Cisco ISAKMP 및 IPSec SA 수명 혼란

13

Cisco IOS의 보안 연결 수명 구성에 대해 항상 혼란스러워합니다.

대부분의 웹 관리 하드웨어에서는 1 단계에 사용되는 SA 수명과 2 단계에 사용되는 SA 수명이 분명합니다.

그러나 Cisco에서는 crypto isakmp policy <NUM>SA 수명을로 지정하는 이 섹션이 있습니다 lifetime <NUM>.

또한 crypto map <NAME> <NUM> IPsec-isakmp같은 섹션 에서 SA 수명을 설정해야합니다 set security-association lifetime seconds <NUM>.

여러분, 제발 나를 깨우 치고 마침내 내 혼란을 끝내시겠습니까? 어느 것이 1 단계이고 어느 것이 2 단계입니까?

vpn  ipsec 
알렉스
소스

답변:

16

나는 과거에 이것으로 혼란스러워서 아래에서 당신을 위해 그것을 시도했습니다.

1 단계 수명 :

Cisco IOS 라우터의 1 단계 수명은 글로벌 ISAKMP 정책에 의해 관리됩니다. 그러나이 필드는 필수 필드가 아니며 값을 입력하지 않으면 라우터는 기본적으로 86400 초로 설정됩니다.

crypto isakmp policy 1
  lifetime <value>

특정 정책의 수명을 확인하려면 다음 명령을 발행하십시오 show crypto isakmp policy.

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

해당 show 명령과 관련하여 Cisco에 따르면 (isakmp 수명에만 해당) : "출력에 수명 동안"볼륨 제한 없음 "이 표시되지만 시간 수명 (예 : 86,400 초) 만 구성 할 수 있습니다. -제한 수명은 구성 할 수 없습니다 ".

단계 II 수명 :

Phase II Lifetime은 두 가지 방식으로 Cisco IOS 라우터에서 관리 할 수 ​​있습니다 . 암호화 맵 자체에서 전 세계적으로 또는 로컬로. ISAKMP 수명과 마찬가지로 이들 중 어느 것도 필수 필드가 아닙니다. 구성하지 않으면 라우터의 IPSec 수명은 기본적으로 4608000 킬로바이트 / 3600 초로 설정됩니다.

글로벌 구성 :

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

그러면 해당 라우터의 모든 IPSec SA에 대한 설정이 변경됩니다.

글로벌 IPSec 수명을 확인하려면 다음 show crypto ipsec security-association lifetime명령을 실행하십시오.

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

암호화 맵 구성 :

하나의 연결에 대해 IPSec 수명을 변경해야하지만 라우터의 다른 모든 연결에 대해서는 IPSec 수명을 변경하지 않는 경우 암호화 맵 항목에서 수명을 구성 할 수 있습니다.

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

이 개별 Crypto Map 수명 값을 확인하려면 다음 show cyrpto map명령을 사용하십시오 (명확성을 위해 스니핑 된 출력).

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(자세한 정보를 원하면 Cisco IOS 보안 구성 안내서 , 특히 IPSec 네트워크 보안 구성인터넷 키 교환 보안 프로토콜 구성 섹션에서 관련 명령에 대해 자세히 설명합니다.)

브렛 리 킨스
소스
와우 감사합니다!!! 그것은 정말로 나를 위해 몇 가지를 분명히했습니다. SA 수명에 불일치가있는 경우 ISAKMP SA 또는 IPsec SA가 한 가지 더 궁금합니다.
Alex
@Alex 연결을 생성하는 두 피어가 일치하지 않거나 라우터 자체의 ISAKMP와 IPSec 타이머가 일치하지 않습니까?
Brett Lykins 2016 년
나는 두 동료 사이
Alex
1
짧은 대답, 예. 특정 상황이 충족되면 SA가 형성 됩니다 . 더 긴 대답, 이것은 완전히 다른 질문이며, 별도로 질문하는 것이 좋습니다. 더 자세한 답변을 기꺼이 드리겠습니다. :)
Brett Lykins
감사합니다! 나는 실제로 며칠 안에 그것을 요청할 것이라고 생각합니다 :)
Alex
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.