> FITELnetトップ > 製品ラインナップ > FITELnet-F1000 > FITELnet-F1000ファームウェア
> FITELnet-F1000 firm V01.12(02) 06/07/31 release
> FITELnet-F1000 firm V01.12(02) 06/07/31 release
下記の変更を実施いたしました |
(1) | DHCPサーバ機能において、DHCPOFFER送信後、4秒以上経過して DHCPREQUESTを受信した場合にはIPアドレスの払い出しを拒絶していました が、4秒以上経過後であっても該当IPアドレスが未利用の場合には払い出す ように変更しました。 |
(2) | DHCPクライアント機能の改善 1 DHCPクライアント動作において、アドレスが取得できるまでアドレス 取得動作を継続するようにするコマンドを追加いたしました。 このコマンドを設定しない場合、2回だけリトライします。 ---設定例 Router(config)# interface ewan 1 Router(config-if ewan 1)# ip address dhcp Router(config-if ewan 1)# dhcp-client retries infinitely Router(config-if ewan 1)# exit --- |
(3) | DHCPクライアント機能の改善 2 DHCPクライアント形態でアドレス取得時に、DHCPサーバがconnectedの ネットワーク上にいない場合、DHCPサーバへのホストルートを自動登録する機能を追加いたしました。 自動登録されたルートは、show ip route 表示上”A - AutoConfig”で表示されます。 従来、CATV回線などを利用していて、EWANインターフェースのアドレスをrelay agentを介してDHCPで取得 していた場合、デフォルトルートをEWANインターフェースに向けておく必要がありましたが、 本対応により、DHCPクライアント形態においてデフォルトルートをIPsecインタフェースに向けるといった 運用が可能となります。 |
下記の問題点を改修いたしました |
(1) | コンソール上にデバッグ文が誤って出力されていました。 出力条件および内容は以下の通りです。 発生条件 IPsec負荷分散設定においてEWAN2の回線を切断(リンクダウン) 出力内容 vi2: warning: unable to delete rtentry 発生条件 EWAN1とEWAN2に同じIPアドレスを設定しリンクアップ 出力内容 rtinit: wrong ifa (129f820) was (129fb40)" |
(2) | IPsec冗長機能を使用する構成において、 センター側VPN装置のLAN側インターフェースがダウンして バックアップ経路通信に切り替わった場合に、センター側VPN装置の LAN側インターフェースがアップしてもメイン経路通信に 戻らないことがありました。 |
(3) | 変換対象とする送信元アドレスをanyにして LAN→WANへのNAT変換ルールを設定した場合に、通常は通信が 許可されない状態であっても、WAN→LANへアクセス できてしまうことがありました。 |
(4) | SA確立状態で keepalive-icmp source-interface 設定を 削除しrefreshしても、keepalive-icmpパケットの 送信元アドレスが設定削除前のsource-interfaceで 指定されたものになっていました。 |
(5) | crypto isakmp policy設定モードのkeepaliveコマンドに、 response-only パラメータを追加しました。 これにより、対向装置からのkeepaliveには応答するが、 自装置からのkeepalive監視は行わない運用が可能となります。 |
(6) | 予期せぬ事態において装置が自律リセットを行う場合に、 次の問題がありました。
|
(7) | crypto isakmp policyモードの keepalive の ヘルプ文字列を修正しました。 |
(8) | 基本設定モードにて ip route A.B.C.D M.M.M.M A.B.C.D が設定され ているところに ip route A.B.C.D M.M.M.M pppoe 等を設定した場合に、 !EXCEPTION! Data TLB Error の文字列がコンソール上に記録されて、 装置の自律リセットが発生する可能性がありました。 |
(9) | INBOUND SAが256個、OUTBOUND SAが0個となっている状態で IKE keepalive 動作を行うと、SAがないと誤判断して keepalive パケットを送信しない可能性がありました。 |
(10) | Quick Mode の Responderで QM-3rd パケット受信前に EWAN インターフェースがダウン(ケーブルを抜く等)した場合に、 Quick Modeネゴシエーションのタイムアウトを迎えても、 QM-1st受信時に作成したSAを削除することができませんでした。 |
