http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_38.html
Revision : 10.00.38
Release : Jul. 2008, ヤマハ株式会社

Rev.10.00.38リリースノート

Rev.10.00.31 からの変更点

■機能追加

  1. ブリッジインタフェースを追加した。

    ブリッジ機器として設置し、SRT100のセキュリティ機能などを利用できます。使用できる機能については、下記資料をご確認ください。

    http://www.rtpro.yamaha.co.jp/RT/docs/bridge/index.html

    http://www.rtpro.yamaha.co.jp/RT/docs/transfw/index.html

  2. Shareフィルター機能を追加した。

    http://www.rtpro.yamaha.co.jp/RT/docs/share/index.html

  3. プライベートMIBでLOOPBACKインタフェースとNULLインタフェースの情報を取得できるようにした。
    プライベートMIBファイルも更新する必要がある。

  4. ip flow timerコマンドを追加した。

    ○フローテーブルの各エントリの寿命を設定

    [書式]
    ip flow timer PROTOCOL TIME
    no ip flow timer PROTOCOL [TIME]
    [設定値]
    PROTOCOL 寿命を指定するプロトコル
    • tcp ... TCPパケット
    • udp...... UDPパケット
    • icmp...... ICMPパケット
    • slow...... FIN/RSTビットのセットされたTCPパケット
    TIME 秒数(1-21474836)
    [説明]
    フローテーブルの各エントリの寿命をプロトコル毎に設定する。
    FIN/RST の通過したエントリには'slow'が適用される。
    NATや動的フィルタを使用している場合には、それらのエントリの寿命が適用される。
    [初期値]
    tcp = 900, udp = 30, icmp = 30, slow = 30

  5. URLフィルタについて、以下の機能を追加した。

    内部データベース参照型URLフィルタ

    外部データベース参照型URLフィルタ

  6. インタフェースに複数のグローバルIPv6アドレスが設定されているときの、始点IPv6選択規則を設定するコマンドを新設した。
    従来は、このコマンドで'lifetime'と設定したときと同じ動作をしていたが、本来は'prefix'と同じ動作をするべきであった。

    ○インタフェースに複数のグローバルIPv6アドレスが設定されているときの始点IPv6の選択規則の設定

    [書式]
    ipv6 source address selection rule RULE
    no ipv6 source address selection rule [RULE]
    [設定値]
    RULE
    • prefix ... プレフィクスの最長一致
    • lifetime ... 寿命の長いほうを優先
    [説明]
    始点IPv6アドレスを選択する規則を設定する。

    'prefix'を設定した場合には、終点IPv6アドレスと候補を選択して、先頭から一致している部分(プレフィクス)がもっとも長いものを始点アドレスとして選択する。

    'lifetime'を設定した場合には、IPv6アドレスの寿命が長いものを優先して選択する。
    [ノート]
    通常は'prefix'を設定しておけばいいが、アドレスリナンバリングが発生するときには、'lifetime'の設定が有効な場合がある。
    [初期値]
    prefix

  7. IPv6で、RAによりインタフェースに自動的に設定されるIPv6アドレスの数を最大16に制限するようにした。

    また、最大数を変更することができるコマンドを新設した。

    ○自動的に設定されるIPv6アドレスの最大数

    [書式]
    ipv6 max auto address MAX
    no ipv6 max auto address [MAX]
    [設定値]
    MAX ... 自動的に設定されるIPv6アドレスの1インタフェースあたりの最大数 (1〜256)
    [説明]
    RAによりインタフェースに自動的に設定されるIPv6アドレスの1インタフェースあたりの最大数を設定する。
    [初期値]
    16

  8. RAプロキシでDADをトリガにNSを送信する機能を追加した。

    IPv6 RAプロキシ機能を利用する際、RTの機器交換が発生すると、上流の機器で下流の機器のグローバルアドレスに対する近隣キャッシュが更新されず、それによって通信できなくなる現象が発生することがある。
    それを解決するために、上流の機器に対して下流の機器のグローバルアドレスを送信元とした近隣要請(NS)を送信することによって、上流の機器が近隣キャッシュを更新するように促す、という機能を追加した。このとき、NSを送信するタイミングとしては、下流の機器からアドレス重複チェックを受けたときがトリガとなる。
    また、上流の機器に近隣要請(NS)を送信した場合、上流の機器から近隣広告(NA)が返されることになるが、このNAの宛先は、NSの送信元、つまり下流の機器となる可能性があり、下流の機器としては送信していないNSに対するNAを受け取ることになるので、このNAをプロキシしないように変更できる設定も追加した。

