配置IKE SA的生存周期（華為）

背景信息

IKE SA的生存周期用於IKE SA的定時更新，降低IKE SA被破解的風險，有利於安全性。

IKE SA的生存周期有兩種類型：

• 硬生存周期（硬超時時間）：是IKE SA的生命周期截止時間。

  兩端設備協商時，實際生效的硬生存周期為兩端設備上配置的硬生存周期中較小的一個。

• 軟生存周期（軟超時時間）：是從舊IKE SA建立到生命周期截止前啟動協商新IKE SA的時間。

  缺省情況下，軟生存周期取值如表5-11所示。

  表5-11  軟生存周期取值

  IKE協議類型	描述
  IKEv1	實際生效的硬生存周期的7/10
  IKEv2	實際生效的硬生存周期的7/10

IKE SA快要失效前，IKE將為對等體協商新的IKE SA。在新的IKE SA協商好之后，對等體立即采用新的IKE SA保護IPSec通信。如果有業務流，則舊IKE SA立即被清除；如果無業務流量，則舊IKE SA在10秒或硬生存周期到期后被清除。

改變生存周期，不會影響已經建立的IKE SA，而是會在以后的IKE協商中用於建立新的IKE SA。

操作步驟

1. 執行命令system-view，進入系統視圖。

2. 執行命令ike proposal proposal-number，進入IKE安全提議視圖。

3. 執行命令sa duration time-value，配置IKE SA的硬生存周期。

   缺省情況下，IKE SA的生存周期為86400秒。

   如果硬生存周期到期，IKE SA將自動更新。因為IKE協商需要進行DH計算，需要經過較長的時間，為使IKE SA的更新不影響安全通信，建議設置生存周期大於600秒。

轉載自：https://support.huawei.com/enterprise/zh/doc/EDOC1000154747/b91dbd4f