http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_46.html Revision : 08.03.46 Release : Sep. 2006, ヤマハ株式会社 Rev.8.03.46リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ RTX1100/RTX1500 Rev.8.03.41, RT107e Rev.8.03.42からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 1. IKEで、DPD(Dead Peer Detection)に対応した。RFC3706に基づく機能で、トンネル の障害を検出するために利用できる。 この機能を動作させるためには、ipsec ike keepalive useコマンドを設定する。 ○IKEキープアライブ機能の設定 [書式] ipsec ike keepalive use GATEWAY_ID SWITCH ipsec ike keepalive use GATEWAY_ID SWITCH heartbeat [INTERVAL COUNT [UPWAIT]] ipsec ike keepalive use GATEWAY_ID SWITCH icmp-echo IP_ADDRESS [length= LENGTH] [INTERVAL COUNT [UPWAIT]] ipsec ike keepalive use GATEWAY_ID SWITCH dpd [INTERVAL COUNT [UPWAIT]] no ipsec ike keepalive use GATEWAY_ID [SWITCH .... ] [設定値] GATEWAY_ID ... セキュリティ・ゲートウェイの識別子 SWITCH ... キープアライブの動作 on ... キープアライブを使用する off ... キープアライブを使用しない auto ... 対向のルータがキープアライブを送信するときに限 って送信する(heartbeatでのみ有効) IP_ADDRESS ... pingを送信する宛先のIPアドレス(IPv4/IPv6) LENGTH ... TYPEでicmp-echoを設定したときのデータ部の長さ (64..1500) INTERVAL ... キープアライブパケットの送信間隔秒数 (1..600) COUNT ... キープアライブパケットが届かないときに障害とみなすまでの 試行回数 (1..50) UPWAIT ... IPsec SAが生成されてから実際にトンネルインタフェースを有 効にするまでの時間 (0..1000000) [説明] IKEキープアライブの動作を設定する。このコマンドの設定は、双方のルータで 一致させる必要がある。キープアライブの方式としては、heartbeat、ICMP Echo、DPD(RFC3706)の3種類から選ぶことができる。 キープアライブの方式として、heartbeatを利用するときには、1行目か2行目の 書式を使う。heartbeatに限っては、SWITCHパラメータとしてautoを設定できる 。 autoを設定したときには、相手からheartbeatパケットを受信したときにのみ、 heartbeatパケットを送信する。なお、双方の設定がautoになっているときには 、IKEキープアライブは動作しない。 キープアライブの方式として、ICMP Echoを利用するときには、3行目の書式を 使い、送信先のIPアドレスを設定する。オプションとして、ICMP Echoのデータ 部の長さを指定できる。 キープアライブの方式として、DPDを利用するときには、4行目の書式を使う。 [ノート] 同じ相手に対して、複数の方法を併用することはできない。 [初期値] SWITCH = auto LENGTH = 64 INTERVAL = 10 COUNT = 6 UPWAIT = 0 2. IPsecでNATトラバーサルに対応した。次の2種類の方式に対応する。 a) RFC3947 + RFC3948 b) draft-ietf-ipsec-nat-t-ike-03.txt + draft-ietf-ipsec-udp-encaps-03.txt IPsec NATトラバーサルを利用するためには、ipsec ike nat-traversalコマンドで onを設定する。方式は、ネゴシエーションによって自動的に選択されるため、明示 的に方式を設定する必要はない。ヤマハの実装では、上記のa)の方式を優先し、a) をサポートしていない実装に対しては、b)の方式を使用する。 ○IPsec NATトラバーサルを利用するための設定 [書式] ipsec ike nat-traversal GATEWAY SWITCH [ keepalive=INTERVAL ] no ipsec ike nat-traversal GATEWAY [ SWITCH [ keepalive=INTERVAL ] ] [設定値] GATEWAY ... セキュリティゲートウェイの識別子 SWITCH ... 動作の有無 on ... NATトラバーサルの動作を有効にする off ... NATトラバーサルの動作を無効にする INTERVAL ... NATキープアライブの送信間隔 off ... 送信しない 時間 ... 30 - 100000[秒] [説明] NATトラバーサルの動作を設定する。この設定があるときには、IKEでNATトラバ ーサルの交渉を行う。相手がNATトラバーサルに対応していないときや、通信経 路上にNATの処理がないときには、NATトラバーサルを使用せず、ESPパケットを 使って通信する。 