古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F100トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-F100ファームウェア リリースノート

FITELnet-F100 firm V02.02(00) 05/08/31 release
---FITELnet-F100ファームウェア V02.01(01)からの変更点---
下記のスケールアップを実施いたしました
(1) IPsec の対地登録数(peer数)を32から100に、セレクター数を64から128に拡張しました。これに伴い、IPsecインターフェース数も32から100に、またvpnlog のエントリー数を128から512に拡張しました。
(2) PPPoEセッション数を5から24に拡張しました。同時に、各PPPoEインタフェースを、EWAN1上で動作させるのかEWAN2上で動作させるのかを、選択できるようにしました。
(3) スタティックのルーティングテーブル数を128から256に、また、ルーティングテーブル数全体も300から512に拡張しました。


下記の性能向上および機能追加・拡張を実施いたしました
(1) IPsecのスループットが向上しました(双方向の合計で約 110 Mbps。64bytesのショートパケットでも、従来比で約 2 倍に向上)。
(2) 従来、null 暗号化はソフトウェア処理していましたが、これをハードウェア処理するようにしました。これによりnull 暗号化した場合のスループットが向上しました。
(3) Diffie-Hellman のGroup 5に対応いたしました。
(4) 従来、同一の物理ポートでPPPoEとEWANインターフェースは排他利用となっていましたが、これを同時利用できるようにしました。
(5) nat outside機能をサポートしました。これにより出て行くパケットの宛先アドレスや、入ってくるパケットの送信元アドレスを変換することができるようになりました。
(6) Web管理機能に対応しました。装置の状態やログ情報の取得、遠隔保守機能の操作、ファームウェアや設定情報の更新、装置再起動等の、各種情報取得や操作ができるようになりました。
(7) HTTPダイジェスト認証機能をサポートしました。これにより、Web機能を利用する際に、パスワードを平文で流さないことが可能となりました。
(8) dialer インターフェースで発信者番号チェックをしないようにする機能を追加しました。これにより、F100から発呼するのと同じ相手から、発信者番号通知なしの着信があった場合でも同じdialer インターフェースで受けることができるようになりました。


下記の変更を実施いたしました
(1) 対向の装置からIPsec SAのdelete messageを受けた場合、outbound SAを削除した上で、最大2分間はsa-up routeを保持していましたが、これをoutbound SAと同時に削除するようにしました。これにより、sa-up route機能を使った冗長構成などで、経路の切り替わりを早くすることが可能となりました。
(2) ポリシーベースのIPsecを使った場合、デフォルトではMSS値をMTU-102で書き換えていましたが、これをAES暗号化を考慮してMTU-113に変更いたしました。
(3) show report-allにshow remote-maintenance sshの内容を含めるようにしました。
(4) 従来はshow memoryの後にオプションの指定が必要でしたが、show memoryだけで各種メモリーの統計情報を表示するようにしました。


下記の問題点を改修いたしました
(1) show ip trafficで表示される統計情報で、受信パケット数がカウントされないことがありました。
(2) vpn-natを使った場合に、暗号化方向に比べて復号化方向の中継性能が悪くなっていました。
(3) 同一ホスト間でたくさんの種類の通信を継続的に行った場合に、中継性能が劣化する場合がありました。
(4) 変換対象とする送信元アドレスをanyにしてLAN→WANへのNAT変換ルールを設定した場合に、通常は通信が許可されない状態であっても、WAN→LANへアクセスできてしまうことがありました。
(5) SSHでログインしている状態で、クライアント側で異常切断が発生すると、再度SSHでログインすることができなくなっていました。
(6) ip nat inside source listコマンドでポート番号指定時に、終了ポート番号を省略すると、設定が有効になりませんでした。
(7) show processes cpuで表示されるCPU使用率が、vpn enable とするだけで、通信がなくても高い使用率を示していました。
(8) aggressive modeのresponder側でtunnel-route機能を使っている場合に、装置が起動してから最初に受信したIKEのネゴに正しく応答できず、失敗していました。
(9) イベントアクション機能でevent-classにmatch-anyを設定しても、すべての条件が満たされないとevent-actionが実行されませんでした。
(10) pppoeインターフェースがup/downしても、トラップが送出されませんでした。
(11) ripでmetric 16のルート情報を受信した場合に、内部的にその情報を持ち続けてしまうことがありました。
(12) フィルタリングで、あるインターフェースに適用しているアクセスリストを変更し、かつ、そのアクセスリストをほかのインターフェースに適用し直すと、設定を消した元のインターフェースで以前の設定のままフィルタリングが動き続けていました。
(13) 1つのpeerに複数のセレクタが関連付けられており、かつ、その内の1つのセレクタでIPsec SAが確立している場合に、IPsec SAが確立していないセレクターにsa-up routeの設定を追加してrefreshすると、そのSAが確立していないセレクターのsa-up routeが登録されてしまっていました。
(14) フィルタリングでアクセスリストに複数行のルールを追加してrefreshすると、装置が再起動することがありました。
(15) イベントアクション機能で装置起動直後にルートを追加するアクションを実行させるような状況になった場合、ルートの登録ができませんでした。
(16) BGPで、複数のTCPフレームに分割されたアップデートメッセージを受信した場合、BGPの接続が切れることがありました。
(17) ip nat inside destinationの設定数が上限を超えた場合に記録されるelogの綴りが間違っていました。
(18) サポートしていないasyncインターフェースに関するコマンドがありましたので、これを削除しました。
(19) サポートしていないOSPFv3に関するコマンドや表示がありましたので、これを削除しました。
(20) show ip arpのオプションでpppoeが指定できるようになっていましたので、指定できないようにしました。


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007