http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.01/relnote_08_01_18.html Revision : 08.01.18 Release : Mar. 2005, ヤマハ株式会社 RTX1000 Rev.8.01.18 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.8.01.16からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 1. PPバックアップ機能で、バックアップ先としてPPインターフェースを指定して常時 接続の回線を使用する場合に、バックアップから復帰した直後にIPsecのSAを再構築 できるようにした。従来はIKEキープアライブでトンネルインターフェースの切断を 検知してからSAを再構築していたため、復帰してからIPsecの通信が可能になるまで に時間がかかっていた。今回の機能追加により、復帰してからIPsecの通信が可能に なるまでの時間を10秒程度に短縮できる。この機能を利用するためには、pp backup コマンドで、ipsec-fast-recoveryオプションを設定する必要がある。 □ PPバックアップ機能の設定 [書式] pp backup none pp backup pp PEER_NUM [ ipsec-fast-recovery=ACTION ] pp backup INTERFACE IP_ADDRESS pp backup tunnel TUNNEL_NUM no pp backup [設定値] none ... バックアップ動作をしない PEER_NUM ... バックアップ先としてPPを使用する場合の相手先情報番号 ACTION ... バックアップから復帰した直後にSAの再構築を実施するか 否か on ... 再構築する off ... 再構築しない INTERFACE ... バックアップ先として使用するLANインターフェース IP_ADDRESS ... ゲートウェイのIPアドレス TUNNEL_NUM ... トンネルインターフェース番号 [説明] PPインターフェースが切断されたときにバックアップするインターフェー スを指定する。バックアップ先のインターフェースがPPインタフェースの 場合には、ipsec-fast-recoveryオプションを設定できる。このオプション でonを設定したときには、バックアップから復帰した直後にIPsecのSAをす ぐに再構築するため、IPsecの通信が可能になるまでの時間を短縮できる。 [ノート] このコマンドはPPインターフェースごとに設定できる。 PPインタフェースの切断を検知するためにpp always-onコマンドでonを設 定する必要がある。専用線の場合にはpp always-onコマンドの代わりに、 pp keepalive use lcp-echoコマンドを使用する。 [初期値] none ipsec-fast-recovery=off 2. ICMP Echoを利用するキープアライブ機能で、ICMP Echoパケットのサイズを指定で きるようにした。 □ ネットワーク監視機能の設定 [書式] ip keepalive NUM KIND INTERVAL COUNT IP_ADDRESS [IP_ADDRESS... [OPTION=VALUE...]] no ip keepalive NUM [設定値] NUM ... このコマンドの識別番号(1..100) KIND ... 監視方式 ・ icmp-echo ... ICMP Echoを使用する INTERVAL ... キープアライブの送信間隔秒数(1..65535) COUNT ... 到達性が無いと判断するまでに送信する回数(3..100) IP_ADDRESS ... 送信先のIPアドレス OPTION=VALUE列 ┌────┬───┬───────────────┐ │OPTION │VALUE │説明 │ ├────┼───┼───────────────┤ │ │on │SYSLOGを出力する │ │log ├───┼───────────────┤ │ │off │SYSLOGを出力しない │ ├────┼───┼───────────────┤ │upwait │秒数 │到達性があると判断するまでの待│ │ │ │機時間(1..1000000) │ ├────┼───┼───────────────┤ │downwait│秒数 │到達性があると判断するまでの待│ │ │ │機時間(1..1000000) │ ├────┼───┼───────────────┤ │length │バイト│ICMP Echoパケットの長さ │ │ │ │(64-1500) │ └────┴───┴───────────────┘ [説明] 指定したIPアドレスに対して、ICMP Echoを送信し、その返事を受信できる かどうかを判定する。 [ノート] このコマンドはRev.7.01以上で実行可能である。 lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケッ ト全体の長さではない。 [初期値] log = off upwait = 5 downwait = 5 length = 64 □ LAN経由のキープアライブを使用するか否かの設定 [書式] lan keepalive use INTERFACE icmp-echo DEST_IP [OPTION=VALUE...] [DEST_IP [OPTION=VALUE...]...] lan keepalive use INTERFACE arp DEST_IP [DEST_IP...] lan keepalive use INTERFACE icmp-echo DEST_IP [OPTION=VALUE...] [DEST_IP [OPTION=VALUE...]...] arp DEST_IP [DEST_IP...] no lan keepalive use INTERFACE [設定値] INTERFACE ... バックアップ対象のLANインタフェース名 DEST_IP ... キープアライブ確認先のIPアドレス OPTION=VALUE列 OPTION VALUE 説明 upwait ミリ アップ検知のための許容応答時間 秒 (1..10000) downwait ミリ ダウン検知のための許容応答時間 秒 (1..10000) length バイ ICMP Echoパケットの長さ(64-1500) ト [説明] 指定するLANインタフェースに対して、キープアライブ動作を行うか否かを 設定する。icmp-echoを指定すれば、ICMP Echo/Replyを用い、arpを指定す れば、ARP Request/Replyを用いる。併記することで、併用も可能である。 [ノート] icmp-echoで確認するIPアドレスに対する経路は、バックアップをするLAN インタフェースに向くことが必要である。downwaitパラメータで応答時間 を制限する場合でも、lan keepalive intervalコマンドの設定値の方が小 さい場合には、lan keepalive intervalコマンドの設定値が優先される。 downwait、upwaitパラメータのうち一方しか設定していない場合には、他 方も同じ値が設定されたものとして動作する。 lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケッ ト全体の長さではない。 [初期値] キープアライブは使用しない □ PP経由のキープアライブを使用するか否かの設定 [書式] pp keepalive use lcp-echo pp keepalive use icmp-echo DEST_IP [OPTION=VALUE...] [DEST_IP [OPTION=VALUE...]...] pp keepalive use lcp-echo icmp-echo DEST_IP [OPTION=VALUE...] [DEST_IP [OPTION=VALUE...]...] no pp keepalive use [設定値] lcp-echo ... LCP Echo Request/Replyを用いる icmp-echo ... ICMP Echo/Replyを用いる DEST_IP ... キープアライブ確認先のIPアドレス OPTION=VALUE列 OPTION VALUE 説明 upwait ミリ アップ検知のための許容応答時間 秒 (1..10000) downwait ミリ ダウン検知のための許容応答時間 秒 (1..10000) disconnect 秒 無応答切断時間(1..21474836) length バイ ICMP Echoパケットの長さ(64-1500) ト [説明] 選択した相手先に対する接続のキープアライブ動作を設定する。lcp-echo 指定で、LCP Echo Request/Replyを用い、icmp-echoも指定すればICMP Echo/Replyも同時に用いる。icmp-echoを使用する場合には、IPアドレスの 設定が必要である。 [ノート] このコマンドを設定していない場合でも、pp always-onコマンドでonと設 定していれば、LCP Echoによるキープアライブが実行される。 icmp-echoで確認するIPアドレスに対する経路は、設定されるPPインタフェ ースが送出先となるよう設定される必要がある。 downwaitパラメータで応答時間を制限する場合でも、pp keepalive intervalコマンドの設定値の方が小さい場合には、lan keepalive intervalコマンドの設定値が優先される。