http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_20.html Revision : 09.00.20 Release : Jan. 2007, ヤマハ株式会社 Rev.9.00.20リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.9.00.15 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 1. ipsec ike durationコマンドで、SAを更新するタイミングを設定できるようにした。 ○SAの寿命の設定 [書式] ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [rekey REKEY ] no ipsec ike duration SA GATEWAY_ID [SECOND [KBYTES] [rekey REKEY ]] [設定値] SA ipsec-sa ... IPsec SA isakmp-sa ... ISAKMP SA GATEWAY_ID ... セキュリティゲートウェイの識別子 SECOND ... 秒数 (300 - 691200) KBYTES ... キロ単位のバイト数 (100 - 100000) REKEY ... SAを更新するタイミング パーセント(70% - 90%) off ... 更新しない(SAパラメータでisakmp-saを指定したとき のみ設定可能) [説明] IKEで提案するIPsec SAまたはISAKMP SAの寿命を設定する。 KBYTESパラメータを指定した場合には、SECONDパラメータで指定した時間が経 過するか、指定したバイト数のデータを処理した後にSAは消滅する。KBYTESパ ラメータはSAパラメータとしてipsec-saを指定したときのみ有効である。 REKEYパラメータはSAを更新するタイミングを決定する。例えば、SECONDパラメ ータで20000を指定し、REKEYパラメータで75%を指定したときには、SAを生成し てから15000秒経過したときに新しいSAを生成する。REKEYパラメータはSECOND パラメータに対する比率を表すもので、KBYTESパラメータの値とは関係がない。 SAパラメータでisakmp-saを指定したときに限り、REKEYパラメータでoffを設定 できる。この場合には、IPsec SAを作る必要がない限り、ISAKMP SAの更新を保 留するので、ISAKMP SAの生成を最小限に抑えることができる。ただし、この効 果を得るためには次の2点に注意して設定する必要がある。 1. IPsec SAよりもISAKMP SAの寿命を短く設定する。 2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定をoffにする。 なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新 しく作られるSAにのみ、新しい寿命値が適用される。 [初期値] SECOND ... 28800秒 REKEY ... 75% 2. 連携機能で、送出するパケットの始点IPアドレスを設定できるようにした。 下記のコマンドでlocal-addressオプションを追加した。 - cooperation bandwidth-measuring remote - cooperation load-watch remote NATの外側アドレスも指定できるため、PPPoEのunnumbered接続でNATを使用する構成 にも対応できる。 http://www.rtpro.yamaha.co.jp/RT/docs/bandwidth-measuring/index.html#command http://www.rtpro.yamaha.co.jp/RT/docs/load-watch/index.html#command 3. ipsec ike local addressコマンドに、IPCPで取得する動的アドレスを指定するオプ ションを追加した。 ○自分側セキュリティ・ゲートウェイのIP アドレスの設定 [書式] ipsec ike local address GATEWAY_ID IP_ADDRESS ipsec ike local address GATEWAY_ID vrrp INTERFACE VRID ipsec ike local address GATEWAY_ID ipv6 prefix PREFIX on INTERFACE ipsec ike local address GATEWAY_ID ipcp pp PP_NUM no ipsec ike local address gateway_id [IP_ADDRESS] [設定値] GATEWAY_ID ... セキュリティ・ゲートウェイの識別子 IP_ADDRESS ... 自分側セキュリティ・ゲートウェイのIPアドレス INTERFACE ... LAN インタフェース名 VRID ... VRRP グループID ( 1..255) PP_NUM ... PPインタフェース番号 [説明] 自分側セキュリティ・ゲートウェイのIP アドレスを設定する。 