http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_27.html Revision : 10.00.27 Release : Nov. 2007, ヤマハ株式会社 Rev.10.00.27 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.10.00.22 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] SNTPサーバ機能 http://www.rtpro.yamaha.co.jp/RT/docs/sntpd/index.html クライアントからの時刻の問い合わせに対してルータの内蔵クロックの値を返す機能 を追加した。 SNTPバージョン4に対応しており、また下位互換としてSNTPバージョン1〜3のリクエ ストにも対応している。 正確な時刻を得るためには、定期的にntpdateコマンドを実行して、他のNTPサーバに ルータの時刻を合わせておくことを推奨する。 この機能により以下のコマンドを追加した。 ◯SNTPサーバー機能を有効にするか否かの設定 [書式] sntpd service SWITCH no sntpd service [設定値] ○SWITCH ●on..... SNTPサーバー機能を有効にする ●off.... SNTPサーバー機能を無効にする [説明] SNTPサーバー機能を有効にするか否かを設定します。 [初期値] on ◯SNTPサーバーへのアクセスを許可するホストの設定 [書式] sntpd host HOST no sntpd host [設定値] ○HOST ●any.... すべてのホストからのアクセスを許可する ●lan.... LAN1側ネットワーク内、あるいはLAN2側ネットワーク 内ならば許可する ●lan1... LAN1側ネットワーク内ならば許可する ●lan2... LAN2側ネットワーク内ならば許可する ●none... すべてのホストからのアクセスを禁止する ●SNTPサーバーへのアクセスを許可するホストのIPv4アドレス ●SNTPサーバーへのアクセスを許可するホストのIPv4アドレス範囲 (IP_ADDRESS-IP_ADDRESS) [説明] SNTPサーバーへのアクセスを許可するホストを設定します。 [ノート] このコマンドでLANインタフェースを指定した場合には、ネットワーク アドレスとディレクテッドブロードキャストアドレスを除くIPv4アドレ スからからのアクセスを許可する。指定したLANインタフェースにプラ イマリアドレスもセカンダリアドレスも設定していなければアクセスを 許可しない。 [初期値] lan [2] IPマスカレード変換セッション数制限機能 http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/session-limit.html IPマスカレード変換の対象とするセッションの数をホスト単位で制限する機能を追加 した。これにより、一部ホストの過多な通信によるマスカレードテーブルの占有を回 避し、管理セグメント内の各ホストが均等にマスカレード変換を利用することができ るようになる。 この機能により以下のコマンドを追加した。 ○IPマスカレードで変換するセッション数の設定 [書式] nat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT no nat descriptor masquerade session limit NAT_DESCRIPTOR ID [設定値] ○NAT_DESCRIPTOR... NATディスクリプタ番号 (1..2147483647) ○ID....... セッション数設定の識別番号 (1) ○LIMIT.... 制限値 (1..4096) [説明] ホスト毎にIPマスカレードで変換するセッションの最大数を設定する。 ホストはパケットの始点IPアドレスで識別され、任意のホストを始点とした変換 テーブルの登録数がLIMITに制限される。 [初期値] 4096 [3] IDS(不正アクセス検知)メール通知機能 http://www.rtpro.yamaha.co.jp/RT/docs/mail-service-intrusion/index.html 不正アクセス検知機能(IDS)によって不正アクセスを検知すると、トリガによるメー ル通知機能で設定した内容に従って、検知した内容をメールで通知する機能を追加し た。 これによりメール通知のトリガの設定コマンドに以下のように不正アクセス検知に 関する項目を追加した。 ○メール通知のトリガの設定 [書式] mail notify ID TEMPLATE_ID trigger backup IF_B [[RANGE_B] IF_B ...] mail notify ID TEMPLATE_ID trigger route ROUTE [ROUTE ...] mail notify ID TEMPLATE_ID trigger filter ethernet IF_F DIR_F [IF_F DIR_F [...]] mail notify ID TEMPLATE_ID trigger status TYPE [TYPE [...]] mail notify ID TEMPLATE_ID trigger intrusion IF_I [RANGE_I] DIR_I [IF_I [RANGE_I] DIR_I [...]] no mail notify ID [...] [設定値] ID ............... 