古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
f80トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-f80ファームウェア リリースノート

FITELnet-F80 firm V01.01(02) 07/01/15 release
---FITELnet-F80ファームウェア V01.01(01)からの変更点---
下記の新規機能を追加いたしました
(1) 装置のRSA公開鍵情報を表示するコマンドを追加しました。
---
Router#show crypto key mypubkey rsa


下記の変更を実施いたしました
(1) ARPテーブル生存(1200sec)中に該当ARPテーブルを使用するパケットを送信した場合は、 ageoutする10秒前に arp requestを送信してarpを事前解決する動作を行うように変更しました。 これにより、通信中にARPテーブルがageoutしてarpが未解決状態に遷移した場合に、 ARP応答が返ってくるまでパケットを送信できないことによる中継遅延の発生を抑えることができます。
また、show ip arpで表示されるAgeがARPテーブルがageoutするまでの残り時間を表示していましたが、 アドレスを学習してからの経過時間を表示するように変更しました。  
(2) ProxyDNS機能において以下の動作を変更しました。
  • default name-serverで設定されたDNSサーバに対して問い合わせを行い エラー応答を受信した場合に有効な次候補のDNSサーバに対して問い合わせを行う動作をするが、 次候補のDNSサーバが存在しない場合にはエラー応答を送信するように変更
  • default name-server設定無し、各インタフェースで取得したDNS無し、hosts設定無しの場合に、 問い合わせ元に対してエラー応答を送信するように変更
  • 問い合わせ元に対して応答パケットを送信する際の送信元IPアドレスは 送信インタフェースのアドレスとしていたが、問い合わせを 受信した宛先アドレス(自装置のいずれかのインタフェースのアドレス)を 送信元IPアドレスとして応答パケットを送信するように変更
(3) dhcp-client retries infinitelyの設定がありアドレス取得できない場合 リトライ動作を継続する動作を行いますが、アドレス取得に失敗した状態であることを示す elog記録(dhcp client timeout)を追加しました。
(4)  show interfaceコマンドの表示内容を変更しました。
  • 各インタフェース毎に送受信パケット数等の統計情報表示を追加
    これに併せて各インタフェースの統計情報表示内容を統一
  • collisionカウント、FCSエラー等の物理ポート毎の統計情報を削除
    これらの情報はV02.05(00)ファームウェアより、show line statisticsコマンドで表示
  • NULLインタフェースにパケットを送信した場合にerrorとしてカウントしていたが、 他のインタフェース同様に送信パケットとしてカウントするように変更
  • IPsecインタフェースでQoS(CBQやPRIQ)を使用しキュー溢れによるパケット廃棄が発生した場合に errorのカウントがアップしていたが、他のインタフェース同様にdiscardの カウントをアップするように変更

表示例

 Router# show interface ewan 1
EWAN 1 is up
  Hardware is Fastethernet ,address is 0080.abcd.f100
  IP address is xxx.xxx.xxx.xxx, 255.255.255.0
  Encapsulation ARPA
  ARP type: ARPA, ARP Timeout 00:20:00
  Last clearing of "show interface" packet counters never
  Statistics:
  14 packets input
    899 bytes input, 0 errors
    14 unicasts, 0 broadcasts, 0 multicasts
    0 discards, 0 unknown protocol
  14 packets output
    558 bytes output, 0 errors
    14 unicasts, 0 broadcasts, 0 multicasts
    0 discards
Router#

(5)

以下のコマンドにおいて、未設定アクセスリストを使用した設定を行った場合に、 elogにエラーメッセージを記録するようにしました。

  • ip access-group/ipv6 access-group)
  • snmp-server community
  • ssh-server access-group
  • upnp-server access-group
  • match address(crypto map 設定モード)

     

  • (6)

