【IPsec基础】Lifetime

三猿

Lifetime属性决定了IKE、IPsec的生命周期。
一般会设定长一些的IKE Lifetime与短一些的IPsec Lifetime。

在IKEv2中，Lifetime是一种本地属性，无需与对端协商。在RFC 7296中提及。
故而，为了防止两端同时rekey，建议厂商应该加入抖动时间。

但是在我们实际配置过程中，建议两端配置相差较大的lifetime即可规避该问题。
如一方IPsec lifetime设置为3600s，一方设置为7200s。

在双方查看各自的SA信息是，看到的剩余lifetime都是基于自身设定值独立计算的。

【参考资料】

https://datatracker.ietf.org/doc/html/rfc7296

RFC 7296: Internet Key Exchange Protocol Version 2 (IKEv2)  
    2.8. Rekeying
    “IKEv1和IKEv2之间的区别在于，在IKEv1中，SA的寿命是协商的。在IKEv2中，SA的每一端都负责在SA上实施自己的生存期策略，并在必要时重新设置SA的密钥。如果两端具有不同的生存期策略，则生存期较短的一端将始终是请求密钥更新的一端。”
    2.8.1. Simultaneous Child SA Rekeying
    “如果两端具有相同的生存期策略，则两者可能同时启动密钥更新（这将导致冗余SA）。为了降低发生这种情况的概率，应该抖动重新键入请求的时间（在注意到需要重新键入后延迟随机时间）。”