11.1.10 IPsec で復号したパケットに対して ICMP エラーを送るか否かの設定

[書式]

ip icmp error-decrypted-ipsec send switch
no ip icmp error-decrypted-ipsec send [switch]

[設定値及び初期値]

switch
- [設定値] :
  
  設定値説明
  
  on IPsec で復号したパケットに対して ICMP エラーを送る
  
  off IPsec で復号したパケットに対して ICMP エラーを送らない
- [初期値] : on

設定値	説明
on	IPsec で復号したパケットに対して ICMP エラーを送る
off	IPsec で復号したパケットに対して ICMP エラーを送らない

[説明]

IPsec で復号したパケットに対して ICMP エラーを送るか否か設定する。

[ノート]

ICMP エラーには復号したパケットの先頭部分が含まれるため、ICMP エラーが送信元に返送される時にも IPsec で処理されないようになっていると、本来 IPsec で保護したい通信が保護されずにネットワークに流れてしまう可能性がある。特に、フィルタ型ルーティングでプロトコルによって IPsec で処理するかどうか切替えている場合には注意が必要となる。

ICMP エラーを送らないように設定すると、traceroute に対して反応がなくなるなどの現象になる。

Rev.11.00.36 以降で使用可能。