downwait、upwaitパラメータの うち一方しか設定していない場合には、他方も同じ値が設定されたものと して動作する。 disconnectパラメータは、PPPoEで使用する場合にPPPoEレベルでの再接続 が必要な場合に使用する。disconnectパラメータが設定されている場合に 、設定時間内にicmp-echoの応答が内場合、PPPoEレベルで一度切断操作を 行うため、pp always-onコマンドとの併用により再接続を行うことができ る。他のパラメータが初期値の場合、disconnectパラメータは70秒程度に 設定しておくと、ダウン検出後の切断動作が確実に行われる。 lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケッ ト全体の長さではない。 [初期値] キープアライブは使用しない □ IKEキープアライブ機能の設定 [書式] ipsec ike keepalive use GATEWAY_ID SWITCH [TYPE [IP_ADDRESS [length =LENGTH]] [INTERVAL [COUNT]]] no ipsec ike keepalive use GATEWAY_ID [...] [設定値] GATEWAY_ID ... セキュリティ・ゲートウェイの識別子 SWITCH ... on キープアライブを行う off キープアライブを行わない auto 対向のルータからキープアライブを受信した時に限 って送信する TYPE ... キープアライブの方法 heartbeat IKE heartbeat icmp-echo ICMP Echo/Reply IP_ADDRESS ICMP Echoを送信する宛先のIPアドレス(IPv4/ IPv6) LENGTH .... ICMP Echoパケットの長さ(64-1500) INTERVAL ... キープアライブパケットの送信間隔秒数(1..600) COUNT ... キープアライブパケットが届かない時に障害とみなすまで の試行回数(1..50) [説明] IKEキープアライブの動作を設定する。このコマンドの設定は、双方のルー タで一致させる必要がある。 [ノート] lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケッ ト全体の長さではない。 [初期値] SWITCH = auto TYPE = heartbeat LENGTH = 64 INTERVAL = 10 COUNT = 6 3. インタフェースの説明を設定しておく、descriptionコマンドを新設した。 [書式] description INTERFACE DESCRIPTION no description INTERFACE [DESCRIPTION] [設定値] INTERFACE ... LANインタフェース名、'pp'、'tunnel' DESCRIPTION ... 説明の文字列 [説明] インタフェースの説明を設定しておく。'pp'、'tunnel'を指示した時にはそれ ぞれ、pp selectあるいはtunnel selectで選択したインタフェースの説明とな る。 設定内容は、インタフェースに対するshow statusコマンドで表示される。 [初期値] 設定無し 4. OSPFで、状態遷移とパケットの送受信をログに記録することができるようにした。 [書式] ospf log LOG [LOG...] no ospf log [LOG...] [設定値] LOG ... interface インタフェースの状態遷移 neighbor 近隣ルータの状態遷移 packet 送受信したパケット [説明] 指定した種類のログをINFOレベルで記録する。 [初期値] OSPFのログは記録しない。 5. OSPFで受け取った経路をルータの経路テーブルに導入するかどうかを設定するコマ ンドを新設した。 □ OSPFで受け取った経路をルータの経路テーブルに導入するかどうか [書式] ospf export from ospf filter FILTER... no ospf export from ospf [filter FILTER...] [設定値] FILTER ... ospf export filterコマンドのフィルタ番号 [説明] OSPFで受け取った経路をルータの経路テーブルに導入するかどうかを設定 する。指定したフィルタに一致する経路だけが経路テーブルに導入される 。コマンドが設定されていない場合には、すべての経路が経路テーブルに 導入される。 [ノート] このコマンドはOSPFのリンク状態データベースには影響を与えない。つま り、OSPFで他のルータと情報をやり取りする動作には、このコマンドがど のように設定されていても影響はなく、動作に変化は無い。OSPFで計算し た経路が、実際にパケットをルーティングするために使われるかどうかだ けが変わる。 [初期値] すべての経路がルータの経路テーブルに導入される。 □ OSPF経路を経路テーブルに導入する際に適用するフィルタ定義 [書式] ospf export filter FNUM [NR] KIND IP_ADDRESS/MASK ... no ospf export filter FNUM [...] [設定値] FNUM ... フィルタ番号 NR ... フィルタの解釈の方法 省略 ... フィルタに該当した経路を導入する not ... フィルタに該当しない経路を導入する reject ... フィルタに該当した経路を導入しない KIND ... フィルタ種別 include ... 指定したネットワークアドレスに含ま れる経路(ネットワークアドレス自身を 含む) refines ... 指定したネットワークアドレスに含ま れる経路(ネットワークアドレス自身を 含まない) equal ... 指定したネットワークアドレスに一致 する経路 IP_ADDRESS/MASK ... ネットワークアドレスを表すIPアドレスとマスク長 [説明] OSPFにより他のOSPFルータから受け取った経路を経路テーブルに導入する 際に適用するフィルタを定義する。このコマンドで定義したフィルタは、 ospf export fromコマンドのfilter項で指定されてはじめて効果を持つ。 IP_ADDRESS/MASKでは、ネットワークアドレスを設定する。これは、複数設 定でき、経路の検査時にはそれぞれのネットワークアドレスに対して検査 を行なう。 NRパラメータが省略されている場合には、一つでも該当するフィルタがあ る場合には経路が導入される。 not指定時には、すべての検査でフィルタに該当しなかった場合に経路が導 入される。 reject指定時には、一つでも該当するフィルタがある場合には経路が導入 されない。 KINDでは、経路の検査方法を設定する。 ┌──────┬────────────────────────┐ │include ... │ネットワークアドレスと一致する経路および、ネット│ │ │ワークアドレスに含まれる経路が該当となる │ ├──────┼────────────────────────┤ │refines ... │ネットワークアドレスに含まれる経路が該当となるが│ │ │、ネットワークアドレスと一致する経路が含まれない│ ├──────┼────────────────────────┤ │equal ... │ネットワークアドレスに一致する経路だけが該当とな│ │ │る │ └──────┴────────────────────────┘ [ノート] not指定のフィルタをospf export fromコマンドで複数設定する場合には注 意が必要である。not指定のフィルタに合致するネットワークアドレスは、 そのフィルタでは導入するかどうかが決定しないため、次のフィルタで検 査されることになる。そのため、例えば、以下のような設定ではすべての 経路が導入されることになり、フィルタの意味が無い。 ospf export from ospf filter 1 2 ospf export filter 1 not equal 192.168.1.0/24 ospf export filter 2 not equal 192.168.2.0/24 1番のフィルタでは、192.168.1.0/24以外の経路を導入し、2番のフィルタ で192.168.2.0/24以外の経路を導入している。つまり、経路192.168.1.0/ 24は2番のフィルタにより、経路192.168.2.0/24は1番のフィルタにより導 入されるため、導入されない経路は存在しない。 経路192.168.1.0/24と経路192.168.2.0/24を導入したくない場合には以下 のような設定を行なう必要がある。 ospf export from ospf filter 1 ospf export filter 1 not equal 192.168.1.0/24 192.168.2.0/24 あるいは、 ospf export from ospf filter 1 2 3 ospf export filter 1 reject equal 192.168.1.0/24 ospf export filter 2 reject equal 192.168.2.0/24 ospf export filter 3 include 0.0.0.0/0 6. ネットボランチDNSで自動更新に失敗した場合のリトライ間隔と回数を設定するコマ ンドを新設した。 [書式] netvolante-dns retry interval I/F INTERVAL COUNT [設定値] INTERVAL ... 60 - 300[秒], auto COUNT ... 1 - 50 [説明] ネットボランチDNSで自動更新に失敗した場合に、再度自動更新を行なう間隔と 回数を設定する。 [ノート] INTERVALに'auto'を設定した時には、自動更新に失敗した場合には30秒から90 秒の時間をおいて再度自動更新を行なう。それにも失敗した場合には、その後 、60秒後間隔で自動更新を試みる。 自動更新に失敗してから、指定した時間までの間に手動実行をした場合は、そ の後の自動更新は行なわれない。 [初期値] auto 10 7. TCPのコネクションレベルのsyslogを出力する機能を追加した。 [書式] tcp log SWITCH [SRC_ADDR[/MASK] [DST_ADDR[/MASK]] [TCPFLAG [SRC_PORT_LIST [DST_PORT_LIST]]]] no tcp log [...] [設定値] SWITCH ... on TCPコネクションのsyslogを出力する off TCPコネクションのsyslogを出力しない SRC_ADDR ... 始点IPアドレス ・ xxx.xxx.xxx.xxxは □ 10進数 □ *(ネットマスクの対応するビットが8ビットとも0 と同じ) ・ 間に-を挟んだ2つの上項目、-を前につけた上項目、- を後ろにつけた上項目、これらは範囲を指定 ・ *(すべてのIPアドレス) DST_ADDR ... 終点IPアドレス(SRC_ADDRと同じ形式) 省略時は1個の*と同じ。 MASK ... IPアドレスのビットマスク。省略時は0xffffffffと同じ。 SRC_ADDR及びDST_ADDRがネットワークアドレスの場合にの み指定可能。 TCPFLAG ... フィルタリングするTCPパケットの種類 ・ プロトコルを表す10進数(6のみ) ・ プロトコルを表すニーモニック ┌──────┬──┬────────────┐ │ニーモニック│10進│説明 │ │ │数 │ │ ├──────┼──┼────────────┤ │tcp │6 │全てのTCPパケット │ ├──────┼──┼────────────┤ │tcpsyn │- │SYNフラグの立っているパ │ │ │ │ケット │ ├──────┼──┼────────────┤ │tcpfin │- │FINフラグの立っているパ │ │ │ │ケット │ ├──────┼──┼────────────┤ │tcprst │- │RSTフラグの立っているパ │ │ │ │ケット │ ├──────┼──┼────────────┤ │established │- │ACKフラグの立っているパ │ │ │ │ケット │ └──────┴──┴────────────┘ ・ tcpflag=flag_value/flag_mask、またはtcpflag!= flag_value/flag_maxk 参考フラグ値 0x0001 FIN 0x0002 SYN 0x0004 RST 0x0008 PSH 0x0010 ACK 0x0020 URG ・ *(全てのTCPパケット。ニーモニックにtcpを指定した ときと同じ) ・ 省略時は*と同じ。 SRC_PORT_LIST ... TCPのソースポート番号 ・ ポート番号を表す10進数 ・ ポート番号を表すニーモニック ┌──────┬─────┐ │ニーモニック│ポート番号│ ├──────┼─────┤ │ftp │20,21 │ ├──────┼─────┤ │ftpdata │20 │ ├──────┼─────┤ │telnet │23 │ ├──────┼─────┤ │smtp │25 │ ├──────┼─────┤ │domain │53 │ ├──────┼─────┤ │gopher │70 │ ├──────┼─────┤ │finger │73 │ ├──────┼─────┤ │www │80 │ ├──────┼─────┤ │pop3 │110 │ ├──────┼─────┤ │sunrpc │111 │ ├──────┼─────┤ │ident │113 │ ├──────┼─────┤ │ntp │123 │ ├──────┼─────┤ │nntp │119 │ ├──────┼─────┤ │snmp │161 │ ├──────┼─────┤ │syslog │514 │ ├──────┼─────┤ │printer │515 │ ├──────┼─────┤ │talk │517 │ ├──────┼─────┤ │route │520 │ ├──────┼─────┤ │uucp │540 │ └──────┴─────┘ ・ 間に-を挟んだ2つの上項目、-を前につけた上項目、- を後ろにつけた上項目、これらは範囲を指定 ・ 上項目をカンマで区切った並び(10個以内) ・ *(すべてのポート) ・ 省略時は*と同じ。 DST_PORT_LIST ... TCPのデスティネーションポート番号 SRC_PORT_LISTと同じ形式。 [説明] TCPのsyslogを出力する。syslog debug onも設定されている必要がある。IPv4 のみに対応している。システムに負荷がかかるため、トラブルシュート等の一 時的な使用にしか推奨されない。 [初期値] off 設定例: tcp log on * * tcpsyn * 1723 (PPTPのポートにSYNが来ているか) tcp log on * * tcpflag!=0x0000/0x0007 (FIN,RST,SYNの立ったTCPパケット) tcp log on (全てのTCPパケット。tcp log on * * * * *と同じ) 表示例: [TCP] RECV (SYN) in LISTEN 133.176.178.241:63541 > 133.176.178.240:1723 [TCP] SEND (SYN,ACK) in LISTEN 133.176.178.240:60001 > 133.176.178.241:1723 [TCP?] RECV (SYN) 192.168.100.50:1062 > 192.168.100.1:21 [TCP?] SEND (RST,ACK) 192.168.100.1:21 > 192.168.100.50:1062 8. IPv6でDAD(Duplicate Address Detection)の送信回数を設定できるようにした。 [書式] ipv6 INTERFACE dad retry count COUNT no ipv6 INTERFACE dad retry count [設定値] COUNT ... 選択したインタフェースでのDADの再送回数(0..10) [説明] インタフェースにIPv6アドレスが設定されたときに、アドレスの重複を検出す るために送信するDADの送信回数を設定する。ただし、0を設定した場合は、DAD を送信せずにアドレスを有効なものとして扱う。 [初期値] COUNT ... 1 9. ARPが解決されるまでの間に送信を保留しておくパケットの数を制御するコマンドを 新設した。 [書式] ip INTERFACE arp queue length LEN no ip INTERFACE arp queue length [LEN] [設定値] INTERFACE ... LANインタフェース名 LEN ... キュー長、0〜10000 [説明] ARPが解決していないホストに対してパケットを送信しようとした時に、ARPが 解決するか、タイムアウトによりARPが解決できないことが確定するまで、イン タフェース毎に送信を保留しておくことのできるパケットの最大数を設定する 。 0を設定するとパケットを保留しなくなるため、例えばARPが解決していない相 手にpingを実行すると必ず最初の1パケットは失敗するようになる。 [ノート] このコマンドが新設される以前のバージョンでは、送信を保留する数の上限は 設定されておらず、いくらでも保留することができた。 ■仕様変更 1. pp always-onコマンドを設定していて、そのPPインタフェースに対応するISDN回線 のケーブルが抜けているときに、短時間に多数の発呼を繰り返し、ルータの動作が 不安定になるバグを修正した。このバグを改善するため、ケーブルの抜けを検出し た場合には、10秒の時間が経過するのを待ってから再発呼するように仕様を変更し た。なお、このバグが発生したときには、show environmentコマンドにおけるCPU使 用率の表示が100%になる。 2. nat descriptor sipコマンドの初期値をoffからonに変更した。 3. show status ppコマンド、show status pptpコマンドで、PPTPの負荷を表示しない ようにした。 4. RTX1000で、使用部品の変更に伴いシリアルドライバを変更した。 5. ping、ping6、traceroute、traceroute6コマンドを一般ユーザモードで実行できる ようにした。これにより、複数のコンソールから同時に実行できるようになる。 6. IPv6で、ルーター広告の送信機能について、指定可能なオプション項目を追加した 。 IPv6のルータ広告の送信機能について、送信間隔や広告する内容について指定可能 な項目を拡張し、オプション項目として設定できるようにした。 [書式] ipv6 INTERFACE rtadv send PREFIX_ID [PREFIX_ID...] [PARAMETERS...] ipv6 pp rtadv send PREFIX_ID [PREFIX_ID...] [PARAMETERS...] ipv6 INTERFACE rtadv send off no ipv6 INTERFACE rtadv send [設定値] INTERFACE ... インタフェース名 PREFIX_ID ... プレフィックス番号 PARAMETERS ... NAME=VALUEの列 [説明] インタフェースごとにルータ広告の送信を制御する。