    ○アドレス重複チェックをトリガに近隣要請を行うか否かの設定

    [書式]
    ipv6 nd ns-trigger-dad on [option=value]
    ipv6 nd ns-trigger-dad off
    no ipv6 nd ns-trigger-dad [...]
    [設定値]
    ○on... 近隣要請を行う
    ○off... 近隣要請を行わない
    ○OPTION=VALUE列
    OPTION VALUE 説明
    na-proxyall近隣要請を行った後で、アドレス重複チェックの送信
    元への近隣広告はすべてプロキシする
    discard-one-time 近隣要請を行った後で、アドレス重複チェックの送信
    元への近隣広告を一回のみ破棄し、その後はプロキシ
    する
    [説明]
    RAプロキシにおいて、下流よりアドレス重複チェックの近隣要請を受信した際
    に、そのグローバルアドレスを送信元とした近隣要請を上流に送信するか否か
    を設定する。
    [初期値]
    off
    na-proxy=all

  9. RIPのタイマーを調整するコマンドを追加した。

    ○RIPのタイマーを調整する。

    [書式]
    rip timer UPDATE [INVALID [HOLDDOWN]]
    no rip timer [UPDATE...]
    [設定値]
    UPDATE ... 定期的な広告の送信間隔(10〜60(秒))
    INVALID ... 広告を受け取れなくなってから経路を削除するまでの時間(30〜360(秒))
    HOLDDOWN ... 経路が削除されたときにメトリック16で経路を広告する時間(20〜240(秒))
    [説明]
    RIPのタイマー値を設定する。
    UPDATE、INVALID、HOLDDOWNの各値の間には以下の不等式が成立している必要がある。
    UPDATE × 3 ≦ INVALID ≦ UPDATE × 6
    UPDATE × 2 ≦ HOLDDOWN ≦ UPDATE × 4
    [ノート]
    PPインタフェースに対し、ip pp rip connect/disconnect interval コマンドが設定されているときは、そのコマンドの設定値がrip timer コマンドに優先する。ただし、ip pp rip connect/disconnect intervalコマンドはUPDATEタイマーとINVALIDタイマーの値に影響するが、HOLDDOWNタイマーの値には影響しない。
    ip pp rip connect/disconnect intervalコマンドの設定値をTとした場合、各タイマーは以下のようになる。
    UPDATE ... T
    INVALID ... T × 6
    HOLDDOWN ... rip timerコマンドの設定値(デフォルト120秒)

    PPインタフェース以外は該当するコマンドがないため、常にrip timerコマンドの設定値が有効である。

    [初期値]
    UPDATE: 30秒
    INVALID: UPDATE × 6 (180秒)
    HOLDDOWN: UPDATE × 4 (120秒)

  10. RIPフィルタで、RIP2の場合はネットマスクもフィルタの対象とすることができるようにした。

    RIPフィルタでは、送受信するRIPエントリのアドレス部分だけをフィルタの対象とし、RIP2でのみ意味のあるネットマスク部は比較の対象でなかった。そこで、フィルタをネットマスク型で記述した場合のみ、ネットマスク部も比較できるようにした。

    ○RIP2でのフィルタの比較方法

    [書式]
    rip filter rule RULE
    no rip filter rule [RULE]
    [設定値]
    RULE ... address-only ... ネットワークアドレスだけを比較対象とする
    with-netmask ... RIP2の場合、ネットワークアドレスとネットマスクを比較対象とする
    [説明]
    RIPフィルタで、設定されたフィルタとRIPエントリの内容の比較方法を設定する。
    rip filter ruleコマンド プロトコル 比較方法
    address-only RIP1 ネットマスク型のフィルタは範囲指定と解釈され、RIPエントリーのアドレス部がその範囲に入っているかどうかを比較する。
    RIP2
    with-netmask RIP1
    RIP2 ネットマスク型のフィルタの、アドレスとネットマスクがそれぞれ、RIPエントリーのアドレス、ネットマスクと一致するかどうかを比較する。
    [初期値]
    address-only

  11. 経路テーブルに存在しない経路をRIPで広告することができる機能を追加した。

    ○RIPで強制的に経路を広告する

    [書式]
    ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC]
    no ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC]
    [設定値]
    IP-ADDRESS/NETMASK ... 強制的に広告したい経路のネットワークアドレスとネットマスク長、または'default'
    METRIC ... 広告する際のメトリック値(1〜15)
    [説明]
    設定した経路が経路テーブルに存在しない場合でも、指定されたインタフェースに対し、RIPで経路を強制的に広告する。

