古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
F60トップ マニュアル&カタログ ファームウェア 設定例 技術情報 無線LAN-AP情報

FITELnet F60ファームウェア リリースノート

FITELnet F60 firm V01.11(00) 16/06/30 release

(注意)
無線LANアクセスポイントオプション付きの装置をご使用の場合は
無線LANアクセスポイントモジュールのファームウェアには
V01.04(00)をご使用ください。


無線LANアクセスポイントモジュール ファームウェア V01.04(00)の
リリースノートは こちら
ファームアップ方法は こちら

---FITELnet F60ファームウェア V01.10(00)からの変更点---
下記の新規機能を追加いたしました
(1) [F60の場合]
SNMPのIF-MIBにおいて、LANポート1〜4の情報取得と、リンク状態変化時のリンクトラップ送信に対応しました。
LANポート1〜4のifIndex値は、それぞれ20001〜20004となります。

[F60Wの場合]
SNMPのIF-MIBにおいて、LANポート1〜4と無線LANアクセスポイントと接続しているポートの情報取得と、リンク状態変化時のリンクトラップ送信に対応しました。
LANポート1〜4とWLANポートのifIndex値は、それぞれ20001〜20004, 2005となります。
(2) IPsec上でのL2TPv2 通信に対応いたしました。
(3) IKEv1 Mainモード限定でDynamic SPD機能をサポートいたしました。
但し、IPv6はサポート対象外となっています。

※注意事項:L2TPv2との併用を行わないとDynamic SPDを用いたESP通信は行えません。L2TPv2機能は本バージョンからサポートいたしました。

コマンド実施例:
Router(config)#ipsec dynamic-session limit <SA数>

Router(config)#crypto isakmp policy 1
Router(config-isakmp)#negotiation-mode main
Router(config-isakmp)#nat-traversal enable

Router(config)#crypto map map1 1
Router(config-crypto-map)#set peer isakmp-policy 1
(4) sFlow エージェント機能に対応いたしました。
また、外部のコレクタを使用せず本装置上のshowコマンドでフローの統計情報を取得する機能にも対応いたしました。

コマンド実施例:
Router(config)#sflow-agent address <アドレス>

Router(config)#sflow profile 1
Router(config-sflow-prof)#collector address <外部コレクタアドレス | local>

Router(config)#interface lan 1
Router(config-if lan 1)#sflow profile 1
Router(config-if lan 1)#sflow sampling-rate 10


下記の変更を実施いたしました
(1) PPP/L2TP のコントロールパケット情報を tasktrace 機能に追加しました。

コマンド実施例:
Router#tasktrace ip udp l2tpv2

Router#tasktrace ip udp l2tpv2-ppp
(2) 1つのVPNピアアドレスのIPsecゲートウェイに対して、IKEv1 Mainモードを利用して複数のSAを確立する機能をサポートいたしました。(自装置側には確立するSA数のグローバルアドレスが必要となります)
(3) IPsecインタフェースでNAT機能が動作するように拡張いたしました。本機能は、暗号化前・復号化後の平文パケットに対してNAT変換が行われます。従来のvpn-nat機能は、IKEv1使用時のinside変換のみをサポートしておりましたが、outside変換もできるようになります。また、IKEv2使用時でもNAT変換できるように対応いたしました。
(4) ICMP監視機能として、IPv6ホストに対して監視する機能をサポートいたしました。
(5) セカンダリアドレスでVRRPが利用できるように機能拡張いたしました。
(6) MPSAサーバの冗長機能を拡張いたしました。
従来のMPSAサーバ冗長では、サーバ間の同期がとれない状態でリキーが発生するとSAの不一致が発生する問題がありました。これを避けるため、リキー後のSAも同期するように変更いたしました。
※MPSAサーバの冗長構成を利用している場合は全てのMPSAサーバで本件対応ファームウェアを使用してください。
(7) MPSAサーバ間で装置時刻が10秒以上ずれている場合は、MPSAサーバの冗長用のセッションを切断するように変更いたしました。

