私は過去にこれに混乱してきましたので、私はあなたのために以下でそれを解こうとしました。
フェーズIの寿命:
Cisco IOSルータのフェーズIライフタイムは、グローバルISAKMPポリシーによって管理されます。ただし、これは必須フィールドではありません。値を入力しない場合、ルーターはデフォルトで86400秒になります。
crypto isakmp policy 1
lifetime <value>
特定のポリシーの有効期間を確認するには、次のコマンドを発行できますshow crypto isakmp policy
。
TEST-1861#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
そのshowコマンドに関してCiscoごとに(これはisakmpライフタイムのみです):「ライフタイムの出力には「ボリューム制限なし」が表示されますが、タイムライフタイム(86,400秒など)のみを設定できます。 -limitライフタイムは設定できません」。
フェーズIIの寿命:
フェーズIIのライフタイムは、Cisco IOSルータで2つの方法で管理できます。暗号マップ自体でグローバルにまたはローカルに。ISAKMPライフタイムと同様に、これらはどちらも必須フィールドではありません。それらを設定しない場合、ルータはデフォルトでIPSecライフタイムを4608000キロバイト/ 3600秒に設定します。
グローバル構成:
crypto ipsec security-association lifetime [seconds|kilobytes] <value>
これにより、そのルーター上のすべてのIPSec SAの設定が変更されます。
グローバルなIPSecライフタイムを確認するには、show crypto ipsec security-association lifetime
次のコマンドを発行します。
TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
暗号マップ構成:
1つの接続のIPSecライフタイムを変更する必要があるが、ルーター上の他のすべての接続のライフタイムを変更する必要がない場合は、暗号マップエントリでライフタイムを構成できます。
crypto map <map-name> <sequence-number> ipsec-isakmp
set security-association lifetime [seconds|kilobytes] <value>
この個々の暗号マップの有効期間の値を確認するには、show cyrpto map
コマンドを使用します(わかりやすくするために出力を省略しています)。
TEST-1861#show crypto map
Crypto Map "test-map" 1 ipsec-isakmp
Peer = 67.221.X.X
Extended IP access list Crypto-list
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
Current peer: 67.221.X.X
Security association lifetime: 4608000 kilobytes/3600 seconds
(詳細については、 『Cisco IOSセキュリティ構成ガイド』、特にIPSecネットワークセキュリティの構成およびインターネットキーエクスチェンジセキュリティプロトコルの構成に関するセクションを参照してください。関連コマンドの詳細を説明しています。)