設定番号(1..10) TEMPLATE_ID ...... テンプレートID(1..10) IF_B ............. メール通知を行うバックアップ対象のインタフェース pp ........... PPバックアップ lanN ......... LANバックアップ tunnel ....... TUNNELバックアップ RANGE_B .......... インタフェース番号および範囲指定 pp, tunnelのみ(*, xx-yy, zz etc) ROUTE ............ ネットマスク付きの経路 IF_F ............. メール通知を行うフィルタの設定されたLANインタフェース DIR_F ............ フィルタ設定の方向 in ........... 受信方向 out .......... 送信方向 TYPE ............. メール通知で通知する情報 all .......... 全ての内容 interface .... インタフェースの情報 routing ...... ルーティングの情報 vpn .......... VPNの情報 nat .......... NATの情報 firewall ..... ファイアウォールの情報 config-log ... 設定情報とログ IF_I ............. 不正アクセス検知設定のインタフェース pp ........... PPインタフェース lanN(N,M, N/M) LANインタフェース tunnel ....... TUNNELインタフェース * ............ 全てのインタフェース RANGE_I .......... インタフェース番号および範囲指定 lan(*, x) pp, tunnel(*, x, xx-yy, zz etc) DIR_I ............ 不正アクセス検知設定の方向 in ........... 受信方向 out .......... 送信方向 in/out ....... 受信/送信方向 [説明] メール通知の行うトリガ動作の設定を行う。バックアップ、経路変更、フィルタ ログ表示、mail notify status execコマンド実行時、および不正アクセス検知 をトリガとして指定できる。 バックアップおよび経路については以下で設定されたものが対象となる。 PPバックアップ ............. pp backupコマンド LANバックアップ ............ lan backupコマンド TUNNELバックアップ ......... tunnel backupコマンド 経路に対するバックアップ ... ip routeコマンド フィルタについてはログ表示されるものが対象となる。 イーサネットフィルタ ....... pass-log、rejet-logパラメータの定義 内部状態を通知する場合は、mail notify status execコマンドを実行する必要 がある。 不正アクセス検知についてはip I/F intrusion detectionコマンドの設定により 検出されたものが通知対象となる。 また、一つのテンプレートIDに所属するメール通知設定はまとめて処理される。 [設定例] mail notify 1 1 trigger backup pp * lan2 lan3 tunnel 1-10,12 mail notify 2 1 trigger route 192.168.1.0/24,172.16.0.0/16 mail notify 3 1 trigger filter ethernet lan1 in mail notify 4 1 trigger status all mail notify 5 1 trigger intrusion lan1 in/out pp * in tunnel 1-3,5 out [初期値] なし ■仕様変更 [1] Dynamic Class Control機能において、クラス制御が開始/解除されるときにSYSLOGを 出力するようにした。 開始時: [DCC] Started - Host:192.168.1.100 Class:1->3 Time:600 解除時: [DCC] Cancelled - Host:192.168.1.100 Class:1->3 [2] ポートの開閉状態の診断のGUIヘルプに、「通過パケットの最大検出数」についての 補足事項を追記した。 [3] show status bootの表示内容に起動中のファームウェアリビジョンと起動前のファー ムウェアリビジョンを表示するようにした。 # show status boot Running EXEC: SRT100 Rev.10.00.27 (Thu Nov 1 18:00:02 2007) Previous EXEC: SRT100 Rev.10.00.22 (Tue Sep 25 15:06:22 2007) Restart by revision-up [4] USBメモリから内蔵メモリへ、または内蔵メモリからUSBメモリへの設定ファイルの コピー時に暗号化/復号化のエラーでコピーに失敗したときにdebugレベルとinfo レベルのSYSLOGを出力するようにした。 - 暗号化失敗時 - (debugレベル) File encrypt error("ファイル名") - (infoレベル) FAILED : Configuration is not copied from "ファイル名" to "ファイル名" - 復号化失敗時 - (debugレベル) File decrypt error("ファイル名") - (infoレベル) FAILED : Configuration is not copied from "ファイル名" to "ファイル名" [5] GUIの[メール通知(メールサーバーの設定]ページで、SMTP(POP)サーバーのポート番 号を設定する項目を追加した。 ■バグ修正 [1] FOMAへのリモートセットアップ着信機能で、FOMA端末から2バイトに満たない不正な データを受信するとリブートすることがあるバグを修正した。 [2] IPsecトンネルへ送信するにあたってフラグメントの必要がある場合にフラグメント 用のパケットエリアの確保ができないとメモリリークすることがあるバグを修正した。 [3] 起動時に以下のSNMPトラップが送出されないことがあるバグを修正した。 - warmStart - coldStart - linkUp [4] Ciscoルータとmainモードを使用してIPsec接続を行なったとき、DPDによるIKEキー プアライブを設定していても機能しなくなるバグを修正した。 [5] ping6コマンドでPPインタフェースを指定するとき、PP番号に登録可能な (相手先 情報番号+1) を指定できてしまうバグを修正した。 [6] 統計情報を書き込み禁止機構の付いたUSBメモリに書こうとしたときや、最大ファイ ル数を超えて書こうとしたときに、それぞれ以下のSYSLOGを出力するようにした。 [USB HOST] FAILED : Statistics file write protected [USB HOST] FAILED : Statistics file over maximum count [7] USBメモリに暗号化なしで統計情報ファイルを書くと文字化けすることがあるバグを 修正した。 [8] SIP-NAT機能において、書き換え対象となるIPアドレスを多く含んだヘッダを持つ SIPパケットを受信した時にリブートすることがあるバグを修正した。 [9] IKEで、SAの寿命が切れるとき、あるいは、SAの鍵を更新するときに、その他のSAの 寿命が余分に減少するバグを修正した。減少する秒数は場合によって異なるが、複 数のSAの寿命が同じ値に揃う傾向を呈する。この結果、鍵交換が集中的に発生した り、多数のSAが同時に消滅する頻度が高くなり、IKEのパケットが集中的に発生する 可能性がある。 [10] LCPのネゴシエーション中に回線が切断されたとき、STATUS LEDが点灯しないバグ を修正した。 "PPP/LCP aborted" というエラーログを出力するときが該当し、認証方式が異なる 設定の接続先に対して接続しようとしたときなどに発生する。 [11] BGPでピアから経路情報を受信している状態で、bgp configure refreshまたは ospf configure refreshコマンドを入力すると、稀にリブートするバグを修正した。 [12] 入力したコマンドのパラメータヘルプを表示させたときに、別のコマンドになる キーワードが存在する場合に、文字化けやリブートしてしまうバグを修正した。 キーワードの表示が複数行にわたる場合に現象が発生していた。 [13] lan typeコマンド実行後、本来ファストパスで処理されるべきフローがノーマルパ スで処理されることがあるバグを修正した。 [14] dhcp client client-identifierコマンドの不完全入力でリブート、または不正な 動作となるバグを修正した。 [15] 以下のコマンドが削除された場合に、"[MAIL] Not Found Server(Template) ID:N" のSYSLOGが出力されないように修正した。 ・mail server name ・mail server smtp ・mail server pop ・mail server timeout ・mail template [16] netvolante-dns delete goコマンドで以下のバグを修正した。 - "server=N"、"HOSTNAME" キーワードの両方を指定したときに実行エラーになる。 - PPインタフェースを指定したときのコマンドヘルプで、server=N、HOSTNAME の順番が逆に表示されていた。 [17] ネットボランチDNS関連のコマンド(netvolante-dns 〜)で、入力キーワードがタ ブ補完されないことがあるバグを修正した。 [18] netvolante-dns auto saveコマンドで、自動保存をする設定ファイルを指定した 状態でネットボランチDNSの登録してセーブしようとすると、リブート、またはハ ングアップすることがあるバグを修正した。 [19] BGPの設定をしてLANがリンクダウンしているときに、ip addressコマンドでLANアド レスの設定を変更するとリブートするバグを修正した。 [20] no ip I/F intrusion detectionコマンドで以下のバグを修正した。 ・DIRパラメータを指定しないと、メモリへの不正アクセスをすることがある。 ・コマンドヘルプに「方向 [種類]」パラメータに関する記述を追加した。 [21] ipv6 filterコマンドで以下のバグを修正した。 ・始点IPv6アドレス以降のパラメータで入力エラーになるとメモリリークする。 ・ipv6 filterコマンドを修正するとき、始点IPv6アドレス以降のパラメータで入力 エラーになると、そのフィルタの設定が適用されなくなる。 始点、または終点IPv6アドレスにra-prefixやdhcp-prefixを設定したときが該当 する。 例) ipv6 filter 1 pass ra-prefix@lan2::/64 * tcp * telnet [22] rdateコマンド、telnetコマンドを実行するとリブートすることがあるバグを修正 した。 [23] console character sjis/eucに設定されているとき、no pp selectコマンドのコ マンドヘルプで [ ] を閉じていなかったのを修正した。 [24] no mail templateコマンドのコマンドヘルプの誤記を修正した。 [25] tcp logコマンドのコマンドヘルプの誤記を修正した。 [26] 設定や状態の表示コマンドの実行時に「つづく」が表示された状態で「CTRL+C」や 「Q」で終了したり、ログインタイムアウトした場合に、メモリリークするバグを修 正した。 [27] GUIの[メール通知(メインページ)]ページを開くと、リブートすることがあるバグを 修正した。 [28] GUIの[メール通知(通知内容の設定)]ページで、通知内容を設定した時にリブートす ることがあるバグを修正した。 [29] GUIの[統計情報]ページで、以下のバグを修正した。 1. QoS統計のデータをCSVファイル形式で閲覧した場合、「識別子」のクラス表示に 誤った値が表示されていた。 2. QoS統計のデータをCSVファイル形式で閲覧した場合、「送信帯域率」と「破棄 パケット数」の値が逆に表示されていた。 3. QoS統計のデータをCSVファイル形式で閲覧した場合、「破棄パケット数」が負の 値で表示されていた。 4. トラフィック統計のデータをCSVファイル形式で閲覧した場合、「入力」と「出力」 の値が逆に表示されていた。 [30] GUIの初期設定ウィザードにおいて、回線自動判別を行うとGUIにアクセスできなく なることがあるバグを修正した。 [31] GUIの[不正アクセス検知の状態]ページで、「種別」に"TCP"と表示されないバグを 修正した。 [32] GUIの[IPsec(設定の検証)]ページで、設定が不十分な場合に追加するポリシーフィ ルターが、フィルターセットに付加されないことがあるバグを修正した。 [33] GUIの[保守(再起動)]ページで、"設定ファイル"欄に現在使用している設定ファイ ルがデフォルトで選択されないバグを修正した。 [34] GUIのハードウェアの設定ページにおいて、LAN2ポートの設定変更が正しく反映され ないバグを修正した。 [35] GUIの初期設定ウィザードにおいて、パスワードを変更した後、パスワードの再入力 が必要となる旨の注意文が表示されるより前に、認証ダイアログが表示されるバグを 修正した。 [36] GUIのアクセス管理ページの管理者パスワード変更完了ページの背景が正しく表示さ れないバグを修正した。 [37] GUIのレポートの作成サブウィンドウにおいて、正常に表示されないことがあるバ グを修正した。 [38] GUIのプロバイダ情報の一覧で削除を中止した後、もう一度削除ができるようなペー ジが出ることがあるバグを修正した。 [39] GUIのRAIDUSページにおいて、設定の変更結果が不揮発性メモリに保存されない バグを修正した。このため、RADIUSページで設定変更後に、他のページで設定 変更を行わず再起動すると、RADIUSの設定が消えてしまっていた。 [40] GUIのIPsecの[詳細設定]ページから、ipsec ike local addressコマンドが設定で きないバグを修正した。 Rev.10.00.19以降のファームで発生する。 [41] GUIの[DHCP認証]-[端末の管理]から新しい端末を登録できないことがあるバグを 修正した。 [42] GUIの[DHCP認証]-[端末の管理]ページの端末の修正画面で、MACアドレスの設定は 変更せず、DHCPスコープ番号、または異なるDHCPスコープ番号内のIPアドレスに 変更しようとすると、コマンド実行エラーとなり、設定されていたdhcp scope bind コマンドが削除されてしまうバグを修正した。 [43] GUIの[保守]-[SYSLOGの管理]ページで、複数個のSYSLOGホストを表示、設定できな いバグを修正した。 [保守]のヘルプページに、SYSLOGホストの設定方法について追記した。 [44] GUIの[NAT]ページから、任意のインタフェースの[設定]ボタンを押し、NATを 「使用しない」に設定した後、[変換ルール]のページを開くと、変換方法に「IP マスカレード」が選択されているバグを修正した。 [45] GUIの[メール通知]ページで、[メールサーバーの削除]/[通知内容の削除]ページの タイトルが「〜の登録」と表示されていたバグを修正した。 [46] 不正アクセス検知の履歴がある状態でGUIのトップページにアクセスするとメモリ リークしていたバグを修正した。 ■更新履歴 Nov. 2007, Rev.10.00.27 リリース 以上