Rev.10.00.31リリースノート

Rev.10.00.28 からの変更点

■機能追加

1. Wake On LAN 機能を追加した。

   http://www.rtpro.yamaha.co.jp/RT/docs/wol/wol.html

2. ネットワークバックアップとIPsecの連携機能を追加した。

   IPキープアライブのUP/DOWN状態の変化に合わせて、指定したIPsecセキュリティ・ゲートウェイの識別子に属するSAを強制的に更新させることができるようにした。これにより、ネットワークバックアップによる経路切替えと連動して即座にSAの更新処理を行わせることができ、IPsec通信の復旧を早めることができる。

   本機能の追加に伴い、ip keepaliveコマンドの仕様が以下のように拡張される。

   ○ネットワーク監視機能の設定

   [書式]

   ip keepalive NUM KIND INTERVAL COUNT GATEWAY [GATEWAY ...] [option=value ...]
   no ip keepalive NUM

   [設定値]

   NUM ........... このコマンドの識別番号(1..100)

   KIND .......... 監視方式 icmp-echo ... ICMP Echoを使用する

   INTERVAL ...... キープアライブの送信間隔秒数(1..65535)

   COUNT ......... 到達性がないと判断するまでに送信する回数(3..100)

   GATEWAY IPアドレス ... xxx.xxx.xxx.xxx(xxx は十進数) dhcp INTERFACE INTERFACE .... DHCPにて与えられるデフォルトゲートウェイを使う場合の、DHCPクライアントとして動作するLANインターフェース名

   OPTION=VALUE列 OPTION VALUE 説明 log on SYSLOGを出力する off SYSLOGを出力しない upwait 秒数 到達性があると判断するまでの待機時間(1..1000000) downwait 秒数 到達性がないと判断するまでの待機時間(1..1000000) length バイト ICMP Echoパケットの長さ(64-1500) ipsec-refresh セキュリティ・ゲートウェイの識別子 DOWN→UPまたはUP→DOWNに状態が変化した場合に、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る) ipsec-refresh-up セキュリティ・ゲートウェイの識別子 DOWN→UPに状態が変化した場合のみ、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る) ipsec-refresh-downgth セキュリティ・ゲートウェイの識別子 UP→DOWNに状態が変化した場合のみ、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る) gateway-selection-rule head ICMP Echoパケットを送信する際、該当する経路に複数のゲートウェイが指定されていても、必ず最初に指定されたゲートウェイへ送出する normal ICMP Echoパケットを送信する際、該当する経路に複数のゲートウェイが指定されていたら、通常の規則に従い送出ゲートウェイを選択する

   [説明]

   指定したゲートウェイに対してICMP Echoを送信し、その返事を受信できるかどうかを判定する。

   [ノート]

   Rev.7.01 以上で実行可能である。
   lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全体の長さではない。
   lengthパラメータは、Rev.7.01.43、Rev.8.01.18、Rev.8.02.35 以降で指定可能である。
   ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、ネットワークバックアップ機能の主系／従系回線の切り替え時において、IPsec通信の復旧時間を短縮させる際に有効である。
   ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、RT107eを除くRev.8.03.68以降で指定可能である。
   gateway-selection-ruleパラメータは、RTX3000 Rev.9.00.24以降で指定可能である。
   RT107eでのみGATEWAYパラメータでdhcp INTERFACEを指定できる。

   [初期値]

   log = off
   upwait = 5
   downwait = 5
   length = 64
   ipsec-refresh 設定なし
   ipsec-refresh-up 設定なし
   ipsec-refresh-down 設定なし
   gateway-selection-rule = head

   [設定例]

   ネットワークバックアップ機能で従系回線pp11から主系回線pp10へ復旧する際に、IPsec接続で使用しているセキュリティ・ゲートウェイの識別子3に属するSAを強制的に更新させる。
   # ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0
   # ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3
   
   ネットワークバックアップ機能を利用して、IPキープアライブ1がダウンしたのをトリガーにして経路172.16.224.0/24を活性化させる。
   # ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0
   # ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2
   # ip keepalive 1 icmp-echo 5 5 192.168.100.101
   # ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule=normal