対向のルータや端末でもNATトラバーサルの設定が必要である。いずれか一方に しか設定がないときには、NATトラバーサルを使用せず、ESPパケットを使って 通信する。 [ノート] ipsec ike esp-encapsulationコマンドとの併用はできない。 また、IPCompが設定されているトンネルインタフェースでは利用できない。 アグレッシブモードのESPトンネルでのみ利用できる。メインモードやAHでは利 用できず、トランスポートモードでも利用できない。 [初期値] SWITCH = off INTERVAL = 300 3. IPsec XAUTH 認証機能を実装した。 http://www.rtpro.yamaha.co.jp/RT/docs/ipsec-xauth/index.html 4. ipsec ike durationコマンドで、SAを更新するタイミングを設定できるようにした。 ○SAの寿命の設定 [書式] ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [ rekey REKEY ] no ipsec ike duration SA GATEWAY_ID [ SECOND [KBYTES] [ rekey REKEY ]] [設定値] SA - ipsec-sa ... IPsec SA - isakmp-sa ... ISAKMP SA GATEWAY_ID ... セキュリティゲートウェイの識別子 SECOND ... 秒数 (300 - 691200) KBYTES ... キロ単位のバイト数 (100 - 100000) REKEY ... SAを更新するタイミング - パーセント (70% - 90%) - off ... 更新しない (SAパラメータでisakmp-saを指定したときのみ設定可能) [説明] IKEで提案するIPsec SAまたはISAKMP SAの寿命を設定する。 KBYTESパラメータを指定した場合には、SECONDパラメータで指定した時間が経 過するか、指定したバイト数のデータを処理した後にSAは消滅する。KBYTESパ ラメータはSAパラメータとしてipsec-saを指定したときのみ有効である。 REKEYパラメータはSAを更新するタイミングを決定する。例えば、SECONDパラメ ータで20000を指定し、REKEYパラメータで75%を指定したときには、SAを生成し てから15000秒経過したときに新しいSAを生成する。REKEYパラメータはSECOND パラメータに対する比率を表すもので、KBYTESパラメータの値とは関係がない 。 SAパラメータでisakmp-saを指定したときに限り、REKEYパラメータでoffを設定 できる。この場合には、IPsec SAを作る必要がない限り、ISAKMP SAの更新を保 留するので、ISAKMP SAの生成を最小限に抑えることができる。ただし、この効 果を得るためには次の2点に注意して設定する必要がある。 1. IPsec SAよりもISAKMP SAの寿命を短く設定する。 2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定をoffにする。 なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新 しく作られるSAにのみ、新しい寿命値が適用される。 [初期値] SECOND: 28800秒 REKEY: 75% 5. 不正アクセス検知機能で、Winnyの通信を検知・遮断できるようにした。これに対応 して、不正アクセス検知機能のコマンド仕様を次のように変更した。 ○フィルタ定義の設定 [書式] ip INTERFACE intrusion detection DIRECTION [TYPE] SWITCH [OPTION] ip pp intrusion detection DIRECTION [TYPE] SWITCH [OPTION] ip tunnel intrusion detection DIRECTION [TYPE] SWITCH [OPTION] no ip INTERFACE intrusion detection DIRECTION [TYPE] [ SWITCH [OPTION]] no ip pp intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]] no ip tunnel intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]] [設定値] INTERFACE ... LANインタフェース名 DIRECTION ... 観察するパケット・コネクションの方向 - in ... インタフェースの内向き - out ... インタフェースの外向き TYPE ... 観察するパケット・コネクションの種類 - winny ... Winny - default ... 設定していないものすべて SWITCH - on ... 実行する - off ... 実行しない OPTION - reject=on ... 不正なパケットを破棄する - reject=off ... 不正なパケットを破棄しない [説明] 指定したインタフェースで、指定された向きのパケットやコネクションについ て異常を検知する。 TYPEパラメータを省略したときには、侵入検知機能の全体についての設定にな る。 [ノート] 危険性の高い攻撃については、rejectオプションの設定に関わらず、常にパケ ットを破棄する。 Winnyについては、バージョン2の検知が可能であり、それ以前のバージョンに は対応していない。 [初期値] SWITCH - TYPEを指定しないとき ... off - TYPEを指定したとき ... on REJECT ... off Winnyを検知・遮断するためには次のように設定する。 1. すべてのTCPコネクションを動的フィルタで通す。 2. 静的フィルタではACK付きのTCPパケットを破棄する。 このためには、ip filterコマンドのプロトコルとして、establishedを指定す ればよい。 3. ip INTERFACE intrusion detectionコマンドを設定する。 検知した結果は、show ip intrusion detectionコマンドで確認できる。 関連FAQ: http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/winny-filter.html 6. IGMPプロキシで、リスナーからIGMPのReportメッセージを受信し、上流へと転送す る場合、通常は即座に転送せずランダムな遅延時間を持たせている。この遅延を待 たず即座にメッセージを転送する機能を追加した。 この機能を利用すると、リスナーがReportメッセージを出力してから、目的のマル チキャストストリームを受信するまでの時間を短縮することができる。 ただし、多数のリスナーが存在する環境では、Reportメッセージの転送回数が増え るため、この機能の利用は推奨できない。 追加機能は、下記コマンドのオプションとし、次のような仕様とする。 ○インタフェースごとのIGMP の設定 [書式] ip INTERFACE igmp TYPE [OPTION ...] ip pp igmp TYPE [OPTION ...] ip tunnel igmp TYPE [OPTION ...] no ip INTERFACE igmp TYPE [OPTION ...] no ip pp igmp TYPE [OPTION ...] no ip tunnel igmp TYPE [OPTION ...] [設定値] INTERFACE ... LAN インタフェース名 TYPE ... IGMP の動作方式 off ... IGMP は動作しない router ... IGMP ルーターとして動作する host ... IGMP ホストとして動作する OPTION ... オプション version=VERSION ... IGMP のバージョン 2 ... IGMPv2 3 ... IGMPv3 2,3 ... IGMPv2 とIGMPv3 の両方に対応 する(IGMPv2 互換モード) syslog=SWITCH ... 詳細な情報をsyslog に出力するか否か on ... 表示する off ... 表示しない robust-variable ... IGMP で規定されるRobust Variableの値 =VALUE (1..10) delay-timer=SW ... IGMPのreportメッセージの転送タイミン グ on ... ランダムな遅延後に転送する off ... 即座に転送する [説明] インタフェースのIGMP の動作を設定する。 [初期値] type = off version=2,3 syslog=off robust-variable=2 delay-timer=on 7. RTX1100とRTX1500で、帯域検出機能でcooperation bandwidth-measuring remoteコ マンドでnumberオプションとretry-intervalオプションを追加した。 numberオプションでは、測定に使用するパケット数を設定できる。パケット間隔の ゆらぎが大きい環境ではこの数を多くすることで、より安定した結果が得られる。 ただし測定に使用するパケットの数が増えるため測定パケットが他のデータ通信に 与える影響も大きくなる可能性がある。 retry-intervalオプションでは、帯域測定が相手先からの応答がなかったり測定値 が許容範囲を越えたなど、何らかの障害で正しい測定ができなかった場合の再試行 までの時間を設定できる。ただし、網への負荷等を考慮すると正常に動作できない 状況でむやみに短時間間隔で試行を繰り返すべきではない。正常に測定できない原 因を回避することが先決である。 ○帯域測定で連携動作を行う相手毎の動作の設定 [書式] cooperation bandwidth-measuring remote ID ROLE ADDRESS [OPTION=VALUE] no cooperation bandwidth-measuring remote ID [ROLE ADDRESS [OPTION= VALUE]] [設定値] ID ... 相手先ID番号(1-100) ROLE ... 連携動作での相手側の役割 server ... 相手側がサーバ側動作を行う client ... 相手側がクライアント側動作を行う ADDRESS ... 連携動作の相手側IPアドレス、FQDNまたは'any' OPTION ... オプション apply ... 測定結果をLANインタフェースの速度設定に 反映させるか否か、'on' or 'off' port ... 相手側が使用するUDPのポート番号 initial-speed ... 測定開始値[bit/s] interval ... 定期監視間隔(60-2147483647)[sec] or 'off' retry-interval ... エラー終了後の再試行までの間隔 (60-2147483647)[sec] sensitivity ... 