古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F2200トップ マニュアル&カタログ ファームウェア 設定例 技術情報

FITELnet F2200ファームウェア リリースノート

FITELnet F2200 firm V01.03(00) 17/01/31 release
---FITELnet F2200ファームウェア V01.02(00)からの変更点---
下記の新規機能を追加いたしました
(1) sFlow エージェント機能に対応いたしました。
また、外部のコレクタを使用せず本装置上のshowコマンドでフローの統計情報を取得する機能にも対応いたしました。

コマンド実施例:
Router(config)#sflow-agent address <アドレス>

Router(config)#sflow profile 1
Router(config-sflow-prof)#collector address <外部コレクタアドレス | local>

Router(config)#interface lan 1
Router(config-if lan 1)#sflow profile 1
Router(config-if lan 1)#sflow sampling-rate 10


下記の変更を実施いたしました
(1) 1つのVPNピアアドレスのIPsecゲートウェイに対して、IKEv1 Mainモードを利用して複数のSAを確立する機能をサポートいたしました。(自装置側には確立するSA数のグローバルアドレスが必要となります)
(2) IPsecインタフェースでNAT機能が動作するように拡張いたしました。本機能は、暗号化前・復号化後の平文パケットに対してNAT変換が行われます。従来のvpn-nat機能は、IKEv1使用時のinside変換のみをサポートしておりましたが、outside変換もできるようになります。また、IKEv2使用時でもNAT変換できるように対応いたしました。
(3) ICMP監視機能として、IPv6ホストに対して監視する機能をサポートいたしました。
(4) セカンダリアドレスでVRRPが利用できるように機能拡張いたしました。
(5) MPSAサーバの冗長機能を拡張いたしました。
従来のMPSAサーバ冗長では、サーバ間の同期がとれない状態でリキーが発生するとSAの不一致が発生する問題がありました。これを避けるため、リキー後のSAも同期するように変更いたしました。
※MPSAサーバの冗長構成を利用している場合は全てのMPSAサーバで本件対応ファームウェアを使用してください。
(6) MPSAサーバ間で装置時刻が10秒以上ずれている場合は、MPSAサーバの冗長用のセッションを切断するように変更いたしました。

MPSAサーバの冗長機能を使用する場合は時刻のずれがないように設定してください。(NTPサーバで同期をとることを推奨します)
なお、時刻ずれが発生している場合は以下の vpnlog が出力されますので、サーバ間の時刻同期を見直しください。

"GSA server TCP connection is closed. remote %01 R: %02"

%01: MPSAサーバのリモートアドレス
%02: Time is different from remote more than 10 second
(7) 従来のMPSA通信ではデフォルト動作となっていたユニキャストRPF(unicast reverse path forwarding)チェックを設定でON/OFFできるように変更いたしました。変更後のデフォルトはOFFで動作します。ユニキャストRPFチェック機能はMPSA用のIPsecインタフェースでのみ有効です。

コマンド実施例:
Router(config)#interface ipsecif 1
Router(config-if ipsecif 1)# reverse-path-check enable
(8) refresh コマンドを実行したときに slog に履歴が残るようにいたしました。
(9) show report-all で表示される以下の情報の順番を変更いたしました。
先頭から次の順番で表示されるようになります。
[CPU PROCESSES]
[date]
[uptime]
[version]
(10) show report-all で取得できる情報に、装置の各種内部情報を追加しました。
(11) 装置処理能力以上のトラフィックの印加があった場合に、slogを出力する機能を追加いたしました。

<slog の表示内容>
LO_FULL[EMAC%01] : %02 -> %03 last ten minutes.
※%01 = ポートの番号 0:LAN、1:EWAN 1、2:EWAN 2
 %02 = ログ出力時の受信キュー溢れしたパケット数
 %03 = 10分前に保持していた受信キュー溢れしたパケット数


下記の問題点を改修いたしました
(1) VRRPの動作において、後から起動したVRRPの優先度が低い装置が一時的にMasterに遷移してしまう場合がありました。

本不具合は、V01.00(00)以降で発生します。
(2) 装置起動後の VRRP Advertisement パケットの送出間隔が設定値通りに動作しない場合がありました。

本不具合は、V01.00(00)以降で発生します。
(3) MPSAのクライアント側でトラフィックを印加しながら装置を起動すると装置再起動が発生する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(4) MPSAを使用している場合、ユニキャストRPFチェックで破棄となる対象パケットを大量に受信し続けると装置再起動が発生する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(5) MPSAサーバから通知されるライフタイム値が、MPSAクライアント側で設定したロールオーバー値(rollover設定値)よりも小さい場合はMPSAの通信を停止せずに動作しておりましたが、MPSA通信を停止させるようにいたしました。

本不具合は、V01.00(00)以降で発生します。
(6) MPSAのクライアント側で、通常SAと MPSAのSPIが重複して いずれかの IPsec通信ができなくなる場合がありました。