3. descriptionコマンドを拡張し、従来のインタフェースの説明に加えて、システムの説明を設定できるようにした。

   ○インタフェースまたはシステムの説明の設定

   [書式]

   description ID DESCRIPTION
   no description ID [DESCRIPTION]
   description INTERFACE DESCRIPTION
   no description INTERFACE [DESCRIPTION]

   [設定値]

   ID	...	システム全体の説明を記述する場合のID (1..21474836)
   INTERFACE	...	LANインタフェース名、'pp'、'tunnel'のいずれか
   DESCRIPTION	...	説明の文字列 (最大64文字/ASCII、32文字/シフトJIS)

   [説明]

   システム全体の説明、あるいはインタフェースの説明を設定しておく。設定内容はあくまで説明のためだけであり、動作には影響を与えない。
   
   システム全体の説明の場合は、IDの値を変えることで複数行の説明を設定できる。インタフェースの説明は一行に限定される。
   
   INTERFACEとして'pp'あるいは'tunnel'を指示したときにはそれぞれ、pp selectあるいはtunnel selectで選択したインタフェースの説明となる。
   
   設定内容はshow configコマンドで表示される。また、インタフェースに対する設定内容はインタフェースに対するshow statusコマンドでも表示される。
   
   システム全体の説明は、show configコマンドではすべての設定よりも先に、ID順に表示される。
   
   説明には、ASCII文字だけではなく、シフトJISで表現できる範囲の日本語文字(半角カタカナを除く)も使用できる。ただし、console characterコマンドの設定がsjisの場合にのみ、正しく設定、表示でき、他の設定の場合には文字化けすることがある。

4. 技術サポートに必要な情報を一度に出力することができる、show techinfoコマンドを新設した。

   ○技術情報の表示

   [書式]

   show techinfo

   [説明]

   技術サポートに必要な情報を一度に出力する。
   
   他のshowコマンドとは異なり、show techinfoコマンドの出力はconsole columns/linesコマンドの設定を無視して一度に出力される。一画面ごとに出力が停止する、ページ動作は行わない。そのため、ターミナルソフトのログ機能を用いて、出力をPCのファイルとして保存することが望ましい。
   
   また、console characterコマンドの設定も無視され、常に英語モードで出力される。
   
   一画面ごとに内容を確認しながら出力したいときには、以下のようにlessコマンドを併用するとよい。ただし、lessコマンドは画面制御シーケンスを多数出力するため、ログを記録しながらlessコマンドを使用すると、ログファイルがわかりにくくなる。
   
   show techinfo | less

   [ノート]

   ルーターに対してPCで動作するTFTPクライアントからアクセスし、ファイル名'techinfo'をGETすると、show techinfoコマンドの出力と同じものが得られる。
   
   Windows XPのTFTP.EXEを使用した例:
   
   C:\>tftp 192.168.0.1 get techinfo techinfo.txt

5. BGP-4で受け取った経路について、ASパス属性に基づいたフィルタリングを設定するコマンドを追加した。

   BGP-4で受けた経路情報に含まれるASパス属性に基づいて経路のフィルタリングをかけるため、bgp export aspathコマンドを新設した。bgp export aspathコマンドを設定すると、bgp export aspathコマンドで指定した正規表現と一致するASパス属性を持つ経路ごとに経路のフィルタリングをかけることができる。

   ○ BGPで受信した経路に対するフィルタの適用

   [書式]

   bgp export REMOTE_AS filter FILTER_NUM ...
   bgp export aspath SEQ "ASPATH_REGEXP" filter FILTER_NUM ...
   no bgp export REMOTE_AS [ filter FILTER_NUM ... ]
   no bgp export aspath SEQ ["ASPATH_REGEXP" [ filter FILTER_NUM ... ]]

   [設定値]

   REMOTE_AS	...	相手のAS番号 (1..65535)
   SEQ	...	ASパスを指定したときの評価順序 (1..65535)
   ASPATH_REGEXP	...	正規表現
   FILTER_NUM	...	フィルタの番号 (1..2147483647)

   [説明]

   BGPで受けた経路に対してフィルタを設定する。
   
   REMOTE_ASを指定してフィルタを設定した場合、接続先から受けた経路についてフィルタに該当した経路が実際のルーティングテーブルに導入され、RIPやOSPFのような他のプロトコルにも通知される。フィルタに該当しない経路はルーティングには適用されず、他のプロトコルに通知されることもない。フィルタの番号には bgp export filterコマンドで定義した番号を指定する。
   ASPATH_REGEXPを指定してフィルタを設定した場合、 REMOTE_ASを指定した場合と同様に、 ASパスが正規表現と一致する経路についてフィルタに該当した経路が導入される。 ASPATH_REGEXPにはgrepコマンドで使用できる検索パターンを指定する。
   
