lifetime

マルチポイントSAのライフタイムを設定します。

refreshコマンド後に有効になるコマンドです。

IKEv2専用コマンド
V01.10(00)以降サポート

設定例1 マルチポイントSAのライフタイムをReKey開始時間(1200秒)、マルチポイントSA削除時間(60秒)とする

Router(config)#crypto ipsec group-security policy MPSA1
Router(config-gr-sec)#lifetime 1200 60


コマンド書式

lifetime <ReKey開始時間> <マルチポイントSA削除時間>


パラメータ

パラメータ 設定内容 設定範囲 省略時の値
ReKey開始時間 マルチポイントSA情報配布後、次回のReKeyを開始する時間(単位:秒)を設定します。 60〜946079940 省略不可
マルチポイントSA削除時間 クライアントがマルチポイントSAを削除する時間(単位:秒)を、ReKey開始予定時間からの差で指定します。クライアントはマルチポイントSA情報を受信してから、<ReKey開始時間>+<マルチポイントSA削除時間>秒後に削除します。 60〜946079940 省略不可


この設定を行わない場合

クライアントは、マルチポイントSA情報を受信してから3600秒後に削除します。
ReKey開始時間:3300秒
マルチポイントSA削除時間:300秒


設定での注意事項

マルチポイントSAサーバの冗長機能を有効にする場合、マルチポイントSAサーバ冗長Keepaliveメッセージの送信間隔※1と、マルチポイントSAサーバ冗長Keepaliveメッセージのタイムアウト時間※2の合計時間よりも長い時間をマルチポイントSA削除時間として設定したください。
合計時間よりもマルチポイントSA削除時間を短く設定してしまうと、冗長のMasterがダウンした際の切り替えが発生する前にマルチポイントSAがReKeyされず、ライフタイム満了時に一時的に通信ができなくなることがあります。

※1:ipsec group-security server ha keepalive-intervalコマンドを参照してください。
※2:ipsec group-security server ha keepalive-timeoutコマンドを参照してください。


下記の2つの設定が、ReKey開始時間 > (新OutboundマルチポイントSA登録時間 + 旧InboundマルチポイントSA削除時間)
となるように設定してください。

lifetime <ReKey開始時間> <マルチポイントSA削除時間>
rollover <新OutboundマルチポイントSA登録時間> <旧InboundマルチポイントSA削除時間>


設定モード

グループ鍵IPsec設定モード

トップページへ