RTX3000 Rev.9.00.50 リリースノート

RTX3000 Rev.9.00.48 からの変更点

■機能追加

1. NTT東日本／NTT西日本のデータコネクトサービスを利用した以下の機能に対応した。

   • リモートセットアップ機能
     http://www.rtpro.yamaha.co.jp/RT/docs/ngn/ngn_remote_setup.html

   • 拠点間接続機能
     http://www.rtpro.yamaha.co.jp/RT/docs/ngn/ngn_dataconnect.html

   外部仕様書をよくご確認のうえ、ご利用ください。

2. IKEv2機能を追加した。

   http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ike2.html

   外部仕様書をよくご確認のうえ、ご利用ください。

3. LANインタフェースの受信パケットバッファサイズを設定できるようにした。
   また、初期値を128から512へ変更した。

   ○LANインタフェースの受信パケットバッファサイズの設定

   [書式]

   lan receive-buffer-size interface size
   no lan receive-buffer-size [interface size]

   [設定値および初期値]

   • interface
     • [設定値] : LANインタフェース名
     • [初期値] : -
   • size
     • [設定値] : 受信パケットバッファサイズ（1..1000）
     • [初期値] : 512

   [説明]

   LANインタフェースの受信パケットバッファサイズ（受信キュー長）をパケットの個数で設定する。
   
   

4. IPsecのハッシュアルゴリズムとしてSHA-256に対応した。
   また暗号アルゴリズム AES-CBCにおいて鍵長256bitに対応した。

   ○IKEが用いる暗号アルゴリズムの設定

   [書式]

   ipsec ike encryption gateway_id algorithm
   no ipsec ike encryption gateway_id [algorithm]

   [設定値及び初期値]

   • gateway_id
     • [設定値] : セキュリティ・ゲートウェイの識別子
     • [初期値] : -
   • algorithm
     • [設定値] :

       設定値	説明
       3des-cbc	3DES-CBC
       des-cbc	DES-CBC
       aes-cbc	AES128-CBC
       aes256-cbc	AES256-CBC　★

     • [初期値] : 3des-cbc

   [説明]

   IKEv1として動作する際に用いる暗号アルゴリズムを設定する。
   始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応答側として働く場合は本コマンドの設定に関係なく、サポートされている任意のアルゴリズムを用いることができる。
   ただし、ipsec ike negotiate-strictlyコマンドがonの場合は、応答側であっても設定したアルゴリズムしか利用できない。

   [ノート]

   IKEv2で暗号アルゴリズムを折衝する際は、本コマンドの設定にかかわらず動的に決定される。具体的に、始動側として働く場合はサポートするすべてのアルゴリズムを同時に提案し、 相手側セキュリティ・ゲートウェイに選択させる。また応答側として働く場合は、提案されたものからより安全なアルゴリズムを選択する。

   AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
   ※IKEv2でのみAES192-CBCをサポート

   ○IKEが用いるハッシュアルゴリズムの設定

   [書式]

   ipsec ike hash gateway_id algorithm
   no ipsec ike hash gateway_id [algorithm]

   [設定値及び初期値]

   • gateway_id
     • [設定値] : セキュリティ・ゲートウェイの識別子
     • [初期値] : -
   • algorithm
     • [設定値] :

       設定値	説明
       md5	MD5
       sha	SHA-1
       sha256	SHA-256　★

     • [初期値] : sha

   [説明]

   IKEv1として動作する際に用いるハッシュアルゴリズムを設定する。
   始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応答側として働く場合は本コマンドの設定に関係なく、 サポートされている任意のアルゴリズムを用いることができる。
   ただし、ipsec ike negotiate-strictlyコマンドがonの場合は、応答側であっても設定したアルゴリズムしか利用できない。

   [ノート]

   IKEv2では、IKEv1のハッシュアルゴリズムに相当する折衝パラメータとして、認証アルゴリズム(Integrity Algorithm)とPRF(Pseudo-Random Function)がある。 ただし、これらのパラメータを折衝する際は、本コマンドの設定にかかわらず動的に決定される。
   具体的に、始動側として働く場合はサポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。 また応答側として働く場合は、受け取った提案から以下の優先順位でアルゴリズムを選択する。
   
   

   • 認証アルゴリズム
     HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96
     
     
   • PRF
     HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5
     
     

   ○SAのポリシーの定義

   [書式]

   ipsec sa policy policy_id gateway_id ah ah_algorithm [local-id=local-id] [remote-id=remote-id] [anti-replay-check=check]
   ipsec sa policy policy_id gateway_id esp esp_algorithm [ah_algorithm] [anti-replay-check=check]
   no ipsec sa policy policy_id [gateway_id]

   [設定値及び初期値]

   • policy_id
     • [設定値] : ポリシーID(1..2147483647)
     • [初期値] : -
   • gateway_id
     • [設定値] : セキュリティ・ゲートウェイの識別子
     • [初期値] : -
   • ah_algorithm : 認証アルゴリズム
     • [設定値] :

       設定値	説明
       md5-hmac	HMAC-MD5
       sha-hmac	HMAC-SHA-1
       sha256-hmac	HMAC-SHA2-256　★

