milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
FITELnet-F80 firm V01.02(00) 08/04/21 release
---FITELnet-F80ファームウェア V01.01(03)からの変更点---
| 下記の新規milan米兰体育官方网站を追加いたしました |
| (1) | 事前共有鍵等の鍵情報を取り扱う一部の設定コマンドにおいて、鍵情報を暗号化してコンフィグに登録するmilan米兰体育官方网站をサポートしました。 対象コマンドは以下の通りです。
暗号化の方法とmilan米兰体育官方网站は、暗号化した鍵情報を装置間で移行できるアルゴリズムと、移行できないアルゴリズムに対応milan米兰体育官方网站います。 |
| (2) | traceコマンドにおいて、送信元アドレスとして利用するインタフェースを指定するmilan米兰体育官方网站を追加しました。 |
| (3) | BGPにおいて、TCPのMD5認証milan米兰体育官方网站に対応しました。 |
| (4) | syslogメッセージ送信milan米兰体育官方网站において、IPv6トランスポートでの送信動作に対応しました。 |
| (5) | syslogサーバに送信するメッセージにホスト名を含めることを可能としました。 |
| (6) | SNTPクライアントmilan米兰体育官方网站において、IPv6トランスポートに対応しました。 |
| (7) | 新規にIPinIPmilan米兰体育官方网站をサポートしました。IPv4/IPv6パケットを、IPv4/IPv6上でトンネリングすることができます。 |
| (8) | 従来LANポートでのみサポートmilan米兰体育官方网站いた入出力フレームのIEEE802.1pによる優先制御を、EWANポートでもサポートしました。 |
| (9) | 送信するリミテッドブロードキャストのTTL値をmilan米兰体育官方网站できるようになりました。 |
| (10) | ICMP-Keepalivemilan米兰体育官方网站において、以下のmilan米兰体育官方网站追加を行いました。
|
| (11) | 新規にダイナミックDNSクライアントmilan米兰体育官方网站をサポートしました。 |
| (12) | 新規にARPスタティックmilan米兰体育官方网站をサポートしました。 IPアドレスとMACアドレスの紐付けをARPによる学習だけではなく、 コンフィグmilan米兰体育官方网站により静的に登録可能としました。 静的登録されたエントリは動的学習より優先され、学習により上書きされません。 ARPスタティックmilan米兰体育官方网站により、以下の運用が可能となります。 IP-PBXへの適用 LAN側にIP-PBX等のVoIP機器を使用する場合において、NAT-outsidemilan米兰体育官方网站と組み合わせて使用することによりFITELnet-F80のWAN側に割り当てられたIPアドレス(固定グローバルアドレス)を用いてVoIP機器が通信する運用が可能となります Layer2でのフィルタ LAN側に接続する端末のIPアドレスとMACアドレスをARPスタティックmilan米兰体育官方网站により事前に登録しておくことにより、登録されていないMACアドレスを持った端末を接続しての通信を防止可能としました |
| (13) | 新規にIPv6 Stateless Address Autoconfigurationをサポートしました。 |
| (14) | NTPサーバmilan米兰体育官方网站をサポートしました。 従来よりサポートしているSNTPクライアントmilan米兰体育官方网站と併用することで、正確な時刻情報源として動作することが可能となります。 これに伴いSNTPクライアントmilan米兰体育官方网站関連の設定コマンドを即時有効対象に 変更いたしました。 また、SNTPクライアントmilan米兰体育官方网站の時刻精度を向上し、状態表示コマンドを追加いたしました。 |
| (15) | IPsecのピアアドレスをFQDNで指定するmilan米兰体育官方网站に対応しました。 |
| (16) | IPsec通信において、受信したESPパケットのシーケンス番号をチェックするmilan米兰体育官方网站(Replay Attack防御milan米兰体育官方网站)を無効にすることができるようになりました。 中継経路内において、ESPパケットの順序入れ替えが発生する可能性がある場合や、本装置においてESP送信側でポリシーベースIPsecとQoSを併用する場合、受信側においてESPパケットの順序が大幅に入れ替わって受信される可能性がありますが、この場合、Replay Attackと判定されてESPパケットが廃棄されます。Replay Attack防御milan米兰体育官方网站を無効とすることで、順序入れ替えによるパケット廃棄を行わない動作が可能となります。 本装置において、IPsecとQoSを併用する場合、送信側におけるパケットの順序入れ替えの発生状況は以下のようになります。 ポリシーベースIPsec(EWANインタフェース)とQoSとを併用した場合、ESPカプセル化前にインナーパケットによってクラシフィケーションが行なわれ、ESPカプセル化後に優先制御が行なわれるため、ESPパケットの順序入れ替えが発生する可能性があります ルートベースIPsec(IPsecインタフェース)とQoSとを併用した場合、ESPカプセル化前にインナーパケットによってクラシフィケーションが行なわれ、ESPカプセル化前に優先制御が行なわれるため、ESPパケットの順序入れ替えは発生しません なお、パケットの大幅な順序入れ替えが発生しない環境においては、Replay Attackによる攻撃を防ぐため、Replay Attack防御milan米兰体育官方网站(デフォルト動作)を使用することを推奨します。 |
