Leaflet
15-17
思科 ASA 系列命令参考,A 至 H 命令
第 15 章 failover 至 fallback 命令
failover ipsec pre-shared-key
failover ipsec pre-shared-key
要在设备间的故障切换和状态链路上建立 IPsec LAN 到 LAN 隧道以加密所有故障切换通信,请在
全局配置模式下使用 failover ipsec pre-shared-key 命令。要删除密钥,请使用此命令的 no 形式。
failover ipsec pre-shared-key key
no failover ipsec pre-shared-key
语法说明
命令默认值 0(未加密)为默认值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 除非加密故障切换通信,否则通过故障切换和状态故障切换链路发送的所有信息均以明文发送。
如果使用 ASA 端接 VPN 隧道,则此信息包括用于建立隧道的任何用户名、密码和预共享密钥。
以明文发送此敏感数据可能会带来严重的安全风险。如果使用 ASA 端接 VPN 通道,建议加密故
障切换通信。
建议在传统 failover key 方法的基础上使用 failover ipsec pre-shared-key 方法加密。
不能同时使用 IPsec 加密和传统 failover key 加密。如果同时配置两种方法,将使用 IPsec。但
是,如果使用主口令(请参阅 password encryption aes 和 key config-key password-encryption 命
令),必须先使用 no failover key 命令删除故障切换密钥,然后再配置 IPsec 加密。
注意 故障切换 LAN 到 LAN 隧道不计入 IPsec(其他 VPN)许可证。
0
指定未加密的密码。此为默认值。
8
指定加密的密码。如果使用主口令(请参阅 password encryption aes 和
key config-key password-encryption 命令),则在配置中加密密钥。如
果从配置复制(例如,从 more system:running-config 输出复制),则
指定使用 8 关键字加密密钥。
注 failover ipsec pre-shared-key 在 show running-config 输出中显示
为 **** ;这种遮掩密钥无法复制。
key
在两个设备上均指定的
密钥
,被 IKEv2 用来建立隧道,最长为 128 个
字符。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是
—
• 是
版本 修改
9.1(2)
我们引入了此命令。