VPNクライアントソフトYMS-VPN8/YMS-VPN8-CPに対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn8.html
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn8cp.html
設定例をご確認のうえ、ご利用ください。
L2TP/IPsecに対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html
また、本対応に伴いSNMPのインタフェース番号を更新した。
http://www.rtpro.yamaha.co.jp/RT/FAQ/SNMP/interface-number.html
外部仕様書をよくご確認のうえ、ご利用ください。
以下のコマンドについて、reboundオプションを追加した。
このオプションをonに設定することにより、受信したパケットに対するそれぞれのICMPエラーを経路と関係なく受信したインターフェースから送信することができる。
○ICMP Time Exceededを送信するか否かの設定
| 設定値 | 説明 |
|---|---|
| on | 送信する |
| off | 送信しない |
| 設定値 | 説明 |
|---|---|
| on | 受信インターフェースから送信する |
| off | 経路に従って送信する |
○ICMP Destination Unreachableを送信するか否かの設定
| 設定値 | 説明 |
|---|---|
| on | 送信する |
| off | 送信しない |
| 設定値 | 説明 |
|---|---|
| on | 受信インターフェースから送信する |
| off | 経路に従って送信する |
IPsecトランスポートモードの設定で、テンプレートに対応した。
○トランスポートモードのテンプレートの設定
OSPFv3のプロトコルスタックを新実装に変更した。
動作に変更はない。
以下に示すIPv4の経路変更が発生した場合は、経路情報の更新内容を直ちにルーティング処理に反映するようにした。
なお、上記以外の場合には、経路情報の更新内容のルーティング処理への反映は従来通り1秒おきである。
トンネルテンプレートで、L2TP/IPsecに関連したコマンドに対応した。
○トンネルテンプレートの設定
| コマンド | パラメーター |
|---|---|
| ipsec tunnel | ポリシーID |
| ipsec sa policy | ポリシーID |
| ipsec ikeで始まるコマンド | セキュリティ・ゲートウェイの識別子 |
| ipsec auto refresh | セキュリティ・ゲートウェイの識別子 |
| tunnel enable | トンネルインターフェース番号 |
ipsec sa policyコマンドでは、セキュリティ・ゲートウェイの識別子が展開先のトンネルインターフェース番号に置換される。
ipsec ike remote nameコマンドでは、相手側セキュリティ・ゲートウェイの名前の末尾に展開先のトンネルインターフェース番号が付加される。
展開元のトンネルインターフェースに設定されているコマンドと同じコマンドが、展開先のトンネルインターフェースに既に設定されている場合、展開先のトンネルインターフェースに設定されているコマンドが優先される。
コマンド展開後の、ルーターの動作時に参照される設定はshow config tunnelコマンドにexpandキーワードを指定することで確認できる。
| 機種 | リビジョン |
|---|---|
| RTX5000、RTX3500 | すべてのリビジョン |
| RTX3000 | Rev.9.00.56以降 |
| RTX1200 | Rev.10.01.42以降 |
| 機種 | リビジョン |
|---|---|
| RTX3000 | Rev.9.00.60以降 |
IKEv1で、鍵交換の処理を一部の実装に合わせられるようにした。
IKEv1の旧実装(リリース1)と新実装(リリース2)は、ipsec ike backward-compatibilityコマンドで切り替えることができる。
IKEv1の旧実装と新実装でIPsec接続する場合、認証アルゴリズムと暗号化アルゴリズムとの組み合わせによっては接続が確立しなかったり、データの送受信が行えない。
○IKEv1鍵交換タイプの設定
| 設定値 | 説明 |
|---|---|
| 1 | ヤマハルーターのリリース1(過去のリリース)との互換性を保持する |
| 2 | ヤマハルーターのリリース2(新リリース)に合わせる |
IKEv2で、鍵交換や鍵の使用方法を、一部の実装に合わせられるようにした。
IKEv2の旧実装(リリース1)と新実装(リリース2)は、ipsec ike payload typeコマンドで切り替えることができる。
IKEv2の旧実装と新実装で、IPsec接続やデータコネクト拠点間接続する場合、キープアライブやリキーに失敗してトンネルダウンしたり、リキー後にデータの送受信ができなくなる。
○IKEペイロードタイプの設定
| 設定値 | 説明 |
|---|---|
