古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
f80トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-f80ファームウェア リリースノート

FITELnet-F80 firm V01.00(01) 05/11/07 release
---FITELnet-F80ファームウェア V01.00(00)からの変更点---
下記の変更を実施いたしました
(1) 対向の装置からIPsec SAのdelete messageを受けた場合、outbound SAを削除した上で、最大2分間はsa-up routeを保持していましたが、これをoutbound SAと同時に削除するようにしました。これにより、sa-up route機能を使った冗長構成などで、経路の切り替わりを早くすることが可能となりました。
(2) show xxx.cfg で表示される ip dhcp pool lan1 の設定行の位置が、ファームバージョンによって異なっていました。機能上の問題は発生しませんが、interfaceモード設定の上に位置するように変更しました。
(3) Web管理機能において以下の変更を実施しました。
  • 起動FIRM面・起動CONFIG面の切替をサポートしました。
  • デフォルトリセット時の操作続行確認画面を追加しました。
  • 表示中画面のメニューボタンにリンクを追加し、再表示を可能としました。
  • タイトルバーにある uptime(装置が起動してからの稼働時間)の表示方法を変更しました。
(4) IKE SAのlifetime満了30秒前から、該当するIKE SAを使用したパケット送信を停止する仕様になっていますが、他装置との接続性を考慮して、lifetime満了前の30秒間であっても、keepaliveの応答については送信できるようにしました。
(5) IKEでのkeepalive(DPDおよびDPD-prop)がfail した場合に、vpnlogに記録するようにしました。
(6) InformationalパケットでのInitial-contactを受信するケースにおいて、従来は旧IPsec SAのみを削除していましたが、旧IKE SAの削除も行うようにしました。
(7) crypto isakmp policy設定モードのkeepaliveコマンドに、response-only パラメータを追加しました。これにより、対向装置からのkeepaliveには応答するが、自装置からのkeepalive監視は行わない運用が可能となります。


下記の問題点を改修いたしました
(1) IPsec冗長機能を使用する構成において、センター側VPN装置のLAN側インターフェースがダウンしてバックアップ経路通信に切り替わった場合に、センター側VPN装置のLAN側インターフェースがアップしてもメイン経路通信に戻らないことがありました。
(2) 変換対象とする送信元アドレスをanyにしてLAN→WANへのNAT変換ルールを設定した場合に、通常は通信が許可されない状態であっても、WAN→LANへアクセスできてしまうことがありました。
(3) 1つのpeerに複数のセレクタが関連付けられており、かつ、その内の1つのセレクタでIPsec SAが確立している場合に、IPsec SAが確立していないセレクタにsa-up routeの設定を追加してrefreshすると、そのSAが確立していないセレクタのsa-up routeが登録されてしまっていました。
(4) イベントアクション機能で装置起動直後にルートを追加するアクションを実行させるような状況になった場合、ルートの登録ができませんでした。
(5) OSPF使用時にルート数の上限を超えてルート情報を受信・登録できてしまっていました。
(6) SA確立状態で keepalive-icmp source-interface 設定を削除しrefreshしても、keepalive-icmpパケットの送信元アドレスが設定削除前のsource-interfaceで指定されたものになっていました。
(7) AggressiveモードのResponder側となった場合に、keepalive always-sendの設定をしても、keepaliveのパケットが送信されなくなってしまうことがありました。
(8) ip nat inside destinationの設定数が上限を超えた場合に記録されるelogの綴りが間違っていました。
(9) AggressiveモードのResponder側でXAUTH(拡張認証)設定を併用した場合に、InitiatorからのIKE SA再確立が行われると、旧IKE SAを削除せずに、新旧2つのIKE SAが存在する状態となっていました。旧IKE SAはlifetime満了まで内部的に保持されていました。
(10) ipsecif を使用してトンネルの中にさらにトンネルを通す下記のような構成において、F80#2とF80#3間のトンネルでESP通信が1度も発生していない状態の場合に、F80#1からIKEのパケットを受けるとF80#2がICMPエラーメッセージ(destination unreachable)を送信し、F80#1とF80#4間のトンネルが確立できませんでした。