送信されるプレフィック スとして、ipv6 prefixコマンドで設定されたものが用いられる。オプションを 設定することでルータ広告の送信間隔や広告する内容を指定することができる 。 また、m_flagおよびo_flagを利用して、管理するホストがルータ広告以外のス テートフル自動設定情報をどのように解釈するかを設定することもできる。 ┌──────────┬───┬──────────────────┐ │NAME │VALUE │説明 │ ├──────────┼───┼──────────────────┤ │m_flag │ON/OFF│managed address configurationフラグ │ ├──────────┼───┼──────────────────┤ │o_flag │ON/OFF│other stateful configurationフラグ │ ├──────────┼───┼──────────────────┤ │max-rtr-adv-interval│秒数 │ルーター広告間隔の最大値(4-1800秒) │ ├──────────┼───┼──────────────────┤ │min-rtr-adv-interval│秒数 │ルーター広告間隔の最小値(3-1350秒) │ ├──────────┼───┼──────────────────┤ │adv-default-lifetime│秒数 │このルーターをデフォルトルートとして│ │ │ │利用できる時間(0-9000秒) │ ├──────────┼───┼──────────────────┤ │adv-reachable-time │ミリ秒│Neigbbor Solicitationを行う間隔 │ │ │ │(0-3600000ミリ秒) │ └──────────┴───┴──────────────────┘ [初期値] ┌──────────┬──┐ │m_flag │off │ ├──────────┼──┤ │o_flag │off │ ├──────────┼──┤ │max-rtr-adv-interval│600 │ ├──────────┼──┤ │min-rtr-adv-interval│200 │ ├──────────┼──┤ │adv-default-lifetime│1800│ ├──────────┼──┤ │adv-reachable-time │0 │ └──────────┴──┘ 7. IPv6で、routing headerを受信し、受信内容に従った処理が行えるようにした。 8. IPsecで復号したパケットに対して、ICMPエラーを送るかどうかの動作を切替えられ るようにした。 [書式] ip icmp error-decrypted-ipsec send SW no ip icmp error-decrypted-ipsec send [SW] ipv6 icmp error-decrypted-ipsec send SW no ipv6 icmp error-decrypted-ipsec send [SW] [設定値] SW ... on IPsecで復号したパケットに対してICMPエラーを送る off IPsecで復号したパケットに対してICMPエラーを送らない [説明] IPsecで復号したパケットに対してICMPエラーを送るか否か設定する。 [ノート] ICMPエラーには復号したパケットの先頭部分が含まれるため、ICMPエラーが送 信元に返送される時にもIPsecで処理されないようになっていると、本来IPsec で保護したい通信が保護されずにネットワークに流れてしまう可能性がある。 特に、フィルタ型ルーティングでプロトコルによってIPsecで処理するかどうか 切替えている場合には注意が必要となる。 ICMPエラーを送らないように設定すると、tracerouteに対して反応がなくなる などの現象になる。 このコマンドが実装される以前の動作は、ノーマルパスではoff、ファストパス ではonであった。 [初期値] on 9. ネットボランチDNSで、登録・更新・削除に成功したときは、INFOレベルのsyslogを 表示するようにした。また、登録・更新・削除に失敗した理由を表示するsyslogの レベルを、DEBUGレベルからINFOレベルに変更した。 10. ospf import filterコマンドで、フィルタのタイプとして従来からあるinclude、 not include、refines、 not refines、equal、not equalに加えて、reject include、reject refines、reject equalを追加した。 また、not inlcude、not refines、not equalの場合に複数のネットワークを指定し た場合に、経路を導入するかどうか正しく判断できていなかったバグを修正した。 [書式] ospf import filter FNUM [NR] KIND IP_ADDRESS/MASK ... [PARAMETER...] no ospf import filter FNUM [...] [設定値] FNUM ... フィルタ番号 NR ... フィルタの解釈の方法 省略 ... フィルタに該当した経路を広告する not ... フィルタに該当しない経路を広告する reject ... フィルタに該当した経路を広告しない KIND ... フィルタ種別 include ... 指定したネットワークアドレスに含まれる 経路(ネットワークアドレス自身を含む) refines ... 指定したネットワークアドレスに含まれる 経路(ネットワークアドレス自身を含まな い) equal ... 指定したネットワークアドレスに一致する 経路 IP_ADDRESS/MASK ... ネットワークアドレスを表すIPアドレスとマスク長 PARAMETER ... 外部経路を広告する場合のパラメータ metric ... メトリック値(0..1677215) type ... 外部経路タイプ(1,2) tag ... タグの値(0..4294967295) [説明] OSPFで他のOSPFルータに外部経路を広告する際に適用するフィルタを定義する 。このコマンドで定義したフィルタは、ospf import fromコマンドのfilter項 で指定されてはじめて効果を持つ。 IP_ADDRESS/MASKでは、ネットワークアドレスを設定する。これは、複数設定で き、経路の検査時にはそれぞれのネットワークアドレスに対して検査を行なう 。 NRパラメータが省略されている場合には、一つでも該当するフィルタがある場 合には経路を広告する。 not指定時には、すべての検査でフィルタに該当しなかった場合に経路を広告す る。 reject指定時には、一つでも該当するフィルタがある場合には経路を広告しな い。 KINDでは、経路の検査方法を設定する。 include ... ネットワークアドレスと一致する経路および、ネットワークアド レスに含まれる経路が該当となる refines ... ネットワークアドレスに含まれる経路が該当となるが、ネットワ ークアドレスと一致する経路が含まれない equal ... ネットワークアドレスに一致する経路だけが該当となる PARAMETERでは、OSPFの外部経路として広告する場合のパラメータとして、メト リック値、外部経路タイプ、タグがそれぞれmetric、type、tagにより指定でき る。これらを省略した場合には以下の値が採用される。 ┌───┬─┐ │metric│1 │ ├───┼─┤ │type │2 │ ├───┼─┤ │tag │1 │ └───┴─┘ [ノート] not指定のフィルタをospf import fromコマンドで複数設定する場合には注意が 必要である。not指定のフィルタに合致するネットワークアドレスは、そのフィ ルタでは導入するかどうかが決定しないため、次のフィルタで検査されること になる。そのため、例えば、以下のような設定ではすべての経路が広告される ことになり、フィルタの意味が無い。 ospf import from static filter 1 2 ospf import filter 1 not equal 192.168.1.0/24 ospf import filter 2 not equal 192.168.2.0/24 1番のフィルタでは、192.168.1.0/24以外の経路を広告し、2番のフィルタで 192.168.2.0/24以外の経路を広告している。つまり、経路192.168.1.0/24は2番 のフィルタにより、経路192.168.2.0/24は1番のフィルタにより広告されるため 、広告されない経路は存在しない。 経路192.168.1.0/24と経路192.168.2.0/24を広告したくない場合には以下のよ うな設定を行なう必要がある。 ospf import from static filter 1 ospf import filter 1 not equal 192.168.1.0/24 192.168.2.0/24 あるいは、 ospf import from static filter 1 2 3 ospf import filter 1 reject equal 192.168.1.0/24 ospf import filter 2 reject equal 192.168.2.0/24 ospf import filter 3 include 0.0.0.0/0 11. show ip routeコマンドでBGPの経路を表示するときに、経路のAS Path属性を表示す るようにした。また、パラメータとしてdetailを指定したときには、AS Pathに加え て、Origin、MEDの各属性を表示するようにした。