ダイヤルアップグループVPNのSAホールド時間調整方法

ダイヤルアップグループ用のVPNを設定した場合、
ユーザがVPNを切断した後でもinactiveの状態でデフォルト60分間SAが維持される。
inactiveのVPNトンネルもトンネル数としてカウントされるため、
VPNトンネル数の上限となり次のユーザが接続できない現象が発生する事がある。
(特に接続ユーザ数に対して最大VPNトンネル数が少ない機種を利用している場合)

この場合、set ike member-sa-hold-timeでSA保持時間を短く調整する事で
ある程度、VPNトンネル数を有効に利用する事が可能である。

以下は、NetScreen-5GT(ScreenOS5.0.0r11)でVPNトンネル数の上限に達した際に
表示されたエラーの例である。Phase2の確立が完了せずfailedとなっている。
※このとき、原因は不明だがNetScreen-Remote8.1側のログではエラー無く
　Phase2のSAが確立されたように表示されていた。
　
YYYY-MM-DD HH:MM:SS system info  00536 IKE<an.ip.add.ress> Phase 2 msg ID
                                       <>: Negotiations have failed.
YYYY-MM-DD HH:MM:SS system info  00536 IKE<an.ip.add.ress> Phase 2 msg ID
                                       <>: Negotiations have failed
                                       for user <>.

コマンド

    set ike member-sa-hold-time <minutes 3～ >
    (time to hold a sa for a dialup group member)

set ike member_sa_hold_timeのコマンドはダイヤルアップVPNユーザが
NetScreen-Remoteでの接続状態を切断した後、しばらくの期間
NetScreen側でSA割当てを保持しておく時間(分)の長さを調整するために使用されます。
最小の設定値は3分で、デフォルトは60分です。

ScreenOS4.0.0からは「set ike member-sa-hold-time」に変わりました。

現在のSA保持時間を表示するには以下のコマンドを入力します。
get ike member-sa-hold-time

関連コマンド:
    get sa
    clear sa <SA ID>
    clear ike-cookie <IP ADDRESS>

適用ScreenOS：

ScreenOS 3.0.3以上

適用機種：

NetScreen-5GT
NetScreen-5XP
NetScreen-5XT
NetScreen-25
NetScreen-50
NetScreen-204
NetScreen-208
NetScreen-5200
NetScreen-5400

参考：

Juniper Article ID: KB6762
http://kb.juniper.net/KB6762