http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.11.01/relnote_11_01_21.html Revision : 11.01.21 Release : Jul. 2014, ヤマハ株式会社 Rev.11.01.21 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ RTX810 Rev.11.01.19 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] L2TPv3を用いたL2VPNに対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] OSPFv3に対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/ospfv3/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [3] モバイルインターネット機能で、以下のデータ通信端末に対応した。 - EMOBILE GL08D - IIJ mobile UX312NC - NCXX RT-WJ02 - NCXX UX102NC - NTTコム UX302NC - Sonet FS01BU [4] NTT東日本/西日本フレッツ光ネクストのリナンバリングに対応した。 [5] VRRPv3の一部機能に対応した。 ipv6 INTERFACE vrrpコマンド、およびipv6 INTERFACE vrrp shutdown triggerコマ ンドを追加した。 http://www.rtpro.yamaha.co.jp/RT/docs/vrrp/vrrp.html 外部仕様書をよくご確認のうえ、ご利用ください。 ○インターフェース毎のVRRPv3の設定 [書式] ipv6 INTERFACE vrrp VRID IPV6_ADDRESS [priority=PRIORITY] [preempt=PREEMPT] [auth=AUTH] [advertise-interval=TIME1] [down-interval=TIME2] no ipv6 INTERFACE vrrp VRID [VRID...] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名 [初期値] : - VRID [設定値] : VRRPv3グループID(1..255) [初期値] : - IPV6_ADDRESS [設定値] : 仮想ルーターのIPv6アドレス [初期値] : - PRIORITY [設定値] : 優先度(1..254) [初期値] : 100 PREEMPT : プリエンプトモード [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on プリエンプトモードを使用する off プリエンプトモードを使用しない --------------------------------------------------------------- [初期値] : on AUTH [設定値] : テキスト認証文字列(8文字以内) [初期値] : - TIME1 [設定値] : VRRPv3広告の送信間隔(秒) [初期値] : 1 TIME2 [設定値] : マスターがダウンしたと判定するまでの時間(秒) [初期値] : 3 [説明] 指定したVRRPv3グループを利用することを設定する。 同じVRRPv3グループに所属するルーターの間では、VRIDおよび仮想ルーターの IPv6アドレスを一致させておかなくてはいけない。これらが食い違った場合の動 作は予測できない。 AUTHパラメーターを指定しない場合には、認証なしとして動作する。 TIME1およびTIME2パラメーターで、マスターがVRRPv3広告を送信する間隔と、バ ックアップがそれを監視してダウンと判定するまでの時間を設定する。トラフィ ックが多いネットワークではこれらの値を初期値より長めに設定すると動作が安 定することがある。これらの値はすべてのVRRPv3ルーターで一致している必要が ある。 [ノート] PRIORITYおよびPREEMPTパラメーターの設定は、仮想ルーターのIPv6アドレスと して自分自身のLANインターフェースに付与されているアドレスを指定している場 合には無視される。この場合、優先度は最高の255となり、常にプリエンプトモー ドで動作する。 ○シャットダウントリガの設定 [書式] ipv6 INTERFACE vrrp shutdown trigger VRID INTERFACE ipv6 INTERFACE vrrp shutdown trigger VRID pp PEER_NUM [dlci=DLCI] ipv6 INTERFACE vrrp shutdown trigger VRID route NETWORK [NEXTHOP] no ipv6 INTERFACE vrrp shutdown trigger VRID [INTERFACE] no ipv6 INTERFACE vrrp shutdown trigger VRID [pp PEER_NUM [...]] no ipv6 INTERFACE vrrp shutdown trigger VRID [route NETWORK] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名 [初期値] : - VRID [設定値] : VRRPv3グループID(1..255) [初期値] : - PEER_NUM [設定値] : 相手先情報番号 [初期値] : - DLCI [設定値] : DLCI番号 [初期値] : - NETWORK [設定値] : ■IPv6アドレス/マスク長 ■default [初期値] : - NEXTHOP [設定値] : ■インターフェース名 ■IPv6アドレス [初期値] : - [説明] 設定したVRRPv3グループでマスタールーターとして動作している場合に、指定し た条件によってシャットダウンすることを設定する。 ------------------------------------------------------------------------- 形式 説明 ------------------------------------------------------------------------- LANインターフェース形式 指定したLANインターフェースがリンクダウン するか、あるいはlan keepaliveでダウンが検 知されると、シャットダウンする。 ------------------------------------------------------------------------- pp形式 指定した相手先情報番号に該当する回線で通 信できなくなった場合にシャットダウンする。 