   ASPATH_REGEXPを指定したフィルタを複数設定した場合、SEQの小さい順に評価される。また、 ASPATH_REGEXPを指定したフィルタを設定した場合、REMOTE_ASを指定したフィルタよりも優先して評価される。

   [ノート]

   正規表現によってASパスを表す例

   • すべてのASパスと一致する
     # bgp export aspath 10 ".*" filter 1
   • AS番号が1000または1100で始まるASパスと一致する
     # bgp export aspath 20 "^1[01]00 .*" filter 1
   • AS番号に2000を含むASパスと一致する
     # bgp export aspath 30 "2000" filter 1
   • ASパスが3000 3100 3200であるパスと完全一致する
     # bgp export aspath 40 "^3000 3100 3200$" filter 1
   • ASパスにAS_SETを含むパスと一致する
     # bgp export aspath 50 "{.*}" filter 1

   [初期値]

   このコマンドが設定されていないときには、BGPが受信したすべての経路が破棄される。

6. implicit経路の優先度を設定できるようにした。

   ○implicit経路の優先度の設定

   [書式]

   ip implicit-route preference PREFERENCE
   no ip implicit-route preference [PREFERENCE]

   [設定値]

   PREFERENCE

   ...

   implicit経路の優先度 (1..2147483647)

   [説明]

   implicit経路の優先度を設定する。
   優先度は1以上の整数で示され、数字が大きいほど優先度が高い。
   implicit経路が動的経路制御プロトコルで得られた経路またはip routeコマンドで設定された静的な経路と食い違う場合には、優先度が高い方が採用される。
   静的な経路と優先度が同じ場合には、静的な経路が優先される。
   動的経路制御プロトコルで得られた経路と優先度が同じ場合には、時間的に先に採用された経路が有効となる。
   なお、ip implicit-route preferenceコマンドでimplicit経路の優先度を変更しても、その時点で既にルーティングテーブルに登録されているimplicit経路の優先度は変更されない。

   [ノート]

   implicit経路とは、IPアドレスを設定したインタフェースが有効な状態になったときに暗黙のうちに登録されるそのインタフェースを経由する経路のことである。
   例えば、IPアドレスを設定したLANインタフェースがリンクアップ状態のときには、設定したIPアドレスとネットマスクの組み合わせから決定されるネットワークアドレスが、そのLANインタフェースを経由するimplicit経路として登録されている。

   [初期値]

   10000

7. LANインタフェースの受信パケットバッファサイズを設定できるようにした。

   ○LANインタフェースの受信パケットバッファサイズの設定

   [書式]

   lan receive-buffer-size INTERFACE SIZE
   no lan receive-buffer-size INTERFACE

   [設定値]

   INTERFACE	...	LANインタフェース名
   SIZE	...	受信パケットバッファサイズ（1..1000）

   [説明]

   LANインタフェースの受信パケットバッファサイズを設定する。

   [初期値]

   128（QoS設定時は全LANインタフェースで20）

8. IPマスカレードで、TCP/FIN通過後のエントリのTTL値は60秒に設定されているが、この値を変更できるようにした。
   nat descriptor timerコマンドで、'tcpfin'というキーワードとともに設定する。

   ○NATのIPアドレスマップの消去タイマの設定

   [書式]

   nat descriptor timer NAT_DESCRIPTOR TIME
   nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] TIME
   nat descriptor timer NAT_DESCRIPTOR tcpfin TIME2
   no nat descriptor timer NAT_DESCRIPTOR [TIME]
   no nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] [TIME]
   no nat descriptor timer NAT_DESCRIPTOR tcpfin [TIME2]
   

   [設定値]

   NAT_DESCRIPTOR	...	NATディスクリプタ番号 (1..2147483647)
   TIME	...	消去タイマの秒数 (30-21474836)
   TIME2	...	TCP/FIN通過後の消去タイマの秒数 (1-21474836)
   PROTOCOL	...	プロトコル
   PORT_RANGE	...	ポート番号の範囲、プロトコルがTCPまたはUDPの場合にのみ有効