測定感度、'high', 'middle' or 'low' syslog ... 動作をログに残すか否か、'on' or 'off' interface ... 測定結果を反映させるLANインタフェース class ... 測定結果を反映させるクラス limit-rate ... 設定値の最大変化割合[%] number ... 測定に使用するパケット数(5-100) [説明] 帯域測定で連携動作を行う相手毎の動作を設定する。 [ノート] ROLEパラメータでclientを設定する場合には、オプションはportとsyslogだけ が設定できる。serverを設定する場合には全てのオプションが設定できる。 連携動作の相手側設定としてanyを指定できるのは、ROLEパラメータでclientを 設定した場合のみである。 applyオプションが'on'の場合、帯域測定の結果を相手先に向かうLANインタフ ェースのspeed lanコマンドの設定値に上書きする。classオプションに値が設 定されている場合には、queue lan class propertyコマンドのbandwidthパラメ ータに測定結果が反映される。 initial-speedオプションでは初期状態で測定を開始する速度を設定できる。パ ラメータの後ろに'k'または'M'をつけると、それぞれkbit/s、Mbit/s として扱 われる。 intervalオプションでは、帯域測定が正常終了した後、帯域に変化がないか定 期的に確認測定する間隔を設定できる。'off'を指定した場合には測定終了後の 定期的な確認測定を行わない。 retry-intervalオプションでは、帯域測定が相手先からの応答がなかったり測 定値が許容範囲を越えたなど、何らかの障害で正しい測定ができなかった場合 の再試行までの時間を設定できる。ただし、網への負荷等を考慮すると正常に 動作できない状況でむやみに短時間間隔で試行を繰り返すべきではない。正常 に測定できない原因を回避することが先決である。 numberオプションでは、測定に使用するパケット数を設定できる。パケット間 隔のゆらぎが大きい環境ではこの数を多くすることで、より安定した結果が得 られる。ただし測定に使用するパケットの数が増えるため測定パケットが他の データ通信に与える影響も大きくなる可能性がある。 sensitivityオプションでは、測定感度を変更することができる。パケット間隔 のゆらぎが大きかったりパケットロスのある環境では、測定感度を鈍くするこ とで、頻繁な設定変更を抑制したり測定完了までの時間を短縮することができ る。 interfaceオプションでLANインタフェースが設定されている場合には、そのLAN インタフェースのspeed lanコマンドに測定結果が反映される。classオプショ ンに値が設定されている場合にはqueue lan class propertyコマンドの bandwidthパラメータに測定結果が反映される。 classオプションは帯域制御機能が実装されている機種でのみ利用できる。 limit-rateオプションは、設定値の急激な変動をある割合内に抑えたい場合に 設定する。直前の測定結果と今回の測定結果に大きな差がある場合、回の測定 結果そのものではなく、このlimit-rateに応じた値を今回の設定値として採用 する。 [初期値] apply = on port = 59410 initial-speed = 10000000 interval = 3600 retry-interval = 3600 ensitivity = high syslog = off interface 設定なし class 設定なし limit-rate 設定なし number = 30 8. RTX1100とRTX1500で、指定したトンネルの設定内容だけを表示できるコマンドを実 装した。 ○指定したトンネルの設定内容の表示 [書式] show config tunnel [TUNNEL_NUM] less config tunnel [TUNNEL_NUM] [設定値] TUNNEL_NUM ... トンネル番号、省略時は選択されているトンネルについて表示 する [説明] show config、less configコマンドの表示の中から、指定したトンネル番号に 関するものだけを表示する。 9. RTX1100とRTX1500で、インタフェースに適用されたフィルタ定義だけを表示できる コマンドを実装した。 ○指定したインタフェースのフィルタ内容の表示 [書式] show ip secure filter INTERFACE [DIR] show ip secure filter pp [PEER_NUM] [DIR] show ip secure filter tunnel [TUNNEL_NUM] [DIR] [設定値] INTERFACE ... LANインタフェース名 PEER_NUM ... 相手先情報番号あるいは'anonymous' TUNNEL_NUM ... トンネル番号 DIR ... フィルタの適用された方向、'in' または 'out' [説明] 指定したインタフェースに適用されているフィルタ定義の内容を表示する。 10. RTX1100とRTX1500で、show ipv6 addressコマンドでIPv6アドレス情報を表示するイ ンタフェースを指定できるようにした。 ○インタフェースに付与されているIPv6 アドレスの表示 [書式] show ipv6 address [INTERFACE] show ipv6 address pp [PEER_NUM] show ipv6 address tunnel [TUNNEL_NUM] [設定値] INTERFACE ... LAN インタフェース名, Loopbackインタフェース名 PEER_NUM ... 