सिस्को ISAKMP और IPSec SA जीवन भर भ्रमित हो रहा है

मैं हमेशा सिस्को IOS पर सुरक्षा संघ आजीवन विन्यास के बारे में उलझन में हूं।

अधिकांश वेब-प्रबंधित हार्डवेयर पर यह स्पष्ट है कि कौन सा SA जीवनकाल प्रथम चरण के लिए है और जो द्वितीय चरण के लिए है।

सिस्को पर हालांकि आपको यह crypto isakmp policy <NUM>खंड मिला है जहां आप एसए जीवनकाल को निर्दिष्ट करते हैं lifetime <NUM>।

आपको SA crypto map <NAME> <NUM> IPsec-isakmpजैसे जीवनकाल को भी सेट करना होगा set security-association lifetime seconds <NUM>।

क्या आप लोग मुझे खुश कर सकते हैं और आखिर में मेरी उलझन खत्म कर सकते हैं, कृपया? कौन सा चरण I है और दूसरा चरण कौन सा है?

मैं अतीत में इससे भ्रमित हो चुका हूं, इसलिए मैंने आपके लिए इसे नीचे तोड़ने की कोशिश की है।

चरण I लाइफटाइम:

सिस्को IOS राउटर पर चरण I जीवनकाल वैश्विक ISAKMP नीति द्वारा प्रबंधित किया जाता है। हालांकि यह एक अनिवार्य क्षेत्र नहीं है, यदि आप एक मान दर्ज नहीं करते हैं, तो राउटर 86400 सेकंड के लिए डिफ़ॉल्ट होगा।

crypto isakmp policy 1
  lifetime <value>

एक विशिष्ट नीति के जीवनकाल को सत्यापित करने के लिए, आप आदेश जारी कर सकते हैं show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

उस शो कमांड के संबंध में प्रति सिस्को, (यह केवल isakmp जीवनकाल के लिए है): "ध्यान दें कि हालांकि आउटपुट जीवनकाल के लिए" कोई वॉल्यूम सीमा नहीं दिखाता है, आप केवल एक जीवनकाल (जैसे 86,400 सेकंड); - प्रारंभिक जीवन काल विन्यास योग्य नहीं है "।

द्वितीय चरण का जीवनकाल:

द्वितीय चरण के लाइफटाइम को सिस्को IOS राउटर पर दो तरीकों से प्रबंधित किया जा सकता है: विश्व स्तर पर या स्थानीय रूप से क्रिप्टो मैप पर। ISAKMP जीवनकाल के साथ, इनमें से कोई भी अनिवार्य क्षेत्र नहीं हैं। यदि आप उन्हें कॉन्फ़िगर नहीं करते हैं, तो राउटर IPSec जीवनकाल को 4608000 किलोबाइट / 3600 सेकंड तक डिफॉल्ट करता है।

वैश्विक विन्यास:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

यह उस रूटर पर सभी IPSec SAs के लिए सेटिंग बदल देता है।

वैश्विक IPSec जीवनकाल सत्यापित करने के लिए, show crypto ipsec security-association lifetimeआदेश जारी करें :

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

क्रिप्टो मानचित्र विन्यास:

यदि आपको एक कनेक्शन के लिए IPSec जीवनकाल बदलने की आवश्यकता है, लेकिन राउटर पर अन्य सभी के लिए नहीं है, तो आप क्रिप्टो मैप प्रविष्टि पर जीवनकाल को कॉन्फ़िगर कर सकते हैं:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

इस व्यक्तिगत क्रिप्टो मानचित्र के जीवनकाल मूल्य को सत्यापित करने के लिए, show cyrpto mapकमांड का उपयोग करें (स्पष्टता के लिए छीनी गई आउटपुट):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(यदि आप अधिक जानकारी चाहते हैं, तो सिस्को IOS सुरक्षा कॉन्फ़िगरेशन गाइड , विशेष रूप से IPSec नेटवर्क सुरक्षा को कॉन्फ़िगर करने और इंटरनेट कुंजी विनिमय सुरक्षा प्रोटोकॉल को कॉन्फ़िगर करने वाले अनुभाग , संबंधित आदेशों पर अधिक विस्तार से जाते हैं।)