================================================================================

 IX2215ソフトウェア Ver.10.10.21 リリースノート

                                                      2024.10.10 NEC Corporation
================================================================================

1. 適用機種
-----------

 IX2215(-Z)


2. プログラムファイル名
-----------------------

  o rapファイル ... ix2215-boot-25.1-gate-ms-10.10.21.rap
       (MD5   :bbd53e3caf10ce4375f8c4f395b37b21)
       (SHA1  :5fd33c3e2b96434332c2d954ab26559b42f37041)
       (SHA256:99de95b8cece2cfc4c471149cacbbaf6aaf2fcc02a9c38a6fe9b95ec7de25647)

  o ldcファイル ... ix2215-ms-10.10.21.ldc
       (MD5   :19f2dd4ce86401653edeb62f72a6342b)
       (SHA1  :99fe2fc9676ac1e550f06a5619accb0f3a69636a)
       (SHA256:d2534be984c9cc58f893ddb3c8e6e2fd93db24240f80ca9cd25ef2868fd96bd7)

  ソフトウェアをバージョンアップする場合は、rapファイルを使用してください。
  また、ソフトウェアをバージョンダウンする場合も、必ずrapファイルを使用して
  ください。

  本装置は「プログラムファイル2面管理機能」による安全なバージョンアップ手順に
  対応しています。手順の詳しい内容は取扱説明書をご参照ください。


3．機能強化内容
---------------

  [1] NetMeister機能改善

      ・セッション数通知に対応しました。

  [2] URLオフロード機能改善

      ・DNSスヌーピングに対応しました。

  [3] ネットワークモニタ機能改善

      ・NetMeister接続状態監視イベントを追加しました。

  [4] OpenSSL脆弱性対応

      ・OpenSSL-3.1.0 → OpenSSL-3.0.15


4. 仕様改善/変更
----------------

  [1] WebコンソールにてIPoE接続時、プレフィックス取得方法としてRA固定とPD/RA
      自動判別のいずれかを選択可能としました。

  [2] 「TLS1.3対応ブラウザの「TLS 1.3 hybridized Kyber support」機能」に
      対応しました。

  [3] 一部の機能で装置状態の更新情報をNetMeisterに1時間周期で送信していましたが、
      NetMeister上の情報反映タイミングを改善できるようNetMeisterからの要求でも
      更新情報を送信する機能に対応しました。

  [4] IKEv2にてイニシャルコンタクト送信の抑止コマンドを追加しました。

  [5] MAP-E使用時の転送性能を改善しました。

  [6] BBIX株式会社のIPv6国内標準プロビジョニング接続方式に対応しました。

  [7] アプリケーション解析機能にて、NetMeisterに送信する統計の詳細情報を制限する
      設定を追加しました。デフォルトは5000件です。


5. 不具合修正
-------------

  [1] NetMeisterのアプリケーション解析を有効にした状態で、
      "url-offload profile"コマンドでURLオフロードプロファイルを作成し、
      URLオフロード判定を実行するインタフェースで"ip url-offload profile"コマンドを
      設定するとリブートする問題を修正しました。
      本問題はVer10.9.11版で発生します。

  [2] UTMのURLフィルタリング機能の廃棄カテゴリ設定コマンド"reject category"
      にてIDを62個以上設定した場合に、ヘルプ表示が異常となる場合がある問題を修正
      しました。
      本問題はVer10.0.14版以降で発生します。

  [3] IPv6 telnetサーバ機能でIPv6 TCP-SYNパケットを受信した際に、SYN/ACKの再送
      タイムアウトが発生またはSYN/ACKに対するRSTを受信した場合、IPv4 telnetサーバ
      機能に接続できない問題を修正しました。
      本問題はVer9.4.15版以降で発生します。

  [4] IKEv1 IPsecで対向装置から受信した1つのプロポーザルの中に同一アトリビュート
      (たとえば暗号化種別など)が複数存在する場合、64byteのメモリリークが発生する
      問題を修正しました。
      本問題は過去全てのバージョンで発生します。

  [5] IKEv2 NATトラバーサルを"force"設定した場合、IKEv2による接続ができない
      場合がある問題を修正しました。
      SAプロポーザルのDHグループが一部のみ一致し、レスポンダ側から不正な鍵交換
      ペイロードのエラー(Invalid KE)エラーが返る場合、イニシエータ側が
      nat-traversalを"force"設定されていると接続できません。
      本問題はVer9.5.11版以降で発生します。

  [6] OSPFv2使用時、"originate-default"コマンドで指定したルートマップに
      メトリック条件"metric"およびタグ条件"tag"が設定されていても適用されない問題を
      修正しました。
      本問題は過去全てのバージョンで発生します。

  [7] ネットワークモニタ機能で以下の問題を修正しました。
        ・ホスト監視以外のイベントに対して"probe-mode"が指定できてしまう。
        ・"passive"モード設定のイベントを "probe-mode traffic" コマンドに
          よって"passive"モード設定を解除した後、他のイベントを"passive"モードに
          設定しようとしてもエラーとなる。
      本問題は過去全てのバージョンで発生します。

