/etc/isakmpd.conf 文件

可以在 /etc/isakmpd.conf 文件中配置 isakmpd 守护程序的选项。

以下是 /etc/isakmpd.conf 文件中的可用选项。

日志配置

语法: none | error | isakmp_events | information

此选项确定要记录的信息量。 然后设置级别。 IKE 守护程序使用此选项来指定日志记录级别，其中级别具有以下含义:

无

不记录。 这是缺省情况。

错误

记录协议错误或应用程序编程接口 (API) 错误。

isakmp_events

记录 IKE 协议事件或错误。 当调试问题时使用此级别。

information

记录协议信息和实施信息。

未识别的 IP 地址协商

语法： MAIN_MODE_REQUIRES_IP= YES | NO

可以将此选项设置为 YES 或 NO。 将此选项设置为 YES 时，本地 IKE 数据库必须包含两个 phase-1 隧道端点的 IP 地址。 您必须为主机指定 YES 以接受进入的主方式隧道。 该 IP 地址可以是主标识，也可以是与一些其他标识类型关联的可选 IP 地址。

将该选项设置为 NO 以接受进入的主方式连接。 将该选项设置为 NO 时，即使 IKE 数据库未指定阶段 1 端点的 IP 地址，主机仍可能接受该连接。 但是，为了主机接受该连接，您必须使用基于证书的认证。 这使带有动态指定的 IP 地址的主机能向机器启动主方式隧道。

如果您不指定此参数，那么缺省值为 NO。

SOCKS4 服务器配置

语法: mnemonic = value

SOCKS4_PORTNUM 选项是可选的。 如果您不指定它，那么将使用缺省的 SOCKS 服务器端口值 1080。 当 SOCKS 服务器与 HTTP 服务器通信时，将使用该端口值。

mNeumonic 和 value 参数可以是以下值:

• SOCKS4_SERVER= 指定服务器名称
• SOCKS4_PORTNUM= 指定 SOCKS 服务器端口号
• SOCKS4_USERID= 用户标识

LDAP 服务器配置

语法: mnemonic = value

其中 mnemonic 和 value 可以是以下值：

• LDAP_SERVER= 指定 LDAP 服务器名称
• LDAP_VERSION= LDAP 服务器的版本（可以是 2 或 3）
• LDAP_SERVERPORT= LDAP 服务器端口号
• LDAP_SEARCHTIME= 客户机搜索超时值

CRL 获取顺序

语法： CRL_FETCH_ORDER= protocol#, protocol#

其中 protocol# 可以是 HTTP 或 LDAP。

该选项定义是先查询 HTTP 还是 LDAP 服务器（当同时配置了这两个服务器时）。 CRL_FETCH_ORDER 选项是可选的。 缺省获取顺序是首先查询 HTTP，然后是 LDAP（取决于是否同时配置了 HTTP 和 LDAP 服务器）。

IKEv1 和 IKEv2 端口规范

语法: v1=port-natport,v2=port-natport

此字符串指定 isakmpd 守护程序 (IKEv1）和 ikev2d 守护程序 (IKEv2）所使用的端口。 iked 守护程序 (IKE 消息代理守护程序）将查找此条目，并在 isakmpd 守护程序和 ikev2d 守护程序各自的端口上启动它们的守护程序。

活动性或死性对等检测 (DPD) 配置

语法:LIVENESS_CHK_INTERVAL=number_of_seconds

您可以在 IKEv2 IPsec 配置的 LIVENESS_CHK_INTERVAL 选项中指定值 (以秒计)。 活动性时间间隔 (也称为死对等检测 (DPD)) 用于通过定期发送保持活动消息来监视端点或对等节点的运行状况。 活动时间间隔是每条保持活动消息之间的持续时间。 缺省情况下，此选项处于禁用状态。

当为 LIVENESS_CHK_INTERVAL 选项设置值时， ikev2d 守护程序使用此选项来确定何时必须与对等节点传输或交换保持活动消息以确认对等节点的可用性。 为节点配置活动性时，仅当该节点充当新 IKE 安全性关联 (SA) 的发起方时，活动性才有效。 如果发起方节点未接收到对发送到对等节点的保持活动消息的任何响应，那么发起方节点将以 8 ， 16,32,64,128 和 256 秒的时间间隔再次传输保持活动消息。 如果发起方节点即使在多次尝试后也未收到任何响应，那么会将对等节点声明为已失效。

语法: LIVENESS_CHK_RETRIES=1|2|3|4|5|6

(可选) 您还可以在 IKEv2 IPsec 配置的 LIVENESS_CHK_RETRIES 选项中指定重试次数。 发起方节点在接收来自对等节点的响应之前按指定次数发送保持活动消息。 重新发送保持活动消息的持续时间从 8 秒开始，并以指数方式增加到 256 秒。 可以指定范围 1-6 中的 LIVENESS_CHK_RETRIES 选项。 如果 /etc/isakmpd.conf 文件中缺少此选项，那么将设置缺省值 6。

安全性关联 (SA) 空闲超时配置

语法: SA_IDLE_TIMEOUT=number_of_seconds

在 AIX IPsec 配置中，在两个对等节点之间创建安全关联 (SA) 时，系统资源用于维护 SA 的状态并监视 SA 运行状况。 如果与 SA 关联的对等节点长时间处于空闲状态，这意味着不会通过 IPsec 隧道传递入站或出站数据流量，那么系统资源也会长期处于空闲状态。

SA_IDLE_TIMEOUT 选项标识空闲的 SA。 如果 SA 在指定的持续时间内处于空闲状态，那么将删除 SA 以回收系统资源。 SA_IDLE_TIMEOUT 选项仅适用于 IKEv2 配置。 使用 SA_IDLE_TIMEOUT 选项设置 SA 空闲超时时间间隔时，将为特定 SA 创建计时器，以监视 SA 活动并监视通过此 SA 发送或接收的数据流量 (以秒计)。 如果在指定的超时时间间隔内未通过 SA 发送或接收任何数据流量，那么将删除 SA ，并向关联的对等节点发送参考消息 (删除有效内容) 以请求从该对等节点删除 SA。 缺省情况下，此选项处于禁用状态。

重新传输尝试配置

语法: RETRANSMISSION_ATTEMPT=1|2|3|4|5|6|7

(可选) 可以在 RETRANSMISSION_ATTEMPT 选项中为发起或响应节点指定重试次数，以在该节点废弃请求或消息之前发送高速缓存的请求或响应消息。 指定此选项时，将根据您指定的重试次数，以 2 ， 4 ， 8 ， 16,32,64 和 64 秒的时间间隔重新传输消息或请求。 如果未指定此选项，或者如果指定了无效值，那么将设置缺省值 8 ，并使用缺省重新传输时间间隔 16,32,64,128,128,256,512 和 512 秒。