     • [初期値] : -
   • esp_algorithm : 暗号アルゴリズム
     • [設定値] :

       設定値	説明
       3des-cbc	3DES-CBC
       des-cbc	DES-CBC
       aes-cbc	AES128-CBC
       aes256-cbc	AES256-CBC　★

     • [初期値] : -
   • local-id
     • [設定値] : 自分側のプライベートネットワーク
     • [初期値] : -
   • remote-id
     • [設定値] : 相手側のプライベートネットワーク
     • [初期値] : -
   • check
     • [設定値] :

       設定値	説明
       on	シーケンス番号のチェックを行う
       off	シーケンス番号のチェックを行わない

     • [初期値] : on

   [説明]

   SAのポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。 この定義は複数のトンネルモードおよびトランスポートモードで使用できる。
   local-id、remote-idには、カプセル化したいパケットの始点/終点アドレスの範囲をネットワークアドレスで記述する。 これにより、1つのセキュリティ・ゲートウェイに対して、複数のIPsec SAを生成し、IPパケットの内容に応じてSAを使い分けることができるようになる。
   check=onの場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、エラーとなるパケットは破棄する。 破棄する際にはdebugレベルで

   [IPSEC] sequence difference
   [IPSEC] sequence number is wrong
   

   といったログが記録される。
   相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。 その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定をoffにするとよい。
   IKEv2として動作する場合、ah_algorithm、及びesp_algorithmパラメータは効力を持たず、 これらのアルゴリズムは折衝時に動的に決定される。
   具体的に、始動側として働く場合はサポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。 また応答側として働く場合は、受け取った提案から以下の優先順位でアルゴリズムを選択する。
   
   

   • 認証アルゴリズム
     HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96
     
     
   • 暗号アルゴリズム
     AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
     ※IKEv2でのみAES192-CBCをサポート
     
     

   また、IKEv2ではlocal-id、remote-idパラメータに関しても効力を持たない。

   [ノート]

   双方で設定するlocal-idとremote-idは一致している必要がある。

■仕様変更

1. OSPFで、セカンダリアドレスを使用できるようにした。

2. 以下のIPアドレスの設定時に重複をチェックしないように変更した。

   • IPアドレスの設定
     • ip INTERFACE address
     • ip pp address
     • ip tunnel address
     • ip loopback address
     
     
   • IPv6アドレスの設定
     • ipv6 INTERFACE address
     • ipv6 pp address
     • ipv6 tunnel address
     • ipv6 loopback address
     
     
   • IPv6プレフィックスの設定
     • ipv6 INTERFACE prefix
     • ipv6 pp prefix
     • ipv6 tunnel prefix
     
     

3. 代理ARP機能について、Gratuitous ARP要求を受信しても応答しないように変更した。 また、senderIPが0.0.0.0のARP要求についても代理ARP機能では応答しないように変更した。

4. 起動時にsshd host key generateコマンドを読み込む際、SSHの暗号化されたRSA秘密鍵と DSA秘密鍵の復号に失敗した場合には、RSA秘密鍵とDSA秘密鍵を再生成するようにした。

5. show techinfoコマンドの結果に、show status heartbeat2コマンドを追加した。

■バグ修正

1. RIPv2で不正な経路を受信すると、その経路を破棄せずに経路テーブルに取り込んだり、リブートしたりするバグを修正した。 本修正により、不正な経路を受信した場合、下記に示すようなログがDEBUGレベルのSYSLOGに出力される

   Received illegal IP route X.X.X.X/X.X.X.X from X.X.X.X by RIPv2
   

2. ルーティングプロトコルとしてOSPFを使用する場合、4096バイト以上のOSPFパケットを受信すると、リブートすることがあるバグを修正した。

   336個以上のLSAを含んだLSUパケットを受信した場合がこの条件に該当する。

3. OSPFで、下記に示すようにエリア全体の認証が有効になっているがそのエリアに属するインタフェースの設定に 認証鍵の指定がない場合、本来送信しないHelloパケットを送信しようとしてメモリリークが発生するバグを修正した。

   （MD5認証の設定誤りの例）
    ip lan1 ospf area backbone                    × md5keyがない
    ip lan2 ospf area backbone md5key=1,abc       ○ 正しい
    ospf area backbone auth=md5
   
   （プレーンテキスト認証の設定誤りの例）
    ip lan1 ospf area backbone                    × authkeyがない
    ip lan2 ospf area backbone authkey=abc        ○ 正しい
    ospf area backbone auth=text
   

4. LOOPBACKインタフェース、またはNULLインタフェース宛にIPv6パケットを送信するとリブートするバグを修正した。

5. dhcp scope bindコマンドで、同一スコープ番号の設定に対して重複したMACアドレスを複数組登録すると、起動時にリブートすることがあるバグを修正した。

