Leaflet
9-84
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ipsec security-association lifetime
要更改全局定时生命期,请使用 crypto ipsec security-association lifetime seconds 命令。定时生
命期导致安全关联在经过指定的秒数后超时。
要更改全局流量生命期,请使用 crypto ipsec security-association lifetime kilobytes 命令。使用流
量生命期时,在安全关联密钥保护指定量的流量(以千字节为单位)后,安全关联会超时。
较短的生命期增加了成功恢复密钥攻击的难度,因为攻击者在同一密钥下对较少的数据加密。然
而,较短的生命期需要更多的 CPU 处理时间来建立新的安全关联。
安全关联(和相应的密钥)在经过一定秒数后或一定量的流量(以千字节为单位)后过期,以两
者中较早发生者为准。
示例 以下示例指定安全关联的全局定时生命期:
ciscoasa(config)# crypto ipsec-security association lifetime seconds 240
ciscoasa(config)#
相关命令
命令 说明
clear configure crypto map
清除所有 IPsec 配置(即全局生命期和转换集)。
show running-config crypto map
显示所有加密映射的所有配置。