   [説明]

   NATやIPマスカレードのセッション情報を保持する期間を表すNATタイマを設定する。IPマスカレードの場合には、プロトコルやポート番号別のNATタイマを設定することもできる。指定されていないプロトコルの場合は、第一の形式で設定したNATタイマの値が使われる。
   IPマスカレードの場合には、TCP/FIN通過後のNATタイマを設定することができる。TCP/FINが通過したセッションは終了するセッションなので、このタイマを短くすることでNATテーブルの使用量を抑えることができる。

   [初期値]

   TIME ... 900, プロトコルごとの設定はなし
   TIME2 ... 60

9. url filter useコマンドを追加した。

   ○URLフィルターを使用するか否かの設定

   [書式]

   url filter use SW
   no url filter use

   [設定値]

   SW

   on .... URLフィルターを使用する off ... URLフィルターを使用しない

   [説明]

   内部データベース参照型URLフィルターおよび、外部データベース参照型URLフィルターを使用するか否かを設定する。

   [初期値]

   on

■仕様変更

1. GUIのクロスサイトリクエストフォージェリの脆弱性問題対応に伴いログインタイマの下限値を120秒にした。

   ○ログインタイマの設定

   [書式]

   login timer time
   no login timer [time]

   [設定値]

   time

   秒数.... キー入力がない場合に自動的にログアウトするまでの秒数(30..21474836;SRT100の場合は120..21474836) clear... ログインタイマを設定しない

   [説明]

   キー入力がない場合に自動的にログアウトするまでの時間を設定する。

   [ノート]

   TELNET またはSSH でログインした場合、 clear が設定されていてもタイマ値は300 秒として扱う。

   [初期値]

   300

   ○ユーザの属性を設定

   [書式]

   user attribute [user] attribute=value [attribute=value...]
   no user attribute [user...]

   [設定値]

   user

   登録されているユーザ名 * (すべてのユーザ)

   attribute=value ......... ユーザ属性

   [説明]

   ユーザの属性を設定する。属性には、以下のものがある。

   attribute	value	説明
   administrator	on	administrator コマンドにより管理ユーザに昇格することができる。またGUI の管理者ページへ接続することができる。
   	off	administrator コマンドにより管理ユーザに昇格することができない。またGUI の管理者ページへ接続することができない。
   connection	off	すべての接続を禁止する。
   	all	すべての接続を許可する。
   	serial	シリアルコンソールからの接続を許可する。
   	telnet	TELNET による接続を許可する。
   	ssh	SSH による接続を許可する。
   	remote	リモートセットアップによる接続を許可する。
   	http	GUI設定画面への接続を許可する。
   host	IP	アドレス指定したホストからの接続を許可する。
   	any	すべてのホストからの接続を許可する。
   multi-session	on	同一ユーザ名によるTELNET、SSH または HTTP での複数接続を許可する。
   	off	同一ユーザ名によるTELNET、SSH または HTTP での複数接続を禁止する。
   login-timer	30..21474836; SRT100の場合は120..21474836,clear	ログインタイマを設定する。

   [ノート]

