配置IKE SA的生存周期（华为）

背景信息

IKE SA的生存周期用于IKE SA的定时更新，降低IKE SA被破解的风险，有利于安全性。

IKE SA的生存周期有两种类型：

• 硬生存周期（硬超时时间）：是IKE SA的生命周期截止时间。

  两端设备协商时，实际生效的硬生存周期为两端设备上配置的硬生存周期中较小的一个。

• 软生存周期（软超时时间）：是从旧IKE SA建立到生命周期截止前启动协商新IKE SA的时间。

  缺省情况下，软生存周期取值如表5-11所示。

  表5-11  软生存周期取值

  IKE协议类型	描述
  IKEv1	实际生效的硬生存周期的7/10
  IKEv2	实际生效的硬生存周期的7/10

IKE SA快要失效前，IKE将为对等体协商新的IKE SA。在新的IKE SA协商好之后，对等体立即采用新的IKE SA保护IPSec通信。如果有业务流，则旧IKE SA立即被清除；如果无业务流量，则旧IKE SA在10秒或硬生存周期到期后被清除。

改变生存周期，不会影响已经建立的IKE SA，而是会在以后的IKE协商中用于建立新的IKE SA。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令ike proposal proposal-number，进入IKE安全提议视图。

3. 执行命令sa duration time-value，配置IKE SA的硬生存周期。

   缺省情况下，IKE SA的生存周期为86400秒。

   如果硬生存周期到期，IKE SA将自动更新。因为IKE协商需要进行DH计算，需要经过较长的时间，为使IKE SA的更新不影响安全通信，建议设置生存周期大于600秒。

转载自：https://support.huawei.com/enterprise/zh/doc/EDOC1000154747/b91dbd4f