13.35.1 SA の寿命の設定

[書式]

ipsec ike duration sa gateway_id second [kbytes] [rekey rekey]
no ipsec ike duration sa gateway_id [second [kbytes] [rekey rekey]]

[設定値及び初期値]

sa
- [設定値] :
  
  設定値説明
  
  ipsec-sa (もしくはchild-sa) IPsec SA (CHILD SA)
  
  isakmp-sa (もしくはike-sa) ISAKMP SA (IKE SA)
- [初期値] : -
gateway_id
- [設定値] : セキュリティ・ゲートウェイの識別子
- [初期値] : -
second
- [設定値] : 秒数 (300..691200)
- [初期値] : 28800 秒
kbytes
- [設定値] : キロ単位のバイト数 (100..100000)
- [初期値] : -

設定値	説明
ipsec-sa (もしくはchild-sa)	IPsec SA (CHILD SA)
isakmp-sa (もしくはike-sa)	ISAKMP SA (IKE SA)

rekey : SA を更新するタイミング

[設定値] :

設定値	説明
70%-90%	パーセント
off	更新しない (`sa` パラメータで isakmp-sa (ike-sa) を指定したときのみ設定可能 )

[初期値] : 75%

[説明]

各 SA の寿命を設定する。

kbytes パラメータを指定した場合には、 second パラメータで指定した時間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。 kbytes パラメータはSAパラメータとして ipsec-sa (child-sa) を指定したときのみ有効である。SA の更新は kbytes パラメータに設定したバイト数の75％を処理したタイミングで行われる。

rekey パラメータは SA を更新するタイミングを決定する。例えば、 second パラメータで 20000 を指定し、 rekey パラメータで75%を指定した場合には、 SA を生成してから 15000 秒経過したときに新しい SA を生成する。 rekey パラメータは second パラメータに対する比率を表すもので、 kbytes パラメータの値とは関係がない。

sa パラメータで isakmp-sa(ike-sa) を指定したときに限り、rekey パラメータで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がない限り、 ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。

本コマンドの影響、注意点については以下の通り。

始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。
また、 ISAKMP SA に対する rekey パラメータを off に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。
1. IPsec SAよりも ISAKMP SA の寿命を短く設定する。
2. ダングリングSAを許可する。すなわち、 ipsec ike restrict-dangling-sa コマンドの設定を off にする。

なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られるSAにのみ、新しい寿命値が適用される。

[ノート]

Rev.11.00.36 以降で使用可能。