Leaflet
10-37
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
crypto map set pfs
crypto map set pfs
在全局配置模式下,使用 crypto map set pfs 命令设置 IPsec 在请求为此加密映射条目建立新安全
关联时要求 PFS,或者设置 IPsec 在收到建立新安全关联的请求时要求 PFS。要指定 IPsec 不应要
求 PFS,请使用此命令的 no 形式。
crypto map map-name seq-num set pfs [group1 | group2 | group5 | group14 | group19 | group20
| group21 | group24]
no crypto map map-name seq-num set pfs [group1 | group2 | group5 | group14 | group19 |
group20 | group21 | group24]
语法说明
默认值 默认情况下 PFS 未设置。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 有了 PFS,每次协商新的安全关联时,就会发生新的 Diffie-Hellman 交换,这需要更多的处理时
间。PFS 会添加另一层安全保护,因为,如果一个密钥被攻击者破解,只有通过该密钥发送的数
据受到威胁。
在协商期间,此命令使 IPsec 在请求为加密映射条目建立新安全关联时要求 PFS。如果 set pfs 语
句未指定组,ASA 将发送默认值(组 2)。
group1
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 768 位 Diffie-Hellman
主模数组。
group2
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 1024 位
Diffie-Hellman 主模数组。
group5
指定 IPsec 在执行新的 Diffie-Hellman 交换时应使用 1536 位
Diffie-Hellman 主模数组。
map-name
指定加密映射集的名称。
seq-num
指定分配到加密映射条目的编号。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
此命令经过修改,添加了 Diffie-Hellman 组 7。
8.0(4)
group 7 命令选项已废弃。尝试配置组 7 将生成一条错误消息,并改用
组 5。
9.0(1)
增加了多情景模式支持。