> FITELnetトップ > 製品ラインナップ > FITELnet-f80 > FITELnet-f80ファームウェア
> FITELnet-F80 firm V01.02(00) 08/04/21 release
> FITELnet-F80 firm V01.02(00) 08/04/21 release
古河電工ネットワーク機器の総合ブランド ファイテルネット
FITELnet-F80 firm V01.02(00) 08/04/21 release
---FITELnet-F80ファームウェア V01.01(03)からの変更点---
| 下記の新規機能を追加いたしました |
| (1) | 事前共有鍵等の鍵情報を取り扱う一部の設定コマンドにおいて、鍵情報を暗号化してコンフィグに登録する機能をサポートしました。 対象コマンドは以下の通りです。
暗号化の方法としては、暗号化した鍵情報を装置間で移行できるアルゴリズムと、移行できないアルゴリズムに対応しています。 |
| (2) | traceコマンドにおいて、送信元アドレスとして利用するインタフェースを指定する機能を追加しました。 |
| (3) | BGPにおいて、TCPのMD5認証機能に対応しました。 |
| (4) | syslogメッセージ送信機能において、IPv6トランスポートでの送信動作に対応しました。 |
| (5) | syslogサーバに送信するメッセージにホスト名を含めることを可能としました。 |
| (6) | SNTPクライアント機能において、IPv6トランスポートに対応しました。 |
| (7) | 新規にIPinIP機能をサポートしました。IPv4/IPv6パケットを、IPv4/IPv6上でトンネリングすることができます。 |
| (8) | 従来LANポートでのみサポートしていた入出力フレームのIEEE802.1pによる優先制御を、EWANポートでもサポートしました。 |
| (9) | 送信するリミテッドブロードキャストのTTL値を設定できるようになりました。 |
| (10) | ICMP-Keepalive機能において、以下の機能追加を行いました。
|
| (11) | 新規にダイナミックDNSクライアント機能をサポートしました。 |
| (12) | 新規にARPスタティック機能をサポートしました。 IPアドレスとMACアドレスの紐付けをARPによる学習だけではなく、 コンフィグ設定により静的に登録可能としました。 静的登録されたエントリは動的学習より優先され、学習により上書きされません。 ARPスタティック機能により、以下の運用が可能となります。 IP-PBXへの適用 LAN側にIP-PBX等のVoIP機器を使用する場合において、NAT-outside機能と組み合わせて使用することによりFITELnet-F80のWAN側に割り当てられたIPアドレス(固定グローバルアドレス)を用いてVoIP機器が通信する運用が可能となります Layer2でのフィルタ LAN側に接続する端末のIPアドレスとMACアドレスをARPスタティック機能により事前に登録しておくことにより、登録されていないMACアドレスを持った端末を接続しての通信を防止可能としました |
| (13) | 新規にIPv6 Stateless Address Autoconfigurationをサポートしました。 |
| (14) | NTPサーバ機能をサポートしました。 従来よりサポートしているSNTPクライアント機能と併用することで、正確な時刻情報源として動作することが可能となります。 これに伴いSNTPクライアント機能関連の設定コマンドを即時有効対象に 変更いたしました。 また、SNTPクライアント機能の時刻精度を向上し、状態表示コマンドを追加いたしました。 |
| (15) | IPsecのピアアドレスをFQDNで指定する機能に対応しました。 |
| (16) | IPsec通信において、受信したESPパケットのシーケンス番号をチェックする機能(Replay Attack防御機能)を無効にすることができるようになりました。 中継経路内において、ESPパケットの順序入れ替えが発生する可能性がある場合や、本装置においてESP送信側でポリシーベースIPsecとQoSを併用する場合、受信側においてESPパケットの順序が大幅に入れ替わって受信される可能性がありますが、この場合、Replay Attackと判定されてESPパケットが廃棄されます。Replay Attack防御機能を無効とすることで、順序入れ替えによるパケット廃棄を行わない動作が可能となります。 本装置において、IPsecとQoSを併用する場合、送信側におけるパケットの順序入れ替えの発生状況は以下のようになります。 ポリシーベースIPsec(EWANインタフェース)とQoSとを併用した場合、ESPカプセル化前にインナーパケットによってクラシフィケーションが行なわれ、ESPカプセル化後に優先制御が行なわれるため、ESPパケットの順序入れ替えが発生する可能性があります ルートベースIPsec(IPsecインタフェース)とQoSとを併用した場合、ESPカプセル化前にインナーパケットによってクラシフィケーションが行なわれ、ESPカプセル化前に優先制御が行なわれるため、ESPパケットの順序入れ替えは発生しません なお、パケットの大幅な順序入れ替えが発生しない環境においては、Replay Attackによる攻撃を防ぐため、Replay Attack防御機能(デフォルト動作)を使用することを推奨します。 |
