> FITELnetトップ > 製品ラインナップ > FITELnet-F1000 > FITELnet-F1000ファームウェア
> FITELnet-F1000 firm V02.06(00) 06/10/02 release
> FITELnet-F1000 firm V02.06(00) 06/10/02 release
下記の新規機能を追加いたしました |
(1) | VLANインタフェースでのMSS書換え機能に対応しました。 コマンドシンタックス: mss vlanif <vlanif-no> { off | <mss-value> } no mss [vlanif [<vlanif-no> [ off | <mss-value> ]]] |
(2) | MTU設定及びMSS設定を即時有効対象としました。 PPPoEおよびDialerインタフェースのMTUについては、新規セッション(回線の再接続後)から有効となります。 また、LCPで取得したMRUオプション値と設定MTU値との比較により、小さい値をセッションMTU値として使用します。 |
(3) | VRRPステータスを手動で切り替えるコマンドをサポートしました。 vrrp acquire-master vrrp release-master |
(4) | 新規にダイナミックDNSのサーバおよびクライアント機能をサポートしました。 |
(5) | アクセスリストに対してコメントが記述できるようになりました。 記述した内容はshow access-listで表示されます。 --- Router(config)#access-list 100 remark Reject access from 192.168.100.1 |
(6) | 新規に V4 over V6-IPsec 機能をサポートしました。 |
(7) | IPsecのピアアドレスをFQDNで指定する機能に対応しました。 |
(8) | 各インタフェース設定モード下でDescriptionが記述できるようになりました。 記述した内容は、MIBのifAliasでの取得およびshow interfaceでの表示が行われます。 --- Router(config)#interface dialer 1 Router(config-if dialer 1)#description backup line |
(9) | スタティックのVPN-NATおよび平文のNATに、一括設定機能を追加しました。 これにより、スタティックの変換ルールを、ネットワーク単位で指定することができるようになりました。 ---設定例はこちら crypto isakmp policyモード ip vpn-nat inside source static-subnet ip vpn-nat inside destination static-subnet 各インタフェース設定モード ip nat inside source static-subnet ip nat inside destination static-subnet |
(10) | 装置のRSA公開鍵情報を表示するコマンドを追加しました。 --- Router#show crypto key mypubkey rsa |
下記の変更を実施いたしました |
(1) | VRRP機能使用時、1台の装置に設定できるVRID数を2から32に拡張しました。 1つのインタフェースに対するVRID数は従来通り2となります。 これにより、複数のインタフェースで異なるVRIDでのVRRP動作を行い、 インタフェース毎にVRRPステータスを切り替えることが可能となります。 |
(2) | ARPテーブル生存(1200sec)中に該当ARPテーブルを使用するパケットを送信した場合は、 ageoutする10秒前に arp requestを送信してarpを事前解決する動作を行うように変更しました。 これにより、通信中にARPテーブルがageoutしてarpが未解決状態に遷移した場合に、 ARP応答が返ってくるまでパケットを送信できないことによる中継遅延の発生を抑えることができます。 また、show ip arpで表示されるAgeがARPテーブルがageoutするまでの残り時間を表示していましたが、 アドレスを学習してからの経過時間を表示するように変更しました。 |
(3) | show interfaceコマンドの表示内容を変更しました。
Router# show interface ewan 1 EWAN 1 is up Hardware is Fastethernet ,address is 0080.abcd.f100 IP address is xxx.xxx.xxx.xxx, 255.255.255.0 Encapsulation ARPA ARP type: ARPA, ARP Timeout 00:20:00 Last clearing of "show interface" packet counters never Statistics: 14 packets input 899 bytes input, 0 errors 14 unicasts, 0 broadcasts, 0 multicasts 0 discards, 0 unknown protocol 14 packets output 558 bytes output, 0 errors 14 unicasts, 0 broadcasts, 0 multicasts 0 discards Router# |
