我总是对Cisco IOS上的安全关联生存期配置感到困惑。

在大多数Web管理的硬件上,很明显哪个SA生存期用于阶段I,哪个SA生存期用于阶段II。

在Cisco上,您会看到此crypto isakmp policy <NUM>部分,其中将SA生存期指定为lifetime <NUM>

您还必须在crypto map <NAME> <NUM> IPsec-isakmp部分(如set security-association lifetime seconds <NUM>)中设置SA生存期。

请大家赐教,并结束我的困惑吗?哪个是第一阶段,哪个是第二阶段?

#1 楼

过去我对此一直感到困惑,因此我尝试在下面为您介绍一下。

阶段I生存期:

阶段I生存在Cisco IOS路由器上由全球ISAKMP政策管理。但是,这不是必填字段,如果您不输入值,则路由器将默认为86400秒。

crypto isakmp policy 1
  lifetime <value>


要验证特定策略的生存期,您可以发出命令show crypto isakmp policy:每个Cisco关于该show命令,(仅用于isakmp生存期):“请注意,尽管输出显示生命周期为“无音量限制”,您只能配置一个时间生命周期(例如86,400秒);音量限制生命周期是不可配置的。”


阶段II生命周期:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit


此更改设置该路由器上所有IPSec SA的设置。

要验证全局IPSec生存期,请发出show crypto ipsec security-association lifetime命令:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>


加密映射配置:

如果您需要更改一个连接的IPSec生存期,而不需要更改路由器上所有其他连接的IPSec生存期,则可以在“加密映射”条目上配置生存期:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds


要验证此单独的加密映射生存期值,请使用show cyrpto map命令(为清晰起见,将其输出进行了剪裁):

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>



(如果需要更多信息,请参阅《 Cisco IOS安全配置指南》,特别是有关“配置IPSec网络安全性和配置Internet密钥交换安全协议”的部分,以获取有关相关命令的更多详细信息。)

评论


哇谢谢!!!这确实为我澄清了一些事情。我还有一个问题:如果SA生存期不匹配,是否会形成ISAKMP SA或IPsec SA?

– Alex
2014年4月4日14:04

@Alex您的意思是创建连接的两个对等方之间不匹配,还是路由器本身上的ISAKMP和IPSec计时器之间不匹配?

–布雷特·莱金斯(Brett Lykins)
2014年4月4日17:42

我的意思是两个同伴之间

– Alex
2014年5月5日下午5:51

简短的回答,是的,如果满足其他特定情况,将形成SA。更长的答案,这是一个完全不同的问题,我建议单独询问,我很乐意为您提供更详细的答案。 :)

–布雷特·莱金斯(Brett Lykins)
2014年6月6日13:37

谢谢!我想我实际上会在几天后问这个:)

– Alex
2014年6月6日13:51