cisco IOS.

Bei den meisten im Internet verwalteten Geräten ist klar, welche SA-Lebensdauer für Phase I und welche für Phase II gilt.

Auf Cisco haben Sie jedoch diesen crypto isakmp policy <NUM>Abschnitt, in dem Sie die SA-Lebensdauer als angeben lifetime <NUM>.

Sie müssen auch die SA-Lebensdauer in crypto map <NAME> <NUM> IPsec-isakmpAbschnitt wie einstellen set security-association lifetime seconds <NUM>.

Könntet ihr mich bitte aufklären und meine Verwirrung endlich beenden, bitte? Welches ist Phase I und welches ist Phase II?

Antworten:


16

Das hat mich in der Vergangenheit verwirrt, deshalb habe ich versucht, es für Sie unten herauszubrechen.

Phase I-Lebensdauer:

Phase I-Lebensdauer auf Cisco IOS-Routern wird von der globalen ISAKMP-Richtlinie verwaltet. Dies ist jedoch kein Pflichtfeld. Wenn Sie keinen Wert eingeben, ist der Router standardmäßig auf 86400 Sekunden eingestellt.

crypto isakmp policy 1
  lifetime <value>

Um die Lebensdauer einer bestimmten Richtlinie zu überprüfen, können Sie den folgenden Befehl ausführen show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Laut Cisco in Bezug auf diesen Befehl show (dies gilt nur für die Lebensdauer von isakmp): "Beachten Sie, dass in der Ausgabe für die Lebensdauer zwar" no volume limit "angezeigt wird, Sie jedoch nur eine zeitliche Lebensdauer konfigurieren können (z. B. 86.400 Sekunden) - begrenzte Lebensdauern sind nicht konfigurierbar ".


Phase II-Lebensdauer:

Phase II Lifetime kann auf einem Cisco IOS-Router auf zwei Arten verwaltet werden: global oder lokal auf der Crypto Map selbst. Wie bei der ISAKMP-Lebensdauer ist keines dieser Felder ein Pflichtfeld. Wenn Sie sie nicht konfigurieren, setzt der Router die IPSec-Lebensdauer standardmäßig auf 4608000 Kilobyte / 3600 Sekunden.

Globale Konfiguration:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Dadurch wird die Einstellung für alle IPSec-Sicherheitszuordnungen auf diesem Router geändert.

Geben Sie den folgenden show crypto ipsec security-association lifetimeBefehl ein, um die globale IPSec-Lebensdauer zu überprüfen :

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Crypto Map Konfiguration:

Wenn Sie die IPSec-Lebensdauer für eine Verbindung ändern müssen, jedoch nicht für alle anderen auf dem Router, können Sie die Lebensdauer für den Crypto Map-Eintrag konfigurieren:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Verwenden Sie den show cyrpto mapBefehl, um diesen individuellen Crypto Map-Wert für die Lebensdauer zu überprüfen (die Ausgabe wurde aus Gründen der Übersichtlichkeit übersprungen):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Weitere Informationen finden Sie im Cisco IOS Security-Konfigurationshandbuch , insbesondere in den Abschnitten zum Konfigurieren der IPSec-Netzwerksicherheit und zum Konfigurieren des Internet Key Exchange-Sicherheitsprotokolls .)


Wow, danke!!! Das hat einige Dinge für mich wirklich geklärt. Ich habe noch eine Frage: Wird sich ISAKMP SA oder IPsec SA bilden, wenn es zu einer Inkongruenz im SA-Leben kommt?
Alex

@Alex Meinst du eine Nichtübereinstimmung zwischen den beiden Peers, die die Verbindung herstellen, oder eine Nichtübereinstimmung zwischen den ISAKMP- und IPSec-Timern auf dem Router selbst?
Brett Lykins

Ich meine zwischen zwei Kollegen
Alex

1
Kurze Antwort, ja, die SA wird gebildet, wenn eine bestimmte Reihe von anderen Umständen erfüllt sind . Längere Antwort, das ist eine ganz andere Frage, und ich empfehle, sie separat zu stellen, und ich würde Ihnen gerne eine detailliertere Antwort geben. :)
Brett Lykins

Vielen Dank! Ich denke, ich werde das in ein paar Tagen fragen :)
Alex
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.