古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F1000トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-F1000ファームウェア リリースノート

FITELnet-F1000 firm V02.06(00) 06/10/02 release
---FITELnet-F1000ファームウェア V02.05(02)からの変更点---
下記の新規機能を追加いたしました
(1) VLANインタフェースでのMSS書換え機能に対応しました。
コマンドシンタックス:
mss vlanif <vlanif-no> { off | <mss-value> }
no mss [vlanif [<vlanif-no> [ off | <mss-value> ]]]
(2) MTU設定及びMSS設定を即時有効対象としました。
PPPoEおよびDialerインタフェースのMTUについては、新規セッション(回線の再接続後)から有効となります。 また、LCPで取得したMRUオプション値と設定MTU値との比較により、小さい値をセッションMTU値として使用します。
(3) VRRPステータスを手動で切り替えるコマンドをサポートしました。
vrrp acquire-master
vrrp release-master
(4) 新規にダイナミックDNSのサーバおよびクライアント機能をサポートしました。
(5) アクセスリストに対してコメントが記述できるようになりました。
記述した内容はshow access-listで表示されます。
---
Router(config)#access-list 100 remark Reject access from 192.168.100.1
(6) 新規に V4 over V6-IPsec 機能をサポートしました。
(7) IPsecのピアアドレスをFQDNで指定する機能に対応しました。
(8) 各インタフェース設定モード下でDescriptionが記述できるようになりました。
記述した内容は、MIBのifAliasでの取得およびshow interfaceでの表示が行われます。
---
Router(config)#interface dialer 1
Router(config-if dialer 1)#description backup line
(9) スタティックのVPN-NATおよび平文のNATに、一括設定機能を追加しました。
これにより、スタティックの変換ルールを、ネットワーク単位で指定することができるようになりました。
---設定例はこちら

crypto isakmp policyモード
ip vpn-nat inside source static-subnet
ip vpn-nat inside destination static-subnet

各インタフェース設定モード
ip nat inside source static-subnet
ip nat inside destination static-subnet
(10) 装置のRSA公開鍵情報を表示するコマンドを追加しました。
---
Router#show crypto key mypubkey rsa


下記の変更を実施いたしました
(1) VRRP機能使用時、1台の装置に設定できるVRID数を2から32に拡張しました。 1つのインタフェースに対するVRID数は従来通り2となります。 これにより、複数のインタフェースで異なるVRIDでのVRRP動作を行い、 インタフェース毎にVRRPステータスを切り替えることが可能となります。
(2) ARPテーブル生存(1200sec)中に該当ARPテーブルを使用するパケットを送信した場合は、 ageoutする10秒前に arp requestを送信してarpを事前解決する動作を行うように変更しました。 これにより、通信中にARPテーブルがageoutしてarpが未解決状態に遷移した場合に、 ARP応答が返ってくるまでパケットを送信できないことによる中継遅延の発生を抑えることができます。
また、show ip arpで表示されるAgeがARPテーブルがageoutするまでの残り時間を表示していましたが、 アドレスを学習してからの経過時間を表示するように変更しました。  
(3) show interfaceコマンドの表示内容を変更しました。
  • 各インタフェース毎に送受信パケット数等の統計情報表示を追加
    これに併せて各インタフェースの統計情報表示内容を統一
  • collisionカウント、FCSエラー等の物理ポート毎の統計情報を削除
    これらの情報はV02.05(00)ファームウェアより、show line statisticsコマンドで表示
  • NULLインタフェースにパケットを送信した場合にerrorとしてカウントしていたが、 他のインタフェース同様に送信パケットとしてカウントするように変更
