dh group14
dh group
dh group
dh group
86400秒
“SA生存周期(秒)设置第一阶段协商出的SA的生存周期。默认值为86400秒。 LocalId作为IPsec VPN网关的标识,用于第一阶段的协商
-
生存周期只对IKE动态协商建立的IPSec SA有效,对手工方式建立的IPSec SA没有限制,即手工建立的IPSec SA永远不会失效。
-
改变IPSec SA的生存周期,不会影响已经建立的IPSec SA,但是在以后的协商中会用于建立新的IPSec SA。
当以IKE动态协商方式建立SA时,配置SA生存周期能使SA实时更新,降低SA被破解的风险,提高安全性。
衡量生存周期有两种方式:基于时间的生存周期和基于流量的生存周期。
- 基于时间的生存周期是从安全联盟建立开始,此安全联盟存活的时间。
- 基于流量的生存周期是此安全联盟允许处理的最大流量。
生存周期又有两种类型:
-
硬生存周期:是IPSec SA的生命周期截止时间。
两端设备协商时,实际生效的硬生存周期为两端设备上配置的硬生存周期中较小的一个。
-
软生存周期:是从旧IPSec SA建立到生命周期截止前启动协商新IPSec SA的时间。
