A01264

動的アドレスを利用した IPsec VPN を構築している場合、過去に利用したアドレスが再度割り当てられるとVPN経由での通信ができなくなることがある問題を修正しました。

関係する機能
IPsec/IKE
該当機種 修正適用バージョン 影響を受けるバージョン
SEIL/X1, SEIL/X2 4.00 未確認
SEIL/B1 4.00 未確認
SEIL/x86 Fuji 2.50 未確認

不具合の説明

動的アドレスを利用した IPsec VPN で、過去に利用したアドレスが再度割り当てられるとVPN経由での通信ができなくなることがあります。本機の DPD 設定が無効になっていたり、DPD が動作しない環境では、古いアドレスに基づく IPsec SA が削除されないまま残ることがあり、当該アドレスが再度割り当てられた場合にと IPsec SA を再利用してしまうために発生します。

不具合発生の条件

DPD が動作しない環境において、動的アドレスを利用した IPsec VPN を構築している場合に影響を受けます。影響を受ける時間は、IPsec SA の有効時間内となります。

不具合発生の確認方法

アドレスの変更が複数回生じ、過去に利用したアドレスが再度割り当てられた場合に対向機器に IPsec SA の不一致を示すログが残ります。この際、本機はアドレスの変更を検知したにも関わらず IPsec SA の再構築を行いません。

回避・復旧手段

DPD を有効にして下さい。アドレス変更後に DPD による接続断検知が動作し、古い IPsec SA が消去されます。 本現象が発生した場合は、clear ipsec security-association コマンドで復旧します。

変更・修正内容

動的アドレスを利用した IPsec VPN を構築している場合、過去に利用したアドレスが再度割り当てられるとVPN経由での通信ができなくなることがある問題を修正しました。