古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F100トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-F100ファームウェア リリースノート

FITELnet-F100 firm V02.04(00) 06/01/30 release
---FITELnet-F100ファームウェア V02.03(00)からの変更点---
下記の新規機能を追加いたしました
(1)  IPsec通信において、受信したESPパケットのシーケンス番号をチェックす る機能(Replay Attack防御機能)を無効にすることができるようになりま した。
 中継経路内において、ESPパケットの順序入れ替えが発生する可能性があ る場合や、FITELnet装置においてESP送信側でポリシーベースIPsecとQoSを 併用する場合、受信側においてESPパケットの順序が大幅に入れ替わって受 信される可能性がありますが、この場合、Replay Attackと判定されてESPパ ケットが廃棄されます。Replay Attack防御機能を無効とすることで、順序 入れ替えによるパケット廃棄を行わない動作が可能となります。
---設定例
 Router(config)#crypto map Tokyo 1
 Router(config-crypto-map)#anti-replay disable
---
 FITELnet製品において、IPsecとQoSを併用する場合、送信側におけるパケッ トの順序入れ替えの発生状況は以下のようになります。
  • ポリシーベースIPsec(EWANインタフェース)とQoSとを併用した場合、 ESPカプセル化前にインナーパケットによってクラシフィケーションが 行なわれ、ESPカプセル化後に優先制御が行なわれるため、ESPパケット の順序入れ替えが発生する可能性があります
  • ルートベースIPsec(IPsecインタフェース)とQoSとを併用した場合、 ESPカプセル化前にインナーパケットによってクラシフィケーションが 行なわれ、ESPカプセル化前に優先制御が行なわれるため、ESPパケット の順序入れ替えは発生しません
 なお、パケットの大幅な順序入れ替えが発生しない環境においては、 Replay Attackによる攻撃を防ぐため、Replay Attack防御機能(デフォルト 動作)を使用することを推奨します。
(2) ARPスタティック機能追加 IPアドレスとMACアドレスの紐付けををARPによる学習だけではなく、 コンフィグ設定により静的に登録可能としました。 静的登録されたエントリは動的学習より優先され、学習により上書きされません。 ARPスタティック機能により、以下の運用が可能となります。
  • IP-PBXへの適用
     LAN側にIP-PBX等のVoIP機器を使用する場合において、NAT-outside機能と組み合わせて使用することにより  FITELnet-F100/F1000のWAN側に割り当てられたIPアドレス(固定グローバルアドレス)を用いてVoIP機器が  通信する運用が可能となります
  • Layer2でのフィルタ
     LAN側に接続する端末のIPアドレスとMACアドレスをARPスタティック機能により事前に登録しておくことにより、  登録されていないMACアドレスを持った端末を接続しての通信を防止可能としました
(3) イベントアクション機能アクション追加
イベントアクション機能のアクションとして、あらかじめ設定したポリシーに該当するIPsecの接続を 停止する機能をサポート致しました。 また、コマンドからもIPsec接続を停止できるようになりました。
---設定例
Router(config)# event-action 1
Router(config-event-action 1)# set ipsec-status discard isakmp-policy 1
Router(config-event-action 1)# exit
---
本アクションが有効となった場合には、該当するIPsecの接続をクリアするとともに、 該当ポリシーの新規のIPsecの張り直しも停止します。


下記の変更を実施いたしました
(1)  DHCPサーバ機能において、DHCPOFFER送信後、4秒以上経過して DHCPREQUESTを受信した場合にはIPアドレスの払い出しを拒絶していました が、4秒以上経過後であっても該当IPアドレスが未利用の場合には払い出す ように変更しました。


下記の問題点を改修いたしました
(1) コンソール上にデバッグ文が誤って出力されていました。
出力条件および内容は以下の通りです。

発生条件  IPsec負荷分散設定においてEWAN2の回線を切断(リンクダウン)
出力内容  vi2: warning: unable to delete rtentry

