Команда set security-association lifetime используется для изменения значения глобального времени жизни SA. Данная команда изменяет глобальное время жизни SA для конкретной записи криптографической карты. Для восстановления действия глобального времени жизни применяется та же команда с префиксом no.
Синтаксис set security-association lifetime {seconds seconds | kilobytes kilobytes}
no set security-association lifetime {seconds | kilobytes}
seconds seconds Устанавливает время действия SA в секундах. Допустимые значения от 1 до 4294967295.
kilobytes kilobytes Устанавливает время действия SA в объемах проходящего трафика (в килобайтах). Допустимые значения от 1 до 4294967295.
Режимы команды Crypto map configuration.
Значение по умолчанию глобальное время жизни.
Рекомендации по использованию
Использование данной команды возможно в статических и динамических криптографических картах.
При согласовании параметров SA выбор времени жизни определяется из расчета минимального значения из предложенных партнерами.
Существуют два параметра, ограничивающие время жизни SA – время в секундах и количество переданной и принятой информации в килобайтах. Ограничение всегда будет действовать по достижении лимита любым из этих параметров. Например, закончилось время жизни, установленное в секундах, а ограничение по трафику не выполнено и наполовину. В этом случае будет действовать ограничение по времени. Если закончилось время жизни и SA уже не существует, то новый SA не установится, если не будет трафика.
Более короткое время жизни SA уменьшает риск компрометации трафика, но требует большего процессорного времени.
Отсутствует возможность установить неограниченные значения трафика и времени жизни SA, как и у команд IOS в Cisco.
Для того, чтобы изменить время жизни в секундах, используйте команду set security-association lifetime seconds.
Для того, чтобы изменить время жизни в килобайтах, используйте команду set security-association lifetime kilobytes.
Все сделанные изменения времени жизни SA вступают в силу при выходе из режима global configuration командой exit. При этом происходит удаление всех установленных ранее соединений (IPsec и ISAKMP SA).
Отличие данной команды от подобной команды Cisco IOS:
Ограничения по трафику и времени жизни имеют больший диапазон, чем у команды Cisco: 120 – 86400 (sec), 2560 – 536870912 (kb).
Пример
Приведен пример изменения времени жизни для записи номер 10 криптографической карты "mymap":
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#set security-association lifetime seconds 2700