各属性の意味はRFC1771にしたが う。 12. show status bgp neighborコマンドで、以下の拡張を行なった。 [書式] show status bgp neighbor [IP-ADDRESS] show status bgp neighbor IP-ADDRESS ROUTE-TYPE [設定値] IP-ADDRESS ... 隣接ルータのIPアドレス ROUTE-TYPE ... 経路情報の表示 advertised-routes 隣接ルータに広告している経路を表示す ... る received-routes ... 隣接ルータから受信した経路を表示する routes ... 隣接ルータから受信した経路のうち有効 なものを表示する [説明] BGPの隣接ルータに関する情報を表示する。 IP-ADDRESSを指定した場合には特定の隣接ルータの情報を表示する。 IP-ADDRESSを省略した場合には、すべての隣接ルータの情報を表示する。 ROUTE-TYPEを指定した場合には、隣接ルータとの間でやり取りしている経路の 情報を表示する。 advertised-routesを指定した時には、隣接ルータに対して広告している経路を 表示する。 received-routesを指定した時には、隣接ルータから受信した経路をすべて表示 する。 routesを指定した時には、隣接ルータから受信した経路のうち、bgp export filterなどで受け入れられた経路だけを表示する。 13. dhcp scopeコマンドで、スコープから除外するIPアドレスを範囲指定できるように した。 [書式] dhcp scope スコープ番号範囲/マスク [except 範囲 ...] [gateway ゲートウ ェイ] [expire 時間] [maxexpire 時間] no dhcp scope スコープ番号 [...] [設定値] スコープ番号 1-65535 範囲 IPアドレス範囲 時間 1-21474836 or 'infinity' [説明] DHCPサーバとして動作する時のDHCPスコープを定義します。 (中略) 'except'に続けて、スコープから除外するIPアドレスを指定できる。除外する IPアドレスは、IPアドレスの範囲か、1つのIPアドレスを指定でき、また、それ らを空白で区切って複数回指定することができる。除外するIPアドレスはスコ ープの範囲を超えたり、重複して指定する事はできない。 14. NAT、IPマスカレードでFTPのEPRT、EPSVコマンドに対応した。 15. NATを通過するSIPパケットについて、SDPのo=行のIPアドレスをNATで変換するよう にした。 16. IKEで、同時に始動できるフェーズ1の最大数を設定できるようにした。この機能を 実現するために、ipsec ike retryコマンドの仕様を次のように変更する。 [書式] ipsec ike retry COUNT INTERVAL [MAX_SESSION] [設定値] COUNT ... 再送回数(1..50) INTERVAL ... 再送間隔の秒数(1..100) MAX_SESSION ... 同時に動作するフェーズ1の最大数(1-5) [説明] 鍵交換のパケットが相手に届かないときに実施する再送の回数と間隔を設定す る。また、オプションのパラメータとして、同時に動作するフェーズ1の最大数 を指定できる。ルータは、フェーズ1が確立せずに再送を継続する状態にあると き、鍵の生成を急ぐ目的で、新しいフェーズ1を始動することがある。このパラ メータは、このような状況で、同時に動作するフェーズ1の数を制限するもので ある。なお、このパラメータは、始動側のフェーズ1のみを制限するものであり 、応答側のフェーズ1に対しては効力を持たない。 [初期値] COUNT = 10 INTERVAL = 5 MAX_SESSION = 3 17. ノーマルパスにおけるIPsecの暗号化処理で、付加するパディングのサイズとして DES/3DESの場合に8、AESの場合に16バイトを付加していたケースを、それぞれ0バイ トになるように変更した。変更前でもRFC上問題にはならないが、暗号化後のパケッ トのサイズが大きくなるため、通信速度やフラグメントされやすくなるといった点 で不利ではあった。 ファストパス処理では、従来から0バイトになるように処理されている。 ■バグ修正 1. ISDNのPP Anonymousでの名前による認証で、pp auth usernameコマンドにclid句を 指定して発番号認証を利用するようにしている場合に、ユーザ名は正しいが、発番 号の正しくない着信を受けると、通常ならば発番号認証を最初に行うため、ISDN回 線自体が接続されることがない。しかし、PP Anonymous以外のPPインターフェース にpp auth uesrnameコマンドが設定されていると、発番号認証が適切に行われず、 ISDN回線が接続され、PPPのPAP/CHAPの手順まで処理が進んでしまうバグを修正した 。 PPPのPAP/CHAPの手順まで処理が進んでしまっても、そこで改めて発番号認証がチェ ックされるので、通信できるようになることはない。 2. nat descriptor masquerade staticコマンドを実行するたびにメモリリークが発生 するバグを修正した。設定を保存し、再起動すればメモリリークは起きないが、動 作中にコマンドを実行したり、TFTPで設定を送り込むときに発生する。 3. PPTPメッセージの後ろにデータが含まれるIPパケットをPPTPパススルー機能で処理 したときに、リブートすることがあるバグを修正した。1つのIPパケットに複数の PPTPメッセージが含まれる場合には、最初のPPTPメッセージのみを処理する。 4. IPsecで、対向のセキュリティゲートウェイへの経路を静的にフィルタ型経路で指定 していると、IPsecで暗号化するパケットをファストパスで処理する場合にフィルタ 型経路を正しく評価できず、必ず一番最初に記述したゲートウェイに送信してしま うバグを修正した。 5. IPsecで、対向のセキュリティゲートウェイへの経路がフィルタ型経路になっている ときに、ノーマルパスで扱うパケットが正しいゲートウェイを選択できず、フィル タで示されるのとは異なるゲートウェイに転送されることがあるバグを修正した。 6. IPv6のIPsecで、ipsec ike local addressコマンドを設定していないときに、AHの トンネルモードで通信できないバグを修正した。 7. ppp ccp no-encryption rejectコマンドを設定しているときに、PPTPで、CCP以外の NCPのネゴシエーションが失敗しても接続を拒否しないようにした。これにより、 ppp ccp no-encryption rejectコマンドを設定しているときに、Mac OS X 10.3で PPTPの接続ができない問題が解消される。 8. RFC2637で規定されていないPPTPメッセージを受信したときに、ルータの動作が不安 定になる可能性があるのを修正した。 9. PPTPで、接続の開始時や終了時にルータの動作が不安定になることがあるのを修正 した。 10. PPTPで、現在接続中の同じ相手から再びOutgoing-Call-Requestや Incoming-Call-Requestを受信したときに、強制的に接続を終了するようにした。修 正前は正しく処理をしていなかったため、show status ppコマンドの表示で、接続 中と表示されていた。 11. nat descriptor masquerade staticコマンドで指定した内側IPアドレスの機器から 外部の機器に対してtracerouteを実行できないバグを修正した。ICMPパケットのデ ータ部分に設定されているIPヘッダ部分がIPマスカレードで変換されていなかった ことによる。 12. IPマスカレードで、外部のホストからIPマスカレードの外側IPアドレスに対して pingを受信したとき、ICMPに対する静的IPマスカレードが設定されていない限りは 、ルータ自身が返事を返し、ICMPパケットを内側へ転送しない仕様になっているが 、実際には、ICMPパケットを内側へ転送してしまうことがあるのを修正した。 13. SIP-NAT機能において、インタフェースの外側から受信したREGISTERリクエストに対 するレスポンスについて、Contactヘッダ内のIPアドレスも変換できるようにした。 14. NATディスクリプタで、TCPの静的IPマスカレードが動作しなくなることがあるのを 修正した。NATに関係する設定を再び投入すると正常な状態に復帰する。 15. ip routeコマンドで複数のゲートウェイを設定している静的経路で、先頭のゲート ウェイの状態がhideになっているが、後続のゲートウェイが有効でパケットを転送 できる状態であるという設定になっているときに、その経路が、起動直後に動的経 路プロトコルで配布されないバグを修正した。経路の設定を変更すると、経路が配 布されるようになる。 16. MLDプロキシによるマルチキャストパケットの転送で、一部の出力インタフェースに 対してファストパスで転送し、残りの出力インタフェースに対してノーマルパスで 転送するときに、リブートする可能性を排除した。実際にリブートが発生する事象 は見つかっていない。 17. ipv6 multicast routing processコマンドの引数としてfastを設定しているときに 、設定が有効にならず、IPv6マルチキャストのファストパスが動作しないことがあ るのを修正した。具体的には次の手順で発生する。 1. MLDプロキシの経路情報の出力インタフェースとして、ファストパスに対応する インタフェースを登録する。例えば、LANインタフェースがこれに該当する。 2. 