http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_47.html Revision : 09.00.47 Release : Aug. 2009, ヤマハ株式会社 Rev.9.00.47リリースノート ------------------------------------------------------------------------ Rev.9.00.44 からの変更点 ------------------------------------------------------------------------ ■機能追加 [1] SSH通信において一部データが漏えいする可能性がある脆弱性に対応するため、以下 の機能追加を行った。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/CPNI957037.html sshd encrypt algorithmコマンドを新設し、SSHで使用する暗号アルゴリズムを指定 できるようにした。 ○SSHサーバで利用可能な暗号アルゴリズムの設定 [書式] sshd encrypt algorithm [ALGORITHM ...] no sshd encrypt algorithm [...] [設定値] ○ ALGORITHM ... 暗号アルゴリズム(空白で区切って複数指定可能) ●aes128-ctr ..... AES128-CTR ●aes192-ctr ..... AES192-CTR ●aes256-ctr ..... AES256-CTR ●aes128-cbc ..... AES128-CBC ●aes192-cbc ..... AES192-CBC ●aes256-cbc ..... AES256-CBC ●3des-cbc ....... 3DES-CBC ●blowfish-cbc ... Blowfish-CBC ●cast128-cbc .... CAST-128-CBC ●arcfour ........ Arcfour [説明] SSHサーバで利用可能な暗号アルゴリズムを設定する。 ALGORITHMで指定した暗号アルゴリズムのリストをSSH接続時にクライアントへ提 案する。 [ノート] ALGORITHMで指定した暗号アルゴリズムをクライアントがサポートしていない場 合には、そのクライアントとSSHによる接続ができない。 [初期値] aes128-ctr aes192-ctr aes256-ctr [2] IPsecで、OpenswanをVPNクライアントとしてXAUTHで相互接続できるようにした。 OpenswanとヤマハルーターをIPsecで相互接続しようとした場合、XAUTHを使わなけれ ばそのまま接続できるが、XAUTHを使用する場合には、Mode-Cfgの仕様の解釈の違い でうまく接続できない。そのため、ヤマハルーターの側で、Openswanに接続できるよ う動作を変更するコマンドを新設した。 ○IKE XAUTH Mode-Cfgメソッドの設定 [書式] ipsec ike mode-cfg method GATEWAY_ID METHOD [OPTION] no ipsec ike mode-cfg method GATEWAY_ID [METHOD...] [設定値] GATEWAY_ID ... セキュリティゲートウェイの識別子 METHOD ... set ... SETメソッド OPTION ... openswan ... Openswan互換モード [説明] IKE XAUTHのMode-Cfgでのアドレス割り当てメソッドを設定する。指定できるの はSETメソッドのみである。 OPTIONに'openswan'を指定した場合にはOpenswan互換モードとなり、Openswanと 接続できるようになる。 [ノート] ダイヤルアップVPNの発呼側にヤマハルーターおよびYMS-VPN1を利用するときに、 OPTIONを指定しているとXAUTHでは接続できない。 [初期値] set [3] 外部データベース参照型URLフィルタについて、特定拡張子を持つURLのカテゴリ確認 を行うか否かを設定する機能を追加した。 http://www.rtpro.yamaha.co.jp/RT/docs/url-filter_ext_db/specified_extension.html [4] LANインタフェースのリンクアップ直後の送信を保留する機能を実装した。 ○LANインタフェースのリンクアップ後の送信抑制時間の設定 [書式] lan linkup send-wait-time INTERFACE TIME no lan linkup send-wait-time INTERFACE [TIME] [設定値] INTERFACE - LANインタフェース名 TIME - 送信抑制秒数(0..10) [説明] リンクアップ後の送信抑制時間を設定し、パケットの送信を抑制する。送信を抑 制されたパケットはキューに保存され、リンクアップから設定秒数の経過後に送 信される。保存先のキュー長はqueue INTERFACE lengthコマンドの設定に従う。 [ノート] リンクアップ直後にGratuitous ARPやIPv6 neighbor solicitation等のパケット がルーターから送信されるが、その送信が早過ぎるために対向機器側で受信でき ない場合は、この抑制時間を適宜設定し送信を遅延させることで対向機器側で受 信できるようになる。 [初期値] 0 (抑制しない) [5] ARPエントリ変更をログに残すことができるようにした。 show log | grep ARP: を実行することによって、過去のARPエントリ履歴を確認する ことができる。 ○ARPエントリの変化をログに残すか否かの設定 [書式] ip INTERFACE arp log SWITCH no ip INTERFACE arp log [SWITCH] [設定値] ・SWITCH - on ... 記録する - off ... 記録しない [説明] ARPエントリの変更をログに記録するか否かを設定する。 [初期値] off [6] シリアル番号をネットボランチDNSのホスト名として登録できるコマンドを追加した。 ○シリアル番号を使ったホスト名登録コマンドを実行 [書式] netvolante-dns set hostname INTERFACE serial [設定値] INTERFACE ... LANインタフェース名あるいは"pp" [説明] 機器のシリアル番号をホスト名登録するコマンドを発行する。 つまり本コマンドを実行すると、機器のシリアル番号を使ってnetvolante-dns hostname hostコマンドが設定される。 [7] NTPパケットの始点IPアドレスを設定できるコマンドを新設した。 ○NTPパケットを送信するときの始点IPアドレスの設定 [書式] ntp local address IP_ADDRESS no ntp local address [説明] NTPパケットを送信するときの始点IPアドレスを設定する。 始点IPアドレスが設定されていないときは、通常のUDPパケットの送信ルールに 従い、出力インタフェースのIPアドレスを利用する。 [初期値] 設定なし [8] tracerouteコマンドで、始点IPアドレスを設定できるようにした。 ○traceroute [書式] traceroute HOST [noresolv] [-sa SOURCE] [設定値] HOST ....... traceruteをかけるホストのIPアドレス(xxx.xxx.xxx.xxx)、 またはホスト名 noresolv ... DNSによる解決を行わないことを示すキーワード SOURCE ..... 始点IPアドレス [説明] 指定したホストまでの経路を調べて表示する。 [9] ip keepaliveコマンドで、始点IPアドレスを設定できるようにした。 OPTIONに local-address=(始点IPアドレス) を指定することで設定できる。 ○ネットワーク監視機能の設定 [書式] ip keepalive NUM KIND INTERVAL COUNT GATEWAY [GATEWAY ...] [option=value ...] no ip keepalive NUM [設定値] ○NUM ........... このコマンドの識別番号(1..100) ○KIND .......... 監視方式 ●icmp-echo ... ICMP Echoを使用する ○INTERVAL ...... キープアライブの送信間隔秒数(1..65535) ○COUNT ......... 到達性がないと判断するまでに送信する回数(3..100) ○GATEWAY ●IPアドレス.. xxx.xxx.xxx.xxx(xxx は十進数) ●dhcp INTERFACE ■INTERFACE .... DHCPにて与えられるデフォルトゲートウェイを使う場合 の、DHCPクライアントとして動作するLANインターフェー ス名 ○OPTION=VALUE列 ┌───────────┬──────────┬────────────────────────┐ |OPTION |VALUE |説明 | ├───────────┼──────────┼────────────────────────┤ | |on |SYSLOGを出力する | |log ├──────────┼────────────────────────┤ | |off |SYSLOGを出力しない | ├───────────┼──────────┼────────────────────────┤ |upwait |秒数 |到達性があると判断するまでの待機時間(1..1000000)| ├───────────┼──────────┼────────────────────────┤ |downwait |秒数 |到達性がないと判断するまでの待機時間(1..1000000)| ├───────────┼──────────┼────────────────────────┤ |length |バイト |ICMP Echoパケットの長さ(64-1500) | ├───────────┼──────────┼────────────────────────┤ ★ |local-address |IPアドレス |始点IPアドレス | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |DOWN→UPまたはUP→DOWNに状態が変化した場合に、指| |ipsec-refresh |ゲートウェイの識別子|定のセキュリティ・ゲートウェイに属するSAを強制的| | | |に更新(複数指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |DOWN→UPに状態が変化した場合のみ、指定のセキュリ| |ipsec-refresh-up |ゲートウェイの識別子|ティ・ゲートウェイに属するSAを強制的に更新(複数 | | | |指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |UP→DOWNに状態が変化した場合のみ、指定のセキュリ| |ipsec-refresh-down |ゲートウェイの識別子|ティ・ゲートウェイに属するSAを強制的に更新(複数 | | | |指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | | |ICMP Echoパケットを送信する際、該当する経路に複 | | |head |数のゲートウェイが指定されていても、必ず最初に指| | | |定されたゲートウェイへ送出する | |gateway-selection-rule├──────────┼────────────────────────┤ | | |ICMP Echoパケットを送信する際、該当する経路に複 | | |normal |数のゲートウェイが指定されていたら、通常の規則に| | | |従い送出ゲートウェイを選択する | └───────────┴──────────┴────────────────────────┘ [説明] 指定したゲートウェイに対してICMP Echoを送信し、その返事を受信できるか どうかを判定する。 [ノート] Rev.7.01 以上で実行可能である。 lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全 体の長さではない。 lengthパラメータは、Rev.7.01.43、Rev.8.01.18、Rev.8.02.35 以降で指定可 能である。 ★ local-addressパラメータは、Rev.9.00.47以降で指定可能である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、ネット ワークバックアップ機能の主系/従系回線の切り替え時において、IPsec通信の 復旧時間を短縮させる際に有効である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、RT107e を除くRev.8.03.68以降で指定可能である。 gateway-selection-ruleパラメータは、RT107eを除くRev.8.03.68以降で指定可 能である。 RT107eとSRT100でのみGATEWAYパラメータでdhcp INTERFACEを指定できる。 [初期値] log = off upwait = 5 downwait = 5 length = 64 local-address 設定なし ipsec-refresh 設定なし ipsec-refresh-up 設定なし ipsec-refresh-down 設定なし gateway-selection-rule = head [設定例] ネットワークバックアップ機能で従系回線pp11から主系回線pp10へ復旧する際 に、IPsec接続で使用しているセキュリティ・ゲートウェイの識別子3に属する SAを強制的に更新させる。 # ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0 # ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3 ネットワークバックアップ機能を利用して、IPキープアライブ1がダウンしたのを トリガーにして経路172.16.224.0/24を活性化させる。 # ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0 # ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2 # ip keepalive 1 icmp-echo 5 5 192.168.100.101 # ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule=normal ■仕様変更 [1] ARP受信時の動作を以下のように変更した。 ・senderIPが0のARP要求を受信した場合にsanity checkを行わない。 ・targetIPが0のARP応答を受信し、受信したインタフェースのIPアドレスが決まって いない場合に、sanity checkを行わない。 ・senderIPが受信したインタフェースのIPアドレスと同じARP要求を受信した場合、 ARP応答を送信するようにした。 ・senderIPが0でなくtargetIPが0のARPを受信し、受信したインタフェースのIPアド レスが決まっていない場合に、senderの情報をARPテーブルに登録するようにした。 [2] DHCPサーバ機能で、IPアドレス割り当て方式がbind-onlyのとき、IPアドレス予約が 解除されたらそのIPアドレスの現在のリース情報も消去することとした。 これにより、予約対象IPアドレスの再利用がより早くできるようになる。 [3] IPアドレスの設定またはIPv6アドレスの設定、IPv6プレフィックスの設定を行う以下 のコマンドにおいて、それぞれの設定でIPアドレスが重複した場合は、エラーとする ように変更した。 