在大多数Web管理的硬件上,很明显哪个SA生存期用于阶段I,哪个SA生存期用于阶段II。
在Cisco上,您会看到此
crypto isakmp policy <NUM>
部分,其中将SA生存期指定为lifetime <NUM>
。 您还必须在
crypto map <NAME> <NUM> IPsec-isakmp
部分(如set security-association lifetime seconds <NUM>
)中设置SA生存期。请大家赐教,并结束我的困惑吗?哪个是第一阶段,哪个是第二阶段?
#1 楼
过去我对此一直感到困惑,因此我尝试在下面为您介绍一下。阶段I生存期:
阶段I生存在Cisco IOS路由器上由全球ISAKMP政策管理。但是,这不是必填字段,如果您不输入值,则路由器将默认为86400秒。
crypto isakmp policy 1
lifetime <value>
要验证特定策略的生存期,您可以发出命令
show crypto isakmp policy
:每个Cisco关于该show命令,(仅用于isakmp生存期):“请注意,尽管输出显示生命周期为“无音量限制”,您只能配置一个时间生命周期(例如86,400秒);音量限制生命周期是不可配置的。” 阶段II生命周期:
TEST-1861#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
此更改设置该路由器上所有IPSec SA的设置。
要验证全局IPSec生存期,请发出
show crypto ipsec security-association lifetime
命令:crypto ipsec security-association lifetime [seconds|kilobytes] <value>
加密映射配置:
如果您需要更改一个连接的IPSec生存期,而不需要更改路由器上所有其他连接的IPSec生存期,则可以在“加密映射”条目上配置生存期:
TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
要验证此单独的加密映射生存期值,请使用
show cyrpto map
命令(为清晰起见,将其输出进行了剪裁):crypto map <map-name> <sequence-number> ipsec-isakmp
set security-association lifetime [seconds|kilobytes] <value>
(如果需要更多信息,请参阅《 Cisco IOS安全配置指南》,特别是有关“配置IPSec网络安全性和配置Internet密钥交换安全协议”的部分,以获取有关相关命令的更多详细信息。)
评论
哇谢谢!!!这确实为我澄清了一些事情。我还有一个问题:如果SA生存期不匹配,是否会形成ISAKMP SA或IPsec SA?
– Alex
2014年4月4日14:04
@Alex您的意思是创建连接的两个对等方之间不匹配,还是路由器本身上的ISAKMP和IPSec计时器之间不匹配?
–布雷特·莱金斯(Brett Lykins)
2014年4月4日17:42
我的意思是两个同伴之间
– Alex
2014年5月5日下午5:51
简短的回答,是的,如果满足其他特定情况,将形成SA。更长的答案,这是一个完全不同的问题,我建议单独询问,我很乐意为您提供更详细的答案。 :)
–布雷特·莱金斯(Brett Lykins)
2014年6月6日13:37
谢谢!我想我实际上会在几天后问这个:)
– Alex
2014年6月6日13:51