6. ルーターをDHCPクライアントとして動作させる場合、IPアドレスの取得処理中にARPパケットを受信するとハングアップすることがあるバグを修正した。

7. 外部データベース参照型URLフィルターを使用すると、メモリリークするバグを修正した。

   ※ Rev.9.00.48のファームウェアで発生する。

8. RIPngの優先度が他より低い場合に、RIPngで通知された経路と同一の宛先に対する経路がOSPFv3によって通知されるか ipv6 routeコマンドで静的に設定されると、当該経路情報がRIPngによって通知されなくなってもhide状態で ルーティングテーブルに残り、さらにOSPFv3によって通知されなくなるか静的経路が削除されると本来は 無効（hide状態）であるべきRIPngによって通知された経路が有効になってしまうバグを修正した。

9. VRRPで、仮想ルーターのIPアドレスとしてVRRPグループに所属するVRRPルーターのうちの1台のIPアドレスを 利用する場合、マスタールーターのシャットダウンによりバックアップルーター経由の経路に切り替わった状態だと バックアップルーター配下の端末の通信が行えなくなることがあるバグを修正した。

10. PPP接続で多数の相手先に対してランダムに発着信を行うと、不特定の相手先へその後自動発信できなくなったり、 メモリリークしたりすることがあるバグを修正した。

11. pp auth usernameコマンドで、発呼用ISDNアドレスと着呼用ISDNアドレスを32個まで設定できないバグを修正した。

12. IPsecのSA更新処理が行われる場合、ipsec ike keepalive useコマンドによって新しいSAの生成からそのSAが有効になるまでの upwait時間が設定されていると、新しいSAが有効になるタイミングでESPパケットのロスが発生することがあるバグを修正した。

13. IPsec接続において、設定できないはずのTUNNELがUPすることがあるバグを修正した。

14. IKEキープアライブで、キープアライブパケットを送信せずに失敗と判定してしまうことがあるバグを修正した。

15. フィルター型ルーティング機能で、ip routeコマンド設定でフィルター型経路が指定されているゲートウェイより先に、 フィルター型経路が指定されていないゲートウェイが記述されている場合に、フィルター型経路が指定されているゲートウェイが 優先されず、フィルター型経路が指定されていないゲートウェイが選択されることがあるバグを修正した。

16. LAN分割あるいはタグVLANを使用する場合に以下のMIBオブジェクトにアクセスすると、 それらのインタフェースの情報を正しく取得できないことがあるバグを修正した。

    • ifOper
    • ifSpeed
    • yrIfLanLink
    • yrIfLanMediaType
    • yrIfPpSpeed

    なお、タグVLANのインタフェースについてはvlan 802.1qコマンドが設定されていない場合にはリンクダウンしているものとみなすようにした。

17. DHCPサーバー機能で、UDPポートの確保に失敗したときにdhcp serviceコマンドの設定がserverからrelayに変わってしまうバグを修正した。 この状態でsaveすると再起動時にDHCPリレーエージェントとして起動していた。

    また、UDPポートの確保に失敗したときに出力されるログをDEBUGレベルからINFOレベルへ修正した。

18. IPマスカレードを使用している環境で、FTPのPORT/EPRTコマンド、PASV/EPSVレスポンスを再送するとき異なるポート番号に変換してしまうバグを修正した。

19. TFTPで設定ファイルを書き込むとき、clear configurationコマンドによって設定をクリアした場合に以下のコマンドが削除されないバグを修正した。

    • administrator password
    • administrator password encrypted
    • login password
    • login password encrypted
    • sshd host key generate
    
    

20. TFTPで設定ファイルに以下の設定を書き込むと、ログインパスワードおよび管理パスワードとして任意の文字列を用いて ログインおよび管理ユーザへの昇格を行うことができてしまうバグを修正した。

    • login password encrypted "任意の1文字"
    • administrator password encrypted "任意の1文字"

    また、上記入力形式においてパスワードに該当する文字列の文字数が32文字以外である場合には、コマンド実行エラーとなるようにした。

21. まれに起動直後から以下の機能が使用できないことがあるバグを修正した。

    • TFTP
    • SNMP(snmp hostコマンドが設定されているとき)
    
    

22. PIAFS端末へコールバック接続するとき、通信速度が変更されると接続できなくなることがあるバグを修正した。

23. MLDv1のQueryメッセージに含まれるMRDフィールドに不正な値が設定されるバグを修正した。

24. ダウン状態にあるトンネルインタフェース宛へRIPngを送信しないようにした。

25. yrIfTunnelDisplayAtMib2にアクセスできないバグを修正した。

26. dns server selectコマンドのQUERYにスペースや「"」「#」「\」などの特殊文字を含んだ文字列を設定すると正しく設定されず、 再起動をすると設定が消えてしまうバグを修正した。

27. ターミナルソフトの設定とconsole characterコマンドの設定がともにEUCに設定されているとき、日本語を入力できるコマンドが 設定された状態で以下のコマンドを実行すると、日本語の設定が文字化けするバグを修正した。

    • show config
    • show config N
    • show config list
    • show file list
    • show status pp
    • show status tunnel
    
    

28. 以下のコマンドのコマンドヘルプの誤記を修正した。

    • ip INTERFACE ospf area
    • isdn arrive permit
    • ospf area network
    • ospf export from ospf
    • ospf neighbor
    
    
29. ルーターを端点とするTCPの通信が行われると、稀にリブートすることがあるバグを修正した。

■更新履歴

以上