http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_48.txt Revision : 09.00.48 Release : May. 2010, ヤマハ株式会社 Rev.9.00.48 リリースノート ================================================================================ ○RTX3000 Rev.9.00.47 からの変更点 ================================================================================ ■機能追加 [1] VPNクライアントの同時接続制限ライセンスに対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/vpn_client_license.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] TCPの実装におけるサービス運用妨害(DoS)の脆弱性について対応した。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU943657.html TCPのセッション数を制限する機能を追加した。 ○ルーターが端点となるTCPのセッション数の設定 [書式] tcp session limit LIMIT no tcp session limit [LIMIT] [設定値] ・LIMIT ... 制限値 ・32〜65535 ・none ... 制限しない [説明] ルーターが端点となるTCPのセッション数を制限する。 noneを選択した場合には制限を設けない。 [ノート] ルーターと直接通信しない場合にはこの制限は適用されない [初期値] 1000 [3] 同一インタフェースに折り返すパケットを送信するか否かの設定を追加した。 ○同一インタフェースに折り返すパケットを送信するか否かの設定 [書式] ip INTERFACE rebound SWITCH ip pp rebound SWITCH ip tunnel rebound SWITCH no INTERFACE rebound [SWITCH] no ip pp rebound [SWITCH] no ip tunnel rebound [SWITCH] [設定値] ・INTERFACE ... LANインタフェース名 ・SWITCH ・on .... 折り返すパケットを送信する ・off ... 折り返すパケットを送信しない [説明] 同一インタフェースに折り返すパケットを送信するか否かを設定する。 折り返すパケットを送信しない場合にはそのパケットを廃棄し、送信元へ ICMP Destination Unreachableを送信する。 [初期値] off(PPインタフェースの場合) on(その他のインタフェースの場合) [4] DHCPクライアント機能で、DHCPクライアントとして動作するインタフェースがリンク ダウンした時に、DHCPサーバーから得た情報を解放できる機能を実装した。 ○リンクダウンした時に情報を解放するか否かの設定 [書式] dhcp client release linkdown SW [TIME] no dhcp client release linkdown [設定値] ・SW ・on .... インタフェースのリンクダウンがTIME秒間継続すると、取得してい た情報を解放する ・off ... インタフェースがリンクダウンしても情報は保持する ・TIME ... 秒数(0..259200) [説明] DHCPクライアントとしてDHCPサーバーからIPアドレスを得ているインタフェース がリンクダウンした時に、DHCPサーバから得ていた情報を解放するか否かを設定 する。 リンクダウンするとタイマーが働き、TIMEの秒数だけリンクダウン状態が継続す ると情報を解放する。情報が解放されると、次にリンクアップした時に情報の取 得を試みる。 [ノート] タイマーの値を長く設定すると、不安定なリンク状態の影響を避けることができ る。 本コマンドの設定は、コマンド実行後に発生したリンクダウン以降で有効になる。 タイマーの満了前にリンクアップした場合にはタイマーはクリアされ、情報を解 放しない。 タイマーの満了前に情報のリース期間が満了した場合には、タイマーはクリアさ れ、情報は解放される。 以下のコマンド実行時には、動作中のタイマーはクリアされる。 ip INTERFACE address ip pp remote address ip pp remote address pool dhcp client linkdown release [初期値] ・SW ..... off ・TIME ... 3 ■仕様変更 [1] 外部データベース参照型URLフィルターで、対応するデジタルアーツのデータベース を新データベースに変更した。 