Leaflet
10-12
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
crypto isakmp policy group
crypto isakmp policy group
要为 IKE 策略指定 Diffie-Hellman 组,请在全局配置模式下使用 crypto isakmp policy group 命
令。要将 Diffie-Hellman 组标识符重置为默认值,请使用此命令的 no 形式。
crypto isakmp policy priority group {1 | 2 | 5}
no crypto isakmp policy priority group
语法说明
默认值 默认组策略是组 2。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 IKE 策略定义一组在 IKE 协商期间使用的参数。
有三个组选项:768 位(DH 组 1)、1024 位(DH 组 2)和 1536 位(DH 组 5)。1024 位和 1536
位 Diffie-hellman 组提供更强的安全性,但需要更多 CPU 时间来执行。
注意 思科 VPN 客户端 3.x 版或更高版本要求 ISAKMP 策略使用 DH 组 2。(如果配置 DH 组 1,思科
VPN 客户端无法连接。)
只有授权使用 VPN-3DES 的 ASA 提供 AES 支持。由于 AES 提供大型密钥,ISAKMP 协商应使用
Diffie-hellman (DH) 组 5,而不是组 1 或组 2。要配置组 5,请使用 crypto isakmp policy priority
group 5 命令。
group 1
指定在 IKE 策略中使用 768 位 Diffie-Hellman 组。此值为默认值。
group 2
指定在 IKE 策略中使用 1024 位 Diffie-Hellman 组 2。
group 5
指定在 IKE 策略中使用 1536 位 Diffie-Hellman 组 5。
priority
唯一标识 IIKE 策略并为该策略分配优先级。请使用一个介于 1 到 65,534 之
间的整数,1 表示最高优先级,65534 表示最低优先级。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是
——
版本 修改
7.0(1)
引入了 isakmp policy group 命令。
7.2.(1)
crypto isakmp policy group 命令取代了 isakmp policy group 命令。
8.0(4)
group 7 命令选项已废弃。尝试配置组 7 将生成一条错误消息,并改用
组 5。