   user を省略した場合は、無名ユーザの属性を設定する。
   user をアスタリスク(*) に設定した場合は、すべてのユーザに対して設定を 有効にする。ただし、ユーザ名を指定した設定がされている場合は、その設 定が優先される。
   すでに管理ユーザに昇格しているユーザに対して、このコマンドで administrator 属性を off に変更しても、そのユーザは exit コマンドによ り一般ユーザに降格するか、あるいはログアウトするまでは管理ユーザで居 続けることができる。またGUI の管理者ページへの接続が制限されるのは Rev.10 以降のファームウェアである。
   connection 属性では、 off、 all 以外の値はコンマ(,) でつないで複数指 定することができる。またhttp を指定してGUI 設定画面への接続を設定でき るのはRev.10 以降のファームウェアである。
   すでに接続しているユーザに対して、このコマンドでconnection 属性または host 属性により接続を禁止しても、そのユーザは切断するまでは接続を維持 し続けることができる。
   host 属性では、TELNET、SSH 及びHTTP で接続できるホストを設定する。
   指定できるIP アドレスは、１個のIP アドレスまたは間にハイフン(-) をは さんだIP アドレス(範囲指定)、およびこれらをコンマ(,) でつないだもので ある。
   multi-session 属性では、TELNET またはSSH での複数接続の可否を設定す る。この属性を off に変更しても、シリアルとTELNET やリモートセットア ップとSSH など、接続方法が異なる場合は同じユーザ名で接続することがで きる。
   すでに複数の接続があるユーザに対して、このコマンドでmulti-session 属 性を off に変更しても、そのユーザは切断するまでは接続を維持し続けるこ とができる。
   無名ユーザに対してはSSH による接続を許可することができない。
   無名ユーザに対してはTELNET での複数接続はできない。
   TELNET、SSH またはHTTP で接続した場合、login-timer 属性の値がclear に 設定されていても、タイマ値は300 秒として扱う。
   login timer コマンドの設定値よりも、本コマンドのlogin-timer 属性の設 定値が優先される。
   本コマンドにより、すべてのユーザの接続を禁止する、またはすべてのユー ザが管理ユーザに昇格できないといった設定を行った場合、ルーターの設定 変更や状態確認などができなくなるので注意する必要がある。

   [初期値]

   administrator = on
   connection = serial,telnet,remote,ssh,http
   host = any
   multi-session = on
   login-timer = 300

2. 静的フィルタで、ICMP/ICMPv6パケットのタイプとコードをチェックするフィルタを 記述できるようにした。

   既存のip/ipv6 filterコマンドのTCP/UDPのソースポート番号の部分にICMP/ICMPv6の タイプを記述でき、デスティネーションポート番号の部分にICMP/ICMPv6のコードを 記述できる。

   [設定例]

   • LAN1で送受信されるIPv4 ICMP ECHO/REPLYをpass-logで記録する
     ip lan1 secure filter in 1 2 100
     ip lan1 secure filter out 1 2 100
     ip filter 1 pass-log * * icmp 8 # ECHO
     ip filter 2 pass-log * * icmp 0 # ECHO REPLY
     ip filter 100 pass * *
   
   
   • LAN2から送信されるIPv4 Redirectのうち、"for the Host"だけを通さない
     ip lan2 secure filter out 1 100
     ip filter 1 reject * * icmp 5 1 # Redirect Datagram for the Host
     ip filter 100 pass * *
   
   
   • PP 1で送受信されるIPv6 Packet Too Bigを記録する
     pp select 1
     ip pp secure filter in 1 100
     ip pp secure filter out 1 100
     ipv6 filter 1 pass-log * * icmp6 2 # Packet Too Big
     ipv6 filter 100 pass * *

3. IPマスカレード機能で、新しく内側と外側のアドレスをバインド、解放したときのログに、今までの情報に加えて宛先IPアドレス、ポート番号の情報を表示するようにした。

   例:
   [NAT(1):LAN2] Bound TCP 10.0.0.1.60000 <-> 192.168.0.1.60371 ==> 172.16.0.1.80

   この例では、10.0.0.1が外側アドレス、60000が外側ポート番号、192.168.0.1が内側アドレス、60371が内側ポート番号、172.16.0.1が宛先アドレス、80が宛先ポート番号になる。

4. PPP/IPCPのネゴシエーションが完了したときのログに、ネゴシエーションしたIPアドレスを表示するようにした。例えば、以下のような表示になる。

   PP[ANONYMOUS1] PPP/IPCP up (Local: 192.168.7.1, Remote: 192.168.100.100)

   ネゴシエーションが行われず、表示すべきIPアドレスがないときにはIPアドレスの代わりに"None"と表示される。

5. show status qosコマンドで、QoS設定がない場合にコマンドをエラーにするのではなく、エラーメッセージを独自に表示してコマンドは正常終了するようにした。

   show techinfoコマンドで、QoS設定がない場合にコマンドが実行されなかったかのように見えるのを防ぐのが目的。show status qosコマンド自体の動作に変更はない。

6. NATテーブルのエントリ数が多いときの性能を改善した。

7. QoS使用時のスループットを向上させた。

8. IKEキープアライブ機能でIPsecトンネルのダウンを検出したときに記録するログを、DEBUGレベルのログからINFOレベルのログに変更した。

9. ipsec ike local address コマンドおよび ipsec ike remote address コマンドについて、パラメータにIPアドレスを設定するときに0.0.0.0や0::0を設定できないように変更した。

