Eu fiquei confuso com isso no passado, então tentei explicar isso para você abaixo.
Tempo de vida da fase I:
A vida útil da fase I nos roteadores Cisco IOS é gerenciada pela política global ISAKMP. No entanto, este não é um campo obrigatório. Se você não inserir um valor, o roteador assumirá o padrão 86400 segundos.
crypto isakmp policy 1
lifetime <value>
Para verificar a vida útil de uma política específica, você pode emitir o comando show crypto isakmp policy
:
TEST-1861#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit
De acordo com a Cisco em relação a esse comando show, (isso é apenas para a vida útil do isakmp): "Observe que, embora a saída mostre" sem limite de volume "durante a vida útil, você pode configurar apenas uma vida útil (como 86.400 segundos); volume a duração limitada não é configurável ".
Tempo de vida da Fase II:
O tempo de vida da fase II pode ser gerenciado em um roteador Cisco IOS de duas maneiras: global ou localmente no próprio mapa de criptografia. Como na vida útil do ISAKMP, nenhum desses campos é obrigatório. Se você não os configurar, o roteador usará como padrão a vida útil do IPSec em 4608000 kilobytes / 3600 segundos.
Configuração global:
crypto ipsec security-association lifetime [seconds|kilobytes] <value>
Isso altera a configuração de todas as SAs IPSec desse roteador.
Para verificar a vida útil do IPSec global, emita o show crypto ipsec security-association lifetime
comando:
TEST-1861#show crypto ipsec security-association lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
Configuração do mapa de criptografia:
Se você precisar alterar a vida útil do IPSec para uma conexão, mas não para todas as outras no roteador, poderá configurar a vida útil na entrada Crypto Map:
crypto map <map-name> <sequence-number> ipsec-isakmp
set security-association lifetime [seconds|kilobytes] <value>
Para verificar esse valor da vida útil do Crypto Map individual, use o show cyrpto map
comando (saída capturada para maior clareza):
TEST-1861#show crypto map
Crypto Map "test-map" 1 ipsec-isakmp
Peer = 67.221.X.X
Extended IP access list Crypto-list
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list Crypto-list permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.255.255
Current peer: 67.221.X.X
Security association lifetime: 4608000 kilobytes/3600 seconds
(Se você deseja obter mais informações, o Guia de configuração de segurança do Cisco IOS , especificamente as seções Configurando a segurança de rede IPSec e Configurando o protocolo de segurança do Internet Key Exchange , entra em mais detalhes sobre os comandos relevantes.)