Leaflet
9-82
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ipsec ikev2 sa-strength-enforcement
crypto ipsec ikev2 sa-strength-enforcement
确保 IKEv2 加密密码的强度高于其子 IPsec SA 的加密密码强度。要禁用此功能,请使用此命令的
no 形式。
crypto ipsec ikev2 sa-strength-enforcement
no crypto ipsec ikev2 sa-strength-enforcement
默认值 默认情况下启用实施。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 当子 SA 比其父 IKEv2 连接的加密密码强度高时,安全性不会增加。它是配置 IPsec 以防止这种
情况出现的良好安全实践。强度实施设置仅影响加密密码;它不修改完整性或密钥交换算法。
IKEv2 系统比较每个子 SA 选择的加密密码的相对强度,如下所示:
启用之后,验证子 SA 的已配置加密密码强度不高于父 IKEv2 加密密码强度。如果发现高于父
IKEv2 加密密码强度,子 SA 将更新以使用父密码。如果未找到兼容密码,则子 SA 协商中止。系
统日志和调试消息会记录这些操作。
支持的加密密码按强度从最高到最低的顺序在下面列出。出于此检查目的,同一行中的密码具有
同等强度。
• AES-GCM-256、AES-CBC-256
• AES-GCM-192、AES-CBC-192
• AES-GCM-128、AES-CBC-128
• 3DES
• DES
• AES-GMAC(任意大小)、NULL
相关命令
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
9.1(2)
引入了此命令。
命令 说明
show running-config ipsec
启用时,显示加密 IPsec IKEv2 SA 强度实施。