CiscoでIPsecを利用している時のエラーメッセージ

 25, 2009 09:58
CiscoでIPsecを利用している時のエラーメッセージ
%CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failedについて
http://www.cisco.com/JP/support/public/mt/tac/100/1000287/ipsec_debug.shtml
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_iarwe.html
ルータがパケットの受信時に、IPSec Anti-Replay Windowの許容範囲を超えていたため、
パケットがドロップされた事を示しているようです。

発生する条件
・パケットの到達順序が入れ替わっている(out-of-order)
・パケットの再送が多発
・外部からの攻撃パケットを受けている

実際の通信に影響は与えてないので、無視しても問題ない事象ですが一応以下のコマンドで対策が可能。
(セキュリティが緩くなるようですが気にするほどのものでもない?)

crypto ipsec security-association replay window-size 128

なおwindow-sizeのデフォルトが64なので、64以上に増やして調整を行う事となります。

64を基点に倍にしていきます。64→128→256→・・・1024

ログを毎日チェックするような事でもなければ、まず気付かないエラーですね。

Tag:IPsec


COMMENT 0


WHAT'S NEW?