通信できなくなるとは、ケーブルが抜けるな どレイヤ1が落ちた場合と、以下の場合である。 - 回線がISDN回線である時は、呼が接続さ れていない場合 回線が専用線である時には、LCPキープア ライブによって通信相手が落ちたと判断し た場合 - 回線がフレームリレーであって "dlci=DLCI"を指定している場合には、 PVC状態確認手順によって指定したDLCI 番号が通信できないと判断した場合 - pp keepalive use設定によりダウンが検 出された場合 ------------------------------------------------------------------------- route形式 指定した経路が経路テーブルに存在しないか、 NEXTHOPで指定したインターフェースもしくは IPv6アドレスで指定するゲートウェイに向 いていない場合に、シャットダウンする。 NEXTHOPを省略した場合には、経路がどのよ うな先を向いていても存在する限りはシャッ トダウンしない。 ------------------------------------------------------------------------- [6] 以下のコマンドについて、reboundオプションを追加した。 - ip icmp time-exceeded send - ip icmp unreachable send - ipv6 icmp time-exceeded send - ipv6 icmp unreachable send このオプションをonに設定することにより、受信したパケットに対するそれぞれの ICMPエラーを経路と関係なく受信したインターフェースから送信することができる。 ○ICMP Time Exceededを送信するか否かの設定 [書式] ip icmp time-exceeded send SEND [rebound=SW]sa ipv6 icmp time-exceeded send SEND [rebound=SW] no ip icmp time-exceeded send no ipv6 icmp time-exceeded send [設定値及び初期値] SEND [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on 送信する off 送信しない --------------------------------------------------------------- [初期値]:on SW ★ [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on 受信インターフェースから送信する off 経路に従って送信する --------------------------------------------------------------- [初期値]:off [説明] 受信したIPパケットのTTLが0になってしまったため、そのパケットを破棄した場 合に、同時にパケットの送信元に対してICMP Time Exceededを送信するか否かを 設定する。 reboundオプションをonに設定した場合には、経路に関係なく元となるパケットを 受信したインターフェースから送信する。 ★ ○ICMP Destination Unreachableを送信するか否かの設定 [書式] ip icmp unreachable send SEND [rebound=SW] ipv6 icmp unreachable send SEND [rebound=SW] no ip icmp unreachable send no ipv6 icmp unreachable send [設定値及び初期値] SEND [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on 送信する off 送信しない --------------------------------------------------------------- [初期値]:on SW ★ [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on 受信インターフェースから送信する off 経路に従って送信する --------------------------------------------------------------- [初期値]:off [説明] 経路テーブルに宛先が見つからない場合や、あるいはARPが解決できなくてIPパ ケットを破棄することになった場合に、同時にパケットの送信元に対してICMP Destination Unreachableを送信するか否かを設定する。 reboundオプションをonに設定した場合には、経路に関係なく元となるパケットを 受信したインターフェースから送信する。 ★ [7] IPsecトランスポートモードの設定で、テンプレートに対応した。 ○トランスポートモードのテンプレートの設定 [書式] ipsec transport template ID1 ID2 [ID2 ...] no ipsec transport ID1 [ID2 ...] [設定値及び初期値] ID1 [設定値] : 展開元のトランスポートID [初期値] : - ID2 [設定値] : 展開先のトランスポートID、または間にハイフン("-")をはさんで トランスポートIDを範囲指定したもの [初期値] : - [説明] 指定したipsec transportコマンドの設定の展開先となるトランスポートIDを設定 する。展開先のポリシーIDは展開先のトランスポートIDと同じ値が設定される。 展開先のトランスポートIDに対して既に設定が存在する場合、展開先の設定が優 先される。 本コマンドによってVPN対地数までipsec transportコマンドの設定を展開するこ とができる。 VPN対地数を超える範囲に展開することはできない。 [8] 保存されている実行形式ファームウェアファイルの一覧を表示するコマンドを追加し た。 ○ファームウェアファイルの一覧の表示 [書式] show exec list less exec list [説明] 内蔵FlashROMおよび外部メモリに保存されている実行形式ファームウェアファイ ルの情報を表示する。起動中のファームウェアファイルには、アスタリスク("*") 印が表示される。 ファームウェアファイルが保存されている外部メモリが接続されている場合には、 そのファームウェアファイルの情報も表示される。 ■仕様変更 [1] モバイルインターネット機能で、データ通信端末のアタッチ直後の網への接続を抑制 できるようにした。 ○携帯端末を使用するか否かの設定 [書式] mobile use INTERFACE USE [first-connect-wait-time=TIME] [設定値及び初期値] INTERFACE [設定値]: usb1 USB1をモバイルインターネット接続に使用 [初期値]:- USB [設定値]: on 携帯端末を使用する off 携帯端末を使用しない [初期値]:off TIME [設定値]: 0-300 携帯端末アタッチ後の発信抑制秒数 [初期値]:0 [説明] 指定のバスに接続された携帯端末をインターネット接続に使用するか否かを設定 する。 first-connect-wait-timeオプションは、携帯端末のアタッチ後の発信抑制時間を 設定し、網への接続を抑制する。mobile auto connectコマンドや、wan1 auto connectコマンド、pp always-onコマンド、wan1 always-onコマンドでonが設定さ れている場合の網への接続要求も、このコマンドで設定された発信抑制秒数の間 は、発信が抑制される。 [2] snmp(v1/v2c/v3) hostのコマンド拡張を行った。 ○SNMPv1 によるアクセスを許可するホストの設定 [書式] snmp host HOST [RO_COMMUNITY [RW_COMMUNITY]] no snmp host [HOST [RO_COMMUNITY [RW_COMMUNITY]]] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさんだ IPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none RO_COMMUNITY [設定値]: 読み出し専用のコミュニティー名(16文字以内) [初期値]: - RW_COMMUNIT [設定値]: 読み書き可能なコミュニティー名(16文字以内) [初期値]: - [説明] SNMPv1によるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv1によるアクセスを許可する。 IPアドレスやlanN、bridgeNでホストを指定した場合には、同時にコミュニティー 名も設定できる。 ★ RW_COMMUNITYパラメーターを省略した場合には、アクセスモードが読み書き可能 であるアクセスが禁止される。RO_COMMUNITYパラメーターも省略した場合には、 snmp community read-onlyコマンド、およびsnmp community read-writeコマンド の設定値が用いられる。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのは Rev.11.01.21以降である。 ○SNMPv2c によるアクセスを許可するホストの設定 [書式] snmpv2c host HOST [RO_COMMUNITY [RW_COMMUNITY]] no snmpv2c host [HOST [RO_COMMUNITY [RW_COMMUNITY]]] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさんだ IPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none RO_COMMUNITY [設定値]: 読み出し専用のコミュニティー名(16文字以内) [初期値]: - RW_COMMUNITY [設定値]: 読み書き可能なコミュニティー名(16文字以内) [初期値]: - [説明] SNMPv2cによるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv2cによるアクセスを許可する。 IPアドレスやlanN、bridgeNでホストを指定した場合には、同時にコミュニティー 名も設定できる。 ★ RW_COMMUNITYパラメーターを省略した場合には、アクセスモードが読み書き可能 であるアクセスが禁止される。RO_COMMUNITYパラメーターも省略した場合には、 snmpv2c community read-onlyコマンド、およびsnmpv2c community read-writeコ マンドの設定値が用いられる。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのは Rev.11.01.21以降である。 ○SNMPv3 によるアクセスを許可するホストの設定 [書式] snmpv3 host HOST user USER_ID ... no snmpv3 host HOST [user USER_ID ...] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさん だIPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none USER_ID: ユーザー番号 [設定値]: 1個の数字、または間にハイフン(-)をはさんだ数字(範囲指定)、 およびこれらを任意に並べたもの(128個以内) [初期値]:- [説明] SNMPv3によるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv3によるアクセスを許可する。な お、アクセスのあったホストがHOSTパラメーターに合致していても、USER_IDパラ メーターで指定したユーザーに合致しなければアクセスはできない。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのは Rev.11.01.21以降である。 [3] 以下に示すIPv4の経路変更が発生した場合は、経路情報の更新内容を直ちにルーティ ング処理に反映するようにした。 - IPv4静的経路の設定変更 - PP/TUNNELインターフェースのアップダウンによるIPv4経路変更 - ICMPリダイレクト受信によるIPv4経路変更 なお、上記以外の場合には、経路情報の更新内容のルーティング処理への反映は従来 通り1秒おきである。 [4] 外部メモリへのSYSLOG保存機能で、外部メモリに書き出す時間間隔と外部メモリに書 き出すログの行数を指定できるようにした。 [書式] external-memory syslog filename NAME [CRYPTO PASSWORD] [limit=SIZE] [backup=NUM] [interval=INTERVAL] [line=LINE] ★ no external-memory syslog filename [NAME] [設定値及び初期値] NAME: SYSLOGファイル名 [設定値]: --------------------------------------------------------- 設定値 説明 --------------------------------------------------------- usb1:filename USBメモリ内のファイル名 (.bak拡張子を含む名前は指定できない) sd1:filename microSDカード内のファイル名 (.bak拡張子を含む名前は指定できない) --------------------------------------------------------- [初期値]: - CRYPTO: SYSLOGを暗号化して保存する場合の暗号アルゴリズムの選択 [設定値] ------------------------------- 設定値 説明 ------------------------------- aes128 AES128で暗号化する aes256 AES256で暗号化する ------------------------------- [初期値]: - PASSWORD [設定値]: ASCII文字列で表したパスワード(半角8文字以上、32文字以内) [初期値]: - SIZE [設定値]: SYSLOGファイルの上限サイズ(1-1024 単位:MB) [初期値]: 10 NUM [設定値]: バックアップファイルの上限数(1-100) [初期値]: 10 INTERVAL ★ [設定値]: SYSLOGを外部メモリに書き出す間隔(2-86400 単位:秒) [初期値]: 2 LINE ★ [設定値]: SYSLOGを外部メモリに書き出す行数(1000-N 単位:行) N ... 各機種のログ記憶容量 [初期値]: 1000 [説明] 外部メモリ内に保存するSYSLOGファイル名を指定する。 NAMEに.bak拡張子を含むファイル名は指定できない。また、暗号化しない場合、 NAMEに.rtfg拡張子を含むファイル名は指定できない。 CRYPTOおよびPASSWORDを指定した場合、SYSLOGは暗号化してから外部メモリに 書き込まれる。暗号化する場合、NAMEに.rtfg拡張子を含めるか、拡張子を省略 した名前を指定する必要がある。拡張子を省略した場合、自動的にファイル名に .rtfg拡張子が追加される。 SYSLOGファイルが上限サイズに達すると、SYSLOGファイルのバックアップが行 われる。このとき作成されるバックアップファイルの名前はファームウェアによ って異なる。 RTX5000、RTX3500、RTX810では、バックアップファイル名は、NAMEで指定され たファイル名の後にバックアップが行われた日時を表す"_yyyymmdd_hhmmss"形式 の文字列が付加されたものとなる。 yyyy ... 西暦(4桁) mm ... 月(2桁) dd ... 日(2桁) hh ... 時(2桁) mm ... 分(2桁) ss ... 秒(2桁) バックアップファイル数がnumで指定される上限数に達した場合、もしくは外部 メモリに空き容量がなくなった場合は、最も古いバックアップファイルを削除し てから新しいバックアップファイルが作成される。 RTX1200では、オプションのsizeやnumの指定はできない。各パラメーターは固 定となっており、それぞれ、SIZEは、1,024(MB)、NUMは、1として動作する。 また、バックアップファイル名は以下の規則に従って決定される。 NAMEに拡張子が含まれている場合 暗号化しないで保存する ... 拡張子を.bakに置き換える 暗号化して保存する ... 拡張子の前に_bakを追加する NAMEに拡張子が含まれていない場合 ... .bakという拡張子を追加する INTERVALで指定した時間が経過した場合、もしくはLINEで指定した行数だけ SYSLOGが出力された場合に、外部メモリにSYSLOGを書き出す。 本コマンドが設定されていないときはSYSLOGは外部メモリに書き込まれない。 [ノート] 以下の変更を行う場合、nameを変更しなければならない。 - SYSLOGを暗号化しないで保存するから、暗号化して保存するに変更する場合 - SYSLOGを暗号化して保存するから、暗号化しないで保存するに変更する場合 - 暗号アルゴリズムまたは、パスワードを変更する場合 [5] L2TP/IPsecで以下の仕様変更を行った。 - 切断したあと受信用のIPsec SAのみが残っている状況でも、当該トンネルで新規 L2TP/IPsec接続を受け付けることができるようにした。 - 特定の端末とのL2TP/IPsec接続で切断処理に30秒程度かかってしまう事象への対策 をした。 - 切断時にDEBUGレベルのSYSLOGに出力される以下のログを変更した。 変更前: [IKE] Reset L2TP/IPsec setting 変更後: [IKE] Reset L2TP/IPsec setting TUNNEL[XX] [6] トンネルテンプレートで、L2TP/IPsecに関連したコマンドに対応した。 ○トンネルテンプレートの設定 [書式] tunnel template TUNNEL [TUNNEL ...] no tunnel template [設定値及び初期値] TUNNEL [設定値] : トンネルインターフェース番号、または間にハイフン("-")をはさ んでトンネルインターフェース番号を範囲指定したもの [初期値] : - [説明] tunnel selectコマンドにて選択されたトンネルインターフェースを展開元として、 当該インターフェースに設定されているコマンドの展開先となるトンネルインター フェースを設定する。 展開元のトンネルインターフェースに設定することで、展開先のトンネルインター フェースにも適用されるコマンドは以下のとおりである。なお、末尾に(*1)また は(*2)が付加されているコマンドについては[ノート]を参照のこと。 - ipsec tunnel - ipsec sa policy - ipsec ikeで始まるコマンドのうち、パラメーターにセキュリティー・ゲート ウェイの識別子をとるもの - ipsec auto refresh(引数にセキュリティー・ゲートウェイの識別子を指定する 場合) - tunnel encapsulation(*1) - tunnel ngn arrive permit(*1) - tunnel ngn bandwidth (*1) - tunnel ngn disconnect time(*1) - tunnel ngn radius auth(*1) - l2tpで始まるコマンド(*2) ★ - tunnel enable 上記コマンドのうち以下のコマンドについては、特定のパラメーターの値が展開 元のトンネルインターフェース番号に一致する場合のみ、コマンドが展開される。 その場合、当該パラメーターの値は展開先のトンネルインターフェース番号に置 換される。 ---------------------------------------------------------------------- コマンド パラメーター ---------------------------------------------------------------------- ipsec tunnel ポリシーID ipsec sa policy ポリシーID ipsec ikeで始まるコマンド セキュリティー・ゲートウェイの識別子 ipsec auto refresh セキュリティー・ゲートウェイの識別子 tunnel enable トンネルインターフェース番号 ---------------------------------------------------------------------- ipsec sa policyコマンドでは、セキュリティー・ゲートウェイの識別子が展開先 のトンネルインターフェース番号に置換される。 ipsec ike remote nameコマンドでは、相手側セキュリティー・ゲートウェイの名 前の末尾に展開先のトンネルインターフェース番号が付加される。 展開元のトンネルインターフェースに設定されているコマンドと同じコマンドが、 展開先のトンネルインターフェースに既に設定されている場合、展開先のトンネ ルインターフェースに設定されているコマンドが優先される。 コマンド展開後の、ルーターの動作時に参照される設定はshow config tunnelコ マンドにexpandキーワードを指定することで確認できる。 [ノート] トンネルインターフェースが選択されている時にのみ使用できる。 本コマンドはRev.8.03以降で使用可能である。なお、展開対象となるコマンドの うち、末尾に(*1)が付加されているコマンドについては、以下の機種、リビジョ ンで対応している。 ---------------------------------------- 機種 リビジョン ---------------------------------------- RTX5000、RTX3500 すべてのリビジョン RTX3000 Rev.9.00.56以降 RTX1200 Rev.10.01.42以降 RTX810 Rev.11.01.09以降 ---------------------------------------- 展開対象となるコマンドのうち、末尾に(*2)が付加されているコマンドについて は、以下の機種、リビジョンで対応している。 ---------------------------------------- 機種 リビジョン ---------------------------------------- RTX3000 Rev.9.00.60以降 ---------------------------------------- [7] IKEv2で、リクエストメッセージの送信をメッセージIDで管理できるようにした。 ○IKEのメッセージID管理の設定 [書式] ipsec ike message-id-control GATEWAY_ID SWITCH no ipsec ike message-id-control GATEWAY_ID [SWITCH] [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - SWITCH [設定値] : ---------------------------------------------------------------- 設定値 説明 ---------------------------------------------------------------- on リクエストメッセージの送信をメッセージIDで管理する off リクエストメッセージの送信をメッセージIDで管理しない ---------------------------------------------------------------- [初期値] : off [説明] 自機からIKEv2のリクエストメッセージを送信するときのメッセージID管理方法を 設定する。 onに設定しているとき、同じIKE SAを使用して送信済みのIKEメッセージに対する 全てのレスポンスメッセージを受信していない場合、新しいIKEメッセージは送信 しない。 [ノート] 本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。 [8] IKEv2で鍵交換を始動するとき、SAを構築するための各折衝パラメーターを、特定の コマンド設定値に限定して提案できるようにした。 ○折衝パラメーターを制限するか否かの設定 [書式] ipsec ike proposal-limitation GATEWAY_ID SWITCH no ipsec ike proposal-limitation GATEWAY_ID [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - SWITCH [設定値] : ------------------------------------------- 設定値 説明 ------------------------------------------- on 折衝パラメーターを制限する off 折衝パラメーターを制限しない ------------------------------------------- [初期値] : off [説明] IKEv2で鍵交換を始動するときに、SAを構築するための各折衝パラメーターを、 特定のコマンド設定値に限定して提案するか否かを設定する。このコマンドの設 定がoffのときは、サポート可能な折衝パラメーター全てを提案する。 このコマンドが適用されるパラメーターと対応するコマンドは以下の通りである。 ----------------------------------------------------------- パラメーター コマンド ----------------------------------------------------------- 暗号アルゴリズム ipsec ike encryption グループ ipsec ike group ハッシュアルゴリズム ipsec ike hash 暗号・認証アルゴリズム ipsec sa policy ※CHILD SA 作成時 ----------------------------------------------------------- [ノート] 本コマンドはIKEv1としての動作には影響を与えない。 [9] IKEv2で、INVALID_IKE_SPI Notifyメッセージを受信したとき、該当するIKE SAを削 除するようにした。 [10] show status tunnelコマンドで、IKEv2のIKEキープアライブの状態を表示するよう にした。 [11] pingコマンド、ping6コマンドの送信間隔の上限値を3600秒に変更した。 ○pingの実行 [書式] ping [-s DATALEN] [-c COUNT] [-sa IP_ADDRESS] [-w WAIT] HOST [設定値及び初期値] DATALEN [設定値] : データ長 - Rev.10.01.32以降 ... (1..65535 byte) - 上記以外 ... (64..65535 byte) [初期値] : 64 COUNT [設定値] : 実行回数(1..21474836) [初期値] : Ctrl+cキーが入力されるまで繰り返す IP_ADDRESS [設定値] : 始点IPアドレス(xxx.xxx.xxx.xxx(xxxは十進数)) [初期値] : ルーターのインターフェースに付与されたアドレスの中から選択 する WAIT [設定値] : パケット送信間隔秒数(0.1..3600.0) ★ [初期値] : 1.0 HOST [設定値] : pingをかけるホストのIPアドレス(xxx.xxx.xxx.xxx(xxxは十進数)) ping をかけるホストの名称 [初期値] : - [説明] ICMP Echoを指定したホストに送出し、ICMP Echo Replyが送られてくるのを待つ。 送られてきたら、その旨表示する。コマンドが終了すると簡単な統計情報を表示 する。 COUNTパラメーターを省略すると、Ctrl+cキーを入力するまで実行を継続する。 -wオプションを指定した時には、次のパケットを送信するまでの間に相手からの 返事を確認できなかった時にはその旨のメッセージを表示する。-wオプションを 指定していない時には、パケットが受信できなくても何もメッセージを表示しな い。 ○ping6の実行 [書式] ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION%SCOPE_ID ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION INTERFACE ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION pp PEER_NUM ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION tunnel TUNNEL_NUM ping6 DESTINATION [COUNT] ping6 DESTINATION%SCOPE_ID [COUNT] ping6 DESTINATION INTERFACE [COUNT] ping6 DESTINATION pp PEER_NUM [COUNT] ping6 DESTINATION tunnel TUNNEL_NUM [COUNT] [設定値及び初期値] DATALEN [設定値] : データ長(1..65535byte) [初期値] : 64 COUNT [設定値] : 実行回数(1..21474836) [初期値] : Ctrl+cキーが入力されるまで繰り返す IPV6_ADDRESS [設定値] : 始点IPv6アドレス [初期値] : ルーターのインターフェースに付与されたアドレスの中から選択 する WAIT [設定値] : パケット送信間隔秒数(0.1..3600.0) ★ [初期値] : 1.0 DESTINATION [設定値] : 送信する宛先のIPv6アドレス、または名前 [初期値] : - SCOPE_ID [設定値] : スコープ識別子 [初期値] : - INTERFACE [設定値] : LANインターフェース名 [初期値] : - PEER_NUM [設定値] : 相手先情報番号 [初期値] : - TUNNEL_NUM [設定値] : トンネルインターフェース番号 [初期値] : - [説明] 指定した宛先に対してICMPv6 Echo Requestを送信する。 スコープ識別子は、show ipv6 addressコマンドで表示できる。 第1〜第5書式は、Rev.10.01.32以降のリビジョンで指定できる。それ以外のリ ビジョンでは、第6〜第10書式で指定する。 COUNTパラメーターを省略すると、Ctrl+Cキーを入力するまで実行を継続する。 -wオプションを指定した時には、次のパケットを送信するまでの間に相手からの 返事を確認できなかった時にはその旨のメッセージを表示する。-wオプションを 指定していない時には、パケットが受信できなくても何もメッセージを表示しな い。 [ノート] -sオプション、-cオプション、-saオプション、-wオプションはRev.10.01.32以 降で使用可能。 [12] L1シェーピング機能に対応した。 ○キューイングアルゴリズムタイプの選択 [書式] queue INTERFACE type TYPE [shaping-level=LEVEL] ★ queue pp type TYPE no queue interface type [TYPE] no queue pp type [TYPE] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名、WANインターフェース名 [初期値] : - TYPE [設定値] : ---------------------------------------------------- 設定値 説明 ---------------------------------------------------- fifo First In, First Out形式のキューイング priority 優先制御キューイング shaping 帯域制御 ---------------------------------------------------- [初期値] : fifo LEVEL [設定値] : 帯域速度の計算を行うレイヤー ------------------------------------------- 設定値 説明 ------------------------------------------- 1 レイヤー1 2 レイヤー2 ------------------------------------------- [初期値] : 2 [説明] 指定したインターフェースに対して、キューイングアルゴリズムタイプを選択す る。 fifoは最も基本的なキューである。 fifoの場合、パケットは必ず先にルーターに到着したものから送信される。 パケットの順番が入れ替わることは無い。fifoキューにたまったパケットの数が queue interface lengthコマンドで指定した値を越えた場合、キューの最後尾、 つまり最後に到着したパケットが破棄される。 priorityは優先制御を行う。 queue class filterコマンドおよびqueue interface class filter listコマンド でパケットをクラス分けし、送信待ちのパケットの中から最も優先順位の高いク ラスのパケットを送信する。 shapingはLANインターフェースに対する帯域制御を行う。LANインターフェースに だけ設定できる。 shaping-levelオプションはTYPEパラメーターにpriorityおよびshapingを指定し ているときのみ指定可能。 