Cisco ISAKMPとIPSec SAのライフタイムが混乱している


13

Cisco IOSでのセキュリティアソシエーションのライフタイム設定について常に混乱しています。

ほとんどのWeb管理ハードウェアでは、フェーズIのSAライフタイムとフェーズIIのSAライフタイムが明確です。

ただし、シスコcrypto isakmp policy <NUM>では、SAライフタイムをとして指定するこのセクションがありますlifetime <NUM>

また、などのcrypto map <NAME> <NUM> IPsec-isakmpセクションでSAライフタイムを設定する必要がありますset security-association lifetime seconds <NUM>

皆さん、私を啓発して、最後に混乱を終わらせてください。フェーズIとフェーズIIのどちらですか?

回答:


16

私は過去にこれに混乱してきましたので、私はあなたのために以下でそれを解こうとしました。

フェーズIの寿命:

Cisco IOSルータのフェーズIライフタイムは、グローバルISAKMPポリシーによって管理されます。ただし、これは必須フィールドではありません。値を入力しない場合、ルーターはデフォルトで86400秒になります。

crypto isakmp policy 1
  lifetime <value>

特定のポリシーの有効期間を確認するには、次のコマンドを発行できますshow crypto isakmp policy

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

そのshowコマンドに関してCiscoごとに(これはisakmpライフタイムのみです):「ライフタイムの出力には「ボリューム制限なし」が表示されますが、タイムライフタイム(86,400秒など)のみを設定できます。 -limitライフタイムは設定できません」。


フェーズIIの寿命:

フェーズIIのライフタイムは、Cisco IOSルータで2つの方法で管理できます。暗号マップ自体でグローバルにまたはローカルに。ISAKMPライフタイムと同様に、これらはどちらも必須フィールドではありません。それらを設定しない場合、ルータはデフォルトでIPSecライフタイムを4608000キロバイト/ 3600秒に設定します。

グローバル構成:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

これにより、そのルーター上のすべてのIPSec SAの設定が変更されます。

グローバルなIPSecライフタイムを確認するには、show crypto ipsec security-association lifetime次のコマンドを発行します。

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

暗号マップ構成:

1つの接続のIPSecライフタイムを変更する必要があるが、ルーター上の他のすべての接続のライフタイムを変更する必要がない場合は、暗号マップエントリでライフタイムを構成できます。

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

この個々の暗号マップの有効期間の値を確認するには、show cyrpto mapコマンドを使用します(わかりやすくするために出力を省略しています)。

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(詳細については、 『Cisco IOSセキュリティ構成ガイド』、特にIPSecネットワークセキュリティの構成およびインターネットキーエクスチェンジセキュリティプロトコルの構成に関するセクションを参照してください。関連コマンドの詳細を説明しています。)


わあ、ありがとう!!! それは本当に私にとっていくつかのことを明確にしました。もう1つ質問があります。SAライフタイムに不一致がある場合、ISAKMP SAまたはIPsec SAが形成されますか?
アレックス

@Alex接続を作成する2つのピア間の不一致、またはルーター自体のISAKMPとIPSecタイマー間の不一致を意味しますか?
ブレットライキンズ14年

2人のピア間
アレックス

1
短い答え、はい、他の特定の状況が満たされた場合、SAが形成されます。長い答えですが、これはまったく別の質問です。個別に質問することをお勧めします。より詳細な答えを喜んで差し上げます。:)
ブレットライキンズ14年

ありがとうございました!私は実際に数日のうちにそれを尋ねると思います:)
アレックスアレックス14年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.