MPSAサーバの冗長機能を使用する場合は時刻のずれがないように設定してください。(NTPサーバで同期をとることを推奨します)
なお、時刻ずれが発生している場合は以下の vpnlog が出力されますので、サーバ間の時刻同期を見直しください。

"GSA server TCP connection is closed. remote %01 R: %02"

%01: MPSAサーバのリモートアドレス
%02: Time is different from remote more than 10 second
(8) 従来のMPSA通信ではデフォルト動作となっていたユニキャストRPF(unicast reverse path forwarding)チェックを設定でON/OFFできるように変更いたしました。変更後のデフォルトはOFFで動作します。ユニキャストRPFチェック機能はMPSA用のIPsecインタフェースでのみ有効です。

コマンド実施例:
Router(config)#interface ipsecif 1
Router(config-if ipsecif 1)# reverse-path-check enable
(9) refresh コマンドを実行したときに slog に履歴が残るようにいたしました。
(10) show report-all で表示される以下の情報の順番を変更いたしました。
先頭から次の順番で表示されるようになります。
[CPU PROCESSES]
[date]
[uptime]
[version]


下記の問題点を改修いたしました
(1) flow-cacheテーブルが無通信により削除される処理と VPNの設定変更による refresh 処理が同じタイミングで実行されると装置再起動となる場合がありました。

本不具合は、V01.00(00)以降で発生します。
(2) BVIインタフェースからtrapを送信する設定をして装置起動するとハングアップする場合がありました。

本不具合は、V01.07(00)以降で発生します。
(3) IPsecインタフェースのIPアドレスとBGPピアのIPアドレスとを入れ替える設定変更を行い、refreshコマンドで動作に反映した場合、そのBGPセッションが有効になっていませんでした。装置再起動で復旧します。

本不具合は、V01.08(00)以降で発生します。
(4) IPV6-MIB::ipv6Interfacesを取得すると、タイムアウトとなる場合がありました。

本不具合は、V01.10(00)以降で発生します。
(5) OSPF を利用し、かつ BVIインタフェースとEWANインタフェースがリンクアップ状態のときに装置再起動する場合がありました。

本不具合は、V01.03(00)以降で発生します。
(6) BGPへのredistributeで指定するroute-map設定をrefreshコマンドで動作に反映した場合、redistribute済みであった経路情報は、経路情報に変化が生じるかclear ip bgp redistributeコマンドを実行して、再度redistributeされるまではroute-mapの変更が反映されない仕様でしたが、BGP scan(デフォルト60秒ごと)のタイミングでも反映されていました。

またBGP scanにより、redistributeされた経路情報にroute-mapが誤って適用された場合、該当する経路情報の一部の属性については明示的にsetしない限り、以下のように動作していました(BGP scan後に該当経路情報が広告される場合のみ該当します)。

・next-hopをsetしていない場合、自身のBGP終端アドレスをNEXT_HOP属性として広告
・metricをsetしていない場合、MED属性を広告しない

本不具合は、V01.00(00)以降で発生します。
(7) IPsecのルートベースの動作で、bypass 設定のアクセスリスト番号が、セレクタ情報のアクセスリスト番号よりも数値が小さい設定になっている場合、IPsec I/Fの経路に一致しても通信ができなくなっていました。

本不具合は、V01.10(00)以降で発生します。
(8) 動的に認証できるMACアドレスフィルタ機能を有効にし、認証不許可(UNAUTHORIZED)となったエントリがある状態で、clear macfilter interface コマンドを連続的に実行すると装置再起動が発生する、あるいはコンソールの応答が得られなくなる問題がありました。

本不具合は、V01.10(00)以降で発生します。
(9) VRRPの動作において、後から起動したVRRPの優先度が低い装置が一時的にMasterに遷移してしまう場合がありました。

