RT200i/RT140[iep]/RT103i Rev.4.00.02 リリースノート Rev.4.00.02はRev.3.01.11の諸機能を引き継ぎつつ、 NATディスクリプタやFR圧縮機能などの新しい機能を 追加したリビジョンです。 ============================================================================ ○ Rev.3.01.11 からの変更点 ============================================================================ ■機能追加 [1] NATディスクリプタ機能を実装した。 NATディスクリプタ機能は、従来のNAT機能の拡張であり、より汎用的、 体系的にNAT機能を利用するための枠組みを提供する。主な特徴は、よ り細かなアドレス変換規則を記述できることと、LANインタフェースに 対してアドレス変換規則を適用できることである。 NATディスクリプタに関する情報の参照先: http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/index.html ○概要 本機能では、アドレス変換規則を表す記述をNATディスクリプタと呼ぶ。 それぞれのNATディスクリプタには、アドレス変換の対象とすべきアド レス空間が定義される。アドレス空間の記述には、以下の2つのコマン ドを用いる。 ・nat descriptor address inner ・nat descriptor address outer 前者はNAT処理の内側のアドレス空間を、後者はNAT処理の外側のアド レス空間を定義するコマンドである。原則的に、これら2つのコマンド を対で設定することにより、変換前のアドレスと変換後のアドレスと の対応づけが定義される。 NATディスクリプタは、LANインタフェースとPPインタフェースに適用 することができる。LANインタフェースに適用するときには、 ip lan nat descriptorコマンドを用いる。また、PPインタフェースに 適用するときには、ip pp nat descriptorコマンドを用いる。 NATディスクリプタは、動作タイプという属性を持つ。IPマスカレード やアドレスの静的割当てなどの機能を利用するときには、該当する動 作タイプを選択する必要がある。 ○コマンド仕様 ・LAN側インタフェースにNATディスクリプタを適用する設定 [コマンド書式] ip lan nat descriptor NATディスクリプタ番号リスト ip lan1 nat descriptor NATディスクリプタ番号リスト ip lan2 nat descriptor NATディスクリプタ番号リスト [パラメータ] NATディスクリプタ番号リスト ... ・空白で区切られたNATディスクリプタ番号(1〜21474836)の並び (4個以内) ・clear: NATディスクリプタを適用しない。 [説明] 適用されたLANインタフェースを通過するパケットに対して、 リストに定義された順番でNATディスクリプタによって定義された NAT変換を順番に処理する。 [ノート] LAN側に設定されたNATディスクリプタのOUTERアドレスに関しては、 同一LANのARP要求に対してARP応答する。 [デフォルト値] NATディスクリプタ番号 ... clear ・PP側インタフェースにNATディスクリプタを適用する設定 [コマンド書式] ip pp nat descriptor NATディスクリプタ番号リスト [パラメータ] NATディスクリプタ番号リスト ... ・空白で区切られたNATディスクリプタ番号(1〜21474836)の並び (4個以内) ・clear: NATディスクリプタを適用しない。 [説明] 適用されたPPインタフェースを通過するパケットに対して、 リストに定義された順番でNATディスクリプタによって定義された NAT変換を順番に処理する。 [デフォルト値] NATディスクリプタ番号 ... clear ・NATディスクリプタの動作タイプを指定する [コマンド書式] nat descriptor type NATディスクリプタ番号 NATディスクリプタの動作タイプ [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 NATディスクリプタの動作タイプ ... ・none: NAT変換機能を利用しない。 →nat use off, nat masquerade off相当 ・nat: 動的NAT変換と静的NAT変換が利用できる。 →nat use on, nat masquerade off相当 ・masquerade: 静的NAT変換とIPマスカレード変換 →nat use on, nat masquerade on相当 ・nat-masquerade: 動的NAT変換と静的NAT変換とIPマスカレード変換 →新タイプ [説明] NAT変換の動作タイプを指定する。 [デフォルト値] none ・NAT処理の外側IPアドレスの設定 [コマンド書式] nat descriptor address outer NATディスクリプタ番号 OUTER_IP_REGIONのリスト [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 OUTER_IP_REGION ... NAT対象の外側IPアドレス範囲のリストか、ニーモニック ・IP: 1個のIPアドレス ・IP-IP:IPアドレス範囲 ・ipcp: ・primary: ・secondary: ※アドレスの場合、空白で区切ってリストできる。 ※ニーモニックの場合、リストは駄目。1個だけ適用。  適用されるインタフェースにより意味が異なる。 [説明] nat address globalコマンド相当 動的NAT処理の対象である外側のIPアドレスの範囲を指定する。 IPマスカレードでは、先頭の1個の外側のIPアドレスが使用される。 [ノート] +-------------+-----------------+ | | 適用Interface | | | | | | LAN | PP | +-------------+--------+--------+ | ipcp | × | ipcp | +-------------+--------+--------+ | primary | ○ | × | +-------------+--------+--------+ | secondary | ○ | × | +-------------+--------+--------+ | IP | ○ | ○ | +-------------+--------+--------+ | IP-IP(範囲) | ○ | ○ | +-------------+--------+--------+ [デフォルト値] ipcp ・NAT処理の内側IPアドレスの設定 [コマンド書式] nat descriptor address inner NATディスクリプタ番号 INNER_IP_REGIONのリスト [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 INNER_IP_REGION ... NAT対象の内側IPアドレス範囲 ・IP: 1個のIPアドレス ・IP-IP:IPアドレス範囲 ・auto: すべて。 [説明] nat address privateコマンド相当 NAT/IPマスカレード処理の対象である内側のIPアドレスの範囲を指定する。 [ノート] +-------------+-----------------+ | | 適用Interface | | | | | | LAN | PP | +-------------+--------+--------+ | auto | all | all | +-------------+--------+--------+ | IP | ○ | ○ | +-------------+--------+--------+ | IP-IP(範囲) | ○ | ○ | +-------------+--------+--------+ [デフォルト値] auto ・静的NATエントリの設定 [コマンド書式] nat descriptor static NATディスクリプタ番号 ID OUTER_IP=INNER_IP [COUNT] [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 ID ... 静的NATエントリの識別情報 ・1以上の数値 OUTER_IP ...外側IPアドレス ・1つのIPアドレス INNER_IP ... 内側IPアドレス ・1つのIPアドレス COUNT ... 連続設定する個数 ・個数 (省略すると1) [説明] NAT変換で固定割り付けするIPアドレスの組み合せを指定する。 個数数を同時に指定すると指定されたアドレスと始点とした範囲 指定とする。 [ノート] 外側アドレスがNAT処理対象として設定されているアドレスである必要は無い。 ・IPマスカレード使用時のrlogin,rcp,sshの使用許可設定 [コマンド書式] nat descriptor masquerade rlogin NATディスクリプタ番号 USE [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 USE ・on: 使用する。 ・off: 使用しない。 [説明] [ノート] [デフォルト値] off ・静的IPマスカレードエントリの設定 [コマンド書式] nat descriptor masquerade static NATディスクリプタ番号 ID INNER_IP PROTOCOL PORT [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 ID ... 静的IPマスカレードエントリの識別情報 ・1から21474836までの整数 INNER_IP ...内側IPアドレス ・1つのIPアドレス PROTOCOL ... 対象プロトコル ・tcp: tcpプロトコル ・udp: udpプロトコル PORT ... 固定するポート番号、または、範囲指定 ・ポート番号、または、ポート番号のニーモニック [説明] IPマスカレードによる通信でポート番号変換を 行なわないようにポートを固定する。 ・NATのIPアドレスマップの消去タイマの設定 [コマンド書式] nat descriptor timer NATディスクリプタ番号 TIME [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 ID ... 消去タイマの秒数設定 ・30から21474836の整数 [説明] 動的に生成されたNAT管理テープルから自動的に消去されるまでの 時間を設定する。 [ノート] [デフォルト値] 900 ・NATディスクリプタの削除 [コマンド書式] nat descriptor delete NATディスクリプタ番号 [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 [説明] 指定されたNATディスクリプタ番号の設定を削除(初期化)する。 [ノート] ・静的NATエントリの削除 [コマンド書式] nat descriptor static delete NATディスクリプタ番号 ID [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 ID ... 静的NATエントリの識別情報 ・1から21474836までの整数 [説明] 静的NATエントリを削除する。 ・静的IPマスカレードエントリの削除 [コマンド書式] nat descriptor masquerade static delete NATディスクリプタ番号 ID [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 ID ... 静的IPマスカレードエントリの識別情報 ・1から21474836までの整数 [説明] 静的IPマスカレードエントリを削除する。 ・設定したNATディスクリプタの設定状態表示 [コマンド書式] show nat descriptor config NATディスクリプタ番号 [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 [説明] NATディスクリプタの設定状態を書式に従って表示する。 [ノート] ・動作中のNATディスクリプタのアドレスマップの表示 [コマンド書式] show nat descriptor address NATディスクリプタ番号 [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 [説明] NATディスクリプタのアドレスマップを表示する。 [ノート] ・動作中のNATディスクリプタの適用リストの表示 [コマンド書式] show nat descriptor interface bind [パラメータ] なし [説明] NATディスクリプタと適用インタフェースのリストを表示する。 [ノート] ・NATアドレステーブルのクリア [コマンド書式] clear nat descriptor dynamic NATディスクリプタ番号 [パラメータ] NATディスクリプタ番号 ... NATディスクリプタの識別番号 ・1から21474836までの整数 [説明] [2] FRデータ圧縮機能を実装した。 ・概要 FRデータ圧縮機能は、FR上の通信において、送信側がデータを圧縮し受 信側がそれを展開することにより、通信負荷を軽減する機能である。 本機能の実装はFrame Relay ForumのFRF.9(*1)に基づいており、特に、 FRF.9のモード1に対応している。データを圧縮するためのアルゴリズム にはStac LZSを用いる。 処理は大きくふたつの部分からなる。ひとつは圧縮機能を利用するか否 かを決定するための交渉である。交渉が行われるタイミングは、起動時、 fr compression useコマンドの設定時、及び相手からの交渉要求時であ る。交渉に失敗した場合には、圧縮機能は動作せず、圧縮されないまま のデータが回線に送出される。 もうひとつの処理はデータの圧縮/展開である。このためのアルゴリズ ムにはStac LZSが用いられる。この処理は、双方向のトラヒックに対し て行われる。すなわち、片方向のトラヒックのみを対象にしてデータを 圧縮/展開することはできない。 本機能が適用できる対地の最大数は各PPインタフェースに対して2であ る。これを超える数の対地に対してデータ圧縮機能を適用することはで きない。また、本機能を利用できる機種は、RT200i/140[iep]/103iに限 られる。 ・コマンド [コマンド書式] fr compression use dlci=DLCI SW [パラメータ] DLCI : 16 〜 991 SW : on ... データの圧縮をする off ... データの圧縮をしない [説明] FRのデータ圧縮機能を利用するか否かを設定する。 引数'DLCI'には、対象となるリンクに付された自分側の DLCIを指定する。なお、このコマンドを設定している 場合でも、交渉に失敗した場合には圧縮機能は働かない。 [デフォルト値] SW = off [使用例] +-------+ | | | RT2 | | | +---+---+ | +-+-+ dlci 17 | | dlci 20 +-------+ dlci 16 | | | | +-------------------+ | | RT1 +--+ | | | +-------------------+ | +-------+ dlci 18 | | dlci 19 | | dlci 21 +-+-+ | +---+---+ | | | RT3 | | | +-------+ - 要件 RT1-RT2間とRT1-RT3間でデータを圧縮する RT2-RT3間ではデータを圧縮しない - RT1の設定 pp select leased pp encapsulation fr fr compression use dlci=16 on fr compression use dlci=18 on pp enable leased - RT2の設定 pp select leased pp encapsulation fr fr compression use dlci=17 on fr compression use dlci=20 off pp enable leased #4行目はデフォルト設定であるため、show configには表示されない。 - RT3の設定 pp select leased pp encapsulation fr fr compression use dlci=19 on fr compression use dlci=21 off pp enable leased #4行目はデフォルト設定であるため、show configには表示されない。 (*1) Data Compression over Frame Relay Implementation Agreement http://www.frforum.com/5000/5000index.html ■仕様変更 [1] IPのProxy ARPで、サニティチェックを行わないことでアドレスのチェック をゆるくした。 [2] 受信したLANインタフェースのネットワークアドレス範囲内にないIPアドレ スから受信したARPパケットを無視するようにした。 ■バグ修正 [1] IPマスカレードを適用している時、フラグメントされたパケットを扱えな かったバグを修正した。 [2] packetdumpコマンドが、RT140eのLAN1/LAN2を区別せず表示してしまうバグ を修正した。 [3] IPsecの鍵の更新において、通信が途絶する時間を減少させるように処理を 改善した。 [4] RIP(IP/IPX)パケットの出力キューを、通常のキューとは別に用意すること により、FR多重の多重数が多いときにRIPが届かない地点ができてしまう問 題を回避した。ただし、優先/帯域制御でRIPを特定のクラスに割り当てて いる場合にはこの機能は働かない。 [5] クラス別にSNMP変数をカウントする機能が正しく働かなくなっていたのを 修正した。Rev.3.01.11でエンバグした。 [6] show isdn remoteコマンドに"Bind PRI:"の項目が抜けていたのを修正した。 [7] pp bind priコマンドの設定が保存されないバグを修正した。 [8] PRI専用線とBRI回線交換とのMPができないバグを修正した。 [9] isdn auto connect offが設定されているときに、手動接続でMPの2B目を 発呼できないバグを修正した。このバグはRev.2.02.28で修正されているが、 Rev.2.02.29以降では修正が無効になっていた。 [10] dhcp scopeコマンドを誤った書式で入力するとリブートすることがあった のを修正した。 [11] IPsecで、SAが不正に消滅した結果、パケットを暗号化する鍵が存在しな いとき、そのパケットを契機として鍵交換を始動する処理を加えた。この 修正の目的は、本来、寿命に従って正しく消滅するはずのSAが何らかのバ グで不正に消滅したときでも、正常復帰できるようにすることである。 [12] 他のクライアントのために予約されているアドレスをDHCPOFFERで渡すこ とがあったのを修正した。OSによっては、正しくアドレスが割り当てられ ないこともあった。 [13] FRバックアップ機能において、FR回線が回線ごとダウンした場合に、 Inverse ARPで解決されたアドレスに向けたパケットがバックアップされな いバグを修正した。