■バグ修正

1. GUIにおけるクロスサイトリクエストフォージェリの脆弱性問題に対応した。

   http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN88575577.html

2. GUIの設定確認画面の表示の誤りを修正した。

3. GUIにおいて「URLフィルター(外部データベース参照型URLフィルターのオプション設定)[設定]」ページの画面表示がおかしいことがあるバグを修正した。

4. GUIのページタイトルに誤りがあったのを修正した。

5. IPsecトランスポートモードで、ESPパケットを送信するときにプロトコルとして誤った値を設定していたために、通信できないバグを修正した。

6. IPsecで複数のSAがあるときに一部のSAが消滅すると、残ったSAの寿命値が1秒だけ延びるバグを修正した。

7. トンネルインタフェースに内部データベース参照型URLフィルタまたは、外部データベース参照型URLフィルタを設定した場合、SNMPで統計情報を取得できないバグを修正した。
   インタフェースのIN側に外部データベース参照型URLフィルタを設定した場合、SNMPで統計情報が取得できないバグを修正した。

8. 外部データベース参照型URLフィルタでネットスターを使用した場合、ブロック画面に表示されるカテゴリ名、およびGUIのURLフィルター設定画面で表示されるカテゴリ名の誤記を修正した。

9. LAN分割機能を使用しイーサネットフィルタでdhcp-bindを指定したとき、IPv4パケット以外のパケット(ARPなど)が通らないバグを修正した。

   LAN分割機能を使用しているとき、イーサネットフィルタのログのイーサネットタイプの表示が正しくないバグを修正した。

10. LAN分割機能とイーサネットフィルタを併用するとき、lan1.2,lan1.3,lan1.4に設定したイーサネットフィルタが正しく機能しないバグを修正した。

11. タグVLAN機能とVRRP機能を同一インタフェースで使用して、VRRPの仮想MACアドレス宛ての受信フレームを他のインタフェース経由で転送するときに、ファストパスで処理できないバグを修正した。

12. SPF計算で同コストなスタブリンクを評価したとき、スタブ経路の計算結果に基づいてルーティングテーブルを更新できない場合があるバグを修正した。

    具体的には、あるスタブ経路に関するスタブリンクを評価したとき、最後に評価したスタブリンクにおいてネクストホップ情報の更新が発生しなかったとき、ルーティングテーブルにそのスタブ経路の計算結果が反映されなくなる。

13. フローティングスタティックのとき、OSPF・BGPで経路の生成元の切り替わりを検知できないバグを修正した。

    最初にOSPF・BGPのルーティングテーブルに取り込んだプロトコルでその後の動作が決まってしまい、import できたりできなかったりしていた。

14. BGPピアの設定があり、その設定をまったく変更していない状態で、show status bgp neighborコマンドで表示される状態がIdleまたはActiveのときにbgp configure refreshコマンドを実行すると、そのBGPピアがそれ以降、bgp configure refreshコマンドに反応しなくなるバグを修正した。この状態になると、ルーターを再起動するしか復旧の方法はない。

    Idle状態とはBGPの初期化中の状態であり、ごく短時間で他の状態に遷移するため、現実的には、Idle状態中にbgp configure refreshコマンドを実行するのは困難である。

    Active状態とは、BGPピアからの接続を待っている状態である。bgp neighborコマンドでpassiveオプションをonに設定していると、BGPピアから接続されるまでActive状態になる。また、passiveオプションがoffの場合でも、BGPピアとの接続がいったん切断されると、少なくともIdelHoldTimer(=12秒)の間はActive状態になる。そのため、bgp configure refreshコマンドを12秒以内に2回以上実行すると、この問題に遭遇することになる。

15. BGPで、bgp configure refreshコマンドを実行したときに、本来であればBGPピアから受信していた経路はいったんすべて削除されるが、それが削除されずに残ってしまうことがあるバグを修正した。

16. OSPFで、TYPE2の外部経路について、経路の変更がまったくない場合でも、SPF再計算のタイミングで経路の削除/追加イベントが発生することがあるバグを修正した。問題が発生したときに、ip route change logコマンドをonに設定しておくと、"Delete IP route"/"Add IP route"のログが続けて記録されるがその前後で経路の変更は起きていない。