相手先情報番号あるいは'anonymous' TUNNEL_NUM ... トンネル番号 [説明] 各インタフェースに付与されているIPv6アドレスを表示する。インタフェース を指定しない場合は、すべてのインタフェースについて情報を表示する。 ■仕様変更 1. RTX1100とRTX1500で、OSPFでタイプ5(AS External) LSAのLink State IDの決定方法 を、RFC2328 Appendix Eに記載されているアルゴリズムに変更した。 - できるだけネットワークアドレスを使う。 - 複数の経路でLink State IDがバッティングする場合には、マスク長が長い方の 経路について、ホスト部をすべて1としたLink State IDを用いる。 - この場合、ホスト経路とのバッティングが避けられないが、その場合にはバッ ティングしたホスト経路を広告しない。また、その時には以下のようなログを INFOレベルに出力する。 [OSPF] Duplicated ASE LSA ID 10.0.0.0 [OSPF] Existing network is 10.0.0.0/24 [OSPF] New (and rejected) network is 10.0.0.0/32 - 例1 10.0.0.0/16 → 10.0.0.0 10.0.0.0/24 → 10.0.0.255 10.0.0.0/32 →広告できない - 例2 10.0.0.0/8 → 10.0.0.0 10.0.0.0/16 → 10.0.255.255 10.0.0.0/24 → 10.0.0.255 10.0.0.0/32 →広告できない - 例3 10.0.0.0/32だけ→ 10.0.0.0 ここに新たに10.0.0.0/24が追加されると、 10.0.0.0/24 → 10.0.0.0 10.0.0.0/32 →広告できない となる。10.0.0.0/32を受け取っていたOSPFルータからは、このホスト経路は削 除される。 従来はネットワークアドレスのネットワーク部の下位1ビットが1であるときはホス ト部はすべて0、ネットワーク部の下位1ビットが0であるときはホスト部はすべて1 としていた。また、この決め方の場合でもホスト経路とバッティングすることがあ るが、その時には後から追加しようとした経路が広告されなかった。 2. DHCPリレーエージェント機能で、リレー対象となるパケットサイズのチェックを DHCPサーバ機能と同様に緩めた。 ■バグ修正 1. MMI関連で以下のバグを修正した。 - dhcp convertコマンド実行後にコンソール操作を抜ける時、セーブするか否か の確認メッセージが出ない - ethernet filterコマンドのpass/rejectパラメータの扱いがオンラインヘルプ と異なる 本リビジョン以降では - 入力は以下のものを全て受け付ける(変更なし) pass, pass-nolog, pass-log, reject, reject-log, reject-nolog - 表示は以下のものとする (変更前)pass, pass-log, reject, reject-nolog (変更後)pass-nolog, pass-log, reject-log, reject-nolog - helpコマンドのヘルプ文で、ctrl-Cの説明文に誤りがある - ip lanN dhcp retryコマンドで、回数と時間の2つ必要である引数のうち、回数 だけ指定して時間を指定しないと、本来であればパラメータの数が不適当であ る旨のエラーメッセージを出力してエラーにしなければいけないところを、他 の理由のエラーにしたり、あるいは機種によってはコマンド入力でリブートす る - ip hostコマンド、dns staticコマンドで、ホスト名やFQDNに空文字列が設定で きてしまう 空文字列を設定した場合、コマンドがエラー無く受け付けられてしまうが、 show configコマンドやTFTPでの設定取得では空文字列のホスト名は表示されず 、不完全なコマンドとして表示され、設定を保存することもできない - netvolante-dns hostname hostコマンドを、netvolante-dns hostname host INTERFACE HOSTNAMEの形式で実行すると、機種によってはリブートする リブートが確認されている機種はRTX1500とRTX3000である - show ip secure filterコマンドで、パラメータを誤って入力した場合にもエラ ー表示が出なかったり、機種によってはコマンド入力でリブートすることがあ る リブートが確認されている機種はRTX1500である - ipv6 INTERFACE rip filterコマンドで、入力時には100個のフィルタIDを受け 付けるが、実際には10個しか設定されない 修正後はIPv6のRIPフィルタは100個まで設定ができる - 以下のnoコマンドを実行後、Administratorから抜ける際に、設定変更を保存す るかどうかの確認メッセージが表示されない - no sshd session - no telnetd session - no ipv6 mtu - no security class - no timezone - no console speed - no serial line - no system power - no system temperature threshold - no console character - no console columns - ipsec ike local