| (17) | アクセスリストに対milan米兰体育官方网站コメントが記述できるようになりました。 記述した内容はshow access-listで表示されます。 |
| (18) | 各インタフェースmilan米兰体育官方网站モード下でDescriptionが記述できるようになりました。 記述した内容は、MIBのifAliasでの取得およびshow interfaceでの表示が行われます。 |
| (19) | DHCPサーバmilan米兰体育官方网站において、任意のDHCP標準オプションの送信を行うことができるようになりました。 |
| (20) | イベントアクションmilan米兰体育官方网站を拡張しました。 イベント部(event-class設定)に以下のmilan米兰体育官方网站を追加しました。
|
| (21) | VRRPステータスを手動で切り替えるコマンドをサポートしました。 |
| (22) | VLANインタフェースでのMSS書換えmilan米兰体育官方网站に対応しました。 |
| (23) | 従来はPPPoE#1〜#4はEWAN#1ポート、PPPoE#5はEWAN#2ポートを使用milan米兰体育官方网站いましたが、どちらのポートを使用するかを指定できるようになりました。 |
| (24) | ルートベースのIPsec接続において、セレクタによる検索の有無を選択できるように変更しました。 本milan米兰体育官方网站がある場合には、セレクタ検索を行なわずに経路情報を基に IPsecトンネルでの通信を行ないます。 |
| (25) | IKEのPhase2ネゴにおいて、Rekeyに失敗した場合でもRekey動作をリトライする動作に対応しました。 |
| (26) | 送信するARPパケットにIEEE802.1pのマーキングを行うことができるようになりました |
| (27) | 学習しているARP情報のエージアウト時間をmilan米兰体育官方网站できるようになりました。 |
| (28) | Diffie-Hellman のGroup 5に対応いたしました。 |
| (29) | nat outsidemilan米兰体育官方网站をサポートしました。これにより出て行くパケットの宛先アドレスや、入ってくるパケットの送信元アドレスを変換することができるようになりました。 |
| (30) | IPsecのalways-upの監視時間がmilan米兰体育官方网站できるようになりました。 |
| 下記の変更を実施いたしました |
| (1) | show report-all により大量の表示を行った場合にパケット中継遅延やパケットロスがバースト的に発生する場合があり、大量の表示処理による負荷を低減するチューニングを実施しました。 |
| (2) | LAN 1、EWAN 1、EWAN 2のshow ipv6 interfaceの表示に、下記のRS送信状態項目を追加いたしました。 ND router solicit transmission first delay time is 0 seconds ND router solicit transmission interval is 4 seconds ND router solicit transmission times is 3 また、show ipv6 interfaceの表示で、NDをサポートmilan米兰体育官方网站いないPPPoEおよびLoopbackインタフェースにおいて、下記の項目を表示milan米兰体育官方网站いましたので、これを表示しないようにいたしました。 ND reachable time is 0 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 0 seconds ND router advertisements live for 0 seconds |
| (3) | PPPoE接続時のログにセッションIDを記録するようにいたしました。 |
| (4) | syslog送信用ソケット(ポート番号は一定しないが、長期間残存する)に対milan米兰体育官方网站外部からパケットを送信されても受信しないよう、送信専用となるよう仕様を変更しました。 |
| (5) | show interface , show ip interface, show ipv6 interface コマンドで表示されるインタフェースの順序を変更しました。 |
