古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F1000トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-F1000ファームウェア リリースノート

FITELnet-F1000 firm V02.05(00) 06/04/05 release
---FITELnet-F1000ファームウェア V02.04(00)からの変更点---
下記の新規機能を追加いたしました
(1) NTPサーバ機能追加
NTPサーバ機能をサポートいたしました。 従来よりサポートしているSNTPクライアント機能と併用することで、 正確な時刻情報源として動作することが可能となります。
これに伴いSNTPクライアント機能関連の設定コマンドを即時有効対象に 変更いたしました。 また、SNTPクライアント機能の時刻精度を向上し、 状態表示コマンドを追加いたしました。 新規追加したNTPサーバ機能関連の設定コマンドについても 即時有効対象となります。
各種コマンドの詳細についてはコマンドリファレンスを参照ください。


下記の変更を実施いたしました
(1)  PPPoEセッションの切断及び再接続処理に関する仕様変更
FITELnet装置の電源断や再起動により網側にのみPPPoEセッションが残留した場合に、 網側が持つPPPoEセッション数を制限する機能やISPとの認証における二重ログインを制限する機能によって、 一定の時間を経過しないと新規のPPPoEセッションを確立できない場合があります。
このような場合に、FITELnet装置では網側からのEcho-Requestメッセージを利用し 残留したPPPoEセッションの切断を要求する機能を従来よりサポートしていましたが、この機能を更に拡張いたしました。
  • Echo-Requestメッセージ受信に伴いPPPoEセッションの切断を要求する機能(従来機能)
  • PPPoEトラフィック受信に伴いPPPoEセッションの切断を要求する機能の追加
    Echo-Requestメッセージ受信のみではなく、不明なセッションIDを持つ自装置宛の PPPoEトラフィックを受信した場合においても、網側に残留したPPPoEセッションの切断を要求する動作を行います。
  • 装置を再起動する際、網側に対して確立済みPPPoEセッションの切断を要求する機能の追加
(2)   装置MACアドレスの仕様変更
EWAN1ポートとEWAN2ポートにおいて、従来は自装置のMACアドレスとして単一のアドレスを用いておりましたが、 一部のPPPoEを利用するアクセス回線サービスをEWAN1とEWAN2で2回線同時に利用する場合に 通信できないケースが報告されたため、EWAN1で使用するMACアドレスを 従来とは異なるMACアドレスとなるように仕様を変更しました。
V02.05ファームウェアへバージョンアップすると、 LANの4ポート及びEWAN2は従来の装置MACアドレス(MACアドレス1)、 EWAN1は新たなMACアドレス(MACアドレス2)で動作します。 EWAN1においてMACアドレスを意識した運用(MACアドレスによるフィルタリング等)を行なっている場合等には 注意してください。
以下の新規コマンドを設定することで、従来ファームウェアと同様に装置単位で一つのMACアドレスで動作させることも可能です。

<設定例>
F1000(config)#hardware macaddress conventional
(3)   物理ポート毎の統計情報表示の追加
show line statisticsコマンドを追加し、物理ポート毎(LANの4ポート及びEWAN1ポート、EWAN2ポート)の 統計情報を表示することが可能となりました。
<表示例>
F1000#show line statistics ewan 1

[EWAN 1]
  Transmitted 18087867 packets, 17572535342 bytes
  0 no buffer
  0 high priority, 17572535342 low priority bytes
  18087444 unicasts, 11 broadcasts
  412 multicasts, 0 pauses
  0 deferred, 0 collisions
  0 late, 0 excessive collisions
  0 single, 0 multiple collisions
  Received 25528771 packets, 17183732044 bytes
  0 no buffer
  0 high priority, 17183732044 low priority bytes
  25528704 unicasts, 9 broadcasts
  58 multicasts
  0 pauses, 0 controls
  0 undersized, 0 fragments
  0 oversized
  0 jabbers, 0 symbol errors
  0 CRC errors, 0 alignment errors
    64 octets      : 19
    65-127 octets  : 14607826
   128-255 octets  : 14955
   256-511 octets  : 42
   512-1023 octets : 8
  1024-1522 octets : 10905921
(4) RIP処理の改善
RIPパケットの送受信処理に伴い、パケット中継処理に遅延が発生する場合がありました。


