古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
f80トップ マニュアル&カタログ ファームウェア 設定例 技術情報 FAQ

FITELnet-f80ファームウェア リリースノート

FITELnet-F80 firm V01.01(00) 06/04/13 release
---FITELnet-F80ファームウェア V01.00(02)からの変更点---
下記の変更を実施いたしました
(1) PPPoEセッションの切断及び再接続処理に関する仕様変更
FITELnet装置の電源断や再起動により網側にのみPPPoEセッションが残留した場合に、 網側が持つPPPoEセッション数を制限する機能やISPとの認証における二重ログインを制限する機能によって、 一定の時間を経過しないと新規のPPPoEセッションを確立できない場合があります。
このような場合に、FITELnet装置では網側からのEcho-Requestメッセージを利用し 残留したPPPoEセッションの切断を要求する機能を従来よりサポートしていましたが、この機能を更に拡張いたしました。
  • Echo-Requestメッセージ受信に伴いPPPoEセッションの切断を要求する機能(従来機能)
  • PPPoEトラフィック受信に伴いPPPoEセッションの切断を要求する機能の追加
    Echo-Requestメッセージ受信のみではなく、不明なセッションIDを持つ自装置宛の PPPoEトラフィックを受信した場合においても、網側に残留したPPPoEセッションの切断を要求する動作を行います。
  • 装置を再起動する際、網側に対して確立済みPPPoEセッションの切断を要求する機能の追加
(2) 装置MACアドレスの仕様変更
EWAN1ポートとEWAN2ポートにおいて、従来は自装置のMACアドレスとして単一のアドレスを用いておりましたが、 一部のPPPoEを利用するアクセス回線サービスをEWAN1とEWAN2で2回線同時に利用する場合に 通信できないケースが報告されたため、EWAN1で使用するMACアドレスを 従来とは異なるMACアドレスとなるように仕様を変更しました。
V02.05ファームウェアへバージョンアップすると、 LANの4ポート及びEWAN2は従来の装置MACアドレス(MACアドレス1)、 EWAN1は新たなMACアドレス(MACアドレス2)で動作します。 EWAN1においてMACアドレスを意識した運用(MACアドレスによるフィルタリング等)を行なっている場合等には 注意してください。
以下の新規コマンドを設定することで、従来ファームウェアと同様に装置単位で一つのMACアドレスで動作させることも可能です。

<設定例>
F80(config)#hardware macaddress conventional
(3) 物理ポート毎の統計情報表示の追加
show line statisticsコマンドを追加し、物理ポート毎(LANの4ポート及びEWAN1ポート、EWAN2ポート)の 統計情報を表示することが可能となりました。
<表示例>
F80#show line statistics ewan 1

[EWAN 1]
  Transmitted 18087867 packets, 17572535342 bytes
  0 no buffer
  0 high priority, 17572535342 low priority bytes
  18087444 unicasts, 11 broadcasts
  412 multicasts, 0 pauses
  0 deferred, 0 collisions
  0 late, 0 excessive collisions
  0 single, 0 multiple collisions
  Received 25528771 packets, 17183732044 bytes
  0 no buffer
  0 high priority, 17183732044 low priority bytes
  25528704 unicasts, 9 broadcasts
  58 multicasts
  0 pauses, 0 controls
  0 undersized, 0 fragments
  0 oversized
  0 jabbers, 0 symbol errors
  0 CRC errors, 0 alignment errors
    64 octets      : 19
    65-127 octets  : 14607826
   128-255 octets  : 14955
   256-511 octets  : 42
   512-1023 octets : 8
  1024-1522 octets : 10905921
(4) RIP処理の改善
RIPパケットの送受信処理に伴い、パケット中継処理に遅延が発生する場合がありました。


下記の問題点を改修いたしました
(1) プロトコル指定したipsec access-list(crypto map)を ipsecインターフェースに関連付けた場合に、 指定以外のプロトコルの通信ができてしまう問題に対応しました。
(2) clear ipv6 neighborコマンドが実行できない問題に対応しました。
(3) IPv6のRA通知を行う設定で show ipv6 nd ra情報を確認すると、 同じprefix情報が2つ表示される問題に対応しました。
(4) Replay AttackのVPNログ出力においてseq番号が16進数で7FFFFFFFを越えると負数表示となる問題に対応しました。
(5) インターフェースMIBに関する以下の問題に対応しました。
  • PPPoEインターフェースを使用する場合に、EWAN及びPPPoEのifInOctetsが正しく取得できていませんでした
  • IPsecインターフェースにおいてQoS(キューイング処理)を行った場合に、 送信パケットカウントが正しく取得できていませんでした
  • 全てのインターフェースにおいてbroadcast/multicastの受信パケットカウントが正しく取得できていませんでした
  • Vlanインターフェースを使用する場合に、関連付けられた物理インターフェースの unicast/broadcast/multicastのパケットカウントが正しく取得できていませんでした
  • ifHCInOctetsやifHCOutOctets等の64ビットカウンタについて、下位32ビット分しか応答できていませんでした
  • ifHCOutMulticastPktsが正しく取得できていませんでした
(6) IPsecインターフェースを使用し、アウター側インターフェース(EWAN等)にQoSを設定する環境において、 input-interface ipsecif の指定を行った class-map を設定した場合に class-mapのカウンタが上がらない問題に対応しました。
(7) IPsecインターフェースを使用し、キューイングとL3マーキング(TOS値)を行う設定において、 元パケットにTOS値が設定された入力パケットに対してキューイング動作は行われるが、 L3マーキングが行われない問題に対応しました。
(8) vpn enable設定時のCPU使用率表示が、低負荷状態にもかかわらず異常に高い値となっていた問題に対応しました。
(9) F80において、IPsecセッションを確立している状態において、装置の自律リセットが発生する場合がありました。 本障害は、最大50セレクタ程度のIPsecセッションを確立している状態において、 全SAが一斉に更新されるケースに発生する可能性があります。
(10) 装置のコンフィグデータベースにアクセスする際の排他制御に漏れがありました。 このため、異なるコンソール(例えばシリアルコンソールとTELNETコンソールなど)から、 動作コンフィグを参照する(show running.cfgの実行)操作と、 動作コンフィグを変更する(コンフィグ変更後のrefreshコマンドの実行)操作を同時に行った場合に、 装置の自律リセットが発生する場合がありました。
(11) IPsec対象トラフィックを中継処理している状態において、 「中継経路のダウンや中継インターフェスのダウン」と「SAの更新や削除」のタイミングが重複した場合に、 中継動作が停止し装置コンソール操作も出来なくなる事象が発生する場合がありました。 本事象はV01.00(02)ファームウェアにおいてのみ発生する可能性があります。
(12) IPsec対象トラフィックを装置の中継性能限界まで印加した場合に、 受信したESPパケットの順序入替えは発生していないのにもかかわらず vpnlogにReplay Attackのログが記録される場合がありました。 本事象はV01.00(02)ファームウェアにおいてのみ発生する可能性があります。


ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007