| (17) | アクセスリストに対してコメントが記述できるようになりました。 記述した内容はshow access-listで表示されます。 |
| (18) | 各インタフェース設定モード下でDescriptionが記述できるようになりました。 記述した内容は、MIBのifAliasでの取得およびshow interfaceでの表示が行われます。 |
| (19) | DHCPサーバ機能において、任意のDHCP標準オプションの送信を行うことができるようになりました。 |
| (20) | イベントアクション機能を拡張しました。 イベント部(event-class設定)に以下の機能を追加しました。
|
| (21) | VRRPステータスを手動で切り替えるコマンドをサポートしました。 |
| (22) | VLANインタフェースでのMSS書換え機能に対応しました。 |
| (23) | 従来はPPPoE#1〜#4はEWAN#1ポート、PPPoE#5はEWAN#2ポートを使用していましたが、どちらのポートを使用するかを指定できるようになりました。 |
| (24) | ルートベースのIPsec接続において、セレクタによる検索の有無を選択できるように変更しました。 本設定がある場合には、セレクタ検索を行なわずに経路情報を基に IPsecトンネルでの通信を行ないます。 |
| (25) | IKEのPhase2ネゴにおいて、Rekeyに失敗した場合でもRekey動作をリトライする動作に対応しました。 |
| (26) | 送信するARPパケットにIEEE802.1pのマーキングを行うことができるようになりました |
| (27) | 学習しているARP情報のエージアウト時間を設定できるようになりました。 |
| (28) | Diffie-Hellman のGroup 5に対応いたしました。 |
| (29) | nat outside機能をサポートしました。これにより出て行くパケットの宛先アドレスや、入ってくるパケットの送信元アドレスを変換することができるようになりました。 |
| (30) | IPsecのalways-upの監視時間が設定できるようになりました。 |
| 下記の変更を実施いたしました |
| (1) | show report-all により大量の表示を行った場合にパケット中継遅延やパケットロスがバースト的に発生する場合があり、大量の表示処理による負荷を低減するチューニングを実施しました。 |
| (2) |
LAN 1、EWAN 1、EWAN 2のshow ipv6 interfaceの表示に、下記のRS送信状態項目を追加いたしました。 ND router solicit transmission first delay time is 0 seconds ND router solicit transmission interval is 4 seconds ND router solicit transmission times is 3 また、show ipv6 interfaceの表示で、NDをサポートしていないPPPoEおよびLoopbackインタフェースにおいて、下記の項目を表示していましたので、これを表示しないようにいたしました。 ND reachable time is 0 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 0 seconds ND router advertisements live for 0 seconds |
| (3) | PPPoE接続時のログにセッションIDを記録するようにいたしました。 |
| (4) | syslog送信用ソケット(ポート番号は一定しないが、長期間残存する)に対して外部からパケットを送信されても受信しないよう、送信専用となるよう仕様を変更しました。 |
| (5) | show interface , show ip interface, show ipv6 interface コマンドで表示されるインタフェースの順序を変更しました。 |
