http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_32.html Revision : 10.01.32 Release : Jul. 2011, ヤマハ株式会社 Rev.10.01.32リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ RTX1200 Rev.10.01.29 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] L2TP/IPsecに対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] NTT東日本/NTT西日本のフレッツ光ネクストにおけるインターネット(IPv6 PPPoE)接 続に対応した。 [3] モバイルインターネット機能で、以下のデータ通信端末に対応した。 - EMOBILE D31HW - EMOBILE D32HW - EMOBILE D33HW - EMOBILE D41HW - SoftBank 004Z - docomo L-08C - docomo L-02C(※1) - WILLCOM HX006ZT - WILLCOM HX008ZT   - KDDI DATA03(※2) ※1 … docomo L-02CのファームウェアバージョンをV10b以降にする必要がある。 ※2 … 本来DATA03は、WiMAXとCDMAの両エリアで使用可能なモバイル端末だが、今回 の対応では、CDMAエリアでの利用が可能となるようにした。WiMAXを利用した 通信には対応していない。 [4] モバイルインターネット機能において、PINコード設定端末を利用できるように した。 ○携帯端末に入力するPINコードの設定 [書式] mobile pin code INTERFACE PIN no mobile pin code INTERFACE [PIN] [設定値及び初期値] INTERFACE [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- usb1 USB1 インタフェース --------------------------------------------------------------- [初期値] : - PIN [設定値] : PINコード [初期値] : - [説明] USBインタフェースに接続する携帯端末の使用にPINコードを必要とする場合に、 用いるPINコードを設定する。 携帯端末がPINコードを必要としない場合には、本コマンドの設定に関係なく携帯 端末を使用することができる。 [ノート] PINコードを利用する場合は、予め携帯端末の接続ユーティリティ等を使用して SIMカードにPINコードを登録する必要がある。ルーターではSIMカードにPINコー ドを登録することはできない。 SIMカードに登録されたPINコードと本コマンドの設定が一致せず、3回連続して失 敗すると、携帯端末は自動的にロック(PINロック)される。PINロックがかかると ルーターでは解除できない。携帯端末の接続ユーティリティにてPINロック解除 コードを入力する必要がある。 [5] Luaスクリプト機能で、USBキーボードやUSBバーコードリーダー(※1)の出力を読み取 れるようにした。 また、Luaスクリプト機能バージョンを1.04に変更した。 ※1 … USBキーボードとして認識されるものに限る。 [6] RIPngによる経路の優先度を設定するコマンドを追加した。 ○RIPngによる経路の優先度の設定 [書式] ipv6 rip preference PREFERENCE no ipv6 rip preference [PREFERENCE] [設定値及び初期値] PREFERENCE [設定値] : RIPngによる経路の優先度(1..2147483647) [初期値] : 1000 [説明] RIPngによる経路の優先度を設定する。優先度は1以上の数値で表され、数字が大 きい程優先度が高い。 OSPFv3とスタティックなど複数のプロトコルで得られた経路が食い違う場合に は、優先度が高い方が採用される。優先度が同じ場合には時間的に先に採用され た経路が有効となる。 [ノート] 静的経路の優先度は10000で固定である。 [7] IPsecのハッシュアルゴリズムとしてSHA-256に対応した。 また暗号アルゴリズム AES-CBCにおいて鍵長256bitに対応した。 ○IKEが用いる暗号アルゴリズムの設定 [書式]   ipsec ike encryption GATEWAY_ID ALGORITHM   no ipsec ike encryption GATEWAY_ID [ALGORITHM] [設定値及び初期値]   GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : -   ALGORITHM [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- 3des-cbc 3DES-CBC des-cbc DES-CBC aes-cbc AES128-CBC aes256-cbc AES256-CBC ★ --------------------------------------------------------------- [初期値] : 3des-cbc [説明]   IKEv1として動作する際に用いる暗号アルゴリズムを設定する。 始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応 答側として働く場合は本コマンドの設定に関係なく、サポートされている任意の アルゴリズムを用いることができる。 ただし、ipsec ike negotiate-strictlyコマンドがonの場合は、応答側であって も設定したアルゴリズムしか利用できない。 [ノート] IKEv2で暗号アルゴリズムを折衝する際は、本コマンドの設定にかかわらず動的に 決定される。具体的に、始動側として働く場合はサポートするすべてのアルゴリ ズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。また応 答側として働く場合は、提案されたものからより安全なアルゴリズムを選択す る。 AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC ※IKEv2でのみAES192-CBCをサポート ○IKEが用いるハッシュアルゴリズムの設定 [書式]   ipsec ike hash GATEWAY_ID ALGORITHM   no ipsec ike hash GATEWAY_ID [ALGORITHM] [設定値及び初期値]   GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : -   ALGORITHM [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- md5 MD5 sha SHA-1 sha256 SHA-256 ★ --------------------------------------------------------------- [初期値] : sha [説明]   IKEv1として動作する際に用いるハッシュアルゴリズムを設定する。 