Leaflet
9-52
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto dynamic-map set pfs
crypto dynamic-map set pfs
要设置 IPsec 在为此动态加密映射条目要求新的安全关联时要求 PFS 或在接收新安全关联请求时
要求 PFS,请在全局配置模式下使用 crypto dynamic-map set pfs 命令。要指定 IPsec 不应要求
PFS,请使用此命令的 no 形式。
crypto dynamic-map map-name map-index set pfs [group1 | group2 | group5 | group14 | group19
| group20 | group21 | group24]
no crypto dynamic-map map-name map-index set pfs[group1 | group2 | group5 | group14 |
group19 | group20 | group21 | group24]
语法说明
默认值 默认情况下,未设置 PFS。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 借助 PFS,每次协商新的安全关联时,就会发生新的 Diffie-Hellman 交换,这需要额外的处理时
间。PFS 会添加另一层安全保护,因为,如果一个密钥被攻击者破解,只有通过该密钥发送的数
据受到威胁。
group1
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 768 位 Diffie-Hellman
主模数组。
group2
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 1024 位
Diffie-Hellman 主模数组。
group5
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 1536 位
Diffie-Hellman 主模数组。
group14
指定要使用的
Diffie-Hellman 密钥交换组。
group19
指定要使用的 Diffie-Hellman 密钥交换组。
group20
指定要使用的 Diffie-Hellman 密钥交换组。
group21
指定要使用的 Diffie-Hellman 密钥交换组。
group24
指定要使用的 Diffie-Hellman 密钥交换组。
map-name
指定加密映射集的名称。
map-index
指定分配给加密映射条目的编号。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
此命令经过修改,添加了 Diffie-Hellman 组 7。
8.0(4)
group 7 命令选项已废弃。尝试配置组 7 将生成一条错误消息,并改用
组 5。
9.0(1)
增加了多情景模式支持。