http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.11.03/relnote_11_03_13.html Revision : 11.03.13 Release : Aug. 2015, ヤマハ株式会社 Rev.11.03.13 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ FWX120 Rev.11.03.08 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2014-3570 (JPCERT/CC JVNVU#98974537) - CVE-2014-8275 (JPCERT/CC JVNVU#98974537) - CVE-2015-0287 (JPCERT/CC JVNVU#95877131) - CVE-2015-0292 (JPCERT/CC JVNVU#95877131) - CVE-2015-1789 (JPCERT/CC JVNVU#91445763) CVE-2015-1789の脆弱性については、IKEv2のPKI証明書を利用した認証(「デジタル署 名方式」および「EAP-MD5方式」)を行う場合に該当し、この脆弱性の影響によりルー ターがリブートする可能性がある。 [2] クリックジャッキング脆弱性対応を行った。 (JPCERT/CC JVNVU#48135658) ■機能追加 [1] メールセキュリティー機能を追加した。 http://www.rtpro.yamaha.co.jp/RT/docs/mail_security/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] スイッチ制御機能で、SWX2100に対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/swctl/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [3] モバイルインターネット機能で、以下のデータ通信端末に対応した。 - au Speed USB STICK U01 (モデムモード) - docomo L-03F - FUJISOFT FS020U - IIJ mobile UX312NC - NCXX RT-WJ02 - NCXX UX102NC - NTTコム MF112A - NTTコム UX302NC - ワイモバイル GL08D http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [4] かんたん設定ページの[スイッチ制御]‐[スイッチ機器のポート共通設定]で、ループ 検出時にポートを自動シャットダウンして手動で解除する設定項目を追加した。 [5] SSHサーバー応答に含まれるOpenSSHのバージョン情報を隠匿できるようにした。 ○SSHサーバー応答に含まれるOpenSSHのバージョン情報の非表示設定 [書式] sshd hide openssh version USE no sshd hide openssh version [USE] [設定値及び初期値] USE [設定値] : ------------------------------------- 設定値 説明 ------------------------------------- on バージョン情報を表示しない off バージョン情報を表示する ------------------------------------- [初期値] : off [説明] SSH接続時のサーバー応答に含まれるOpenSSHのバージョン情報を表示するか否か を設定する。 このコマンドはセキュリティー目的としてOpenSSHのバージョン情報を隠匿したい 場合に使用する。 このコマンドをonに設定した場合は、サーバー応答は "SSH-2.0-OpenSSH" となる。 [ノート] このバージョン情報は、SSH接続時にサーバーとクライアントのプロトコルの互 換性を調整するために使用される。 このため、このコマンドをONに設定することにより、クライアントのソフトに よっては、接続できなくなる可能性がある。 その場合には、クライアントソフトを変更するか、このコマンドの設定をOFFに する。 [6] DHCPの動作をインターフェースごとに設定できるようにした。 ○インターフェースごとのDHCPの動作の設定 [書式] ip INTERFACE dhcp service TYPE [HOST1 [HOST2 [HOST3 [HOST4]]]] no ip INTERFACE dhcp service [設定値及び初期値] INTERFACE [設定値]: LANインターフェース名、ブリッジインターフェース名 [初期値]: - TYPE [設定値]: ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- off DHCPサーバーとしてもDHCPリレーエージェント としても機能しない server DHCPサーバーとして機能させる relay DHCPリレーエージェントとして機能させる ----------------------------------------------------------------- [初期値]:- HOST1...HOST4 [設定値]: DHCPサーバーのIPアドレス [初期値]: - [説明] インターフェースごとにDHCPの動作を設定する。 DHCPサーバーを設定した場合には、ネットワークアドレスが合致するDHCPスコー プからIPアドレスを1つ割り当てる。 DHCPリレーエージェントを設定した場合には、HOSTを設定する必要があり、この HOSTへDHCP DISCOVERパケットおよびDHCP REQUESTパケットを転送する。 