  [8] パケットがIPフラグメントされ、かつ以下のいずれかに一致する場合、IDSで
      誤検知する場合ある問題を修正しました。
        ・分割されたパケットがICMPで4byte未満の場合
        ・分割されたパケットがUDPで8byte未満の場合
        ・分割されたパケットがTCPで20byte未満の場合
      本問題はVer8.10.11版以降で発生します。

  [9] IPv6国内標準プロビジョニングでIPIP回線に接続する際に出力される
      イベントログ(V6PV.033)に平文パスワードが出力される問題を修正しました。
      本問題はVer10.8.21版以降で発生します。

  [10] IPv6国内標準プロビジョニング使用時、プロビジョニング情報を取得し、その
       情報を設定に反映する前に異常終了するとメモリリークが発生する問題を修正
       しました。
       メモリリークのサイズは取得するプロビジョング情報により異なります。
       本問題はVer10.8.21版以降で発生します。

  [11] トンネルモードをIPv6国内標準プロビジョングからIPv6国内標準プロビジョング
       以外に変更した場合に、トンネルの動作が停止する場合がある問題を修正しました。
       本問題はVer10.8.21版以降で発生します。

  [12] IPv6国内標準プロビジョングモードで、"tunnel adjust-mtu"が設定できない
       問題を修正しました。
       本問題はVer10.8.21版以降で発生します。

  [13] リンクマネージャにて"default-action permit ignore-auth"を設定した場合、
       NetMeisterのデバイスリストタブにて「拒否」の表示となる問題を修正しました。
       本問題はVer10.4.14版以降で発生します。

  [14] "interface range"コマンドを設定し、"system information"コマンドを設定
       した後に保存および再起動すると、"system information"コマンドが
       インタフェースのコンフィグとしても表示される問題を修正しました。
       本問題はVer10.6.21版以降で発生します。

  [15] NetMeisterとの接続にプロキシを経由する場合に、CONNECTメッセージをHTTP1.0で
       接続しているために、プロキシの仕様によってはNetMeisterとの接続ができない
       場合がある問題を修正しました。
       本問題はVer10.1.14版以降で発生します。

  [16] NATまたはIPv4パケットフィルタ利用時、リアセンブルバッファが残り3以下に
       なるとリアセンブルされず、パケットが廃棄される問題を修正しました。
       現在のリアセンブルバッファの残数は、"show ip protocols"コマンドで確認
       できます。
       本問題はVer10.6.21版以降で発生します。

  [17] 証明書のエラーのため、NetMeisterと接続できない場合がある問題を修正しました。
       本問題はVer10.0.14版以降で発生します。

  [18] L2TP使用時、SAの作成が短い時間で発生した場合、Tunnelが切断される場合が
       ある問題を修正しました。
       本問題はVer9.1.24版以降で発生します。

  [19] Webコンソールのプロバイダの設定で、IPv6を選択時に通信セキュリティの設定で
       レベル2を選択すると、IPv6のパケットが廃棄されIPv6通信に失敗する問題を
       修正しました。
       本問題はVer10.3.10版以降で発生します。

  [20] URLオフロードにて"url-offload compatibility"コマンドが未設定の場合、
       HTTP/HTTPSの通信がURLオフロードのデータベースに該当しない場合、アドレス
       キャッシュのネガティブキャッシュが作成されない問題を修正しました。
       本問題はVer10.8.21版以降で発生します。

  [21] WebコンソールでダイナミックVPNのセンタ側の設定を行った場合、設定に失敗する
       場合がある問題を修正しました。
       本問題はVer10.9.11版以降で発生します。

  [22] SSHが有効な状態でTCPポート22を使用してtelnet接続すると、CPU使用率が90近くに
       上昇する問題を修正しました。
       本問題は過去全てのバージョンで発生します。


6. 注意事項
-----------

  注意事項はありません。


7．制限事項
-----------

  [1] OSPFv2にて、他のルーティングプロトコルによる数千経路もの大量な経路の
      受信時にnssa-rangeコマンドにより経路の集約を行った場合に、
      広告されている経路が削除されずに広告され続けてしまう可能性があります。
      本問題は過去全てのバージョンで発生します。
      [回避策]  集約元の経路が広告されます。
                経路数が増えますが、運用には影響ありません。
                clear ip ospf processで復旧します。

  [2] アプリケーション解析機能にて、HTTPS通信時に通知されるClinetHelloメッセージが
      複数パケットに分割された場合に、アプリケーション解析の宛先毎の統計
      情報の宛先情報が、URLでは表示されず、IPアドレスで表示されます。
      統計情報の宛先情報の表示の問題となります。
      アプリケーション分類等、その他のアプリケーション解析機能の動作に影響は
      ありません。