IPsec通信時の、Replay Attack防御機能について設定します。本コマンドがない場合はReplay Attackとみなされるパケットを廃棄しますが、disableを設定することによりそれらのパケットも受信されます。
使用する回線によっては、パケットの到着順序が前後するような状態が発生し、Replay Attackと誤認してパケットを廃棄してしまい、スループットの低下が発生することがあります。
show vpnlogコマンドを実行して、ログにReplay Attackが表示されるようであれば、本コマンドでdisableを指定する事により、スループットの改善が図れる場合があります。
セキュリティを考慮してReplay Attack防御が不要であれば、通信状況に応じてdisableに設定してください。
refreshコマンド後に有効になるコマンドです。
IKEv1/IKEv2共通コマンド
Router(config)#crypto map Tokyo 1
Router(config-crypto-map)#anti-replay disable
anti-replay <Replay Attack設定>
パラメータ 設定内容 設定範囲 省略時の値 Replay Attack設定 Replay Attackに該当するパケットを破棄するかどうかの設定をします。
enable Replay Attackに該当するパケットを破棄します。 disable 全てのパケットを受信します。 enable
disable省略不可
Replay Attackに該当するパケットを破棄します。
Replay Attack防御機能とは、受信したパケットのシーケンス番号の最大値を保存し、その値と同一もしくはその値より小さなシーケンス番号を受信した場合に、パケットを廃棄する機能です。
ただし、ネットワーク遅延の関係上、ESPフレーム入れ替わりの可能性があるため、受信したSequence Numberの最大値から一定の数(本装置では32)は受信済・未受信を管理し、その管理の範囲内で未受信の場合はReplay Attack errorとしての廃棄は行わずに通常の受信処理を行います。
VPNセレクタ設定モード