| 1 | ヤマハルーターのリリース2との互換性を保持する |
| 2 | ヤマハルーターのリリース3に合わせる |
| 3 | 初期ベクトル(IV)の生成方法を一部の実装に合わせる |
| 設定値 | 説明 |
|---|---|
| 1 | ヤマハルーターのIKEv2のリリース1との互換性を保持する |
| 2 | 鍵交換や鍵の使用方法を一部の実装に合わせる |
| 機種 | リビジョン |
|---|---|
| RTX3000 | Rev.9.00.56以前 |
| RTX1200 | Rev.10.01.45以前 |
| RTX810 | Rev.11.01.06以前 |
| FWX120 | Rev.11.03.02 |
RIPで他のルーターから経路を受信しているとき、スタティックやOSPFなどRIPより優先度が高く設定されたルーティングプロトコルで同じ宛先ネットワークへの経路を受信した場合の仕様を以下のように変更した。
○RIPによる経路の優先度の設定
| 設定値 | 説明 |
|---|---|
| on | 無効となったRIP由来の経路を削除しない |
| off | 無効となったRIP由来の経路を削除する |
リモートセットアップの着信で接続後最初のフレームが異常なフレームだったときにだけ間違った接続に応答したと判断して切断していたが、これを無視して着信の処理を継続するように変更した。
show techinfoコマンドの結果にshow config listコマンドを追加した。
RFCの記述の不整合を起因とするOSPFv2の脆弱性(VU#229804)について対応した。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU96465452.html
OSPFでAdvertising RouterとLink State IDとが異なるRouter LSAを含むLSUパケットを受信したとき、それを破棄するようにした。
IKEv2の不正なパケットを受信するとリブートすることがあるバグを修正した。
IKEv2で接続中にリブートする可能性を排除した。
IKEv2メッセージを受信したときにリブートすることがあるバグを修正した。
IKEv2で、証明書失効リスト(CRL)ファイルを利用してPKI証明書による認証を行う場合、接続するそれぞれのルーターから同時に鍵交換を始動すると接続後にリブートすることがあるバグを修正した。
BGPで大量の接続要求を一度に受けるとリブートすることがあるバグを修正した。
ipv6 interface mld routerコマンドを設定するとリブートする可能性を排除した。
Rev.9.00.31以降で発生する。
PRIインターフェースを専用線に接続して使用したとき、相手機器からのLCPパケットを受信しないことによりLCPネゴシエーションが完了できない場合にリブートすることがあるバグを修正した。
nat descriptor address outerコマンドでIPアドレスの範囲に16385個以上のアドレスを指定すると、リブートしたりハングアップしたりすることがあるバグを修正した。
OSPFv3で、以下の条件に当てはまる設定がされていると、ルーターの起動時やOSPFv3の再起動時にルーターがリブートすることがある可能性を排除した。
PPPのIPV6CPがアップすると、メモリの不正解放が発生し、リブートしたりハングアップしたりすることがあるバグを修正した。
以下のコマンドで、パラメーターを指定せずに実行するとリブートすることがあるバグを修正した。
コマンドヘルプの表示中に"---つづく---"と表示され、そのままログインタイマーがタイムアウトになった状態でEnterキーを入力するとリブートすることがあるバグを修正した。
LAN3/LAN4インターフェースで送信アンダーフロー、Late collision、再送エラーのいずれかが発生すると、該当インターフェースからの送信ができなくなることがあるバグを修正した。
traceroute6コマンドを実行したときにメモリリークすることがあるバグを修正した。
IPsec XAUTH認証機能で、事前共有鍵の取得にRADIUS認証を使用している場合、ルーターが受信したAccess-AcceptにFilter-Id属性が含まれているとき、設定が正しくてもトンネルが確立しないバグを修正した。
Rev.9.00.56以降で発生する。
IPsecで、ipsec ike keepalive useコマンドでautoが設定されていて、接続相手からのheartbeatパケットの受信によってキープアライブが動作しているとき、show ipsec sa gatewayコマンドでKフラグが表示されないことがあるバグを修正した。
IPsecで、ipsec ike pre-shared-keyコマンドが未設定かつipsec ike remote nameコマンドが設定済みのときに、アグレッシブモードのレスポンダーとしてメッセージを受信するとIPsecの処理全体が遅くなるバグを修正した。
ノーマルパスでのIPsecの復号処理でICVチェックが正しく動作しないバグを修正した。
IPsecで、ISAKMPヘッダー長として必要な長さを満たさないIKEv1パケットを受信した場合に、IKEv2の不要なエラーログがSYSLOGに出力されてしまうバグを修正した。
