SA（安全聯(lián)盟）生存周期只對IKE動態(tài)協(xié)商建立的SA有效，對手工方式建立的SA沒有限制，因為手工方式建立的SA永遠(yuǎn)不會失效。這里所配置的SA生存周期又分IKE SA生存周期和IPSec SA生存周期。

　　IKE SA的生存周期是從舊IKE SA建立到生命周期截止的時間。在新的IKE SA還沒有協(xié)商完之前，依然使用舊的IKE SA。在新的IKE SA建立后，系統(tǒng)立即使用新IKE SA取代舊IKE SA，而舊IKE SA在硬生存周期到期后被自動清除。但改變生存周期，不會影響已經(jīng)建立的IKE SA，而是會在以后的IKE協(xié)商中用于建立新的IKE SA。具體的IKE SA生存周期配置步驟見表1。

　　表1  配置IKE SA生存周期的步驟

　　配置IPSec SA生存周期可使IPSec SA實時更新，降低IPSec SA被破解的風(fēng)險，提高安全性。如果生存周期到達指定的時間或指定的流量，IPSec SA就會失效。如果同時為IPSec SA配置了這兩種生存周期，無論哪一種類型的生存周期先到期，IPSec SA都會失效。在IPSec SA快要失效前，IKE將為對等體協(xié)商新的IPSec SA。在新的IPSec SA協(xié)商好之后，對等體立即采用新的IPSec SA保護IPSec通信。

　　IPSec SA生存周期可以基于全局配置，也可以基于安全策略配置。如果沒有單獨為某安全策略設(shè)置IPSec SA生存周期，則采用設(shè)定的全局生存周期。如果同時配置了基于全局和基于安全策略的IPSec SA生存周期，基于安全策略的IPSec SA生存周期生效。IPSec SA生存周期具體配置步驟見表2。

　　表2  配置安全聯(lián)盟生存周期的步驟