Membuat Cisco ISAKMP dan IPSec SA bingung seumur hidup

Saya selalu bingung tentang konfigurasi seumur hidup asosiasi keamanan di Cisco IOS.

Pada sebagian besar perangkat keras yang dikelola web, jelas SA seumur hidup untuk Fase I dan yang untuk Fase II.

Namun pada Cisco Anda mendapatkan crypto isakmp policy <NUM>bagian ini di mana Anda menentukan SA seumur hidup sebagai lifetime <NUM>.

Anda juga harus mengatur SA seumur hidup di crypto map <NAME> <NUM> IPsec-isakmpbagian suka set security-association lifetime seconds <NUM>.

Bisakah Anda, teman-teman, tolong beri saya pencerahan dan akhiri kebingungan saya akhirnya? Yang mana adalah Fase I dan yang mana Fase II?

Saya telah bingung dengan ini di masa lalu, jadi saya sudah mencoba untuk memecahkannya untuk Anda di bawah ini.

Fase I Seumur Hidup:

Fase I seumur hidup pada router Cisco IOS dikelola oleh Kebijakan ISAKMP global. Namun ini bukan bidang wajib, jika Anda tidak memasukkan nilai, router akan default ke 86400 detik.

crypto isakmp policy 1
  lifetime <value>

Untuk memverifikasi masa berlaku kebijakan tertentu, Anda dapat mengeluarkan perintah show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Per Cisco sehubungan dengan perintah acara itu, (ini hanya untuk masa isakmp): "Perhatikan bahwa meskipun output menunjukkan" tidak ada batas volume "untuk masa pakai, Anda hanya dapat mengonfigurasi masa pakai waktu (seperti 86.400 detik); volume - Batas waktu tidak dapat dikonfigurasi ".

Fase II Seumur Hidup:

Fase II Seumur Hidup dapat dikelola pada router Cisco IOS dengan dua cara: secara global atau lokal pada peta kripto itu sendiri. Seperti halnya masa hidup ISAKMP, tak satu pun dari ini adalah bidang wajib. Jika Anda tidak mengonfigurasinya, router akan menetapkan standar seumur hidup IPSec menjadi 4608000 kilobyte / 3600 detik.

Konfigurasi global:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Ini mengubah pengaturan untuk semua IPSec SA pada router itu.

Untuk memverifikasi masa pakai IPSec global, keluarkan show crypto ipsec security-association lifetimeperintah:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Konfigurasi Crypto Map:

Jika Anda perlu mengubah masa pakai IPSec untuk satu koneksi, tetapi tidak untuk semua yang lain di router, Anda dapat mengonfigurasi masa pakai pada entri Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Untuk memverifikasi nilai seumur hidup Crypto Map individu ini, gunakan show cyrpto mapperintah (output sniped untuk kejelasan):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Jika Anda ingin info lebih lanjut, Panduan Konfigurasi Keamanan Cisco IOS , khususnya bagian tentang Mengkonfigurasi Keamanan Jaringan IPSec dan Mengkonfigurasi Protokol Keamanan Pertukaran Kunci Internet , pelajari lebih detail tentang perintah yang relevan.)