D00613
IKEセッションが受動側で確立したとき、IPsec Phase2のライフタイムに長い期間が設定され、かつ、期間内の送受信パケット数が多い場合、鍵が更新されるまで通信できなくなる可能性があります。
- 関係する機能
- IPsec/IKE
| 該当機種 | 修正適用バージョン | 影響を受けるバージョン |
|---|---|---|
| SEIL/X4, CA10 | 未提供 | 未確認 |
| SEIL/x86 Ayame | 未提供 | 未確認 |
不具合の説明
responderとしてIPsec/IKEが確立している場合など、自発的なrekeyを行わない設定や状態のとき、IPsec-SAのシーケンス番号が上限を超えても rekeyを行わず、initiator側がrekeyを行うまでVPN通信が行えない可能性があります。
回避・復旧手段
Phase2セッションの有効期間中にIPsec-SAのシーケンス番号が上限を超えないように lifetime を適切に設定することで回避できます。
IPsecインタフェースのデフォルト値(28800)の場合は、最大レートでの送信を行った場合でもシーケンス番号の上限を超えることはありません。