ただし、IPv6リンクローカルアドレスは重複して設定できる。 ・IPアドレスの設定 - ip INTERFACE address - ip pp address - ip tunnel address - ip loopback address ・IPv6アドレスの設定 - ipv6 INTERFACE address - ipv6 pp address - ipv6 tunnel address - ipv6 loopback address ・IPv6プレフィックスの設定 - ipv6 INTERFACE prefix - ipv6 pp prefix - ipv6 tunnel prefix [4] show status lanコマンドにIPアドレスを表示するようにした。 例) # show status lan1 LAN1 説明: IPアドレス: 192.168.1.1/24 IPアドレス(セカンダリ): 192.168.2.1/24 イーサネットアドレス: 00:a0:de:01:23:45 : [5] security class コマンドのオンラインヘルプをコマンドリファレンスの表記に合わ せた。 show environmentの表示についても同様に変更した。 [6] 下記のコマンドで設定できるフィルタの数を300個までに増やした。 - ip secure filter - ospf import from ○フィルタリングによるセキュリティの設定 [書式] ip INTERFACE secure filter DIRECTION [FILTER_LIST...] [dynamic FILTER_LIST...] ip pp secure filter DIRECTION [FILTER_LIST...] [dynamic FILTER_LIST...] ip tunnel secure filter DIRECTION [FILTER_LIST...] [dynamic FILTER_LIST...] ip INTERFACE secure filter name SET_NAME ip pp secure filter name SET_NAME ip tunnel secure filter name SET_NAME no ip INTERFACE secure filter DIRECTION [FILTER_LIST] no ip pp secure filter DIRECTION [FILTER_LIST] no ip tunnel secure filter DIRECTION [FILTER_LIST] no ip INTERFACE secure filter name [SET_NAME] no ip pp secure filter name [SET_NAME] no ip tunnel secure filter name [SET_NAME] [設定値] ・INTERFACE ......... LAN インタフェース名、LOOPBACK インタフェース名、NULLインタフェース名、 ブリッジインタフェース名 ・DIRECTION - in ........ 受信したパケットのフィルタリング - out ....... 送信するパケットのフィルタリング ・FILTER_LIST ....... 空白で区切られたフィルタ番号の並び(RTX3000は300個以内、他の機種は128個以内) ・SET_NAME .......... フィルタセットの名前を表す文字列 ・dynamic ........... キーワード後に動的フィルタの番号を記述する [説明] ip filterコマンドによるパケットのフィルタを組み合わせて、インタフェース で送受信するパケットの種類を制限する。 方向を指定する書式では、それぞれの方向に対して適用するフィルタ列をフィル タ番号で指定する。指定された番号のフィルタが順番に適用され、パケットにマ ッチするフィルタが見つかればそのフィルタにより通過/ 廃棄が決定する。それ 以降のフィルタは調べられない。すべてのフィルタにマッチしないパケットは廃 棄される。 フィルタセットの名前を指定する書式では、指定されたフィルタセットが適用さ れる。フィルタを調べる順序などは方向を指定する書式の方法に準ずる。定義さ れていないフィルタセットの名前が指定された場合には、フィルタは設定されて いないものとして動作する。 [ノート] フィルタリストを走査して、一致すると通過、破棄が決定する。 # ip filter 1 pass 192.168.0.0/24 * # ip filter 2 reject 192.168.0.1 # ip lan1 secure filter in 1 2 この設定では、始点IP アドレスが192.168.0.1 であるパケットは、最初のフィ ルタ1 で通過が決定してしまうため、フィルタ2 での検査は行われない。そのた め、フィルタ2 は何も意味を持たない。 フィルタリストを操作した結果、どのフィルタにも一致しないパケットは破棄さ れる。 PP Anonymous で認証にRADIUS を利用する場合で、RADIUS サーバーから送られ たAccess-Responseにアトリビュート'Filter-Id' がついていた場合には、その 値に指定されたフィルタセットを適用し、 ip pp secure filter コマンドの設 定は無視される。 