http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.07.00/relnote_07_00_14.txt Revision : 07.00.14 Release : Nov 2002, ヤマハ株式会社 RTX1000/RTX2000 Rev.7.00.14 リリースノート ========================================================================== ○ Rev.7.00.04/Rev.7.00.08からの変更点 ========================================================================== ■機能追加 [1] フィルタに一致するIPパケットのDFビットを0に書き換えるコマンドを追 加した。 [入力形式] ip fragment remove df-bit filter FILTER_NUM... [パラメータ] FILTER_NUM ... フィルタ番号 [説明] フォワーディングするIPパケットの内、フィルタに一致するものはDF ビットを0に書き換える。 [ノート] DFビットは経路MTU探索アルゴリズムで利用されるが、経路の途中に ICMPパケットをフィルタするファイアウォールなどがあるとアルゴリ ズムがうまく動作せず、特定の通信相手とだけは通信ができないなど の現象になることがある。この様な現象は、「経路MTU探索ブラック ホール(Path MTU Discovery Blackhole)」と呼ばれている。この経路 MTU探索ブラックホールがある場合には、このコマンドでそのような 相手との通信に関してDFビットを0に書き換えてしまえば、経路MTU探 索は正しく動作しなくなるものの、通信できなくなるということはな くなる。 [2] ダイヤルアップVPNの拠点側でXAUTHが動作するようにした。センター側の 処理はまだ実装していない。 XAUTHの実装は以下のドラフトに従っている。 - draft-ietf-ipsec-isakmp-xauth-06.txt XAUTHを使用するためには次のコマンドを設定する。 [入力形式] ipsec ike xauth myname GATEWAY NAME PASSWORD no ipsec ike xauth myname GATEWAY [NAME [PASSWORD]] [パラメータ] GATEWAY ... セキュリティゲートウェイの識別子 NAME ... XAUTHで通知する名前 PASSWORD ... XAUTHで通知するパスワード [説明] XAUTHの認証を要求されたときに通知する名前とパスワードを設定する。 [デフォルト値] 設定されない [3] PPバックアップで接続先を切り替えるときに、同時にトンネルインタフェー スも切り替え、接続先に応じてトンネルインタフェースのフィルタを使い 分けられるようにした。トンネルバックアップとPPバックアップを併用す ることで可能となる。 [4] PPTPのコネクション制御のsyslogを出力するか否かを設定するコマンドを 新設した。 [入力形式] pptp syslog SW [パラメータ] SW on ... PPTPのコネクション制御のsyslogを出力する off ... PPTPのコネクション制御のsyslogを出力しない [説明] PPTPのコネクション制御のsyslogを出力するか否かを設定する。キー プアライブ用のEcho-Request, Echo-Replyについては出力されない。 [デフォルト] off [5] VRRPの状態によりISDN着呼するか否かの動作に反映させる機能を追加した。 ・着信許可の設定 [入力形式] isdn arrive permit SW [vrrp lanN VRID [slave]] no isdn arrive permit [SW] [パラメータ] SW on ... 許可する off ... 許可しない [説明] 選択されている相手からのISDNでの着信を許可するか否かを設定する。 VRRPグループを指定することで、VRRPの状態によって着信を許可する か否かの動作を動的に変えることができる。 slaveパラメータを省略した場合には、指定したVRRPグループでマス ターとして動作している場合にのみ着信が許可される。slaveパラメー タを設定した場合には、指定したVRRPグループで非マスターである場 合にのみ着信が許可される。 [ノート] isdn arrive permit, isdn call permit コマンドともoffを設定した 場合はISDN回線経由での通信はできない。 [デフォルト値] on VRRPグループの指定無し [対象機種] RTX1000、RT300i、RT105i [6] IPsecで1つのセキュリティゲートウェイに対して、複数のIPsec SAを生成 し、IPパケットの内容に応じてIPsec SAを使い分けることができるように した。例えば、次のような構成が可能になる。 +------+ +------+ | | | | Network 1 --| |<----- IPsec (DES) ------>| | 192.168.0.0/24| | Network 1 <-> Network 3 | |-- Network 3 | RT 1 | | RT 2 |172.16.0.0/24 Network 2 --| |<----- IPsec (3DES) ----->| | 192.168.1.0/24| | Network 2 <-> Network 3 | | | | | | +------+ +------+ - Network 1 <-> Network 3の間はDESで暗号化する - Network 2 <-> Network 3の間は3DESで暗号化する この機能を実現するために、ipsec sa policyコマンドで、local-id、 remote-idオプションを設定できるようにした。 [入力形式] ipsec sa policy POLICY-ID GATEWAY-ID PROTOCOL ENCRYPT [AUTH] [local-id=LOCAL-ID] [remote-id=REMOTE-ID] [パラメータ] (新設したもの) - LOCAL-ID ... 自分側のプライベートネットワーク - REMOTE-ID ... 相手側のプライベートネットワーク [ノート] 双方で設定するlocal-idとremote-idは一致している必要がある。 例えば、上記の構成に対応する設定は次のようになる。 [RT 1の設定] ipsec ike remote address 1 ... ipsec ike pre-shared-key 1 ... ipsec sa policy 101 1 esp des-cbc local-id=192.168.0.0/24 remote-id=172.16.0.0/24 ipsec sa policy 102 1 esp 3des-cbc local-id=192.168.1.0/24 remote-id=172.16.0.0/24 tunnel select 1 ipsec tunnel 101 tunnel enable 1 tunnel select 2 ipsec tunnel 102 tunnel enable 2 ip filter 10000 pass 192.168.0.0/24 * * * * ip filter 10001 pass 192.168.1.0/24 * * * * ip route 172.16.0.0/24 gateway tunnel 1 filter 10000 gateway tunnel 2 filter 10001 [RT 2の設定] ipsec ike remote address 1 ... ipsec ike pre-shared-key 1 ... ipsec sa policy 101 1 esp des-cbc local-id=172.16.0.0/24 remote-id=192.168.0.0/24 ipsec sa policy 102 1 esp 3des-cbc local-id=172.16.0.0/24 remote-id=192.168.1.0/24 tunnel select 1 ipsec tunnel 101 ip route 192.168.0.0/24 gateway tunnel 1 tunnel enable 1 tunnel select 2 ipsec tunnel 102 ip route 192.168.1.0/24 gateway tunnel 2 tunnel enable 2 [7] LANインタフェースのIPv6アドレスの自動設定機能を追加した。他のIPv6 ルータのルータ広告(Router Advertisement)を受信してインタフェースの IPv6アドレスを自動設定することができる。同時に、ルータ広告を送信し たルータをデフォルトゲートウェイとしたデフォルト経路を設定する。 [入力形式] ipv6 INTERFACE address auto ipv6 INTERFACE address IP6ADDRESS/PREFIX_LEN [パラメータ] auto ... アドレスの自動設定を行なう [デフォルト] アドレスは、自動設定も含めてすべてなし [ノート] 複数のインタフェースで自動設定機能を利用することができる。その場合、 デフォルト経路は最後に自動設定が完了したインタフェースに向く。 [8] TCPのMSSを制限する ip/ipv6 INTERFACE tcp mss limitコマンドを新設した。 [入力形式] ip INTERFACE tcp mss limit MSS ipv6 INTERFACE tcp mss limit MSS [パラメータ] MSS: MSSの最大長、536〜1460, 'auto' or 'off' [説明] インタフェースを通過するTCPセッションのMSSを制限する。インタ フェースを通過するTCPパケットを監視し、MSSオプションの値が設定 値を越えている場合には、設定値に書き換える。'auto'を指定した場 合には、インタフェースのMTU、もしくはPPインタフェースの場合で 相手のMRU値が分かる場合にはそのMRU値から計算した値に書き換える。 [デフォルト] off [ノート] PPPoE用のPPインタフェースに対しては、pppoe tcp mss limitコマン ドでもTCPセッションのMSSを制限することができる。このコマンドと pppoe tcp mss limitコマンドの両方が有効な場合は、MSSはどちらか より小さな方の値に制限される。 [9] PP毎の累積接続時間情報をプライベートMIBで取得できるようにした。 [10] SNMPのLinkDownトラップの送信を制御するコマンドを追加した。 [入力形式] snmp trap send linkdown INTERFACE [INTERFACE_NUM] SW [パラメータ] INTERFACE 'lanN' or 'briN' or 'pp' or 'tunnel' INTERFACE_NUM PP番号もしくはトンネル番号 SW 'on' or 'off' [説明] 指定したインタフェースのLinkDownトラップを送信するか否かを設定 する。 [デフォルト] on ■仕様変更 [1] バックアップ機能で、以下の仕様変更・追加を行なった。 - pp/lan backupでバックアップインタフェースとしてトンネルインタフェー スを指定可能とした。 - バックアップ時のフィルタとしてはバックアップインタフェースに設定 されたものが適用されることとした。 - バックアップインタフェースにLANインタフェースを指定する場合に、 バックアップインタフェースを重複して設定できるようにした。 - lan backupでバックアップインタフェースにppを設定している場合、バッ クアップ状態の時のRIP送出条件は、バックアップppのip pp rip connect/disconnect send コマンドに従うこととした。これにより、 lan backupのメインインタフェース(lan)でRIPを使っている場合、バッ クアップ時にRIPパケットでバックアップインタフェースが定期的に発 呼してしまう現象を回避できる。従来のようにバックアップインタフェー スでも定期的にRIPパケットを流したい場合には、バックアップインタ フェース側でip pp rip connect/disconnect send interval と設定す る。 - tunnel backupコマンドでppをバックアップインタフェースとした場合、 バックアップ時にそのppに設定されたNATも適用されるようにした。 [2] トンネルバックアップ機能とLAN/PPバックアップ機能を併用するケースで、 LAN/PP インタフェースがバックアップしたときに、トンネルインタフェー スをバックアップせずにトンネルを作り直すようにした。従来のファーム ウェアでは、トンネルバックアップを動作させない限り、トンネルを作り 直すことはなかった。 なお、バックアップの構成によっては従来の動作が望ましい場合もあるの で、下記のようにコマンドで制御できるようにする。 [入力形式] tunnel backup none tunnel backup LAN_INTERFACE IP_ADDRESS tunnel backup pp PP_NUMBER [switch-router=SW1] tnnnel backup tunnel TUNNEL_NUMBER [switch-interface=SW2] no tunnel backup [パラメータ] - LAN_INTERFACE ... LANインタフェース - lan1、lan2 ... - IP_ADDRESS ... バックアップ先のゲートウェイのIPアドレス - PP_NUMBER ... PPインタフェースの番号 - SW1 ... バックアップの受け側のルータを2台に分けるかどうか - on ... 分ける - off ... 分けない - SW2 ... LAN/PPインタフェースのバックアップにしたがって トンネルを作り直すかどうか - on ... する - off ... しない - TUNNEL_NUMBER ... トンネルインタフェースの番号 [説明] トンネルインタフェースに障害が発生したときにバックアップとして利 用するインタフェースを指定する。switch-routerオプションについて は、以下の2つの条件を満たすときに、onを設定する。 - バックアップの受け側に2台のルータがあり、一方がバックアップ元 の回線に接続し、もう一方がバックアップ先の回線に接続している。 - バックアップ先の回線に接続しているルータのファームウェアがこの リビジョンよりも古い [デフォルト値] none switch-router=off switch-interface=on [3] 動的フィルタが同時に扱うコネクション数を200から2000に増やした。 [4] RTX2000では、pppoe disconnect timeコマンドが使えないようにした。 [5] PPPoEセッションの起動に失敗した時にsyslogを表示するようにした。 [6] PPTPで、シーケンス番号が0で開始されるGREパケットを廃棄しないように した。Windows 2000/XPなどのPPTPクライアントから接続を行ったときに、 最初のパケットを廃棄していたため再送が発生し、LCPのネゴシエーショ ンに余計な時間がかかっていた。 [7] DHCPサーバ機能で、RFC2131ではDHCPサーバ側で受けるDHCPメッセージサ イズに関する規定はないので、これまで548bytes以上のDHCPメッセージを 破棄していたのを受け入れるように変更した。受信時のログ表示はこれま でのように行っておく。 [8] ARPの重複チェックで一致したARPパケットは廃棄するようにした。 ■バグ修正 -- 機種共通の修正 -- [1] pp backup recovery timeコマンドが有効に働かなかったのを修正した。 [2] ppバックアップでトンネルとpp backup recovery timeを併用している場 合、従系から主系への切り戻しでトンネルを張り直すことができないバグ を修正した。 [3] --削除-- [4] ルータのIPv6リンクローカルアドレスに対してtelnetで接続できないバグ を修正した。 [5] 静的NATでNetMeetingを処理するとルータがリブートしたり、NetMeeting で接続できないバグを修正した。 [6] IPsecで、フェーズ1のネゴシエーションに失敗したときに、応答側が不正 なフォーマットのIKEパケットを送信するバグを修正した。 [7] ダイヤルアップVPNのサーバ側で、ゲートウェイ番号が1であるゲートウェ イの設定がない場合に、他の番号で正しいゲートウェイが設定されていて も、クライアントからの接続に応じないバグを修正した。 [8] snmp trap link-updown separate-l1switch-portコマンドでoffを設定す るとshow configで表示されないバグを修正した。 [9] 複数のPPPでの対地に対して接続/切断を繰り返していると、他の対地が接 続状態のときに自動接続が行われなくなることがあるバグを修正した。 [10] ipsec sa policyコマンドで利用できない組合せが設定できるバグを修正 した。 -- RTX1000の修正 -- [11] RTX1000のスループットを向上した。 [12] RTX1000のシリアルコンソールから、Ctrl-S(CtrlキーとSを同時に押下)、 何らかのコマンド、Ctrl-Qという順番で入力するとリブートするバグを修 正した。 [13] RTX1000のLAN1ポートとLAN2ポートで、オートネゴシエーションの結果を 誤検出することがあるバグを修正した。 [14] RTX1000の内部時計の精度を上げた。 [15] PPTP接続でUDPで負荷をかけると動作が不安定になるバグを修正した。 [16] PPTPで複数の相手と通信していると特定の相手と通信できなくなるバグ を修正した。 [17] PPTPで、発信できない設定状態でconnectコマンドを繰り返し発行すると システムがハングアップするバグを修正した。 [18] IPsecの鍵交換の処理中に古いSAでのIPsecパケットが一時的に通信でき なくなることがあるバグを修正した。 [19] 経路の変更があっても最大30秒間に渡り新しい経路ではなく古い経路に パケットがルーティングされることがあるバグを修正した。 [20] デフォルト経路がtunnelを向いている場合、LAN向きの経路がLANのリン クダウンでtunnelを向いてしまうことで処理のループが生じ、リブートや 誤動作となるバグを修正した。 [21] IKEのICMPを使ったキープアライブで、ICMP Echo Replyを受信したとき に、Echo Requestを受信したという内容のsyslogを出力するのを修正した。 [22] BGPに導入するaggregateフィルタコマンドを設定するとリブートするバ グを修正した。 [23] BGPのpreferenceをOSPFのpreferenceよりも高く設定してもOSPFの経路が 優先されるバグを修正した [24] ospf configure refreshコマンドを実行したときに、ルータの動作が不 安定になるバグを修正した。 [25] TFTPで設定ファイルを送り込む時に、ファイルをすべて取り込んでから 設定変更を行なうようにした。これにより、設定ファイル中にIPアドレス や経路情報を変更するコマンドが含まれていてもTFTPが途中で動かなくな るようなことがなくなる。 [26] IPv6で未定義のフィルタを設定したまま通信しようとするとリブートす るバグを修正した。 [27] PPバックアップ機能で主系の回線に対する着呼を受け付けないバグを修 正した。 [28] VRRPでシャットダウントリガにLANインタフェースを使用している場合に LANインタフェースのダウンを誤検出することがあるバグを修正した。 [29] ARPパケットの受信処理で、VRRPのバーチャルMACアドレスとIPアドレス の重複チェックも行ない、一致した場合はそのARPパケットは廃棄するよ うにした。これにより優先度の高い方がVRRPマスターに復帰したとき IPsec SAが確立できずに以後の通信ができなくなるバグが修正される。 [30] 圧縮方式としてstacを使う設定で128k専用線に接続したときに、データ 送受信の負荷が高い状態でシリアルコンソールからログインして操作をす ると、回線からの受信データを取りこぼしてCCPリセットが発生する現象 に対応した。 [31] RTX1000同士の専用線接続でremote setupできないバグを修正した。 [32] DHCPクライアント機能によりIPアドレスを取得済みの状態のときにdhcp client client-identifierコマンドおよびdhcp client hostnameコマンド の設定を変更しても、指定時間後の IP アドレスの再取得時に設定が反映 されないバグを修正した。なお、手動解放後に再度取得する場合には、修 正前でも現象は発生しない。 -- RTX2000の修正 -- [33] RTX2000のNAT/IPマスカレードで、UDPパケットのチェックサムを正しく 書き換えられないバグを修正した。 [34] RTX2000で、64KBを越えるような大きな設定を複数保存している状態で、 cold startをかけると二度と起動できなくなるバグを修正した。 [35] RTX2000で動的フィルタを利用している時、FTP転送がtcp-idle-timeで設 定された時間で止まるバグを修正した。 [36] RTX2000で、IPsecで接続する拠点数が多いときに、SAを正常に削除でき ず、やがてメモリが足りなくなってしまい正常動作ができなくなるバグを 修正した。 [37] RTX2000で、起動時の設定ファイルの選択が電源を切ると保存されないバ グを修正した。 この修正を機能させるには、ブートファイル(boot2000.bin)がVer 1.02以 上であることが必要になる。 [38] RTX2000で、IPsecでの通信がある時に、デフォルト経路にルーティング されるべきパケットが別のポートに出力されてしまうことがあるバグを修 正した。 [39] RTX2000で、経路が見付からないパケットに対してICMP Unreachableを返 していないバグを修正した。 [40] RTX2000で、ルータ自身に対する通信とフォワーディング動作が重なった 時に、フォワーディングするパケットのデータが化けてしまうことがある バグを修正した。 [41] RTX2000で、NATを設定して通信しているとリブートしてしまうことがあ るのを修正した。