Leaflet
9-45
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto dynamic-map set pfs
crypto dynamic-map set pfs
要指定动态加密映射集,请在全局配置模式下使用 crypto map dynamic-map set pfs 命令。要删
除指定的动态映射加密映射集,请使用此命令的 no 形式。
请参阅 crypto map set pfs 命令了解有关此命令的更多信息。
crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5]
no crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5]
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 crypto dynamic-map 命令,例如 match address、set peer 和 set pfs 都用 crypto map 命令进行描
述。如果对等设备发起协商,并且本地配置指定 PFS,则对等设备必须执行 PFS 交换,否则协商
会失败。如果本地配置不指定组,ASA 将使用默认值(组 2)。如果本地配置不指定 PFS,它将
接受对等设备提供的任何 PFS。
与思科 VPN 客户端交互时,ASA 不使用 PFS 值,而使用在第 1 阶段协商的值。
dynamic-map-name
指定动态加密映射集的名称。
dynamic-seq-num
指定动态加密映射条目对应的序列号。
group1
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 768 位 Diffie-Hellman
主模数组。
group2
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 1024
位 Diffie-Hellman
主模数组。
group5
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 1536 位 Diffie-Hellman
主模数组。
set pfs
配置 IPsec 以在请求此动态加密映射条目的新安全关联时要求完全前向
保密 (PFS),或在接收新安全关联的请求时要求 PFS。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是 • 是
—
版本 修改
7.0(1)
此命令经过修改,添加了 Diffie-Hellman 组 7。
8.0(4)
group 7 命令选项已废弃。尝试配置组 7 将生成一条错误消息,并改用
组 5。
9.0(1)
增加了多情景模式支持。