(4) | IKEセッションの確立性能を向上しました。 これにより、計算処理負荷の高い Diffie-Hellman Group 5 利用時において、 従来ファームウェアの約10倍のIKEセッション確立性能となりました。 |
(5) | ProxyDNS機能において以下の動作を変更しました。
|
(6) | dhcp-client retries infinitelyの設定がありアドレス取得できない場合 リトライ動作を継続する動作を行いますが、アドレス取得に失敗した状態であることを示す elog記録(dhcp client timeout)を追加しました。 |
(7) | 以下のコマンドにおいて、未設定アクセスリストを使用した設定を行った場合に、 elogにエラーメッセージを記録するようにしました。
|
(8) | 負荷の大きな処理を行った場合でも中継遅延を低減できるよう、 中継アルゴリズムを改善しました。 |
(9) | RSAペアを生成する際、公開鍵のビット数が指定したビット数より 1ビット小さくなる場合がありましたが、必ず指定したビット数で 生成するようにしました。これにより他社装置との相互接続性が 向上します。 本対応と同時にgenerate keyでRSA鍵ペアを生成時、生成した公開鍵の情報を 表示するように変更しました。 |
下記の問題点を改修いたしました |
(1) | IPsecを使用している状態において、Replay Attackを受けた際に フォワーディング性能が低下する場合がある問題に対応致しました。 |
(2) | VRRP機能を複数ポート且つ異なるVRIDで使用時、 インタフェースのアップ/ダウンが発生したポートとは 別のポートのVRRPステータスが不正に状態遷移(一旦Initialize状態に遷移した後、 元の状態に復旧)する問題に対応しました。 |
(3) | ip vrrp enable設定を即時有効操作(refresh)で追加した場合に、LANケーブルを抜いても LANインタフェースがダウンせず、VRRPステータスの切替が行えない問題に対応しました。 |
(4) | show ipv6 neighbors コマンドのAge表示が正しく表示されない問題に対応しました。 |
(5) | 装置にログインする際のパスワード入力処理において、 "Enter password:" が表示された状態で入力制御に関わらない 以下の非表示文字の入力を行った場合に、 入力長チェックが働かず入力が続く限り"Enter password:"のプロンプト状態となっていました。
|
(6) | VRRP機能を使用し、VRRPステータスがBACKUPである装置を経由してMASTER装置の仮想IPアドレスに 対する通信を行う構成において、上記仮想IPアドレス宛通信を継続したままVRRPステータスを 変化させた場合に、仮想IPアドレス宛通信が復旧しない場合がある問題を修正しました。 この状態においても仮想IPアドレス宛以外の通信には問題ありません。 |
(7) | OSPFで他エリアから学習したエリア間経路のフラップが連続して発生した場合に、 実際の登録経路数(show ip route で表示される経路数)が最大2048エントリに 達していないのにもかかわらず、新たな経路を追加することができずに、 OSPF route overflow やNSM route overflow のelogを記録する現象が発生していました。 これに伴い、トンネルルート機能を使用する運用において 新たなSA確立時にトンネルルートを追加することができず、 SA確立に失敗する現象が発生していた問題に対応しました。 本現象は、エリア内経路、エリア内 AS外経路、エリア外 AS外経路のフラップでは発生しません。 |
(8) | QoS(CBQ)機能を使用しキュー長設定を短く設定した場合に、 装置の中継性能を下回る設定帯域以下のトラフィックであるにもかかわらず、 キュー溢れが発生してパケットをロスする問題に対応しました。 この現象はキュー長を20以下に設定した場合に特に発生しやすくなります。(デフォルトのキュー長は50) |
(9) | F100における最大IPsecセッション数(ポリシーベースIPsec設定時で最大128セレクタ、 ルートベースIPsec設定時で最大100セレクタ)に近い環境において、 IPsec対象トラフィックを印加した状態でIKE-SA、IPsec-SAの削除を繰り返し行った場合に、 装置内部資源が枯渇し自律リセットが発生する場合がありました。 |
(10) | 以下の設定で refresh 及び装置起動すると自律リセットが発生する可能性がありました。
|
(11) | 装置へのTELNETやSSH通信において、行末コードがCR/LFではなく LF/CRとなっていました。 |
(12) | snmp-server community にIPv4アクセスリストを指定した設定において、 IPv6でMIB取得等の通信を行うと、 装置の自律リセットが発生する場合がありました。 |
