SA（安全聯(lián)盟）生存周期只對(duì)IKE動(dòng)態(tài)協(xié)商建立的SA有效，對(duì)手工方式建立的SA沒(méi)有限制，因?yàn)槭止し绞浇⒌腟A永遠(yuǎn)不會(huì)失效。這里所配置的SA生存周期又分IKE SA生存周期和IPSec SA生存周期。

　　IKE SA的生存周期是從舊IKE SA建立到生命周期截止的時(shí)間。在新的IKE SA還沒(méi)有協(xié)商完之前，依然使用舊的IKE SA。在新的IKE SA建立后，系統(tǒng)立即使用新IKE SA取代舊IKE SA，而舊IKE SA在硬生存周期到期后被自動(dòng)清除。但改變生存周期，不會(huì)影響已經(jīng)建立的IKE SA，而是會(huì)在以后的IKE協(xié)商中用于建立新的IKE SA。具體的IKE SA生存周期配置步驟見(jiàn)表1。

　　表1  配置IKE SA生存周期的步驟

　　配置IPSec SA生存周期可使IPSec SA實(shí)時(shí)更新，降低IPSec SA被破解的風(fēng)險(xiǎn)，提高安全性。如果生存周期到達(dá)指定的時(shí)間或指定的流量，IPSec SA就會(huì)失效。如果同時(shí)為IPSec SA配置了這兩種生存周期，無(wú)論哪一種類型的生存周期先到期，IPSec SA都會(huì)失效。在IPSec SA快要失效前，IKE將為對(duì)等體協(xié)商新的IPSec SA。在新的IPSec SA協(xié)商好之后，對(duì)等體立即采用新的IPSec SA保護(hù)IPSec通信。

　　IPSec SA生存周期可以基于全局配置，也可以基于安全策略配置。如果沒(méi)有單獨(dú)為某安全策略設(shè)置IPSec SA生存周期，則采用設(shè)定的全局生存周期。如果同時(shí)配置了基于全局和基于安全策略的IPSec SA生存周期，基于安全策略的IPSec SA生存周期生效。IPSec SA生存周期具體配置步驟見(jiàn)表2。

　　表2  配置安全聯(lián)盟生存周期的步驟