    RSAペアを生成する際、公開鍵のビット数が指定したビット数より 1ビット小さくなる場合がありましたが、必ず指定したビット数で 生成するようにしました。これにより他社装置との相互接続性が 向上します。
    本対応と同時にgenerate keyでRSA鍵ペアを生成時、生成した公開鍵の情報を 表示するように変更しました。

     



    下記の問題点を改修いたしました
    (1) show ipv6 neighbors コマンドのAge表示が正しく表示されない問題に対応しました。
    (2) tasktraceに関する以下の問題を修正しました。
    • tasktraceの表示でIPv6のtraffic-classの値が不正
    • tasktrace-manager filter interface指定を行っても、 指定したインタフェース以外で送受信したパケットのトレースが出力されていた
    • tastktrace oTDer recv 指定で対象パケットが出力されなかった
    • tasktrace ip指定でUDPパケットが出力されなかった
    • tasktrace packet hexdump, tasktrace packet hexdump all指定を せずにパケットを取得すると、L3レイヤの翻訳情報が 正しく表示されない問題に対応
    • tasktrace pppoe指定で、コンソールからPPPoEサーバ宛の PINGなどの自局送信パケットがタスクトレースに重複して出力されていた
    (3) QuickModeネゴシエーションにおいて、サポートしていない暗号化アルゴリズムが最初に提案された場合に、 no proposal chosenでネゴに失敗してしまう問題に対応しました。
    (4) VRRP機能を複数ポート且つ異なるVRIDで使用時、 インタフェースのアップ/ダウンが発生したポートとは 別のポートのVRRPステータスが不正に状態遷移(一旦Initialize状態に遷移した後、 元の状態に復旧)する問題に対応しました。
    (5) トンネルルートの登録に失敗したことを示すエラーログ出力処理に問題があり、 下記エラーログが連続して出力された場合に装置負荷が異常に高くなり、 コンソール応答が著しく鈍くなる、もしくは中継処理が一時的に停止する等の問題を修正しました。
    • トンネルルート機能の設定間違いによるログ
    • 装置起動直後にISAKMPネゴシエーションを連続受信する状況によるログ
    (6) VRRPの仮想IPアドレスでIPsec終端する構成でレスポンダ動作時、 Phase1-IDペイロードのIDTypeフィールドにVRRPの仮想IPアドレスではなく、 実IPアドレスが入ってしまう問題に対応しました。
    (7) 装置にログインする際のパスワード入力処理において、 "Enter password:" が表示された状態で入力制御に関わらない 以下の非表示文字の入力を行った場合に、 入力長チェックが働かず入力が続く限り"Enter password:"のプロンプト状態となっていました。
    • Ctrl + n を押し続ける
    • Back space  を押し続ける
    • Delete  を押し続ける
    (8) F80における最大IPsecセッション数(ポリシーベースIPsec設定時で最大64セレクタ、 ルートベースIPsec設定時で最大32セレクタ)に近い環境において、 IPsec対象トラフィックを印加した状態でIKE-SA、IPsec-SAの削除を繰り返し行った場合に、 装置内部資源が枯渇し自律リセットが発生する場合がありました。
    (9) 自装置のEWAN1インタフェースから送信したARP Requestを EWAN2インタフェースで受信するループ構成となった場合に、 装置の自律リセットが発生する場合がありました。
    hardware macaddress conventionalの設定を行ない、全ての インタフェースで同一のMACアドレスを使用している場合には、 本自律リセットの発生はありません。
    (10) インターフェースMIBに関する以下の問題に対応しました。
    • PPPoEネゴシエーションパケットカウント(ifInUcastPkts)が、 PPPoEネゴシエーションが完了するまでカウントされない
    (11) 以下の設定で refresh 及び装置起動すると自律リセットが発生する可能性がありました。
    • crypto mapのmatch address設定なし
    • interfaceにcrypto map設定あり
