replay-window

モード: IPsecプロファイルモード
カテゴリー: VPN / IPsec


(config-ipsec-profile)# replay-window <1-1024>

(config-ipsec-profile)# no replay-window


対象IPsecプロファイルにおけるリプレイ防止ウィンドウサイズを設定する。
no形式で実行した場合は初期値に戻る。
初期値(本コマンド未設定時の値)は32。


パラメーター

<1-1024> リプレイ防止ウィンドウサイズ(パケット数)。初期値は32パケット


使用例

■ カスタムIPsecプロファイルsampleにおけるリプレイ防止ウィンドウサイズを64に設定する。

awplus(config)# crypto ipsec profile sample
awplus(config-ipsec-profile)# replay-window 64

■ カスタムIPsecプロファイルsampleにおけるリプレイ防止ウィンドウサイズを初期値の32に戻す。
awplus(config)# crypto ipsec profile sample
awplus(config-ipsec-profile)# no replay-window


注意・補足事項

■ 通信状況が不安定でIPsecパケットのロスや順序入れ替わりが多発する環境ではウィンドウにおさまらないIPsecパケットの破棄が発生する可能性があります(*)。その場合、リプレイ防止ウィンドウサイズを初期値よりも大きくすることで改善する可能性がありますが、ウィンドウサイズの拡大はリプレイ攻撃のセキュリティーリスク増加をともなうため、設定変更は効果とリスクを十分に検討した上で実施してください。

Note
(*) このような状況が発生しているかどうかは下記コマンドの統計カウンターで確認できます。


コマンドツリー

crypto ipsec profile (グローバルコンフィグモード)
    |
    +- replay-window(IPsecプロファイルモード)

関連コマンド

show interface(非特権EXECモード)
show ipsec counters(特権EXECモード)
show ipsec profile(特権EXECモード)
tunnel protection ipsec(インターフェースモード)



(C) 2019 - 2024 アライドテレシスホールディングス株式会社

PN: 613-002735 Rev.AD