15.48.1 SA の寿命の設定

[書式]

• ipsec ike duration sa gateway_id second [kbytes] [rekey rekey] [forced-reduction=del_time]
• no ipsec ike duration sa gateway_id [second [kbytes] [rekey rekey] [forced-reduction=del_time]]

[設定値及び初期値]

• sa

  • [設定値] :

    設定値	説明
    ipsec-sa (もしくは child-sa)	IPsec SA (CHILD SA)
    isakmp-sa (もしくは ike-sa)	ISAKMP SA (IKE SA)

  • [初期値] : -
• gateway_id
  • [設定値] : セキュリティー・ゲートウェイの識別子
  • [初期値] : -
• second
  • [設定値] : 秒数 (300..691200)
  • [初期値] : 28800 秒
• kbytes
  • [設定値] :

    設定値	説明
    100..2147483647	キロ単位のバイト数 (RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34 以降)
    100..100000	キロ単位のバイト数 (上記以外)
    off	バイト寿命を設定しない (RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34 以降)

  • [初期値] :
    • 2000000 (RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34 以降)
    • - (上記以外)
• rekey : SA を更新するタイミング
  • [設定値] :

    設定値	説明
    70%-90%	パーセント
    off	更新しない (sa パラメーターで isakmp-sa (ike-sa) を指定したときのみ設定可能 )

  • [初期値] : 75%
• del_time
  • [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200)
  • [初期値] : -

[説明]

各 SA の寿命を設定する。

kbytes パラメーターを指定した場合には、 second パラメーターで指定した時間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。 kbytes パラメーターは sa パラメーターとして ipsec-sa (child-sa) を指定したときのみ有効である。SA の更新は kbytes パラメーターに設定したバイト数の 75％ を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新されたとき、古くなった既存の IPsec SA (CHILD SA) の寿命が 30 秒以上である場合は、寿命が 30 秒に短縮される。

rekey パラメーターは SA を更新するタイミングを決定する。例えば、 second パラメーターで 20000 を指定し、 rekey パラメーターで75%を指定した場合には、 SA を生成してから 15000 秒経過したときに新しい SA を生成する。 rekey パラメーターは second パラメーターに対する比率を表すもので、 kbytes パラメーターの値とは関係がない。

sa パラメーターで isakmp-sa (ike-sa) を指定したときに限り、rekey パラメーターで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がない限り、 ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。

その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。

• IKEv1

  始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。

  また、 ISAKMP SA に対する rekey パラメーターを off に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。

  1. IPsec SA よりも ISAKMP SA の寿命を短く設定する。
  2. ダングリング SA を許可する。すなわち、 ipsec ike restrict-dangling-sa コマンドの設定を off にする。

  RTX830 Rev.15.02.27 以降または、RTX1220 Rev.15.04.05以降、RTX1300、RTX5000 / RTX3500 Rev.14.00.34 以降が始動側になる場合は、最大で 2147483647 KB のバイト寿命値を相手側へ提案可能であるが、相手側機器が RTX830 Rev.15.02.27 以降および、RTX1220 Rev.15.04.05以降、RTX1300、RTX5000 / RTX3500 Rev.14.00.34 以降、NVR700W Rev.15.00.24 以降、vRX Amazon EC2 版、vRX VMware ESXi 版以外の場合は 2 GB を超えるバイト寿命値を正しく認識できないため、 RTX830 Rev.15.02.27 以降および、RTX1220 Rev.15.04.05以降、RTX1300、RTX5000 / RTX3500 Rev.14.00.34 以降、NVR700W Rev.15.00.24 以降、vRX Amazon EC2 版、vRX VMware ESXi 版以外の機種と接続する場合は必ず 2 GB 以下に設定する必要がある。

• IKEv2

  IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独立して管理するものとなっている。従って、確立された SA には、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ゲートウェイの方が SA 更新のタイミングが早ければ、 SA はその分早く更新されることになる。

forced-reduction オプションに時間を指定すると、SA を更新した際に古くなった既存の SA の寿命を強制的に設定値に変更し、消滅までの時間を早めることができる。ただし、IPsec SA (CHILD SA) で kbytes パラメーターにバイト寿命値を指定している場合は、del_time パラメーターで 31 秒以上の値を設定していても、短縮される値は 30 秒となる。また、IKEv1 では寿命が設定値よりも短い場合は変更しない。

ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合は、ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。

なお、このコマンドを設定しても、すでに存在する SA の寿命値は変化せず、新しく作られる SA にのみ、新しい寿命値が適用される。

[ノート]

forced-reduction オプションは以下の機種およびリビジョンで使用可能。
RTX830 は Rev.15.02.27 以降。
RTX1220 は Rev.15.04.05 以降。
RTX1300 は Rev.23.00.05 以降。
RTX3510 は すべてのリビジョン。
RTX5000、RTX3500 は Rev.14.00.34 以降。

[拡張ライセンス対応]

拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

• gateway_id

  ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
  	1本	2本	3本	4本
  YSL-VPN-EX1	100	-	-	-
  YSL-VPN-EX3	1500	2000	2500	3000

[適用モデル]