offに設定した場合には、DHCPサーバーとしてもDHCPリレーエージェントとしても 動作せず、DHCPパケットは破棄される。 本設定が無い場合は、dhcp serviceコマンドの設定に従う。dhcp serviceコマン ドの設定と本設定の両方がある場合には、本設定が優先される。 [7] 保存されている実行形式ファームウェアファイルの一覧を表示するコマンドを追加し た。 ○ファームウェアファイルの一覧の表示 [書式] show exec list less exec list [説明] 内蔵FlashROMおよび外部メモリに保存されている実行形式ファームウェアファイ ルの情報を表示する。起動中のファームウェアファイルには アスタリスク("*") 印が表示される。 ファームウェアファイルが保存されている外部メモリが接続されている場合には、 そのファームウェアファイルの情報も表示される。 [8] 無線APやスイッチの設定内容を表示するコマンドを追加した。 ○指定した無線APの設定内容の表示 [書式] show config ap [AP] less config ap [AP] [設定値および初期値] AP [設定値]: - MACアドレスもしくは経路 - 省略時は、選択されている無線APについて表示する [初期値]: - [説明] show config、less configコマンドの表示の中から、指定した無線APに関するも のだけを表示する。 ○指定したスイッチの設定内容の表示 [書式] show config switch [SWITCH] less config switch [SWITCH] [設定値および初期値] SWITCH [設定値]: - MACアドレスもしくは経路 - 省略時は、選択されているスイッチについて表示する [初期値]: - [説明] show config、less configコマンドの表示の中から、指定したスイッチに関する ものだけを表示する。 ■仕様変更 [1] 外部データベース参照型URLフィルター機能ではSSLを使用して通信を暗号化している が、その際に暗号強度の弱い暗号アルゴリズムを使用しないようにした。 [2] モバイルインターネット機能で、データ通信端末へのコマンド送信に失敗したときは データ通信端末の再アタッチ処理を行い復旧できるようにした。 [3] モバイルインターネット機能で、データ通信端末のアタッチ直後の網への接続を抑制 できるようにした。 ○携帯端末を使用するか否かの設定 [書式] mobile use INTERFACE USE [first-connect-wait-time=TIME] ★ [設定値及び初期値] INTERFACE [設定値]: ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ usb1 USB1をモバイルインターネット接続に使用 ------------------------------------------------------------ [初期値]:- USE [設定値]: ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ on 携帯端末を使用する off 携帯端末を使用しない ------------------------------------------------------------ [初期値]:off TIME ★ [設定値]: ------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------ 0..300 携帯端末アタッチ後の発信抑制秒数 ------------------------------------------------------------ [初期値]:0 [説明] 指定のバスに接続された携帯端末をインターネット接続に使用するか否かを設定 する。 first-connect-wait-timeオプションは、携帯端末のアタッチ後の発信抑制時間を 設定し、網への接続を抑制する。mobile auto connectコマンドや、wan1 auto connectコマンド、pp always-onコマンド、wan1 always-onコマンドでonが設定さ れている場合の網への接続要求も、このコマンドで設定された発信抑制秒数の間 は、発信が抑制される。 ★ [4] モバイルインターネット機能で、網に接続している状態でATコマンドの送信が可能な モバイル端末に対しては、execute at-commandコマンドを実行できるようにした。 [5] モバイルインターネット機能で、USB STICK LTE HWD12の網からの切断処理を変更し た。 [6] モバイルインターネット機能で、モバイル端末がアタッチされていない状態でWANイ ンターフェースに対する発呼要求があったときに、INFOレベルで以下のログを出力す るようにした。 - "WAN1 Mobile device is not attached. Call request is rejected" [7] Luaスクリプト機能で、以下の変更を行った。 - rt.command関数で、コマンド実行のログを出力するか否かを指定できるようにした。 - Luaスクリプト機能バージョンを1.07とした。 http://www.rtpro.yamaha.co.jp/RT/docs/lua/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [8] interface resetコマンドのパラメーターにUSBとSDを追加した。 ○インターフェースの再起動 [書式] interface reset INTERFACE [INTERFACE ...] [設定値及び初期値] INTERFACE [設定値]: - LANインターフェース名 - WANインターフェース名 - USBインターフェース名 ★ - SDインターフェース名 ★ [初期値]: - [説明] 指定したインターフェースを再起動する。 