[index] AT-AR1050V コマンドリファレンス 5.5.4
モード: IPsecプロファイルモード
カテゴリー: VPN / IPsec
(config-ipsec-profile)# replay-window <1-1024>
(config-ipsec-profile)# no replay-window
対象IPsecプロファイルにおけるリプレイ防止ウィンドウサイズを設定する。
no形式で実行した場合は初期値に戻る。
初期値(本コマンド未設定時の値)は32。
<1-1024> |
リプレイ防止ウィンドウサイズ(パケット数)。初期値は32パケット |
■ カスタムIPsecプロファイルsampleにおけるリプレイ防止ウィンドウサイズを64に設定する。
awplus(config)# crypto ipsec profile sample ↓ awplus(config-ipsec-profile)# replay-window 64 ↓
awplus(config)# crypto ipsec profile sample ↓ awplus(config-ipsec-profile)# no replay-window ↓
■ 通信状況が不安定でIPsecパケットのロスや順序入れ替わりが多発する環境ではウィンドウにおさまらないIPsecパケットの破棄が発生する可能性があります(*)。その場合、リプレイ防止ウィンドウサイズを初期値よりも大きくすることで改善する可能性がありますが、ウィンドウサイズの拡大はリプレイ攻撃のセキュリティーリスク増加をともなうため、設定変更は効果とリスクを十分に検討した上で実施してください。
Note(*) このような状況が発生しているかどうかは下記コマンドの統計カウンターで確認できます。
- show interfaceコマンド:input packetsのdroppedが増加していること
- show ipsec countersコマンド:InStateSeqError、InStateProtoErrorが増加していること
crypto ipsec profile (グローバルコンフィグモード) | +- replay-window(IPsecプロファイルモード)
show interface(非特権EXECモード)
show ipsec counters(特権EXECモード)
show ipsec profile(特権EXECモード)
tunnel protection ipsec(インターフェースモード)
(C) 2019 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002735 Rev.AD