本不具合は、V01.00(00)以降で発生します。
(7) MPSAを利用している場合、サーバからのリキーがクライアントに届かない状態になると最後に受信したMPSAがタイムアウトぜずに残留する場合があり、ライフタイム満了後も継続してMPSAの通信ができてしまう不具合がありました。但し、SA再確立後は残留していたMPSAは削除されるので通信に影響を与えることはありません。

本不具合は、V01.00(00)以降で発生します。
(8) MPSAクライアント側で show crypto group-security client sa redundancyを実行すると装置再起動が発生する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(9) MPSA 使用時に、 IKE SA と MPSA SA のリキーのタイミングによっては正常にMPSAが登録できなくなる不具合がありました。

本不具合は、V01.00(00)以降で発生します。
(10) BGPのUPDATEメッセージを大量に受信する際、中継パケットロスが発生する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(11) neighbor default-originateコマンドを使用した場合、自身をネクストホップとしたデフォルトルートとBGP 経路表に登録されているデフォルトルートの両方を BGPピアに広告してしまっており、相手側でデフォルトルートを複数受信することになり、結果的にneighbor default-originateコマンドが有効とならない問題がありました。

本不具合は、V01.00(00)以降で発生します。
(12) 4000経路程度の経路情報の変化が発生すると、経路情報に変化が発生していない通信についてもパケロスが発生する問題がありました。

本不具合は、V01.00(00)以降で発生します。
(13) Cisco装置とFITELnet装置を相互接続させる際、下記の条件で L2TPv3接続ができない問題がありました。
・Cisco IOSの15.4(1)S/T以降のバージョンで protocol l2tpv3を設定
・FITELnet装置でprotocol l2tpv3extを設定

本不具合は、V01.00(00)以降で発生します。
(14) IPsec上でL2通信(EtherIP, L2TPv3)を行う構成において、SA確立後の最初の送信パケット(暗号化方向)が廃棄される不具合がありました。

本不具合は、V01.02(00)以降で発生します。
(15) L2TPv3のResponderとして動作している場合に、L2TPネゴシエーションが40回以上失敗すると、装置が再起動する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(16) Message Typeが 0 の L2TPv3コントロールメッセージ(異常フレーム)を受信すると、装置が再起動する不具合がありました。

本不具合は、V01.00(00)以降で発生します。
(17) MSSの書き換え設定を行っていても L2TPv2/IPsec の構成ではMSSが書き変わらない問題がありました。

本不具合は、V01.02(00)以降で発生します。
(18) L2TP/IPsecで、複数のクライアントを収容するケースにおいて、同時に複数のネゴシエーションを行うタイミングで、装置が再起動する場合がありました。

本不具合は、V01.02(00)以降で発生します。
(19) マルチキャストグループがインターフェースに登録された後、そのマルチキャストグループの削除に失敗する問題がありました。このとき、elogには下記のログが記録されます。
setsockopt(MRT_DEL_MFC): K_PARAM < Invalid param >

本不具合は、V01.02(00)以降で発生します。
(20) IPinIPを利用していて、NAT変換対象のパケット中継を行うと通信が一時的に中断する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(21) OSPFを利用していてネクストホップが 5個以上ある同一コストマルチパスの経路を登録する場合に装置再起動することがありました。

本不具合は、V01.00(00)以降で発生します。
(22) IKEv1のネゴシエーションが失敗したときに特定のパケットを受信すると装置再起動が発生する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(23) 高負荷により、IKEv2のSA確立要求がタイムアウトすると装置再起動が発生する問題がありました。

本不具合は、V01.00(00)以降で発生します。
(24) LAN側の物理ポートをイベントアクションにてシャットダウンしたとき、当該ポートでの通信はできなくなりますがLINK LEDが消灯しない場合がありました。

本不具合は、V01.01(00)以降で発生します。
(25) SSHv2接続で、クライアントに show report-all のような多量のデータを送信する場合にデータが欠落する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(26) SSHでログインしていて、且つクライアント端末のウィンドウサイズを変更すると装置再起動が発生する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(27) DHCPリレーエージェント機能を使用した場合に、装置が再起動する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(28) 設定変更により、vlan インタフェースがリンクアップするときに以下のログが出力されることがありました。但し、ログが出力されるだけで動作に影響はありません。
例) Interface vlanif 1 "vlan-id 1" is duplicated.

本不具合は、V01.00(00)以降で発生します。
(29) 署名認証とXAUTH認証を行う設定でPhase1を行うと装置が再起動する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(30) IPsecの NATトラバーサル(RFCモード)を設定した状態で、ネゴシエーションパケットの送信元ポート番号が、前回確立時と異なっている場合、SAが確立できない不具合がありました。

本不具合は、V01.00(00)以降で発生します。
(31) crypto isakmp policy モードに設定した source-interface が有効とならない不具合がありました。
この不具合が発生すると、意図しないIPアドレスでIPsecネゴシエーションを行ったり、NAT-Traversalでの誤ったNAT検知が発生します。

本不具合は、V01.00(00)以降で発生します。
(32) IPsecでNAT装置が存在する環境において、QuickModeによるリキーが失敗する場合がありました。

本不具合は、V01.02(00)以降で発生します。


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2017