Данная команда используется для установки времени жизни SA (Security Association, ассоциация защиты). Под временем жизни понимается время, разрешенное для действия SA. По истечении этого времени SA прекращает свое существование и начинает работать новая SA.
Время жизни может задаваться как в секундах, так и в килобайтах (объем проходящего, в рамках установленного SA, трафика). Для восстановления значения по умолчанию используйте ту же команду с префиксом no.
Синтаксис crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}
no crypto ipsec security-association lifetime{seconds | kilobytes}
seconds время жизни SA в секундах. Допустимые значения от 1 до 4294967295.
kilobytes время жизни SA в килобайтах. Допустимые значения от 1 до 4294967295.
Режимы команды Global configuration.
Значение по умолчанию 3600 секунд (1 час) и 4608000 килобайт (1 час при 10 Мбайт/с).
Рекомендации по использованию
Используйте эту команду для изменения установленных значений времени жизни SA. Следует помнить, что уменьшение времени жизни SA ведет к повышению уровня защиты соединения, но повышает нагрузку на процессор, что, в свою очередь, ведет к снижению пропускной способности.
На стадии обсуждения условий создания новой SA устанавливается минимальное время жизни SA из предложенных сторонами.
Существуют два параметра, ограничивающие время жизни SA – время в секундах и количество переданной и принятой информации в килобайтах. Ограничение всегда будет действовать по достижении лимита любым из этих параметров. Например, закончилось время жизни, установленное в секундах, а ограничение по трафику не выполнено и наполовину. В этом случае будет действовать ограничение по времени. Пересоздание SA не будет в случае отсутствия трафика между партнерами. Рекомендуется указывать такое время жизни SA в секундах, что бы в основном удаление IPsec SA происходило по времени, а ограничение на объем трафика выбирать как дополнительную меру.
Если закончилось время жизни и SA уже не существует, то новый SA не установится, если не будет трафика.
Изменения вступят в силу после выхода из режима global configuration командой exit.
Примечание
Если при формировании набора преобразований (crypto ipsec transform-set) используются алгоритмы ah-gost28147-mac, esp-gost28147-mac, esp-gost28147, то в этом случае максимальное допустимое значение время жизни SA в килобайтах – 4032 Кб.
При превышении указанного значения для созданного SA, в журнал протоколирования и на консоль будет выдано сообщение, что в созданном IPsec SA ограничение по трафику не соответствует допустимому ограничению для используемого криптографического алгоритма:
"SA traffic limit exceeds limitations imposed by the cryptograghic algorithm"
Пример
Ниже приведен пример установки времени жизни SA равного 1600 сек:
Router(config)#crypto ipsec security-association lifetime seconds 1600