nameコマンドの種別に認識できない文字列が指定された場合 、入力に対してはエラーが表示されるにも関わらずkey-idで設定されたかのよ うにshow configで表示される - RTX1100とRTX1500で、cooperation load-watch triggerコマンドでlan1の時だ けタブ補完が働かない - RTX1100とRTX1500で、dhcp scope lease type コマンドのヘルプ文に「 fallback=」オプションの説明がない - RTX1100とRTX1500で、dhcp scopeコマンドでexpire/maxexpireオプションで0を 入力してもエラーとならない またオンラインヘルプで同オプションの最大値の表記が間違っている - RTX1100とRTX1500で、ip rip auth keyコマンドで十六進数列を設定する時、不 正な入力でもエラーとならないことがある - RTX1100とRTX1500で、isdn auto connectコマンドのオンラインヘルプに誤りが ある - RTX1500で、ppインタフェースでip pp pim sparse onコマンドがエラーで入力 できない - RT107eで、かんたん設定ページから「NTPサーバによる自動調整」の時間を誤っ て設定した場合に、スケジュールの設定が削除されてしまう - RT107eで、かんたん設定ページ「ユーザの編集」画面で、不正なユーザ名を設 定してエラーとなった後に、「戻る」ボタンで「ユーザの編集」画面に戻ると 、ユーザ名が文字化けして表示される - RT107eで、かんたん設定ページ「ユーザの追加」画面で、「接続の許可」にIP アドレスを指定して設定を行うと、リブートする - RT107eで、かんたん設定ページで「ユーザとアクセス制限の設定」の設定完了 ページを直接表示させると、不明な管理パスワードが設定および保存される - RT107eで、かんたん設定ページ内のヘルプページで、誤字・脱字またはヘルプ の説明として不適当な表現がある - RT107eで、かんたん設定ページ「ユーザの修正」ページで、設定完了メッセー ジが表示されないことがある - RT107eで、かんたん設定ページで管理者パスワードをクリアした場合に、以下 の文章が表示される 「ブラウザで次のアクセスを行うと再度パスワードの入力が求められますが、 なにも入力する必要はありません。」 - RT107eで、かんたん設定ページでプロバイダの設定がセキュリティレベル3以 下の時に「VPN接続の登録」を行うと、ip pp secure filter コマンドには適用 されない不要な ip filter コマンドが設定される - RT107eで、ネットボランチDNSサーバに複数個のホストアドレスが登録されてい る状態で、かんたん設定ページからネットボランチDNSの登録をしようとすると リブートすることがある - RT107eで、かんたん設定ページの「リビジョンアップの実行」ページで「リビ ジョンダウンの許可」の設定を変更すると、不正な設定完了メッセージが表示 される - RT107eで、かんたん設定ページの[詳細設定と情報]-[リビジョンアップの実行] から不正なバイナリに対してファームウェアのリビジョンアップを行った場合 、かんたん設定ページ上で正しくエラー表示されないことがある - RT107eで、かんたん設定ページのヘルプページで、リビジョンアップに関する 注意文が日本語として正しくない - RT107eで、provider auto connect forced disableコマンドでon/off以外の不 正な値を設定してもエラーにならず、offとして設定されてしまう - RT107eで、かんたん設定ページのヘルプページで、パスワード欄に表示される 文字の表記例に"●"がない - RT107eで、かんたん設定ページの「切断」ボタンを押して「切断処理中」と表 示される場合、ブラウザがリロードしない 2. ENTERキーを入力してコマンドを実行した時、矢印キーなどで参照できるヒストリー に保存されるコマンド文字列の末尾に入力していないはずの空白が追加されること があるバグを修正した。 3. OSPFで、LS-RequestでLSAの情報を送信するよう要求された場合、以下の2つの条件 のいずれにも合致する時に間違ったLSAをLS-Updateで送信するバグを修正した。 - LSAのタイプが1(ROUTER)または2(NETWORK) - 要求されたLSAと、タイプとリンクIDは同じだが広告ルータが異なるLSAを、自 身のLSデータベースに保持している これらの条件が満たされると、LS-Requestを受信した側は本来であればBadLSReqイ ベントとして処理しなければいけないところを、自身のLSデータベースにある、異 なる広告ルータを持つLSAをLS-Updateで送信してしまっていた。 このバグが発生すると、LS-Requestを送信している側では、show status ospf neighborコマンドで表示できる隣接ルータの状態がLOADから先に進まなくなり、 LS-Requestの送信を定期的に繰り返すようになる。逆に、LS-Requestを受信してい る側は、隣接ルータの状態はFULLになる。 4. PPPのMPで通信中に、MPリンクを減らす場合には通常は最後に接続したMPリンクを切 断するが、何らかの原因でそれ以外のMPリンクが切断されると、その後、MPリンク の増減が正常に行えなくなってしまうバグを修正した。具体的には、以下のような 問題が起きていた。 - MPリンクを増やす条件になっても、新しくMPリンクが追加されない。 - MPリンクが追加されても、それが通信には使われず、通信速度が上がらない。 - MPリンクを減らす条件になっても、MPリンクを切断しない。 - 通常とは違うMPリンクを切断してしまう。 この問題が発生している間でも、MPによる通信自体は行える場合が多い。また、い ったんすべてのMPリンクが切断されると、それ以降の通信はまた正常な動作に戻る 。 5. ネットボランチDNSのホスト名が設定されていない状態でnetvolante-dns delete go コマンドを実行すると、削除するホスト名が設定されていないのでエラーになるは ずが、syslogに Delete Succeeded という間違ったログが表示されるバグを修正し た。 6. ip hostコマンド、dns staticコマンドで、ホスト名やFQDNにDNSルートを表すドッ ト(.)を設定しても、DNSルートに関する問い合わせに対して返事を返せないバグを 修正した。 この修正に伴い、ip hostコマンド、dns staticコマンドではホスト名やFQDNの末尾 にドットがあっても無くても同じ名前として扱うようになった。つまり、以下の2つ のコマンドは同じ意味になる。 ip host a.com 192.168.0.1 ip host a.com. 192.168.0.1 show configなどの表示では、ドット一文字だけであるルートの場合を除き、末尾の ドットは表示しない。 7. netvolante-dns get hostname list ppコマンドを、PP番号の指定無しに実行すると 、不正なPP番号の情報を取得してしまう、または機種によってはリブートするバグ を修正した。 8. DDNSホスト名を自動取得、その後開放し、再度自動取得した時に、取得したDDNSホ スト名が変更になると、後から取得したホスト名が正しく保存されない場合がある バグを修正した。 9. dns server seceltコマンドで設定されたDNSサーバへのアクセスでPPの接続を開始 したとき、syslogのIP Commencingに表示されるDNS問い合わせをしたPCのアドレス が正しくないバグを修正した。 10. インタフェースに MLD host を設定するとリブートする、もしくはリブートしない 機種でも参加するマルチキャストグループが多いと動作が不安定になるバグを修正 した。リブートはRTX1500以外では発生しない。 11. DHCPサーバからDHCPクライアントにセカンダリネットワークのアドレスを付与する パケットをブロードキャストで送出する場合に、送信元IPアドレスとしてセカンダ リアドレスではなくプライマリアドレスを使用するバグを修正した。 12. トンネル2本を使ってフィルタ型ルーティングでIPsecの始点IPアドレスで2つのppを 使い分ける時、片方のppがダウンするとそのppを使用するトンネルがダウンするが 、そのppを使用していないもう一方のトンネルまでダウンすることがあるバグを修 正した。 13. フィルタ型経路に対応できていなかった下記のバグを修正した。 - DHCPリレーエージェント機能でパケットを転送する時、送出インタフェースを 受信インタフェースと同一とみなして転送できないことがある - 帯域検出機能でパケットを送信する際、正しい送出インタフェースが選択され ないことがある - 帯域検出機能でパケットを送出する際、送出インタフェースとは異なるインタ フェースのIPアドレスを送信元IPアドレスとすることがある 14. RTX1100とRTX1500で、OSPFでPOINT-TO-POINTタイプのインタフェースの先のOSPFル ータが、ルータIDおよびOSPFパケットの始点IPアドレスのいずれもが異なるOSPFル ータに変更される時に、インタフェースのダウンや、OSPFのネイバ状態のDOWNを経 ないまま入れ換えられると、新しいOSPFルータと隣接関係は確立できるものの、新 しいOSPFルータが広告する経路を取り込めないバグを修正した。 15. RTX1100とRTX1500で、OSPFで以下のいずれかの条件に該当する複数の外部経路を取 り込もうとすると、その後のルータの動作が不安定になり、不特定のタイミングで リブートすることがあるバグを修正した。 1. マスク長が31ビット以下であるネットワーク経路と、そのネットワークのネッ トワークアドレスと同じ値をもつマスク長が32ビットであるホスト経路 2. マスク長が31ビット以下であるネットワーク経路と、そのネットワークのブロ ードキャストアドレスと同じ値をもつマスク長が32ビットであるホスト経路 16. RTX1100とRTX1500で、OSPFでタイプ5(AS External) LSAとして受け取っている外部 経路について、Link State IDが同じままネットワークマスクだけが変更された時に 、ルーティングテーブルを変更できないバグを修正した。 タイプ5(AS External) LSAのLink State IDの決め方としてRFC2328 Appenix E記載 のアルゴリズムを採用しているOSPFルータと相互接続する時に問題が発生する。 17. RTX1100とRTX1500で、bgp aggregate filterコマンドで、本来は指定したプロトコ ルの経路だけが集約の対象になるところが、同じネットワークでプロトコルの異な る経路も集約の対象になるバグを修正した。 18. RTX1100とRTX1500で、TCPを使ったSIPパケットをSIP-NAT機能で書き換えた時に、パ ケットを壊していたバグを修正した。 19. RTX1100とRTX1500で、IPv6アドレスを削除すると、残っているアドレスに対応する 要請ノードマルチキャストアドレスが削除される場合があるバグを修正した。 