背景信息
IKE SA的生存周期用于IKE SA的定时更新,降低IKE SA被破解的风险,有利于安全性。
IKE SA的生存周期有两种类型:-
硬生存周期(硬超时时间):是IKE SA的生命周期截止时间。
两端设备协商时,实际生效的硬生存周期为两端设备上配置的硬生存周期中较小的一个。
-
软生存周期(软超时时间):是从旧IKE SA建立到生命周期截止前启动协商新IKE SA的时间。
缺省情况下,软生存周期取值如表5-11所示。 表5-11 软生存周期取值IKE协议类型 描述 IKEv1 实际生效的硬生存周期的7/10 IKEv2 实际生效的硬生存周期的7/10
IKE SA快要失效前,IKE将为对等体协商新的IKE SA。在新的IKE SA协商好之后,对等体立即采用新的IKE SA保护IPSec通信。如果有业务流,则旧IKE SA立即被清除;如果无业务流量,则旧IKE SA在10秒或硬生存周期到期后被清除。
改变生存周期,不会影响已经建立的IKE SA,而是会在以后的IKE协商中用于建立新的IKE SA。
操作步骤
-
执行命令system-view,进入系统视图。
-
执行命令ike proposal proposal-number,进入IKE安全提议视图。
-
执行命令sa duration time-value,配置IKE SA的硬生存周期。
缺省情况下,IKE SA的生存周期为86400秒。
如果硬生存周期到期,IKE SA将自动更新。因为IKE协商需要进行DH计算,需要经过较长的时间,为使IKE SA的更新不影响安全通信,建议设置生存周期大于600秒。
转载自:https://support.huawei.com/enterprise/zh/doc/EDOC1000154747/b91dbd4f
标签:10,周期,生存,协商,华为,IKE,SA 来源: https://www.cnblogs.com/dier-gaohe/p/14513585.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。