Confundindo a vida útil do Cisco ISAKMP e IPSec SA

13

Sempre fico confuso sobre a configuração vitalícia da associação de segurança no Cisco IOS.

Na maioria dos hardwares gerenciados pela Web, é claro qual o tempo de vida do SA para a Fase I e qual é para a Fase II.

No entanto, na Cisco, você tem esta crypto isakmp policy <NUM>seção na qual especifica a vida útil do SA como lifetime <NUM>.

Você também deve definir a vida útil da SA na crypto map <NAME> <NUM> IPsec-isakmpseção como set security-association lifetime seconds <NUM>.

Vocês poderiam me esclarecer por favor e finalmente acabar com minha confusão, por favor? Qual é a Fase I e qual é a Fase II?

Alex
fonte

Respostas:

16

Eu fiquei confuso com isso no passado, então tentei explicar isso para você abaixo.

Tempo de vida da fase I:

A vida útil da fase I nos roteadores Cisco IOS é gerenciada pela política global ISAKMP. No entanto, este não é um campo obrigatório. Se você não inserir um valor, o roteador assumirá o padrão 86400 segundos.

crypto isakmp policy 1
  lifetime <value>

Para verificar a vida útil de uma política específica, você pode emitir o comando show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

De acordo com a Cisco em relação a esse comando show, (isso é apenas para a vida útil do isakmp): "Observe que, embora a saída mostre" sem limite de volume "durante a vida útil, você pode configurar apenas uma vida útil (como 86.400 segundos); volume a duração limitada não é configurável ".


Tempo de vida da Fase II:

O tempo de vida da fase II pode ser gerenciado em um roteador Cisco IOS de duas maneiras: global ou localmente no próprio mapa de criptografia. Como na vida útil do ISAKMP, nenhum desses campos é obrigatório. Se você não os configurar, o roteador usará como padrão a vida útil do IPSec em 4608000 kilobytes / 3600 segundos.

Configuração global:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Isso altera a configuração de todas as SAs IPSec desse roteador.

Para verificar a vida útil do IPSec global, emita o show crypto ipsec security-association lifetimecomando:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Configuração do mapa de criptografia:

Se você precisar alterar a vida útil do IPSec para uma conexão, mas não para todas as outras no roteador, poderá configurar a vida útil na entrada Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Para verificar esse valor da vida útil do Crypto Map individual, use o show cyrpto mapcomando (saída capturada para maior clareza):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Se você deseja obter mais informações, o Guia de configuração de segurança do Cisco IOS , especificamente as seções Configurando a segurança de rede IPSec e Configurando o protocolo de segurança do Internet Key Exchange , entra em mais detalhes sobre os comandos relevantes.)

Brett Lykins
fonte
Uau, obrigado !!! Isso realmente esclareceu algumas coisas para mim. Tenho mais uma pergunta: o ISAKMP SA ou o IPsec SA será formado se houver uma incompatibilidade na vida útil do SA?
Alex
@Alex, você quer dizer uma incompatibilidade entre os dois pares que estão criando a conexão ou uma incompatibilidade entre os temporizadores ISAKMP e IPSec no próprio roteador?
Brett Lykins #
Quero dizer entre dois pares
Alex
1
Resposta curta, sim, a SA será formada, se um conjunto específico de outras circunstâncias for atendido . Resposta mais longa, essa é uma pergunta totalmente diferente, e eu recomendo fazer separadamente, e eu ficaria feliz em fornecer uma resposta mais detalhada para você. :)
Brett Lykins
Obrigado! Eu acho que realmente vai pedir que dentro de alguns dias :)
Alex