Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

session (Security IKE)

構文

階層レベル

説明

IKE セッション構成を定義します。

構成階層では、IKE セッションのシステム レベル パラメータを設定して、リモート ピアとのネゴシエーションの動作を管理できます。これらの設定は、高負荷シナリオを制御するために構成します。

オプション

full-open

フルオープンIKEセッションパラメータを定義します。
half-open

ハーフオープンIKEセッションパラメータを定義します。
incoming-exchange-max-rates

フルオープンIKEセッションの着信交換の最大レートを定義します。

このパラメータを使用して、IKE SAの確立後にリモートピアによって開始されるさまざまな交換の最大レートを設定できます。
ike-rekey value

受信ピアが開始するIKEキー更新の最大レートの値を指定します。

このレートは、ピアごとに適用されます。

  • 形式: 値を []/[countduration in seconds] 形式で指定します。

  • 値: 範囲は [1 – 86400] / [1 – 86400] です。
ipsec-rekey value

受信ピアが開始するIPsec SAのキー更新最大レートの値を指定します。

このレートは、トンネルごとに適用されます。

  • 形式: 値を []/[countduration in seconds] 形式で指定します。

  • 値: 範囲は [1 – 86400] / [1 – 86400] です。
keepalive value

受信ピア開始キープアライブ(DPDとも呼ばれる)の最大レートの値を指定します。

このレートは、ピアごとに適用されます。

  • 形式: 値を []/[countduration in seconds] 形式で指定します。

  • 値: 範囲は [1 – 86400] / [1 – 86400] です。
backoff-timeouts

ハーフオープンIKEセッションバックオフタイムアウトを定義します。

これらのタイムアウトを設定して、セッション開始に失敗した場合にリモート ピアがバックオフできる期間を設定し、その期間中に同じピアが新しいセッション開始要求をすぐに開始できないようにします。バックオフ タイムアウト後、ピアは新しいセッションを開始できます。スコープは、ピア レベルではなく、グローバル レベルで適用されます。
auth-phase-failure value

IKE_AUTHフェーズ中に障害が発生した場合のバックオフ タイムアウトを指定します。

  • 値: 範囲は 1 から 180 秒です。

  • デフォルト: 無効
init-phase-failure value

SA_INITフェーズ中に障害が発生した場合のバックオフ タイムアウトを指定します。

  • 値: 範囲は 1 から 180 秒です。

  • デフォルト: 無効
discard-duplicate

ピアからの重複した IKE セッション開始要求を破棄します。

同じリモートピアにハーフオープンIKE SAがすでに存在する場合は、応答を送信せずにIKE開始要求を破棄します。スコープは、ピア レベルではなく、グローバル レベルで適用されます。

  • デフォルト: 無効
max-count value

ローカルエンドがレスポンダであるハーフオープンIKEセッションの最大数。

スコープは、ピア レベルではなく、グローバル レベルで適用されます。

  • 値: 範囲は 1 から 10000 です

  • デフォルト: 300
thresholds

ハーフオープンIKEセッションのしきい値を定義します。

新しい接続に対するアクションに対するハーフオープンIKE SAカウントの制限を設定できます。これらの値は、半分開いているIKE SAの合計に対する割合を示します。スコープは、ピア レベルではなく、グローバル レベルで適用されます。

max-count 明示的に設定すると、明示的に設定しない限り、すべてのしきい値が自動的に無効になります。
reduce-timeout count timeout seconds

で reduce-timeout アクション reduce-timeout countを適用するための、ハーフオープン IKE セッションの最小数を指定します。

新しいハーフオープンIKE SAの有効期間を短縮できる制限を設定します。

  • 値: 範囲は 1 から 10000 です。

  • デフォルト: 無効

で短縮されたタイムアウト値 timeout secondsを指定します。

  • 値: 範囲は 1 から 180 秒です。

  • デフォルト: 無効
send-cookie count

Cookie アクションを適用するための、半分開いている IKE セッションの最小数を指定します。

初期応答でピアに返送された Cookie を使用して、レスポンダがリモート ピアにセッション開始の再試行を要求するしきい値制限を指定します。

  • 値: 範囲は 1 から 10000 です。

  • デフォルト:250。
timeout seconds

ハーフオープンIKEセッションタイムアウトを指定します。

これは、新しいセッションのレスポンダに適用されるハーフオープンIKE SAのライフタイム値です。明示的な設定がない既存のセッションでは、値は default に設定されます。イニシエータは、60 秒のタイムアウト値を使用し続けます。スコープは、ピア レベルではなく、グローバル レベルで適用されます。

  • 値: 範囲は 1 から 180 秒です。

  • デフォルト: 60 秒

残りのステートメントについては、個別に説明します。 CLIエクスプローラを参照してください。

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

session Junos OSリリース23.4R1で導入されたステートメント。

関連ドキュメント