始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応 答側として働く場合は本コマンドの設定に関係なく、サポートされている任意の アルゴリズムを用いることができる。 ただし、ipsec ike negotiate-strictlyコマンドがonの場合は、応答側であって も設定したアルゴリズムしか利用できない。 [ノート] IKEv2では、IKEv1のハッシュアルゴリズムに相当する折衝パラメータとして、認 証アルゴリズム(Integrity Algorithm)とPRF(Pseudo-Random Function)がある。 ただし、これらのパラメータを折衝する際は、本コマンドの設定にかかわらず動 的に決定される。 具体的に、始動側として働く場合はサポートするすべてのアルゴリズムを同時に 提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働 く場合は、受け取った提案から以下の優先順位でアルゴリズムを選択する。 - 認証アルゴリズム HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96 - PRF HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5 ○SAのポリシーの定義 [書式] ipsec sa policy POLICY_ID GATEWAY_ID ah AH_ALGORITHM [local-id=LOCAL-ID] [remote-id=REMOTE-ID] [anti-replay-check=CHECK] ipsec sa policy POLICY_ID GATEWAY_ID esp ESP_ALGORITHM [AH_ALGORITHM] [anti-replay-check=CHECK] no ipsec sa policy POLICY_ID [GATEWAY_ID] [設定値及び初期値] POLICY_ID [設定値] : ポリシーID(1..2147483647) [初期値] : - GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : - AH_ALGORITHM : 認証アルゴリズム [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- md5-hmac HMAC-MD5 sha-hmac HMAC-SHA-1 sha256-hmac HMAC-SHA2-256 ★ --------------------------------------------------------------- [初期値] : - ESP_ALGORITHM : 暗号アルゴリズム --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- 3des-cbc 3DES-CBC   des-cbc DES-CBC   aes-cbc AES128-CBC   aes256-cbc AES256-CBC ★ --------------------------------------------------------------- [初期値] : - LOCAL-ID [設定値] : 自分側のプライベートネットワーク [初期値] : - REMOTE-ID [設定値] : 相手側のプライベートネットワーク [初期値] : - CHECK [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on シーケンス番号のチェックを行う off シーケンス番号のチェックを行わない --------------------------------------------------------------- [初期値] : on [説明]   SAのポリシーを定義する。この定義はトンネルモードおよびトランスポートモー ドの設定に必要である。この定義は複数のトンネルモードおよびトランスポート モードで使用できる。 LOCAL-ID、REMOTE-IDには、カプセル化したいパケットの始点/終点アドレスの範 囲をネットワークアドレスで記述する。これにより、1つのセキュリティ・ゲート ウェイに対して、複数のIPsec SAを生成し、IPパケットの内容に応じてSAを使い 分けることができるようになる。   CHECK=onの場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを 行い、エラーとなるパケットは破棄する。破棄する際にはdebugレベルで    [IPSEC] sequence difference    [IPSEC] sequence number is wrong   といったログが記録される。   相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケ ンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際 にはエラーではないのに上のログが表示され、パケットが破棄されることがある ので、そのような場合には設定をoffにするとよい。 IKEv2として動作する場合、AH_ALGORITHM、及びESP_ALGORITHMパラメータは効力 を持たず、これらのアルゴリズムは折衝時に動的に決定される。 具体的に、始動側として働く場合はサポートするすべてのアルゴリズムを同時に 提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働 く場合は、受け取った提案から以下の優先順位でアルゴリズムを選択する。 - 認証アルゴリズム HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96 - 暗号アルゴリズム AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC ※IKEv2でのみAES192-CBCをサポート また、IKEv2ではLOCAL-ID、REMOTE-IDパラメータに関しても効力を持たない。 [ノート]   双方で設定するLOCAL-IDとREMOTE-IDは一致している必要がある。 [8] IKEv2において、CREATE_CHILD_SA交換に対応した。 なお、対向側のRTX1200が本リビジョンより古い場合、本機から鍵交換を始動しても 接続できない。 [9] SIP着信時にユーザー名を検証するか否かを設定するコマンドを追加した。 ○SIP着信時にユーザー名を検証するか否かの設定 [書式] sip arrive address check SWITCH no sip arrive address check [SWITCH] [設定値及び初期値] SWITCH [設定値] : 'on' or 'off' [初期値] : on [説明] SIPの着信時にユーザー名が正常か否かを検証する設定をする。 ■仕様変更 [1] OSPFで、セカンダリアドレスを使用できるようにした。 [2] NTT東日本/NTT西日本のデータコネクトサービスを利用した拠点間接続で、追加番号 による拠点間接続をできるようにした。 ○NGN網を介したトンネルインタフェースで使用するLANインタフェースの設定 [書式] tunnel ngn interface LAN no tunnel ngn interface [LAN] [設定値及び初期値] LAN [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- auto 自動設定 LANインタフェース名 LANポート --------------------------------------------------------------- [初期値] : auto [説明] NGN網を介したトンネルインタフェースで使用するLANインタフェースを設定す る。 autoに設定した時はトンネルインタフェースで設定した電話番号を利用して、使 用するLANインタフェースを決定する。 追加番号を使用する場合に設定する。 [3] パケットの圧縮タイプとしてMPPEを設定した場合、CCP Reset-Request送信後にCCP Reset-Ackが返ってこなくても、FLUSHED bitがセットされたcompressedパケットを受 信することによりCCP Reset-Ack受信時と同様の処理を行うようにした。 [4] 外部メモリ関連のコマンドで、ファイル名/ディレクトリ名、及びフルパスに指定可 能な文字数制限を変更した。 ○対象コマンド - external-memory config filename - external-memory exec filename - external-memory batch filename - external-memory syslog filename - external-memory statistics filename prefix - copy config - copy exec - copy - save - make directory - rename - show file list - 外部メモリへのリダイレクト ファイル名/ディレクトリ名に指定可能な最大文字数を半角99文字、フルパスに指定 可能な最大文字数を半角246文字に変更した。("usb1:"などのプレフィックスは含ま ない) 但し、一部のコマンドに関しては以下の制限がある。 - external-memory syslog filename コマンドについては、指定されたファイル名か らバックアップファイル名を決定して作成する必要があるため、以下に制限され る。 - 暗号化しない場合は、拡張子を除いて半角95文字までとする。 - 暗号化する場合は、拡張子を除いて半角90文字までとする。 - external-memory batch filename コマンドについては、実行結果ファイル名を決 定して作成する必要があるため、以下に制限される。 - 実行結果ファイル名を指定しない場合は、バッチファイル名に指定可能な最大文 字数は拡張子を除いて半角91文字までとする。 - 実行結果ファイル名を指定した場合、バッチファイル名で指定したパスと合わせ て半角246文字までとする。 - external-memory statistics filename prefix コマンドで指定可能な統計情報の ファイル名のプレフィックスの文字数を"usb1:"などのプレフィックスを含めずに 半角15文字とする。(従来まではプレフィックスを含む15文字) - make directory コマンドで、指定可能なフルパスは、半角243文字までとする。 - rename および copy コマンドで、ディレクトリ指定の場合に指定可能なフルパス は、半角243文字までとする。 [5] SFTP接続でtechinfoを取得できるようにした。 techinfoはsystemディレクトリ内に配置されており、TFTP同様にファイル名を "techinfo"とすることでshow techinfoコマンドの出力結果と同じものを取得するこ とができる。 [6] SFTP接続でsystemディレクトリ内を表示する場合、execファイルのファイル名にリビ ジョン番号を付加するようにした。 execファイルの操作は従来通り"exec"として扱うことができる。 [7] 外部メモリ内のファームウェアで起動しているときにSFTP接続でリビジョンアップす る場合は、起動中の外部メモリ内のファームウェアを更新するようにした。 [8] IPv4 over IPv6/IPv6 over IPv6のIPsecトンネルで、一つのSAでノーマルパスとファ ストパスの双方でパケットを送信している時に、ノーマルパスのパケットにESPの シーケンス番号を付与してから実際にそれを送信するまでの間に、ファストパスのパ ケットの処理が進んでしまい、ノーマルパスのパケットが追い越されてしまった際 に、追い越されてしまう数によっては受信側でのアンチリプレイチェックによりノー マルパスでのパケットが破棄されてしまうことがあった。そのため、ノーマルパスで のパケットを実際に送信する直前に再度シーケンス番号の確認を行い、必要であれば シーケンス番号を付け直すように変更した。 [9] IKEv2で以下の仕様変更をした。 - IKEv2で送信するリクエストのSAプロポーザルにおいて、DHグループを提案する際 にサポート可能なグループを全て含めるようにした。 - ipsec ike nat-traversalコマンドのオプションで'force=on'と指定した場合、 IKE_SA_INIT交換からUDP4500番ポートを使用して鍵交換を始動するようにした。 - SYSLOGの出力内容の一部を変更、追加した。 なお、対向側のRTX1200が本リビジョンより古い場合、本機から鍵交換を始動しても 接続できない。 [10] 不正アクセス検知機能でUnknown IP protocolとして検知するプロトコル番号を143 以上に変更した。 [11] lan typeコマンドのmacaddress-agingオプションで、エージング時間を指定できる ようにした。 ○LANインタフェースの動作タイプの設定 [書式] lan type INTERFACE_WITH_SWHUB SPEED [PORT] [SPEED [PORT]...] [OPTION=VALUE...] lan type INTERFACE_WITH_SWHUB OPTION=VALUE lan type INTERFACE_WITHOUT_SWHUB SPEED [OPTION=VALUE...] lan type INTERFACE_WITHOUT_SWHUB OPTION=VALUE no lan type INTERFACE [...] [設定値及び初期値] INTERFACE_WITH_SWHUB [設定値] : スイッチングハブを持つLANインタフェース名 [初期値] : - INTERFACE_WITHOUT_SWHUB [設定値] : スイッチングハブを持たないLANインタフェース名 [初期値] : - INTERFACE [設定値] : LANインタフェース名 [初期値] : - SPEED [設定値] : ------------------------------------------------------ 設定値 説明 ------------------------------------------------------ auto 速度自動判別 1000-fdx 1000BASE-T 全二重 100-fdx 100BASE-TX 全二重 100-hdx 100BASE-TX 半二重 10-fdx 10BASE-T 全二重 10-hdx 10BASE-T 半二重 省略 省略時は auto ------------------------------------------------------ [初期値] : auto PORT : スイッチングハブのポート番号 [設定値] : 省略時は全ポート [初期値] : - OPTION=VALUE : オプション機能 [設定値] : ・mtu インタフェースで送受信できる最大データ長 ・auto-crossover オートクロスオーバー機能 ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ on オートクロスオーバー機能を有効にする off オートクロスオーバー機能を無効にする ------------------------------------------------------------ ・macaddress-aging ★ MACアドレスエージング機能 ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ 秒数 エージング時間 off MACアドレスエージング機能を無効にする ------------------------------------------------------------ ・port-based-ks8995m/port-based-option LAN分割機能、ポート分離機能 ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ divide-network LAN分割機能を有効にする split-into-split_pattern ポート分離機能を有効にする off LAN分割機能、ポート分離機能を 無効にする ------------------------------------------------------------ ・speed-downshift 速度ダウンシフト機能 ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ on 速度ダウンシフト機能を有効にする off 速度ダウンシフト機能を無効にする ------------------------------------------------------------ ・energy-saving 省電力機能 ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ on 省電力機能を有効にする off 省電力機能を無効にする ------------------------------------------------------------ [初期値] : ・mtu=1500 ・auto-crossover=on ・macaddress-aging=300 ・port-based-ks8995m/port-based-option=off ・speed-downshift=on ・energy-saving=on [説明] 指定したLANインタフェースの速度と動作モードの種類、およびオプション機能 について設定する。 スイッチングハブを持つLANインタフェースについては、ポート毎に速度と動作 モードを指定できる。 ・mtu インタフェースで送受信できる最大データ長を指定する。データ長にはMAC ヘッダとFCSは含まれない。また、タグVLAN時のタグ長(4バイト)も含まれな い。 指定できるデータ長の範囲は64〜1500の範囲となる。 インタフェースのmtuを設定して、かつ、ip mtuコマンドまたはipv6 mtuコマ ンドが設定されずデフォルトのままの場合、IPv4やIPv6でのmtuとしてはイン タフェースのmtuが利用される。一方、ip mtuコマンドまたはipv6 mtuコマン ドが設定されている場合には、インタフェースのmtuの設定にかかわらず、 ip mtuコマンドまたはipv6 mtuコマンドの設定値がmtuとして利用される。イ ンタフェースのmtuも含めてすべて設定されていない時には、デフォルト値で ある1500が利用される。 ・オートクロスオーバー機能 LANケーブルがストレートケーブルかクロスケーブルかを自動的に判定して接 続する機能。この機能が有効になっていると、ケーブルのタイプがどのような ものであるかを気にする必要が無くなる。 ・MACアドレスエージング機能 スイッチングハブを持つLANインタフェースでのみ利用できる。 スイッチングハブが持つMACアドレステーブル内のエントリを、一定時間で消 去していく機能。この機能をoffにすると、一度スイッチングハブが記憶した MACアドレスは自動的に消去されないのはもちろん、clear switching-hub macaddressコマンドを実行しても消去されない。エントリが消去されるのは、 この機能を有効にした時だけになる。 本機では、設定値に秒数を指定することができる。指定できる秒数の範囲は 1〜86400の範囲となる。ただし、コマンドの設定値と実際に消去されるまでの 時間に誤差が生じる場合がある。 MACアドレステーブルには最大で8192個のエントリを格納できる。 ・LAN分割機能 スイッチングハブを持つLANインタフェースでのみ利用できる。 LAN分割機能には基本機能と拡張機能がある。 基本機能では、スイッチングハブの各ポートが個別のLANインタフェースとし て動作する。各インタフェースにはそれぞれ個別のIPアドレスを付与でき、そ の間でのルーティングも可能になる。 拡張機能では、スイッチングハブの各ポートを自由に組み合わせて1つのLANイ ンタフェース(VLANインタフェース)とすることができる。 同一のVLANインタフェースに所属するポート間はスイッチとして動作する。 基本機能におけるLANインタフェースのインタフェース名は元のインタフェー ス名にピリオドとポート番号をつなげることで表される。 拡張機能では、LANインタフェースのインタフェース名としてvlan1、vlan2、 vlan3…(VLANインタフェース)を使用する。基本機能とは異なり、VLANインタ フェースは特定のポートと関連付けられてはいない。 vlan port mappingコマンドを用いて、スイッチングハブの各ポートがどの VLANインタフェースに所属するかを設定することで、分割方法を自由に変更す ることができる。同時に使用できるVLANインタフェースはvlan1〜vlan8の範囲 となる。 LAN分割機能を有効にした場合、lan1インタフェースに対する設定は、lan1.1 (基本機能の場合)もしくはvlan1(拡張機能の場合)に引き継がれる。 LAN分割で使用するLANインタフェースのMACアドレスは元のLANインタフェース のMACアドレスに一致する。 ・ポート分離機能 スイッチングハブを持つLANインタフェースでのみ利用できる。 スイッチングハブのポート間での通信を禁止しつつ、ルーターを経由した通信 は可能にする機能。 通常は、スイッチングハブの各ポートは他のポートと制限無く通信できるが、 ポート分離機能を利用すると、ポートをグループに分離し、グループ内の通信 およびルーターとの通信はそのまま可能だけれども、他のグループのポートと は通信できないようになる。 LAN分割機能とは異なり、ポート分離機能によってLANインタフェースが増減す ることはない。分離されたポートはすべて同じLANインタフェースとして認識 され、同一のIPアドレスを持つ。 同一LANインタフェースにおけるプライマリアドレスのネットワークとセカン ダリアドレスのネットワーク間の通信はルーターを経由するので、他のグルー プとの通信も可能である。 ・速度ダウンシフト機能 onに設定すると1000BASE-Tで使用できないケーブルを接続された時に、速度を 落としてリンクを試みる。 ・省電力機能 onに設定すると使用していないLANポートで消費電力を抑えることができる。 [ノート] 本コマンドの実行後、LANインタフェースのリセットが自動で行われ、その後に 設定が有効となる。 [12] GUIのスイッチ制御関連のページで、ダブルクリックで操作する項目をシングルク リックで操作するように変更した。 対象となる操作は以下の通りである。 - ルーターアイコンからスイッチ制御情報を表示させる場合 - スイッチアイコンからスイッチ機器の設定・状態表示を表示させる場合 - スイッチアイコンからスイッチポートの設定を表示させる場合 - タグVLANの新規作成および設定変更画面でルーターアイコンからVLANの共通設定 を表示させる場合 - マルチプルVLAN設定画面でスイッチアイコンからマルチプルVLAN機能の設定を表 示させる場合 [13] WANインタフェースおよびL2TP/IPsecの追加に伴い、SNMPのインタフェース番号を変 更した。  http://www.rtpro.yamaha.co.jp/RT/FAQ/SNMP/interface-number.html [14] ipv6 INTERFACE addressコマンドでアドレスのタイプ('unicast'、'anycast')を 設定できるようにした。 ○インタフェースのIPv6アドレスの設定 [書式] ipv6 INTERFACE address IPV6_ADDRESS/PREFIX_LEN [ADDRESS_TYPE] ipv6 INTERFACE address auto ipv6 INTERFACE address dhcp ipv6 pp address IPV6_ADDRESS/PREFIX_LEN [ADDRESS_TYPE] ipv6 pp address auto ipv6 pp address dhcp ipv6 tunnel address IPV6_ADDRESS/PREFIX_LEN [ADDRESS_TYPE] ipv6 tunnel address auto ipv6 tunnel address dhcp no ipv6 INTERFACE address IPV6_ADDRESS/PREFIX_LEN [ADDRESS_TYPE] no ipv6 INTERFACE address auto no ipv6 INTERFACE address dhcp no ipv6 pp address IPV6_ADDRESS/PREFIX_LEN [ADDRESS_TYPE] no ipv6 pp address auto no ipv6 pp address dhcp no ipv6 tunnel address IPV6_ADDRESS/PREFIX_LEN [ADDRESS_TYPE] no ipv6 tunnel address auto no ipv6 tunnel address dhcp [設定値及び初期値] INTERFACE [設定値] : LANインタフェース名、LOOPBACKインタフェース名 [初期値] : - IPV6_ADDRESS [設定値] : IPv6アドレス部分 [初期値] : - PREFIX_LEN [設定値] : IPv6プレフィックス長 [初期値] : - ADDRESS_TYPE ★ [設定値] : ---------------------------------------------- 設定値 説明 ---------------------------------------------- unicast ユニキャスト anycast エニーキャスト ---------------------------------------------- [初期値] : unicast auto : RAで取得したプレフィックスとインタフェースのMACアドレスからIPv6ア ドレスを生成することを示すキーワード [初期値] : - dhcp : DHCPv6で取得したプレフィックスとインタフェースのMACアドレスから IPv6アドレスを生成することを示すキーワード [初期値] : - [説明] インタフェースにIPv6アドレスを付与する。 [ノート] このコマンドで付与したアドレスは、show ipv6 addressコマンドで確認するこ とができる。 複数のLANインタフェースでアドレスを自動で設定する機能を利用することがで きる。 具体的には、RAで取得したプレフィックスとインタフェースIDからIPv6アドレス を生成する機能と、DHCPv6で取得したプレフィックスとインタフェースIDから IPv6アドレスを生成する機能が利用できる。 これらを設定する場合、デフォルト経路は最後に設定が完了したインタフェース に向く。 LOOPBACKインタフェースを指定した場合は、auto、dhcp、ADDRESS_TYPEは指定で きない。 [15] ipv6 INTERFACE rtadv sendコマンドで以下のオプションを指定できるようにした。 - adv-retrans-time - adv-cur-hop-limit ○ルーター広告の送信の制御 [書式] ipv6 INTERFACE rtadv send PREFIX_ID [PREFIX_ID...] [OPTION=VALUE...] ipv6 pp rtadv send PREFIX_ID [PREFIX_ID...] [OPTION=VALUE...] no ipv6 interface rtadv send [...] no ipv6 pp rtadv send [...] [設定値及び初期値] INTERFACE [設定値] : LANインタフェース名 [初期値] : - PREFIX_ID [設定値] : プレフィックス番号 [初期値] : - OPTION=VALUE : NAME=VALUEの列 [設定値] : +--------------------+--------+----------------------------------+ | NAME | VALUE | 説明 | +--------------------+--------+----------------------------------+ |m_flag |on、off |managed address configurationフラ | | | |グ。ルーター広告による自動設定と | | | |は別に、DHCPv6に代表されるルーター| | | |広告以外の手段によるアドレス自動 | | | |設定をホストに許可させるか否かの | | | |設定。 | +--------------------+--------+----------------------------------+ |o_flag |on、off |other stateful configurationフラ | | | |グ。ルーター広告以外の手段により | | | |IPv6アドレス以外のオプション情報 | | | |をホストに自動的に取得させるか否 | | | |かの設定。 | +--------------------+--------+----------------------------------+ |max-rtr-adv-interval|秒数 |ルーター広告を送信する最大間隔 | | | |(4-1,800秒) | +--------------------+--------+----------------------------------+ |min-rtr-adv-interval|秒数 |ルーター広告を送信する最小間隔 | | | |(3-1,350秒) | +--------------------+--------+----------------------------------+ |adv-default-lifetime|秒数 |ルーター広告によって設定される端 | | | |末のデフォルト経路の有効時間 | | | |(0-9,000秒) | +--------------------+--------+----------------------------------+ |adv-reachable-time |ミリ秒数|ルーター広告を受信した端末が、 | | | |ノード間で確認した到達性の有効時 | | | |間(0-3,600,000ミリ秒) | +--------------------+--------+----------------------------------+ |adv-retrans-time |ミリ秒数|ルーター広告を再送する間隔 ★| | | |(0-4,294,967,295ミリ秒) | +--------------------+--------+----------------------------------+ |adv-cur-hop-limit |ホップ数|ルーター広告の限界ホップ数 ★| | | |(0-255) | +--------------------+--------+----------------------------------+ |mtu |auto、 |ルーター広告にMTUオプションを含 | | |off、 |めるか否かと、含める場合の値の設 | | |バイト数|定。autoの場合はインタフェースの | | | |MTUを採用する。 | +--------------------+--------+----------------------------------+ [初期値] m_flag = off o_flag = off max-rtr-adv-interval = 600 min-rtr-adv-interval = 200 adv-default-lifetime = 1800 adv-reachable-time = 0 adv-retrans-time = 0 adv-cur-hop-limit = 64 mtu = auto [説明] インタフェースごとにルーター広告の送信を制御する。送信されるプレフィック スとして、ipv6 prefixコマンドで設定されたものが用いられる。また、オプ ションとして m_flagおよびo_flagを利用して、管理するホストがルーター広告 以外の自動設定情報をどのように解釈するかを設定することができる。オプショ ンでは、送信するルーター広告の送信間隔や、ルーター広告に含まれる情報の設 定を行うこともできる。 [16] ipv6 prefixコマンドのpreferred-lifetimeオプションとvalid-lifetimeオプション で設定できる値の範囲を以下のように変更した。 変更前:60-15552000 変更後:0-4294967295(=0xFFFFFFFF) [17] ping6コマンドでパケットサイズ、送信元アドレス、送信間隔を指定できるように した。 ○ping6の実行 [書式] ping6 [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT] DESTINATION ping6 [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT] DESTINATION%SCOPE_ID ping6 [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT] DESTINATION INTERFACE ping6 [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT] DESTINATION pp PEER_NUM ping6 [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT] DESTINATION tunnel TUNNEL_NUM [設定値及び初期値] LENGTH [設定値] : データ長(1..65535) [初期値] : 64 COUNT [設定値] : 実行回数(1..21474836) [初期値] : Ctrl+cキーが入力されるまで繰り返す SOURCE [設定値] : 始点IPv6アドレス [初期値] : ルーターのインタフェースに付与されたアドレスの中から選択 する WAIT [設定値] : パケット送信間隔秒数(0.1..99.9) [初期値] : 1 DESTINATION [設定値] : 送信する宛先のIPv6アドレス、または名前 [初期値] : - SCOPE_ID [設定値] : スコープ識別子 [初期値] : - INTERFACE [設定値] : LANインタフェース名 [初期値] : - PEER_NUM [設定値] : 相手先情報番号 [初期値] : - TUNNEL_NUM [設定値] : トンネルインタフェース番号 [初期値] : - [説明] 指定した宛先に対してICMPv6 Echo Requestを送信する。 スコープ識別子は、show ipv6 addressコマンドで表示できる。 COUNTパラメータを省略すると、Ctrl+Cキーを入力するまで実行を継続する。 -wオプションを指定した時には、次のパケットを送信するまでの間に相手からの 返事を確認できなかった時にはその旨のメッセージを表示する。-wオプションを 指定していない時には、パケットが受信できなくても何もメッセージを表示しな い。 [18] pingコマンドで送信可能なデータサイズの最小値を1に変更した。 ■バグ修正 [1] LOOPBACKインタフェース、またはNULLインタフェース宛にIPv6パケットを送信すると リブートするバグを修正した。 [2] IPsec接続のフェーズ2でトランスポートモードを用いて生成されたSAが存在する場 合、ipsec refresh saコマンドの実行やIPsecに関連した設定を変更したことでSAが 初期化または削除されると、メモリの不正解放が発生したり、リブートしたりするこ とがあるバグを修正した。 [3] NTT東日本/NTT西日本のデータコネクトサービスを利用した拠点間接続で、負荷をか けるとリブートすることがあるバグを修正した。 [4] ルーターを端点とするTCPの通信が行われると、稀にリブートすることがあるバグを 修正した。 NTT東日本/NTT西日本のデータコネクトサービスを利用したリモートセットアップ実 行時に本バグが発生することを確認している。 [5] 内部データベース参照型URLフィルター機能および外部データベース参照型URLフィル ター機能で、"/.."を含むURLを参照すると、正しく解析できなかったり、リブートし たりすることがあるバグを修正した。 [6] SFTP接続で、以下の条件を満たす状況でsystemディレクトリにアクセスするとメモリ の不正解放が発生したり、リブートしたりすることがあるバグを修正した。 - 保存可能な最大数までコンフィグが保存されている - 保存可能な最大数までファームウェアが保存されている [7] mail server popコマンドで認証パスワードを指定せずに設定するとリブートするこ とがあるバグを修正した。 [8] RIPv2で不正な経路を受信すると、その経路を破棄せずに経路テーブルに取り込んだ り、リブートしたりするバグを修正した。本修正により、不正な経路を受信した場 合、下記に示すようなログがDEBUGレベルのSYSLOGに出力される。 Received illegal IP route X.X.X.X/X.X.X.X from X.X.X.X by RIPv2 [9] モバイルインターネット機能で、SoftBank C01SWまたはSoftBank C02SWをバックアッ プとして利用した場合、バックアップから復旧した後に、ルーターがリブートするこ とがあるバグを修正した。 また、切断する際に不要なUSBバスリセットが発生することがあるバグを修正した。 [10] ip filter dynamic timerコマンドを設定した状態で動的フィルターが最大セッショ ン数に達すると、リブートすることがあるバグを修正した。 [11] ip pp remote addressコマンドが設定されたPPインタフェースが接続中のとき、GUI の[インタフェース]ページの「詳細」ボタンまたは「状態」ボタンを押すと、リ ブートすることがあるバグを修正した。 [12] GUIの[保守]-[コマンドの入力]ページから、「&」「"」「>」「<」「 」のいずれか を含む、2000文字程度以上の文字列をコマンドとして実行すると、リブートしたり ルーターの動作が不安定になったりするバグを修正した。 [13] tunnel endpoint nameコマンドで不正な値を設定しようとした場合、リブートする ことがあるバグを修正した。 ※ Rev.10.01.24以降のファームウェアで発生する。 [14] 以下の条件をすべて満たす場合に、キーボードからシリアルコンソールに文字入力 をしているとシリアルコンソールがハングアップすることがあるバグを修正した。 - ip routing process fast - QoSの設定がある - ファストパス対象外のパケットの送信負荷が高くパケットロスしている [15] VLANインタフェースに対してPPPoEの設定をしているとき、PPPoE経由の通信が発生 するとその後の動作が不安定になることがあるバグを修正した。 [16] IPsec NATトラバーサルで負荷をかけた場合にリブートする可能性を排除した。 [17] IPsecのトランスポートモードで通信をするとメモリリークするバグを修正した。 [18] モバイル端末の情報をSNMPで取得するとメモリリークするバグを修正した。 [19] OSPFで、下記に示すようにエリア全体の認証が有効になっているがそのエリアに属 するインタフェースの設定に認証鍵の指定がない場合、本来送信しないHelloパケッ トを送信しようとしてメモリリークが発生するバグを修正した。 (MD5認証の設定誤りの例) ip lan1 ospf area backbone × md5keyがない ip lan2 ospf area backbone md5key=1,abc ○ 正しい ospf area backbone auth=md5 (プレーンテキスト認証の設定誤りの例) ip lan1 ospf area backbone × authkeyがない ip lan2 ospf area backbone authkey=abc ○ 正しい ospf area backbone auth=text [20] 外部データベース参照型URLフィルターを使用すると、メモリリークするバグを修正 した。 [21] GUIの[保守]-[HTTPリビジョンアップの実行]ページからファームウェアのリビジョ ンアップを行う際に、ファームウェアのダウンロードが完了している状態かつ内蔵 フラッシュROMに書き込む前にリビジョンアップを中断すると、メモリリークするバ グを修正した。 [22] SFTP接続でRTFS領域のルートディレクトリを対象として特定のファイル名のファイ ルの読み出しや書き込みなどの操作を行った場合、メモリの二重解放が起きるバグ を修正した。 以下の条件で本バグは発生する。 - USBメモリがアタッチされている場合にファイル名が"u", "us", "usb" である ファイルを操作した場合 - SDカードがアタッチされている場合にファイル名が"s", "sd" であるファイルを 操作した場合 [23] IPヘッダに不正なタイムスタンプオプションが含まれているパケットを受信した とき、IPオプションフィールドを不当に書き換えてしまうことがあるバグを修正 した。 [24] IPCPでIPアドレスを取得し、コネクションを切断した後、ソースアドレスが0.0.0.0 のパケットを受信すると破棄するバグを修正した。 [25] VRRPでマスタールーターが切り替わった直後にARP requestを受信すると、マスター ルーターのみがreplyを返すべきARP request(仮想IPアドレスに対するARP request など)に対しても、旧マスタールーターがreplyを返すことがあるバグを修正した。 [26] ルーターのコンソールからIPv6アドレス宛に対するtelnetコマンドやrdateコマンド などのTCPアプリケーションを実行したとき、通信できないことがあるバグを修正し た。 [27] フラグメントされた特定サイズのIPv6パケットを受信したとき、パケットが破棄さ れてしまうバグを修正した。 最後のフラグメントパケットを破棄していたため、パケット全体も破棄されてし まっていた。 [28] フラグメントされたICMP6パケットが転送されないことがあるバグを修正した。 [29] モバイルインターネット接続機能で、一部のデータ通信端末で電波状態が悪化した 時に電波受信レベルの取得を繰り返すと、電波状態が回復した後も接続できなくな ることがあるバグを修正した。 [30] RIPngの優先度が他より低い場合に、RIPngで通知された経路と同一の宛先に対する 経路がOSPFv3によって通知されるかipv6 routeコマンドで静的に設定されると、当 該経路情報がRIPngによって通知されなくなってもhide状態でルーティングテーブル に残り、さらにOSPFv3によって通知されなくなるか静的経路が削除されると本来は 無効(hide状態)であるべきRIPngによって通知された経路が有効になってしまうバ グを修正した。 [31] IKEv2で、一部の鍵交換のパケットがロスすると、トンネルがつながらなくなること があるバグを修正した。 [32] IKEv2で、CHILD SAの削除を通知するDeleteペイロードに含めるSPI値がリクエスト とレスポンスで互いに逆となっているバグを修正した。 [33] ngn typeコマンドを設定していないインタフェースでDHCPv6-PDクライアントの設定 をしているとき、DHCPv6-PDメッセージで不要なオプションを設定し送信してしまう バグを修正した。 [34] UPnPで、NOTIFYの送信間隔がCACHE-CONTROL(max-age=1800s)と同じ30分であったの を、規格に合わせてその半分の15分となるように修正した。 [35] NTT東日本/NTT西日本のデータコネクトサービスを利用した拠点間接続で、自動切 断タイマーが無効になることがあるバグを修正した。 [36] vlan INTERFACE 802.1qコマンドが1つでも設定されていると、LANインタフェースが リンクダウンした際に、対応するすべてのタグVLANインタフェースに対する linkdownトラップが送出されるバグを修正した。 [37] RADIUS機能で、ルーターからRADIUSサーバーに送出されるAccess-Requestおよび Accounting-Requestに含まれるNAS-Port-Type属性の値が、着信ポートの種類によら ず常にISDN Sync (2) となっているバグを修正した。 着信ポートの種類と、対応するNAS-Port-Type属性の値は以下の通りである。 - ISDN同期通信の場合 : ISDN Sync (2) - PIAFSの場合 : PIAFS (6) - それ以外 (PPTPなど): Virtual (5) [38] TFTPで'config'宛に設定ファイルをPUTすると、設定ファイルの内容によってはそれ 以降、TFTPが使えなくなることがあるバグを修正した。 [39] SFTP接続で外部メモリへのファイルの書き込みを行う場合、存在しないディレクト リ配下へファイルを書き込もうとするとSFTP接続が切断することがあるバグを修正 した。 [40] カスタムGUIで、コマンド実行結果の文字列に不要な改行が挿入されないようにし た。従来は1行あたりの文字数がconsole columnsコマンドの設定値に到達した時点 で改行が挿入されていたが、スクリプトで処理しやすくするため、本来の終端位置 以外では改行されないようにした。 [41] カスタムGUIで、マルチバイト文字を含むコマンドを実行すると、実行結果が文字化 けするバグを修正した。/custom/executeに対してマルチバイト文字をPOSTした場合 は、当該文字をUTF-8として解釈するようにした。 [42] プロンプトの文字数 (末尾の空白1文字を含む) と入力したコマンドの文字数の合計 が4095文字を超えている状態でCtrl+Eを押下すると、カーソルの位置が終端に移動 しないバグを修正した。 [43] grepコマンドで「$」を指定したとき、パターンに一致する行があるにも関わらず何 も表示されないバグを修正した。 ※ Rev.10.01.24以降のファームウェアで発生する。 [44] ipv6 filterコマンドのtcpflag=オプションが動作しないバグを修正した。 [45] cooperation bandwidth-measuring remoteコマンドで、オプションを重複して指定 してもエラーにならないバグを修正した。 [46] リダイレクト文字「>」を含んだコマンド文字列をshow configコマンドで表示させ たとき、表示されたコマンド文字列をコピー&ペーストすると、コマンド実行エ ラーとなるバグを修正した。 リダイレクト文字「>」を含んだコマンド文字列は、「"」で括って表示するように 修正した。 [47] console promptコマンドで長い文字列を指定している際、その後に表示されるはず のサフィックスの表示が途切れてしまうバグを修正した。 [48] ip INTERFACE vrrpコマンドで、advertise-interval/down-intervalの各パラメータ を重複指定してもエラーにならないバグを修正した。また、priority/preempt/auth の各パラメータを重複指定したときのエラーメッセージが不適切であったため、適 切なメッセージに修正した。 [49] bgp import filterコマンドおよびbgp export filterコマンドで、ip_address/mask パラメータを指定していなくても、オプションパラメータを指定するとエラーにな らないバグを修正した。 [50] 接続されていないスイッチに対して以下のコマンドで、不正な値を入力してもエ ラーにならないバグを修正した。 - switch control function set loopdetect-count - switch control function set loopdetect-time - switch control function set loopdetect-recovery-timer [51] 以下のコマンドで、local-addr= オプションに 0.0.0.0 や :: が設定できてしまう バグを修正した。 - cooperation bandwidth-measuring remote - cooperation load-watch remote また、cooperation load-watch remoteコマンドで、オプションを重複して指定して もエラーにならないバグを修正した。 [52] auth user groupコマンドで、"ユーザID-ユーザID" という形式でユーザIDを設定で きないことがあるバグを修正した。 [53] DHCPv6-PDクライアントを設定している場合、show status ipv6 dhcpコマンドで Vender Specific Informationを取得していないときでも表示するバグを修正した。 [54] show status dhcpcコマンドの表示結果の誤記を修正した。 [55] 以下のコマンドのコマンドヘルプの誤記を修正した。   - ipv6 INTERFACE address - bgp import filter - bgp export filter - auth user group - external-memory config filename - external-memory exec filename - no snmp trap enable switch - no snmp ifindex switch static index - no snmp yrsindex switch static index [56] GUIの[保守]-[コマンドの入力]ページ、もしくはカスタムGUIから、4096文字以上の 文字列をコマンドとして実行すると、それ以降GUIおよびカスタムGUIのいずれにも アクセスできなくなるバグを修正した。 [57] GUIの[保守]-[コマンドの入力]ページから、HTMLタグを含む文字列をコマンドとし て実行した場合、実行結果の表示が乱れることがあるバグを修正した。 [58] GUIの[スイッチ制御(スイッチの管理トップページ)]で、ホスト名を指定してホスト 検索を行う際、ホスト名として使用できない文字を指定してもエラーにならないバ グを修正した。 [59] GUIの[スイッチ制御(スイッチの管理トップページ)]で、LAN2またはLAN3で管理して いるスイッチに接続されているホストを検索した際に、検索結果が正しく表示され ないバグを修正した。 [60] GUIの[スイッチ制御(スイッチの管理トップページ)]で、タグVLANの削除を実行した 際、接続されていないスイッチのVLAN設定があるにも関わらず、ルーターのVLAN設 定が削除されることがあるバグを修正した。 [61] GUIの[スイッチ制御(マルチプルVLAN設定)]のタイトルの誤記を修正した。 [62] GUIの[スイッチ制御(スイッチポートの設定)]で、フレームカウンタの設定に表示さ れる設定値の名前が、counter-frame-rx-typeコマンド及びcounter-frame-tx-type コマンドのパラメータと異なっているバグを修正した。 [63] スイッチを異なるLANインターフェースに付け替えて、GUIの[スイッチ制御(タグ VLANの設定)]で設定変更を行っていると、正しく設定されないことがあるバグを修 正した。 ■更新履歴 Jul. 2011, Rev.10.01.32 リリース Sep. 2011, Rev.10.01.32 機能追加[3] 注釈修正 Nov. 2011, Rev.10.01.32 仕様変更[14]-[18] 追加 以上