Confusion de la durée de vie de Cisco ISAKMP et IPSec SA

Je suis toujours confus au sujet de la configuration de durée de vie d'association de sécurité sur Cisco IOS.

Sur la plupart des matériels gérés par le Web, il est clair quelle durée de vie SA est pour la phase I et laquelle est pour la phase II.

Sur Cisco, cependant, vous avez cette crypto isakmp policy <NUM>section où vous spécifiez la durée de vie de SA comme lifetime <NUM>.

Vous devez également définir la durée de vie de SA dans la crypto map <NAME> <NUM> IPsec-isakmpsection comme set security-association lifetime seconds <NUM>.

Pourriez-vous, les gars, m'éclairer s'il vous plaît et mettre fin à ma confusion enfin, s'il vous plaît? Laquelle est la phase I et laquelle est la phase II?

J'ai été confus par le passé, j'ai donc essayé de vous l'expliquer ci-dessous.

Phase I à vie:

La durée de vie de la phase I sur les routeurs Cisco IOS est gérée par la stratégie ISAKMP globale. Cependant, ce n'est pas un champ obligatoire, si vous n'entrez pas de valeur, le routeur passera par défaut à 86400 secondes.

crypto isakmp policy 1
  lifetime <value>

Pour vérifier la durée de vie d'une stratégie spécifique, vous pouvez exécuter la commande show crypto isakmp policy:

TEST-1861#show crypto isakmp policy

Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #5 (1536 bit)
        lifetime:               86400 seconds, no volume limit

Par Cisco en ce qui concerne cette commande show, (ceci est uniquement pour la durée de vie isakmp): "Notez que bien que la sortie affiche" aucune limite de volume "pour les durées de vie, vous ne pouvez configurer qu'une durée de vie (telle que 86 400 secondes); volume -les durées de vie illimitées ne sont pas configurables ".

Phase II à vie:

La phase II à vie peut être gérée sur un routeur Cisco IOS de deux manières: globalement ou localement sur la carte cryptographique elle-même. Comme pour la durée de vie ISAKMP, aucun de ces champs n'est obligatoire. Si vous ne les configurez pas, le routeur par défaut la durée de vie IPSec à 4608000 kilo-octets / 3600 secondes.

Configuration globale:

crypto ipsec security-association lifetime [seconds|kilobytes] <value>

Cela modifie le paramètre pour toutes les SA IPSec sur ce routeur.

Pour vérifier la durée de vie globale IPSec, exécutez la show crypto ipsec security-association lifetimecommande:

TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Configuration de Crypto Map:

Si vous devez modifier la durée de vie IPSec pour une connexion, mais pas pour toutes les autres sur le routeur, vous pouvez configurer la durée de vie sur l'entrée Crypto Map:

crypto map <map-name> <sequence-number> ipsec-isakmp
  set security-association lifetime [seconds|kilobytes] <value>

Pour vérifier cette valeur de durée de vie Crypto Map individuelle, utilisez la show cyrpto mapcommande (sortie snipée pour plus de clarté):

TEST-1861#show crypto map 
Crypto Map "test-map" 1 ipsec-isakmp
        Peer = 67.221.X.X
        Extended IP access list Crypto-list
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
            access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
        Current peer: 67.221.X.X
        Security association lifetime: 4608000 kilobytes/3600 seconds

(Si vous voulez plus d'informations, le Guide de configuration de la sécurité Cisco IOS , en particulier les sections sur la configuration de la sécurité réseau IPSec et la configuration du protocole de sécurité d'échange de clés Internet , allez plus en détail sur les commandes pertinentes.)