A01673
IKEでDPDを使用しているとき、特定の条件によりISAKMP-SAの鍵更新に失敗しINITIAL-CONTACTを含む新規の折衝が発生する不具合を修正しました。
- 関係する機能
- IPsec/IKE
該当機種 | 修正適用バージョン | 影響を受けるバージョン |
---|---|---|
SEIL/X1, SEIL/X2 | 5.20 | 未確認 |
SEIL/B1 | 5.20 | 未確認 |
SEIL/x86 Fuji | 5.20 | 未確認 |
SEIL BPV4 | 5.20 | 未確認 |
不具合の説明
IKEでDPDを使用しているとき、特定の条件によりISAKMP-SAの鍵更新に失敗しINITIAL-CONTACTを含む新規の折衝が発生します。新規の折衝では保持しているIPsec SAも一旦破棄されるため、一時的にVPN通信断が発生します。
この問題による継続的な通信断は発生しません。
不具合発生の条件
以下の条件に全て一致する場合に該当します。
- ike peer コマンドで exchange-mode aggressive が指定されている設定が複数存在する
- 上記複数の設定に dpd enable が指定されている
- 上記複数の設定に nat-traversal enable が指定されている設定と nat-traveral disable(または system-default) が指定されている設定が混在している
不具合発生の確認方法
ISAKMP-SAの鍵更新時のログに不要なINITIAL-CONATCTメッセージの交換が含まれている場合、本不具合の影響を受けている可能性があります。
回避・復旧手段
全ての設定で NAT-Travesal を有効にすることで不具合を回避できます。NAT-Traversal 機能は通信経路上のNATの有無を自動検出するため、有効であってもNATが適用されないネットワークでは不要なカプセル化は発生しません。
変更・修正内容
IKEでDPDを使用しているとき、特定の条件によりISAKMP-SAの鍵更新に失敗しINITIAL-CONTACTを含む新規の折衝が発生する不具合を修正しました。