A01360

IKE による鍵交換で、他機種との接続性を高めました

関係する機能
IPsec/IKE
該当機種 修正適用バージョン 影響を受けるバージョン
SEIL/X1, SEIL/X2 4.30 未確認
SEIL/B1 4.30 未確認
SEIL/x86 Fuji 2.80 未確認

不具合の説明

"ike peer" の設定に "check-level obey" を指定した場合、一部の機器との相互接続性に問題があり IPsec SA の有効期間が対向機器と一致しなくなる問題があります。

不具合発生の条件

"ike peer" の設定に "check-level obey" を指定し、対向機器が SEIL の仕様範囲外の値を通知してきた場合に問題が発生します。

  • 本機の設定範囲外の値であっても、"check-level obey" が設定された場合は内部的な処理可能な範囲内であれば値を受け入れることがあるために問題が生じます。

不具合発生の確認方法

"show status ipsec" コマンドにより、本機の認識しているライフタイム値や暗号アルゴリムと対向機器の認識しているライフタイム値や暗号アルゴリズムが一致していることを確認してください。

  • 不一致の場合、安定した通信が行えません。

回避・復旧手段

対向機器の設定を本機の仕様の範囲内に収まるように変更してください。

変更・修正内容

IKE による鍵交換で、他機種との接続性を高めました

  • "ike peer" の設定に "check-level obey" (対向機器の提案に可能な限り従う) を設定した場合の、lifetime関連パラメータの内部的な許容範囲を拡大しました。
  • 通常は可能な限りSEIL側の設定可能範囲内の値を設定してください。