A01698

IPsecセキュリティポリシーのsrcパラメータにインタフェース名を指定している場合に、ipsecまたはikeコマンドを用いる設定変更を行うと、当該セキュリティポリシーに対応するIKEセッションが確立しないことがある不具合を修正しました。

関係する機能
IPsec/IKE
該当機種 修正適用バージョン 影響を受けるバージョン
SEIL/X1, SEIL/X2 5.21 未確認
SEIL/B1 5.21 未確認
SEIL/x86 Fuji 5.21 未確認
SEIL BPV4 5.21 未確認

不具合の説明

IPsecセキュリティポリシーのsrcパラメータにインタフェース名を指定している場合に、ipsecまたはikeコマンドを用いる設定変更を行うと、当該セキュリティポリシーに対応するIKEセッションが確立しないことがあります。

本来srcパラメータにインタフェース名が指定されている場合には、インタフェースのアドレスを取得して自動的にセキュリティポリシーに割り当て、対応するIKEセッション情報を作成しますが、不具合によりIKEセッション情報の作成が行われずに通信が成立しないことがあります。

インタフェースのアドレス変更などにより更新処理が発生するとセッション情報が再度作成されるため、通信が復旧します。

不具合発生の条件

ipsec security-policy コマンドの src パラメータにインタフェース名を指定している場合に影響を受けます。

不具合発生の確認方法

この問題が発生すると、IKE Phase2の折衝でエラーが発生し、対向機器に対しては INVALID-ID-INFORMATION が送信され、ログには「send INVALID-ID-NOTIFICATION to <peer's address>」が記録されます。

変更・修正内容

IPsecセキュリティポリシーのsrcパラメータにインタフェース名を指定している場合に、ipsecまたはikeコマンドを用いる設定変更を行うと、当該セキュリティポリシーに対応するIKEセッションが確立しないことがある不具合を修正しました。