本不具合は、V01.00(00)以降で発生します。
(10) 装置起動後の VRRP Advertisement パケットの送出間隔が設定値通りに動作しない場合がありました。

本不具合は、V01.10(00)以降で発生します。
(11) MPSAを使用している場合、ユニキャストRPFチェックで破棄となる対象パケットを大量に受信し続けると装置再起動が発生する場合がありました。

本不具合は、V01.04(00)以降で発生します。
(12) MPSAサーバから通知されるライフタイム値が、MPSAクライアント側で設定したロールオーバー値(rollover設定値)よりも小さい場合はMPSAの通信を停止せずに動作しておりましたが、MPSA通信を停止させるようにいたしました。

本不具合は、V01.04(00)以降で発生します。
(13) MPSAのクライアント側で、通常SAと MPSAのSPIが重複して いずれかの IPsec通信ができなくなる場合がありました。

本不具合は、V01.04(00)以降で発生します。
(14) MPSAを利用している場合、サーバからのリキーがクライアントに届かない状態になると最後に受信したMPSAがタイムアウトぜずに残留する場合があり、ライフタイム満了後も継続してMPSAの通信ができてしまう不具合がありました。但し、SA再確立後は残留していたMPSAは削除されるので通信に影響を与えることはありません。

本不具合は、V01.04(00)以降で発生します。
(15) MPSAクライアント側で show crypto group-security client sa redundancyを実行すると装置再起動が発生する場合がありました。

本不具合は、V01.04(00)以降で発生します。
(16) ルータの WEB 管理画面にログインした状態で、悪意のある Web サイトにアクセスして画面をクリックした場合に、クリックジャックされて、意図しない動作を実行させられるという問題に対応いたしました。

クリックジャッキング対策の不備の脆弱性について

本不具合は、V01.00(00)以降で発生します。
(17) neighbor default-originateコマンドを使用した場合、自身をネクストホップとしたデフォルトルートとBGP 経路表に登録されているデフォルトルートの両方を BGPピアに広告してしまっており、相手側でデフォルトルートを複数受信することになり、結果的にneighbor default-originateコマンドが有効とならない問題がありました。

本不具合は、V01.00(00)以降で発生します。
(18) Cisco装置とFITELnet装置を相互接続させる際、下記の条件で L2TPv3接続ができない問題がありました。
・Cisco IOSの15.4(1)S/T以降のバージョンで protocol l2tpv3を設定
・FITELnet装置でprotocol l2tpv3extを設定

本不具合は、V01.02(00)以降で発生します。
(19) マルチキャストグループがインターフェースに登録された後、そのマルチキャストグループの削除に失敗する問題がありました。このとき、elogには下記のログが記録されます。
setsockopt(MRT_DEL_MFC): K_PARAM < Invalid param >

本不具合は、V01.10(00)以降で発生します。
(20) IPinIPを利用していて、NAT変換対象のパケット中継を行うと通信が一時的に中断する場合がありました。

本不具合は、V01.07(00)以降で発生します。
(21) OSPFを利用していてネクストホップが 5個以上ある同一コストマルチパスの経路を登録する場合に装置再起動することがありました。

本不具合は、V01.04(00)以降で発生します。
(22) IKEv1のネゴシエーションが失敗したときに特定のパケットを受信すると装置再起動が発生する場合がありました。

本不具合は、V01.00(00)以降で発生します。
(23) 高負荷により、IKEv2のSA確立要求がタイムアウトすると装置再起動が発生する問題がありました。

本不具合は、V01.04(00)以降で発生します。
(24) SSHv2接続で、クライアントに show report-all のような多量のデータを送信する場合にデータが欠落する場合がありました。

本不具合は、V01.07(00)以降で発生します。
(25) SSHでログインしていて、且つクライアント端末のウィンドウサイズを変更すると装置再起動が発生する場合がありました。

本不具合は、V01.08(00)以降で発生します。


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2016