http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.07.01/relnote_07_01.17.txt Revision : 07.01.17 Release : Aug 2003, ヤマハ株式会社 RTX2000 Rev.7.01.17 リリースノート ========================================================================== ○ Rev.7.00.26からの変更点 ========================================================================== ■機能追加 [1] RTX2000で、フィルタ型ルーティングが使えるようになった。これにより、 RTX2000でもマルチホーミング、ネットワークバックアップ機能が利用で きる。 ■仕様変更 [1] IKE SAを削除するときに同時にIPsec SAを削除する動作を無効にできるよ うにした。 [入力形式] ipsec ike restrict-dangling-sa GATEWAY ACTION [パラメータ] - GATEWAY ... セキュリティゲートウェイの識別子 - ACTION - auto ... IKE SAとIPsec SAを同期させる ただし、ダイヤルアップVPNのクライアント側でのみ - off ... IKE SAとIPsec SAを同期させない。 [説明] このコマンドはダイヤルアップVPNのクライアント側で動作している 時の、ダングリングSAの扱い方を設定する。 ダングリングSAとは、対応するIKE SAが寿命などにより消えてしまっ たIPsec SAのことを言う。RTシリーズでは基本的にはダングリングSA を許す方針で実装しており、IKE SAとIPsec SAを独立に管理するが、 ダイヤルアップVPNのクライアント側として動作している場合だけは、 このコマンドでダングリングSAの扱いを変更できる。 このコマンドでautoを設定すると、ダイヤルアップVPNのクライアン ト側でダングリングSAが発生した時には、それを強制的に削除する。 つまり、IKE SAが削除される時には、同時にそのIKE SAに基づいて生 成されたIPsec SAも削除する。 offを設定した時には、IKE SAとIPsec SAは独立に管理され、削除の タイミングは必ずしも同期しない。 ダイヤルアップVPNのクライアント側ではない場合には、このコマン ドの設定に関わらず常にIKE SAとIPsec SAは独立に管理され、削除の タイミングは必ずしも同期しない。 [ノート] ダングリングSAの強制削除が行なわれても、通常は新しいIKE SAに基 づいた新しいIPsec SAが存在するので通信に支障が出ることはない。 ダイヤルアップVPNのクライアント側でダングリングSAを許さないの は、IKEキープアライブを正しく機能させるために必要なことである。 IKEキープアライブでは、IKE SAに基づいてキープアライブを行なう。 ダングリングSAが発生した場合には、そのSAについてはキープアライ ブを行なうIKE SAが存在せず、キープアライブ動作が行なえない。そ のため、IKEキープアライブを有効に動作させるにはダングリングSA が発生したら強制的に削除して、通信は対応するIKE SAが存在する IPsec SAで行なわれるようにしなくてはいけない [ノート2] ダングリングSAの扱いについては、動作モードとリビジョンによって 動作が異なる。 +---------------------+-------------+---------+---------+-------------+ | Rev. | 7.01.05以前 | 7.01.08 | 7.01.15 | 7.01.16以降 | +---------------------+-------------+---------+---------+-------------+ | ダイヤルアップVPNの | (A) | (B) | (C) | | クライアント側 | | | | +---------------------+-------------+---------+---------+-------------+ | それ以外 | (A) | (B) | (A) | +---------------------+-------------+---------+---------+-------------+ (A) ダングリングSAが発生しても何もせず通信を続ける (B) ダングリングSAが発生した時にはそれを消去し、必要であれば新 しいSAを作成して通信を行なう (C) このコマンドにより動作を変更できる [デフォルト値] auto [2] 受信したIKEパケットを処理する前に蓄積するパケットキューの長さを設 定できるようにした。 [入力形式] ipsec ike queue length RECEIVE_QUEUE_LEN [パラメータ] RECEIVE_QUEUE_LEN ... 8 - 64 [説明] 受信したIKEパケットを処理する前に蓄積するキューの長さを設定す る。 このIKEパケット受信キューは、IKEパケットを短時間に集中的に受信 した場合に、処理するIKEパケットの数を制限するために用意されて いる。IKEパケットの処理には比較的長い時間が必要なため、一度に 処理するパケットの数を制限しておかないと、キューの後ろの方で受 信したパケットを処理するころには対向のルータでタイムアウトと検 知され、再送パケットがすでに送られてきている、という状況になっ てしまう。いずれにせよ再送されるならば、キューの長さを制限し早 めにパケットを捨ててしまった方が、ルータのCPU負荷を下げ、安定 した動作を行なわせることができる。 [ノート] Rev.7.01.15以前のファームウェアでは、このキューの長さは8で固定 されていた。 