ftp://ftp.rtpro.yamaha.co.jp/pub/rt/relnote/Rev.04.00/relnote_04_00_33.txt Revision : 04.00.33 Release : Jan 2000, ヤマハ株式会社 RT200i/RT140[iefp]/RT103i Rev.4.00.33 リリースノート ========================================================================== ○ Rev.4.00.25からの変更点 ========================================================================== ■機能追加 [1] RT103iとRT140[iefp]で、ベストエフォート型の64kbit/s PIAFSに対応した。 着信の場合は、以下のコマンドを設定する。 isdn piafs arrive on 発信の場合は、isdn piafs callコマンドが以下のように変更されるので、そ れに従う。 ○PIAFSの発信に関する設定 [入力形式] isdn piafs call SPEED [MODE] [パラメータ] SPEED ... off PIAFSで発信しない 32k 32kbit/sモードで発信する 64k 64kbit/sモードで発信する MODE ... guarantee ギャランティー型 best-effort ベストエフォート型 [説明] 発信時のモードを設定する。SPEEDが'off'の場合は、PIAFSでの発信は行 わず、PPPでの発信となる。'32k'と'64k'では、それぞれ32kbit/sモード と64kbit/sモードの発信となる。64kbit/sモードの場合には、MODE引数に より、ギャランティー型('guarantee')と、ベストエフォート型 ('best-effort')を指定できる。MODEを省略した場合には、ギャランティ ー型となる。 [デフォルト値] off [2] セキュリティゲートウェイ機能(IPsec機能)で、IPアドレスが不定なセキュリ ティゲートウェイとの間でVPNを構築できるようにした。なお、この機能を利 用するためには、関係する全てのセキュリティゲートウェイで、本リビジョン を使用する必要がある。 1. 概要 セキュリティゲートウェイ(以下、SGWと書く)のIPアドレスが動的に変化する ような環境で、VPNを構築するための仕組みを提供する。このような状況は、 ダイアルアップ接続で発生するため、この機能を総称して「ダイアルアップ VPN機能」と呼ぶ。 この機能では、SGWの識別子として「名前」を用いる。名前は、鍵交換プロト コルIKEのメッセージの中に格納されて相手に通知される。メッセージを受け たSGWは、相手のIPアドレスではなく、通知された名前によって相手のSGWを識 別する。 SGWは、必ず非対称な役割を持って動作する。一方のSGWは、IPアドレスが不定 な相手から鍵交換を受け付け、もう一方のSGWは、IPアドレスが固定な相手に 対して鍵交換を要求する。すなわち、少なくとも一方のSGWでは、IPアドレス が固定に割り当てられる必要がある。 2. 本機能を使用する際の制約事項 IPアドレスが動的に割り当てられるSGWでは、ipsec ike local addressコマン ドで、自分側のIPアドレスを設定する必要がある。このIPアドレスには、必ず 固定なものを選ぶ。通常は、LAN側に設定されたIPアドレスと同じものを設定 することができる。 IPCPでIPアドレスを取得する場合には、ipsec ike local addressコマンドで 設定したアドレスとIPCPで取得するアドレスをNATディスクリプタ機能で変換 する。このとき、IPマスカレードを利用するならば、IKEの通信を妨げないた めに、静的IPマスカレードを使って、UDPの500番を静的に割り当てる必要があ る。 また、IPアドレスがNATを受けるため、認証ヘッダ(AH)を利用することはでき ない。すなわち、認証機能の利用は、暗号ペイロード(ESP)のオプションとし て提供されるものに限定される。 センター側が再起動したとき、センター側が管理していたSAは削除される。こ のとき、センター側は拠点側に対して、再起動したことを通知しないので、SA は自動的には復元されない。 ダイアルアップVPN機能において、他機種との相互接続性は保証されない。 3. 鍵交換の動作 鍵交換は必ずIPアドレスが不定のSGWによって始動される。ただし、不要な発 呼を抑えるために、鍵を必要とするIPパケットが発生するまでは、鍵交換が保 留される。また、使用されない鍵は、古くなっても更新されずに削除される。 IPアドレスが変化したときには、これを検出して古い鍵を削除し、再び鍵交換 を始動する。 4. コマンドの追加 ○自分側のセキュリティゲートウェイの名前の設定 [入力形式] ipsec ike local name GATEWAY NAME [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) NAME 名前(最大32文字) or 'clear' [説明] 自分側のセキュリティゲートウェイの名前を設定する。 [デフォルト値] clear ○相手側のセキュリティゲートウェイの名前の設定 [入力形式] ipsec ike remote name GATEWAY NAME [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) NAME 名前(最大32文字) or 'clear' [説明] 相手側のセキュリティゲートウェイの名前を設定する。 [デフォルト値] clear 5. コマンドの仕様変更 ○相手側のセキュリティゲートウェイのIPアドレスの設定 相手側のセキュリティゲートウェイのIPアドレスが不定のときには、引数と して'any'を設定できる。 [入力形式] ipsec ike remote address GATEWAY ADDRESS ipsec ike remote address GATEWAY any ipsec ike remote address GATEWAY clear [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス [説明] 相手側のセキュリティゲートウェイのIPアドレスを設定する。 [デフォルト値] clear ○SAのポリシーの設定 従来のipsec sa policyコマンドでは、相手側のSGWのIPアドレスを設定する が、IPアドレスの代りにゲートウェイ番号を設定できるようになる。なお、 設定したIPアドレスが、ipsec ike remote addressコマンドで登録されてい る場合には、自動的にゲートウェイ番号に置きかえられる。 [入力形式] ipsec sa policy ID IP_ADDRESS PROTOCOL ALGORITHM [ALGORITHM] ipsec sa policy ID GATEWAY PROTOCOL ALGORITHM [ALGORITHM] [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) PROTOCOL IPsecプロトコル esp ah ALGORITHM アルゴリズム des-cbc 3des-cbc md5-hmac sha-hmac [説明] SAのポリシーを設定する ○IKEが用いる事前共有鍵の設定 事前共有鍵を設定するコマンドを、ipsec pre-shared-keyから、 ipsec ike pre-shared-keyに変更する。また、相手のIPアドレスに対して事 前共有鍵を設定するのではなく、相手のゲートウェイ番号に対して事前共有 鍵を設定するようにする。 [入力形式] ipsec ike pre-shared-key GATEWAY clear ipsec ike pre-shared-key GATEWAY text TEXT_KEY ipsec ike pre-shared-key GATEWAY BINARY_KEY [パラメータ] GATEWAY セキュリティゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) TEXT_KEY テキスト鍵 最大32文字まで BINARY_KEY = '0x...' バイナリ鍵 最大32バイトまで [説明] IKEが用いる事前共有鍵を設定する。 [ノート] 相手側のセキュリティゲートウェイでも同じ鍵を設定する必要がある。 [デフォルト値] clear 6. 設定 IPマスカレードを使う場合、静的IPマスカレードを使ってUDPの500番ポートを 素通しする必要がある。また、AHを使うことはできないため、 ipsec sa policyコマンドで'ah'を設定してはならない。 IPアドレスが不定なSGWでは、ipsec ike local nameコマンドが必要であり、 その反対側のSGWでは、ipsec ike remote nameコマンドが必要である。これら のコマンドは対になっているので、同じ名前が設定される必要がある。 [3] セキュリティゲートウェイ機能(IPsec機能)で、IPパケットの圧縮機能を追加 した。 この機能は、IPComp(RFC2393)に基づいて実現される。IPCompは、IPパケット のトランスポート層を圧縮するプロトコルである。IPCompをIPsec機能と併用 することによって、VPNのスループットを改善できる場合がある。特に、低速 な回線では、スループットに対するデータ量の影響が大きいため、IPCompが効 果的に機能する。圧縮アルゴリズムにはdeflate(zlib)を使用する。 本機能は、IPsec機能のトンネルモードと併用することができる。トランスポ ートモードのみを使用するときには、圧縮機能を利用することはできない。 なお、圧縮機能は、すべてのトンネルインタフェースで同時に使用できる。 ○IPComp機能の設定コマンド [入力形式] ipsec ipcomp type TYPE [パラメータ] TYPE 圧縮アルゴリズム deflate ... 圧縮アルゴリズムとしてdeflateを使用する none ... 圧縮をしない [説明] IPCompで使用する圧縮アルゴリズムを設定する [デフォルト値] none ○IPComp機能の設定例 tunnel select 1 ip tunnel route add net 192.168.0.0/24 1 ipsec ipcomp type deflate ipsec tunnel 101 tunnel enable 1 圧縮されたIPパケットを展開するためには、特別な設定を必要としない。