今回、FITELシリーズの一部廃止に伴い、F200とF60を評価した際のメモ

古河電工様のページに、書式の変更点があったので引用。

非常にわかりやすくまとめてあったため、スムーズに移行が出来そうです。

1. 機能の違いについて

F200では次の各機能が拡張、変更されています。

○:サポート
-:未サポート

項目 FITELnet F200 FITELnet-F100
インタフェース LAN 10/100/1000BASE-T 8ポート 10/100BASE-TX 4ポート
WAN 10/100/1000BASE-T 2ポート 10/100BASE-TX 2ポート
USB 2ポート
BRI ※1 BRIオプション
(ISDN/HSD)
2ポート
IPsecスループット 500Mbps以上 110Mbps以上
経路数 (スタティック経路数) 10,000 (5,000) 2,048(1,024)
IPsec対地登録数 100 100
IPsecインタフェース数 100 100
IPsec DH グループ1,2,5,14 グループ1,2,5
VLAN数 100 ※2 16
NATセッション数 最大20,000 最大16,382
学習フィルタリングテーブル数 最大20,000 最大16,382
IPsec冗長機能(拠点側機能)
IPsec負荷分散機能
外部→内部 ESPパケットに対するfilter/QoSの適用(ipsecif使用時)
冷却方式 FANによる強制空冷
温度による回転数調整機構あり
自然空冷
温度センサー
L2QoS 802.1p,DSCP(エンハンス) 802.1p(LANのみ)
ログ保持件数 tlog 128 32
elog 512 64
vpnlog 4096 1024
slog 1024 512
flog 4096 128
ttrlog 5000 500
デフォルトIPアドレス なし LAN 1,EWAN 1,EWAN 2でIPv4プライベートアドレスを保持
MACアドレス LAN 1,EWAN 1,EWAN 2で固有 LAN 1とEWAN 2で同じ
自律監視機能
EtherIP機能
NDPテーブル数 2048 512
ARPテーブル数 2048 512

※1 USB-TA対応。
ただし、以下の動作は未対応。

  • ISDN着信(callback含む)
  • MP接続
  • HSD接続

 

※2 EWANポートでのポートVLAN設定不可
IPv4のみで使用する場合は75インタフェースまで
IPv6のみで使用する場合は30インタフェースまで
IPv4/IPv6同時に使用する場合は16インタフェースまで
EtherIPのインタフェースとして使用する場合(IPアドレス設定無し)は100インタフェースまで

2. コマンド書式の違いについて

2-1.F200では次の各コマンドで書式が変更になっています。

設定コマンド

(基本設定モード)
ip dhcp pool設定モードへの移行コマンド
F100 ip dhcp pool lan1
F200 ip dhcp pool lan 1
F100 ip dhcp pool ewan2
F200 ip dhcp pool ewan 2
(基本設定モード)
line設定モードへの移行コマンド
F100 line lan 1
F200 line lan
(line設定モード)
priority classification設定コマンド
F100 priority <port-number> classification
F200 priority {<1-8>|host} 802.1p classification
(line設定モード)
priority default-priority設定コマンド
F100 priority <port-number> default-priority <802.1p値>
F200 priority port-priority コマンドに変更
(line設定モード)
priority port-priority設定コマンド
F100 該当コマンド無し
F200 priority {host|<1-8>} port-priority (0-7)
※LANポートのみで設定可能
(line設定モード)
priority threshold設定コマンド
F100 priority threshold <802.1p値>
F200 priority 802.1p threshold <802.1p値>
(line設定モード)
priority 1 default-classification設定コマンド
F100 該当コマンド無し
F200 priority 1 802.1p default-classification {high|low}
※EWANポートのみで設定可能
(line設定モード)
egress-tagging null-tag設定コマンド
F100 vlan <ポート番号> egress-tagging {always|never}
F200 vlan <ポート番号> egress-tagging {always|never}の設定を削除
※port-vlan設定時及び、LAN1、EWAN1、EWAN1インタフェースでは、802.1Q TAGヘッダは付与されない。
(line設定モード))
egress-tagging null-tag設定コマンド
F100 該当コマンド無し
F200 vlan <ポート番号> egress-tagging null-tag {never|always}
※LANポートのみで設定可能。LAN ポートからの出力するフレームに関してはnull-tagとなるかuntagとなるかを規定する
(interface vlan設定モード)
bridge-group設定コマンド
F100 bridge-group lan <1-1> <0-15>
F200 bridge-group lan <0-15>

 

2-2.F200では次の各コマンドおよびオプションが削除されています。

設定コマンド

(基本設定モード)
・hardware macaddress conventional
・ip dhcp-client dont-register-implicit-default-route
・linkdown-detect
  ※linkdown-detectの設定が無い状態でも、LAN側ポートのリンクダウンを
    検出してインタフェースをダウンする動作を行います。

 

3. フィルタリングにおけるESPパケットの扱いについて

3-1.F200でルートベースのIPsecの場合

F200ではIPsecインターフェースを使ったルートベースのIPsecの場合、ESPパケットの受信は例外扱いされず、フィルタリングの対象となります(F100と異なる動作)。従って、下記のようにESPパケットの受信を許可する設定が必要になります。

access-list 2200 permit udp any eq 500 host 200.200.200.1 eq 500
access-list 2200 permit esp any host 200.200.200.1
                 ★ESPパケットの受信を許可する設定が必要
access-list 2200 deny ip any any

interface pppoe 1
  ip address 200.200.200.1
  ip access-group 2200 in
exit

interface ipsecif 1
  crypto map KYOTEN1
exit

*ESPパケットを復号化した後のパケットに対してフィルタリングを適用したい場合には、IPsecインターフェースにてフィルタリングの設定を行います。

 

3-2.F200でポリシーベースのIPsecの場合

ESPのパケットを受信しても例外扱いされてフィルタリングの対象とはならず、復号化後のパケットがフィルタリングの対象となります(F100と同じ動作)。

access-list 2200 permit udp host any eq 500 host 200.200.200.1 eq 500
access-list 2200 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255
                 ★復号化後の通信を許可する設定が必要
access-list 2200 deny ip any any

interface pppoe 1
  ip address 200.200.200.1
  ip access-group 2200 in
  crypto map KYOTEN1
exit

 

*上記3-1、3-2はIPv4 over IPv4のIPsecの場合となります。IPv4 over IPv6のIPsecの場合、ルートベース、ポリシーベースにかかわらず、F100、F200とも受信したESPのパケットはフィルタリングの対象となります。

トラックバック

このブログ記事に対するトラックバックURL:

コメント & トラックバック

コメントはまだありません。

Comment feed

コメントする