マルチポイントSAのライフタイムを設定します。
refreshコマンド後に有効になるコマンドです。
IKEv2専用コマンド
V01.10(00)以降サポート
Router(config)#crypto ipsec group-security policy MPSA1
Router(config-gr-sec)#lifetime 1200 60
lifetime <ReKey開始時間> <マルチポイントSA削除時間>
パラメータ 設定内容 設定範囲 省略時の値 ReKey開始時間 マルチポイントSA情報配布後、次回のReKeyを開始する時間(単位:秒)を設定します。 60〜946079940 省略不可 マルチポイントSA削除時間 クライアントがマルチポイントSAを削除する時間(単位:秒)を、ReKey開始予定時間からの差で指定します。クライアントはマルチポイントSA情報を受信してから、<ReKey開始時間>+<マルチポイントSA削除時間>秒後に削除します。 60〜946079940 省略不可
クライアントは、マルチポイントSA情報を受信してから3600秒後に削除します。
ReKey開始時間:3300秒
マルチポイントSA削除時間:300秒
マルチポイントSAサーバの冗長機能を有効にする場合、マルチポイントSAサーバ冗長Keepaliveメッセージの送信間隔※1と、マルチポイントSAサーバ冗長Keepaliveメッセージのタイムアウト時間※2の合計時間よりも長い時間をマルチポイントSA削除時間として設定したください。
合計時間よりもマルチポイントSA削除時間を短く設定してしまうと、冗長のMasterがダウンした際の切り替えが発生する前にマルチポイントSAがReKeyされず、ライフタイム満了時に一時的に通信ができなくなることがあります。
※1:ipsec group-security server ha keepalive-intervalコマンドを参照してください。
※2:ipsec group-security server ha keepalive-timeoutコマンドを参照してください。
下記の2つの設定が、ReKey開始時間 > (新OutboundマルチポイントSA登録時間 + 旧InboundマルチポイントSA削除時間)
となるように設定してください。
lifetime <ReKey開始時間> <マルチポイントSA削除時間>
rollover <新OutboundマルチポイントSA登録時間> <旧InboundマルチポイントSA削除時間>
グループ鍵IPsec設定モード