मैं अतीत में इससे भ्रमित हो चुका हूं, इसलिए मैंने आपके लिए इसे नीचे तोड़ने की कोशिश की है।
चरण I लाइफटाइम:
सिस्को IOS राउटर पर चरण I जीवनकाल वैश्विक ISAKMP नीति द्वारा प्रबंधित किया जाता है। हालांकि यह एक अनिवार्य क्षेत्र नहीं है, यदि आप एक मान दर्ज नहीं करते हैं, तो राउटर 86400 सेकंड के लिए डिफ़ॉल्ट होगा।
crypto isakmp policy 1
lifetime <value>
एक विशिष्ट नीति के जीवनकाल को सत्यापित करने के लिए, आप आदेश जारी कर सकते हैं show crypto isakmp policy
:
TEST-1861#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
उस शो कमांड के संबंध में प्रति सिस्को, (यह केवल isakmp जीवनकाल के लिए है): "ध्यान दें कि हालांकि आउटपुट जीवनकाल के लिए" कोई वॉल्यूम सीमा नहीं दिखाता है, आप केवल एक जीवनकाल (जैसे 86,400 सेकंड); - प्रारंभिक जीवन काल विन्यास योग्य नहीं है "।
द्वितीय चरण का जीवनकाल:
द्वितीय चरण के लाइफटाइम को सिस्को IOS राउटर पर दो तरीकों से प्रबंधित किया जा सकता है: विश्व स्तर पर या स्थानीय रूप से क्रिप्टो मैप पर। ISAKMP जीवनकाल के साथ, इनमें से कोई भी अनिवार्य क्षेत्र नहीं हैं। यदि आप उन्हें कॉन्फ़िगर नहीं करते हैं, तो राउटर IPSec जीवनकाल को 4608000 किलोबाइट / 3600 सेकंड तक डिफॉल्ट करता है।
वैश्विक विन्यास:
crypto ipsec security-association lifetime [seconds|kilobytes] <value>
यह उस रूटर पर सभी IPSec SAs के लिए सेटिंग बदल देता है।
वैश्विक IPSec जीवनकाल सत्यापित करने के लिए, show crypto ipsec security-association lifetime
आदेश जारी करें :
TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
क्रिप्टो मानचित्र विन्यास:
यदि आपको एक कनेक्शन के लिए IPSec जीवनकाल बदलने की आवश्यकता है, लेकिन राउटर पर अन्य सभी के लिए नहीं है, तो आप क्रिप्टो मैप प्रविष्टि पर जीवनकाल को कॉन्फ़िगर कर सकते हैं:
crypto map <map-name> <sequence-number> ipsec-isakmp
set security-association lifetime [seconds|kilobytes] <value>
इस व्यक्तिगत क्रिप्टो मानचित्र के जीवनकाल मूल्य को सत्यापित करने के लिए, show cyrpto map
कमांड का उपयोग करें (स्पष्टता के लिए छीनी गई आउटपुट):
TEST-1861#show crypto map
Crypto Map "test-map" 1 ipsec-isakmp
Peer = 67.221.X.X
Extended IP access list Crypto-list
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
Current peer: 67.221.X.X
Security association lifetime: 4608000 kilobytes/3600 seconds
(यदि आप अधिक जानकारी चाहते हैं, तो सिस्को IOS सुरक्षा कॉन्फ़िगरेशन गाइड , विशेष रूप से IPSec नेटवर्क सुरक्षा को कॉन्फ़िगर करने और इंटरनेट कुंजी विनिमय सुरक्षा प्रोटोकॉल को कॉन्फ़िगर करने वाले अनुभाग , संबंधित आदेशों पर अधिक विस्तार से जाते हैं।)