A01673

IKEでDPDを使用しているとき、特定の条件によりISAKMP-SAの鍵更新に失敗しINITIAL-CONTACTを含む新規の折衝が発生する不具合を修正しました。

関係する機能
IPsec/IKE
該当機種 修正適用バージョン 影響を受けるバージョン
SEIL/X1, SEIL/X2 5.20 未確認
SEIL/B1 5.20 未確認
SEIL/x86 Fuji 5.20 未確認
SEIL BPV4 5.20 未確認

不具合の説明

IKEでDPDを使用しているとき、特定の条件によりISAKMP-SAの鍵更新に失敗しINITIAL-CONTACTを含む新規の折衝が発生します。新規の折衝では保持しているIPsec SAも一旦破棄されるため、一時的にVPN通信断が発生します。

この問題による継続的な通信断は発生しません。

不具合発生の条件

以下の条件に全て一致する場合に該当します。

  • ike peer コマンドで exchange-mode aggressive が指定されている設定が複数存在する
  • 上記複数の設定に dpd enable が指定されている
  • 上記複数の設定に nat-traversal enable が指定されている設定と nat-traveral disable(または system-default) が指定されている設定が混在している

不具合発生の確認方法

ISAKMP-SAの鍵更新時のログに不要なINITIAL-CONATCTメッセージの交換が含まれている場合、本不具合の影響を受けている可能性があります。

回避・復旧手段

全ての設定で NAT-Travesal を有効にすることで不具合を回避できます。NAT-Traversal 機能は通信経路上のNATの有無を自動検出するため、有効であってもNATが適用されないネットワークでは不要なカプセル化は発生しません。

変更・修正内容

IKEでDPDを使用しているとき、特定の条件によりISAKMP-SAの鍵更新に失敗しINITIAL-CONTACTを含む新規の折衝が発生する不具合を修正しました。