A01350
IPsec/IKE 機能で NAT Traversal を有効にしている場合に、鍵交換を繰り返すとシステムが不安定になることがある問題を修正しました。
- 関係する機能
- IPsec/IKE
| 該当機種 | 修正適用バージョン | 影響を受けるバージョン |
|---|---|---|
| SEIL/X1, SEIL/X2 | 4.21 | 未確認 |
| SEIL/B1 | 4.21 | 未確認 |
不具合の説明
NAT 環境で IPsec/IKE 機能を利用した場合に、鍵交換を繰り返すとシステムが不安定になることがあります。具体的には以下の条件を満たす場合に問題が生じます。
- ike peer の設定において、nat-traversal パラメータが enable になっていること。
- 通信環境に実際に NAT 機器が存在し、IKE によりアドレス変換が検知されていること。
- セッションが長時間維持されており、IKE Phase2 鍵の再交換が発生していること。または同一アドレスから短期間に IKE の折衝をやり直していること。
影響度合いは鍵の再交換の頻度によります。環境によりますが、およその目安として 10000 以上の再交換(デフォルト値の 8 時間に 1 回の再交換で対向機器が 1 台の場合、1 年弱の連続運用)を繰り返すと影響が顕著となります。NAT 装置の動作や、回線状況により変化する可能性があります。
不具合発生の条件
- ike peer の設定において、nat-traversal パラメータが enable になっていること
- 通信環境に実際に NAT 機器が存在し、IKE によりアドレス変換が検知されていること
- セッションが長時間維持されており、IKE Phase2 鍵の再交換が発生していること。または同一アドレスから短期間に IKE の折衝をやり直していること。
不具合発生の確認方法
影響を受けている環境では、ログに system ファシリティで error レベル以上の内部エラーのログが記録されます。具体的に発生するエラーは環境により異なります。
回避・復旧手段
システムが不安定になった場合、再起動が必要となります。
変更・修正内容
NAT 環境で IPsec/IKE 機能を利用した場合に、鍵交換を繰り返すとシステムが不安定になることがあります。