防火墙的IPSec 策略视图下, sa trigger-mode auto————这条命令是什么意思,为什么一台防火墙可以配,另外一台防火墙,输入后报错
(0)
最佳答案
这种情况先搞清楚2端设备型号和软件版本以及登录账号权限吧
结合日志或命令输出定位吧
命令是用于用来配置触发建立IPsec SA的模式。是可选配置
缺省是traffic-based
auto:自动触发模式,完成IPsec的基本配置后设备自动触发协商建立IPsec SA。
traffic-based:流量触发模式,当存在符合IPsec安全策略条件的数据流时才会触发IPSec SA协商。
(0)
版本问题,可能有的设备不支持。
sa trigger-mode命令用来配置触发建立IPsec SA的模式。
undo sa trigger-mode命令用来恢复缺省情况。
【缺省情况】
触发建立IPSec SA的模式为流量触发。
【参数】
auto:自动触发模式,完成IPsec的基本配置后设备自动触发协商建立IPsec SA。
traffic-based:流量触发模式,当存在符合IPsec安全策略条件的数据流时才会触发IPSec SA协商。
【使用指导】
· 此功能只适用于IKE协商方式的IPsec安全策略。
· 自动触发模式下,无论是否有流量需要保护,都会在配置条件满足的情况下触发建立IPsec SA,这在一定程度上占用了系统资源;而流量触发模式只在有流量需要保护时才会触发建立IPsec SA,相对于自动模式,系统资源占用率较低,但IPsec SA成功建立之前的流量不会受到保护。
· IPsec隧道两端的设备上并不要求配置一致的触发建立IPsec SA的模式。
· 修改模式,对当前已经存在的IPsec SA无影响。如果已经配置了auto模式,IPsec SA建立完成后,建议修改为traffic-based模式。
【举例】
# 配置序号为10的IPsec安全策略policy1触发建立IPsec SA的模式为自动触发。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] sa trigger-mode auto
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论