ダイヤルアップグループVPNのSAホールド時間調整方法
ダイヤルアップグループ用のVPNを設定した場合、
ユーザがVPNを切断した後でもinactiveの状態でデフォルト60分間SAが維持される。
inactiveのVPNトンネルもトンネル数としてカウントされるため、
VPNトンネル数の上限となり次のユーザが接続できない現象が発生する事がある。
(特に接続ユーザ数に対して最大VPNトンネル数が少ない機種を利用している場合)
この場合、set ike member-sa-hold-timeでSA保持時間を短く調整する事で
ある程度、VPNトンネル数を有効に利用する事が可能である。
以下は、NetScreen-5GT(ScreenOS5.0.0r11)でVPNトンネル数の上限に達した際に
表示されたエラーの例である。Phase2の確立が完了せずfailedとなっている。
※このとき、原因は不明だがNetScreen-Remote8.1側のログではエラー無く
Phase2のSAが確立されたように表示されていた。
YYYY-MM-DD HH:MM:SS system info 00536 IKE<an.ip.add.ress> Phase 2 msg ID
<>: Negotiations have failed.
YYYY-MM-DD HH:MM:SS system info 00536 IKE<an.ip.add.ress> Phase 2 msg ID
<>: Negotiations have failed
for user <>.
コマンド
set ike member-sa-hold-time <minutes 3~ >
(time to hold a sa for a dialup group member)
set ike member_sa_hold_timeのコマンドはダイヤルアップVPNユーザが
NetScreen-Remoteでの接続状態を切断した後、しばらくの期間
NetScreen側でSA割当てを保持しておく時間(分)の長さを調整するために使用されます。
最小の設定値は3分で、デフォルトは60分です。
ScreenOS4.0.0からは「set ike member-sa-hold-time」に変わりました。
現在のSA保持時間を表示するには以下のコマンドを入力します。
get ike member-sa-hold-time
関連コマンド:
get sa
clear sa <SA ID>
clear ike-cookie <IP ADDRESS>
適用ScreenOS:
ScreenOS 3.0.3以上
適用機種:
NetScreen-5GT
NetScreen-5XP
NetScreen-5XT
NetScreen-25
NetScreen-50
NetScreen-204
NetScreen-208
NetScreen-5200
NetScreen-5400
参考:
Juniper Article ID: KB6762
http://kb.juniper.net/KB6762
| 固定リンク
「NetScreen」カテゴリの記事
- JNCIA-FWV(2007.09.17)
- NetScreen-5GT/5XT/5XPの10ユーザーライセンスの動作仕様(2007.06.12)
- ScreenOSアップデート時の[Shared memory size is too small]のエラー回避方法(2007.06.08)
- NetScreen/SSG ポリシーベースVPNで生成されるProxy-IDの確認方法(2007.06.06)
- NetScreen/SSG Proxy-ID に関するエラーログメッセージ(2007.06.05)