| (6) | VRRPmilan米兰体育官方网站使用時、1台の装置に設定できるVRID数を2から32に拡張しました。1つのインタフェースに対するVRID数は従来通り2となります。これにより、複数のインタフェースで異なるVRIDでのVRRP動作を行い、インタフェース毎にVRRPステータスを切り替えることが可能となります。 |
| (7) | DHCPリレーエージェントmilan米兰体育官方网站の設定において、ip helper-addressコマンドが入力順に登録されていましたが、IPアドレス順にソートして登録するように変更しました。 |
| (8) | IKEセッションの確立性能を向上しました。 これにより、従来ファームウェアの約6倍のIKEセッション確立性能となりました。 |
| (9) | resetコマンドによる装置再起動前に、確立済みIPsecセッションの切断を試みる動作を追加しました。 |
| (10) | SNMPのリンクTrap(linkUp、linkDown)のTrap PDUで通知するMIBインスタンスとmilan米兰体育官方网站、ifIndexに加えてifAdminStatus, ifOperStatus, ifDescrを含めるよう、仕様を変更いたしました。 |
| (11) | QoSのCBQにおいて、無通信状態からmilan米兰体育官方网站帯域以上のトラフィックを印加した際に、milan米兰体育官方网站帯域に収束するまでの時間を短縮しました。 |
| (12) | ARPパケットについては、他のデータより優先的に送信するようにいたしました。 |
| (13) | OSPFのチューニングを行い、大量の経路計算を行うケースや大きな経路変動が発生するケースで、中継処理への負荷を軽減しました。 |
| (14) | access-list コマンドの、IPv6標準アクセスリストのヘルプ文字列を変更しました。 |
| (15) | 従来、同一の物理ポートでPPPoEとEWANインターフェースは排他利用となっていましたが、これを同時利用できるようにしました。 |
| (16) | show ipv6 routers コマンドで、lan 1 に加えてewan 1〜2 を指定可能としました。 |
| (17) | IPv6 プロトコルのType 0 ルーティングヘッダの仕様に脆弱性が見つかったため、Type 0 ルーティングヘッダを持つ自局宛パケットのうち、自局がルーティングヘッダの最終宛先ではない場合、パケットを廃棄milan米兰体育官方网站ICMPv6 によりParameter Problem のエラー応答を行う動作となるよう、仕様変更しました。脆弱性の詳細についてはこちら。 |
| (18) | スタティックのルーティングテーブル数を128から256に、また、ルーティングテーブル数全体も300から512に拡張しました。 |
| (19) | vpnlog のエントリー数を128から512に拡張しました。 |
| (20) | MTUmilan米兰体育官方网站及びMSSmilan米兰体育官方网站を即時有効対象としました。 PPPoEインタフェースのMTUについては、新規セッション(回線の再接続後)から有効となります。また、LCPで取得したMRUオプション値とmilan米兰体育官方网站MTU値との比較により、小さい値をセッションMTU値として使用します。 |
| 下記の問題点を改修いたしました |
| (1) | crypto isakmp policymilan米兰体育官方网站モード内のencryptionコマンドを、暗号アルゴリズム(DES、3DES、AES)の指定が漏れていても受け付けていましたが、指定が必須となるように修正しました。 | ||||||||||||||||||||||||
| (2) | ipv6 hop-limit値を、送信パケットに正しく適用できなかったり、showで正しい値が表示できない場合がありました。 | ||||||||||||||||||||||||
| (3) | BGPおよびRIPでNextHopが変動した場合、show ip routeで表示されるmetricやuptime等の表示が更新されず、古い値を表示milan米兰体育官方网站しまう場合がありました。 | ||||||||||||||||||||||||
| (4) | show ipv6 trafficで表示されるICMPのヒストグラムを、clear ipv6 trafficでクリアできていませんでした。 | ||||||||||||||||||||||||
| (5) | show ipv6 interfaceのreachable timeの表示が、本来の値の1/1000でした。 | ||||||||||||||||||||||||
| (6) | show ipv6 routersコマンドで、RA受信I/Fが常にLANと表示されていました。 | ||||||||||||||||||||||||
| (7) | 細工された不正なデータグラムパケットを受信した場合、パケット解析処理の誤りにより、装置ハングアップ等の影響を受ける場合がありました。この問題により以下のmilan米兰体育官方网站が影響を受ける可能性がありました。