  • IPsecインタフェースでQoS(CBQやPRIQ)を使用しキュー溢れによるパケット廃棄が発生した場合に errorのカウントがアップしていたが、他のインタフェース同様にdiscardの カウントをアップするように変更
表示例
	Router# show interface ewan 1
	EWAN 1 is up
	  Hardware is Fastethernet ,address is 0080.abcd.f100
	  IP address is xxx.xxx.xxx.xxx, 255.255.255.0
	  Encapsulation ARPA
	  ARP type: ARPA, ARP Timeout 00:20:00
	  Last clearing of "show interface" packet counters never
	  Statistics:
	  14 packets input
	    899 bytes input, 0 errors
	    14 unicasts, 0 broadcasts, 0 multicasts
	    0 discards, 0 unknown protocol
	  14 packets output
	    558 bytes output, 0 errors
	    14 unicasts, 0 broadcasts, 0 multicasts
	    0 discards
	Router# 
(4) IKEセッションの確立性能を向上しました。
これにより、計算処理負荷の高い Diffie-Hellman Group 5 利用時において、 従来ファームウェアの約10倍のIKEセッション確立性能となりました。
(5) ProxyDNS機能において以下の動作を変更しました。
  • default name-serverで設定されたDNSサーバに対して問い合わせを行い エラー応答を受信した場合に有効な次候補のDNSサーバに対して問い合わせを行う動作をするが、 次候補のDNSサーバが存在しない場合にはエラー応答を送信するように変更
  • default name-server設定無し、各インタフェースで取得したDNS無し、hosts設定無しの場合に、 問い合わせ元に対してエラー応答を送信するように変更
  • 問い合わせ元に対して応答パケットを送信する際の送信元IPアドレスは 送信インタフェースのアドレスとしていたが、問い合わせを 受信した宛先アドレス(自装置のいずれかのインタフェースのアドレス)を 送信元IPアドレスとして応答パケットを送信するように変更
(6) dhcp-client retries infinitelyの設定がありアドレス取得できない場合 リトライ動作を継続する動作を行いますが、アドレス取得に失敗した状態であることを示す elog記録(dhcp client timeout)を追加しました。
(7) 以下のコマンドにおいて、未設定アクセスリストを使用した設定を行った場合に、 elogにエラーメッセージを記録するようにしました。
  • ip access-group/ipv6 access-group)
  • snmp-server community
  • ssh-server access-group
  • upnp-server access-group
  • match address(crypto map 設定モード)
(8) 負荷の大きな処理を行った場合でも中継遅延を低減できるよう、 中継アルゴリズムを改善しました。
(9) RSAペアを生成する際、公開鍵のビット数が指定したビット数より 1ビット小さくなる場合がありましたが、必ず指定したビット数で 生成するようにしました。これにより他社装置との相互接続性が 向上します。
本対応と同時にgenerate keyでRSA鍵ペアを生成時、生成した公開鍵の情報を 表示するように変更しました。


下記の問題点を改修いたしました
(1) IPsecを使用している状態において、Replay Attackを受けた際に フォワーディング性能が低下する場合がある問題に対応致しました。
(2) VRRP機能を複数ポート且つ異なるVRIDで使用時、 インタフェースのアップ/ダウンが発生したポートとは 別のポートのVRRPステータスが不正に状態遷移(一旦Initialize状態に遷移した後、 元の状態に復旧)する問題に対応しました。
(3) ip vrrp enable設定を即時有効操作(refresh)で追加した場合に、LANケーブルを抜いても LANインタフェースがダウンせず、VRRPステータスの切替が行えない問題に対応しました。
(4) show ipv6 neighbors コマンドのAge表示が正しく表示されない問題に対応しました。