1の経路の出力インタフェースとして、ファストパスに対応しない出力インタフ ェースを追加する。例えば、PPPoEを除くPPインタフェースやトンネルインタフ ェースがこれに該当する。 なお、問題の発生したインタフェースのリンクを切断して再び接続すると、正常な 状態に復旧する。 18. WWWブラウザ設定支援機能のIPsecを設定するページで、テーブルの書式が他のペー ジと異なっているのを修正した。 19. 管理パスワードを設定した状態でWWWブラウザ設定支援機能を使用したときにリブー トする可能性があるのを修正した。 20. show logコマンド、あるいはless logコマンドで、コマンドを実行中に何もキー入 力を行わない状態にし、ログインタイマがタイムアウトしログアウトするというこ とを3回繰り返すと、その後、show log/less logコマンドを実行しても何もログが 表示されないようになるバグを修正した。 「コマンドを実行中」とは、show logコマンドの場合は、画面の最終行に「---つづ く---」あるいは「---more---」が表示されている状態を、less logコマンドの場合 は最終行に「:」が表示されている状態を指す。 21. RTX1000のLAN3インタフェースで、設定不一致などでオートネゴに失敗した後は設定 に関わらず半二重モードでリンクアップする場合があるが、いったんそうなるとそ の後、再起動したり、あるいはlan typeコマンドを再投入しない限り、必ず半二重 モードになってしまうバグを修正した。 このバグの修正後は、ケーブルの抜き差しなどで一度リンクダウンを行うことで、 lan typeコマンドの設定が正しくリンク状態に反映されるようになる。 22. ファストパスでSMTPプロトコルの動的フィルタを使用したときに、SMTPコネクショ ンが正常に終了しても、動的フィルタの管理するコネクションとして長時間生存し 続けるバグを修正した。SMTPコネクションの生成と消滅が数多く発生する状況下で は、システムの処理性能が低下して、内部リソースの枯渇によりリブートすること があった。 23. PIAFSで、データの受信中にルータがハングアップしたりリブートする可能性を排除 した。 24. 状態メール通知機能で送信するメールのヘッダにLFのない行があるのを修正した。 25. WWWブラウザ設定支援機能について、次のバグを修正した。 □ 状態メール通知の設定で、サブジェクトとしてダブルクォーテーションを含む 文字列を設定できない。 □ インタフェースの設定で、IP over IPトンネルインタフェースを追加したとき に、入力したエンドポイントアドレスが正しく設定されない。 □ IPsecの設定検証で、PPインタフェースに対してフィルタの設定が必要と判定し たときに、間違ったコマンドを提案するバグを修正した。 26. 状態メール通知機能で、メールのサブジェクトが全角2文字以下の場合、送信するメ ールのサブジェクトが空欄になるバグを修正した。 27. IKEのSAの寿命値の減少が実際よりも遅くなるバグを修正した。Rev.8.01.12でエン バグしている。 28. IKEで、SAの数が300に達したときに、本来は過剰な情報を解放してメモリの圧迫を 抑制するが、実際にはこの機構が不完全で、一部の情報を保存しようとするバグを 修正した。この状態が継続するとメモリの使用率が上昇し続けて、やがてはリブー トする。過剰に保存するメモリの量は、状態によって大きく変動するが、1回の鍵交 換につき、おおよそ300〜1300キロバイトである。なお、メモリリークではないので 、ipsec refresh saコマンドやipsec sa delete allコマンドを実行すると正常な状 態に戻る。 29. IPsecとVRRPを併用する場合に、ipsec ike local addressコマンドでVRRPの仮想IP アドレスを設定していると、バックアップになったときにSAが消去されるものの、 トンネルインタフェースがダウンしたとは見なされず、アップしたままの状態にな るバグを修正した。インタフェースがアップしたままだとOSPFなどでの経路通知や hide指定した静的経路が無効にならないなどの影響がある。 30. IPv6のIKEで、aggressive modeやbase modeで送信するIDの型がID_IPV6_ADDR(5)で はなく、ID_IPV4_ADDR(1)になるバグを修正した。このとき、IDの内容は不正なIPv4 アドレスとなる。ヤマハルータだけを使う場合には問題にならないが、他社製品と 接続するときには、接続できない可能性がある。 31. ipsec ike local/remote idコマンドでIPv6ネットワークを設定したときに、送信す るIDの型がID_IPV6_ADDR_SUBNET(6)ではなくID_IPV6_ADDR(5)になるバグを修正した 。結果として、quick modeが確立しなくなる。 32. ルータの動作中にIPsec関係の設定変更を行うと、その後の動作が不安定になること があるのを修正した。設定しているトンネルモードやトランスポートモードの設定 が多いほど発生しやすい。設定後に再起動すれば、この問題を回避できる。 33. IPsecトンネルでRIPなどの動的ルーティングプロトコルを流し、かつIPsecの相手側 のセキュリティゲートウェイへの経路を静的に設定していない場合、LANポートのケ ーブルを抜き差しするとリブートすることがあるのを修正した。 34. IPv6 over IPv6のIPsec ESPトンネルで、プロトコル識別子として間違って4を利用 していたのを、41に修正した。この修正によって、古いファームウェアとの間で、 IPv6 over IPv6 ESPトンネルの互換性がなくなる。 35. ipsec ike remote/local name コマンドで「"」、「#」、「」などの特殊な文字を 含んだ文字列を設定して再起動をすると、設定が正しく保存されず、show configコ マンドを実行しても正しく表示しないバグを修正した。 36. IPv6の近隣キャッシュのエントリが50に達したとき、本来は最も古いエントリを削 除しなければならないが、実際にはIPアドレスが最小のエントリを削除するバグを 修正した。また、エントリの最大数を、50から256に変更した。 37. RIPngで、ipv6 INTERFACE rip receive offと設定すると、RIPngの受信だけではな く、送信も止まるバグを修正した。 38. RIPngで、他のルータから経路の削除を通知されても、それを別のインタフェースに 対してすぐに広告しないバグを修正した。定期の経路広告があれば、やがては削除 の通知は広告されるが、PPインタフェースで、ipv6 rip connect/disconnect send コマンドをupdateに設定しているときには定期の経路広告がないので、経路が削除 されない。 39. IPv6の重複アドレス検出で、不正な近隣要請(Neighbor Solicitation)を受信すると 、重複アドレス検出に失敗するバグを修正した。 40. 1つのインタフェースに対して、同じプレフィクスを持つ複数のIPv6アドレスを設定 し、一方をno ipv6 addressコマンドで削除するとそのプレフィクスに対する implicit経路が消えるバグを修正した。 41. IPv6のルータ要請を受信してから、ルータ広告を返送するまでの間に、新しいルー タ要請を受信すると、ルータ広告を送信するタイミングが遅れるバグを修正した。 多数の端末から一度に大量のルータ広告を受信する環境では、このバグによって、 端末がルータ広告を受信できなくなることがある。 42. show ipv6 rip tableコマンドで、不要なパラメータを付けてコマンドを実行しても エラーとして扱わないバグを修正した。 43. MLDの処理で使用するタイマーについて、タイマーが満了するまでにかかる時間が、 実際よりもわずかに長くなるバグを修正した。 44. LAN分割機能を設定したときに、lan1.2、lan1.3、lan1.4でマルチキャストパケット を受信できないバグを修正した。Rev.8.01.12でエンバグしている。 45. LAN分割機能で、lan1.2〜1.4のいずれかでPPPoEを利用するように設定し、ファスト パスを利用するとき、lan1.1のリンクがダウンしていると、lan1.2〜1.4の各インタ フェースでは、PPPoEのセッションを張ることはできるが、実際の通信ができないと いうバグを修正した。 46. TELNETでルータにログインし、show logコマンドで大量のログを表示しようとする とリブートするバグを修正した。show log以外のコマンドでも、大量の出力を発生 するコマンドを実行すると、同じ問題が発生する可能性がある。 47. ospf areaコマンドでOSPFエリアが設定されていないときに、ospf area networkコ マンドやospf area stubhostコマンドを設定しようとするとエラーになるようにし た。従来は、対応するospf areaコマンドが自動的に設定されていた。また、ip INTERFACE ospf areaコマンドが設定されていないときに、ip INTERFACE ospf neighborコマンドを設定しようとするとエラーになるようにした。従来は、対応す るip INTERFACE ospf areaコマンドが自動的に設定されていたが、その内容は間違 っていた。 48. IPsecトンネルでOSPFを動作させているときに、トンネルに向けた静的経路にhideオ プションを設定し、その経路をOSPFで広告していると、トンネルがダウンしたとき に、メモリリークが発生するバグを修正した。リークするメモリは1経路あたり約 100バイトである。 