 <構成>
  F80#1 ----- F80#2 ------ F80#3 ------ F80#4
(11) タイマ登録処理において時刻情報の取り扱いに問題があり、以下の現象が発生する可能性がありました。
  • ルーティングプロトコル(RIP、OSPF、BGP、RIPng)の定期送信パケット停止
  • working.cfg編集状態でresetコマンドを実行した場合の警告メッセージ誤動作
  • IPv6におけるRA広告機能停止
  • IPv6におけるDHCPクライアント機能停止
  • VRRP機能におけるマスター状態に遷移した経過時間の不正表示
(12) 複数のevent-actionに同じ宛先への経路情報追加を行う設定を行った場合に、経路情報が削除されたり変更されてしまうことがありました。
(13) OSPFで配信されたデフォルトルートが有効になりませんでした。
(14) DPD の keepalive が Fail して SA を消す場合に、deleteメッセージを送信していませんでした。
(15) event-actionモードの add ip route コマンドにおいて、add ip route <ip> <mask> connected ipsecif までが同じだと上書きされてしまい、ipsecif 向けの複数ルートの追加ができませんでした。
(16) event-actionモードの add ip route コマンドにおいて、add ip route <ip> <mask> までが同じで <nexthopアドレス>の異なる設定を行うと上書きされてしまい、複数ルートの追加ができませんでした。
(17) 予期せぬ事態において装置が自律リセットを行う場合に、次の問題がありました。
  • 自律リセットが完了せずに装置停止する可能性がありました。
  • 自律リセットのログが残らない可能性がありました。
(18) crypto isakmp policyモードの keepalive のヘルプ文字列を修正しました。
(19) Web管理機能画面のHTML表記において<p>タグの使用方法に不適切な部分がありました。
(20) Web管理機能のコンフィグファイルのアップロードで、内容がすべて -1 のファイルをアップロードした際に、エラー画面を表示してコンフィグファイルが書き換えられないように修正しました。
(21) INBOUND SAが256個、OUTBOUND SAが0個となっている状態で IKE keepalive 動作を行うと、SAがないと誤判断して keepalive パケットを送信しない可能性がありました。
(22) Quick Mode の Responderで QM-3rd パケット受信前に EWAN インターフェースがダウン(ケーブルを抜く等)した場合に、Quick Modeネゴシエーションのタイムアウトを迎えても、QM-1st受信時に作成したSAを削除することができませんでした。
(23) IKE SAのlifetime計測処理において、計測誤差が累積する問題がありました。
(24) keepalive(DPD)動作において、DPDリクエストパケットの送信が1回抜ける等の動作が発生することがあり、VPNピアのダウンを検出するタイミングが遅れる可能性がありました。
(25) ipv6 route コマンドのネクストホップにインタフェース名を指定した状態で、その経路を削除して refresh すると、running.cfg からは削除されても、実際のルート情報が削除されませんでした。
(26) event-actionモードのadd ip routeコマンドを複数行登録したコンフィグファイルを、カット&ペーストして流し込んだ場合に、!EXCEPTION! Data TLB Error の文字列がコンソール上に記録されて、装置の自律リセットが発生することがありました。
(27) nullインターフェース宛の中継パケットを連続的に送信すると、slogに下記のログが記録されることがありました。

  ”unable to enter address for IPアドレス (could not allocate llinfo) ”
(28) router rip 設定モードの distribute-list コマンドでインターフェース指定を行うと、RIPフィルタの内容が有効となりませんでした。
(29) IPsecとQoSを併用する設定で、多数のSAを収容もしくはlifetime 設定が短く、SAの張り替えが頻繁に行われる環境下において、以下の vpnlog が記録されて、ESP通信が停止する現象が発生することがありました。

  ”espInputAsync driver error (109) ”
  ”safn_des_cbc_mbuf_async error (-1) ”
---2005/11/14 下記を追記---
(30) 「NISCC-273756 ISAKMP プロトコルの実装に複数の脆弱性」にて報告されている問題について対応しました。脆弱性の詳細についてはこちら


ファームのダウンロードはこちらから

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007