vrrp キーワードを指定する第2書式では、VRRP マスターとして動作している場 合のみ、指定したLAN インタフェース/VRRP グループID の仮想IPアドレスを自 分側セキュリティ・ゲートウェイアドレスとして利用する。 VRRP マスターでない場合には鍵交換は行わない。 ipv6 キーワードを指定する第3書式では、IPv6のダイナミックアドレスを指定 する。 ipcp キーワードを指定する第4書式では、IPCPアドレスを取得するPPインタフ ェースを指定する。 [ノート] 本コマンドが設定されていない場合には、相手側のセキュリティ・ゲートウェ イに近いインタフェースのIPアドレスを用いてIKEを起動する。 ■仕様変更 1. DHCPリレーエージェント機能で、リレー対象となるパケットサイズのチェックを DHCPサーバ機能と同様に緩めた。 2. 低位レイヤ整合性情報が 「非制限ディジタル情報、アウトバンド交渉不可能、回線交換モード、64kbit/s (7c 02 88 90)」 の場合だけではなく 「非制限ディジタル情報、アウトバンド交渉可能、回線交換モード、64kbit/s (7c 03 08 c0 90)」 の場合でも着信を拒否しないようにした。 なお、自分自身が発信する場合の低位レイヤ整合性情報は 「非制限ディジタル情報、アウトバンド交渉不可能、回線交換モード、64kbit/s (7c 02 88 90)」 のままで変わりはない。 3. イーサネットフィルタ機能でDHCP予約情報を利用する時、任意のイーサネットタイ プのパケットを対象にできるようにした。 例えば以下のようにオフセットバイト列の指定を行うことで、全てのイーサネット タイプのパケットをフィルタにマッチするとみなすことができる。  ethernet filter 1 pass-nolog dhcp-bind 1 0 *,* 4. show status bootコマンドで機種名とリビジョン番号を表示するようにした。 5. console promptコマンドで指定可能な文字列の最大長を16文字から64文字に変更し た。 ■バグ修正 1. MMI関連で以下のバグを修正した。 - ipsec ike local nameコマンドの種別に認識できない文字列が指定された場合、 入力に対してはエラーが表示されるにも関わらずkey-idで設定されたかのよう にshow configで表示される。 - ipsec ike local/remote nameコマンドで名前を33文字以上指定した時、入力に 対してはエラーが表示されるにも関わらず空文字列が設定されたかのように show configで表示される - console character sjis/eucに設定されているとき、ip routeコマンドのコマ ンドヘルプで「'dhcp LANインタフェース'」、「LOOPBACKインタフェース」間 に','が抜けていた。 - dns serverコマンドにおいて5個以上のDNSサーバーを指定することができ、ま た、5個以上指定するとリブートなど動作が不安定になる。 - ipsec sa policyコマンドのオンラインヘルプで、local-id/remote-id/ anti-replay-checkオプションの説明が無い。 - nat descriptor staticコマンドの外側アドレスと内側アドレスにIPアドレス以 外の文字列を入力してもエラーとならず、不正な設定となってしまう。 - スケジュールの設定を削除するとき、no schedule atコマンドでcommandパラメ ータまで入力するとエラーとなって削除できないことがある。また、tftpで clear configurationコマンドを用いてすべてのconfigを削除しようとしても、 schedule atコマンドだけが削除できずに残ってしまうことがある。 - bgp aggregateコマンドで同じ集約経路に対する設定を複数個設定することがで きてしまう。 - ip keepaliveコマンドで省略可能なオプションを重複して設定してもエラーに ならない。 - ip keepaliveコマンドでターゲットに10個のIPアドレスを設定した場合、省略 可能なオプションを全て設定しようとしても最後の1つが入力エラーになる。 - telnetでルータにログインし、以下のコマンドを実行後、すぐに任意のキーを 入力すると、実行中の処理が中止されてしまう。 - netvolante-dns go - rdate - ntpdate - mail-notify status exec - http revision-up go - mail-check go - ddns go - スケジュールでrdateコマンドを実行した場合、またはコンソールからrdateコ マンド実行後、任意のキーを入力した場合に、実行中のまま応答が返らなくな る。 - rdateコマンドを実行中にログインタイマがタイムアウトしてもログアウトしな い。 - rdateコマンドを実行した時、Ctrl+Cでの中断やサーバへの接続失敗などで正常 に終了しなかった場合、メモリリークする。 - bgp aggregate コマンドでフィルタ番号を入力しなくてもコマンドを受け付け る。 - 以下のコマンドで不正なネットワークアドレスを設定できてしまう。 - bgp aggregate - bgp aggregate filter - bgp import filter - bgp export filter - ospf import filter - ospf export filter   - ip INTERFACE addressコマンドで、LANインタフェース、または、PPインタフェ ースのIPアドレスを設定するときに、ブロードキャストIPアドレスを指定でき ない。 - show commandコマンドを実行してコマンドが表示される時、ip addressコマン ドが重複して表示される。 - tftpでrestartコマンドを転送しても再起動しない。 - dns server selectコマンドで、プライマリDNSサーバに dhcp LANn または pp N、 セカンダリDNSサーバにnetvolante-dns Nを指定した場合、show configにセ カンダリDNSサーバが表示されない。 - ipsec ike local/remote idコマンドで、IPアドレスを指定しなくてもエラーに ならず、機種によってはリブートすることがある。 - no ipsec ike local/remote idコマンドで、ゲートウェイ番号を指定しない場 合のエラー内容が不適切である。 - ipsec ike retryコマンドで、TIMEパラメータを指定しなくてもエラーにならず、 機種によってはリブートすることがある。 - nat descriptor address outer コマンドで外側IPアドレスにipcp/primary/ secondaryを指定した時、その後に任意の文字列を記述してもコマンドエラーに ならない。 2. OSPFで、経路のdownとupが短い時間で連続したときに、経路を広告できなくなるこ とがあるバグを修正した。 3. DHCPサーバからDHCPクライアントにセカンダリネットワークのアドレスを付与する パケットをブロードキャストで送出する場合に、送信元IPアドレスとしてセカンダ リアドレスではなくプライマリアドレスを使用するバグを修正した。 4. IPフィルタで通過または破棄したパケットのログを記録するように設定していて、 かつ、dns syslog resolv onと設定していると、パケットのログを記録しようとし たときにハングアップするバグを修正した。 5. YAMAHA private MIBのyrIfPpAccumulatedConnTimeで表示されるPPの累積接続時間が 正しく表示されない可能性があったため、この可能性を排除した。 6. フィルタ型経路に対応できていなかった下記のバグを修正した。 - DHCPリレーエージェント機能でパケットを転送する時、送出インタフェースを 受信インタフェースと同一とみなして転送できないことがある - 帯域検出機能でパケットを送信する際、正しい送出インタフェースが選択され ないことがある - 帯域検出機能でパケットを送出する際、送出インタフェースとは異なるインタ フェースのIPアドレスを送信元IPアドレスとすることがある 7. トンネル2本を使ってフィルタ型ルーティングでIPsecの始点IPアドレスで2つのppを 使い分ける時、片方のppがダウンするとそのppを使用するトンネルがダウンするが、 そのppを使用していないもう一方のトンネルまでダウンすることがあるバグを修正 した。 8. DHCPサーバ機能において、DHCPクライアントに与えるアドレスを予約する際、 dhcp scope bind 1 192.168.100.10 ethernet 00:01:02:XX:YY:ZZ (192.168.100.10を00:01:02:XX:YY:ZZをMACアドレスとするDHCPクライアントに予 約) と設定すべきところを、 dhcp scope bind 1 192.168.100.10 00:01:02:XX:YY:ZZ とethernetキーワードを指定せずに誤って設定した場合に、IPアドレスが一切割り 当てられないバグを修正した。 Rev.8.03系のファームと同様に、該当DHCPクライアントには誤って設定されたアド レス(上記例では192.168.100.10)以外のアドレスが割り当てられることになる。 9. tcp logコマンドを設定することでsyslogに記録されるTCPのコネクションログのう ち、受信方向のログにおいて、送信元IPアドレスと宛先IPアドレスが逆になって記 録されるバグを修正した。 10. ルーターが送出するWOL magic packetのIPヘッダのchecksumの値が不正であり、相 手の機器によってはWOL機能が動作しないことがあるバグを修正した。 11. pp enableコマンドでANONYMOUSインタフェースを有効にした場合、2つ目以降に使用 されるANONYMOUSでRIPによる経路通知が行われないバグを修正した。 12. MIBファイルではGAUGE型として定義されているデータをINTEGER型で設定してSNMPト ラップyrhCpuUtilTrap、yrhMemoryUtilTrap、yrhSystemAlarmTrapを送信するバグを 修正した。 13. PPP接続状態から切断状態になった直後に、PPP経由でデータを送信しようとすると リブートすることがあるバグを修正した。 