    (12) ip vrrp enable設定を即時有効操作(refresh)で追加した場合に、LANケーブルを抜いても LANインタフェースがダウンせず、VRRPステータスの切替が行えない問題に対応しました。
    (13) 装置へのTELNETやSSH通信において、行末コードがCR/LFではなく LF/CRとなっていました。
    (14) ログ表示を--more--で停止させた状態で新たなログが記録された場合に、 moreの前後でログのレコード番号が飛ばされたり、新たに上書きされた ログ情報が表示されてしまう問題を修正しました。
    (15) 装置に対してSSHで接続し、接続に失敗したり異常切断が発生した 場合、その後にSSHでの接続を行なった際に 自律リセットが発生する場合がありました。
    (16) OSPFで他エリアから学習したエリア間経路のフラップが連続して発生した場合に、 実際の登録経路数(show ip route で表示される経路数)が最大2048エントリに 達していないのにもかかわらず、新たな経路を追加することができずに、 OSPF route overflow やNSM route overflow のelogを記録する現象が発生していました。
    これに伴い、トンネルルート機能を使用する運用において 新たなSA確立時にトンネルルートを追加することができず、 SA確立に失敗する現象が発生していた問題に対応しました。
    本現象は、エリア内経路、エリア内 AS外経路、エリア外 AS外経路のフラップでは発生しません。
    (17) QoS(CBQ)機能を使用しキュー長設定を短く設定した場合に、 装置の中継性能を下回る設定帯域以下のトラフィックであるにもかかわらず、 キュー溢れが発生してパケットをロスする問題に対応しました。
    この現象はキュー長を20以下に設定した場合に特に発生しやすくなります。(デフォルトのキュー長は50)
    (18) ポリシールーティング機能とIPsec負荷分散機能を 併用し、 ポリシールーティング機能で決定した出力インタフェースと IPsec負荷分散機能で決定した出力インタフェースが異なる場合に、 装置の自律リセットが発生する問題を修正しました。
    (19) OSPF運用環境において、show ip ospf database表示を more で停止している状態から quitにて表示を終了し、その後にOSPFデータベースを参照する際に 装置の自律リセットが発生する場合がありました。
    (20) snmp-server community にIPv4アクセスリストを指定した設定において、 IPv6でMIB取得等の通信を行うと、以下のの文字列がコンソール上に記録されて 装置の自律リセットが発生していました。
    EXCEPTION! Data TLB Error
    (21) 装置起動時のコンフィグ読み込み処理において、稀に装置の自律リセットが 発生する可能性がある問題に対応しました。
    (22) loadコマンドを使用した場合に、稀にコンフィグの読み込み処理に失敗する問題に対応しました。
    (23) トンネルルートの削除判定処理を変更しました。
    トンネルルートを登録した状態でイニシエータから同一ピアアドレス、 異なるUDPポート番号で新たなIKE-SAのネゴシエーションが行われた場合に、 従来は異なるピアからの新たなSA確立であると認識し旧SAの削除時に トンネルルートを併せて削除していましたが、認証により同一ピアであることが 認識できた場合にはトンネルルートを削除しないように変更しました。
    VPNピアとの間にNAT装置が存在し、このNAT装置のIPsecパススルー動作に よってはSA更新ネゴシエーション時にNATテーブルの変更(UDPポート番号の変更)が 行われ、トンネルルートを削除することによりIPsec-SAの更新が行えない 現象が発生する場合がありました。
    (24) ポリシールーティング機能によって自局送信パケットを対象とした場合で、 且つSSH機能を使用して装置にログインし、SSHのパケットがポリシールーティングの 対象となった場合に、装置の自律リセットが発生することがある問題を修正しました。
    (25) show crypto key ssh コマンドのkey とsshのコマンドヘルプが不適切であったため変更しました。
    (26) トンネルルートの登録に失敗した場合に、 IPsec Redundancy route add Fail というIPsec冗長機能関連のelogを 誤って出力してしまう問題を修正しました。
    また、トンネルルートの登録失敗は設定間違いで発生する他に、 装置起動直後等のインタフェースのアップタイミングのズレによっても 記録される場合があるため、トンネルルートの登録失敗を示すelogメッセージを 以下に変更しました。
