A01811

フロートリンクによるIPsec-VPNにおいて、特定のIKEパケットを受信したとき、IPsecインタフェースでの通信ができなくなる場合がある不具合を修正しました。

関係する機能
IPsec/IKE
フロートリンク
該当機種 修正適用バージョン 影響を受けるバージョン
SEIL/X1, SEIL/X2 5.73 4.60 ~ 5.73
SEIL/B1 5.73 4.60 ~ 5.73
SEIL/x86 Fuji 5.73 3.20 ~ 5.73
SEIL BPV4 5.73 5.00 ~ 5.73

不具合の説明

フロートリンクによるIPsec-VPNにおいて、特定のIKEパケットを受信したとき、IPsecインタフェースでの通信ができなくなる場合があります。

  • 発生するとIPsecインタフェースがトンネルアドレスの情報を失います。
  • 遠隔の第三者からサービス運用妨害(DoS)攻撃を受ける可能性があります。

不具合発生の条件

次の条件にすべて一致する場合に影響を受けます。

  • フロートリンクによるIPsec-VPNを構築している
  • NATによるリモートアドレス書き換えの検知を有効化している

コンフィグに下記のコマンドが設定されている場合は、上記の利用方法に該当します。

  • interface <ipsec> floatlink dynamic-remote-address enable

不具合発生の確認方法

show status ipsec の結果にIKE Phase2のセッションが存在するにもかかわらず、IPsecインタフェースのステータスにトンネルアドレスが表示されない場合は不具合の影響を受けている可能性があります。

回避・復旧手段

時間経過によってIKE Phase2の再折衝が行われると復旧します。また、次のいずれかのコマンドでセッションをクリアすることで再折衝による復旧が期待できます。

  • clear floatlink interface <ipsec>
  • clear ipsec security-association all(すべてのセッションがクリアされます)

変更・修正内容

フロートリンクによるIPsec-VPNにおいて、特定のIKEパケットを受信したとき、IPsecインタフェースでの通信ができなくなる場合がある不具合を修正しました。