Japan
サイト内の現在位置を表示しています。
「NAT/NAPT」と「静的フィルタ」を併用した装置を
ソフトウェアバージョン 8.0.3 にバージョンアップ時、
通信障害が発生する可能性について
はじめに
平素より、UNIVERGE製品の拡販に格別なるご尽力を賜り、厚く御礼申し上げます。
間違ったフィルタ設定をしている装置をソフトウェアバージョン 8.0.3に
バージョンアップすると、通信できなくなる可能性について報告させて頂きます。
対象となる装置と発生条件
●対象装置
ソフトウェア「Version 7.5.11」以前で、
「NAT/NAPT」と「静的フィルタ」を同一インタフェースに設定した装置
●発生条件
ソフトウェア「Version 8.0.3」以降にバージョンアップ
原因と影響
Version 7.5.11以前に「NAT/NAPTと静的フィルタの併用」をすると、
NAT/NAPTキャッシュ生成時、静的フィルタが無効になり通信できてはいけない
通信ができるため制限事項とし、間違ったフィルタ設定としていました。
Version 8.0.3で制限事項を解除し、静的フィルタが正常に動作しますので、
間違ったフィルタ設定で通信できていたことが、通信できなくなる可能性があります。
想定されるユースケース
以下の要件に対し、以下のフィルタ設定をした場合、該当します。
<要件例>
1)WAN側からはソースアドレス「100.100.100.0/24」のパケットのみ受信したい
2)配下端末でインターネットアクセスしたい
<間違ったフィルタ設定例>
ip access-list test permit ip src 100.100.100.0/24 dest any
interface MobileEthernet0.0
ip filter test 1 in
ip napt enable
<Version 7.5.11以前の動作>
・WAN側から送信元100.100.100.0/24のアクセスを許可。
・配下端末でインターネットアクセスもできるが、100.100.100.0/24
以外の機器からのアクセスを許可することになるため、NG動作。
<Version 8.0.3>
・WAN側から送信元100.100.100.0/24のアクセスだけを許可。
・配下端末でインターネットアクセスは出来ない。
Version 7.5.11以前では、間違った設定で配下端末からインターネットアクセスが
出来ていましたが、Version 8.0.3にバージョンアップすることで出来なくなります。
対処方法
「取扱説明書 付録 NAT/NAPTとフィルタ同時動作のソフトウェアバージョンによる制限」
を参考に、コンフィグ設定の見直しをお願います。
更新履歴
2019年 4月16日 初版発行
資料請求・お問い合わせ