Leaflet
10-38
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
crypto map set pfs
如果对等设备发起协商,并且本地配置指定 PFS,则对等设备必须执行 PFS 交换,否则协商会失
败。如果本地配置不指定组,ASA 将使用默认值(组 2)。如果本地配置指定组 2 或组 5,该组
必须是对等设备内容的一部分,否则协商会失败。
为使协商成功,必须在局域网至局域网隧道的两端都设置 PFS(无论是否有 Diffie-Hellman
组)。如有设置,这些组必须完全匹配。ASA 不接受对等设备的 PFS 提供的任何内容。
1536 位 Diffie-Hellman 主模数组(组 5)的安全性高于组 1 或组 2,但需要的处理时间比其他组长。
与思科 VPN 客户端交互时,ASA 不使用 PFS 值,而使用在第 1 阶段协商的值。
示例 以下示例在全局配置模式下输入,指定只要是为加密映射 mymap 10 协商新的安全关联,就应使
用 PFS:
ciscoasa(config)# crypto map mymap 10 ipsec-isakmp
ciscoasa(config)# crypto map mymap 10 set pfs group2
相关命令
命令 说明
clear isakmp sa
删除活动的 IKE 安全关联。
clear configure crypto map
清除所有加密映射的所有配置。
show running-config crypto map
显示加密映射配置。
tunnel-group
配置隧道组及其参数。