IPsecのライフタイムについて教えてください

cisco製品（ASR1000シリーズ）のIPsec動作についてお尋ね致します。
IKEｖ1とv2で異なるのかが分からない為、今回はv1での動作をお尋ねします。

ipsec SAにはハードライフタイムとソフトライフタイムがあると理解しております。

「set security-association lifetime」

上記コマンドはipsec SAのハードライフタイム設定のコマンドだと理解しておりますが合っておりますでしょうか？

もう一点は、ソフトライフタイムの設定コマンドはあるのでしょうか？
もし無いという事であれば、ソフトライフタイムはどのように決められているのでしょうか？

ハードライフタイムの何％～何％という風にジッターを設けて決められるのでしょうか？

質問事項を整理させていただきます
(1)「set security-association lifetime」コマンドは
ipsec SAのハードライフタイムを設定するコマンドであるかどうか

(2)ipsec SAのソフトライフタイムを設定をするコマンドはあるかどうか

(3)ipsec SAのソフトライフタイムはどのように決まるのか

以上宜しくお願い致します。

※機種名やIKEバージョンを書いておりますが、機種やバージョンによって動作が変わる
かどうか不明であった為書かせて頂きました。不要な情報であれば無視して頂きたいと思います。

nnori7142 回答No.1

　先ず、全体のIPSEC-SAのライフタイム設定コマンドについては、「crypto ipsec security-association lifetime」から始まるコマンドになるかと存じます。
　ご指摘の「set security-association lifetime」コマンドは、IKE-SAのライフタイムかと存じます。
　IPSEC-SAでのライフタイム仕様として、ソフトウェア・ライフタイムが有るという認識が正しい点かと存じます。具体的にはIPSec SAはRe-Keyされるが、IKE SAはRe-Keyされずにハード有効期間を迎えると消去される点が有ります。
　IKE SAのハード有効期間を迎えたときの動作は2つ有り、1つ目はIKE SAのハード有効期間を迎えてもIPSec SAは維持される。2つ目はIKE SAのハード有効期間を迎えると、そのIKE SAの保護下で確立したIPSec SAすべてが無効になる。
　上記の要素は、ネットワーク装置の仕様による点が有り、大抵のネットワーク装置は、前者の仕様が大半です。
　Ciscoのコマンドリファレンスを見ると、グローバル・ライフタイム（全体のIPSEC-SAのライフタイム）が優先され、「set security-association lifetime」コマンドはトンネル別に効かせる事が可能な様です。