20. RTX1100とRTX1500で、RA proxyでプレフィックスを配布する設定の時、その同じプ レフィックスからIPv6アドレスが自動構成された後、同一インタフェースにリンク ローカルアドレスが割り振られ、それらの要請ノードマルチキャストアドレスが一 致していた場合に、RA proxyで配布するプレフィックスの寿命切れの後リブートが 発生するバグを修正した。 21. RTX1100とRTX1500で、自動構成されたIPv6アドレスとそうでないアドレスの要請ノ ードマルチキャストアドレスが一致していた場合に、非自動構成アドレスがあるに も関わらず要請ノードマルチキャストアドレスが invalid と表示されてしまうバグ を修正した。 22. RTX1100とRTX1500で、ルータ自身宛のIPv6 TCPパケットを高負荷で受信し続けると 、使用可能なパケットバッファが減っていき、負荷が無くなった後でも送受信性能 が落ちる、または送受信不能になってしまう場合があるバグを修正した。 23. RTX1100とRTX1500で、IPv6の動的フィルタが適用される通信を行っている最中に、 show ipv6 connectionコマンド、およびログに表示されるIPv6アドレスの表示がお かしくなる不具合を修正した。 24. RTX1100とRTX1500で、dns server selectコマンドのヘルプにおいて、指定可能なタ イプとして"aaaa"の表記がないバグを修正した。 25. RTX1100とRTX1500で、netvolante-dns serverコマンドで何らかの値を設定した後に 、no netvolante-dns serverコマンドで設定をデフォルトに戻した場合、デフォル ト値である"netvolante-dns.netvolante.jp"ではなく、不定な宛先に対して接続を 行おうとしてしまうバグを修正した。 26. RTX1100とRTX1500で、netvolante-dns auto hostnameコマンドにおいて、スイッチ (on/off)を設定せずに入力すると、リブートなど動作が不安定になるバグを修正し た。 27. RTX1100とRTX1500で、SNMPのプライベートMIBでyrIpKeepaliveStatus変数の値とし て実際の状態とは異なる値を返すバグを修正した。 具体的には、show status ip keepaliveコマンドの表示で'up'または'down?'と表示 されている時に2(down)を、'down'または'up?'と表示されている時に3(up-wait)を 返していた。本来は、以下のようになるべきである。 ┌────────────┬──────────┐ │show status ip keepalive│yrIpKeepaliveStatus │ ├────────────┼──────────┤ │up │1(up) │ ├────────────┼──────────┤ │down │2(down) │ ├────────────┼──────────┤ │up? │3(up-wait) │ ├────────────┼──────────┤ │down? │4(down-wait) │ └────────────┴──────────┘ 28. RTX1500とRTX1100で、IGMPやPIMを利用して新たなマルチキャストストリーム転送を 開始した直後に、パケットの転送が一時的に停止してしまう可能性を排除した。 29. RTX1500とRTX1100で、exec1で起動中にhttp revision-up goコマンドを実行したと きにexec0がリビジョンアップされてしまうバグを修正した。 30. RTX1500で、多数のフローでIPsecトンネルのMTUを越えるサイズのパケットがフラグ メントされてIPsecトンネルへ送信され続けたときにリブートすることがあるバグを 修正した。 31. RTX1500で、IPv6のマルチキャストパケットを転送するとリブートするバグを修正し た。 32. RTX1500で、TUNNELインタフェースを利用するなどして多数のインタフェースにIGMP の設定をした場合に、ルータが正しく起動しない不具合を修正した。この不具合の ために正しく起動できない場合には、起動直後のログに"task message exhausted" のメッセージが多数出力されていた。 33. RTX1500で、転送性能以下の負荷であるにもかかわらず、帯域制御もしくは優先制御 を設定したインタフェースにおいて受信でパケットロスすることがあるのを修正し た。 34. RTX1100とRT107eで、ip routing processコマンドの設定がfastになっているとき、 IPsec NATトラバーサルの通信ができないバグを修正した。IPsec SAを作るまでは正 常に動作するが、受信したパケットを正しく処理しない。 35. RTX1100で、IPv6マルチキャストのパケットをファストパスで処理したとき、show status lanNコマンドで表示される、IPv6パケットの送信カウンタの数が増えない不 具合を修正した。 36. RTX1100で、動的フィルタが適用されるIPv6パケットがファストパスで処理されない 不具合を修正した。 37. RT107eで、pp keepakive useコマンドでicmp-echoを指定して、downwait=で時間を 指定したときに、指定した時間でのダウン検出が正しく行われないバグを修正した 。また、ダウン検出後にアップ検出することができないバグを修正した。 ■更新履歴 Sep. 2006, Rev.8.03.46 リリース Dec. 2006, 機能追加[9] 一部追記 以上