http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_50.txt Revision : 09.00.50 Release : May. 2011, ヤマハ株式会社 Rev.9.00.50 リリースノート ================================================================================ ○RTX3000 Rev.9.00.48 からの変更点 ================================================================================ ■機能追加 [1] NTT東日本/NTT西日本のデータコネクトサービスを利用した以下の機能に対応した。 ・リモートセットアップ機能 http://www.rtpro.yamaha.co.jp/RT/docs/ngn/ngn_remote_setup.html ・拠点間接続機能 http://www.rtpro.yamaha.co.jp/RT/docs/ngn/ngn_dataconnect.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] IKEv2機能を追加した。 http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ike2.html 外部仕様書をよくご確認のうえ、ご利用ください。 [3] LANインタフェースの受信パケットバッファサイズを設定できるようにした。 また、初期値を128から512へ変更した。 ○LANインタフェースの受信パケットバッファサイズの設定 [書式] lan receive-buffer-size INTERFACE SIZE no lan receive-buffer-size [INTERFACE SIZE] [設定値および初期値] INTERFACE [設定値] : LANインタフェース名 [初期値] : - SIZE [設定値] : 受信パケットバッファサイズ(1..1000) [初期値] : 512 [説明] LANインタフェースの受信パケットバッファサイズ(受信キュー長)をパケット の個数で設定する。 [4] IPsecのハッシュアルゴリズムとしてSHA-256に対応した。 また暗号アルゴリズム AES-CBCにおいて鍵長256bitに対応した。 ○IKEが用いる暗号アルゴリズムの設定 [書式]   ipsec ike encryption GATEWAY_ID ALGORITHM   no ipsec ike encryption GATEWAY_ID [ALGORITHM] [設定値及び初期値]   GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : -   ALGORITHM [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- 3des-cbc 3DES-CBC des-cbc DES-CBC aes-cbc AES128-CBC aes256-cbc AES256-CBC ★ --------------------------------------------------------------- [初期値] : 3des-cbc [説明]   IKEv1として動作する際に用いる暗号アルゴリズムを設定する。 始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応 答側として働く場合は本コマンドの設定に関係なく、サポートされている任意の アルゴリズムを用いることができる。 ただし、ipsec ike negotiate-strictlyコマンドがonの場合は、応答側であって も設定したアルゴリズムしか利用できない。 [ノート] IKEv2で暗号アルゴリズムを折衝する際は、本コマンドの設定にかかわらず動的に 決定される。具体的に、始動側として働く場合はサポートするすべてのアルゴリ ズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。また応 答側として働く場合は、提案されたものからより安全なアルゴリズムを選択す る。 AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC ※IKEv2でのみAES192-CBCをサポート ○IKEが用いるハッシュアルゴリズムの設定 [書式]   ipsec ike hash GATEWAY_ID ALGORITHM   no ipsec ike hash GATEWAY_ID [ALGORITHM] [設定値及び初期値]   GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : -   ALGORITHM [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- md5 MD5 sha SHA-1 sha256 SHA-256 ★ --------------------------------------------------------------- [初期値] : sha [説明]   IKEv1として動作する際に用いるハッシュアルゴリズムを設定する。 始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応 答側として働く場合は本コマンドの設定に関係なく、サポートされている任意の アルゴリズムを用いることができる。 ただし、ipsec ike negotiate-strictlyコマンドがonの場合は、応答側であって も設定したアルゴリズムしか利用できない。 [ノート] IKEv2では、IKEv1のハッシュアルゴリズムに相当する折衝パラメータとして、認 証アルゴリズム(Integrity Algorithm)とPRF(Pseudo-Random Function)がある。 ただし、これらのパラメータを折衝する際は、本コマンドの設定にかかわらず動 的に決定される。 具体的に、始動側として働く場合はサポートするすべてのアルゴリズムを同時に 提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働 く場合は、受け取った提案から以下の優先順位でアルゴリズムを選択する。 - 認証アルゴリズム HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96 - PRF HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5 ○SAのポリシーの定義 [書式] ipsec sa policy POLICY_ID GATEWAY_ID ah AH_ALGORITHM [local-id=LOCAL-ID] [remote-id=REMOTE-ID] [anti-replay-check=CHECK] ipsec sa policy POLICY_ID GATEWAY_ID esp ESP_ALGORITHM [AH_ALGORITHM] [anti-replay-check=CHECK] no ipsec sa policy POLICY_ID [GATEWAY_ID] [設定値及び初期値] POLICY_ID [設定値] : ポリシーID(1..2147483647) [初期値] : - GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : - AH_ALGORITHM : 認証アルゴリズム [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- md5-hmac HMAC-MD5 sha-hmac HMAC-SHA-1 sha256-hmac HMAC-SHA2-256 ★ --------------------------------------------------------------- [初期値] : - ESP_ALGORITHM : 暗号アルゴリズム --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- 3des-cbc 3DES-CBC   des-cbc DES-CBC   aes-cbc AES128-CBC   aes256-cbc AES256-CBC ★ --------------------------------------------------------------- [初期値] : - LOCAL-ID [設定値] : 自分側のプライベートネットワーク [初期値] : - REMOTE-ID [設定値] : 相手側のプライベートネットワーク [初期値] : - CHECK [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on シーケンス番号のチェックを行う off シーケンス番号のチェックを行わない --------------------------------------------------------------- [初期値] : on [説明]   SAのポリシーを定義する。この定義はトンネルモードおよびトランスポートモー ドの設定に必要である。この定義は複数のトンネルモードおよびトランスポート モードで使用できる。 LOCAL-ID、REMOTE-IDには、カプセル化したいパケットの始点/終点アドレスの範 囲をネットワークアドレスで記述する。これにより、1つのセキュリティ・ゲート ウェイに対して、複数のIPsec SAを生成し、IPパケットの内容に応じてSAを使い 分けることができるようになる。   CHECK=onの場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを 行い、エラーとなるパケットは破棄する。破棄する際にはdebugレベルで    [IPSEC] sequence difference    [IPSEC] sequence number is wrong   といったログが記録される。   相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケ ンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際 にはエラーではないのに上のログが表示され、パケットが破棄されることがある ので、そのような場合には設定をoffにするとよい。 IKEv2として動作する場合、AH_ALGORITHM、及びESP_ALGORITHMパラメータは効力 を持たず、これらのアルゴリズムは折衝時に動的に決定される。 具体的に、始動側として働く場合はサポートするすべてのアルゴリズムを同時に 提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働 く場合は、受け取った提案から以下の優先順位でアルゴリズムを選択する。 - 認証アルゴリズム HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96 - 暗号アルゴリズム AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC ※IKEv2でのみAES192-CBCをサポート また、IKEv2ではLOCAL-ID、REMOTE-IDパラメータに関しても効力を持たない。 [ノート]   双方で設定するLOCAL-IDとREMOTE-IDは一致している必要がある。 ■仕様変更 [1] OSPFで、セカンダリアドレスを使用できるようにした。 [2] 以下のIPアドレスの設定時に重複をチェックしないように変更した。 ・IPアドレスの設定 - ip INTERFACE address - ip pp address - ip tunnel address - ip loopback address ・IPv6アドレスの設定 - ipv6 INTERFACE address - ipv6 pp address - ipv6 tunnel address - ipv6 loopback address ・IPv6プレフィックスの設定 - ipv6 INTERFACE prefix - ipv6 pp prefix - ipv6 tunnel prefix [3] 代理ARP機能について、Gratuitous ARP要求を受信しても応答しないように変更した。 また、senderIPが0.0.0.0のARP要求についても代理ARP機能では応答しないように変 更した。 [4] 起動時にsshd host key generateコマンドを読み込む際、SSHの暗号化されたRSA秘 密鍵とDSA秘密鍵の復号に失敗した場合には、RSA秘密鍵とDSA秘密鍵を再生成するよ うにした。 [5] show techinfoコマンドで表示される内容に、show status heartbeat2コマンドの実 行結果を追加した。 ■バグ修正 [1] RIPv2で不正な経路を受信すると、その経路を破棄せずに経路テーブルに取り込んだ り、リブートしたりするバグを修正した。本修正により、不正な経路を受信した場 合、下記に示すようなログがDEBUGレベルのSYSLOGに出力される。 Received illegal IP route X.X.X.X/X.X.X.X from X.X.X.X by RIPv2 [2] ルーティングプロトコルとしてOSPFを使用する場合、4096バイト以上のOSPF パケットを受信すると、リブートすることがあるバグを修正した。 336個以上のLSAを含んだLSUパケットを受信した場合がこの条件に該当する。 [3] OSPFで、下記に示すようにエリア全体の認証が有効になっているがそのエリアに 属するインタフェースの設定に認証鍵の指定がない場合、本来送信しないHello パケットを送信しようとしてメモリリークが発生するバグを修正した。 (MD5認証の設定誤りの例) ip lan1 ospf area backbone × md5keyがない ip lan2 ospf area backbone md5key=1,abc ○ 正しい ospf area backbone auth=md5 (プレーンテキスト認証の設定誤りの例) ip lan1 ospf area backbone × authkeyがない ip lan2 ospf area backbone authkey=abc ○ 正しい ospf area backbone auth=text [4] LOOPBACKインタフェース、またはNULLインタフェース宛にIPv6パケットを送信する とリブートするバグを修正した。 [5] dhcp scope bindコマンドで、同一スコープ番号の設定に対して重複したMACアドレ スを複数組登録すると、起動時にリブートすることがあるバグを修正した。 [6] ルーターをDHCPクライアントとして動作させる場合、IPアドレスの取得処理中にARP パケットを受信するとハングアップすることがあるバグを修正した。 [7] 外部データベース参照型URLフィルターを使用すると、メモリリークするバグを修正 した。 ※ Rev.9.00.48のファームウェアで発生する。 [8] RIPngの優先度が他より低い場合に、RIPngで通知された経路と同一の宛先に対する 経路がOSPFv3によって通知されるかipv6 routeコマンドで静的に設定されると、当 該経路情報がRIPngによって通知されなくなってもhide状態でルーティングテーブル に残り、さらにOSPFv3によって通知されなくなるか静的経路が削除されると本来は 無効(hide状態)であるべきRIPngによって通知された経路が有効になってしまうバ グを修正した。 [9] VRRPで、仮想ルーターのIPアドレスとしてVRRPグループに所属するVRRPルーターの うちの1台のIPアドレスを利用する場合、マスタールーターのシャットダウンにより バックアップルーター経由の経路に切り替わった状態だとバックアップルーター配 下の端末の通信が行えなくなることがあるバグを修正した。 [10] PPP接続で多数の相手先に対してランダムに発着信を行うと、不特定の相手先へそ の後自動発信できなくなったり、メモリリークしたりすることがあるバグを修正し た。 [11] pp auth usernameコマンドで、発呼用ISDNアドレスと着呼用ISDNアドレスを32個ま で設定できないバグを修正した。 [12] IPsecのSA更新処理が行われる場合、ipsec ike keepalive useコマンドによって新 しいSAの生成からそのSAが有効になるまでのupwait時間が設定されていると、新し いSAが有効になるタイミングでESPパケットのロスが発生することがあるバグを修 正した。 [13] IPsec接続で、設定できないはずのTUNNELがUPすることがあるバグを修正した。 [14] IKEキープアライブで、キープアライブパケットを送信せずに失敗と判定してしま うことがあるバグを修正した。 [15] フィルター型ルーティング機能で、ip route コマンド設定でフィルター型経路が 指定されているゲートウェイより先に、フィルター型経路が指定されていない ゲートウェイが記述されている場合に、フィルター型経路が指定されているゲート ウェイが優先されず、フィルター型経路が指定されていないゲートウェイが選択さ れることがあるバグを修正した。 [16] LAN分割あるいはタグVLANを使用する場合に以下のMIBオブジェクトにアクセスする と、それらのインタフェースの情報を正しく取得できないことがあるバグを修正し た。 - ifOper - ifSpeed - yrIfLanLink - yrIfLanMediaType - yrIfPpSpeed なお、タグVLANのインタフェースについては vlan 802.1q コマンドが設定されて いない場合にはリンクダウンしているものとみなすようにした。 [17] DHCPサーバー機能で、UDPポートの確保に失敗したときにdhcp service コマンドの 設定がserverからrelayに変わってしまうバグを修正した。この状態でsaveすると 再起動時にDHCPリレーエージェントとして起動していた。 また、UDPポートの確保に失敗したときに出力されるログをDEBUGレベルからINFOレ ベルへ変更した。 [18] IPマスカレードを使用している環境で、FTPのPORT/EPRTコマンド、PASV/EPSVレス ポンスを再送するとき異なるポート番号に変換してしまうバグを修正した。 [19] TFTPで設定ファイルを書き込むとき、clear configurationコマンドによって設定 をクリアした場合に以下のコマンドが削除されないバグを修正した。 - administrator password - administrator password encrypted - login password - login password encrypted - sshd host key generate [20] TFTPで設定ファイルに以下の設定を書き込むと、ログインパスワードおよび管理パ スワードとして任意の文字列を用いてログインおよび管理ユーザーへの昇格を行う ことができてしまうバグを修正した。 - login password encrypted "任意の1文字" - administrator password encrypted "任意の1文字" また、上記入力形式においてパスワードに該当する文字列の文字数が32文字以外で ある場合には、コマンド実行エラーとなるようにした。 [21] まれに起動直後から以下の機能が使用できないことがあるバグを修正した。 - TFTP - SNMP(snmp hostコマンドが設定されているとき) [22] PIAFS端末へコールバック接続するとき、通信速度が変更されると接続できなくな ることがあるバグを修正した。 [23] MLDv1のQueryメッセージに含まれるMRDフィールドに不正な値が設定されるバグを 修正した。 [24] ダウン状態にあるトンネルインタフェース宛へRIPngを送信しないようにした。 [25] yrIfTunnelDisplayAtMib2にアクセスできないバグを修正した。 [26] dns server selectコマンドのQUERYにスペースや「"」「#」「\」などの特殊文字 を含んだ文字列を設定すると正しく設定されず、再起動をすると設定が消えてしま うバグを修正した。 [27] ターミナルソフトの設定とconsole characterコマンドの設定がともにEUCに設定さ れているとき、日本語を入力できるコマンドが設定された状態で以下のコマンドを 実行すると、日本語の設定が文字化けするバグを修正した。 - show config - show config N - show config list - show file list - show status pp - show status tunnel [28] 以下のコマンドのコマンドヘルプの誤記を修正した。 - ip INTERFACE ospf area - isdn arrive permit - ospf area network - ospf export from ospf - ospf neighbor [29] ルーターを端点とするTCPの通信が行われると、稀にリブートすることがあるバグ を修正した。 ■更新履歴 May. 2011, Rev.9.00.50 リリース Jul. 2011, 機能追加[4]を追加した Nov. 2011, 仕様変更[2]の記述を変更した Oct. 2012, バグ修正[29]を追加した ================================================================================ 以上