accept-lifetime
キーチェーンの認証キーが有効なキーとして受信される期間を設定するには、accept-lifetime コマンドをキーチェーン キー コンフィギュレーション モードで使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
accept-lifetime [ local ] start-time { infinite | end-time | duration seconds }
no accept-lifetime
構文の説明
local |
ローカルタイムゾーンで時刻を指定します。 |
start-time |
key コマンドで指定したキーが受信できる開始時刻です。構文は次のいずれかにすることができます。 hh : mm : ss month date year hh : mm : ss date month year
デフォルトの開始時刻で、指定できる最初の日付は 1993 年 1 月 1 日です。 |
infinite |
キーは start-time 値以降、受信可能です。 |
end-time |
キーは、start-time 値から end-time 値まで、受信可能です。シンタックスは start-time 値と同じです。end-time は start-time 値の後である必要があります。デフォルトの終了時刻は無限の期間です。 |
duration seconds |
キーが受信可能な時間の長さ(秒単位)指定できる範囲は 1 ~ 864000 です。 |
コマンド デフォルト
キーチェーン上の認証キーは、永久に有効として受信されます(開始時刻は 1993 年 1 月 1 日、終了時刻は無期限です)。
コマンド モード
キー チェーン キー コンフィギュレーション(config-keychain-key)
コマンド履歴
リリース |
変更内容 |
---|---|
Cisco IOS XE Everest 16.6.1 |
このコマンドが導入されました。 |
使用上のガイドライン
DRP エージェント、Enhanced Interior Gateway Routing Protocol(EIGRP)、および Routing Information Protocol(RIP)バージョン 2 のみがキーチェーンを使用します。
start-time 値と infinite 、end-time 、または duration seconds のいずれかの値を指定します。
キーにライフタイムを割り当てる場合は、Network Time Protocol(NTP)またはその他の時刻同期方式を実行することを推奨します。
最後のキーが期限切れになった場合、認証は続行されますが、エラー メッセージが生成されます。認証を無効にするには、手動で有効な最後のキーを削除する必要があります。
例
次の例では、chain1 という名前のキー チェーンが設定されます。key1 という名前のキーは午後 1 時 30 分から午後 3 時 30 分まで受け入れられ、午後 2 時 00 分から午後 3 時 00 分まで送信されます。key2 という名前のキーは午後 2 時 30 分から午後 4 時 30 分まで受け入れられ、午後 3 時 00 分から午後 4 時 00 分まで送信されます。このオーバーラップにより、ルータの設定時間内でのキーの移行または不一致に対処できます。時間の違いを処理するために、前後に 30 分間の余裕が設けられています。
Device(config)# interface GigabitEthernet1/0/1
Device(config-if)# ip rip authentication key-chain chain1
Device(config-if)# ip rip authentication mode md5
Device(config-if)# exit
Device(config)# router rip
Device(config-router)# network 172.19.0.0
Device(config-router)# version 2
Device(config-router)# exit
Device(config)# key chain chain1
Device(config-keychain)# key 1
Device(config-keychain-key)# key-string key1
Device(config-keychain-key)# accept-lifetime 13:30:00 Jan 25 1996 duration 7200
Device(config-keychain-key)# send-lifetime 14:00:00 Jan 25 1996 duration 3600
Device(config-keychain-key)# exit
Device(config-keychain)# key 2
Device(config-keychain)# key-string key2
Device(config-keychain)# accept-lifetime 14:30:00 Jan 25 1996 duration 7200
Device(config-keychain)# send-lifetime 15:00:00 Jan 25 1996 duration 3600
次に、chain1 という名前のキーを EIGRP アドレスファミリに設定する例を示します。Key1 という名前のキーは、午後 1 時 30 分から午後 3 時 30 分まで承認され、午後 2 時から午後 3 時まで送信されます。Key2 という名前のキーは、午後 2 時 30 分から午後 4 時 30 分まで承認され、午後 3 時から午後 4 時まで送信されます。この重複により、キーの移行またはルータの設定時間の不一致に対処できます。時間の違いを処理するために、前後に 30 分間の余裕が設けられています。
Device(config)# router eigrp 10
Device(config-router)# address-family ipv4 autonomous-system 4453
Device(config-router-af)# network 10.0.0.0
Device(config-router-af)# af-interface ethernet0/0
Device(config-router-af-interface)# authentication key-chain trees
Device(config-router-af-interface)# authentication mode md5
Device(config-router-af-interface)# exit
Device(config-router-af)# exit
Device(config-router)# exit
Device(config)# key chain chain1
Device(config-keychain)# key 1
Device(config-keychain-key)# key-string key1
Device(config-keychain-key)# accept-lifetime 13:30:00 Jan 25 1996 duration 7200
Device(config-keychain-key)# send-lifetime 14:00:00 Jan 25 1996 duration 3600
Device(config-keychain-key)# exit
Device(config-keychain)# key 2
Device(config-keychain-key)# key-string key2
Device(config-keychain-key)# accept-lifetime 14:30:00 Jan 25 1996 duration 7200
Device(config-keychain-key)# send-lifetime 15:00:00 Jan 25 1996 duration 3600