| (6) | VRRP機能使用時、1台の装置に設定できるVRID数を2から32に拡張しました。1つのインタフェースに対するVRID数は従来通り2となります。これにより、複数のインタフェースで異なるVRIDでのVRRP動作を行い、インタフェース毎にVRRPステータスを切り替えることが可能となります。 |
| (7) | DHCPリレーエージェント機能の設定において、ip helper-addressコマンドが入力順に登録されていましたが、IPアドレス順にソートして登録するように変更しました。 |
| (8) | IKEセッションの確立性能を向上しました。 これにより、従来ファームウェアの約6倍のIKEセッション確立性能となりました。 |
| (9) | resetコマンドによる装置再起動前に、確立済みIPsecセッションの切断を試みる動作を追加しました。 |
| (10) | SNMPのリンクTrap(linkUp、linkDown)のTrap PDUで通知するMIBインスタンスとして、ifIndexに加えてifAdminStatus, ifOperStatus, ifDescrを含めるよう、仕様を変更いたしました。 |
| (11) | QoSのCBQにおいて、無通信状態から設定帯域以上のトラフィックを印加した際に、設定帯域に収束するまでの時間を短縮しました。 |
| (12) | ARPパケットについては、他のデータより優先的に送信するようにいたしました。 |
| (13) | OSPFのチューニングを行い、大量の経路計算を行うケースや大きな経路変動が発生するケースで、中継処理への負荷を軽減しました。 |
| (14) | access-list コマンドの、IPv6標準アクセスリストのヘルプ文字列を変更しました。 |
| (15) | 従来、同一の物理ポートでPPPoEとEWANインターフェースは排他利用となっていましたが、これを同時利用できるようにしました。 |
| (16) | show ipv6 routers コマンドで、lan 1 に加えてewan 1〜2 を指定可能としました。 |
| (17) | IPv6 プロトコルのType 0 ルーティングヘッダの仕様に脆弱性が見つかったため、Type 0 ルーティングヘッダを持つ自局宛パケットのうち、自局がルーティングヘッダの最終宛先ではない場合、パケットを廃棄してICMPv6 によりParameter Problem のエラー応答を行う動作となるよう、仕様変更しました。脆弱性の詳細についてはこちら。 |
| (18) | スタティックのルーティングテーブル数を128から256に、また、ルーティングテーブル数全体も300から512に拡張しました。 |
| (19) | vpnlog のエントリー数を128から512に拡張しました。 |
| (20) | MTU設定及びMSS設定を即時有効対象としました。 PPPoEインタフェースのMTUについては、新規セッション(回線の再接続後)から有効となります。また、LCPで取得したMRUオプション値と設定MTU値との比較により、小さい値をセッションMTU値として使用します。 |
| 下記の問題点を改修いたしました |
| (1) | crypto isakmp policy設定モード内のencryptionコマンドを、暗号アルゴリズム(DES、3DES、AES)の指定が漏れていても受け付けていましたが、指定が必須となるように修正しました。 | ||||||||||||||||||||||||
| (2) | ipv6 hop-limit値を、送信パケットに正しく適用できなかったり、showで正しい値が表示できない場合がありました。 | ||||||||||||||||||||||||
| (3) | BGPおよびRIPでNextHopが変動した場合、show ip routeで表示されるmetricやuptime等の表示が更新されず、古い値を表示してしまう場合がありました。 | ||||||||||||||||||||||||
| (4) | show ipv6 trafficで表示されるICMPのヒストグラムを、clear ipv6 trafficでクリアできていませんでした。 | ||||||||||||||||||||||||
| (5) | show ipv6 interfaceのreachable timeの表示が、本来の値の1/1000でした。 | ||||||||||||||||||||||||
| (6) | show ipv6 routersコマンドで、RA受信I/Fが常にLANと表示されていました。 | ||||||||||||||||||||||||
| (7) | 細工された不正なデータグラムパケットを受信した場合、パケット解析処理の誤りにより、装置ハングアップ等の影響を受ける場合がありました。この問題により以下の機能が影響を受ける可能性がありました。
