A01697

複数の対向とのIKEがAggressive modeで設定されており、かつ、動的アドレスを利用するエントリと静的アドレスを利用するエントリが混在している場合、静的アドレスで折衝すべきセッションが動的アドレスを利用するエントリで折衝してしまうことがある不具合を修正しました。

関係する機能
IPsec/IKE
該当機種 修正適用バージョン 影響を受けるバージョン
SEIL/X1, SEIL/X2 5.21 5.20 ~ 5.21
SEIL/B1 5.21 5.20 ~ 5.21
SEIL/x86 Fuji 5.21 5.20 ~ 5.21
SEIL BPV4 5.21 5.20 ~ 5.21

不具合の説明

複数の対向とのIKEがAggressive modeで設定されており、かつ、動的アドレスを利用するエントリと静的アドレスを利用するエントリが混在している場合、静的アドレスで折衝すべきセッションが動的アドレスを利用するエントリで折衝してしまうことがあります。

折衝要求を受け付けた際は、ike peerコマンドで設定されている対向機器のエントリを順番に検査しますが、この際に動的アドレスのエントリが静的アドレスのエントリより先に存在すると、優先的に選択されてしまいます。

不具合発生の条件

ike peer コマンドで exchange-mode aggressive かつ address dynamic を指定した設定があり、その設定より後に exchange-mode aggressive かつ address dynamic ではないアドレス指定の設定が存在する場合に影響を受けます。

不具合発生の確認方法

問題に該当した場合、双方でIDの不一致が発生し、ログに「invalid ID payload」が記録されます。

回避・復旧手段

address dynamic を含むike peerの設定を、他のike peerの設定より後の行に設定することで回避できます。

変更・修正内容

複数の対向とのIKEがAggressive modeで設定されており、かつ、動的アドレスを利用するエントリと静的アドレスを利用するエントリが混在している場合、静的アドレスで折衝すべきセッションが動的アドレスを利用するエントリで折衝してしまうことがある不具合を修正しました。