※フィルタにより該当パケットの受信を抑止することでも回避できます。 | ||||||||||||||||||||||||
| (8) | SNTPクライアントmilan米兰体育官方网站による時刻問い合わせをsntp retry keepaliveで指定した時間より短い間隔で繰り返した場合、CPU負荷が増大する場合がある問題に対応しました。 | ||||||||||||||||||||||||
| (9) | clear ipv6 trafficを実行すると、show ipv6 trafficで表示されるUDPのdeliveredカウンタが不正な表示となる問題に対応しました。 | ||||||||||||||||||||||||
| (10) | インタフェースに適用されているACLmilan米兰体育官方网站において、同一番号に対するmilan米兰体育官方网站行の追加とrefreshを行った後、追加された行を残したまま更に同一番号に対する何らかのmilan米兰体育官方网站変更とrefreshを行うと、「ACL[3600] update error」のようなelogが出力され、ACLの一部が効かない状態となっていました。 | ||||||||||||||||||||||||
| (11) | SNMP のリンクTrap(linkUp、linkDown)のTrap PDU に含まれるOID にインスタンスインデックスが含まれていない不具合を修正いたしました。 【不具合修正前】 ifIndex 【不具合修正後】 ifIndex.? ※ ? はifindex の値 | ||||||||||||||||||||||||
| (12) | DHCP サーバmilan米兰体育官方网站において、割り当て可能なIP アドレスを全て払い出した状態で新たなアドレス取得要求を受信した場合に、割り当て範囲外のアドレスを誤ってOFFERしてしまう場合がありました。 | ||||||||||||||||||||||||
| (13) | ARP学習がincompleteなエントリについて、 SNMPのatTableおよびipNetToMediaTableの物理アドレスとmilan米兰体育官方网站不正な値が取得されることがある不具合がありました。 | ||||||||||||||||||||||||
| (14) | proxydnsで上位DNSサーバに転送するべき問い合わせを高頻度で受信した場合、メモリリークする場合がありました。 | ||||||||||||||||||||||||
| (15) | 以下のコマンド操作の不具合を修正しました。
| ||||||||||||||||||||||||
| (16) | イベントアクションmilan米兰体育官方网站でインタフェース指定で経路を追加した場合、該当インタフェースのデフォルトゲートウェイ宛の通信が正常に動作しなかったり、装置の自律リセットが発生する場合がありました。 | ||||||||||||||||||||||||
| (17) | イベントアクションmilan米兰体育官方网站でmetric値を省略して経路を追加した場合、該当経路のmetric値が1ではなく0となっていました。 | ||||||||||||||||||||||||
| (18) | IPv6のRA送信milan米兰体育官方网站にて、ipv6 nd managed-config-flag をmilan米兰体育官方网站しても MフラグがONにならない不具合がありました。 | ||||||||||||||||||||||||
| (19) | 複数インタフェースでIPv6を利用する環境において、デフォルトルータがmilan米兰体育官方网站されていないインタフェースの状態がDOWN→UPに変わった場合でも、デフォルトルータがmilan米兰体育官方网站されているインタフェースのデフォルトルータ情報が削除され、一時的に通信ができなくなる不具合がありました。 | ||||||||||||||||||||||||
| (20) | no router bgp コマンドを繰り返すと、メモリリークが発生するケースがありました。 | ||||||||||||||||||||||||
| (21) | PPPoEセッションの接続切断を繰り返すと、稀にメモリ領域が不正になる不具合がありました。 この不具合により、装置の自律リセットが発生する/PPPoEセッションが接続できなくなる/特定SAでのIPsec通信ができなくなる/という事象が発生する場合がありました。 | ||||||||||||||||||||||||
| (22) | ルートベースIPsecで、アドレス不定インタフェースからIPsecピアにパケットを中継する場合、インタフェースダウン等によるアドレス削除処理と暗号化処理とが競合した場合、稀に該当IPsecピアへの経路が完全には削除できない状態となる場合がありました。 | ||||||||||||||||||||||||
| (23) | IPsecmilan米兰体育官方网站と自局送信パケットのポリシールーティングmilan米兰体育官方网站とを併用した場合、自局送信によりポリシールーティング対象となる通信相手への経路が、消去できない状態となる可能性がありました。 | ||||||||||||||||||||||||