※フィルタにより該当パケットの受信を抑止することでも回避できます。 | ||||||||||||||||||||||||
| (8) | SNTPクライアント機能による時刻問い合わせをsntp retry keepaliveで指定した時間より短い間隔で繰り返した場合、CPU負荷が増大する場合がある問題に対応しました。 | ||||||||||||||||||||||||
| (9) | clear ipv6 trafficを実行すると、show ipv6 trafficで表示されるUDPのdeliveredカウンタが不正な表示となる問題に対応しました。 | ||||||||||||||||||||||||
| (10) | インタフェースに適用されているACL設定において、同一番号に対する設定行の追加とrefreshを行った後、追加された行を残したまま更に同一番号に対する何らかの設定変更とrefreshを行うと、「ACL[3600] update error」のようなelogが出力され、ACLの一部が効かない状態となっていました。 | ||||||||||||||||||||||||
| (11) | SNMP のリンクTrap(linkUp、linkDown)のTrap PDU に含まれるOID にインスタンスインデックスが含まれていない不具合を修正いたしました。 【不具合修正前】 ifIndex 【不具合修正後】 ifIndex.? ※ ? はifindex の値 | ||||||||||||||||||||||||
| (12) | DHCP サーバ機能において、割り当て可能なIP アドレスを全て払い出した状態で新たなアドレス取得要求を受信した場合に、割り当て範囲外のアドレスを誤ってOFFERしてしまう場合がありました。 | ||||||||||||||||||||||||
| (13) | ARP学習がincompleteなエントリについて、 SNMPのatTableおよびipNetToMediaTableの物理アドレスとして不正な値が取得されることがある不具合がありました。 | ||||||||||||||||||||||||
| (14) | proxydnsで上位DNSサーバに転送するべき問い合わせを高頻度で受信した場合、メモリリークする場合がありました。 | ||||||||||||||||||||||||
| (15) | 以下のコマンド操作の不具合を修正しました。
| ||||||||||||||||||||||||
| (16) | イベントアクション機能でインタフェース指定で経路を追加した場合、該当インタフェースのデフォルトゲートウェイ宛の通信が正常に動作しなかったり、装置の自律リセットが発生する場合がありました。 | ||||||||||||||||||||||||
| (17) | イベントアクション機能でmetric値を省略して経路を追加した場合、該当経路のmetric値が1ではなく0となっていました。 | ||||||||||||||||||||||||
| (18) | IPv6のRA送信設定にて、ipv6 nd managed-config-flag を設定しても MフラグがONにならない不具合がありました。 | ||||||||||||||||||||||||
| (19) | 複数インタフェースでIPv6を利用する環境において、デフォルトルータが設定されていないインタフェースの状態がDOWN→UPに変わった場合でも、デフォルトルータが設定されているインタフェースのデフォルトルータ情報が削除され、一時的に通信ができなくなる不具合がありました。 | ||||||||||||||||||||||||
| (20) | no router bgp コマンドを繰り返すと、メモリリークが発生するケースがありました。 | ||||||||||||||||||||||||
| (21) | PPPoEセッションの接続切断を繰り返すと、稀にメモリ領域が不正になる不具合がありました。 この不具合により、装置の自律リセットが発生する/PPPoEセッションが接続できなくなる/特定SAでのIPsec通信ができなくなる/という事象が発生する場合がありました。 | ||||||||||||||||||||||||
| (22) | ルートベースIPsecで、アドレス不定インタフェースからIPsecピアにパケットを中継する場合、インタフェースダウン等によるアドレス削除処理と暗号化処理とが競合した場合、稀に該当IPsecピアへの経路が完全には削除できない状態となる場合がありました。 | ||||||||||||||||||||||||
| (23) | IPsec機能と自局送信パケットのポリシールーティング機能とを併用した場合、自局送信によりポリシールーティング対象となる通信相手への経路が、消去できない状態となる可能性がありました。 | ||||||||||||||||||||||||
