crypto ipsec security-association lifetime

Данная команда используется для установки времени жизни SA (Security Association, ассоциация защиты). Под временем жизни понимается время, разрешенное для действия SA. По истечении этого времени SA прекращает свое существование и начинает работать новая SA.

Время жизни может задаваться как в секундах, так и в килобайтах (объем проходящего, в рамках установленного SA, трафика). Для восстановления значения по умолчанию используйте ту же команду с префиксом no.

 

Синтаксис                     crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}

                   no crypto ipsec security-association lifetime{seconds | kilobytes}

seconds                        время жизни SA в секундах. Допустимые значения от 1 до 4294967295.

kilobytes                    время жизни SA в килобайтах. Допустимые значения от 1 до 4294967295.

 

Режимы команды                               Global configuration.

 

Значение по умолчанию                    3600 секунд (1 час) и 4608000 килобайт (1 час при 10 Мбайт/с).

 

Рекомендации по использованию

Используйте эту команду для изменения установленных значений времени жизни SA. Следует помнить, что уменьшение времени жизни SA ведет к повышению уровня защиты соединения, но повышает нагрузку на процессор, что, в свою очередь, ведет к снижению пропускной способности.

На стадии обсуждения условий создания новой SA устанавливается минимальное время жизни SA из предложенных сторонами.

Существуют два параметра, ограничивающие время жизни SA – время в секундах и количество переданной и принятой информации в килобайтах. Ограничение всегда будет действовать по достижении лимита любым из этих параметров. Например, закончилось время жизни, установленное в секундах, а ограничение по трафику не выполнено и наполовину. В этом случае будет действовать ограничение по времени. Пересоздание SA не будет в случае отсутствия трафика между партнерами. Рекомендуется указывать такое время жизни SA в секундах, что бы в основном удаление IPsec SA происходило по времени, а ограничение на объем трафика выбирать как дополнительную меру.

Если закончилось время жизни и SA уже не существует, то новый SA не установится, если не будет трафика.

Изменения вступят в силу после выхода из режима global configuration командой exit.

 

Примечание

Если при формировании набора преобразований (crypto  ipsec  transform-set) используются алгоритмы ah-gost28147-mac, esp-gost28147-mac, esp-gost28147, то в этом случае максимальное допустимое значение время жизни SA в килобайтах – 4032 Кб.

При превышении указанного значения для созданного SA, в журнал протоколирования и на консоль будет выдано сообщение, что в созданном IPsec SA ограничение по трафику не соответствует допустимому ограничению для используемого криптографического алгоритма:

"SA traffic limit exceeds limitations imposed by the cryptograghic algorithm"

 

Пример

Ниже приведен пример установки времени жизни SA равного 1600 сек:

Router(config)#crypto ipsec security-association lifetime seconds 1600