17. IBGP構成におけるNULLポインタアクセスによるリブートの可能性を排除した。

    IBGP構成での動作は保障しない。

18. Relay-Session-IDタグを含むPPPoEパケットの受信に対する応答のPPPoEパケットに、受信したRelay-Session-IDタグを含めずに送信するバグを修正した。
    本修正前は、サーバとの間にPPPoEリレー機能を持つ機器が設置されている構成ではPPPoE接続ができないことがあった。

19. 受信したインタフェースと同一のLANインタフェースにパケットを転送するときに、フローテーブルに当該エントリが存在するときはファストパスで処理するようにした。
    フローテーブルにエントリが存在していないときは、ノーマルパスで処理されてIMCP redirectが送信されるという本修正前と同じ動作になる。

20. USBメモリを認識していない状態で、GUI「保守(設定ファイルのコピー)」ページから内蔵メモリ同士の設定ファイルのコピーを行うことができないバグを修正した。

21. ppp ipcp remote address checkコマンドが設定されていないときは、onと設定された状態で動作しなければならないにも関わらず、offと設定された状態で動作するバグを修正した。

22. timezone コマンドで -00:01 〜 -00:59 の範囲を指定したときに、符号が反転してしまうバグを修正した。

    例えば "timezone -00:30" と入力した場合に "timezone +00:30" と設定されてしまう。

23. show sshd public keyコマンドでのメモリリークを修正した。

24. 以下に示すコマンドのパラメータで、不正な形式であってもエラーを表示しないことがあるバグを修正した。

    • ip filter、ipv6 filterコマンドのプロトコル、始点/終点ポート番号
    • ip tos supersedeコマンドのTOS値
    • syslog facilityコマンドのファシリティ値
    • nat descriptor timerコマンドのプロトコル
    • nat descriptor masquerade staticコマンドのプロトコル

    不正な形式でもエラーにならない例は以下のとおり。

    • 「''」 (空文字列、「0」と解釈される)
    • 「0x」 (「0」と解釈される)
    • 「,」 (ip/ipv6 filterコマンドでのみ指定可能、「0,0」と解釈される)

25. nat descriptor timerコマンドで、no形式で設定を削除する場合に、本来不要なパラメータを指定しないとエラーになることがあるバグを修正した。

26. queue class property コマンドについて、no コマンドのヘルプ文に省略できないパラメータが記述されていなかった誤記を修正した。

27. queue class property コマンドの帯域の設定値およびspeed ppコマンドの速度の設定値について、上限を100Mまでとした。

28. queue class propertyコマンドのbandwidthパラメータについて、非常に大きな値を設定しようとしたときに、指示した値とは異なる値が設定されることがあるバグを修正した。

    queue class propertyコマンドで、bandwidthパラメータに'm'を付けてMbit/s指定できないバグを修正した。

29. queue INTERFACE default class コマンドのヘルプ文の誤記を修正した。

    ヘルプ文の日本語表示で『クラス』の後ろに『...』が付いていて複数の入力ができるように見えていた。

30. syslog hostコマンドで、スコープIDを指定していないIPv6リンクローカルアドレスを設定できないようにした。

31. ipv6 routeコマンド設定において、networkが0::0となるような入力ができてしまうバグを修正した。

32. snmp local addressコマンドで、0.0.0.0または::0を設定してもエラーにならないが、コマンド自体は設定されないバグを修正した。

33. bgp export filterコマンドおよびbgp import filterコマンドで、以下のバグを修正した。

    • bgp export filterコマンドでpreferenceパラメータのTAB補完ができない。
    • bgp export filterコマンドでmetricパラメータが設定できてしまう。
    • bgp export filterコマンドでpreferenceパラメータを複数指定できてしまう。
    • bgp import filterコマンドでpreferenceパラメータが設定できてしまう。
    • bgp import filterコマンドでmetricパラメータを複数指定できてしまう。

    また、それぞれのコマンドのオンラインヘルプの記述を整理した。

34. ospf area network コマンドのヘルプ表記を修正した。

35. bgp router idコマンドで、ルータIDに0.0.0.0を指定してもエラーにならないバグを修正した。

36. BGP UPDATEメッセージ受信の脆弱性問題に対応した。

    http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU929656.html

■更新履歴