http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_37.html Revision : 09.00.37 Release : May. 2008, ヤマハ株式会社 Rev.9.00.37リリースノート ------------------------------------------------------------------------ Rev.9.00.31 からの変更点 ------------------------------------------------------------------------ ■機能追加 [1] 不正アクセス検知のメール通知機能を対応した。ただし、GUI設定はありません。 http://www.rtpro.yamaha.co.jp/RT/docs/mail-service-intrusion/index.html [2] タグVLAN上のPPPoEを利用できるようにした。pppoe useコマンドで、タグVLANインタ フェースを指定する。ただし、指定できるのはサブインタフェース番号が1〜8の範囲 だけである。 この機能を利用すると、複数のPPPoEをタグVLAN対応L2スイッチで集約して、RTX3000 の1つのLANインタフェースで収容することができる。 [3] IPマスカレードで、TCP/FIN通過後のエントリのTTL値は60秒に設定されているが、こ の値を変更できるようにした。 nat descriptor timerコマンドで、'tcpfin'というキーワードとともに設定する。 ○NATのIPアドレスマップの消去タイマの設定 [書式] nat descriptor timer NAT_DESCRIPTOR TIME nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] TIME nat descriptor timer NAT_DESCRIPTOR tcpfin TIME2 no nat descriptor timer NAT_DESCRIPTOR [TIME] no nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] [TIME] no nat descriptor timer NAT_DESCRIPTOR tcpfin [TIME2] [設定値] NAT_DESCRIPTOR ... NATディスクリプタ番号 (1..2147483647) TIME ... 消去タイマの秒数 (30-21474836) TIME2 ... TCP/FIN通過後の消去タイマの秒数 (1-21474836) PROTOCOL ... プロトコル PORT_RANGE ... ポート番号の範囲、プロトコルがTCPまたはUDPの場合にのみ有効 [説明] NATやIPマスカレードのセッション情報を保持する期間を表すNATタイマを設定す る。IPマスカレードの場合には、プロトコルやポート番号別のNATタイマを設定 することもできる。指定されていないプロトコルの場合は、第一の形式で設定し たNATタイマの値が使われる。 IPマスカレードの場合には、TCP/FIN通過後のNATタイマを設定することができる。 TCP/FINが通過したセッションは終了するセッションなので、このタイマを短く することでNATテーブルの使用量を抑えることができる。 [初期値] TIME ... 900, プロトコルごとの設定はなし TIME2 ... 60 [4] RAプロキシでDADをトリガにNSを送信する機能を追加した。 IPv6 RAプロキシ機能を利用する際、RTの機器交換が発生すると、上流の機器で下流 の機器のグローバルアドレスに対する近隣キャッシュが更新されず、それによって通 信できなくなる現象が発生することがある。 それを解決するために、上流の機器に対して下流の機器のグローバルアドレスを送信 元とした近隣要請(NS)を送信することによって、上流の機器が近隣キャッシュを更新 するように促す、という機能を追加した。このとき、NSを送信するタイミングとして は、下流の機器からアドレス重複チェックを受けたときがトリガとなる。 また、上流の機器に近隣要請(NS)を送信した場合、上流の機器から近隣広告(NA)が返 されることになるが、このNAの宛先は、NSの送信元、つまり下流の機器となる可能性 があり、下流の機器としては送信していないNSに対するNAを受け取ることになるので、 このNAをプロキシしないように変更できる設定も追加した。 ○アドレス重複チェックをトリガに近隣要請を行うか否かの設定 [書式] ipv6 nd ns-trigger-dad on [option=value] ipv6 nd ns-trigger-dad off no ipv6 nd ns-trigger-dad [...] [設定値] ○on ... 近隣要請を行う ○off ... 近隣要請を行わない ○OPTION=VALUE列 na-proxy all ... 近隣要請を行った後で、アドレス重複チェックの送信元への近 隣広告はすべてプロキシする discard-one-time ... 