(11) | IKE-SAは確立されるがIPsec-SAの確立に失敗(設定間違い等)する状態において、 レスポンダ側ではIKE-SAがshowコマンドにて表示されるがイニシエータ側では表示されない問題に対応しました。 |
(12) | keepalive(DPD)動作において、DPDリクエストパケットの送信が 1回抜ける等の動作が発生することがあり、 VPNピアのダウンを検出するタイミングが遅れる可能性がありました。 |
(13) | nullインターフェース宛の中継パケットを連続的に送信すると、 slogに下記のログが記録されることがありました。 ”unable to enter address for IPアドレス (could not allocate llinfo) ” |
(14) | IKE-SA及びIPsec-SAのlifetimeを2日以上の値に設定した場合に、 2日以上経過後にIPsec-SAの張り替えを行うとSA確立に失敗する問題に対応しました。 |
(15) | pppoeインタフェースにCBQを設定している環境において、帯域以上のパケットが流れつづけているとpppoeセッションが切断される場合がありました。 |
(16) | 500ピアとIPsecの接続している状態でDPDの送信間隔を最小値(10秒)と した場合に、Phase1パケットを取りこぼす場合がありました。 |
(17) | clear ipv6 neighborコマンドが実行できない問題に対応しました。 |
(18) | Replay AttackのVPNログ出力においてseq番号が16進数で7FFFFFFFを越えると負数表示となる問題に対応しました。 |
(19) | IPv6のRA通知を行う設定で show ipv6 nd ra情報を確認すると、 同じprefix情報が2つ表示される問題に対応しました。 |
(20) | インターフェースMIBに関する以下の問題に対応しました。
|
(21) | 装置のコンフィグデータベースにアクセスする際の排他制御に漏れがありました。 このため、異なるコンソール(例えばシリアルコンソールとTELNETコンソールなど)から、 動作コンフィグを参照する(show running.cfgの実行)操作と、 動作コンフィグを変更する(コンフィグ変更後のrefreshコマンドの実行)操作を同時に行った場合に、 装置の自律リセットが発生する場合がありました。 |
(22) | BGPの設定があり、且つ設定のあるBGP経路が有効となっている状態において 有効となっているBGP経路の設定を削除した場合に、 !EXCEPTION! Data TLB Error の文字列がコンソール上に記録されて、 装置の自律リセットが発生することがありました。 |
(23) | 「NISCC-144154 DNS プロトコルの実装おける脆弱性」にて報告されている 問題について対応しました。脆弱性の詳細についてはこちら。 |
(24) | VRRPの仮想IPアドレスでSA確立を行う構成(crypto isakmp policyモードで source-interface指定あり)においてNat-Traversalを併用した場合に、 送信IFの実IPアドレスをソースアドレスとしたNAT Keepaliveパケットを送信していました。 |
(25) | tasktraceコマンドに関する以下の問題に対応しました。
|
(26) | esp-null暗号設定でIPsec-SAを確立しESPパケットを受信した場合に、 以下の文字列がコンソール上に記録されて、 装置の自律リセットが発生していました。 !EXCEPTION! Data TLB Error |
(27) | 装置にログインする際のパスワード入力処理において、 "Enter password:" が表示された状態で入力制御に関わらない 以下の非表示文字の入力を行った場合に、 入力長チェックが働かず入力が続く限り"Enter password:"のプロンプト状態となっていました。
|
(28) | ip vrrp enable設定を即時有効操作(refresh)で追加した場合に、 LANケーブルを抜いてもLANインターフェースがダウンせず、 VRRPステータスの切替が行えませんでした。 |
(29) | 装置へのTELNETやSSH通信において、 行末コードがCR/LFではなく LF/CRとなっていました。 |
(30) | OSPF運用環境において、show ip ospf database表示を more で停止している状態からquitにて表示を終了し、 その後にOSPFデータベースを参照する際に以下の 文字列がコンソール上に記録されて、 装置の自律リセットが発生する場合がありました。
|
(31) | snmp-server community にIPv4アクセスリストを指定した設定において、 IPv6でMIB取得等の通信を行うと、以下のの文字列がコンソール上に記録されて 装置の自律リセットが発生していました。 EXCEPTION! Data TLB Error |