すな わち、deflateで圧縮されたIPパケットを受信したときには、設定に関係なく、 これを展開する。また、必ずしもセキュリティゲートウェイの両方に上記のコ マンドを設定する必要はない。片側にのみ設定した場合には、そのセキュリテ ィゲートウェイから送信されるIPパケットのみが圧縮される。 本機能を利用するときには、CCPによる圧縮を利用しないことが推奨される。 そもそも、IPsecで暗号化されたパケットは圧縮に適さない。CCPによる圧縮を 機能させないためには、以下の設定が必要である。 PPPの場合: ppp ccp type none FR の場合: fr compression use none ■仕様変更 [1] FRで、送受信したInARPの内容をdebug levelのsyslogに出力するようにした。 ■バグ修正 [1] BAP Link-Drop-Query-Requestを送信した後にResponseを受信できないと、設 定にかかわらず再送処理を行わずにLCPをクローズしてしまうバグを修正した。 [2] RT140[ifp]/RT200iで複数のFR回線を使用しているときに、1つの回線が切断さ れると、それ以外の回線が収容しているDLCIの情報が削除されるバグを修正し た。 [3] FRで、回線が切断されたときに、不正な経路が登録されることがあるのを修正 した。Rev.4.00.21でエンバグしている。 [4] IPマスカレードを設定しているときに、外側から受けたICMPリダイレクトを通 さないようにした。これにより、一部のプロバイダに接続したときにファイル 転送が失敗する不具合が解消される。 [5] RT140pでINS1500を利用しているときに、MPでトラヒックに応じてBチャネルを 追加していく機能が動作しないバグを修正した。 [6] MPを設定しているときに動作が不安定になるバグを修正した。Rev.4.00.21で エンバグしている。 [7] MS-Callbackの起動側でppp ipcp ipaddress onとppp ipcp msext onが設定さ れているとき、Primary/Secondary DNS Server Address optionの付いていな いIPCP ConfReqを送信するバグを修正した。 [8] isdn disconnect policy 2とisdn disconnect interval time offが設定され ているとき、接続してすぐに切断するバグを修正した。 [9] Phone-Number-Sub-AddressサブオプションのないPhone-Deltaオプションを含 むBAP CallRespを、正しく処理できないのを修正した。 [10] PPP/BAPで、Call-Requestの受信時に相手からNo-Phone-Numberオプションを 指定されなかったにもかかわらず、対応するCall-Response送信時に、 Phone-Deltaオプションを含めていないのを修正した。 [11] PPPで、サポートしているNCPをネットワークフェーズ以外で受信したときに、 LCP ProtRejを返さないようにした。これにより、IP接続サービスに接続でき ない不具合が改善される。 [12] show status ppコマンドで、IPCPで獲得した相手のIPアドレスが"Unnumbered" と表示されることがあるのを修正した。 [13] FRで、パケットの受信時にリブートなどの不安定な動作を生じることがある のを修正した。 [14] PVC状態確認手順に失敗して回線断を検出したあとに、状態問い合わせ (STATUS ENQ)を送信しなくなるバグを修正した。Rev.4.00.07でエンバグして いる。 [15] show status lanコマンドで、MTUの表示がip lan mtuコマンドの設定を反映 していないバグを修正した。 [16] RT103iで、ip pp remote address poolコマンドの引数を3つ以上設定できる バグを修正し、2つまでに制限した。 [17] PP anonymousで、clid付きで同じ電話番号を持つユーザを複数登録すると、 それらのユーザに対する認証が正しく動作しないバグを修正した。 [18] 以下のコマンドのオンラインヘルプで、引数の個数が間違っているのを修正 した。 ・nat descriptor static ・nat descriptor static delete ・nat descriptor masquerade static ・nat descriptor masquerade static delete [19] IPsecのリリース2互換モードで、相手がリブートしたときに、消失したSAを 再生成できないバグを修正した。本来は、起動後に相手が送信する最初のメ ッセージを受けてSAを作り直す必要がある。 [20] NATディスクリプタをトンネルインタフェースに適用したときに生じる2つの 不具合を修正した。 ・DFビットが1であるIPパケットがIPsecの処理によってMTUを超える長さにな ると、本来の始点アドレスではなく、NATで変換された始点アドレスに対し て、ICMPを返すこと。 ・フラグメントされた一連のパケットがトンネリングされるときに、先頭以外 のパケットを破棄すること。 以上