発生条件  EWAN1とEWAN2に同じIPアドレスを設定しリンクアップ
出力内容  rtinit: wrong ifa (129f820) was (129fb40)"
(2) event-action モードの add ip route コマンドを複数設定した場合に、 !EXCEPTION! Data TLB Error の文字列がコンソール上に記録されて、 装置の自律リセットが発生することがありました。
(3) "qos-que cbq設定において以下のイレギュラー設定を行い、 且つclear qos interface xxxコマンドを実施すると、装置の自律リセットが発生していました。
  • default classを指定しない状態
  • root classを設定しない状態
(4) VRRPの仮想IPアドレスでSA確立を行う構成(crypto isakmp policyモードで source-interface指定あり)において、暗号化対象パケットを連続送信すると、 送信インタフェースの実IPアドレスをソースアドレスとしたESPパケットを送 信してしまうことがありました。
(5) VRRPの仮想IPアドレスでSA確立を行う構成(crypto isakmp policyモードで source-interface指定あり)において、送信IFの実IPアドレスをソースアドレスとしたnotifyメッセージを送信してしまうことがありました。
(6) VRRPの仮想IPアドレスでSA確立を行う構成(crypto isakmp policyモードで source-interface指定あり)においてNat-Traversalを併用した場合に、 送信IFの実IPアドレスをソースアドレスとしたNAT Keepaliveパケットを送信していました。
(7) tasktrace設定を複数種類登録してある状態で任意の登録を削除する場合に、 既に削除されているかのようなエラーメッセージ(xxx is already off)が表示 されていました。削除指定したtasktraceの登録は正しく削除されていました。
(8) SAアップルートにてipsecifを指定した場合、SAを経由して受信したunicast-RIPが有効となっていませんでした。
(9) pppoeインタフェースにCBQを設定している環境において、 帯域以上のパケットが流れつづけているとpppoeセッションが切断される場合がありました。
(10) NATとQoSを併用した際のshow qos classのカウンタ処理に誤りがあり、カウントアップしない場合がありました。
(11) WEB機能の遠隔保守画面でリロードを繰り返すことにより 遠隔保守時間を越えて遠隔保守可能となる問題に対応しました。
(12) ipv6 routeをpppoe指定後、 no設定によりipv6 routeおよびrefreshしても ルート情報から削除されない問題に対応しました。
(13) イベントアクション機能の設定でvrrp番号とTrack番号が同じでdecrement値が異なる 設定のみを行いevent-mapでマップした状態で装置を再起動したときに 装置の自律リセットが発生することがありました。
(14) WEBでのオペレーションにおいて 現在、稼働しているファームウェア面にファームウェアをダウンロード後、 再起動せずにWEB画面の現在稼働情報でファームウェアのバージョンを確認すると、 ダウンロードしたファームウェアのバージョンが表示されている問題に対応しました。
(15) vpnlogに"espInputAsync driver error(109)"のlogを出力する際に メモリリークが発生していた問題に対応しました。
(16) 以下の設定において、EWAN1から受信したIPv6パケットのみが 対象となる仕様ですが、IPv4パケットも対象となっていた問題に対応しました。
---
class-map xxx
match ipv6 input-interface ewan 1
exit
---
尚、本障害は下記のようにaccess-listを使用するケースでは発生しません。
match ipv6 access-group 3500 input-interface ewan 1
(17) IKE-SAは確立されるがIPsec-SAの確立に失敗(設定間違い等)する状態において、 レスポンダ側ではIKE-SAがshowコマンドにて表示されるがイニシエータ側では表示されない問題に対応しました。
(18) イベントアクション機能において、event-class状態がTrueでevent-actionが実行されている mapを削除した場合に、event-class状態に変化がなくてもMail送信(False通知)が行われて しまう問題に対応しました。
(19) イベントアクション機能において、以下のような設定を行い saveをして装置を再起動しshow event-actionを実行すると 未設定のはずのshowコマンドでevent-actionの情報が表示される問題に対応しました。
----
event-class 1
check interface status ewan 1
exit
event-map
event-class 1 event-action 1
exit
----
(20) IKE-SA及びIPsec-SAのlifetimeを2日以上の値に設定した場合に、 2日以上経過後にIPsec-SAの張り替えを行うとSA確立に失敗する問題に対応しました。
(21) 暗号化前の元パケットのtos値を暗号化後の新IPヘッダに反映する仕様ですが、 中継データサイズによっては反映されない場合がありました。
(22) イベントアクション機能において、 以下の設定のようにevent-class[1]、event-class[2]にevent-action[12]が マップされいる設定でevent-class[1]、event-class[2]がTrueとなり event-action[12]が実行されている状態からno event-class 1コマンドで 削除するとevent-action[12]実行が取り消されてしまう問題がありました。
---
event-class 1
check interface status lan 1
exit
event-class 2
check interface status lan 1
exit
event-action 12
add ip route 1.1.1.1 255.255.255.0 2.2.2.2
exit
event-map
event-class 1 event-action 12
event-class 2 event-action 12
exit
---
(23) ISDN回線接続の着呼側として動作しPPPネゴシエーションを正常に完了できない等の例外的な要因が発生して 回線接続に失敗した場合に連続接続リミッタ機能の接続時間カウント処理を無効にしておらず、 回線接続状態では無いのにもかかわらず連続接続リミッタが誤って作動してしまう問題に対応しました。
(24) WEB機能のコンフィグレーションの画面で
”Hint: 新しいコンフィグレーションの内容は装置リセット後有効となります。”
の表示を追加しました。
(25) WEBオペレーションにおいて、 通常の再起動で装置再起動→再起動確認画面で”いいえ”を選択後の画面を、「装置再起動画面」に 変更いたしました。
(26) ポリシールーティング先の経路がダウン(ケーブル抜去等によるインターフェースダウン状態等)し、 set ip next-hop default の設定が無く通常経路へのルーティングも不可能な場合に、 装置の自律リセットが発生することがありました。
(27) show access-lists statistics 表示において、ipsecif 100番から500番のインターフェース名が正しく表示 されていませんでした。


V02.04(00)のファームウェアは公開中止としましたので、上記機能をご利用になる場合は、V02.05(00)以降のファームウェアをお使い下さい。

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007