古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F100トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-F100ファームウェア リリースノート

FITELnet-F100 firm V01.21(01) 05/10/11 release
---FITELnet-F100ファームウェア V01.21(00)からの変更点---
下記の変更を実施いたしました
(1) 対向の装置からIPsec SAのdelete messageを受けた場合、outbound SAを削除した上で、最大2分間はsa-up routeを保持していましたが、これをoutbound SAと同時に削除するようにしました。これにより、sa-up route機能を使った冗長構成などで、経路の切り替わりを早くすることが可能となりました。
(2) ポリシーベースのIPsecを使った場合、デフォルトではMSS値をMTU-102で書き換えていましたが、これをAES暗号化を考慮してMTU-113に変更いたしました。
(3) show report-allにshow remote-maintenance sshの内容を含めるようにしました。
(4) 従来はshow memoryの後にオプションの指定が必要でしたが、show memoryだけで各種メモリーの統計情報を表示するようにしました。
(5) InformationalパケットでのInitial-contactを受信するケースにおいて、従来は旧IPsec SAのみを削除していましたが、旧IKE SAの削除も行うようにしました。
(6) IKE SAのlifetime満了30秒前から、該当するIKE SAを使用したパケット送信を停止する仕様になっていますが、他装置との接続性を考慮して、lifetime満了前の30秒間であっても、keepaliveの応答については送信できるようにしました。
(7) keepalive(DPDおよびDPD-prop)がfail した場合に、vpnlogに記録するようにしました。


下記の問題点を改修いたしました
(1) 同一ホスト間でたくさんの種類の通信を継続的に行った場合に、中継性能が劣化する場合がありました。
(2) SSHでログインしている状態で、クライアント側で異常切断が発生すると、再度SSHでログインすることができなくなっていました。
(3) aggressive modeのresponder側でtunnel-route機能を使っている場合に、装置が起動してから最初に受信したIKEのネゴに正しく応答できず、失敗していました。
(4) pppoeインターフェースがup/downしても、トラップが送出されませんでした。
(5) pppoeインターフェースのLinkUP/LinkDOWNトラップのifIndexが4〜8となっていました。正しくは6〜10となります。
(6) ripでmetric 16のルート情報を受信した場合に、内部的にその情報を持ち続けてしまうことがありました。
(7) フィルタリングで、あるインターフェースに適用しているアクセスリストを変更し、かつ、そのアクセスリストをほかのインターフェースに適用し直すと、設定を消した元のインターフェースで以前の設定のままフィルタリングが動き続けていました。
(8) 1つのpeerに複数のセレクタが関連付けられており、かつ、その内の1つのセレクタでIPsec SAが確立している場合に、IPsec SAが確立していないセレクターにsa-up routeの設定を追加してrefreshすると、そのSAが確立していないセレクターのsa-up routeが登録されてしまっていました。
(9) フィルタリングでアクセスリストに複数行のルールを追加してrefreshすると、装置が再起動することがありました。
(10) ip nat inside destinationの設定数が上限を超えた場合に記録されるelogの綴りが間違っていました。
(11) サポートしていないasyncインターフェースに関するコマンドがありましたので、これを削除しました。
(12) show ip arpのオプションでpppoeが指定できるようになっていましたので、指定できないようにしました。
(13) shutdownしてあるdialerインターフェースで、no shutdownとしてrefreshしても、フィルタリングとNATの設定が有効になりませんでした。
(14) AggressiveモードのResponder側となった場合に、keepalive always-sendの設定をしても、keepaliveのパケットが送信されなくなってしまうことがありました。
(15) IKE SAのlifetime計測処理において、計測誤差が累積する問題がありました。
(16) AggressiveモードのResponder側でXAUTH(拡張認証)設定を併用した場合に、InitiatorからのIKE SA再確立が行われると、旧IKE SAを削除せずに、新旧2つのIKE SAが存在する状態となっていました。旧IKE SAはlifetime満了まで内部的に保持されていました。
(17) タイマ登録処理において時刻情報の取り扱いに問題があり、以下の現象が発生する可能性がありました。
  • ルーティングプロトコル(RIP、OSPF、BGP、RIPng)の定期送信パケット停止
  • working.cfg編集状態でresetコマンドを実行した場合の警告メッセージ誤動作
  • IPv6におけるRA広告機能停止
  • IPv6におけるDHCPクライアント機能停止
  • VRRP機能におけるマスター状態に遷移した経過時間の不正表示
(18) dialerインターフェース上でipsecインターフェースを使った場合に、装置が再起動することがありました。
------2005/11/14 下記を追記------------
(19) 「NISCC-273756 ISAKMP プロトコルの実装に複数の脆弱性」にて報告されている問題について対応しました。脆弱性の詳細についてはこちら


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007