また、MPのリンクを追加または削除するときにリブートする可能性も排除した。 14. リブート後の起動情報の一部が正しく表示されない場合があるバグを修正した。 併せて、表示する起動情報を追加した。 15. IPsecでicmpキープアライブを使用する場合、障害とみなすまでの試行回数の最終回 で対向ルーターからのリプライを受信してキープアライブに成功したにもかかわら ずトンネルがダウンしてしまうバグを修正した。 16. BGPで、経路のASパス属性のみが更新された場合、show ip routeコマンドで表示さ れる経路のASパス属性と、show status bgp neighborコマンドで表示されるASパス 属性が一致しなくなるバグを修正した。 17. IPsecの対向SGWへの経路をフィルタ型経路で設定している場合に、設定によっては 鍵交換がされずトンネルが確立できないバグを修正した。 18. LANがリンクアップした状態でVLANの設定を行った場合、VLANに設定した経路がLAN の再リンクアップ動作を経るまで反映されないバグを修正した。 19. 同じPPPoEサーバに接続するために他のPPPoEクライアント機器と並列して設置して 使用したときに、そのPPPoEクライアント機器がPPPoEサーバと接続できないことが あるバグを修正した。 ルータ側には存在しないPPPoEセッションを強制的に切断する機能が原因となってい た。 20. IPsecのメインモードで応答側として接続した場合に、鍵交換が終了ているにもかか わらず、再度自分から鍵交換を始動してしまう場合のあるバグを修正した。 21. VRRPで、マスター側のVRRPを設定してあるインタフェースがリンクダウンすると再 度リンクアップしたときに優先度が0であるVRRP広告を送信するバグを修正した。 22. DHCPサーバ機能で、DHCPクライアントの予約設定(dhcp scope bindコマンド)のIP アドレスが特定IPアドレスでなく任意('*'指定)に設定されている場合に、そのク ライアントからのIPアドレス延長要求に正しく応答できないバグを修正した。 23. 長さが0にセットされているTCPオプションを受信するとリブートするバグを修正し た。 24. dns server select ID pp PP_NUM netvolante-dns SERVER ... と設定した時、pp 接続先から DNSサーバのアドレスを取得することができない時でも、ネットボラン チDNSサーバへ DNSクエリを送信しないバグを修正した。 25. イーサネットフィルタ機能で、DHCPの予約設定を利用したフィルタリングを行う時、 同じIPアドレスの予約設定を異なるクライアント識別子で再設定すると、その予約 設定がフィルタリングに利用できないことがあるバグを修正した。 26. LANインタフェースのIPアドレスを設定する時、プライマリアドレスとセカンダリア ドレスに同じネットワークのIPアドレスを設定した場合、その後IPアドレス設定を 変更しても変更前のIPアドレスにしか応答しないバグを修正した。 27. 専用線接続時にケーブルの抜き差しを行なうとリブートするバグを修正した。 28. 長いログを保持した状態で、コンソールとtelnetなど、複数の方法で同時にSYSLOG を表示させようとすると、正しく表示されないことがあるバグを修正した。 先のログと同じログにも関わらず,"same message requested XX times"が記録され ずに、先と同じログが表示されてしまうことがあった。 29. IPsecのトンネルインターフェースにバックアップ先としてIPsecのトンネルインタ ーフェースを設定した場合に、バックアップからの復旧時にUP/DOWNが繰り返され、 正常に復旧できないバグを修正した。 30. anonymous着信でpp user nameコマンドによる双方向でのCHAP認証を行う時、送信す るCHAPチャレンジのNameフィールドが常にLAN1のIPアドレスであったのを、clidキ ーワードで発番号認証を併用することにより接続相手が特定できる場合にはpp user nameコマンドで設定されている自分側のユーザ名とするようにした。 31. VRRPで、マスターがダウンしたと判定するまでの時間を長くしている時、または、 多くのVRRPグループを使用している時に、VRRPに関する内部のタイマが起動できな くなり、以下の状態になることがあるバグを修正した。 - マスター/バックアップの状態が変化すべきときに変化しない - マスター状態のときにVRRP広告を送信しない 32. PIMの設定の無いインターフェースで、アドレスの変更やインターフェースDOWN/UP が発生するたびに、メモリー使用率が上昇してしまうバグを修正した。 33. 温度が設定値を超えてもSystemAlarmTrapが飛ばないバグを修正した。 34. SystemAlarmTrapにFANの情報が正しく設定されないバグを修正した。ONあるいはOFF を表す値が設定されるはずが、温度を表す値が設定されていた。 35. SNMP機能で、専用線のLinkDown/LinkUpのトラップがその回線の対向側にあるSNMP マネージャに送出されないバグを修正した。 ■更新履歴 Jan. 2007, Rev.9.00.20 リリース 以上