    経路として'default'を指定した場合にはデフォルト経路が広告される。

    [ノート]
    このコマンドで設定した経路は、RIPフィルターの設定にかかわらず常に広告される。
    [初期値]
    METRIC: 1

    ○設定例

    LAN1側に、LAN2の一部のホストだけを広告する。

    ip lan1 address 192.168.0.1/24
ip lan2 address 192.168.1.1/24

rip use on
rip filter rule with-netmask
ip lan1 rip send on version 2
ip lan1 rip receive on version 2

ip filter 1 reject 192.168.1.0/24
ip filter 100 pass *
ip lan1 rip filter out 1 100

ip lan1 rip force-to-advertise 192.168.1.28/30
ip lan1 rip force-to-advertise 192.168.1.100/32
ip lan1 rip force-to-advertise 192.168.1.101/32

■仕様変更

  1. URLフィルタについて、以下の変更を行った。

    内部データベース参照型URLフィルタ

    外部データベース参照型URLフィルタ

  2. mail notify trigger intrusion コマンドで、Anonymousインターフェースを入力できないように修正した。

■バグ修正

  1. 閏年かどうかを判定する処理が間違っており、以下の年に、日付に関するさまざまな動作で誤動作していた。
    以下の日付で、本来は5/1になるはずが、4/29になっている年は本来の日付より1日遅い動作をし、5/2になっている年は本来より1日早い動作をしていた。

    Apr-30-1980
    Apr-30-1984
    Apr-30-1988
    May-02-1990
    Apr-29-1992
    May-02-1994
    Apr-29-1996
    May-02-1998
    Apr-30-2000
    Apr-30-2004
    Apr-30-2008
    May-02-2010
    Apr-29-2012
    May-02-2014
    Apr-29-2016
    May-02-2018
    Apr-30-2020
    Apr-30-2024
    Apr-30-2028
    May-02-2030
    Apr-29-2032
    May-02-2034
    Apr-29-2036

  2. 不正アクセス検知機能がPPインタフェースとトンネルインタフェースで働かないことがあるバグを修正した。

  3. 以下のIPオプションを持つルーター宛のパケットを受信したときに、不要なログが表示されるバグを修正した。

  4. IPマスカレード変換で動的なセッションの総数を制限した。

    静的IPマスカレードの設定がされているとき、外側から内側への通信でセッションが無制限にはられてしまい、動作が不安定になる要因となっていた。

  5. RIPよりもプリファレンス値の低い他のプロトコル(静的経路含む)からとRIPからとで同じネットワーク宛の経路をほぼ同時に受信したときに、ごくまれにshow ip routeコマンドでは経路がRIPによるものと表示されるのに、show ip rip tableコマンドでは経路が"other protocol"と表示され、その後RIPからの経路の受信が無くなっても経路が消えなくなることがあるバグを修正した。

  6. 同じ宛先に対して、OSPFあるいはBGPで受信した経路(経路Aとする)と、ip routeコマンドによる静的経路あるいはRIPで受信した経路(経路Bとする)があり、経路Aよりも経路Bの方がプレフィクス値が高く、優先されている状態のときに、経路Aが先に消え、その後経路Bが消えた場合に、show ip routeコマンドで消えたはずの経路Aが表示され、パケットも転送されてしまうバグを修正した。

  7. IPsec機能において、アグレッシブモードでlocal nameが同じでpre-shared-keyが異なる接続があった場合に、正しいpre-shared-keyが設定された接続が切れてしまうことがあるバグを修正した。

  8. IPsec機能において、ISAKMPヘッダが正しくないパケットを受信したときに、不要なログが出力されていたりしたバグを修正した。

  9. IPsecをファストパス処理している場合で、暗号化後のESPパケットをフラグメントする場合で送信負荷が非常に高い場合に、まれに2つめのフラグメントのデータが正しくない状態で送信することがあるバグを修正した。

  10. Winny検知を有効にした状態で、TCPセッションが同時に多数発生するとリブートするバグを修正した。

  11. LAN1以外のLANインタフェースでDHCPクライアント機能によりアドレスを割り当てられたときにARPリクエストが送出されないバグを修正した。

  12. DHCPサーバー機能で、大量のDHCPクライアントから同時にDHCPメッセージを受信すると、リブートするなどルータの動作が不安定になるバグを修正した。

  13. 外部データベース参照型URLフィルタを使用中にリブートすることがあるバグを修正した。

  14. セキュリティクラスの設定によりTELNET接続が失敗したときのログ表示について、正しくIPアドレスが表示されていなかったバグを修正した。
    セキュリティクラスの設定によりSSH接続が失敗したときのログ表示について、IPアドレスが正しく表示されていなかったバグを修正した。