データコネクト拠点間接続のIPsecトンネルで、IPv6ノーマルパス設定でパケットの送信が無く受信のみがあるときに、tunnel ngn disconnect timeコマンドの設定時間で切断されてしまうバグを修正した。
データコネクト拠点間接続で、自動切断タイマーが無効になることがあるバグを修正した。
データコネクト拠点間接続機能で、tunnel ngn fallbackコマンド設定に従って接続相手を変更して接続した場合、切断後最大で一分間再接続ができないバグを修正した。
ホームゲートウェイ配下でのデータコネクト接続ができないバグを修正した。
Rev.9.00.56以降で発生する。
IKEv2で、ip keepaliveコマンドのipsec-refresh/ipsec-refresh-up/ipsec-refresh-downオプションを設定しているとき、キープアライブの到達性が変化してもSAが更新されないバグを修正した。
IKEv2で、接続するそれぞれのルーターから同時に鍵交換を始動した場合、リキーに失敗してトンネルがダウンすることがあるバグを修正した。
本修正により、IKE_AUTH交換時に、INITIAL_CONTACT Notifyメッセージを送受信しないようになる。
ISDN接続で、IPsecトンネルの接続先アドレスが名前によるルーティング機能によりPP anonymousから発信する設定になっている場合に、ISDNを切断した直後にipsec refresh saコマンドを実行すると、別の接続先に発信できないことがあるバグを修正した。
ISDN専用線を使ったPP接続において、ルーターの起動直後に接続処理が始まると、IPCPのネゴシエーションに失敗し続け、接続が完了しないバグを修正した。
PP anonymous接続で複数の相手から接続されているとき、snmp trap enable snmpコマンドまたはsnmp trap send linkdownコマンドの設定に関わらず、linkUpトラップやlinkDownトラップが送信されるバグを修正した。
PPPの認証で、mschapまたはmschap-v2が使用された場合であっても、show statusppコマンドで出力されるPPPオプションに含まれる認証アルゴリズムが"CHAP"と表示されるバグを修正した。
DHCPv6クライアント機能で、DHCPv6サーバーから取得したIPv6アドレスのlifetimeが更新されないバグを修正した。
DHCPv6-PDプロキシ機能で、上位のDHCPv6サーバーからアドレスやその他の情報をもらっている状態で配下からのRSを受け取ったとき、RAを出さないことがあるバグを修正した。
WAN側で動的IPv6アドレスを使用し、LAN側に静的IPv6プレフィックスを広告する設定を行ったとき、RAプロキシ機能を使っていないにも関わらず、LAN側の設定に関するコマンド入力時にWAN側にRSが送信されるバグを修正した。
短時間に大量のRIPリクエストを受信すると、その後の受信が停止してしまうことがあるバグを修正した。
RIPngで取得した経路がリンクダウン時に消えないバグを修正した。
SNMPで以下の情報を取得すると正しい値が得られないバグを修正した。
TFTPでルーターの設定を取得したときに、取得した設定ファイルで一部の機能のバナーが表示されないバグを修正した。
LAN分割の設定をしているとき、SNMPでIF-MIB::ifOutQLen変数の値を取得すると、正しい値が得られないバグを修正した。
宛先アドレスに該当する経路が不明なパケットを受信したとき、送出されるICMPエラーパケットに格納されている受信パケットに対するNATのエントリが不正に生成されるバグを修正した。
DNSリカーシブサーバー機能で、EDNS0に対応したクライアントからの問い合わせにエラーを返さないバグを修正した。
Rev.9.00.56以降で発生する。
ISDN回線によるリモートセットアップで、show accountコマンドを実行したときに表示される着信履歴が発信履歴としてカウントされるバグを修正した。
saveコマンドを実行したとき、ごく稀に設定が正しく保存されないことがあるバグを修正した。
ipv6 filter dynamicコマンドで、指定されたフィルター番号に該当するIPv6のフィルターが適用されず、IPv4用に設定された同じフィルター番号を持つフィルターが適用されるバグを修正した。
ipv6 interface prefixコマンドで、"auto"がTAB補完されてしまうバグを修正した。
ipv6 interface vrrp shutdown triggerコマンドを設定しても動作しないバグを修正した。
no ipv6 interface mtuコマンドを実行しても、インターフェースに設定されたMTU値が初期値に戻らないバグを修正した。
ipv6 ospf area networkコマンドを設定した後に以下のコマンドを実行しても、変更した設定を保存するか否かを問い合わせるメッセージが表示されないことがあるバグを修正した。