ただしアトリビュート"Filter-Id" が存在しない場合には、 ip pp secure filter コマンドの設定がフィルタとして利用される。 RT250i には ip tunnel secure filter コマンドはない。 SRT100 ではdynamic キーワードは使用できない。動的フィルタは ip policy filter コマンドを使用する。 LOOPBACK インタフェースとNULL インタフェースでは動的フィルタは使用できな い。 NULL インタフェースで direction に'in' は指定できない。 LOOPBACK インタフェース、NULL インタフェースを指定できるのはRev.8.03 以 降のリビジョンである。 ブリッジインタフェースを指定できるのはRev.10.00.38 以降のリビジョンであ る。 [初期値] フィルタは設定されていない ○外部プロトコルによる経路導入 [書式] ospf import from PROTOCOL [filter FILTER_NUM...] no ospf import from [PROTOCOL [filter FILTER_NUM...]] [設定値] ・PROTOCOL............... OSPF の経路テーブルに導入する外部プロトコル - static ........ 静的経路 - rip............ RIP - bgp ........... BGP ・FILTER_NUM ............ フィルタ番号(RTX3000は300個以内、他の機種は100個以内) [説明] OSPFの経路テーブルに外部プロトコルによる経路を導入するかどうかを設定する。 導入された経路は外部経路として他のOSPF ルーターに広告される。 FILTER_NUMはospf import filter コマンドで定義したフィルタ番号を指定する。 外部プロトコルから導入されようとする経路は指定したフィルタにより検査され、 フィルタに該当すればその経路はOSPF に導入される。 該当するフィルタがない経路は導入されない。また、 filter キーワード以降を 省略した場合には、すべての経路がOSPFに導入される。 経路を広告する場合のパラメータであるメトリック値、メトリックタイプ、タグ は、フィルタの検査で該当した ospf import filterコマンドで指定されたものを使う。 filter キーワード以降 を省略した場合には、以下のパラメータを使用する。 - metric = 1 - type = 2 - tag = 1 [初期値] 外部経路は導入しない [7] 以下のコマンドでclear configurationで設定が削除されないバグを修正した。 また、受信設定の識別子と時間を指定してnoコマンドを発行した場合にのみ個別に指 定した設定を削除するようにした。 この修正に伴いオンラインヘルプも変更した。 ○受信間隔の監視設定 [書式] heartbeat2 receive monitor TIME heartbeat2 receive monitor RECV_ID TIME no heartbeat2 receive monitor [TIME] no heartbeat2 receive monitor RECV_ID TIME [設定値] ○RECV_ID........ 受信設定の識別子 ○TIME........... 監視時間 ●秒数(30..21474836) ●off.......... 受信間隔を監視しない [説明] RECV_IDに対応する受信設定における受信間隔の監視設定を行う。監視が有効な 場合は、指定した時間内に生存通知が届かないときINFOレベルのsyslogを出力し てSNMPトラップを送出する。 RECV_IDを省略した場合は全ての受信設定が適用対象となる。ただし、RECV_IDを 個別に指定した設定の方が優先して適用される。 [ノート] Rev.8.03.80、Rev.9.00.43以降で使用可能。 [初期値] off ○通知間隔の設定 [書式] heartbeat2 transmit interval TIME heartbeat2 transmit interval TRANS_ID TIME no heartbeat2 transmit interval [TIME] no heartbeat2 transmit interval TRANS_ID TIME [設定値] ○TRANS_ID....... 通知設定の識別子 ○TIME........... 通知間隔秒数(30..65535) [説明] TRANS_IDに対応する通知設定の送信間隔を指定する。 TRANS_IDを省略した場合は全ての通知設定が適用対象となる。ただし、 TRANS_IDを個別に指定した設定の方が優先して適用される。 [ノート] Rev.8.03.80、Rev.9.00.43以降で使用可能。 [初期値] 30 [8] ip INTERFACE secure filter name が設定されている状態で、ip INTERFACE secure filter in または out を新たに設定したときに、nameの設定が消えて in または outの設定が反映されるように変更した。 [9] PPP接続の認証で、CHAP Response送信のタイムアウト時にLCPを切断するようにした。 ■バグ修正 [1] UDPパケットがノーマルパス経由でNAT/IPマスカレード変換されると、変換後のUDP チェックサムが0x0000になることがあるバグを修正した。UDPチェックサムの0x0000 は「チェックサム無し」を表す特別な値なので、UDPチェックサムの計算結果が 0x0000になった場合は0xFFFFに変換しなければならない。 [2] 長さが0にセットされているTCPオプションを受信したときに出力されるSYSLOG "Invalid TCP option length(0)" で、IPv6アドレスが正しく表示されないバグを修 正した。 Rev.9.00.20以降で発生する。 [3] 不正なTCPパケットを受信すると、パケットデータ外の不当領域を参照することがあ るバグを修正した。 このバグにより、当該パケットを受信するとCPU利用率が不当に高くなることがあっ た。 [4] PPのanonymous接続においてpp auth usernameコマンドで相手に割り当てるIPアドレ スが設定してあっても、ip routeコマンドでPAP/CHAPの名前を使って同じ相手に対す る静的経路が設定してあると、2番目以降に接続した相手に対してはpp auth usernameコマンドの設定どおりのIPアドレスが割り当てられないバグを修正した。 [5] IPv6 RAプロキシ機能を使用しているとき、配下のホストへ通知するRA内のprefix informationの数が時間とともに増えていくバグを修正した。まったく同一のIPv6プ レフィックスの数が増えていくというバグであり、上位ルータからRAを受信する度に その数が増えていく可能性があった。 この問題はRev.9.00.42以降のファームウェアで発生する。 [6] 静的経路やOSPF/BGPで学習した経路で、自分のLANインタフェース上にある別のホス トをゲートウェイとする経路を、RIP2でそのLANインタフェースに広告できないバグ を修正した。 このような経路は、RIP1ではスプリットホライズンの対象になり広告できないのが正 しいが、RIP2では広告できなくてはいけない。 [7] RIPで通知された経路が隠し経路 (hidden) としてルーティングテーブルに登録され た場合、rip use offでRIPを停止してもその経路が削除されないバグを修正した。 [8] DHCPクライアント機能で、サーバから通知されるゲートウェイ情報が変わった場合、 それが経路情報に反映されないことがあるバグを修正した。 [9] DHCPでアドレスをリース延長し続けるとメモリリークするバグを修正した。 クライアントからのメッセージにホストネームオプションがあった場合にメモリリー クしていた。 [10] PPインタフェースに複数のNATディスクリプタを適用してNAT/IPマスカレード機能を 使用する場合、2番目以降のNATディスクリプタの外側IPアドレス(nat descriptor address outer)に"ipcp"を指定すると、そのNATディスクリプタを使用する通信の NAT変換が正しく行われないバグを修正した。 [11] 帯域検出機能で、ロスや遅延により測定に使用するパケットの受信タイムアウトが 発生し、帯域測定がエラー終了するとリブートすることがあるバグを修正した。 [12] アグレッシブモードの受け側としてIPsecトンネルを構築しているとき、そのトンネ ル内で帯域検出機能、または、負荷通知機能を使用すると恒常的にメモリリークが発 生し、やがてリブートに至るバグを修正した。 [13] 帯域検出のサーバ側で、クライアントからの測定用パケットの受信中に帯域検出機 能の設定を変更するとメモリリークすることがあるバグを修正した。 [14] YMS-VPN1や他社製ルーターなど、ヤマハルーター以外の装置とIPsec接続する場合、 アグレッシブモードの受け側としてヤマハルーターを設定すると、IPsec-SAのバイト 寿命が尽きる直前にVPNがダウンすることがあるバグを修正した。なお、バイト寿命 を設定していない装置との接続ではこの問題は該当しないが、YMS-VPN1との接続では 必ずバイト寿命が設定されるため、この問題が該当する。 [15] トンネルテンプレートとなるトンネルインタフェースの設定で以下のコマンドを変 更すると、そのテンプレートの適用先のトンネルインタフェースに設定されている同 じコマンドが優先されず、トンネルテンプレートの設定が適用されるバグを修正した。 ・ipsec ike log GATEWAY TYPE コマンド ・ipsec ike keepalive log GATEWAY SW コマンド ・ipsec ike keepalive use GATEWAY SW コマンド ・ipsec ike nat-traversal GATEWAY SW コマンド [16] LAN経由のキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレ スを指定した場合、キープアライブが正常に動作せず、常にダウン検知されるバグを 修正した。 [17] IPv6 ICMP EchoによるIKEキープアライブにおいて、送信したICMP Echo Requestに 対する ICMP Echo Replyを受信していない場合、以降のIKEキープアライブが行われ ないバグを修正した。 [18] IPv6 ICMP EchoによるIKEキープアライブにおいて、ipsec ike keepalive logコマ ンドの設定に関わらず、ICMP Echo Request送信時にログが出力されないバグを修正 した。 [19] IPv6 ICMP EchoによるIKEキープアライブを使用するとき、拠点数が多いと障害を誤 検知してトンネルがダウンすることがあるバグを修正した。 [20] 生存通知2機能で送信側と受信側で暗号化の設定が異なる場合、受信側で不正なロ グが出力されることがあるバグを修正した。 [21] TELNET EC(Erase Character)、またはTELNET EL(Erase Line)シーケンスのパケット を受信するとメモリの不正アクセスをし、リブートすることがあるバグを修正した。 [22] 既にSSHでログインしているユーザー名と同じユーザー名でSSH接続をすると、その 後の動作が不安定になり、リブートすることがあるバグを修正した。 [23] XAUTH認証機能の内部IPアドレスとしてIPv6アドレスを指定したとき、トンネル接続 後に当該アドレス宛ての経路情報がstatic経路として登録されてしまうバグを修正し た。 本来であれば、temporary経路として登録されるのが正しい。 [24] XAUTH認証機能を使用してIPsecトンネルを確立させたとき、auth user attribute/ auth user group attributeコマンドのxauth-filterパラメータで設定したフィルタ セットが、そのトンネル内で有効にならないバグを修正した。 [25] 接続先PPにフレームリレーが設定されているとき、そのPPに対してSNMPマネージャ からSNMPGETコマンドでフレームリレーのインタフェース番号 (mib2.transmission. frDlcmiTable.frDlcmiEntry.frDlcmiIfIndex) を取得すると、不当な値が返ってくる バグを修正した。 [26] 接続先PPにフレームリレーが設定されているとき、SNMPでフレームリレーのPVC状態 確認手順の設定値(mib2.transmission.frDlcmiTable.frDlcmiEntry.frDlcmiState)が 取得できなかったり、取得できても不当な値が返ってくるバグを修正した。 また、frDlcmiEntryに対してSNMPWALKコマンドを実行しても、同原因により frDlcmiStateより前のオブジェクト(frDlcmiIfIndex)しか取得できていなかった。こ の問題も本修正により改善される。 [27] フレームリレーが設定されているPPにおいて、次に示す条件のいずれかが該当する 場合、SNMPでフレームリレー関連のオブジェクト(mib2.transmission)が正しく取得 できないバグを修正した。 - 当該PPインタフェースのifIndexが128以上である(*) - QoSの設定がある (*) mib2.interfaces.ifTable.ifEntry.ifIndexに示される全インタフェースの通し 番号で128以上になるPPインタフェースが該当する。 また、mib2テーブル全体に対してSNMPWALKコマンドを実行しても、上記条件に該当す るPPが存在する場合はフレームリレー関連のオブジェクト(mib2.transmission)の取 得中にSNMPマネージャでエラーが発生してしまうため、transmissionより後のオブジ ェクトを取得することができなかった。この問題も本修正により改善される。 [28] フレームリレー関連のMIBオブジェクト(mib-2.transmission)に対して、SNMPマネー ジャからSNMPGETNEXTやSNMPWALKコマンドが実行されたとき、QoSの設定がある場合で もQoSのクラスごとに設定されているMIBインタフェースを見せないようにした。 なお、フレームリレーの設定がない場合も、同オブジェクト(mib-2.transmission)に 対してSNMPマネージャからSNMPGETNEXTやSNMPWALKコマンドが実行されたときは、応 答する情報がないということを調べるために検索処理が発生する。いずれかのインタ フェースにQoSの設定があるとMIBインタフェース数が増えることでこの検索処理にか かる時間が長くなり、ルータから何らかの応答を返す前にSNMPマネージャでタイムア ウトが発生してしまうことがあった。また、その結果、SNMPマネージャはコマンドの 再送を繰り返すことがあり、その間ルータの負荷が上がったまま下がらないという問 題も発生する可能性があった。この問題は本修正により改善される。 [29] SNMPで、atIfIndex、ipNetToMediaIfIndexの値が実際のインタフェースにかかわら ず常に1(LAN1)になるバグを修正した。 [30] SSHでログインしたRTから、またはSSHでログインされたRTに対して、リモートセッ トアップすることができないバグを修正した。 [31] remote setupを実行すると、"Idle timer is expired"という間違ったログが出力さ れることがあったバグを修正した。 [32] 256文字以上のパラメータ、またはスペースを含むパラメータを入力した後、以降の パラメータのタブ補完が効かないバグを修正した。 [33] console character/columns/linesコマンドの設定を変更後、restartコマンドを実 行し、設定の変更を保存するか否かの問いに 'Y' を入力して再起動をすると、変更 したはずの設定がconfigに保存されないバグを修正した。 [34] show ipv6 addressで、disableになっているtunnelインタフェースの情報が表示さ れるバグを修正した。 tunnelを一旦enableにした後でdisableにするとこの現象が発生していた。 [35] pp enable all、tunnel enable allを設定してもshow ipv6 addressでpp、tunnelの 情報が表示されないバグを修正した。 [36] auth user group attributeコマンドでメモリリークするバグを修正した。 Rev.9.00.15以降のファームウェアで発生していた。 [37] ip keepaliveコマンドで以下のバグを修正した。 - IPv6アドレスを指定したとき、正しく動作しない - no ip keepaliveコマンドで、ID以降に任意の文字を指定するとエラーになる [38] 以下のコマンドに「|」を指定できないバグを修正した。 - show ip mroute - show ipv6 mroute fib - show status ip igmp - show status ip pim sparse [39] dns serverの後に 'd', 'p', 's'+タブキーを入力しても、'dhcp', 'pp', 'select' キーワードがタブ補完されず、それ以降のキーワードもタブ補完されないバグを修正 した。 [40] dns hostコマンドで'any'以外の値を設定したとき、RT自身からの名前解決ができな くなるバグを修正した。 nslookupやドメイン名を指定したping、メール通知、ネットボランチDNSなどで名前 解決に失敗する。 [41] ipsec ike remote addressコマンドで255文字のホスト名を設定した場合、ホスト名 の名前解決に失敗し、IPsecの接続ができないバグを修正した。 [42] dhcp scopeコマンドのexpireとmaxexpireの設定で、設定可能な最大値より大きな値 を設定してもエラーにならなかったり、ある値以上が設定できない場合があるバグ を修正した。 [43] no dhcp scope lease type コマンドで設定されていないスコープ番号を指定すると、 不正に設定が追加されるバグを修正した。 また、設定されていないスコープ番号を指定した場合、エラーメッセージを出力よう にした。 [44] no tcp logコマンドのコマンドヘルプが表示されないバグを修正した。 [45] no login userコマンドでユーザ名を指定せずに入力できることがあるバグを修正し た。この場合、直前にlogin userコマンドで設定したユーザが削除されることがある。 no login userコマンドのオンラインヘルプで必須パラメータであるユーザ名の記述 がないバグを修正した。 [46] auth user attributeコマンドの"xauth-address="オプションにIPv6アドレスを指定 すると、任意のIPv4アドレスが設定されてしまうバグを修正した。 [47] auth user attribute/auth user group attributeコマンドの各パラメータが重複指 定されたときは、エラーメッセージを出力し、コマンド入力を受け付けないようにし た。 [48] 以下のコマンドのコマンドヘルプで、IDの説明が表示されないバグを修正した。 - no auth user - no auth user attribute - no auth user group - no auth user group attribute [49] PPPoE用のPPインタフェースに対してshow status ppコマンドを実行したとき、イン タフェースの説明(descriptionコマンドの設定値)が表示されないバグを修正した。 [50] no ethernet filer コマンドのオンラインヘルプの誤記を修正した。 [51] dhcp scope lease typeコマンドのコマンドヘルプの誤記を修正した。 [52] ip I/F igmp static コマンドのコマンドヘルプの誤記を修正した。 ipv6 I/F mld static コマンドのコマンドヘルプの誤記を修正した。 [53] heartbeat receiveコマンドのオンラインヘルプのデフォルト値がアルファベット大 文字だったのを小文字にした。 [54] heartbeat2 receive recode limitコマンドのコマンドヘルプの誤記を修正した。 [55] ipv6 INTERFACE secure filterコマンドのコマンドヘルプの誤記を修正した。 [56] dns cache max entryコマンドのコマンドヘルプの誤記を修正した。 正) MAX_ENTRY 誤) ENTRY [57] url filter external-database lookup specified extention listコマンドのコマ ンドヘルプ表示が間違っているバグを修正した。 [58] url filter external-database lookup specified extensionコマンドのコマンドヘ ルプ表示が間違っているバグを修正した。 ■更新履歴 Aug. 2009, Rev.9.00.47 リリース 以上