(5) 装置にログインする際のパスワード入力処理において、 "Enter password:" が表示された状態で入力制御に関わらない 以下の非表示文字の入力を行った場合に、 入力長チェックが働かず入力が続く限り"Enter password:"のプロンプト状態となっていました。
  • Ctrl + n を押し続ける
  • Back space  を押し続ける
  • Delete  を押し続ける
(6) VRRP機能を使用し、VRRPステータスがBACKUPである装置を経由してMASTER装置の仮想IPアドレスに 対する通信を行う構成において、上記仮想IPアドレス宛通信を継続したままVRRPステータスを 変化させた場合に、仮想IPアドレス宛通信が復旧しない場合がある問題を修正しました。 この状態においても仮想IPアドレス宛以外の通信には問題ありません。
(7) OSPFで他エリアから学習したエリア間経路のフラップが連続して発生した場合に、 実際の登録経路数(show ip route で表示される経路数)が最大2048エントリに 達していないのにもかかわらず、新たな経路を追加することができずに、 OSPF route overflow やNSM route overflow のelogを記録する現象が発生していました。
これに伴い、トンネルルート機能を使用する運用において 新たなSA確立時にトンネルルートを追加することができず、 SA確立に失敗する現象が発生していた問題に対応しました。
本現象は、エリア内経路、エリア内 AS外経路、エリア外 AS外経路のフラップでは発生しません。
(8) QoS(CBQ)機能を使用しキュー長設定を短く設定した場合に、 装置の中継性能を下回る設定帯域以下のトラフィックであるにもかかわらず、 キュー溢れが発生してパケットをロスする問題に対応しました。
この現象はキュー長を20以下に設定した場合に特に発生しやすくなります。(デフォルトのキュー長は50)
(9) F100における最大IPsecセッション数(ポリシーベースIPsec設定時で最大128セレクタ、 ルートベースIPsec設定時で最大100セレクタ)に近い環境において、 IPsec対象トラフィックを印加した状態でIKE-SA、IPsec-SAの削除を繰り返し行った場合に、 装置内部資源が枯渇し自律リセットが発生する場合がありました。
(10) 以下の設定で refresh 及び装置起動すると自律リセットが発生する可能性がありました。
  • crypto mapのmatch address設定なし
  • interfaceにcrypto map設定あり
(11) 装置へのTELNETやSSH通信において、行末コードがCR/LFではなく LF/CRとなっていました。
(12) snmp-server community にIPv4アクセスリストを指定した設定において、 IPv6でMIB取得等の通信を行うと、 装置の自律リセットが発生する場合がありました。
(13) 装置起動時のコンフィグ読み込み処理において、稀に装置の自律リセットが 発生する可能性がある問題に対応しました。
(14) VRRPの仮想IPアドレスでIPsec終端する構成でレスポンダ動作時、 Phase1-IDペイロードのIDTypeフィールドにVRRPの仮想IPアドレスではなく、 実IPアドレスが入ってしまう問題に対応しました。
(15) OSPF運用環境において、show ip ospf database表示を more で停止している状態から quitにて表示を終了し、その後にOSPFデータベースを参照する際に 装置の自律リセットが発生する場合がありました。
(16) QuickModeネゴシエーションにおいて、サポートしていない暗号化アルゴリズムが最初に提案された場合に、 no proposal chosenでネゴに失敗してしまう問題に対応しました。
(17) ログ表示を--more--で停止させた状態で新たなログが記録された場合に、 moreの前後でログのレコード番号が飛ばされたり、新たに上書きされた ログ情報が表示されてしまう問題を修正しました。
(18) ポリシールーティング機能とIPsec負荷分散機能を 併用し、 ポリシールーティング機能で決定した出力インタフェースと IPsec負荷分散機能で決定した出力インタフェースが異なる場合に、 装置の自律リセットが発生する問題を修正しました。
(19) show crypto key ssh コマンドのkey とsshのコマンドヘルプが不適切であったため変更しました。
(20) トンネルルートの登録に失敗したことを示すエラーログ出力処理に問題があり、 下記エラーログが連続して出力された場合に装置負荷が異常に高くなり、 コンソール応答が著しく鈍くなる、もしくは中継処理が一時的に停止する等の問題を修正しました。
  • トンネルルート機能の設定間違いによるログ
  • 装置起動直後にISAKMPネゴシエーションを連続受信する状況によるログ
