FITELnet-F100 firm V01.21(01) 05/10/11 release
---FITELnet-F100ファームウェア V01.21(00)からの変更点---
(1) |
対向の装置からIPsec SAのdelete messageを受けた場合、outbound SAを削除した上で、最大2分間はsa-up routeを保持していましたが、これをoutbound SAと同時に削除するようにしました。これにより、sa-up route機能を使った冗長構成などで、経路の切り替わりを早くすることが可能となりました。 |
(2) |
ポリシーベースのIPsecを使った場合、デフォルトではMSS値をMTU-102で書き換えていましたが、これをAES暗号化を考慮してMTU-113に変更いたしました。 |
(3) |
show report-allにshow remote-maintenance sshの内容を含めるようにしました。 |
(4) |
従来はshow memoryの後にオプションの指定が必要でしたが、show memoryだけで各種メモリーの統計情報を表示するようにしました。 |
(5) |
InformationalパケットでのInitial-contactを受信するケースにおいて、従来は旧IPsec SAのみを削除していましたが、旧IKE SAの削除も行うようにしました。 |
(6) |
IKE SAのlifetime満了30秒前から、該当するIKE SAを使用したパケット送信を停止する仕様になっていますが、他装置との接続性を考慮して、lifetime満了前の30秒間であっても、keepaliveの応答については送信できるようにしました。 |
(7) |
keepalive(DPDおよびDPD-prop)がfail した場合に、vpnlogに記録するようにしました。 |
(1) |
同一ホスト間でたくさんの種類の通信を継続的に行った場合に、中継性能が劣化する場合がありました。 |
(2) |
SSHでログインしている状態で、クライアント側で異常切断が発生すると、再度SSHでログインすることができなくなっていました。 |
(3) |
aggressive modeのresponder側でtunnel-route機能を使っている場合に、装置が起動してから最初に受信したIKEのネゴに正しく応答できず、失敗していました。 |
(4) |
pppoeインターフェースがup/downしても、トラップが送出されませんでした。 |
(5) |
pppoeインターフェースのLinkUP/LinkDOWNトラップのifIndexが4〜8となっていました。正しくは6〜10となります。 |
(6) |
ripでmetric 16のルート情報を受信した場合に、内部的にその情報を持ち続けてしまうことがありました。 |
(7) |
フィルタリングで、あるインターフェースに適用しているアクセスリストを変更し、かつ、そのアクセスリストをほかのインターフェースに適用し直すと、設定を消した元のインターフェースで以前の設定のままフィルタリングが動き続けていました。 |
(8) |
1つのpeerに複数のセレクタが関連付けられており、かつ、その内の1つのセレクタでIPsec SAが確立している場合に、IPsec SAが確立していないセレクターにsa-up routeの設定を追加してrefreshすると、そのSAが確立していないセレクターのsa-up routeが登録されてしまっていました。 |
(9) |
フィルタリングでアクセスリストに複数行のルールを追加してrefreshすると、装置が再起動することがありました。 |
(10) |
ip nat inside destinationの設定数が上限を超えた場合に記録されるelogの綴りが間違っていました。 |
(11) |
サポートしていないasyncインターフェースに関するコマンドがありましたので、これを削除しました。 |
(12) |
show ip arpのオプションでpppoeが指定できるようになっていましたので、指定できないようにしました。 |
(13) |
shutdownしてあるdialerインターフェースで、no shutdownとしてrefreshしても、フィルタリングとNATの設定が有効になりませんでした。 |
(14) |
AggressiveモードのResponder側となった場合に、keepalive always-sendの設定をしても、keepaliveのパケットが送信されなくなってしまうことがありました。 |
(15) |
IKE SAのlifetime計測処理において、計測誤差が累積する問題がありました。 |
(16) |
AggressiveモードのResponder側でXAUTH(拡張認証)設定を併用した場合に、InitiatorからのIKE SA再確立が行われると、旧IKE SAを削除せずに、新旧2つのIKE SAが存在する状態となっていました。旧IKE SAはlifetime満了まで内部的に保持されていました。 |
(17) |
タイマ登録処理において時刻情報の取り扱いに問題があり、以下の現象が発生する可能性がありました。
- ルーティングプロトコル(RIP、OSPF、BGP、RIPng)の定期送信パケット停止
- working.cfg編集状態でresetコマンドを実行した場合の警告メッセージ誤動作
- IPv6におけるRA広告機能停止
- IPv6におけるDHCPクライアント機能停止
- VRRP機能におけるマスター状態に遷移した経過時間の不正表示
|
(18) |
dialerインターフェース上でipsecインターフェースを使った場合に、装置が再起動することがありました。 |
|
------2005/11/14 下記を追記------------ |
(19) |
「NISCC-273756 ISAKMP プロトコルの実装に複数の脆弱性」にて報告されている問題について対応しました。脆弱性の詳細についてはこちら。 |
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007