(13) | 装置起動時のコンフィグ読み込み処理において、稀に装置の自律リセットが 発生する可能性がある問題に対応しました。 |
(14) | VRRPの仮想IPアドレスでIPsec終端する構成でレスポンダ動作時、 Phase1-IDペイロードのIDTypeフィールドにVRRPの仮想IPアドレスではなく、 実IPアドレスが入ってしまう問題に対応しました。 |
(15) | OSPF運用環境において、show ip ospf database表示を more で停止している状態から quitにて表示を終了し、その後にOSPFデータベースを参照する際に 装置の自律リセットが発生する場合がありました。 |
(16) | QuickModeネゴシエーションにおいて、サポートしていない暗号化アルゴリズムが最初に提案された場合に、 no proposal chosenでネゴに失敗してしまう問題に対応しました。 |
(17) | ログ表示を--more--で停止させた状態で新たなログが記録された場合に、 moreの前後でログのレコード番号が飛ばされたり、新たに上書きされた ログ情報が表示されてしまう問題を修正しました。 |
(18) | ポリシールーティング機能とIPsec負荷分散機能を 併用し、 ポリシールーティング機能で決定した出力インタフェースと IPsec負荷分散機能で決定した出力インタフェースが異なる場合に、 装置の自律リセットが発生する問題を修正しました。 |
(19) | show crypto key ssh コマンドのkey とsshのコマンドヘルプが不適切であったため変更しました。 |
(20) | トンネルルートの登録に失敗したことを示すエラーログ出力処理に問題があり、 下記エラーログが連続して出力された場合に装置負荷が異常に高くなり、 コンソール応答が著しく鈍くなる、もしくは中継処理が一時的に停止する等の問題を修正しました。
|
(21) | トンネルルートの削除判定処理を変更しました。 トンネルルートを登録した状態でイニシエータから同一ピアアドレス、 異なるUDPポート番号で新たなIKE-SAのネゴシエーションが行われた場合に、 従来は異なるピアからの新たなSA確立であると認識し旧SAの削除時に トンネルルートを併せて削除していましたが、認証により同一ピアであることが 認識できた場合にはトンネルルートを削除しないように変更しました。 VPNピアとの間にNAT装置が存在し、このNAT装置のIPsecパススルー動作に よってはSA更新ネゴシエーション時にNATテーブルの変更(UDPポート番号の変更)が 行われ、トンネルルートを削除することによりIPsec-SAの更新が行えない 現象が発生する場合がありました。 |
(22) | トンネルルートの登録に失敗した場合に、 IPsec Redundancy route add Fail というIPsec冗長機能関連のelogを 誤って出力してしまう問題を修正しました。 また、トンネルルートの登録失敗は設定間違いで発生する他に、 装置起動直後等のインタフェースのアップタイミングのズレによっても 記録される場合があるため、トンネルルートの登録失敗を示すelogメッセージを 以下に変更しました。
|
(23) | loadコマンドを使用した場合に、稀にコンフィグの読み込み処理に失敗する問題に対応しました。 |
(24) | OSPFを使用し、装置最大経路数(2048エントリ)に近いルーティングテーブルを 登録した状態において、インタフェースのアップ/ダウン等による 経路変化が繰り返し発生すると、装置の内部資源が枯渇して中継動作が停止し 装置コンソール操作も出来なくなる事象が発生する場合がありました。 |
(25) | メール通知機能で、不正アクセス等のメール通知を行う契機となる イベントが発生した場合、まれに装置再起動等の問題が発生する可能性がありました。 この問題はV02.03以降に影響し、メール通知機能の設定を行っていない 場合でも発生する可能性があります。 |
(26) | sa-up route設定を削除してrefreshした時に、IPsec-SAが確立していない 場合であってもsa-up routeを削除しようとする動作を行う問題を修正しました。 |
(27) | ポリシールーティング機能によって自局送信パケットを対象とした場合で、 且つSSH機能を使用して装置にログインし、SSHのパケットがポリシールーティングの 対象となった場合に、装置の自律リセットが発生することがある問題を修正しました。 |
(28) | ログの書き込み処理中に装置リセットを行った場合に、 書き込み処理中であったログ領域の記録内容が全て消されてしまう、 もしくは、記録内容が不正となる場合がある問題を修正しました。 |
(29) | ポリシールーティング機能を使用しISDN回線に平文パケットを中継する環境において、 ISDN回線未接続状態でポリシールーティング対象パケットが発生した場合に、 ISDN回線が接続されるまでの間装置内にバッファリングしたパケットの 送信に失敗する問題を修正しました。 尚、 ISDN回線接続後の平文パケット中継には問題ありません。 |
(30) | tasktraceに関する以下の問題を修正しました。
|