Leaflet
10-16
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
crypto isakmp policy lifetime
crypto isakmp policy lifetime
要指定 IKE 安全关联到期之前的生命期,请在全局配置模式下使用 crypto isakmp policy lifetime
命令。要将安全关联生命期重置为默认值 86,400 秒(一天),请使用此命令的 no 形式。
crypto isakmp policy priority lifetime seconds
no crypto isakmp policy priority lifetime
语法说明
默认值 默认值为 86,400 秒(一天)。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 IKE 开始协商时,会寻求使其自身对话的安全参数达成一致。然后每个对等设备的安全关联都会
参考达成一致的参数。对等设备会保留安全关联,直到生命期到期。如果对等设备未提出生命
期,您可以指定无限生命期。安全关联到期之前,后续 IKE 协商可以使用它,这可以在设置新
IPsec 安全关联时节省时间。在当前安全关联到期之前,对等设备将协商新的安全关联。
生命期越长,ASA 设置将来 IPsec 安全关联的速度就越快。加密强度大到足以确保安全性,无需
使用非常快的再生密钥时间(大约每隔几分钟再生一次)。建议接受默认值。
注意 如果 IKE 安全关联设置为无限生命期,但对等设备提出有限生命期,则使用与对等设备协商的有
限生命期。
示例 以下示例在全局配置模式下输入,将优先级编号为 40 的 IKE 策略的 IKE 安全关联生命期设置为
50,400 秒(14 小时):
ciscoasa(config)# crypto isakmp policy 40 lifetime 50400
priority
唯一标识 IKE 策略并为该策略分配优先级。请使用一个介于 1 到 65,534 之
间的整数,1 表示最高优先级,65534 表示最低优先级。
seconds
指定每个安全关联在到期之前应存在多少秒。要提出有限生命期,请使用介
于 120 到 2147483647 之间的整数秒。要提出无限生命期,请使用 0 秒。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是
——
版本 修改
7.0(1)
引入了 isakmp policy lifetime 命令。
7.2.(1)
crypto isakmp policy lifetime 命令取代了 isakmp policy lifetime 命令。