古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F1000トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-F1000ファームウェア リリースノート

FITELnet-F1000 firm V01.12(02) 06/07/31 release
---FITELnet-F1000ファームウェア V01.12(01)からの変更点---
下記の変更を実施いたしました
(1)   DHCPサーバ機能において、DHCPOFFER送信後、4秒以上経過して DHCPREQUESTを受信した場合にはIPアドレスの払い出しを拒絶していました が、4秒以上経過後であっても該当IPアドレスが未利用の場合には払い出す ように変更しました。
(2)  DHCPクライアント機能の改善 1
DHCPクライアント動作において、アドレスが取得できるまでアドレス 取得動作を継続するようにするコマンドを追加いたしました。 このコマンドを設定しない場合、2回だけリトライします。
---設定例
Router(config)# interface ewan 1
Router(config-if ewan 1)# ip address dhcp
Router(config-if ewan 1)# dhcp-client retries infinitely
Router(config-if ewan 1)# exit
---
(3) DHCPクライアント機能の改善 2
DHCPクライアント形態でアドレス取得時に、DHCPサーバがconnectedの ネットワーク上にいない場合、DHCPサーバへのホストルートを自動登録する機能を追加いたしました。
自動登録されたルートは、show ip route 表示上”A - AutoConfig”で表示されます。
従来、CATV回線などを利用していて、EWANインターフェースのアドレスをrelay agentを介してDHCPで取得 していた場合、デフォルトルートをEWANインターフェースに向けておく必要がありましたが、 本対応により、DHCPクライアント形態においてデフォルトルートをIPsecインタフェースに向けるといった 運用が可能となります。


下記の問題点を改修いたしました
(1) コンソール上にデバッグ文が誤って出力されていました。
出力条件および内容は以下の通りです。

発生条件  IPsec負荷分散設定においてEWAN2の回線を切断(リンクダウン)
出力内容  vi2: warning: unable to delete rtentry

発生条件  EWAN1とEWAN2に同じIPアドレスを設定しリンクアップ
出力内容  rtinit: wrong ifa (129f820) was (129fb40)"
(2) IPsec冗長機能を使用する構成において、 センター側VPN装置のLAN側インターフェースがダウンして バックアップ経路通信に切り替わった場合に、センター側VPN装置の LAN側インターフェースがアップしてもメイン経路通信に 戻らないことがありました。
(3) 変換対象とする送信元アドレスをanyにして LAN→WANへのNAT変換ルールを設定した場合に、通常は通信が 許可されない状態であっても、WAN→LANへアクセス できてしまうことがありました。
(4) SA確立状態で keepalive-icmp source-interface 設定を 削除しrefreshしても、keepalive-icmpパケットの 送信元アドレスが設定削除前のsource-interfaceで 指定されたものになっていました。
(5) crypto isakmp policy設定モードのkeepaliveコマンドに、 response-only パラメータを追加しました。 これにより、対向装置からのkeepaliveには応答するが、 自装置からのkeepalive監視は行わない運用が可能となります。
(6) 予期せぬ事態において装置が自律リセットを行う場合に、 次の問題がありました。
  • 自律リセットが完了せずに装置停止する可能性がありました。
  • 自律リセットのログが残らない可能性がありました。
(7) crypto isakmp policyモードの keepalive の ヘルプ文字列を修正しました。
(8) 基本設定モードにて ip route A.B.C.D M.M.M.M A.B.C.D が設定され ているところに ip route A.B.C.D M.M.M.M pppoe 等を設定した場合に、 !EXCEPTION! Data TLB Error の文字列がコンソール上に記録されて、 装置の自律リセットが発生する可能性がありました。
(9) INBOUND SAが256個、OUTBOUND SAが0個となっている状態で IKE keepalive 動作を行うと、SAがないと誤判断して keepalive パケットを送信しない可能性がありました。
(10) Quick Mode の Responderで QM-3rd パケット受信前に EWAN インターフェースがダウン(ケーブルを抜く等)した場合に、 Quick Modeネゴシエーションのタイムアウトを迎えても、 QM-1st受信時に作成したSAを削除することができませんでした。
(11) IKE-SAは確立されるがIPsec-SAの確立に失敗(設定間違い等)する状態において、 レスポンダ側ではIKE-SAがshowコマンドにて表示されるがイニシエータ側では表示されない問題に対応しました。
(12) keepalive(DPD)動作において、DPDリクエストパケットの送信が 1回抜ける等の動作が発生することがあり、 VPNピアのダウンを検出するタイミングが遅れる可能性がありました。
(13) nullインターフェース宛の中継パケットを連続的に送信すると、 slogに下記のログが記録されることがありました。

