Leaflet
9-68
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ikev2 limit max-in-negotiation-sa
crypto ikev2 limit max-in-negotiation-sa
要限制 ASA 上 IKEv2 协商中(开放)SA 的数量,请在全局配置模式下使用
crypto ikev2 limit max in-negotiation-sa 命令。要禁用对开放 SA 数量的限制,请使用此命令的
no 形式:
crypto ikev2 limit max in-negotiation-sa threshold percentage
no crypto ikev2 limit max in-negotiation-sa threshold percentage
语法说明
默认值 默认设置为禁用。ASA 不限制开放 SA 的数量。
使用指南 crypto ikev2 limit-max-in-negotiation-sa 命令限制可随时协商的 SA 的最大数量。如果与 crypto
ikev2 cookie-challenge 命令一起使用,则配置低于此限制的 Cookie 质询阈值以进行有效的交叉
检查。
不同于用 Cookie 对传入连接的 crypto ikev2 cookie-challenge 命令进行质询,crypto kev2 limit max
in-negotiation-sa 命令阻止进一步连接进行协商以保护当前连接并防止 Cookie 质询功能可能无法阻
止的内存和 / 或 CPU 攻击。
命令模式 下表展示可输入此命令的模式:
命令历史
示例 以下示例将协商中的 IKEv2 连接数限制为允许的最大 IKEv2 连接数的 70%:
ciscoasa(config)# crypto ikev2 limit max in-negotiation-sa 70
threshold percentage
对于 ASA 允许的 SA 总数相对于协商中允许的 SA 总数(开放)的百
分比。在达到阈值后,其他连接均会遭到拒绝。范围为 1% 至 100%。
默认为 100%。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是 • 是
—
版本 修改
8.4(1)
引入了此命令。
9.0(1)
增加了多情景模式支持。