Leaflet
9-60
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ikev1 limit max-in-negotiation-sa
crypto ikev1 limit max-in-negotiation-sa
要限制 ASA 上的 IKEv2 协商中的(开放)SA 数量,请在全局配置模式下使用
crypto ikev1 limit max-in-negotiation-sa 命令。要禁用对开放 SA 数量的限制,请使用此命令的
no 形式:
crypto ikev1 limit max-in-negotiation-sa threshold percentage
no crypto ikev1 limit max-in-negotiation-sa threshold percentage
语法说明
默认值 默认设置为禁用。ASA 不限制开放 SA 的数量。
使用指南 crypto ikev1 limit-max-in-negotiation-sa 命令限制可随时协商的 SA 的最大数量。
crypto kev2 limit max in-negotiation-sa 命令阻止其他连接协商以保护当前连接,并防止 Cookie
质询功能可能无法拦截的内存和 / 或 CPU 攻击。
命令模式 下表展示可输入此命令的模式:
命令历史
示例 以下示例将协商中的 IKEv1 连接数限制为允许的最大 IKEv1 连接数的 70%:
ciscoasa(config)# crypto ikev1 limit max in-negotiation-sa 70
相关命令
threshold percentage
对于 ASA 允许的 SA 总数相对于协商中允许的 SA 总数(开放)的百
分比。在达到阈值后,其他连接均会遭到拒绝。范围为 1% 至 100%。
默认为 100%。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是 • 是
—
版本 修改
9.1(2)
引入了此命令。
命令 说明
crypto ikev1 limit
max-sa
限制 ASA 上的 IKEv1 连接数。
clear configure crypto
isakmp
清除所有 ISAKMP 配置。