キューの長さを長くすると、一度に受信して処理できるIKEパケット の数を増やすことができる。しかし、あまり大きくすると、ルータ内 部にたまったIKEパケットの処理が遅れ、対向のルータでタイムアウ トと検知されてしまう可能性が増える。そのため、このコマンドの設 定を変更する時には、慎重に行なう必要がある。 通常の運用では、この設定を変更する必要はない。 [デフォルト値] 8 [3] RTX2000で、マイクロエンジンによるファストパスをまったく使わないよ うにできるようにした。ip routing processコマンドを'normal'と設定す る。デフォルトは'fast'。 [4] RTX2000で、IPsecトンネル向きのパケットをフラグメントする必要がある 時に、スローパスにパケットを回すのではなく、ファストパスの中でフラ グメントするようにした。スループット向上と、パケット順序の入れ替わ り防止になる。 [5] ipsec ike xauth mynameコマンドで、ユーザ名やパスワードの最大文字数 を31から32に変更した。 [6] IKEで0から255の範囲のSPIを割り当てないようにした。RFC2406 2.1によ れば、これらの値は予約されていて使用することができない。 [7] OSPFの設定で、ospf areaコマンドで認証が必要という設定をしているに も関わらず、ip INTERFACE ospf areaコマンドで認証データの設定を行わ なかった場合には、そのインタフェースからはOSPFパケットの送受信がまっ たく行われないようにした。従来はこの設定では認証をまったく行わずに パケットの送受信を行っていた。 [8] OSPFのMD5認証で、シーケンス番号の生成方式を、パケットの送信時刻の 秒数か、単調増加方式かを選べるようにした。ip INTERFACE ospf areaコ マンド、およびospf virtual-linkコマンドにオプション 'md5-sequence-mode=MODE'を追加する。MODEとして指定できるのは以下の 2つになる。 'second' ... 送信時刻の秒数 (デフォルト) 'increment' ... 単調増加 Rev.7.00.26だけは、'increment'の動作となっている。それ以外のリビジョ ンでは'second'の動作となっている。 ■バグ修正 [1] MMIで以下のバグを修正した。 - ip lanN vrrp shutdown triggerコマンドで、シャットダウントリガと して経路を指定する時に、経路として0.0.0.0を指定できる - コマンド入力文字列の末尾にある「\」が無視されない - ip INTERFACE ospf areaコマンドで、priorityパラメータに256以上、 costパラメータに65536以上の値が指定できる - ipsec sa policyコマンドで、poicy_idとして2147483647を指定しても、 show config コマンドで表示できず、保存もできない - 1つのセキュリティゲートウェイに対して複数のトンネルインタフェー スを作る構成で、ipsec sa policyコマンドの設定を変更したときに、 再起動するか、ipsec refresh saコマンドを実行するまで、設定を正し く反映しない - bgp import filterコマンドでmetricオプションとして0を設定できる - no bgp aggregateコマンドで指定した設定を正しく削除できない - bgp aggregate filterコマンドでネットワークを指定しなくてもエラー とならずに設定できる - ip keepaliveコマンドの設定を一度に大量に削除するとき、設定が完全 に削除されず、再起動するまで設定の一部が反映されない - ip filterコマンドを実行すると、メモリリークを生じて使用できるメ モリが減少することがある - ipv6 filterコマンドで、始点、終点アドレスに"-(IPアドレス)"という 形を設定できない - ip filterコマンドで、IPアドレスの一部に'*'を使う機能が正しく動作 していない - ip filterコマンドで、プロトコルフィールドに正しくない文字列を指 定しても受け付けられることがある - ip INTERFACE secondary addressコマンドで、ネットマスクとして正し くない値を入力しようとするとルータがリブートしてしまう - ntpdateコマンドで、エラーメッセージに綴間違いがある [2] RTX2000で、以下の場合にパケットを正しく転送できず、デフォルト経路 が設定されているゲートウェイに転送してしまうバグを修正した。 ・デフォルト経路が設定されている ・対象となるパケットが本来経路付けされるべき経路が8ビットマスクで 設定されている ・その経路と最初の1オクテットが同じ値になる9〜16ビットマスクの経路 が設定されている 例えば、以下のような場合に、10.0.0.1宛のパケットを転送するゲートウェ イを、正しくは192.168.100.2であるところを192.168.100.1宛に間違えて しまっていた。 ip route default gateway 192.168.100.1 ip 10.0.0.0/8 gateway 192.168.100.2 ip 10.10.0.0/16 gateway 192.168.100.3 [3] IPsecとPPPoEで、暗号化されたパケットがPPPoEに出力されるような構成 で、暗号化された後のパケットをPPPoEインタフェースのMTU値に基づいて フラグメントしなくてはいけない時に、正しくパケットをフラグメントで きずに通信できなくなるバグを修正した。 ip tunnel mtuコマンドでトンネルインタフェースのMTU値を大きくしてい る場合に発生する。ip tunnel mtuコマンドの設定値がデフォルトの1280 である時には、暗号化された後にフラグメントされるということは通常発 生しないため、このバグに出会うことはない。 [4] RTX2000で、IPsecの受信側で処理しきれない程のトラフィックを受信して いると、そのトラフィックが収まった後でも通信できなくなることがある バグを修正した。 [5] RTX2000で、IPsec通信と鍵交換処理、トンネルキープアライブ処理が重な ると暗号通信がハングアップしてしまうことがあるバグを修正した。 [6] 101以上のトンネル番号のトンネルで、tunnel backupコマンドによりバッ クアップを指定していると、バックアップ状態になる処理の中で不正なメ モリアクセスが発生しその後の動作が不安定になることがあるバグを修正 した。 [7] IKEで鍵交換の要求が集中したときに、IKEキープアライブのパケットが破 棄されて、トンネルインタフェースが切断されやすくなる現象を改善した。 [8] IPsecでキープアライブを使う設定で、ipsec ike local addressコマンド で自分側のIPアドレスをPPインタフェースに付与されたアドレスに指定し ている時に、pp disable コマンドでPPインタフェースを使用不可に設定 すると、キープアライブパケットを送信するタイミングでリブートするバ グを修正した。 [9] IKEでPFSを使用する設定の場合、鍵交換が終了して新しい鍵を使い始める までに500ms程度の時間が必要だったのを、数ms程度まで短縮した。接続 相手が高速な機器で、新しい鍵を使い始めるのが早い場合には、最大 500ms程度の通信断が発生していたのがこれで解消される。 [10] IPsec関係の設定の変更と同時にトンネルインタフェースがダウンするに もかかわらず、「IP Tunnel Down」というsyslogを出力しないバグを修正 した。 [11] RTX2000のIPsecで、まれにパケットロスが発生するバグを修正した。 [12] RT自身がTELNETやBGP-4などのためにTCPの端点となって通信を行っている 時に、何らかの理由で送信用のTCPパケットのためのメモリが確保できな くなるとリブートしてしまうバグを修正した。システム負荷が高い時に BGP-4で経路交換を行おうとした時などが該当する。 [13] RTX2000で、LAN1.1以外のポートの受信パケット数と受信データサイズの カウンタが正しくカウントされないバグ、およびエラーカウンタが間違っ てカウントされることがあるバグを修正した。 [14] RTX2000で、OSPFなどにより大量の経路の追加、削除が発生した時にリブー トしてしまうことがあるバグを修正した。 [15] ip routeコマンドでnameオプションとhideオプションの両方を付けた経路 を複数設定すると、それらの経路のhideの状態が同期するバグを修正した。 [16] hideオプションを指定した経路が一度でも有効になると、その後はhide の状態に関係なく、常にルーティングで使用するようになるバグを修正し た。 [17] PPPoEのPPインタフェースで、OSPFのコストを自動計算すると57600になっ ていたのをトンネルインタフェースと同じ1572になるよう修正した。 [18] PPPoEの接続完了の直後にPPPパケットを受信すると、それを処理できずに 無視してしまうために、PPPの再送をまつ必要があり最終的に接続できる まで余計な時間がかかることがあるバグを修正した。 [19] PPPoEセッションの切断中に相手からPPPoEのデータパケットを受信すると、 切断処理が完了できずに、その後の再接続もできなくなるバグを修正した。 なんらかの理由により、送信パケットが相手に届かない状態が続いたとき に、LCP EchoReqパケットが届かないためにキープアライブによる切断が 起動され、PPPのLCP TermReqもPPPoEのPADTも相手に届かずに、こちらは 「切断中」、相手は「通信中」、という状態の矛盾が発生したときに問題 の現象が発生していた。 [20] TFTPでルータの設定を取得するとき、設定ファイルのサイズが512バイト の倍数になっていると「Rejected access from ... 」というメッセージ をsyslogに出力して転送を停止するバグを修正した。このとき、ルータは 端末に対して「Undefined error code」というエラーメッセージを送信す る。 [21] IPv4 over IPv4トンネルで処理したパケットが再び同じトンネルインタ フェースにルーティングされるとリブートするバグを修正した。設定間違 いなどの理由で経路がループすると発生する。 [22] IPマスカレードで、内側ホストが異なるエントリのTTLが同期してしまう バグを修正した。 [23] RTX2000で、PP 1以外のPPでNATの設定を行っても、再起動するまでNAT変 換動作を行わないバグを修正した。 [24] RTX2000で、lan backupコマンドでバックアップ先をPPに指定している時 に、バックアップされる経路のゲートウェイのARPが新たに追加されたり、 更新されたりするとリブートしてしまうバグを修正した。 [25] lan backupコマンドでキープアライブとしてicmp-echoを選び、downwait、 upwaitパラメータを指定する設定を保存して再起動すると、正しくキープ アライブはできているのにバックアップ状態に移行してしまうバグを修正 した。 [26] PP/TUNNELインタフェースの2番目以降のインタフェースで、ipv6 INTERFACE secure filterコマンドの設定を変更しても、再起動するまで 設定が有効にならないバグを修正した。 [27] グローバルアドレスに対してping6コマンドを実行するときに、回数を指 定するパラメータが機能せず、^Cを押すまで動作が終了しないバグを修正 した。 [28] シリアルコンソールなどの低速な操作系でping6コマンドを実行するとき、 多数のEcho-Replyを受信し続けると、やがてEcho-Requestを送信しなくな るバグを修正した。^Cでping6の実行を止めると正常な状態に戻る。