外部データベース参照型URLフィルターでデジタルアーツの旧データベースを使用し ている場合、既存のconfigのままではリビジョンアップ後の再起動時にurl filter external-database useコマンドはエラーとなり、外部データベース参照型URLフィ ルターが機能しなくなる。 また、新データベースは旧データベースとカテゴリ番号が異なるため、新データベー スでurl filter external-database useコマンドを設定して外部データベース参照型 URLフィルターを機能させるときには、同時にカテゴリ番号についても再設定が必要 である。 [2] ipv6 filterコマンドでICMPv4を設定できるようにした。 これによりニーモニックは次のように解釈される。 "icmp4" : ICMPv4(プロトコル番号 1) "icmp" : ICMPv6(プロトコル番号 58) "icmp6" : ICMPv6(プロトコル番号 58) [3] telnetd host コマンドでLANインタフェースを設定した時に、IPv6アドレスでアクセ スした場合に必ず拒否していたのを、設定通りに動作するように変更した。ただし、 リンクローカルアドレスやサイトローカルアドレスでは動作しない。 ■バグ修正 [1] ISDN回線交換で通信中着信が発生したとき、回線が確保できない場合不正なメモリ領 域を参照し、リブートしてしまうバグを修正した。 [2] Syslogサーバーにログを出力している環境でARPエントリ変更のログを出力する設定 を追加すると、起動時にリブートを繰り返してしまうバグを修正した。 [3] RIPv2で、ポイズンリバースで送るRIPのネクストホップに、0.0.0.0ではなく、その RIPを送って来たルーターのIPアドレスをセットしてしまうバグを修正した。 ※Rev.9.00.45以降のファームウェアで発生する。 [4] OSPFにおけるSPF計算において、一部の外部経路だけが正しく計算されず、結果とし て経路が切り替わらないことがあるバグを修正した。 [5] DHCPサーバー機能で、クライアントからのDISCOVERメッセージ中に、DHCPでリースす るネットワークとは異なるネットワークのIPアドレスがRequested IP Addressオプシ ョンで要求されている場合、以前リースしたものとは異なるIPアドレスをリースして しまうバグを修正した。 [6] DHCPサーバー機能で、DHCPクライアントからDHCPDECLINEを受信するとリブートする ことがあるバグを修正した。 [7] DHCPサーバー機能で予約設定できないアドレス(ルーター自身の持つアドレスやネッ トワークアドレス、ディレクティッド・ブロードキャストアドレス)の予約設定を試 みるとリブートすることがあるバグを修正した。 [8] DHCPサーバー機能で、予約設定とルーター自身のIPアドレスが重複した場合、特定の クライアント識別子の予約設定ができなくなるバグを修正した。 [9] タグVLANが設定されているインタフェースからIPv6マルチキャストパケットを送信す る場合、IEEE802.1Qタグがつかないバグを修正した。 [10] PPPoE接続においてAC-Nameタグが含まれないPADSパケットを受信するとリブートす るバグを修正した。 [11] TCP 22番ポートに対してトラフィックをかけると、通信ができなくなったり、ルー ターの動作が不安定になることがあるバグを修正した。 [12] SSHによる接続が確立された状態で、新たなSSH接続要求が拒否された場合、既に確 立されていたSSH接続がハングアップし、その状態でキー入力を続けるとメモリリー クによるリブートが発生するバグを修正した。 [13] IPヘッダに不正なオプションが含まれているとリブートするバグを修正した。 [14] IPv6で設定した静的経路と同じ宛先のtemporary経路がルーティングテーブルから削 除されると静的経路も削除されてしまうバグを修正した。 [15] IPv6のLOOPBACKインタフェースのimplicit経路を正常に削除できないことがあり、 削除できなかった経路に対して、パケットを流すとフリーズしたりリブートするバ グを修正した。 [16] ip/ipv6 interface secure filterコマンドで不正な入力を行うとメモリリークす る場合があるバグを修正した。 [17] nat descriptor address outerコマンドで外側アドレスを範囲指定で設定するとき、 IPアドレス以外の文字列を入力したり、指定するIPアドレスの数が多すぎて設定エ ラーになると、メモリの解放漏れが発生するバグを修正した。 [18] ipsec ike local/remote address、ipsec ike local/remote name コマンドにおい て、トンネルテンプレート経由で設定変更した場合に、設定状況に応じて適切に当 該トンネルの接続状態がクリアされないバグを修正した。 [19] IKE XAUTHを使用し、VPNクライアントに内部IPアドレスを配布する構成において、 内部IPアドレスプールが不当に枯渇する場合があるバグを修正した。 本バグは、内部IPアドレスの配布方法として ipsec ike mode-cfg address pool コ マンド、もしくは user group attribute コマンドのアドレスプールを使用したと きに発現する可能性がある。 [20] cold start 直後に、gateway_idパラメータを指定せずにno ipsec ike send infoコ マンドを実行するとエラーにならず、リブートしたり、ルーターの動作が不安定に なったりするバグを修正した。 gateway_idパラメータを指定せずに上記コマンドを実行した場合、エラーとなるよ うにした。 [21] IKEv1のInformational交換でレスポンダとして動作したときに、payload-infoログ で「info mode initiator 1」と出力されるバグを修正した。本来は「info mode responder 1」と出力されるのが正しい。 なお、本件は表示上の問題であり、実際の動作は問題ない。 [22] トンネルテンプレートで展開したトンネルを利用し、メインモードにより確立した SAについて、show ipsec saコマンドで詳細情報を表示させたとき、"相手側の識別 子"の項目に不明な名前が表示される場合があるバグを修正した。 [23] tunnel templateコマンドでトンネルインタフェースを追加しても、再起動しないと ・show status tunnelコマンドのIPv6パケット用のカウンタ表示 ・show ipv6 addressコマンドのトンネルインタフェースの表示 が有効にならないバグを修正した。 [24] 生存通知機能(リリース2)で、使用していないheartbeat2 receive RECV_IDコマンド が設定されていると、生存通知機能(リリース2)のパケットが受信されないことがあ るバグを修正した。 [25] ip keepaliveコマンドによってネットワーク監視機能が設定されている場合、監視 端末からのping応答を受信できなくなることで行われるキープアライブによる到達 性の試行期間中にping応答を受信すると、SNMPのIpKeepaliveUpトラップが送出され てしまうことがあるバグを修正した。 到達性がないと判断するまでにキープアライブを送出する回数(count)が1になった 状況で監視端末からping応答を受信すると発生する。 [26] 負荷通知機能でnameオプションが一致しない場合でも通知を受け入れることがある バグを修正した。 [27] 帯域検出機能、負荷通知機能のコマンドで、以下のバグを修正した。 ・cooperation load-watch remoteコマンドでオプションを6個以上設定できない ・コマンドオンラインヘルプの記載に誤りがある [28] 以下の機能を実行するとMalloc Faultでリブートすることがあるバグを修正した。 ・show techinfoコマンド ・状態メール通知 ・トリガによるメール通知機能 メモリ使用率が高いときに実行すると発生することがあった。 [29] show techinfoコマンドを実行したとき、各コマンドの実行結果が途中で切れてしま うことがあるバグを修正した。 [30] less config listコマンドを実行してもless表示されないバグを修正した。 [31] 連続して同じログを出力することでログバッファに重複したログが存在していた場 合、show logコマンドで実行エラーになると、ログに"same message repeated N times"というログが出力されるバグを修正した。 [32] show status userコマンドを実行するとハングアップ、またはリブートすることが あるバグを修正した。 [33] ntpdateコマンドをschedule実行しても失敗することがあるバグを修正した。 同時刻にntpdateコマンドを含む複数のコマンドをschedule実行しようとしたときに 発生していた。 [34] timezoneコマンドの設定を変更すると、show environmentコマンドで表示される 「起動時刻」が更新されず、「起動からの経過時間」も不正な値になってしまうバ グを修正した。 [35] schedule atコマンドで、設定するインタフェースを指定していないのにPP/TUNNEL インタフェースに対する設定が追加されてしまうことがあるバグを修正した。 ■更新履歴 May. 2010, Rev.9.00.48 リリース ================================================================================ 以上