| (24) | IPsec機能において、Inbound-SAとOutbound-SAの両方のSPIが含まれるDeleteメッセージを受信した場合、Deleteメッセージを受信したことを示すvpnlogがInbound-SAに関して記録されていませんでした。 | ||||||||||||||||||||||||
| (25) | QoS機能を使用する環境において、 パケットの中継処理中にQoS設定を変更してリフレッシュ操作を行った場合に、 装置の自律リセットが発生する場合がありました。 | ||||||||||||||||||||||||
| (26) | あるローカルサブネット内にARPエントリが登録されていない状態において、そのローカルサブネットのネットワークアドレス(ホスト部のビットが全て0のアドレス)宛の送信を行おうとした場合、その後、そのローカルサブネット内において、2つ目以降のARPエントリの登録に失敗する可能性がありました。 | ||||||||||||||||||||||||
| (27) | IKEで、双方から同時にP2ネゴを開始した場合に、双方で異なるSAを保持する状態不一致が継続してしまう場合がありました。 | ||||||||||||||||||||||||
| (28) | アクセスリスト設定に不整合がある場合に記録するログメッセージにおいて、記録されるインタフェース名に誤記がありました。 | ||||||||||||||||||||||||
| (29) | DHCPリレーエージェント機能において、vlanifを使用し、且つhelperアドレスを複数設定した際、以下の現象が発生しておりました。
| ||||||||||||||||||||||||
| (30) | show interfaceにて全インタフェースの表示を行なった際、 nullインタフェースとloopbackインタフェースの間が詰まって表示されていました。 | ||||||||||||||||||||||||
| (31) | RIPv1運用環境において、装置自身から送信したRIPv1パケットは廃棄すべきところを受信し処理しておりました。 このため、RIPv1を利用している場合には、show ip protocolsで自身のインタフェースアドレスが表示されていました。この問題はRIPv2運用環境では発生しません。 | ||||||||||||||||||||||||
| (32) | IPv4パケットに対してIPv6用のLayer3マーキングを行なうイレギュラーな設定の場合に、IPv4中継パケットの内容が異常となっていました。 | ||||||||||||||||||||||||
| (33) | tunnel-route に、PPPoE#5インタフェースを指定できませんでした。 | ||||||||||||||||||||||||
| (34) | event-action の内容は変更になっているが、event-map が変更にならないような設定の変更をおこなってrefreshした場合に、event-action の内容が実行されないことがありました。 | ||||||||||||||||||||||||
| (35) | event-map で複数の event-class が一つの event-action にマップされていると、正しく動作しないことがありました。 | ||||||||||||||||||||||||
| (36) | tasktrace ip指定でUDPパケットが出力されませんでした。 | ||||||||||||||||||||||||
| (37) | syslog送信動作に伴って別のsyslogメッセージが発生する運用を行った場合、処理のループが発生して装置がハングアップする場合がありました。 | ||||||||||||||||||||||||
| (38) | show report-allの表示内容に、RIPngのメモリ使用量の表示が含まれていませんでした。 | ||||||||||||||||||||||||
| (39) | 「snmp-server source-interface」が指定されている場合、Trap送信時に加え、応答送信時にもこの設定を参照し、送信元アドレスを設定していました。応答送信時には要求を受信したアドレスを送信元アドレスとして設定し、「snmp-server source-interface」設定はTrap送信時のみ参照する動作となるよう、修正しました。 これにより、source-interface指定としてloopback 1を指定した場合に正しく応答できていなかった不具合も修正されました。 |
ファームのダウンロードはこちらから
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2008