我总是对 Cisco IOS 上的安全关联生存期配置感到困惑。
在大多数 Web 管理的硬件上,很清楚哪个 SA 生命周期用于阶段 I,哪个用于阶段 II。
但是,在 Cisco 上,您在此crypto isakmp policy <NUM>部分中将 SA 生存期指定为lifetime <NUM>。
您还必须在crypto map <NAME> <NUM> IPsec-isakmp像set security-association lifetime seconds <NUM>.
伙计们,请你们赐教并结束我的困惑好吗?哪一个是第一阶段,哪一个是第二阶段?
过去我一直对此感到困惑,所以我试图在下面为您分解。
Cisco IOS 路由器的第一阶段生命周期由全局 ISAKMP 策略管理。然而,这不是必填字段,如果您不输入值,路由器将默认为 86400 秒。
crypto isakmp policy 1
lifetime <value>
要验证特定策略的生命周期,您可以发出以下命令show crypto isakmp policy:
TEST-1861#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
每个 Cisco 关于该 show 命令,(这仅适用于 isakmp 生命周期):“请注意,虽然输出显示生命周期的“无容量限制”,但您只能配置时间生命周期(例如 86,400 秒);容量-limit 生命周期不可配置”。
可以通过两种方式在 Cisco IOS 路由器上管理 Phase II Lifetime:全局或本地在密码映射本身上。与 ISAKMP 生存期一样,这些都不是必填字段。如果不配置它们,路由器默认 IPSec 生存期为 4608000 KB/3600 秒。
全局配置:
crypto ipsec security-association lifetime [seconds|kilobytes] <value>
这会更改该路由器上所有 IPSec SA 的设置。
要验证全局 IPSec 生存期,请发出以下show crypto ipsec security-association lifetime命令:
TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
加密地图配置:
如果您需要更改一个连接的 IPSec 生存期,而不是路由器上所有其他连接的 IPSec 生存期,您可以在 Crypto Map 条目上配置生存期:
crypto map <map-name> <sequence-number> ipsec-isakmp
set security-association lifetime [seconds|kilobytes] <value>
要验证这个单独的 Crypto Map 生命周期值,请使用以下show cyrpto map命令(为清晰起见,已截断输出):
TEST-1861#show crypto map
Crypto Map "test-map" 1 ipsec-isakmp
Peer = 67.221.X.X
Extended IP access list Crypto-list
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
Current peer: 67.221.X.X
Security association lifetime: 4608000 kilobytes/3600 seconds
(如果您想了解更多信息,请参阅Cisco IOS 安全配置指南,特别是有关配置 IPSec 网络安全和配置 Internet 密钥交换安全协议的部分,详细了解相关命令。)