Leaflet
17-6
思科 ASA 系列命令参考,A 至 H 命令
第 17 章 gateway 至 hw-module module shutdown 命令
group
group
要在 IKEv2 安全关联 (SA) 中为 AnyConnect IPsec 连接指定 Diffie-Hellman 组,请在 ikev2 策略配
置模式下使用 group 命令。要删除命令并使用默认设置,请使用此命令的 no 形式:
group {1 | 2 | 5 | 14 | 19 | 20 | 21 | 24}
no group {1 | 2 | 5 | 14 | 19 | 20 | 21 | 24}
语法说明
默认值 默认 Diffie-Hellman 组是组 2。
使用指南 IKEv2 SA 是在第 1 阶段中使用的密钥,用于启用 IKEv2 对等设备以在第 2 阶段中进行安全通信。
在输入 crypto ikev2 policy 命令后,您可以使用 group 命令来设置 SA Diffie-Hellman 组。ASA 和
AnyConnect 客户端使用组标识符获取共享密钥而无需相互传输。Diffie-Hellman 组号越低,则其
执行所需的 CPU 时间越少。Diffie-Hellman 组号越高,则安全性越高。
当 AnyConnect 客户端在非 FIPS 模式下运行时,ASA 支持 Diffie-Hellman 组 1、2 和 5。在 FIPS
模式下,它支持组 2 和 5。因此,如果您将 ASA 配置为
仅
使用组 1,则在 FIPS 模式下
AnyConnect 客户端将无法连接。
命令模式 下表展示可输入此命令的模式:
命令历史
1
指定 768 位 Diffie-Hellman 组 1(在 FIPS 模式下不支持)。
2
指定 1024 位 Diffie-Hellman 组 2。
5
指定 1536 位 Diffie-Hellman 组 5。
14
选择 ECDH 组作为 IKEv2 DH 密钥交换组。
19
选择多个 ECDH 组作为 IKEv2 DH 密钥交换组。
20
选择多个 ECDH 组作为 IKEv2 DH 密钥交换组。
21
选择多个 ECDH 组作为 IKEv2 DH 密钥交换组。
24
选择多个 ECDH 组作为 IKEv2 DH 密钥交换组。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
Ikev2 策略配置
• 是
—
• 是
——
版本 修改
8.4(1)
添加了此命令。
9.0(1)
增加了选择 ECDH 组作为 IKEv2 DH 密钥交换组的功能。