  ”unable to enter address for IPアドレス (could not allocate llinfo) ”
(14) IKE-SA及びIPsec-SAのlifetimeを2日以上の値に設定した場合に、 2日以上経過後にIPsec-SAの張り替えを行うとSA確立に失敗する問題に対応しました。
(15) pppoeインタフェースにCBQを設定している環境において、帯域以上のパケットが流れつづけているとpppoeセッションが切断される場合がありました。
(16) 500ピアとIPsecの接続している状態でDPDの送信間隔を最小値(10秒)と した場合に、Phase1パケットを取りこぼす場合がありました。
(17) clear ipv6 neighborコマンドが実行できない問題に対応しました。
(18) Replay AttackのVPNログ出力においてseq番号が16進数で7FFFFFFFを越えると負数表示となる問題に対応しました。
(19) IPv6のRA通知を行う設定で show ipv6 nd ra情報を確認すると、 同じprefix情報が2つ表示される問題に対応しました。
(20) インターフェースMIBに関する以下の問題に対応しました。
  • PPPoEインターフェースを使用する場合に、EWAN及びPPPoEのifInOctetsが正しく取得できていませんでした
  • IPsecインターフェースにおいてQoS(キューイング処理)を行った場合に、 送信パケットカウントが正しく取得できていませんでした
  • 全てのインターフェースにおいてbroadcast/multicastの受信パケットカウントが正しく取得できていませんでした
  • Vlanインターフェースを使用する場合に、関連付けられた物理インターフェースの unicast/broadcast/multicastのパケットカウントが正しく取得できていませんでした
  • ifHCInOctetsやifHCOutOctets等の64ビットカウンタについて、下位32ビット分しか応答できていませんでした
  • ifHCOutMulticastPktsが正しく取得できていませんでした
(21) 装置のコンフィグデータベースにアクセスする際の排他制御に漏れがありました。 このため、異なるコンソール(例えばシリアルコンソールとTELNETコンソールなど)から、 動作コンフィグを参照する(show running.cfgの実行)操作と、 動作コンフィグを変更する(コンフィグ変更後のrefreshコマンドの実行)操作を同時に行った場合に、 装置の自律リセットが発生する場合がありました。
(22) BGPの設定があり、且つ設定のあるBGP経路が有効となっている状態において 有効となっているBGP経路の設定を削除した場合に、 !EXCEPTION! Data TLB Error の文字列がコンソール上に記録されて、 装置の自律リセットが発生することがありました。
(23) 「NISCC-144154 DNS プロトコルの実装おける脆弱性」にて報告されている 問題について対応しました。脆弱性の詳細についてはこちら
(24) VRRPの仮想IPアドレスでSA確立を行う構成(crypto isakmp policyモードで source-interface指定あり)においてNat-Traversalを併用した場合に、 送信IFの実IPアドレスをソースアドレスとしたNAT Keepaliveパケットを送信していました。
(25) tasktraceコマンドに関する以下の問題に対応しました。
  • tasktraceの表示でIPv6のtraffic-classの値が不正となっていました。
  • tasktrace ip 指定で送信パケットのトレースはできるが、 受信のトレースができなくなっていました。
  • tasktrace設定を複数種類登録してある状態で任意の登録を削除する場合に、 既に削除されているかのようなエラーメッセージ(xxx is already off)が表示 されていました。 削除指定したtasktraceの登録は正しく削除されていました。
  • tasktrace-manager filter interface指定を行っても、 指定したinterface以外で送受信したパケットのトレースが出力されていました。
  • tastktrace other recv 指定で対象パケットが出力されませんでした。
  • tasktrace ip指定でUDPパケットが出力されませんでした。
(26) esp-null暗号設定でIPsec-SAを確立しESPパケットを受信した場合に、 以下の文字列がコンソール上に記録されて、 装置の自律リセットが発生していました。
!EXCEPTION! Data TLB Error
(27) 装置にログインする際のパスワード入力処理において、 "Enter password:" が表示された状態で入力制御に関わらない 以下の非表示文字の入力を行った場合に、 入力長チェックが働かず入力が続く限り"Enter password:"のプロンプト状態となっていました。
  • Ctrl + n を押し続ける
  • Back space  を押し続ける
  • Delete  を押し続ける
(28) ip vrrp enable設定を即時有効操作(refresh)で追加した場合に、 LANケーブルを抜いてもLANインターフェースがダウンせず、 VRRPステータスの切替が行えませんでした。
(29) 装置へのTELNETやSSH通信において、 行末コードがCR/LFではなく LF/CRとなっていました。
(30) OSPF運用環境において、show ip ospf database表示を more で停止している状態からquitにて表示を終了し、 その後にOSPFデータベースを参照する際に以下の 文字列がコンソール上に記録されて、 装置の自律リセットが発生する場合がありました。
  • EXCEPTION! Data TLB Error
  • !EXCEPTION! Program
  • panic: 0
(31) snmp-server community にIPv4アクセスリストを指定した設定において、 IPv6でMIB取得等の通信を行うと、以下のの文字列がコンソール上に記録されて 装置の自律リセットが発生していました。
EXCEPTION! Data TLB Error


ファームのダウンロードはこちらから

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007