49. OSPFで、固定のIPアドレスが設定されているインタフェースが1つもなく、ルータID として利用できるIPアドレスが存在しない場合には、OSPFが動作しないようにした 。無理に動作させようとしても以下のsyslogを表示してOSPFは無効になる。従来は 、不定な値をルータIDとして使ってOSPFが動作していた。 [OSPF] There is no usable IP address for router-id, OSPF disabled. 50. OSPFの設定がないときに起動したときに、下記のsyslogを出力していたが、必要が ないので、表示しないようにした。 [OSPF] There is no usable IP address for router-id, OSPF disabled. 51. フレームリレー回線の3対地以上のフルメッシュ構成で、インタフェースタイプを point-to-multipointとしてOSPFを動作させている場合で、既存の対地間で隣接関係 が確立しているときに新たに対地を追加すると、新たに追加されたルータでは最初 に隣接関係が確立できたルータ以外のルータと隣接関係が確立できないバグを修正 した。隣接関係が確立できないルータが抱える経路などは隣接関係が確立できたル ータ経由として認識されてしまう。 52. IP over IPトンネルをnumberedに設定してOSPFを動作させる設定で、設定を保存し て再起動した後にshow status ospf interfaceコマンドを実行すると、numberedと unnumberedの2つのインタフェースが表示されるバグを修正した。 53. ospf import filterコマンドのフィルタのタイプとして、not include、not refines、not equalを使用して、複数のネットワークを指定した場合に、経路を導 入するかどうか正しく判断できていなかったバグを修正した。 54. ospf export fromコマンドで経路をフィルタして受け入れない設定の場合に、受け 入れるべき経路までフィルタされてしまうことがあるバグを修正した。 具体的には、別のOSPFルータを間に挟む形になっていて隣接関係にはなっていない2 台のOSPFルータで、一方のOSPFルータのフィルタの設定が、他方のOSPFルータへ到 達するための経路Aは受け入れないが、そのルータが広告している経路Bは受け入れ るという設定の場合に、本来なら経路Bは受け入れなくてはいけないのに受け入れる ことができなかった。 55. BGPで、自身のholdtimeの設定が20秒以上の場合、相手から20秒未満のholdtimeを提 示されてもそれを受け入れず、20秒で動作してしまうバグを修正した。このバグの ため、相手のholdtimeが6秒以下になっている場合には、頻繁にBGPセッションが切 れる。 56. bgp nerighborコマンドでhold-time=offと設定してキープアライブを使わない設定 にした場合に、相手も同じ設定になっていないとキープアライブを使わない動作に ならないバグを修正した。 57. BGPで、bgp exportコマンドで他のプロトコルへ広告する経路のフィルタを設定して おり、BGPとOSPFで同一の経路を受信しているときに、動作中にbgp preferenceコマ ンドでプリファレンス値を変更しても、bgp configure refreshコマンドだけでは BGPとOSPFで受信している同一の経路のプリファレンス値の比較にコマンドの設定が 利用されず、ルータを再起動しないと有効にならないバグを修正した。 58. RIPで受信した経路と同じ経路をip routeコマンドで静的に設定し、その後、RIPの 経路を受信しなくなってから静的経路を消すと、本来は消えているはずのRIPの経路 が復活するバグを修正した。 59. ip INTERFACE rip sendコマンドで指定したバージョンとは異なるバージョンのRIP リクエストを受け取ったときに、それに対して応答してしまうバグを修正した。 60. ip INTERFACE rip receiveコマンドで受信するRIPのバージョンを指定していても、 RIPv1/v2の両方のバーションのパケットを受信してしまうバグを修正した。 61. clear ip dynamic routingコマンドで動的経路プロトコルによる経路を削除すると きに、本来は影響を受けないはずのtemporary経路がimplicit経路に変わったり、あ るいは消えてしまうバグを修正した。 implicit経路に変わるのはPPP/IPCPにより割り当てられたリモート側のホスト経路 であり、消えてしまうtemporary経路は、PPP/IPCP/MS拡張により相手から入手した DNSサーバに対するホスト経路である。 62. PP Anonymousインタフェースで、名前によるルーティングを設定しているとき、そ の名前のユーザで回線が接続するたびに、名前の文字列と同じサイズだけ、ルータ の使用できるメモリが減少するバグを修正した。 63. PP anonymousで複数の相手先と接続しているときに、disconnect anonymousコマン ドを実行すると、1つの相手先しか切断しないバグを修正した。 64. LANインタフェースに対するimplicit経路とまったく同じ経路をip routeコマンドで 設定し、その後no ip routeコマンドで経路を削除すると、implicit経路が復活しな いバグを修正した。再起動やLANインタフェースのケーブルの抜き差しで復活する。 なお、implicit経路よりip routeコマンドの設定の方が優先されるのは仕様である 。 65. ip routeコマンドでIPアドレスをゲートウェイとする静的経路を設定するときに、 経路の出力インタフェースをコマンド投入時点での経路テーブルから検索する仕様 になっており、一度インタフェースが確定すると、その後変更しないようになって いる。しかし、この動作では、ゲートウェイが接続されているインタフェースに対 するアドレスの設定よりも先にip routeコマンドを投入したときに、経路のゲート ウェイが本来のインタフェースとは異なるインタフェースに向いてしまうことがあ る。そこで、インタフェースのIPアドレスが設定され、implicit経路が追加された ときには、インタフェースが確定している経路についても経路の検索をやり直すよ うにした。なお、以前のファームウェアでも、設定を保存して再起動すれば、経路 は正しいインタフェースに向くようになっている。 [問題となる動作の例] 以下のような順序で設定した場合、192.168.100.0/24の経路はLAN1インタフェース へ向く。本来はLAN2インタフェースに向くべきである。 ip lan1 address 192.168.0.1/24 ip route default gateway 192.168.0.2 ip route 192.168.100.0/24 192.168.1.2 ip lan2 address 192.168.1.1/24 66. show status tunnelコマンドで、IPv6の送受信オクテットに間違った値が表示され ることがあるのを修正した。 67. httpd hostコマンドで複数のLANインタフェースを設定したときにエラーとして扱わ ないバグを修正した。また、オンラインヘルプの文章を修正し、複数のLANインタフ ェースを設定できないことを明記した。 68. cold startの実行中にWWWブラウザ設定支援機能やTFTPを動作させると設定が残る可 能性があるのを修正した。 69. コマンドのパラメータとして整数を指定する場合で、大きすぎる値を指定したとき に、表示するエラーメッセージが正しくないバグを修正した。 70. TFTPで設定ファイルを直接ルータに書き込むときに、設定ファイルにclear configurationコマンドが含まれていると起動できなくなることがあるのを修正した 。 71. PPPoEの状態をshow status ppコマンドで表示するときに、過去の接続相手(Access Concentrator)の文字列の一部が表示されることがあるのを修正した。 72. show ip rip tableコマンドで、不要なパラメータを付与しても、エラーとして扱わ ないバグを修正した。 73. snmp syscontact、snmp syslocation、snmp sysnameコマンドで、パラメータの位置 でTABキーを入力すると「o」が表示されるバグを修正した。これらのコマンドのパ ラメータは任意の文字列なのでTABキーで補完されるキーワードは存在しない。 74. 次のコマンドのオンラインヘルプの文章を修正した。 □ ipv6 filterコマンド □ ipv6 filter dynamicコマンド □ ipv6 routeコマンド □ clear nat descriptor inteface dynamicコマンド □ ipv6 INTERFACE rtadv sendコマンド □ snmp trap send linkdownコマンド □ queue INTERFACE typeコマンド □ pp auth requestコマンド 75. ipv6 routeコマンドで静的に設定していない経路に対してno ipv6 routeコマンドで 経路を削除しようとしたときに、経路がないことを示すエラーメッセージを表示す るようにした。 76. isdn auto disconnectコマンドを入力できるバグを修正した。 77. PIAFSで通信中のPPインタフェースについて、show status ppコマンドで表示する受 信パケット数とオクテット数、SNMPのifInUCastPkts、ifInOctetsカウンタが実際の 値よりも小さくなるバグを修正した。 