LANインターフェースでは、オートネゴシエーションする設定になっていればオー トネゴシエーション手順が起動される。 USBとSDインターフェースでは、ポートの給電がOFF,ONされ、USBデバイスや microSDカードの再アタッチが行われる。 ★ [ノート] FWX120では、LAN1またはLAN2に対してこのコマンドを実行すると、LAN1および LAN2インターフェースが同時にリセットされる。 USBインターフェースはRev.11.03.13以降のFWX120で指定可能。 ★ SDインターフェースはRev.11.03.13以降のFWX120で指定可能。 ★ pp bindコマンド、経路情報などすべての設定を整えた後に実行する。対象とする インターフェースがバインドされているすべての相手先情報番号の通信を停止し た状態で、また回線種別を変更する場合には回線を抜いた状態で実行すること。 [9] SNMPのホスト設定コマンドで、IPアドレスの範囲やLANインターフェース名を設定で きるようにした。 ○SNMPv1によるアクセスを許可するホストの設定 [書式] snmp host HOST [RO_COMMUNITY [RW_COMMUNITY]] no snmp host [HOST [RO_COMMUNITY [RW_COMMUNITY]]] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさんだ IPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none RO_COMMUNITY [設定値]: 読み出し専用のコミュニティー名(16文字以内) [初期値]: - RW_COMMUNIT [設定値]: 読み書き可能なコミュニティー名(16文字以内) [初期値]: - [説明] SNMPv1によるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv1によるアクセスを許可する。 IPアドレスやlanN、bridgeNでホストを指定した場合には、同時にコミュニティー 名も設定できる。 ★ RW_COMMUNITYパラメーターを省略した場合には、アクセスモードが読み書き可能 であるアクセスが禁止される。RO_COMMUNITYパラメーターも省略した場合には、 snmp community read-onlyコマンド、およびsnmp community read-writeコマンド の設定値が用いられる。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのはFWX120の Rev.11.03.13以降のファームウェアである。 ○SNMPv2cによるアクセスを許可するホストの設定 [書式] snmpv2c host HOST [RO_COMMUNITY [RW_COMMUNITY]] no snmpv2c host [HOST [RO_COMMUNITY [RW_COMMUNITY]]] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさんだ IPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none RO_COMMUNITY [設定値]: 読み出し専用のコミュニティー名(16文字以内) [初期値]: - RW_COMMUNITY [設定値]: 読み書き可能なコミュニティー名(16文字以内) [初期値]: - [説明] SNMPv2cによるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv2cによるアクセスを許可する。 IPアドレスやlanN、bridgeNでホストを指定した場合には、同時にコミュニティー 名も設定できる。 ★ RW_COMMUNITYパラメーターを省略した場合には、アクセスモードが読み書き可能 であるアクセスが禁止される。RO_COMMUNITYパラメーターも省略した場合には、 snmpv2c community read-onlyコマンド、およびsnmpv2c community read-writeコ マンドの設定値が用いられる。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのはFWX120の Rev.11.03.13以降のファームウェアである。 ○SNMPv3によるアクセスを許可するホストの設定 [書式] snmpv3 host HOST user USER_ID ... no snmpv3 host HOST [user USER_ID ...] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさんだ IPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none USER_ID: ユーザー番号 [設定値]: 1個の数字、または間にハイフン(-)をはさんだ数字(範囲指定)、 およびこれらを任意に並べたもの(128個以内) [初期値]:- [説明] SNMPv3によるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv3によるアクセスを許可する。な お、アクセスのあったホストがHOSTパラメーターに合致していても、USER_IDパラ メーターで指定したユーザーに合致しなければアクセスはできない。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのはFWX120の Rev.11.03.13以降のファームウェアである。 [10] 外部メモリへのSYSLOG保存機能で、外部メモリに書き出す時間間隔と外部メモリに 書き出すログの行数を指定できるようにした。 [書式] external-memory syslog filename NAME [CRYPTO PASSWORD] [limit=SIZE] [backup=NUM] [interval=INTERVAL] [line=LINE] ★ no external-memory syslog filename [NAME] [設定値及び初期値] NAME: SYSLOGファイル名 [設定値]: --------------------------------------------------------- 設定値 説明 --------------------------------------------------------- usb1:filename USBメモリ内のファイル名 (.bak拡張子を含む名前は指定できない) sd1:filename microSDカード内のファイル名 (.bak拡張子を含む名前は指定できない) --------------------------------------------------------- [初期値]: - CRYPTO: SYSLOGを暗号化して保存する場合の暗号アルゴリズムの選択 [設定値] ------------------------------- 設定値 説明 ------------------------------- aes128 AES128で暗号化する aes256 AES256で暗号化する ------------------------------- [初期値]: - PASSWORD [設定値]: ASCII文字列で表したパスワード(半角8文字以上、32文字以内) [初期値]: - SIZE [設定値]: SYSLOGファイルの上限サイズ(1..1024 単位:MB) [初期値]: 10 NUM [設定値]: バックアップファイルの上限数(1..100) [初期値]: 10 INTERVAL ★ [設定値]: SYSLOGを外部メモリに書き出す間隔(2..86400 単位:秒) [初期値]: 2 LINE ★ [設定値]: SYSLOGを外部メモリに書き出す行数(1000..3000 単位:行) [初期値]: 1000 [説明] 外部メモリ内に保存するSYSLOGファイル名を指定する。 NAMEに.bak拡張子を含むファイル名は指定できない。また、暗号化しない場合、 NAMEに.rtfg拡張子を含むファイル名は指定できない。 CRYPTOおよびPASSWORDを指定した場合、SYSLOGは暗号化してから外部メモリに 書き込まれる。暗号化する場合、NAMEに.rtfg拡張子を含めるか、拡張子を省略 した名前を指定する必要がある。拡張子を省略した場合、自動的にファイル名に .rtfg拡張子が追加される。 SYSLOGファイルが上限サイズに達すると、SYSLOGファイルのバックアップが行 われる。このとき作成されるバックアップファイルの名前はファームウェアによ って異なる。 バックアップファイル名は、NAMEで指定されたファイル名の後にバックアップが 行われた日時を表す"_yyyymmdd_hhmmss"形式の文字列が付加されたものとなる。 yyyy ... 西暦(4桁) mm ... 月(2桁) dd ... 日(2桁) hh ... 時(2桁) mm ... 分(2桁) ss ... 秒(2桁) バックアップファイル数がNUMで指定される上限数に達した場合、もしくは外部 メモリに空き容量がなくなった場合は、最も古いバックアップファイルを削除し てから新しいバックアップファイルが作成される。 また、バックアップファイル名は以下の規則に従って決定される。 NAMEに拡張子が含まれている場合 - 暗号化しないで保存する ... 拡張子を.bakに置き換える - 暗号化して保存する ... 拡張子の前に_bakを追加する NAMEに拡張子が含まれていない場合 ... .bakという拡張子を追加する INTERVALで指定した時間が経過した場合、もしくはLINEで指定した行数だけ SYSLOGが出力された場合に、外部メモリにSYSLOGを書き出す。 ★ 本コマンドが設定されていないときはSYSLOGは外部メモリに書き込まれない。 [ノート] 以下の変更を行う場合、NAMEを変更しなければならない。 - SYSLOGを暗号化しないで保存するから、暗号化して保存するに変更する場合 - SYSLOGを暗号化して保存するから、暗号化しないで保存するに変更する場合 - 暗号アルゴリズムまたは、パスワードを変更する場合 [11] IKEv2で、リクエストメッセージの送信をメッセージIDで管理できるようにした。 ○IKEのメッセージID管理の設定 [書式] ipsec ike message-id-control GATEWAY_ID SWITCH no ipsec ike message-id-control GATEWAY_ID [SWITCH] [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - SWITCH [設定値] : ---------------------------------------------------------------- 設定値 説明 ---------------------------------------------------------------- on リクエストメッセージの送信をメッセージIDで管理する off リクエストメッセージの送信をメッセージIDで管理しない ---------------------------------------------------------------- [初期値] : off [説明] 自機からIKEv2のリクエストメッセージを送信するときのメッセージID管理方法 を設定する。 onに設定しているとき、同じIKE SAを使用して送信済みのIKEメッセージに対す る全てのレスポンスメッセージを受信していない場合、新しいIKEメッセージは 送信しない。 [ノート] 本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。 [12] IKEv2で鍵交換を始動するとき、SAを構築するための各折衝パラメーターを、特定の コマンド設定値に限定して提案できるようにした。 ○折衝パラメーターを制限するか否かの設定 [書式] ipsec ike proposal-limitation GATEWAY_ID SWITCH no ipsec ike proposal-limitation GATEWAY_ID [SWITCH] [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - SWITCH [設定値] : ------------------------------------------- 設定値 説明 ------------------------------------------- on 折衝パラメーターを制限する off 折衝パラメーターを制限しない ------------------------------------------- [初期値] : off [説明] IKEv2で鍵交換を始動するときに、SAを構築するための各折衝パラメーターを、 特定のコマンド設定値に限定して提案するか否かを設定する。このコマンドの設 定がoffのときは、サポート可能な折衝パラメーター全てを提案する。 このコマンドが適用されるパラメーターと対応するコマンドは以下の通りである。 ----------------------------------------------------------- パラメーター コマンド ----------------------------------------------------------- 暗号アルゴリズム ipsec ike encryption グループ ipsec ike group ハッシュアルゴリズム ipsec ike hash 暗号・認証アルゴリズム ipsec sa policy ※CHILD SA 作成時 ----------------------------------------------------------- [ノート] 本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。 [13] IKEv2で、INVALID_IKE_SPI Notifyメッセージを受信したとき、該当するIKE SAを削 除するようにした。 [14] show status tunnelコマンドで、IKEv2のIKEキープアライブの状態を表示するよう にした。 [15] pingコマンド、ping6コマンドの送信間隔の上限値を3600秒に変更した。 ○pingの実行 [書式] ping [-s DATALEN] [-c COUNT] [-sa IP_ADDRESS] [-w WAIT] HOST [設定値及び初期値] DATALEN [設定値] : データ長 (1..65535 バイト) [初期値] : 64 COUNT [設定値] : 実行回数 (1..21474836) [初期値] : Ctrl+cキーが入力されるまで繰り返す IP_ADDRESS [設定値] : 始点IPアドレス (xxx.xxx.xxx.xxx (xxx は十進数)) [初期値] : ルーターのインターフェースに付与されたアドレスの中から選択 する WAIT [設定値] : パケット送信間隔秒数 (0.1..3600.0) ★ [初期値] : 1 HOST [設定値] : pingをかけるホストのIPアドレス(xxx.xxx.xxx.xxx (xxx は十進数)) ping をかけるホストの名称 [初期値] : - [説明] ICMP Echoを指定したホストに送出し、ICMP Echo Replyが送られてくるのを待つ。 送られてきたら、その旨表示する。コマンドが終了すると簡単な統計情報を表示 する。 COUNTパラメーターを省略すると、Ctrl+cキーを入力するまで実行を継続する。 -wオプションを指定した時には、次のパケットを送信するまでの間に相手からの 返事を確認できなかった時にはその旨のメッセージを表示する。-wオプションを 指定していない時には、パケットが受信できなくても何もメッセージを表示しな い。 ○ping6の実行 [書式] ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION%SCOPE_ID ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION INTERFACE ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION pp PEER_NUM ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION tunnel TUNNEL_NUM [設定値及び初期値] DATALEN [設定値] : データ長 (1..65535バイト) [初期値] : 64 COUNT [設定値] : 実行回数 (1..21474836) [初期値] : Ctrl+c キーが入力されるまで繰り返す IPV6_ADDRESS [設定値] : 始点 IPv6アドレス [初期値] : ルーターのインターフェースに付与されたアドレスの中から選択 する WAIT [設定値] : パケット送信間隔秒数 (0.1..3600.0) ★ [初期値] : 1 DESTINATION [設定値] : 送信する宛先のIPv6アドレス、または名前 [初期値] : - SCOPE_ID [設定値] : スコープ識別子 [初期値] : - INTERFACE [設定値] : LANインターフェース名 [初期値] : - PEER_NUM [設定値] : 相手先情報番号 [初期値] : - TUNNEL_NUM [設定値] : トンネルインターフェース番号 [初期値] : - [説明] 指定した宛先に対してICMPv6 Echo Requestを送信する。 