近隣要請を行った後で、アドレス重複チェック の送信元への近隣広告を一回のみ破棄し、その 後はプロキシする [説明] RAプロキシにおいて、下流よりアドレス重複チェックの近隣要請を受信した際に、 そのグローバルアドレスを送信元とした近隣要請を上流に送信するか否かを設定 する。 [初期値] off na-proxy=all [5] RIPのタイマーを調整するコマンドを追加した。 ○RIPのタイマーを調整する。 [書式] rip timer UPDATE [INVALID [HOLDDOWN]] no rip timer [UPDATE...] [設定値] UPDATE ... 定期的な広告の送信間隔(10〜60(秒)) INVALID ... 広告を受け取れなくなってから経路を削除するまでの時間(30〜360(秒)) HOLDDOWN ... 経路が削除されたときにメトリック16で経路を広告する時間(20〜240(秒)) [説明] RIPのタイマー値を設定する。 UPDATE、INVALID、HOLDDOWNの各値の間には以下の不等式が成立している必要が ある。 UPDATE × 3 ≦ INVALID ≦ UPDATE × 6 UPDATE × 2 ≦ HOLDDOWN ≦ UPDATE × 4 [ノート] PPインタフェースに対し、ip pp rip connect/disconnect interval コマンドが 設定されているときは、そのコマンドの設定値がrip timer コマンドに優先する。 ただし、ip pp rip connect/disconnect intervalコマンドはUPDATEタイマーと INVALIDタイマーの値に影響するが、HOLDDOWNタイマーの値には影響しない。 ip pp rip connect/disconnect intervalコマンドの設定値をTとした場合、各タ イマーは以下のようになる。 UPDATE ... T INVALID ... T × 6 HOLDDOWN ... rip timerコマンドの設定値(デフォルト120秒) PPインタフェース以外は該当するコマンドがないため、常にrip timerコマンド の設定値が有効である。 [初期値] UPDATE: 30秒 INVALID: UPDATE × 6 (180秒) HOLDDOWN: UPDATE × 4 (120秒) [6] RIPフィルタで、RIP2の場合はネットマスクもフィルタの対象とすることができるよ うにした。 RIPフィルタでは、送受信するRIPエントリのアドレス部分だけをフィルタの対象とし、 RIP2でのみ意味のあるネットマスク部は比較の対象でなかった。そこで、フィルタを ネットマスク型で記述した場合のみ、ネットマスク部も比較できるようにした。 ・rip filter ruleコマンドを新設し、このコマンドの設定値がwith-netmaskの場合 には、RIP2であればネットマスクまで含めてフィルタとエントリを比較する。 デフォルト値はaddress-onlyであり、ネットマスクは比較の対象とはしない。 ・RIP1の場合は、rip filter ruleコマンドの設定にかかわらず、ネットマスクは比 較の対象としない。 ・ネットマスクを比較の対象とできるのは、ip filterコマンドの始点アドレス部を、 以下の例のようにネットマスク型で記述した場合のみである。 ip filter 1 reject 192.168.0.0/16 ip filter 2 pass 192.168.0.0/24 ・以下のような範囲型のフィルタや、ネットマスク無しのフィルタの場合は、設定に かかわらずアドレスのみが比較対象となる。 ip filter 10 reject 192.168.0.0-192.168.0.255 ip filter 20 pass 192.168.0.100 ○RIP2でのフィルタの比較方法 [書式] rip filter rule RULE no rip filter rule [RULE] [設定値] RULE address-only ... ネットワークアドレスだけを比較対象とする with-netmask ... RIP2の場合、ネットワークアドレスとネットマスクを比 較対象とする [説明] RIPフィルタで、設定されたフィルタとRIPエントリの内容の比較方法を設定する。 address-only + RIP1 address-only + RIP2 with-netmask + RIP1 ネットマスク型のフィルタは範囲指定と解釈され、RIPエントリーのアド レス部がその範囲に入っているかどうかを比較する。 with-netmask + RIP2 ネットマスク型のフィルタの、アドレスとネットマスクがそれぞれ、RIP エントリーのアドレス、ネットマスクと一致するかどうかを比較する。 [初期値] address-only [7] 経路テーブルに存在しない経路をRIPで広告することができる機能を追加した。 * ip INTERFACE rip force-to-advertiseコマンドを新設し、このコマンドで設定 した経路を経路テーブルにない場合でも強制的にRIPで通知する。 * RIPフィルタと組み合わせることで、経路テーブルにはネットワーク経路が存在 するが、ネットワーク全体は広告せずその一部分だけを広告する、ということ が可能になる。 * ip INTERFACE rip force-to-advertiseコマンドで経路を設定しても、RIP以外の 他の動的経路制御プロトコルの動作には影響を与えない。 * RIP1の場合には、経路のアドレス部だけが広告され、ネットマスクは広告されな い。そのため、経路の一部分だけの広告という動作が期待通り動かない可能性が 高い。できるだけ、RIP2を使用すべきである。 ○RIPで強制的に経路を広告する [書式] ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC] no ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC] [設定値] IP-ADDRESS/NETMASK ... 強制的に広告したい経路のネットワークアドレスとネ ットマスク長、または'default' METRIC ... 広告する際のメトリック値(1〜15) [説明] 設定した経路が経路テーブルに存在しない場合でも、指定されたインタフェース に対し、RIPで経路を強制的に広告する。 経路として'default'を指定した場合にはデフォルト経路が広告される。 [初期値] METRIC: 1 ○設定例 LAN1側に、LAN2の一部のホストだけを広告する。 ip lan1 address 192.168.0.1/24 ip lan2 address 192.168.1.1/24 rip use on rip filter rule with-netmask ip lan1 rip send on version 2 ip lan1 rip receive on version 2 ip filter 1 reject 192.168.1.0/24 ip filter 100 pass * ip lan1 rip filter out 1 100 ip lan1 rip force-to-advertise 192.168.1.28/30 ip lan1 rip force-to-advertise 192.168.1.100/32 ip lan1 rip force-to-advertise 192.168.1.101/32 ■バグ修正 [1] BGP UPDATEメッセージ受信の脆弱性問題に対応した。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU929656.html [2] ISDN回線で帯域制御を使用したときに、データを高負荷で転送しようとするとデータ を送信できなくなることがあるバグを修正した。 [3] 複数のISDN回線インタフェースを同時に使用したときに、専用線に接続している回線 インタフェースのアップダウンが発生すると、他の回線経由で接続されているリモー トセットアップを誤って切断するバグを修正した。 [4] RIPよりもプリファレンス値の低い他のプロトコル(静的経路含む)からとRIPからとで 同じネットワーク宛の経路をほぼ同時に受信したときに、ごくまれにshow ip route コマンドでは経路がRIPによるものと表示されるのに、show ip rip tableコマンドで は経路が"other protocol"と表示され、その後RIPからの経路の受信が無くなっても 経路が消えなくなることがあるバグを修正した。 [5] IPマスカレード変換で動的なセッションの総数を制限した。 静的IPマスカレードの設定がされているとき、外側から内側への通信でセッションが 無制限にはられてしまい、動作が不安定になる要因となっていた。 [6] Winny検知を有効にした状態で、TCPセッションが同時に多数発生するとリブートする バグを修正した。 [7] DHCPサーバー機能で、大量のDHCPクライアントから同時にDHCPメッセージを受信する と、リブートするなどルータの動作が不安定になるバグを修正した。 [8] LAN1以外のLANインタフェースでDHCPクライアント機能によりアドレスを割り当てら れたときにARPリクエストが送出されないバグを修正した。 [9] SNMPで、受信したPDU中のINTEGER型の値に対して、ITU-T X.690 8.3.2節に記述され ている規則のチェックを行わないようにした。 その規則を守らないSNMPマネージャーとの間で通信ができるようになる。 [10] yrfLoginTrapの仕様を変更し、ログイン状態に変化のあったコネクションの情報だ けをVARIABLEとしてつけることにした。具体的には、以下のMIB変数を要素として持 つテーブルyrfLoginTableを新設し、そこにログイン情報を集めることにした。 yrfLoginTrapに付けるMIB変数は、yrfLoginTableの1エントリ分となる。 ・yrfLoginIndex ... インデックス番号 ・yrfLoginProtocol ... プロトコル、(serial(1), remote(2), telnet(3), ssh(4)) ・yrfLoginStatus ... ログインの状態 (notlogin(1), login(2), administorator(3)) ・yrfLoginUser ... ユーザー名 ・yrfLoginFromIp ... TELNET/SSHの場合のユーザー端末のIPアドレス これに伴い、従来のログイン情報である以下のMIB変数はMIBファイル上ではobsolete とした。