Leaflet
9-85
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto ipsec security-association replay
crypto ipsec security-association replay
要配置 IPsec 反重播窗口大小,请在全局配置模式下使用 crypto ipsec security-association replay
命令。要将窗口大小重置为默认值,请使用此命令的 no 形式。
crypto ipsec security-association replay {window-size n | disable}
no crypto ipsec security-association replay {window-size n | disable}
语法说明
默认值 默认窗口大小是 64。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 Cisco IPsec 身份验证通过为每个加密数据包分配唯一序列号来提供反重播保护,防止攻击者复制
加密数据包。(安全关联反重播是一项安全服务,接收方可用于拒绝旧的或重复的数据包以免受
重播攻击。)解密程序核对以前看到的序列号。加密程序以升序分配序列号。解密程序会记住看
到过的最高序列号值 X。N 是窗口大小,而且,解密程序也记得是否看到过序列号为 X-N+1 到 X
的数据包。序列号 X-N 的任何数据包将被丢弃。当前,N 设置为 64,因此只有 64 个数据包可以
由解密程序跟踪。
但通常 64 个数据包的窗口大小是不够的。例如,QoS 优先向高优先级数据包提供,这可能会使
某些低优先级数据包被丢弃,即使它们可能是解密程序收到的最后 64 个数据包之一;此事件可
以生成警告系统日志消息,这是虚假警告。crypto ipsec security-association replay 命令可以扩展
窗口大小,使解密程序跟踪 64 个以上的数据包。
提高反重播窗口大小对吞吐量和安全性没有影响。由于每个传入 IPsec SA 仅需额外的 128 个字节
来存储解密程序上的序列号,对内存的影响可以忽略。我们建议您使用完整的 1024 窗口大小以
避免将来出现反重播问题。
示例 以下示例指定安全关联的反重播窗口大小:
ciscoasa(config)# crypto ipsec security-association replay window-size 1024
ciscoasa(config)#
n
设置窗口大小。值可以是 64、128、256、512 或者 1024。默认值为 64。
disable
禁用反重播检查。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是 • 是
—
版本 修改
7.2(4)/8.0(4)
引入了此命令。
9.0(1)
增加了多情景模式支持。