Leaflet
9-66
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ikev2 cookie-challenge
crypto ikev2 cookie-challenge
要使 ASA 能够将 Cookie 质询发送到对等设备以响应 SA 启动数据包,请在全局配置模式下使用
crypto ikev2 cookie-challenge 命令。要禁用 Cookie 质询,请使用此命令的 no 形式:
crypto ikev2 cookie-challenge threshold percentage | always | never
no crypto ikev2 cookie-challenge threshold percentage | always | never
语法说明
默认值 没有默认行为或值。
使用指南 向对等设备进行 Cookie 质询可防止发生拒绝服务 (DoS) 攻击。当对等设备发送 SA 启动数据包并
且 ASA 发送其响应但对等设备不再响应时,攻击者发动 DoS 攻击。如果对等设备持续这样做,
ASA 上所有允许的 SA 请求会用尽,直到其停止响应。
使用 crypto ikev2 cookie-challenge 命令启用阈值百分比会限制开放 SA 协商的数量。例如,在使
用默认设置 50% 的情况下,当允许的 SA 的 50% 在协商中(开放)时,ASA 会对到达的任何额
外的 SA 启动数据包进行 Cookie 质询。对于具有 10000 个允许的 IKEv2 SA 的思科 ASA 5580,在
5000 个 SA 变为开放后,任何其他传入 SA 都要经过 Cookie 质询。
如果与 crypto kev2 limit max in-negotiation-sa 命令一起使用,则配置低于最大协商中阈值的
Cookie 质询阈值以进行有效交叉检查。
命令模式 下表展示可输入此命令的模式:
命令历史
示例 在以下示例中,Cookie 质询阈值设置为 30%:
ciscoasa(config)# crypto ikev2 cookie-challenge 30
threshold percentage
对于 ASA 允许的 SA 总数相对于协商中总数的百分比,该百分比会触
发所有将来的 SA 协商的 Cookie 质询。范围为 0 到 99%。默认为
50%。
always
始终对传入 SA 进行 Cookie 质询。
never
从不对传入 SA 进行 Cookie 质询。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是 • 是
—
版本 修改
8.4(1)
添加了此命令。
9.0(1)
增加了多情景模式支持。