PP1、TUNNEL1インターフェース以外のPP、TUNNELインターフェースに対して、no ipv6 pp dhcp serviceコマンドまたはno ipv6 tunnel dhcp serviceコマンドを設定した後、show status ipv6 dhcpコマンドを実行すると、削除したはずのインターフェースの情報が表示されてしまうバグを修正した。
tunnel enableコマンドを設定したときにip tunnel dhcp serviceコマンド設定が有効にならないバグを修正した。
また、pp disableコマンドを設定したときにip pp dhcp serviceコマンド設定が、tunnel disableコマンドを設定したときにip tunnel dhcp serviceコマンド設定が、それぞれ無効にならないバグを修正した。
Rev.9.00.50以降で発生する。
ip routeコマンドでゲートウェイにdhcpを指定するとき、不正なLANインターフェース名を入力すると、不適切なエラーメッセージが表示されるバグを修正した。
IPアドレスを設定したときに静的ARPのエントリが消えてしまうバグを修正した。
Rev.9.00.43以降で発生する。
auth userコマンドで、ユーザー名が重複したとき、不適切なエラーメッセージが表示されるバグを修正した。
ipsec ike xauth mynameコマンドで、名前やパスワードにダブルクォーテーションで囲んで半角スペースや「'」「"」「#」「\」「|」「?」を使ったとき、show configコマンドの出力結果がダブルクォーテーション無しで表示されたり、再起動後に設定が消えてしまうバグを修正した。
pppoe access concentratorコマンドに244文字以上の文字列を設定すると、show status ppコマンドの表示が不正になるバグを修正した。
pp bind interfaceコマンドで、複数の異なる種類のインターフェースを指定してもエラーとならないバグを修正した。
nat descriptor masquerade unconvertible portコマンドで、if-possibleを設定しているとき、静的IPマスカレード設定と重複するポート番号が変換対象とならないバグを修正した。
security classコマンドで、telnetオプションをonに設定した後、telnetオプションを省略したコマンドを設定すると、telnetオプションが初期値であるoffに戻らずonのままの動作になるバグを修正した。
queue interface class propertyコマンドのbandwidthパラメーターにngnを入力したとき、更にその後ろに文字列を入力してもエラーにならないバグを修正した。
PRI回線交換で、グローバル呼番号における初期設定手順に関するメッセージを送信したときに不正なログが表示されるバグを修正した。
PRI拡張ボードを接続していない状態でclear pri statusコマンドを実行すると、不正なエラーメッセージが表示されるバグを修正した。
pri loopback activeコマンドを実行するとPRI拡張ボードのRUN LEDが消灯してしまうバグを修正した。
login userコマンドで、登録できる最大数を越えて設定できてしまうことがあるバグを修正した。
Rev.9.00.31以降で発生する。
system temperature thresholdコマンドで、t2パラメーターにt1パラメーターより大きい値を設定できてしまうバグを修正した。
ip tos supersedeコマンドで、パラメーターのフィルター番号に256より大きい番号を入力すると違う番号で設定されるバグを修正した。
cooperation bandwidth-measuring remoteコマンドのapplyオプションをonに設定した状態で帯域計測機能を実行しても、計測結果がLANインターフェースの速度設定に反映されないことがあるバグを修正した。
sip server dial number onlyコマンドが設定できてしまうバグを修正した。
また、DTCP関係の設定ができてしまうバグを修正した。
Rev.9.00.50以降で発生する。
VRRPで、他のVRRP関係のコマンドを設定したあと最後に以下のコマンドを設定したとき、マスターがシャットダウンすべき条件下でもシャットダウンしないバグを修正した。
show configコマンドの実行と、フィルターのログが表示されるパケットの通過が同時に発生すると、show configコマンドの実行結果またはログで、フィルターのポート番号の表示が不正になることがあるバグを修正した。
show configコマンドを実行したとき、同じスコープ番号に対するdhcp scope bindコマンドがソートされずに表示されてしまうバグを修正した。
show ip secure filterコマンドで、NULLインターフェースが指定できないバグを修正した。
clear status pp anonymousコマンドを実行してもpp anonymous[02]以降がクリアされないバグを修正した。
以下のコマンドでインターフェースを指定し、パイプ("|")でlessコマンドと組み合わせて実行すると、実行結果が正しく表示されないことがあるバグを修正した。
以下のコマンドのコマンドヘルプの誤記を修正した。