78. no nat desciptor masquerade unconvertible portコマンドで、プロトコルとして 何を指定しても、すべてのプロトコルの設定を消してしまうバグを修正した。 79. dns staticコマンドで、全く同じ内容を複数回入力すると、2回目以降の設定をエラ ーとして扱うバグを修正した。 80. show ip intrusion detectionコマンドで、インタフェースとしてLAN3を指定できな いバグを修正した。 81. ip keepaliveコマンドで、設定できるターゲット数は1グループ当たり10以下、すべ てのグループの合計で100以下となっているが、個々のグループでのターゲット数は 満足しているが、すべてのグループの合計は制限を超えているというときに、設定 したターゲットのうちグループの合計を超えたものに対するキープアライブ動作を 行わないバグを修正した。コマンドの設定時に、すべてのグループの合計を超えて いるときはエラーになるようにし、グループの合計を超えるターゲットを設定でき ないようにした。 82. lan port-mirroring lan1コマンドで、offというパラメータを入力できないように した。また、正しくないパラメータを与えられたときには適切なエラーを返すよう にした。 83. コマンドの最大文字長である4095バイトで入力されたコマンドが、show configコマ ンドで正しく表示されないバグを修正した。 84. netvolante-dns get hostname list all コマンドを実行したときにリブートするこ とがあるのを修正した。 85. ネットボランチDNSのリトライ機能で、2回目以降のリトライで、netvolante-dns timeoutコマンドで設定した値が有効にならず、タイムアウト値がデフォルトの90秒 で動作してしまうバグを修正した。 86. PPTPでキープアライブのsyslogを出力するように設定しているときに、実際の2倍の Echo Replyを送信しているように表示するバグを修正した。 87. PPTPで、順序が入れ替わったGREパケットを受信したときに、不正な応答のパケット を返すバグを修正した。また、順序の入れ替わったGREパケットを受信したときに、 ログには「GRE Delayed ack number」または「GRE Delayed sequence number」と記 録するようにし、show status pptpコマンドでそのような受信の回数を表示するよ うにした。 88. ISDNで、isdn call permit offとして発呼を禁止している相手先で、相手から着信 してPPPのネゴシエーションをしている間に相手先へのパケットが発生すると、PPP のネゴシエーションを途中で中断してしまい接続できないバグを修正した。接続で きないのはそのときだけで、次の着信では、同じようなタイミングでパケットが発 生しない限り、正常に接続できる。 89. 不正アクセス検知機能で、フラグメントパケットを検査するときには、それらのパ ケットを再構成するが、このときにIPヘッダのチェックサムが不正な値になるバグ を修正した。もし、再構成したパケットがルータの外に出るときに再びフラグメン トされるならば、そのときにチェックサムを修復するので問題とはならないが、フ ラグメントされずに送信されると、通信が停止するなどの問題につながる。 90. pp backupコマンドやtunnel backupコマンドでバックアップ先をISDNとしていると きに、バックアップの発呼が失敗しても再発信規制がかからないバグを修正した。 91. パケットロスが多い環境で、NAT、IPマスカレードを利用すると、FTPの処理でTCPの シーケンス番号を正しく変換できなくなり、通信が停止することがあるのを修正し た。 92. ルータのTELNETサーバ機能で、クライアントから接続された時に、クライアントが TELNETプロトコルの処理を行なわないでいると、30秒でタイムアウトして切断する ようにした。従来は、クライアントがTELNETプロトコルの処理を行うか、あるいは クライアントからTCPを切断しないと処理が先に進まず、他のクライアントからの TELNET接続を受け入れることができなかった。 93. IPマスカレードを使用しているインタフェースにqueue type shapingコマンドを設 定しているとき、そのインタフェースにおいて、外部から受けたpingに応答できな いバグを修正した。また、それが繰り返し発生すると、やがて通信できなくなると いう問題もあった。 nat descriptor masquerade incomingコマンドでdiscardを設定することで回避でき る。 94. LAN1インタフェースのMACアドレスと同じMACアドレスを送信元とするイーサネット フレームをLAN1インタフェースで受信すると、その後、LAN1インタフェースでパケ ットを受信できなくなるバグを修正した。 95. バックアップ機能で、主系がダウンしている時にlan/pp/tunnel/fr backupコマンド を設定しても、show status backupコマンドで表示される状態がmasterのままでバ ックアップに切り替わらないバグを修正した。設定を保存して再起動したり、主系 が一度アップしてからダウンすれば正常に動作を始める。 96. LAN3インタフェースに対してlan typeコマンドで設定を変更したときに、接続相手 と設定が合わずにリンクダウンした場合でも、show statusコマンドでの表示がリン クアップのままになるバグを修正した。 97. wol sendコマンドをschedule atコマンドで実行しようとすると、最初の1回しか実 行できないバグを修正した。 98. snmp trap link-updown separate-l2switch-port lan1コマンドで、設定に関係なく 、常にonが設定されているように動作するバグを修正した。具体的には、LAN1ポー トでのlinkUp、linkDownトラップが、各ポートのリンクアップ、リンクダウンのた びに送信される。 99. LAN分割機能を設定したときに、SNMPで分割されたインタフェースを正しく取り扱え ないバグを修正した。 100. LANインタフェースで、能力以上のパケットを受信したときのパフォーマンスの悪 化を軽減した。 101. syslog hostコマンドでsyslogを送信する設定にしているときに、syslogを送信し ようとしたパケットのために何らかのsyslogが送信されるという状態が発生すると 、ルータがリブートするバグを修正した。そのような状態ではsyslogを止めるよう にした。 102. プライベートMIBで得られるインタフェース名が、LAN分割機能でのインタフェース 名であるLAN1.1〜LAN1.4に対応していないバグを修正した。 103. ip INTERFACE proxyarp vrrpコマンドを設定していて、VRRPのバックアップとして 動作している時に、実IPアドレスに対するARP問い合わせに返事を返すことができな いバグを修正した。 104. ip vrrp shutdown triggerコマンドを設定するときに、パラメータが不足している とリブートすることがあるのを修正した。 105. LAN3インタフェースに対してlan typeコマンドで設定を変更したときに、接続相手 と設定が合わずにリンクダウンした場合でも、show statusコマンドでの表示がリン クアップのままになるバグを修正した。 106. ISDN 経由で発信するとき、ケーブル抜けの状態を検出したら10秒待ってから再発 信するように変更した。従来は待たずに発信していたので、pp always-onコマンド でonを設定していると、短時間に多数の発信を繰り返していた。 107. あるホストが使っていたIPアドレスを他のホストが使用し始めたとき、ルータから 送出するパケットがその新しいホストに届かないことがあるのを修正した。 108. 終点IPアドレスがマルチキャストあるいはブロードキャストアドレスになっている UDPパケットを受信し、それを処理できないときに、従来はアドレスの種類に関わら ずデバッグログに can't receive UDP multicast packet と表示していたが、これをブロードキャストアドレスの場合には can't receive UDP broadcast packet と表示するよう変更した。 109. シリアル経由のコンソールで、大量のデータを表示すると、ルータの動作が停止す る可能性があるのを修正した。実際の現象は確認されていない。 110. 帯域制御のキューにパケットが存在している状態でQoSの設定を変更すると、その 後、パケットを送出しなくなるバグを修正した。 111. すでに設定されているフィルタ番号について、ipv6 filterコマンドを実行して設 定を上書きすると、利用できるメモリが減るバグを修正した。 112. すでに設定されているフィルタ番号について、ip filter dynamicコマンドを実行 して設定を上書きすると、利用できるメモリが減るバグを修正した。 113. nat descriptor logコマンドを設定した後で、TFTPでclear configurationコマン ドを実行しても、nat descriptor logコマンドの設定が消えないバグを修正した。 114. account thresholdコマンドでインタフェース名を指定して課金額を制限したとき 、実際には発信を制限しないバグを修正した。 115. ディレクティッドブロードキャストパケットを動的フィルタで処理しようとすると リブートするバグを修正した。 116. scheduleコマンドが実行されないことがあるバグを修正した。Rev.7.00.11でエン バグした。