shimenoy様

ご連絡(投稿)いただきまして誠にありがとうございます。

「SAが存在してないのにipsecのパケットがきたり、それがpeerを確立するための最初のオファーでもないときに発生する」については全く知らなかったので、大変助かりました。

ご質問いただいている件についてですが、まずメッセージの出力形式は記載していただいている通りです。
次にIPアドレスの部分は管理・把握しているIPアドレスですので、DoS攻撃ではない認識です。

追加の情報等ありましたら、ご連絡いただけると有難いです。

以上、よろしくお願い致します。

shimenoy様

ご回答ありがとうございます。

ご教授いただいた内容についてですが、まず phase1/phase2 のパラメータは何度も見て一致しているのを確認しています。私も最初はlifetimeを疑ったのですが、こちらはデフォルト値を使っているはずなので、一致していると思っているのですが・・・

※show runではlifetimeに関する表示がされないので、デフォルト値を使っている認識です。

　IPSecVTIを使っているのですが、lifetimeに関するコンフィグは下記ぐらいです。

crypto ipsec profile Sample
 set security-association lifetime seconds 43200

!

次に、DPDも既に使用しており、下記のコマンドを投入しています。
crypto isakmp keepalive 30 periodic

crypto isakmp invalid-spi-recovery
crypto ipsec security-association replay disable
!

ただ、IPSecVTIのTunnel I/Fの中でEIGRPを透過させてネイバーを張っているのですが、show loggingの出力を見ると、先にEIGRPがdownしてから、TunnelがDownするのではなく、TunnelがDownした直後にEIGRPがDownします。（タイマー値としてはEIGRPの方が短いので、先にEIGRPがDownしそうなのですが・・・もしかしてkeepaliveの方だけ落ちてる？)

今回の投稿とは無関係な気もしますが、もしかしたらと思い、記載しました。

ちなみに、clear crypto isakmp sa コマンドを実行すると安定（事象発生しない）しますので、放置＆様子見でも良いのですが、悩ましいところです。

shimenoy様

ご回答ありがとうございます。

ご指摘はごもっとものことですので、ご教授いただいたコマンドで確認しました。

が・・・、やはりパラメータは一致しておりました。

debugは実施したいところなのですが、実運用（サービスイン）してしまっているのと、いつ発生するか分からないので、debugを仕掛けたままの運用になるのは避けたいので難しいです。

網内輻輳・遅延による破棄の線も残っているので、そちらも調査したいと思います。

（必要に応じてCiscoTACとも連携します)

本件、ご教授・お付き合いいただきましたこと、心より御礼申し上げます。