サイト内の現在位置を表示しています。

「NAT/NAPT」と「静的フィルタ」を併用した装置を
ソフトウェアバージョン 8.0.3 にバージョンアップ時、
通信障害が発生する可能性について

はじめに

平素より、UNIVERGE製品の拡販に格別なるご尽力を賜り、厚く御礼申し上げます。
間違ったフィルタ設定をしている装置をソフトウェアバージョン 8.0.3に
バージョンアップすると、通信できなくなる可能性について報告させて頂きます。

対象となる装置と発生条件

●対象装置
 ソフトウェア「Version 7.5.11」以前で、
 「NAT/NAPT」と「静的フィルタ」を同一インタフェースに設定した装置
●発生条件
 ソフトウェア「Version 8.0.3」以降にバージョンアップ

原因と影響

Version 7.5.11以前に「NAT/NAPTと静的フィルタの併用」をすると、
NAT/NAPTキャッシュ生成時、静的フィルタが無効になり通信できてはいけない
通信ができるため制限事項とし、間違ったフィルタ設定としていました。
Version 8.0.3で制限事項を解除し、静的フィルタが正常に動作しますので、
間違ったフィルタ設定で通信できていたことが、通信できなくなる可能性があります。

想定されるユースケース

以下の要件に対し、以下のフィルタ設定をした場合、該当します。

<要件例>
1)WAN側からはソースアドレス「100.100.100.0/24」のパケットのみ受信したい
2)配下端末でインターネットアクセスしたい

<間違ったフィルタ設定例>
ip access-list test permit ip src 100.100.100.0/24 dest any

interface MobileEthernet0.0
ip filter test 1 in
ip napt enable

<Version 7.5.11以前の動作>
・WAN側から送信元100.100.100.0/24のアクセスを許可。
・配下端末でインターネットアクセスもできるが、100.100.100.0/24
 以外の機器からのアクセスを許可することになるため、NG動作。

<Version 8.0.3>
・WAN側から送信元100.100.100.0/24のアクセスだけを許可。
・配下端末でインターネットアクセスは出来ない。

Version 7.5.11以前では、間違った設定で配下端末からインターネットアクセスが
出来ていましたが、Version 8.0.3にバージョンアップすることで出来なくなります。

対処方法

更新履歴

2019年 4月16日  初版発行

資料請求・お問い合わせ