[設定値] :
設定値 | 説明 |
---|---|
ipsec-sa (もしくはchild-sa) | IPsec SA (CHILD SA) |
isakmp-sa (もしくはike-sa) | ISAKMP SA (IKE SA) |
設定値 | 説明 |
---|---|
70%-90% | パーセント |
off | 更新しない (sa パラメータで isakmp-sa (ike-sa) を指定したときのみ設定可能 ) |
各 SA の寿命を設定する。
kbytes パラメータを指定した場合には、second パラメータで指定した時間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。 kbytes パラメータはSAパラメータとして ipsec-sa (child-sa) を指定したときのみ有効である。SA の更新は kbytes パラメータに設定したバイト数の75%を処理したタイミングで行われる。
rekey パラメータは SA を更新するタイミングを決定する。例えば、second パラメータで 20000 を指定し、rekey パラメータで75%を指定した場合には、SA を生成してから 15000 秒経過したときに新しい SA を生成する。 rekey パラメータは second パラメータに対する比率を表すもので、kbytes パラメータの値とは関係がない。
sa パラメータで isakmp-sa(ike-sa) を指定したときに限り、rekey パラメータで 'off' を設定できる。このとき、IPsec SA (CHILD SA) を作る必要がない限り、ISAKMP SA (IKE SA) の更新を保留するので、ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。
始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。
また、ISAKMP SA に対する rekey パラメータを off に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。
vRX が始動側になる場合は、最大で 2147483647 KB のバイト寿命値を相手側へ提案可能であるが、相手側機器が vRX 以外の場合は 2 GB を超えるバイト寿命値を正しく認識できないため、vRX 以外の機種と接続する場合は必ず 2 GB 以下に設定する必要がある。
IKEv2 では SA 寿命値は折衝されず、各セキュリティ・ゲートウェイが独立して管理するものとなっている。従って、確立された SA には、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティ・ゲートウェイの方が SA 更新のタイミングが早ければ、SA はその分早く更新されることになる。
ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合は、ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。