スコープ識別子は、show ipv6 addressコマンドで表示できる。 COUNTパラメーターを省略すると、Ctrl+c キーを入力するまで実行を継続する。 -wオプションを指定した時には、次のパケットを送信するまでの間に相手からの 返事を確認できなかった時にはその旨のメッセージを表示する。-wオプションを 指定していない時には、パケットが受信できなくても何もメッセージを表示しな い。 [16] L1シェーピング機能に対応した。 ○キューイングアルゴリズムタイプの選択 [書式] queue INTERFACE type TYPE [shaping-level=LEVEL] ★ queue pp type type no queue interface type [type] no queue pp type [type] [設定値及び初期値] INTERFACE [設定値] : LAN インターフェース名、WAN インターフェース名 [初期値] : - TYPE [設定値] : ---------------------------------------------------- 設定値 説明 ---------------------------------------------------- fifo First In,First Out 形式のキューイング priority 優先制御キューイング shaping 帯域制御 ---------------------------------------------------- [初期値] : fifo LEVEL [設定値] : 帯域速度の計算を行うレイヤー ------------------------ 設定値 説明 ------------------------ 1 レイヤー1 2 レイヤー2 ------------------------ [初期値] : 2 [説明] 指定したインターフェースに対して、キューイングアルゴリズムタイプを選択す る。 fifoは最も基本的なキューである。 fifoの場合、パケットは必ず先にルーターに到着したものから送信される。 パケットの順番が入れ替わることは無い。fifoキューにたまったパケットの数が queue interface lengthコマンドで指定した値を越えた場合、キューの最後尾、 つまり最後に到着したパケットが破棄される。 priorityは優先制御を行う。 queue class filterコマンドおよびqueue interface class filter listコマンド でパケットをクラス分けし、送信待ちのパケットの中から最も優先順位の高いク ラスのパケットを送信する。 shapingはLANインターフェースに対する帯域制御を行う。LANインターフェースに だけ設定できる。 shaping-levelオプションはTYPEパラメーターにpriorityおよびshapingを指定し ているときのみ指定可能。 shaping-levelに1を設定した場合、帯域速度の計算をプリアンブル、SFD(Start Frame Delimiter)、IFG(Inter Frame Gap)を含んだフレームサイズでおこなう。 [17] L2TP/IPsecで、セッション数が多いときの性能を改善した。 [18] SNMPv2c、SNMPv3でINFORMリクエストを送出後、既定の再送回数以内にレスポンスを 受信できなかったときにログを出力するようにした。 [19] speed wan1コマンドで指定可能なインターフェース速度の最大値を1000M(bit/s)に 変更した。 [20] show status status-ledコマンドの実行結果を、キープアライブIDの昇順で表示す るようにした。 同様に、ダッシュボードのインターフェース情報ガジェットでSTATUS LEDにマウス オーバーしたときに表示されるツールチップでも、キープアライブIDの昇順で表示 されるようになる。 [21] ダッシュボードのSYSLOGガジェットで、SYSLOGを表示する行数の選択と、キーワー ドによるSYSLOGの検索を行えるようにした。 [22] ダッシュボードのヘルプページで、以下の項目の説明文を修正した。 - [ダッシュボードについて]-[ガジェットの使い方] - [各ガジェットについて]-[トラフィック情報] - [各ガジェットについて]-[インターフェース情報] ■バグ修正 [1] upnp port mapping timer typeコマンドがarp(初期値)に設定してあり、なおかつ ポートマッピングのエントリが存在するとき、稀にリブートすることがあるバグを修 正した。 [2] show pki certificate summaryコマンドを実行したとき、メモリの不正解放が発生し、 リブートやハングアップすることがあるバグを修正した。 [3] console infoコマンドがonに設定されており、ルーターの起動時や起動後に一度でも シリアルコンソールを接続したことがある場合、その後シリアルコンソールを切断し た状態が長時間経過すると、稀にルーターの動作が不安定になったり、リブートする ことがあるバグを修正した。 [4] L2TP/IPsecで、以下の条件においてリブートすることがあるバグを修正した。 - クライアントのL2TP用仮想インターフェースのIPアドレスとして、クライアントの 実インターフェースのIPアドレスと同じものを設定して接続した場合 - クライアントのL2TP用仮想インターフェースのIPアドレスとして、クライアントの 実インターフェースのIPアドレスと同じものを接続時にルーターが割り当てた場合 [5] L2TP/IPsecで、クライアントが提案するトンネルIDとセッションIDの値が同一である 接続を複数同時に受けた場合、その接続の切断時にリブートやハングアップすること があるバグを修正した。 [6] データコネクト接続において、複数の接続があるときに稀にリブートすることがある バグを修正した。 [7] IPv6 QoSを設定してあるとき、IPv6の通信が発生した直後に稀にリブートすることが あるバグを修正した。 [8] 起動時にハングアップする可能性を排除した。 [9] PPTPで、接続処理が始動するときにメモリリークが発生するバグを修正した。 [10] UPnP機能で、属性を3つ以上持つ要素を含むXML文書のパケットを受信するとメモリ リークが発生するバグを修正した。 [11] TFTPでFlashROM上に保存されているファイルを取得しているとき、またはFlashROM 上にファイルを転送しているときに通信が切断されると、以下の問題が発生するバ グを修正した。 - メモリリークが発生する - configファイルを取得しているときに切断されると、それ以降、そのconfigファ イルが認識されなくなる [12] ipsec transport templateコマンドで、展開先となるIDに対してipsec transportコ マンドを実行または削除するとメモリリークが発生するバグを修正した。 [13] URLフィルターを使用しているとき、チェックしたHTTPリクエストにHostフィールド またはRefererフィールドが複数含まれているとメモリリークが発生するバグを修正 した。 [14] 透過型ファイアウォールの設定にしてかんたん設定ページの以下のページを表示す ると、メモリリークが発生するバグを修正した。 - [詳細設定と情報]-[URLフィルターの設定]-[URLフィルター[入/出]側の設定] - [詳細設定と情報]-[不正アクセス検知の設定]-[不正アクセス検知の設定[XXX]  ブリッジ接続] - [詳細設定と情報]-[不正アクセス検知の設定]-[不正アクセス検知の設定[XXX]  ブリッジ接続]の設定変更画面 - [詳細設定と情報]-[不正アクセス検知の状態表示]-[不正アクセス検知の状態表示 [XXX] ブリッジ接続] [15] モバイルインターネット機能で、網に接続した状態でrestartコマンドなどによって ルーターの再起動を行うと、ごく稀にUSIMカードが故障することがあるバグを修正 した。 [16] モバイルインターネット機能で、USB STICK HWD12を使用したとき、稀にアタッチに 失敗することがあるバグを修正した。 [17] モバイルインターネット機能で、以下のバグを修正した。 - 接続時間監視の制限までの時間の表示が、不正な値になることがある - 期間累積の接続時間による発信制限が正しく機能しないことがある [18] IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由するノーマルパス の通信が行えなくなることがあるバグを修正した。 - LANインターフェースまたはWANインターフェースでDHCPによってIPアドレスを取 得する設定がされている - 上記インターフェースをゲートウェイとしてIPsecが確立する - トンネルインターフェースでipsec ike local addressコマンドが設定されていな い [19] IPsecで、回線の一時的な切断/接続などによるトンネルダウン/アップをきっかけと して、不当にキープアライブ断が検知されSTATUSランプが点灯し続けることがある バグを修正した。 [20] L2TP/IPsecで、トンネルインターフェースのMTUよりも大きなパケットがファストパ スで処理されないバグを修正した。 [21] L2TP/IPsecで、ip tunnel tcp mss limitコマンドによるTCPセッションのMSS調整が 機能しないバグを修正した。 [22] L2TP/IPsecで、接続中のL2TP/IPsec接続が切断されるときに他のL2TP/IPsec接続も 切断されてしまうことがあるバグを修正した。 [23] L2TP/IPsecで、以下の条件のどちらかに合致するとそれ以降当該トンネルで接続を 受けることができなくなるバグを修正した。 - ipsec ike retryコマンドのmax_session(デフォルト値:3)で指定された数以上の 接続を同時に受け、かつ接続相手のIPアドレスが同じである場合 ("[IKE] initiator's cookie is refused (too many requests)"のログがDEBUG レベルのSYSLOGに出力される) - 接続を受けたときにクッキー情報の生成に失敗した場合 [24] PPPoE接続上でIPsecを利用する場合、トンネルアップ後にPPPoEの再接続が行われる と、トンネルを介した通信が行えなくなることがあるバグを修正した。 PPPoEサーバーへの静的経路が設定されるなど、PPPoEの再接続により経路情報が変 化しない場合かつファストパスが有効な場合に発生する。 [25] PPPoE接続上でL2TP/IPsecを利用する場合、トンネルアップ後にPPPoEの再接続が行 われると、トンネルを介した通信が行えなくなることがあるバグを修正した。 ファストパスが有効な場合に発生する。 [26] anonymousインターフェースにおいて、pp auth usernameコマンドで相手に割り当て るIPアドレスを指定した場合にimplicit経路が生成されるが、この設定を消したと きにこの経路が消えないバグを修正した。 [27] anonymousインターフェースにおいて、ip pp secure filter nameコマンドを設定し ていない場合に、接続時にRADIUSでフィルターセットの名前を指定されても、その フィルターセットの動的フィルターが適用されないバグを修正した。 [28] ブリッジ機能で、ブリッジインターフェースに収容されたLANインターフェースに対 してIN方向の不正アクセス検知またはポリシーフィルターを設定してあるとき、フ ラグメントされたパケットがブリッジングされずに破棄されてしまうバグを修正し た。 