Answers:
过去我对此一直感到困惑,因此我尝试在下面为您介绍一下。
Cisco IOS路由器的第一阶段生存期由全局ISAKMP策略管理。但是,这不是必填字段,如果您不输入值,则路由器将默认为86400秒。
crypto isakmp policy 1
lifetime <value>
要验证特定策略的生命周期,可以发出以下命令show crypto isakmp policy:
TEST-1861#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
对于该show命令,对于每个Cisco,(仅用于isakmp生命周期):“请注意,尽管输出显示生命周期为“无音量限制”,但您只能配置时间生命周期(例如86,400秒); -limit生存期不可配置”。
可以通过两种方式在Cisco IOS路由器上管理第二阶段生命周期:全局或本地在加密映射上。与ISAKMP生存期一样,这些都不是必填字段。如果未配置它们,则路由器会将IPSec生存期默认为4608000千字节/ 3600秒。
全局配置:
crypto ipsec security-association lifetime [seconds|kilobytes] <value>
这将更改该路由器上所有IPSec SA的设置。
要验证全局IPSec生存期,请发出以下show crypto ipsec security-association lifetime命令:
TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
加密映射配置:
如果您需要更改一个连接的IPSec生存期,而不需要更改路由器上所有其他连接的IPSec生存期,则可以在“加密映射”条目上配置生存期:
crypto map <map-name> <sequence-number> ipsec-isakmp
set security-association lifetime [seconds|kilobytes] <value>
要验证该单独的“加密映射”生存期值,请使用以下show cyrpto map命令(为清楚起见,将输出剪裁为):
TEST-1861#show crypto map
Crypto Map "test-map" 1 ipsec-isakmp
Peer = 67.221.X.X
Extended IP access list Crypto-list
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
Current peer: 67.221.X.X
Security association lifetime: 4608000 kilobytes/3600 seconds
(如果需要更多信息,请参阅《Cisco IOS安全配置指南》,特别是有关配置IPSec网络安全性和配置Internet密钥交换安全协议的部分,以获取有关相关命令的更多详细信息。)