(21) トンネルルートの削除判定処理を変更しました。
トンネルルートを登録した状態でイニシエータから同一ピアアドレス、 異なるUDPポート番号で新たなIKE-SAのネゴシエーションが行われた場合に、 従来は異なるピアからの新たなSA確立であると認識し旧SAの削除時に トンネルルートを併せて削除していましたが、認証により同一ピアであることが 認識できた場合にはトンネルルートを削除しないように変更しました。
VPNピアとの間にNAT装置が存在し、このNAT装置のIPsecパススルー動作に よってはSA更新ネゴシエーション時にNATテーブルの変更(UDPポート番号の変更)が 行われ、トンネルルートを削除することによりIPsec-SAの更新が行えない 現象が発生する場合がありました。
(22) トンネルルートの登録に失敗した場合に、 IPsec Redundancy route add Fail というIPsec冗長機能関連のelogを 誤って出力してしまう問題を修正しました。
また、トンネルルートの登録失敗は設定間違いで発生する他に、 装置起動直後等のインタフェースのアップタイミングのズレによっても 記録される場合があるため、トンネルルートの登録失敗を示すelogメッセージを 以下に変更しました。
  • tunnelroute nexthop (IPアドレス) not ready or invalid
  • tunnelroute next interface (インタフェース名) is not up
(23) loadコマンドを使用した場合に、稀にコンフィグの読み込み処理に失敗する問題に対応しました。
(24) OSPFを使用し、装置最大経路数(2048エントリ)に近いルーティングテーブルを 登録した状態において、インタフェースのアップ/ダウン等による 経路変化が繰り返し発生すると、装置の内部資源が枯渇して中継動作が停止し 装置コンソール操作も出来なくなる事象が発生する場合がありました。
(25) メール通知機能で、不正アクセス等のメール通知を行う契機となる イベントが発生した場合、まれに装置再起動等の問題が発生する可能性がありました。 この問題はV02.03以降に影響し、メール通知機能の設定を行っていない 場合でも発生する可能性があります。
(26) sa-up route設定を削除してrefreshした時に、IPsec-SAが確立していない 場合であってもsa-up routeを削除しようとする動作を行う問題を修正しました。
(27) ポリシールーティング機能によって自局送信パケットを対象とした場合で、 且つSSH機能を使用して装置にログインし、SSHのパケットがポリシールーティングの 対象となった場合に、装置の自律リセットが発生することがある問題を修正しました。
(28) ログの書き込み処理中に装置リセットを行った場合に、 書き込み処理中であったログ領域の記録内容が全て消されてしまう、 もしくは、記録内容が不正となる場合がある問題を修正しました。
(29) ポリシールーティング機能を使用しISDN回線に平文パケットを中継する環境において、 ISDN回線未接続状態でポリシールーティング対象パケットが発生した場合に、 ISDN回線が接続されるまでの間装置内にバッファリングしたパケットの 送信に失敗する問題を修正しました。
尚、 ISDN回線接続後の平文パケット中継には問題ありません。
(30) tasktraceに関する以下の問題を修正しました。
  • tasktraceの表示でIPv6のtraffic-classの値が不正となっていた
  • tasktrace ip 指定で送信パケットのトレースはできるが、 受信のトレースができなくなっていた
  • tasktrace設定を複数種類登録してある状態で任意の 登録を削除する場合に、既に削除されているかのような エラーメッセージ(xxx is already off)が表示 されていた。
    削除指定したtasktraceの登録は正しく削除されていた
  • tasktrace-manager filter interface指定を行っても、 指定したインタフェース以外で送受信したパケットのトレースが出力されていた
  • tastktrace other recv指定で対象パケットが出力されていなかった
  • tasktrace ip指定でUDPパケットが出力されていなかった
  • tasktrace packet hexdump, tasktrace packet hexdump all指定を せずにパケットを取得すると、L3レイヤの翻訳情報が 正しく表示されない問題に対応
  • tasktrace pppoe指定で、コンソールからPPPoEサーバ宛の PINGなどの自局送信パケットがタスクトレースに重複して出力されていた


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007