古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F120トップ マニュアル&カタログ ファームウェア 設定例 FAQ

FITELnet-F120ファームウェア リリースノート

FITELnet-F120 firm V02.01(00) 05/11/24 release
---FITELnet-F120ファームウェア V02.00(00)からの変更点---
下記の新規機能を追加いたしました
(1) AIR-EDGE のモバイルカードに対応いたしました。対応するカードは AX510N となります。また、AIR-EDGE のモバイルカードを使用するためには、ハードウェアバージョンが V01.12 以降である必要があります。
(2) 1ヶ月で許可する累積許容時間を設定できるようにしました(forced disconnect cumulative-time コマンド)。現在の状況は、show limiter cumulative-time コマンドで確認することができます。また、リミッターが動作して発信が制限されている場合は、clear forced disconnect cumulative-time mobile コマンドで解除することができます。
(3) モバイルカードの情報を表示する以下のコマンドを追加しました。
  • show card 1 modem-info
  • show card 1 status


下記の変更を実施いたしました
(1) ポリシーベースの IPsec を使った場合、デフォルトでは MSS 値を MTU-102 で書き換えていましたが、これを AES 暗号化を考慮して MTU-113 に変更いたしました。
(2) show report-all に show remote-maintenance ssh の内容を含めるようにしました。
(3) 従来は show memory の後にオプションの指定が必要でしたが、show memory だけで各種メモリーの統計情報を表示するようにしました。
(4) 対向の装置から IPsec SA の delete message を受けた場合、outbound SA を削除した上で、最大2分間は sa-up route を保持していましたが、これを outbound SA と同時に削除するようにしました。これにより、sa-up route 機能を使った冗長構成などで、経路の切り替わりを早くすることが可能となりました。
(5) Web 機能を削除しました。
(6) デフォルトのコンフィグから、forced disconnect packet で設定されていた累積パケット数リミッタ機能を削除しました。


下記の問題点を改修いたしました
(1) VRRP の仮想 IP で IPsec した場合に、VRRP の状態遷移が発生後、自装置からの IPsec 確立(イニシエータ動作)が行えなくなることがありました。
(2) VRRP の仮想 IP で IPsec した場合に、既存の VRRP 設定を owner 設定に変更すると、IPsec 通信できなくなっていました。
(3) VRRP の仮想 IP で IPsec した場合に、ISAKMP メッセージの送信元アドレスが、装置の実アドレスになることがありました。
(4) 「NISCC-589088 DNS パケットに含まれる圧縮されたデータの展開処理に関する脆弱性」にて報告されている問題について対応しました。
脆弱性の詳細についてはこちら
(5) SCP 機能を使ってファームアップした場合に失敗することがありました。
(6) show ip arp のオプションで pppoe が指定できるようになっていましたので、指定できないようにしました。
(7) SSH でログインしている状態で、クライアント側で異常切断が発生すると、再度 SSH でログインすることができなくなっていました。
(8) shutdown してある dialer インターフェースで、no shutdown として refresh しても、フィルタリングと NAT の設定が有効になりませんでした。
(9) 「NISCC-532967 TCP 実装の ICMP エラーメッセージの処理に関する脆弱性」にて報告されている問題について対応しました。
脆弱性の詳細についてはこちら

  • Source Quench の問題に対して、Source Quench 機能を off/on できるようにしました( ip source-quench [ disable | enable ] デフォルトは disable )。
(10) フィルタリングで、あるインターフェースに適用しているアクセスリストを変更し、かつ、そのアクセスリストをほかのインターフェースに適用し直すと、設定を消した元のインターフェースで以前の設定のままフィルタリングが動き続けていました。
(11) UPnP 機能で、Device Description を生成する xml ドキュメント内の modelName、modelNumber が FITELnet-F100 になっていました。
(12) aggressive mode の responder 側でtunnel-route 機能を使っている場合に、装置が起動してから最初に受信した IKE のネゴに正しく応答できず、失敗していました。
(13) pppoe インターフェースが up/down しても、トラップが送出されませんでした。
(14) pppoe 1〜5 インターフェースの LinkUP/LinkDOWN トラップの ifIndex が 4〜8 となっていました。正しくは 6〜10 となります。
(15) rip で metric 16 のルート情報を受信した場合に、内部的にその情報を持ち続けてしまうことがありました。
(16) 1つの peer に複数のセレクタが関連付けられており、かつ、その内の1つのセレクタで IPsec SA が確立している場合に、IPsec SA が確立していないセレクターに sa-up route の設定を追加して refresh すると、その SA が確立していないセレクターの sa-up route が登録されてしまっていました。
(17) MIB で dialer インタフェースの、ifSpeed の値が常時 2400000 になっていました。正しくは W01K カードが挿入されている場合は 2400000 で、何も挿入されていない場合は 0 となります(AX510N カードが挿入されている場合は 256000 となります)。
(18) MIB で dialer インタフェースの、ifHighSpeed の値が常時 0 になっていました。正しくは W01K カードが挿入されている場合は 2 で、何も挿入されていない場合は 0 となります(AX510N カードが挿入されている場合も 0 となります)。
(19) ip nat inside destination の設定数が上限を超えた場合に記録される elog の綴りが間違っていました。
(20) 変換対象とする送信元アドレスを any にして LAN → WAN への NAT 変換ルールを設定した場合に、通常は通信が許可されない状態であっても、WAN → LAN へアクセスできてしまうことがありました。
(21) ipsecif を使用してトンネルの中にさらにトンネルを通す下記のような構成において、F120#2 と F120#3 間のトンネルで ESP 通信が1度も発生していない状態の場合に、F120#1 から IKE のパケットを受けると、F120#2 が ICMP エラーメッセージ(destination unreachable)を送信し、F120#1 と F120#4 間のトンネルが確立できませんでした。

 <構成>
  F120#1 ----- F120#2 ------ F120#3 ------ F120#4
(22) IKE SA の lifetime 計測処理において、計測誤差が累積する問題がありました。
(23) タイマ登録処理において時刻情報の取り扱いに問題があり、以下の現象が発生する可能性がありました。
  • ルーティングプロトコル(RIP、OSPF、BGP、RIPng)の定期送信パケット停止
  • working.cfg 編集状態で reset コマンドを実行した場合の警告メッセージ誤動作
  • IPv6 における RA 広告機能停止
  • IPv6 における DHCP クライアント機能停止
  • VRRP 機能におけるマスター状態に遷移した経過時間の不正表示
(24) 「NISCC-273756 ISAKMP プロトコルの実装に複数の脆弱性」にて報告されている問題について対応しました。脆弱性の詳細についてはこちら
(25) dialer インターフェースの設定を変更して refresh すると、経路表示の nextif に間違った dialer インターフェースが表示されることがありました。
(26) show ip interface dialer の表示で、アドレスのサブネットマスクが 0.0.0.0 となっていましたので、255.255.255.255 にしました。また、show ip route の表示で、point-to-point の相手アドレスのサブネットマスクを /24 としていましたので、/32 にしました。
(27) dialer インターフェース上で ipsec インターフェースを使った場合に、装置が再起動することがありました。


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007