  15. SNMPで、sysUpTime変数が49日あまりで0に戻ってしまうバグを修正した。
    497日あまりで0に戻るのが正しい。

  16. SNMPで、受信したPDU中のINTEGER型の値に対して、ITU-T X.690 8.3.2節に記述されている規則のチェックを行わないようにした。

    その規則を守らないSNMPマネージャーとの間で通信ができるようになる。

  17. yrfLoginTrapの仕様を変更し、ログイン状態に変化のあったコネクションの情報だけをVARIABLEとしてつけることにした。具体的には、以下のMIB変数を要素として持つテーブルyrfLoginTableを新設し、そこにログイン情報を集めることにした。yrfLoginTrapに付けるMIB変数は、yrfLoginTableの1エントリ分となる。

    これに伴い、従来のログイン情報である以下のMIB変数はMIBファイル上ではobsoleteとした。ただし、読み出した場合にはそれぞれ該当するyrfLoginStats変数やyrfLoginFromIpが読み出せるようにしている。

    この修正により、TELNET多重化およびSSHD機能実装後にyrfLoginTrapが送信できなくなっていたバグが修正される。

  18. GUIにアクセスする際に、URIに'/'(スラッシュ)が複数連続して含まれるとリフレッシュを繰り返すバグを修正した。

  19. GUIのIPsecの詳細設定画面で初期値で表示されない箇所があるバグを修正した。

  20. GUIのアクセス管理のパスワード設定を行なったあと、[メイン画面に戻る]ボタンをクリックしたとき、管理者向けトップページに戻っていたバグを修正した。
    アクセス管理のメインページに戻るようにした。

  21. GUIの[ルーティング]->[静的経路の設定]において、以下のバグを修正した。

     宛先ネットワーク : デフォルト
     ゲートウェイ1 : DHCP LAN1
    として、[確認]ボタンを押し、確認画面に移行する。その画面で、[戻る]を押して[静的経路の設定]に戻ってくると、
     ゲートウェイ1:"空欄"
    となってしまうことがあった。

  22. GUIの"ハードウェア"の"LANXの設定"にて、lan typeコマンドで初期値を指定しても、lan typeコマンドが残ってしまうバグを修正した。

  23. GUIで「初期設定ウィザード(プロバイダの設定)」から「CATVインターネット、またはPPPoEを用いない端末型接続」を選択し、WAN側IPアドレスを「DHCPクライアント」に設定したときに正しく設定されないことがあるバグを修正した。

  24. GUIからipsec ike local addressの設定に0.0.0.0を指定してもエラーにならないバグを修正した。

  25. GUIのSNMPの以下の項目について、以下のバグを修正した。

    1. [基本項目の設定]の[トラップの始点IPアドレス]に 0.0.0.0 と入力してもエラーにならない
    2. [トラップの送信先の設定]の[IPアドレス]に 0.0.0.0 と入力してもエラーにならない
    3. [アクセスを許可する端末の設定]の[IPアドレス]に 0.0.0.0 と入力すると、登録されてしまい、GUI上では「すべて」となってしまう

  26. 以下のコマンドについて、IPアドレスとして0.0.0.0を入力してもエラーにならないバグを修正した。

  27. ip filterコマンドで、始点・終点IPアドレスとしてネットマスク付きの形を設定したときに、ネットマスク長が32の場合だとshow configで表示されたりフラッシュROMに保存されるときにネットマスクが省略されるバグを修正した。

    ほとんどの場合で、ip filterコマンドで設定されるフィルターのネットマスク長が32のときにネットマスクを省略しても同じ意味になるので問題とはならないが、フィルターをRIPのフィルターとして使用するときで、rip filter ruleコマンドをwith-netmaskと設定している場合には両者で意味が変わってくるため問題となる。

  28. TFTPでconfigファイルをルーターにアップロードする場合に、configファイル中にrestartコマンドが記述してあっても、以下の条件に合致する場合にはルーターの再起動が行われないバグを修正した。

    または、

    configファイル中のrestartコマンドの直前にsaveコマンドが記述されていればこの問題は発生しない。

  29. upwaitパラメータを指定したipsec ike keepalive useコマンドを設定した後にno ipsec ike keepalive useコマンドを設定しても、先のupwaitパラメータの指定が残った状態で動作するバグを修正した。

  30. 以下のコマンドが一般ユーザで使用できてしまうバグを修正した。

    system packet-buffer

  31. clear url filter コマンドと url filter external-database id check go コマンドについて、一般ユーザで使用できてしまうバグとコマンドに'|'を付けてもエラーにならないバグを修正した。

■更新履歴

Jul. 2008, Rev.10.00.38 リリース


以上