古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 

FITELnet技術情報

FITELnet F2000とFITELnet-F1000の違いについて
2009年9月7日 初版
FITELnet F2000とFITELnet-F1000とでは以下のような違いがあり、それぞれについて説明します。
  1. 機能の違いについて
  2. コマンド書式の違いについて
  3. フィルタリングにおけるESPパケットの扱いについて

1. 機能の違いについて

F2000では次の各機能が拡張、変更されています。

○:サポート
−:未サポート

項目 FITELnet F2000 FITELnet-F1000
インタフェース LAN 10/100/1000BASE-T
(1000BASE-SX/LXと排他) 		2ポート 10/100BASE-TX 4ポート
10/100BASE-TX 8ポート
WAN 10/100/1000BASE-T
(1000BASE-SX/LXと排他) 		2ポート 10/100BASE-TX 2ポート
IPsecスループット 800Mbps以上 160Mbps以上
経路数 (スタティック経路数) 20,000(10,000) 2,048(1,024)
IPsec対地登録数 1000 500
IPsecインタフェース数 1000 500
VLAN数 32 16
NATセッション数 最大40,000 最大16,382
学習フィルタリングテーブル数 最大40,000 最大16,382
IPsec冗長機能(拠点側機能)
IPsec負荷分散機能
外部→内部 ESPパケットに対するfilter/QoSの適用(ipsecif使用時)
冷却方式 FANによる強制空冷 自然空冷
温度センサー
L2QoS 802.1p、DSCP 802.1p
ログ保持件数 tlog 32 32
elog 128 64
vpnlog 4096 1024
slog 1024 512
flog 128 128
ttrlog 1000 500
メール通知機能 イベントアクション 不正アクセス
ファームウェアの自動再起動
IPsec冗長/負荷分散
イベントアクション
デフォルトIPアドレス なし LAN 1、EWAN 1、EWAN 2でIPv4プライベートアドレスを保持
MACアドレス LAN 1、EWAN 1、EWAN 2で固有 LAN 1とEWAN 2で同じ
NDPテーブル数 2048 512
ARPテーブル数 2048 512

2. コマンド書式の違いについて

2-1.F2000では次の各コマンドで書式が変更になっています。

設定コマンド

(基本設定モード)
ip dhcp pool設定モードへの移行コマンド
F1000 ip dhcp pool lan1
F2000 ip dhcp pool lan 1
F1000 ip dhcp pool ewan2
F2000 ip dhcp pool ewan 2
(基本設定モード)
line設定モードへの移行コマンド
F1000 line lan 1
F2000 line lan
F1000 line ewan 1
F2000 line ewan
F1000 line ewan 2
F2000 line ewan
(line設定モード)
priority classification設定コマンド
F1000 priority <port-number> classification
F2000 priority {<1-10>|host} 802.1p classification
(line設定モード)
priority default-priority設定コマンド
F1000 priority <port-number> default-priority <802.1p値>
F2000 priority <port-number> 802.1p default-priority <802.1p値>
(line設定モード)
priority threshold設定コマンド
F1000 priority threshold <802.1p値>
F2000 priority 802.1p threshold <802.1p値>
(line設定モード)
bridge-group設定コマンド
F1000 bridge-group {ewan <1-2>|lan 1 <0-15>}
F2000 bridge-group {ewan|lan} <0-15>

表示コマンド

(ユーザーモードおよび特権ユーザーモード)
show ddns-server statisticsコマンド
F1000 show ddns-server statistics fqdn
F2000 show ddns-server statistics cache

 

2-2.F2000では次の各コマンドおよびオプションが削除されています。

設定コマンド

(基本設定モード)
hardware macaddress conventional
mail toコマンドの全オプション(event-action、filemaintenance、invader、multi-path、redundancy)
snmp-server enable trapsコマンドのconfigオプション
snmp-server hostコマンドのconfigオプション
(crypto isakmp policy設定モード)
keepalive-icmp multi-path
keepalive-icmp redundancy
(crypto map設定モード)
match addressコマンドの1st、2nd、multi-pathの各オプション
set redundancy address
set redundancy delete-message-send
set redundancy distance
(crypto ipsec-log設定モード)
multi-path
(line設定モード)
priority <port-number> queuing

表示コマンド

(ユーザーモードおよび特権ユーザーモード)
show crypto multi-path
show crypto redundancy
show ip routeコマンドのredundancyオプション

3. フィルタリングにおけるESPパケットの扱いについて

3-1.F2000でルートベースのIPsecの場合

F2000ではIPsecインターフェースを使ったルートベースのIPsecの場合、ESPパケットの受信は例外扱いされず、フィルタリングの対象となります(F1000と異なる動作)。従って、下記のようにESPパケットの受信を許可する設定が必要になります。 

access-list 2200 permit udp host any eq 500 host 200.200.200.1 eq 500
access-list 2200 permit esp any host 200.200.200.1
                 ★ESPパケットの受信を許可する設定が必要
access-list 2200 deny ip any any

interface pppoe 1
  ip address 200.200.200.1
  ip access-group 2200 in
exit

interface ipsecif 1
  crypto map KYOTEN1
exit

*ESPパケットを復号化した後のパケットに対してフィルタリングを適用したい場合には、IPsecインターフェースにてフィルタリングの設定を行います。

 

3-2.F2000でポリシーベースのIPsecの場合

ESPのパケットを受信しても例外扱いされてフィルタリングの対象とはならず、復号化後のパケットがフィルタリングの対象となります(F1000と同じ動作)。 

access-list 2200 permit udp host any eq 500 host 200.200.200.1 eq 500
access-list 2200 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
                 ★復号化後の通信を許可する設定が必要
access-list 2200 deny ip any any

interface pppoe 1
  ip address 200.200.200.1
  ip access-group 2200 in
  crypto map KYOTEN1
exit

 

*上記3-1、3-2はIPv4 over IPv4のIPsecの場合となります。IPv4 over IPv6のIPsecの場合、ルートベース、ポリシーベースにかかわらず、F1000、F2000とも受信したESPのパケットはフィルタリングの対象となります。

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2009