Làm cho Cisco ISAKMP và IPSec SA bị lẫn lộn


13

Tôi luôn bị nhầm lẫn về cấu hình trọn đời của hiệp hội bảo mật trên Cisco IOS.

Trên hầu hết các phần cứng được quản lý web, rõ ràng vòng đời SA dành cho Giai đoạn I và giai đoạn II dành cho Giai đoạn II.

Trên Cisco tuy nhiên bạn có crypto isakmp policy <NUM>phần này trong đó bạn chỉ định SA trọn đời là lifetime <NUM>.

Bạn cũng phải đặt SA trọn đời trong crypto map <NAME> <NUM> IPsec-isakmpphần như thế nào set security-association lifetime seconds <NUM>.

Các bạn, xin hãy soi sáng cho tôi và cuối cùng làm ơn cho tôi bối rối? Cái nào là Giai đoạn I và Cái nào là Giai đoạn II?

Câu trả lời:


16

Tôi đã bị nhầm lẫn bởi điều này trong quá khứ, vì vậy tôi đã cố gắng phá vỡ nó cho bạn dưới đây.

Giai đoạn I trọn đời:

Thời gian tồn tại của giai đoạn I trên các bộ định tuyến IOS của Cisco được quản lý bởi Chính sách ISAKMP toàn cầu. Tuy nhiên đây không phải là trường bắt buộc, nếu bạn không nhập giá trị, bộ định tuyến sẽ mặc định là 86400 giây.

crypto isakmp policy 1
  lifetime <value>

Để xác minh thời hạn của một chính sách cụ thể, bạn có thể ra lệnh show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Mỗi Cisco liên quan đến lệnh hiển thị đó, (chỉ dành cho vòng đời isakmp): "Lưu ý rằng mặc dù đầu ra hiển thị" không giới hạn âm lượng "cho các vòng đời, bạn chỉ có thể định cấu hình thời gian tồn tại (chẳng hạn như 86.400 giây); cuộc sống -limit không thể cấu hình ".


Giai đoạn II trọn đời:

Giai đoạn II trọn đời có thể được quản lý trên bộ định tuyến Cisco IOS theo hai cách: toàn cầu hoặc cục bộ trên bản đồ mật mã. Như với vòng đời ISAKMP, cả hai trường này đều không phải là trường bắt buộc. Nếu bạn không định cấu hình chúng, bộ định tuyến mặc định tuổi thọ IPSec là 4608000 kilobyte / 3600 giây.

Cấu hình Toàn cầu:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Điều này thay đổi cài đặt cho tất cả các IPSec SA trên bộ định tuyến đó.

Để xác minh tuổi thọ IPSec toàn cầu, hãy ra show crypto ipsec security-association lifetimelệnh:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Cấu hình bản đồ mật mã:

Nếu bạn cần thay đổi tuổi thọ IPSec cho một kết nối, nhưng không phải cho tất cả các kết nối khác trên bộ định tuyến, bạn có thể định cấu hình thời gian tồn tại trên mục nhập Bản đồ Crypto:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Để xác minh giá trị trọn đời của Bản đồ Crypto riêng lẻ này, hãy sử dụng show cyrpto maplệnh (đầu ra được cắt cho rõ ràng):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Nếu bạn muốn biết thêm thông tin, Hướng dẫn cấu hình bảo mật Cisco IOS , cụ thể là các phần về Định cấu hình bảo mật mạng IPSecCấu hình giao thức bảo mật trao đổi khóa Internet , đi sâu vào chi tiết hơn về các lệnh có liên quan.)


Ồ cảm ơn nhé!!! Điều đó thực sự làm rõ một số điều cho tôi. Tôi có thêm một câu hỏi: ISAKMP SA hoặc IPsec SA sẽ hình thành nếu có sự không phù hợp trong vòng đời SA?
Alex

@Alex bạn có nghĩa là sự không phù hợp giữa hai đồng nghiệp tạo kết nối hoặc không khớp giữa bộ định thời ISAKMP và IPSec trên chính bộ định tuyến?
Brett Lykins

Ý tôi là giữa hai người ngang hàng
Alex

1
Câu trả lời ngắn, có SA sẽ hình thành, nếu một tập hợp cụ thể các trường hợp khác được đáp ứng . Câu trả lời dài hơn, đây là một câu hỏi hoàn toàn khác, và tôi khuyên bạn nên hỏi riêng nó, và tôi sẵn sàng đưa ra câu trả lời chi tiết hơn cho bạn. :)
Brett Lykins

Cảm ơn bạn! Tôi nghĩ rằng tôi thực sự sẽ hỏi điều đó trong một vài ngày tới :)
Alex
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.