http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.06.03/relnote_06_03_04.txt Revision : 06.03.04 Release : May 2002, ヤマハ株式会社 RT300i/RT140/RT105 Rev.6.03.04 リリースノート ========================================================================== ○ Rev.6.02.19からの変更点 ========================================================================== ■注意事項 [1] Rev.6.03系のファームウェアは、Rev.6.02系のファームウェアの機能を引 き継ぎ、より新しい機能に対応します。Rev.6.03.04では、新しい機能と して、BGP-4に対応しています。 [2] RT140pでは、ファームウェアを古いリビジョンに更新するときに、必要と なる最小限の設定を除き、すべての設定を削除してください。設定が残っ ていると、メモリが足りずにファームウェアを更新できないことがありま す。 ■機能追加 [1] BGP-4に対応した。IP-VPNサービスで、経路情報に基づくバックアップなど を実現できる。以下のURLに詳細を記載する。 http://www.rtpro.yamaha.co.jp/RT/docs/bgp/index.html [2] ESPをUDPでカプセル化して送受信できるようにした。 [入力形式] ipsec ike esp-encapsulation GATEWAY SW [パラメータ] - GATEWAY ... セキュリティゲートウェイの識別子 - SW ... スイッチ - on ... ESPをUDPでカプセル化して送信する - off ... ESPをUDPでカプセル化しないで送信する [説明] NATなどの影響でESPが通過できない環境でIPsecの通信を確立するため に、ESPをUDPでカプセル化して送受信できるようにする。このコマンド の設定は双方のルータで一致させる必要がある。 [デフォルト] off [3] IPsecの暗号方式としてAES(Rijndael)に対応した。以下のコマンドでAESを 指定できるようになる。 - ipsec ike encryptionコマンド 設定例) ipsec ike encryption 1 aes-cbc - ipsec sa policyコマンド 設定例) ipsec sa policy 101 1 esp aes-cbc sha-hmac [4] (仕様変更[6]に統合のため削除) [5] NATディスクリプタ機能で、プロトコルによってNATタイマーの値を変える機 能を追加した。 [入力形式] nat descriptor timer DESCRIPTOR TIMER nat descriptor timer DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] TIMER no nat descriptor timer DESCRIPTOR [...] no nat descriptor timer DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] [...] [パラメータ] DESCRIPTOR ... ディスクリプタ番号 PROTOCOL ... プロトコル名、または数値 PORT_RANGE ... ポート番号の範囲、プロトコルがTCPまたはUDPの場合 にのみ有効 TIMER ... タイマー値、30〜21474836 [説明] NATやIPマスカレードのセッション情報を保持する期間を表すNATタイマ ーを設定する。IPマスカレードの場合には、プロトコルやポート番号別 のNATタイマーを設定することもできる。指定されていないプロトコル の場合は、第一の形式で設定したNATタイマーの値が使われる。 [デフォルト値] 900秒 プロトコル毎の設定はなし ■仕様変更 [1] IPマスカレードの外側アドレスに対してICMP Echoを受信したときに、ICMP Echo Replyを返すようにした。 [2] PPPoEの同時接続数を超えて接続要求があったときには、PPPoEの処理の途中 で接続を拒否するようにした。 [3] PPPoEの同時接続数をLANインタフェースの数の4倍とした。 [4] 不正アクセス検知機能では、TCP queue overflowを検出したときに、ルータ がパケットを破棄するが、端末の実装によっては、これを繰り返すことで TCPコネクションのスループットが顕著に低下することがあるため、これに 対処するコードを追加した。具体的には、一度、TCP queue overflowを検出 したら、そのコネクションについては、TCP queue overflowの検出を止める。 [5] show nat descriptor addressコマンドで、静的NATに該当するエントリの TTLが次のようになっていたのを修正し、'static'と表示するようにした。 - Rev.6.02.16およびそれ以前では内側IPアドレス - Rev.6.02.18では空白 [6] lan/pp backup use コマンドで以下の仕様変更を行った。 - icmp-echoを使用するときに、宛先を最大10箇所まで設定できるようにし た。そのうちの1つでも応答がなくなった場合にダウンとみなす。 - disconnectオプションを追加した。このオプションをicmp-echoと組み合 わせると、応答がない状態が継続したときにPPPoEを切断する。 - waitオプションの書式を変更した。 ○LAN経由のキープアライブを使用するか否かの設定 [入力形式] lan keepalive use LAN_INTERFACE icmp-echo DST_IP [downwait=DOWN_WAIT] [upwait=UP_WAIT] [DST_IP ...] lan keepalive use LAN_INTERFACE arp DST_IP [DST_IP ...] lan keepalive use LAN_INTERFACE icmp-echo DST_IP [downwait=DOWN_WAIT] [upwait=UP_WAIT] [DST_IP ...] arp DST_IP [DST_IP ...] lan keepalive use LAN_INTERFACE off no lan keepalive use LAN_INTERFACE [パラメータ] - LAN_INTERFACE ... バックアップ対象のLANインタフェース名 - DOWN_WAIT ... icmp-echoを使用する場合のダウン検知のための許 容応答時間、1-1000ミリ秒 - UP_WAIT ... icmp-echoを使用する場合のアップ検知のための許容 応答時間、1-1000ミリ秒 - DST_IP ... キープアライブ確認先のIPアドレス、複数設定可能 - off ... キープアライブを使用しない [説明] 指定するLANインタフェースに対して、キープアライブ動作を行うか否 かを設定する。icmp-echoを指定すればICMP Echo Request/Replyを用い、 arpを指定すればARP Request/Replyを用いる。併記することで併用も可 能である。 [ノート] icmp-echoで確認するIPアドレスに対する経路は、バックアップをす るLANインタフェースに向くこと。downwaitパラメータで応答時間を 制限する場合でも、lan keepalive intervalの設定値のほうが小さい 場合には、lan keepalive intervalの設定値が優先される。downwait、 upwaitパラメータのうち一方しか設定していない場合には、他方も同 じ値が設定されたものとして動作する。 [デフォルト値] off ○PP経由のキープアライブを使用するか否かの設定 [入力形式] pp keepalive use lcp-echo pp keepalive use lcp-echo icmp-echo DST_IP [downwait=DOW_WAIT] [upwait=UP_WAIT] [disconnect=DISC] [DST_IP ...] no pp keepalive use [パラメータ] - DST_IP ... icmp-echoを使用する場合のキープアライブ確認先の IPアドレス。10個まで設定することができる。 - DOWN_WAIT ... icmp-echoを使用する場合のダウン検知のための許 容応答時間、1-1000ミリ秒 - UP_WAIT ... icmp-echoを使用する場合のアップ検知のための許容 応答時間、1-1000ミリ秒 - WAIT ... icmp-echoを使用する場合の許容応答時間、1-10000ミリ秒 - DISC ... icmp-echoを使用する場合の無応答切断時間、1-21474836秒 [説明] 選択した相手先に対する接続のキープアライブ動作を設定する。 lcp-echo指定でLCP Echo Request/Replyを用い、icmp-echoも指定す ればICMP Echo Request/Replyも同時に用いる。icmp-echoを使用する 場合にはIPアドレスの設定が必要である。 [ノート] - offを指定した場合でも、pp always-on onと設定されていればLCP Echo によるキープアライブが実行される。 - icmp-echoでの確認先IPアドレスへの経路情報は、設定されるPPイン タフェースが送出先となるよう設定される必要がある。 - downwaitパラメータの設定で応答時間を制限する場合でも、pp keepalive intervalの設定値のほうが小さい場合には、pp keepalive intervalの設定値が優先される。 - downwait、upwaitパラメータのうち一方しか設定していない場合に は、他方も同じ値が設定されたものとして動作する。 - PPPoEで使用する場合にPPPoEレベルでの再接続が必要な場合には、 disconnect指定が有効である。設定時間内にicmp-echoの応答がな い場合、PPPoEレベルで一度切断操作を行うため、pp always-on on との併用により再接続動作を行うことができる。デフォルトでは disconnect=70程度に設定しておけば、ダウン検出後の切断動作が 期待できる。 [デフォルト値] off [7] PPPoEでPADIの送出間隔の最大値を15秒とした。デフォルト状態では最初の PADI送出から3、6、12、12、12秒の間隔を空けてPADIが再送される。すなわ ち約1分間に6回のPADI再送がなされ、タイムアウトとなる。pp always-on on が設定されていると再び1分後に接続を試み、BASからの応答がない場合には これが繰り返されることになる。 [8] IKEキープアライブ機能で、キープアライブを設定していないときでもキープ アライブパケットを受信したら応答できるようにした。このためには、 ipsec ike keepalive useコマンドでautoを設定する。 [入力形式] ipsec ike keepalive use GATEWAY SW [パラメータ] - GATEWAY ... セキュリティゲートウェイの識別子 - SW ... スイッチ - on ... キープアライブをつかう - off ... キープアライブをつかわない - auto ... 対向のルータからキープアライブを受信したときに 限って送信する [説明] IKEキープアライブの動作を設定する。このコマンドの設定は、 双方のルータで一致させる必要がある。 [デフォルト] auto [9] IKEの鍵交換に失敗したときに鍵交換を休止せずに継続できるようにした。 [入力形式] ipsec ike always-on GATEWAY SW [パラメータ] - GATEWAY ... セキュリティゲートウェイの識別子 - SW ... スイッチ - on ... 鍵交換を継続する - off ... 鍵交換を休止する [説明] IKEの鍵交換に失敗したときに鍵交換を休止せずに継続できるように する。IKEキープアライブを用いるときには、このコマンドを設定し なくても、常に鍵交換を継続する。 [デフォルト] off [10] IKEの鍵交換の開始、鍵交換の失敗、トンネルインタフェースのUp/Downを infoレベルのsyslogに出力するようにした。 [11] show ipsec saコマンドで、対向のセキュリティゲートウェイごとにSAを表 示できるようにした。 [入力形式] show ipsec sa [SA] show ipsec sa gateway [GATEWAY] [detail] [パラメータ] - SA - 1- ... 指定されたSAの情報を表示する。 - 省略時 ... すべてのSAの情報を表示する。 - GATEWAY - 1- ... 指定されたゲートウェイのSAのサマリーを表示する。 - 省略時 ... すべてのゲートウェイのSAのサマリーを表示する。 - detail - SAの詳細な情報を表示する。 [説明] SAの情報を表示する。 ■バグ修正 [1] MMIの修正 - ip tunnel intrusion detectionコマンドを設定できない - show configコマンドでtunnel select 101をtunnel select anonymous と表示し、このインタフェースの設定を正しく保存できない - show nat descriptor address コマンドのオンラインヘルプ文の誤記 - show configコマンドで、lan type コマンドが正しく表示されないこと がある(RT105e/RT105pのみ) [2] IPsecのIKEキープアライブが動作しているときに、寿命値が0になったSA がすぐに消えないことがあるのを修正した。対地数が多いときに発生しや すい。 [3] IPsecのaggressive modeでIDとしてIPv4アドレスを送信するときに、正し いIPアドレスを送信しないバグを修正した。RTシリーズの接続では問題に ならない。 [4] RT52pro、RT105[iep]で、RTシリーズ以外の機種とIPsecで接続したときに リブートする可能性があるのを修正した。 [5] IPsecで多数の拠点を相手にIKEキープアライブを使うとルータが正常に動作 しなくなるバグを修正した。 [6] IP over IPトンネルで、経路の設定ミスによりトンネルの無限ループが発生 するとルータがリブートしてしまうのを修正した。修正後は、無限ループと 判定されたパケットは破棄される。 [7] LAN側にIPマスカレードを設定しているときに、外側から受信したTCPパケッ トに対してRSTを返すべき状況でも返せないバグを修正した。 [8] show nat descriptor addressで表示される使用ポート番号数で、静的設定 のエントリ数が起動時から入っているのを除外した。 [9] IPマスカレードを使用しているとき、show nat descriptor addressで表示 される使用ポート番号数が負の数になることがあるのを修正した。 [10] 静的マスカレード設定で重複設定エラーが発生した後、予期しない動作とな ることがあったのを修正した。 [11] PPPoE で同時接続できる最大数よりも多いコネクションを張ろうとしたとき に、PPPで意図しない動作をすることがあるのを修正した。 [12] 動的フィルタでFTPのPASVコマンドを扱うときに、括弧の前に空白のない 文字列を受信すると、これを認識できず、データの転送ができないのを修 正した。 [13] 複数のVRRPグループとLAN インタフェースのシャットダウントリガを組み合 わせて使用しているときに、LANのオートネゴシエーションの影響で、VRRP マスタへの復帰の動作が安定しないことがあるのを修正した。 [14] LANインタフェースのリンクが確立したときに、複数のPPPoEパケットが短時 間に送出されることがあるため、リンクが確立していないときには以下のよ うなdebugレベルのsyslogを出力して、パケットを破棄するようにした。 ... PPPOE[01] Cannot send packet (LAN1 link down) [15] フラグメントの再構成に失敗したIPv6パケットに対するICMPを送信しないと きがあるのを修正した。 [16] IPv6で、一部の例外を除き、マルチキャスト宛てのパケットを受信したとき にそれに対してICMP errorを返してはならないのに返しているバグを修正し た。 参考: RFC2463 2.4 (e.2) [17] IPv6で、Neighbor Solicitationを再送する間隔は1秒以上でなければならな いのに、最初の再送だけが1秒未満になるバグを修正した。 [18] IPv6で、自分が送信しようとするパケットに由来するNeighbor Solicitation の始点アドレスは、そのパケットの始点アドレスでなければならないが、そ うならないときがあるのを修正した。 [19] 受信したIPv6パケットのIPv6拡張ヘッダのオプションを解析し、フォーマッ トが正しくなければ、ICMP parameter problemを送信するようにした。 [20] 受信したIPv6パケットのHop-by-hop optionがIPv6ヘッダの直後になければ、 ICMP parameter problemを送信するようにした。 [21] RADIUS機能で、RADIUSサーバから不正な形式のメッセージを受信するとハン グアップやリブートなどの不安定な動作をする可能性を排除した。 [22] バージョンアップ中にメモリが足りなくなったときには、リブートせずにバ ージョンアップを中断するようにした。 [23] RT105pで、PRI に高い負荷がかかると通信できなくなることがあるのを修正 した。