http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.06.03/relnote_06_03_18.txt Revision : 06.03.18 Release : Feb 2003, ヤマハ株式会社 RT300i/RT140/RT105 Rev.6.03.18 リリースノート ========================================================================== ○ Rev.6.03.15からの変更点 ========================================================================== ■機能追加 [1] PP anonymousインタフェースに着信するユーザについて、接続と切断のタイミ ングで、次のSNMPトラップを送信するようにした。 切断したとき: yrIfPpAnonymousLinkDownWithUsername 接続したとき: yrIfPpAnonymousLinkUpWithUsername [2] PPTPの情報を表示するコマンドを新設した。 ○PPTPの情報を表示する [入力形式] show status pptp [説明] PPTPの状態やGREの統計情報などを表示する。 [3] PPTPのコネクション制御のsyslogを出力できるようにした。 ○PPTPのコネクション制御のsyslogを出力するか否かを設定する [入力形式] pptp syslog SW [パラメータ] SW - on ... PPTPのコネクション制御のsyslogを出力する - off ... PPTPのコネクション制御のsyslogを出力しない [説明] PPTPのコネクション制御のsyslogを出力するか否かを設定する。 キープアライブのEcho-Request、Echo-Replyは出力しない。 [デフォルト値] off [4] RT300iとRT105シリーズで、1つのセキュリティゲートウェイに対して、複数の IPsec SAを生成し、IPパケットの宛先に応じてIPsec SAを使い分けることがで きるようにした。例えば、次のような構成が可能になる。 +------+ +------+ | | | | Network 1 --| |<----- IPsec (DES) ------>| | 192.168.0.0/24| | Network 1 <-> Network 3 | |-- Network 3 | RT 1 | | RT 2 |172.16.0.0/24 Network 2 --| |<----- IPsec (3DES) ----->| | 192.168.1.0/24| | Network 2 <-> Network 3 | | | | | | +------+ +------+ - Network 1 <-> Network 3の間はDESで暗号化する - Network 2 <-> Network 3の間は3DESで暗号化する この機能を実現するために、ipsec sa policyコマンドで、local-id、 remote-idオプションを設定できるようにした。 [入力形式] ipsec sa policy POLICY-ID GATEWAY-ID PROTOCOL ENCRYPT [AUTH] [local-id=LOCAL-ID] [remote-id=REMOTE-ID] [パラメータ] (新設したもの) - LOCAL-ID ... 自分側のプライベートネットワーク - REMOTE-ID ... 相手側のプライベートネットワーク [ノート] 双方で設定するlocal-idとremote-idは一致している必要がある。 例えば、上記の構成に対応する設定は次のようになる。 [RT 1の設定] ipsec ike remote address 1 ... ipsec ike pre-shared-key 1 ... ipsec sa policy 101 1 esp des-cbc local-id=192.168.0.0/24 remote-id=172.16.0.0/24 ipsec sa policy 102 1 esp 3des-cbc local-id=192.168.1.0/24 remote-id=172.16.0.0/24 tunnel select 1 ipsec tunnel 101 tunnel enable 1 tunnel select 2 ipsec tunnel 102 tunnel enable 2 ip filter 10000 pass 192.168.0.0/24 * * * * ip filter 10001 pass 192.168.1.0/24 * * * * ip route 172.16.0.0/24 gateway tunnel 1 filter 10000 tunnel 2 filter 10001 [RT 2の設定] ipsec ike remote address 1 ... ipsec ike pre-shared-key 1 ... ipsec sa policy 101 1 esp des-cbc local-id=172.16.0.0/24 remote-id=192.168.0.0/24 ipsec sa policy 102 1 esp 3des-cbc local-id=172.16.0.0/24 remote-id=192.168.1.0/24 tunnel select 1 ipsec tunnel 101 ip route 192.168.0.0/24 gateway tunnel 1 tunnel enable 1 tunnel select 2 ipsec tunnel 102 ip route 192.168.1.0/24 gateway tunnel 2 tunnel enable 2 ■バグ修正 [1] PPTPで、データ転送の負荷が高くなるとCCPの交渉を繰り返すバグを修正した。 [2] PPTPで、同じ相手から続けてTCPのコネクションを受け付けるときに、古いコ ネクションを切断せず、やがて接続を受け付けなくなるバグを修正した。 [3] PPTPで、キープアライブの失敗を検出したときに、制御パケットを送ってコネ クションの切断手順を実行していたが、コネクションをすぐに閉じるようにし た。これによって、NATのテーブルの浪費を軽減することができる。 [4] PPTPで、通信中のトンネルに対応するPPインタフェースに対して、connectコ マンドを実行すると、データ転送が止まってしまうバグを修正した。 [5] PPTPで、接続中に何らかの理由でトンネルを切断して再接続するときに、PPP の交渉が完了せず、LCP Timeoutというエラーで失敗するバグを修正した。 [6] PPTPで、対応するPPインタフェースに対してshow status ppコマンドを実行す ると、Peer Hostnameが正しく表示されないことがあるのを修正した。 [7] PPTPで、64文字以上のホスト名を受信すると、show status ppコマンドで間違 った情報を表示したり、リブートする可能性があるのを修正した。 [8] PPTPで、接続中にrestartコマンドを実行すると、正常に再起動する前にルー タが異常な状態になるバグを修正した。 [9] 認証付きのESPを使用する設定で、認証データが存在しない短いESPパケットを 受信するとリブートなどの不安定な動作を引き起こすバグを修正した。 [10] IKEキープアライブ機能で、セキュリティゲートウェイの識別子とトンネルイ ンタフェースの番号が一致していないときにトンネルインタフェースの障害 を検出できないバグを修正した。具体的な現象としては、トンネルバックア ップ機能で、バックアップに切り替わらないという問題になる。両者の番号 を揃えて設定することで回避できる。 [11] IPsecで、ESPのカプセル化(ESP over UDP)を設定しているときに、IKEキープ アライブ機能が動作しないバグを修正した。 [12] IKEで、AHのSAを作成するときにAuthentication Algorithmの属性を通知しな いバグを修正した。ヤマハルータ間の接続では問題はないが、RFC2407に違反 しているため、他社製品と接続できないことがある。 [13] IPsecで接続する拠点数が多いときに、SAを正常に削除できず、やがてメモリ が枯渇する可能性があるのを修正した。 [14] 同じセキュリティゲートウェイからの鍵交換が集中したときに、トンネルイ ンタフェースがup/downを繰り返すバグを修正した。最悪の場合にはup/down の繰り返しが継続し、復旧しない。 [15] IKEで、SAを更新するタイミングによって、IKEキープアライブでトンネルの 障害を検出できなくなることがあるのを修正した。 [16] IPv6で、ルータのリンクローカルアドレスに対してTELNETで接続できないバ グを修正した。 [17] IPv6の動的フィルタが動作しているときに、フラグメントされたIPv6パケッ トを転送できないバグを修正した。 [18] OSPFでトンネルインタフェースに対する経路のコストを正しく認識しないバ グを修正した。 [19] トンネルインタフェースが起動している状態でospf configure refreshコマ ンドを実行すると、そのトンネルインタフェースでOSPFパケットを送受信で きなくなるバグを修正した。 [20] OSPFで、同じルータと複数のリンクを共有していて、その中にunnumberedの リンクが含まれるとき、そのリンクに向かう経路が導入されないことがある のを修正した。 [21] show status ospf virtual-linkコマンドで表示されるバーチャルリンクのト ランジットエリアの値が間違っているのを修正した。表示のみの問題で、動 作に影響はない。Rev.6.03.15でエンバグしている。 [22] 静的経路をOSPFで広告する設定のときに、hideを指定した静的経路が無効な ときでも、その経路を広告することがあるのを修正した。 [23] PPインタフェースをISDN回線に対応づけていて、そのPPインタフェース向き の静的経路をOSPFで広告する設定をしているときに、ISDN回線が一度接続し た後に切断されると、hideが指定されていない静的経路でもOSPFで広告され なくなるのを修正した。 [24] ip routeコマンドで、nameオプションとhideオプションの両方を付けた経路 を複数設定すると、それらの経路のhideの状態が同期してしまうバグを修正 した。本来は経路ごとに独立の状態を持つべきである。 [25] bgp exportコマンドで、AS番号として65536以上の数値を設定できるバグを修 正した。 [26] schedule atコマンドで、次のように不正にキーワードを補完するバグを修正 した。 (入力) schedule at s[TAB] (補完した結果) schedule at s startup [27] schedule atコマンドでIDとして任意の文字列を入力できるバグを修正した。 [28] IPマスカレードを利用しているときに、IPマスカレードで変換したIPパケッ トに対するICMPエラーパケットが正しく変換できないバグを修正した。 tracerouteが動作しないなどの問題が発生する。 [29] IPマスカレードと静的NATを併用する場合で、複数の連続するアドレスに対す る静的NATを一つのnat descriptor staticコマンドで設定しようとすると、 連続する外側アドレスのうち2番目のアドレスがIPマスカレードの外側アドレ スとして使われてしまい、対応する静的NATのエントリが生成されないバグを 修正した。 [30] MPを利用する場合で、トラフィックが減って2B接続から1B接続の状態になる と、その後でトラフィックが増えても2B接続にならないバグを修正した。 Rev.6.03.15でエンバグしている。 [31] RT300iとRT140シリーズで、専用線のMPで通信できないバグを修正した。 [32] RT300iで、clear accountコマンドを実行したときにPP[ANONYMOUS??]と表示 するバグを修正した。 [33] VRRPの仮想アドレスをNATの外側アドレスとして設定すると、状態がスレーブ のときでも、その仮想アドレスに対するARPに応答するバグを修正した。 [34] RT140シリーズで、PIAFSで接続しているときにsaveコマンドを実行するとリ ブートすることがあるのを修正した。 [35] SNMPを使用してRT300iのRun LEDの状態を取得するとき、意味のないsyslogを 出力するバグを修正した。 [36] SNMPでBRIとPRIのインタフェースに相当するMIB変数を取得できないことがあ るのを修正した。 [37] RT105シリーズで、SNMPを使用しているとLAN2インタフェースのリンクの状態 を誤認識することがあるのを修正した。たとえば、10Mbit/sの全二重を設定 しているにも関わらず、一時的に100Mbit/sの全二重となることがあった。 [38] RT105eで、PPインタフェースに関係する設定を登録するとリブートするバグ を修正した。 [39] pp bindコマンドでトンネルインタフェースを指定するときに、設定できる最 大の番号を設定すると、show configコマンドの表示が間違ったものになり、 設定も保存できないバグを修正した。 [40] 一度も接続したことのないPPインタフェースに対してIPパケットを送信しよ うとすると、不正なメモリアクセスを起こしてリブートなどの不安定な動作 を起こすバグを修正した。 [41] ルータが生成したIPパケットをLANインタフェースへ送信するときに、始点ア ドレスを正しく選択しないケースがあるのを修正した。具体的には、 nat descriptor address outerコマンドでLANインタフェースのプライマリア ドレスを指定しているときに、同じLANインタフェースのセカンダリアドレス が選択されにくくなる。実際の現象としては、LANインタフェースに送信する パケットの始点アドレスとして、PPインタフェースのアドレスを選択すると いう問題が確認されている。Rev.6.03.15でエンバグしている。 [42] PPPoEで、切断の処理をしているときに、そのPPインタフェースに対する disconnectコマンドを実行すると、再起動するまで、そのPPインタフェース での通信ができなくなるバグを修正した。 [43] DNSリカーシブサーバ機能で、dns staticコマンドによりCNAMEレコードが登 録されている名前に対するAもしくはAAAAの問い合わせに対して返事を返せる ようにした。ただし、dns staticコマンドによるCNAMEレコードの登録が機能 するのはCNAMEレコードの値(カノニカル名)がやはりdns staticコマンドでA もしくはAAAAレコードとして登録されている場合に限られる。つまり、 dns staticコマンドによるCNAMEでは、dns staticコマンドで設定されている AもしくはAAAAレコードに対する別名としてだけ設定が可能である。なお、 CNAMEの結果が再びCNAMEになる形は許されない。 (例) dns static cname www.a.jp pc1.a.jp dns static a pc1.a.jp 192.168.0.1 この例では、2行目のAレコードの設定がなければ、仮にpc1.a.jpが他のDNSサ ーバからリカーシブに結果を得られる場合でも、www.a.jpに対するAレコード の問い合わせに返事を返すことができなくなる。 [44] ip routeコマンドを大量に設定すると、電源を入れたときにリブートを繰り 返し起動できないことがあるのを修正した。この現象はRev.6.03.04から Rev.6.03.11のファームウェアで確認されている。 [45] RT105シリーズで、リブートしたときの情報が正しくsyslogに表示されないバ グを修正した。 [46] ISDN回線の発着信が衝突したときに、再発信の規制が正しく動作せず、ルー タの動作が不安定になる可能性があるのを修正した。 [47] RT300iのINS1500への発着呼の処理でリブートする可能性があるのを修正した。 以上