    • tunnelroute nexTDop (IPアドレス) not ready or invalid
    • tunnelroute next interface (インタフェース名) is not up
    (27) sa-up route設定を削除してrefreshした時に、IPsec-SAが確立していない 場合であってもsa-up routeを削除しようとする動作を行う問題を修正しました。
    (28) ポリシーベース IPsec の運用において、装置の性能限界程度のトラフィックが印加されたり、 設定変更や show report-all といった比較的装置負荷のかかる操作を行った場合で、 印加トラフィックのうち復号化したパケットの宛先が不明(経路なし)であった場合に、 稀に装置が再起動する場合がある問題を修正しました。
    デフォルト経路が設定されているように復号化したパケットの経路が必ず存在する場合には、 本現象は発生しません。
    (29)
    ポリシーベース IPsec の運用において、装置の性能限界程度のトラフィックが印加されたり、設定変更や show report-all といった比較的装置負荷のかかる操作を行った場合で、主に同一フロー(同一の送信元/宛先/プロトコル/ポート番号)ではないパケットが双方向に中継されているような場合に、稀に暗号化したパケットを、そのパケットの直前に復号化したパケットと同じ中継先に転送する場合がある問題を修正しました。
    誤った中継先に転送されたパケットが最終的に正しい対向装置に中継されなかった場合、正しい対向装置以外では暗号化されたパケットを復号化できないため、該当パケットは廃棄される結果となります。
    (30) 「JVNVU#845620 複数の RSA 実装において署名が正しく検証されない脆弱性」にて報告されている 脆弱性がありました。
    脆弱性の詳細についてはこちら
    (31) インタフェースの統計情報において、ブロードキャストおよび マルチキャストパケット受信時にユニキャストパケットとして カウントする場合がありました。
    (32) CBQ設定において、CBQクラス数の合計最大数が64クラスまでに 制限されており、多数のIPsecインタフェースに対してCBQを設定できない 場合がありました。
    本修正により、CBQクラス数の制限を廃止しました。
    (33) Layer3のマーキングを行なうQoS機能使用時において、 以下の条件にすべて合致した場合、IPのチェックサム値が不正となっておりました。
    • ルートベースを使用
    • 暗号化したパケットのみマーキングを行なう
    • 暗号化前のパケットのTOS値が0以外
    • マーキング結果としてTOS値が0となるように設定
    (34) 「US-CERT VU#787448 OpenSSH fails to properly handle multiple identical blocks in a SSH packet」 にて報告されている脆弱性がありました。
    脆弱性の詳細についてはこちら
    (35) VRRPのadvertisementパケットを送信した際、 送信インタフェースの統計情報において、マルチキャストパケット(mcast) としてカウントすべきところをunicastとしてカウントしていました。
    (36) 「NISCC-729618 X.509 証明書の検証におけるサービス運用妨害 (DoS) の脆弱性」にて報告されている 脆弱性がありました。
    脆弱性の詳細についてはこちら
    (37) show interfaceで全てのインタフェース情報の表示を行なった場合に、 一部のインタフェースの表示間に改行がなく、読みにくい状態となっておりました。
    (38) VRRP機能を使用し、VRRPステータスがBACKUPである装置を経由してMASTER装置の仮想IPアドレスに 対する通信を行う構成において、上記仮想IPアドレス宛通信を継続したままVRRPステータスを 変化させた場合に、仮想IPアドレス宛通信が復旧しない場合がある問題を修正しました。 この状態においても仮想IPアドレス宛以外の通信には問題ありません。


    V01.01(02) のファームウェアは公開中止としましたので、上記機能をご利用になる場合は、V01.01(03) 以降のファームウェアをお使い下さい。

    ページトップへ

    All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007