shaping-levelに1を設定した場合、帯域速度の計算をプリアンブル、SFD(Start Frame Delimiter)、IFG(Inter Frame Gap)を含んだフレームサイズでおこなう。 [13] モバイルインターネット機能で、以下の場合にデータ通信端末の再アタッチ処理を 行うようにした。 - データ通信端末を接続/切断させたときの電波受信レベル取得で、データ通信端末 から応答がないとき - データ通信端末へのコマンド送信に失敗したとき [14] mobile signal-strengthコマンドのsyslogオプションに、電波レベルが圏内・圏外 に遷移したときだけログを出力する設定値を追加した。 [15] speed wan1コマンドで指定可能なインターフェース速度の最大値を1000Mに変更した。 [16] SNMPv2c、SNMPv3でINFORMリクエストを送出後、既定の再送回数以内にレスポンス を受信できなかったときにログを出力するようにした。 [17] 状態メール通知機能でshow status l2tpコマンドの実行結果を出力するようにした。 [18] かんたん設定ページの[詳細設定と情報]-[VPN接続の設定]で、以下のVPN接続を追加 または修正するとき、PPP認証方式の設定ができるようにした。 - L2TP/IPsecを使用したリモートアクセスVPNサーバー(PP) - L2TP/IPsecを使用したリモートアクセスVPNサーバー(anonymous) [19] かんたん設定ページの[詳細設定と情報]-[基本接続の詳細な設定]-[プロバイダの登 録/修正(モバイルインターネット接続)]および、[プロバイダの設定]-[プロバイダ の設定 2/4]で、"契約キャリア/プランと設定内容"の"接続インターフェースがPPの 場合"に最新の情報を表示するようにした。 [20] かんたん設定ページのニーモニック表のヘルプページに、tcpsynに関する説明を追 記した。 ■バグ修正 [1] L2TP/IPsecで、以下の条件においてリブートすることがあるバグを修正した。 - クライアントのL2TP用仮想インターフェースのIPアドレスとして、クライアントの 実インターフェースのIPアドレスと同じものを設定して接続した場合 - クライアントのL2TP用仮想インターフェースのIPアドレスとして、クライアントの 実インターフェースのIPアドレスと同じものを接続時にルーターが割り当てた場合 [2] 起動時にハングアップする可能性を排除した。 [3] データコネクト接続において、複数の接続があるときに稀にリブートすることがある バグを修正した。 [4] PPPのIPV6CPがアップすると、メモリの不正解放が発生し、リブートしたりハングア ップしたりすることがあるバグを修正した。 [5] PP anonymousで複数の接続を受けた場合にリブートする可能性を排除した。 [6] Luaスクリプト機能のrt.httprequest関数で、1つのフィールドに長い文字列が格納さ れたヘッダーを持つレスポンスを受信すると、動作が不安定になったりリブートした りするバグを修正した。 [7] IKEv2で、証明書失効リスト(CRL)ファイルを利用してPKI証明書による認証を行う場 合、接続するそれぞれのルーターから同時に鍵交換を始動すると接続後にリブートす ることがあるバグを修正した。 [8] pp bindコマンドで不正なパラメーターを入力したときに、入力エラーにならなかっ たり、リブートもしくはハングアップしたりすることがあるバグを修正した。 [9] TFTPでFlashROM上に保存されているファイルを取得しているとき、またはFlashROM上 にファイルを転送しているときに通信が切断されると、以下の問題が発生するバグを 修正した。 - メモリリークが発生する - configファイルを取得しているときに切断されると、それ以降、そのconfigファイ ルが認識されなくなる [10] 下記のVPN設定で接続中に、かんたん設定ページのトップページを開いたり、[詳細 設定と情報]-[VPN接続の設定]からPP anonymousインターフェースの登録設定を削除 したりすると、メモリリークが発生するバグを修正した。 - L2TP/IPsecを使用したリモートアクセスVPNサーバー(anonymous) - PPTPを使用したパスワード認証のリモートアクセスVPNサーバー(anonymous) [11] モバイルインターネット機能で、PPインターフェースによる接続がdisconnect wan1 コマンドで切断されるバグを修正した。 [12] モバイルインターネット機能のWANインターフェース接続で、以下のデータ通信端末 を使用しているとき、網への接続ができなくなることがあるバグを修正した。 - docomo L-02C - NTTコム WM320 [13] モバイルインターネット機能で、以下の条件を全て満たしたときにmobile dial numberコマンドを用いたPPインターフェース接続による発信ができなくなるバグを 修正した。 - WANインターフェース接続に対応した以下のデータ通信端末を用いている - docomo L-03D, L-02C - EMOBILE GL03D, GD01, D41HW, D33HW, D32HW, D31HW - IIJ Mobile 510FU - NTTコム WM320 - mobile dial numberコマンドを設定している [14] L2TP/IPsecで、ip tunnel tcp mss limitコマンドによるTCPセッションのMSS調整が 機能しないバグを修正した。 [15] L2TP/IPsecで、トンネルインターフェースのMTUよりも大きなパケットがファストパ スで処理されないバグを修正した。 [16] L2TP/IPsecで、1つのトンネルに対し2重接続されてしまうことがあるバグを修正し た。 [17] L2TP/IPsecで、NATの配下から複数の端末が接続している状況でその内の1台から不 正なIKEメッセージを受信すると、他の接続が切断されることがあるバグを修正し た。 [18] L2TP/IPsecで、IPsecによって暗号化されていないL2TPのメッセージを受信してしま うことがあるバグを修正した。 ただし、本バグによってIPsecを介さないL2TP接続が確立することはない。 [19] L2TP/IPsecで、show status ppコマンドまたはshow status l2tpコマンドで表示さ れる転送パケット量をclear status ppコマンドで初期化できないバグを修正した。 [20] l2tp tunnel authコマンドで以下のバグを修正した。 - PASSWORDパラメーターに初期値(機種名)を設定するとshow configコマンドに出力 されない - SWITCHパラメーターをoffに設定したときにPASSWORDパラメーターが入力できない [21] IPsecで、ISAKMPヘッダー長として必要な長さを満たさないIKEv1パケットを受信し た場合に、IKEv2の不要なエラーログがSYSLOGに出力されてしまうバグを修正した。 [22] L2TP/IPsecで、切断時に"IP Tunnel[XX] Down"というログが出力されないことがあ るバグを修正した。 また、上記ログが出力されなかったトンネルインターフェースで受け付けた次の L2TP/IPsec接続の確立時に"IP Tunnel[XX] Up"というログが出力されないバグを修 正した。 [23] L2TP/IPsecで、disconnectコマンドによって接続している端末を切断した場合、次 に当該トンネルで受けた接続において接続後の鍵交換に失敗して切断されることが あるバグを修正した。 [24] LAN分割設定時にclear status lanコマンドを実行してもIPv6の受信パケットがクリ アされないことがあるバグを修正した。 [25] WAN側で動的IPv6アドレスを使用し、LAN側に静的IPv6プレフィックスを広告する設 定を行ったとき、RAプロキシ機能を使っていないにも関わらず、LAN側の設定に関す るコマンド入力時にWAN側にRSが送信されるバグを修正した。 [26] execute at-commandコマンドを実行すると、それ以降、ATコマンドの送受信ができ なくなることがあるバグを修正した。 [27] Luaスクリプト機能のrt.command関数で、以下のコマンドが実行できないバグを修正 した。 - ipv6 INTERFACE dhcp service [28] Luaスクリプト機能のrt.httprequest関数で、ヘッダーにContent-Lengthフィールド を含まないレスポンスを受信したとき、戻り値テーブルの"body"に受信したメッ セージボディーを保存しないバグを修正した。 [29] SNMPで以下の情報を取得すると正しい値が得られないバグを修正した。 - TUNNELインターフェースのIF-MIB::ifType [30] clear status lan/wanコマンドを実行しても送受信パケット数やオクテット数など のMIB変数がクリアされないバグを修正した。 [31] YMS-VPN8の接続を受けるとき、接続処理が完了するまでの間に別の接続を受けると 接続できないことがあるバグを修正した。 [32] 外部メモリ起動失敗を示すLED点滅時にSTATUS LEDが点滅しないバグを修正した。 [33] ルーターのIPv6リンクローカルアドレス宛のUDPパケットを受信したとき、宛先ポー トが使用していないポートである場合にICMPエラーが返らないバグを修正した。 Rev.11.01.09以降で発生する [34] 宛先アドレスに該当する経路が不明なパケットを受信したとき、送出されるICMPエ ラーパケットに格納されている受信パケットに対するNATのエントリが不正に生成 されるバグを修正した。 [35] DNSリカーシブサーバー機能で、EDNS0に対応したクライアントからの問い合わせに エラーを返さないバグを修正した。 Rev.11.01.06以降で発生する [36] DHCPサーバー機能に関する設定が正しくされていない状態でルーターを起動したと き、正しく設定し直しても再起動するまではDHCPサーバー機能が動作しないバグを 修正した。 [37] pp bindコマンドで、TUNNELインターフェースの範囲指定として誤ったキーワード を入力したとき、既に設定済みのpp bindコマンドの設定がクリアされてしまうバ グを修正した。 Rev.11.01.19 で発生する。 [38] ip INTERFACE vrrpコマンドで、IP_ADDRESSパラメーターにIPv6アドレスを設定でき てしまうバグを修正した。 [39] VRRPで、他のVRRP関係のコマンドを設定したあと最後にip INTERFACE vrrpコマンド を設定したとき、マスターがシャットダウンすべき条件下でもシャットダウンしな いバグを修正した。 [40] ip tos supersedeコマンドで、パラメーターのフィルター番号に256より大きい番号 を入力すると違う番号で設定されるバグを修正した。 [41] clear status pp anonymousコマンドを実行してもpp anonymous[02]以降がクリアさ れないバグを修正した。 [42] ipsec log illegal-spiコマンドにonが設定されているとき、当該ログは1秒あたり 最大10種類まで出力される仕様であるが、実際には9種類までしか出力されないバグ を修正した。 [43] L2TP/IPsecで、AVPに関するログの誤記を修正した。 [44] 以下のコマンドの実行結果の誤記を修正した。 - show status usbhost - show status external-memory [45] かんたん設定ページで、接続中のプロバイダ設定を編集したときに変更が保存され ないことがあるバグを修正した。 [46] かんたん設定ページの[スイッチ制御]で、複数のスイッチを接続しているとき、下 位のスイッチで異常発生中に上位のスイッチで異常が発生しても、警告メッセージ が切り替わらないことがあるバグを修正した。 Rev.11.01.12以降で発生する。 [47] かんたん設定ページの[スイッチ制御]-[スイッチ管理]で、詳細表示されたスイッチ アイコンのポートをクリックすると不要なエラーメッセージがポップアップ表示さ れることがあるバグを修正した。 Rev.11.01.12以降で発生する。 [48] かんたん設定ページの[スイッチ制御]-[スイッチの管理]-[VLAN一覧表示]でスイッ チ制御非対応の機器を接続したときに、非対応機器が接続されているポートの情報 が正しく表示されないバグを修正した。 Rev.11.01.12以降で発生する。 [49] かんたん設定ページの以下のページで、プロトコルにtcpsynを指定したフィルター のプロトコルが文字化けして表示されるバグを修正した。 - [詳細設定と情報]-[ファイアウォールの設定]-[IPv4 ファイアウォールの設定] - [詳細設定と情報]-[ファイアウォールの設定]-[IPv4 ファイアウォールの設定] -[IPフィルタの登録] - [詳細設定と情報]-[ファイアウォールの設定]-[IPv6 ファイアウォールの設定] - [詳細設定と情報]-[ファイアウォールの設定]-[IPv6 ファイアウォールの設定] -[IPフィルタの登録] [50] かんたん設定ページのニーモニック表のヘルプページの誤記を修正した。 -------------------------------------------------------------------------------- ■更新履歴 Jul. 2014, Rev.11.01.21 リリース Jul. 2014, Rev.11.01.21 機能追加[8] 追加 以上