| (24) | IPsecmilan米兰体育官方网站において、Inbound-SAとOutbound-SAの両方のSPIが含まれるDeleteメッセージを受信した場合、Deleteメッセージを受信したことを示すvpnlogがInbound-SAに関して記録されていませんでした。 | ||||||||||||||||||||||||
| (25) | QoSmilan米兰体育官方网站を使用する環境において、 パケットの中継処理中にQoS設定を変更してリフレッシュ操作を行った場合に、 装置の自律リセットが発生する場合がありました。 | ||||||||||||||||||||||||
| (26) | あるローカルサブネット内にARPエントリが登録されていない状態において、そのローカルサブネットのネットワークアドレス(ホスト部のビットが全て0のアドレス)宛の送信を行おうとした場合、その後、そのローカルサブネット内において、2つ目以降のARPエントリの登録に失敗する可能性がありました。 | ||||||||||||||||||||||||
| (27) | IKEで、双方から同時にP2ネゴを開始した場合に、双方で異なるSAを保持する状態不一致が継続milan米兰体育官方网站しまう場合がありました。 | ||||||||||||||||||||||||
| (28) | アクセスリストmilan米兰体育官方网站に不整合がある場合に記録するログメッセージにおいて、記録されるインタフェース名に誤記がありました。 | ||||||||||||||||||||||||
| (29) | DHCPリレーエージェントmilan米兰体育官方网站において、vlanifを使用し、且つhelperアドレスを複数設定した際、以下の現象が発生しておりました。
| ||||||||||||||||||||||||
| (30) | show interfaceにて全インタフェースの表示を行なった際、 nullインタフェースとloopbackインタフェースの間が詰まって表示されていました。 | ||||||||||||||||||||||||
| (31) | RIPv1運用環境において、装置自身から送信したRIPv1パケットは廃棄すべきところを受信し処理milan米兰体育官方网站おりました。 このため、RIPv1を利用milan米兰体育官方网站いる場合には、show ip protocolsで自身のインタフェースアドレスが表示されていました。この問題はRIPv2運用環境では発生しません。 | ||||||||||||||||||||||||
| (32) | IPv4パケットに対してIPv6用のLayer3マーキングを行なうイレギュラーなmilan米兰体育官方网站の場合に、IPv4中継パケットの内容が異常となっていました。 | ||||||||||||||||||||||||
| (33) | tunnel-route に、PPPoE#5インタフェースを指定できませんでした。 | ||||||||||||||||||||||||
| (34) | event-action の内容は変更になっているが、event-map が変更にならないようなmilan米兰体育官方网站の変更をおこなってrefreshした場合に、event-action の内容が実行されないことがありました。 | ||||||||||||||||||||||||
| (35) | event-map で複数の event-class が一つの event-action にマップされていると、正しく動作しないことがありました。 | ||||||||||||||||||||||||
| (36) | tasktrace ip指定でUDPパケットが出力されませんでした。 | ||||||||||||||||||||||||
| (37) | syslog送信動作に伴って別のsyslogメッセージが発生する運用を行った場合、処理のループが発生milan米兰体育官方网站装置がハングアップする場合がありました。 | ||||||||||||||||||||||||
| (38) | show report-allの表示内容に、RIPngのメモリ使用量の表示が含まれていませんでした。 | ||||||||||||||||||||||||
| (39) | 「snmp-server source-interface」が指定されている場合、Trap送信時に加え、応答送信時にもこのmilan米兰体育官方网站を参照し、送信元アドレスをmilan米兰体育官方网站していました。応答送信時には要求を受信したアドレスを送信元アドレスとしてmilan米兰体育官方网站し、「snmp-server source-interface」milan米兰体育官方网站はTrap送信時のみ参照する動作となるよう、修正しました。 これにより、source-interface指定とmilan米兰体育官方网站loopback 1を指定した場合に正しく応答できていなかった不具合も修正されました。 |
ファームのダウンロードはこちらから
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2008