IPSEC-SA/CHILD SAの生存時間を設定します。
IPSEC-SAの生存時間は、以下の2種類のパラメータで指定することができます。
CHILD SAは時間のパラメータのみ設定可能です。
IPsecでは、生存時間の満了時にSAを解放します。
これは、同じSAを使いつづけると暗号化の鍵を見破られる可能性が高くなり、安全な通信ができなくなるための対策としての機能です。
refreshコマンド後に有効になるコマンドです。
IKEv1/IKEv2共通コマンド
Router(config)#crypto map Tokyo 1
Router(config-crypto-map)#set security-association lifetime seconds 3600
Router(config)#crypto map Tokyo 1
Router(config-crypto-map)#set security-association lifetime kilobytes 1000
set security-association lifetime { seconds <生存時間> | kilobytes <生存中継データ量> }
パラメータ 設定内容 設定範囲 省略時の値 生存時間 IPSEC-SA/CHILD SAの生存時間を時間(単位:秒)で指定します。
ここで指定した時間経過後、IPSEC-SA/CHILD SAを解放します。60〜4294967295 省略不可 生存中継データ量 SA上で通信するデータ量(単位:キロバイト数)を指定します。
ここで指定したデータ量を通信した後、IPSEC-SA/CHILD SAを解放します。1000〜4294967295 省略不可
※ 時間とデータの両方を指定した場合は、時間が経過したもしくは指定したデータ量の通信が行なわれた場合(先に満了したタイミングで)に、IPSEC-SAを解放します。
※IKEv2 CHILD SAの生存時間に946080000秒(30年)より大きな値が設定された場合は、946080000秒として動作します。
生存時間は、600秒です。
バイト数での生存時間は存在しません。
SAを確立しようとしているVPNピアと、生存時間の設定が異なる場合は、次のようになります。
initiatorの場合 自装置の設定値を採用します。 responderの場合 IKEv1 自装置の設定値と相手からの提案された値を比較して、小さい方を採用します。 IKEv2 自装置の設定値を採用
VPNセレクタ設定モード