ただし、読み出した場合にはそれぞれ該当するyrfLoginStats変数や yrfLoginFromIpが読み出せるようにしている。 ・yrfLoginSerial ... yrfLoginProtocolがserial(1)のyrfLoginStatus ・yrfLoginTelnet ... yrfLoginProtocolがtelnet(3)になるうちの最も若番のyrfLoginStatus ・yrfLoginTelnetFrom ... yrfLoginProtocolがtelnet(3)になるうちの最も若番のyrfLoginFromIp ・yrfLoginRemote ... yrfLoginProtocolがremote(2)のyrfLoginStatus ・yrfLoginSSH ... yrfLoginProtocolがssh(3)になるうちの最も若番のyrfLoginStatus ・yrfLoginSSHFrom ... yrfLoginProtocolがssh(4)になるうちの最も若番のyrfLoginStatus この修正により、TELNET多重化およびSSHD機能実装後にyrfLoginTrapが送信できなく なっていたバグが修正される。 [11] TFTPでconfigファイルをルーターにアップロードする場合に、configファイル中に restartコマンドが記述してあっても、以下の条件に合致する場合にはルーターの再 起動が行われないバグを修正した。 ・restartコマンドの直前が、設定を変更するコマンドである。 または、 ・configファイルの先頭がrestartコマンドで、かつ、configファイルのアップロー ド以前に何らかの手段で設定が変更され、保存されていない。 configファイル中のrestartコマンドの直前にsaveコマンドが記述されていればこの 問題は発生しない。 [12] upwaitパラメータを指定したipsec ike keepalive useコマンドを設定した後にno ipsec ike keepalive useコマンドを設定しても、先のupwaitパラメータの指定が残 った状態で動作するバグを修正した。 [13] queue INTERFACE/pp class property コマンドについて以下を修正した。 ・各パラメータについて、デフォルト値と同じ値を設定した場合に表示されないバグ を修正した。 ・ヘルプ文にparent以外のパラメータが表示されていなかった誤記を修正した。 ・no コマンドのヘルプ文に省略できないパラメータが記述されていなかった誤記を 修正した。 [14] queue class property コマンドの帯域の設定値およびspeed ppコマンドの速度の設 定値について、上限を1000Mまでとした。 [15] ip/ipv6 filter dynamic コマンドのsyslogオプションの設定でon/offの後に文字を 続けてもエラーにならないバグを修正した。 [16] ip/ipv6 filter dynamic コマンド設定の入力時に、プロトコルを不正な文字列で設 定を行うとパラメータの数が不適当ですと表示していたが、正しくパラメータのキー ワードが認識できませんと表示するように修正した。 [17] wol send コマンドで、一部のパラメータについてタブ補完が効かなかったバグを修 正した。 [18] ipsec ike local address コマンドおよび ipsec ike remote address コマンドに ついて、パラメータにIPアドレスを設定するときに0.0.0.0や0::0を設定できないよ うに変更した。 [19] 以下のコマンドについて、IPアドレスとして0.0.0.0を入力してもエラーにならない バグを修正した。 bgp router id dhcp relay server dns server ip pp remote address pool ospf router id radius server radius auth server radius account server snmp trap host tunnel endpoint address wins server [20] 以下のコマンドが一般ユーザで使用できてしまうバグを修正した。 system temperature threshold system packet-buffer [21] clear url filter コマンドと url filter external-database id check go コマン ドについて、一般ユーザで使用できてしまうバグとコマンドに'|'を付けてもエラー にならないバグを修正した。 [22] SNMPで、sysUpTime変数が49日あまりで0に戻ってしまうバグを修正した。 497日あまりで0に戻るのが正しい。 ■更新履歴 May. 2008, Rev.9.00.37 リリース Jul. 2008, バグ修正[22]を追加 以上