Confundir la vida útil de Cisco ISAKMP e IPSec SA

13

Siempre me confundo acerca de la configuración de por vida de la asociación de seguridad en Cisco IOS.

En la mayoría del hardware administrado por la web, está claro qué vida útil de SA es para la Fase I y cuál es para la Fase II.

Sin embargo, en Cisco obtuvo esta crypto isakmp policy <NUM>sección donde especifica la vida útil de SA como lifetime <NUM>.

También debe establecer la duración de SA en la crypto map <NAME> <NUM> IPsec-isakmpsección Me gusta set security-association lifetime seconds <NUM>.

¿Podrían ustedes, chicos, iluminarme por favor y terminar mi confusión al fin, por favor? ¿Cuál es la Fase I y cuál es la Fase II?

Alex
fuente

Respuestas:

16

He estado confundido por esto en el pasado, así que he tratado de revelarlo a continuación.

Fase I de por vida:

La política de ISAKMP global administra la vida útil de la Fase I en los enrutadores Cisco IOS. Sin embargo, este no es un campo obligatorio, si no ingresa un valor, el enrutador tendrá un valor predeterminado de 86400 segundos.

crypto isakmp policy 1
  lifetime <value>

Para verificar la vida útil de una política específica, puede emitir el comando show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Según Cisco con respecto a ese comando show, (esto es solo para la vida útil de isakmp): "Tenga en cuenta que aunque la salida muestra" sin límite de volumen "para las vidas, puede configurar solo una vida útil de tiempo (como 86,400 segundos); volumen -la vida útil limitada no es configurable


Fase II de por vida:

Phase II Lifetime se puede administrar en un enrutador Cisco IOS de dos maneras: global o localmente en el propio mapa criptográfico. Al igual que con la vida útil de ISAKMP, ninguno de estos son campos obligatorios. Si no los configura, el enrutador predetermina la vida útil de IPSec a 4608000 kilobytes / 3600 segundos.

Configuración global:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Esto cambia la configuración de todas las SA IPSec en ese enrutador.

Para verificar la duración global de IPSec, emita el show crypto ipsec security-association lifetimecomando:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Configuración de Crypto Map:

Si necesita cambiar la vida útil de IPSec para una conexión, pero no para todas las demás en el enrutador, puede configurar la vida útil en la entrada Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Para verificar este valor de vida útil de Crypto Map individual, use el show cyrpto mapcomando (salida franqueada para mayor claridad):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Si desea obtener más información, la Guía de configuración de seguridad de Cisco IOS , específicamente las secciones sobre Configuración de seguridad de red IPSec y Configuración del protocolo de seguridad de intercambio de claves de Internet , ingrese con más detalle sobre los comandos relevantes).

Brett Lykins
fuente
¡¡¡Wow gracias!!! Eso realmente me aclaró algunas cosas. Tengo una pregunta más: ¿ISAKMP SA o IPsec SA se formarán si hay una falta de coincidencia en la vida útil de SA?
Alex
@Alex, ¿quiere decir una falta de coincidencia entre los dos pares que crean la conexión, o una falta de coincidencia entre los temporizadores ISAKMP e IPSec en el enrutador?
Brett Lykins
Quiero decir entre dos compañeros
Alex
1
Respuesta corta, sí, se formará la SA, si se cumple un conjunto específico de otras circunstancias . Respuesta más larga, esta es una pregunta completamente diferente, y recomiendo hacerla por separado, y con mucho gusto le daré una respuesta más detallada. :)
Brett Lykins
¡Gracias! Creo que lo preguntaré dentro de unos días :)
Alex