SA（安全联盟）生存周期只对IKE动态协商建立的SA有效，对手工方式建立的SA没有限制，因为手工方式建立的SA永远不会失效。这里所配置的SA生存周期又分IKE SA生存周期和IPSec SA生存周期。

　　IKE SA的生存周期是从旧IKE SA建立到生命周期截止的时间。在新的IKE SA还没有协商完之前，依然使用旧的IKE SA。在新的IKE SA建立后，系统立即使用新IKE SA取代旧IKE SA，而旧IKE SA在硬生存周期到期后被自动清除。但改变生存周期，不会影响已经建立的IKE SA，而是会在以后的IKE协商中用于建立新的IKE SA。具体的IKE SA生存周期配置步骤见表1。

　　表1  配置IKE SA生存周期的步骤

　　配置IPSec SA生存周期可使IPSec SA实时更新，降低IPSec SA被破解的风险，提高安全性。如果生存周期到达指定的时间或指定的流量，IPSec SA就会失效。如果同时为IPSec SA配置了这两种生存周期，无论哪一种类型的生存周期先到期，IPSec SA都会失效。在IPSec SA快要失效前，IKE将为对等体协商新的IPSec SA。在新的IPSec SA协商好之后，对等体立即采用新的IPSec SA保护IPSec通信。

　　IPSec SA生存周期可以基于全局配置，也可以基于安全策略配置。如果没有单独为某安全策略设置IPSec SA生存周期，则采用设定的全局生存周期。如果同时配置了基于全局和基于安全策略的IPSec SA生存周期，基于安全策略的IPSec SA生存周期生效。IPSec SA生存周期具体配置步骤见表2。

　　表2  配置安全联盟生存周期的步骤