下記の問題点を改修いたしました
(1) プロトコル指定したipsec access-list(crypto map)を ipsecインターフェースに関連付けた場合に、 指定以外のプロトコルの通信ができてしまう問題に対応しました。
(2) clear ipv6 neighborコマンドが実行できない問題に対応しました。
(3) IPv6のRA通知を行う設定で show ipv6 nd ra情報を確認すると、 同じprefix情報が2つ表示される問題に対応しました。
(4) 特権ユーザモードで"show interface loopback"コマンドが実行できない問題に対応しました。
(5) Replay AttackのVPNログ出力においてseq番号が16進数で7FFFFFFFを越えると負数表示となる問題に対応しました。
(6) インターフェースMIBに関する以下の問題に対応しました。
  • PPPoEインターフェースを使用する場合に、EWAN及びPPPoEのifInOctetsが正しく取得できていませんでした
  • IPsecインターフェースにおいてQoS(キューイング処理)を行った場合に、 送信パケットカウントが正しく取得できていませんでした
  • 全てのインターフェースにおいてbroadcast/multicastの受信パケットカウントが正しく取得できていませんでした
  • Vlanインターフェースを使用する場合に、関連付けられた物理インターフェースの unicast/broadcast/multicastのパケットカウントが正しく取得できていませんでした
  • ifHCInOctetsやifHCOutOctets等の64ビットカウンタについて、下位32ビット分しか応答できていませんでした
  • ifHCOutMulticastPktsが正しく取得できていませんでした
(7) IPsecインターフェースを使用し、アウター側インターフェース(EWAN等)にQoSを設定する環境において、 input-interface ipsecif の指定を行った class-map を設定した場合に class-mapのカウンタが上がらない問題に対応しました。
(8) IPsecインターフェースを使用し、キューイングとL3マーキング(TOS値)を行う設定において、 元パケットにTOS値が設定された入力パケットに対してキューイング動作は行われるが、 L3マーキングが行われない問題に対応しました。
(9) vpn enable設定時のCPU使用率表示が、低負荷状態にもかかわらず異常に高い値となっていた問題に対応しました。
(10) ポリシーベースIPsecにおけるFITELnet-F1000の仕様はセレクタ数で最大2000ですが、 バージョン2系ファームウェアにおいて全体で1800SA程度しかPhase2-SAを確立できない問題に対応いたしました。 全SAが一斉に更新されるケースを考慮すると最大600セレクタ程度に相当します。 なお、ルートベースIPsecの仕様はセレクタ数で最大500であり問題ありません。
(11) 装置のコンフィグデータベースにアクセスする際の排他制御に漏れがありました。 このため、異なるコンソール(例えばシリアルコンソールとTELNETコンソールなど)から、 動作コンフィグを参照する(show running.cfgの実行)操作と、 動作コンフィグを変更する(コンフィグ変更後のrefreshコマンドの実行)操作を同時に行った場合に、 装置の自律リセットが発生する場合がありました。
(12) IPsec対象トラフィックを中継処理している状態において、 「中継経路のダウンや中継インターフェスのダウン」と「SAの更新や削除」のタイミングが重複した場合に、 中継動作が停止し装置コンソール操作も出来なくなる事象が発生する場合がありました。 本事象はV02.04ファームウェアにおいてのみ発生する可能性があります。
(13) IPsec対象トラフィックを装置の中継性能限界まで印加した場合に、 受信したESPパケットの順序入替えは発生していないのにもかかわらず vpnlogにReplay Attackのログが記録される場合がありました。 本事象はV02.04ファームウェアにおいてのみ発生する可能性があります。


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007