A01045

配下ホストからの IKE パケットの受信により、正常なセッションを張ることができなくなる場合がある不具合を修正しました。

関係する機能
IPsec/IKE
NAT/NAPT
NTP
該当機種 修正適用バージョン 影響を受けるバージョン
SEIL/X1, SEIL/X2 3.31 未確認
SEIL/B1 3.31 未確認
SEIL/x86 Fuji 1.81 未確認

不具合の説明

本機と通信をおこなう可能性があるホストに対して、本機配下のホストからの通信が発生し、かつ当該通信がNAPTで処理された場合に、本機宛の通信がNAPTにより配下ホストに転送されることがあります。

  • IKE の対向機器や NTP サーバなどに配下ホストがアクセスした場合に、NAPTの送信元ポートとして当該サービスのポート番号が選択された場合に問題が発生します。
  • NAPT のポート割り当て方式(nat option port-assignment)を random に設定することで影響を軽減することが可能です。

不具合発生の条件

本機と配下ホストが、同一の対向機器に対して通信する必要がある環境で問題が生じる可能性があります。

不具合発生の確認方法

本機と対向機器との通信ができあい場合に、本機で show status nat コマンドを実行し、対向機器宛の NAPT セッションで、本機が受信すべきポート番号を送信元に選択しているセッションがあるかどうかで判断が可能です。

回避・復旧手段

NAPT のポート割り当て方式を random に設定することで発生頻度を下げることが可能です。配下ホストの通信が必須でない場合、配下ホストから本機と通信する対向機器宛の通信をフィルタコマンドでブロックすることで問題を回避できます。

変更・修正内容

配下ホストからの IKE パケットの受信により、正常なセッションを張ることができなくなる場合がある不具合を修正しました。