またその際に、該当LANインターフェースの送信が停止してしまうことがあるバグを 修正した。 [29] ブリッジ機能で、受信したL2フレームの送信先MACアドレスがラーニングテーブルに 登録されており、なおかつラーニングテーブルに登録された転送先インターフェー スがL2フレームを受信したインターフェースであるとき、受信したL2フレームを折 り返して転送してしまうバグを修正した。 [30] DHCPリレーエージェントとして動作するとき、ブリッジインターフェース上の端末 がDHCPでIPアドレスを取得できないバグを修正した。 [31] bridge memberコマンドの設定を変更した後にshow configコマンドを実行すると、 同じインターフェースが重複して表示されることがあるバグを修正した。 この設定のまま再起動をすると、bridge memberコマンドの設定が削除される。 Rev.11.03.08 で発生する。 [32] データコネクト拠点間接続機能で、ipsec ike remote nameコマンドが設定されてい る状態で当コマンドの設定を削除すると、ナンバー・ディスプレイ契約無しの回線 にも関わらず着信に応答してしまうバグを修正した。 元々設定がされていない状態でルーターを起動した場合には問題は発生しない。 [33] データコネクト拠点間接続のIPsecトンネルで、接続要求を受信したとき、まれに IKEの認証に失敗してトンネルがアップしないことがあるバグを修正した。 [34] データコネクト拠点間接続機能およびデータコネクトリモートセットアップ機能で、 接続できない相手からの着信にエラーを返すと、直後に接続できる相手に発信して も正常に接続できないバグを修正した。 [35] ルーターを端点とした通信で以下のIPv4パケットをファストパスで送信するとき、 IPヘッダーのIdentificationフィールドにセットされる識別子として、前回送信し たパケットの識別子に256を加えた値が使われてしまうバグを修正した。 - ESPパケット - IPIPパケット [36] ファストパスでNAT変換を行ったときにIPヘッダーのチェックサム値もこれに応じて 書き換えるが、本来は0x0100になるはずが0x0000になることが稀にあるバグを修正 した。 [37] IPマスカレードで、FTPのPORT/EPRTコマンドの再送パケット、またはPASV/EPSVコマ ンドのレスポンスの再送パケットが通過すると、NATエントリのTTLの値が不正な値 に更新されるバグを修正した。 [38] ポリシーフィルター機能で、UPnPの応答パケットを不正に破棄することがあるバグ を修正した。 [39] Luaのrt.socket.dns.toip関数で、AAAAレコードが引けるFQDNを引数にすると正常に 名前解決ができないバグを修正した。ソケット通信ライブラリはIPv6に対応してい ないため、AAAAレコードではなくAレコードを引くようにした。 [40] snmp ifindex switch static indexコマンドを1つも設定せず、snmp yrswindex switch static indexコマンドを設定しているとき、yrSwIndexを固定しているス イッチのポートについてlinkUpトラップとlinkDownトラップを送出しないバグを修 正した。 [41] SNMPで、LAN分割またはタグVLANを使用しているLANインターフェースに対してclear status lanコマンドを実行しても、MIBのifInErrors変数の値がクリアされないバグ を修正した。 [42] ルーター経由のSNMPで、スイッチの状態を取得できないことがあるバグを修正した。 [43] スイッチ制御機能でSWX2200を管理しているときにルーターのファームウェアの更新 を実行すると、不要な同期処理が行われることがあるバグを修正した。 [44] 外部メモリ起動失敗を示すLED点滅時にSTATUS LEDが点滅しないバグを修正した。 [45] VRRPでバックアップとして動作しているときに、マスターとバックアップの状態が 頻繁に切り替わり、通信できなくなるバグを修正した。 Rev.11.03.08 で発生する。 [46] 以下のコマンドでpingまたはping6が指定されているとき、pingまたはping6の通過 に伴って生成されるファストパスのフローが残り続けるバグを修正した。 - ip filter dynamic - ipv6 filter dynamic - ip policy filter - ipv6 policy filter [47] show ip/ipv6 connectionコマンドで表示される動的フィルタのコネクション情報で、 ICMPパケットのIDとして不正な値が表示されるバグを修正した。 [48] RIPngで、他のプロトコルから得られた経路を削除できないことがあるバグを修正し た。 [49] clear ip dynamic routingコマンドを実行したときに、以下の経路が消えてしまう バグを修正した。 - pp auth usernameコマンドで設定したIPアドレスに対応する経路 - ip tunnel addressコマンドで設定したIPアドレスに対応する経路 - loopbackインターフェースに設定したIPアドレスに対応する経路 [50] 複数のshow系コマンドをコピー&ペースト等で連続入力を行ったときに、正常に入 力できないことがあるバグを修正した。 [51] vlan INTERFACE 802.1qコマンドのコマンドヘルプの誤記を修正した。 [52] かんたん設定ページのトップページで、anonymousユーザーが最大6ユーザーまでし か接続中として表示されないバグを修正した。 かんたん設定ページの表示上の問題であり、通信自体は正常に行うことができる。 [53] かんたん設定ページの[詳細設定と情報]-[LANの設定]で、LAN1ポートの設定をした とき、コンソールにsaveコマンドを実行したときのメッセージが表示されるバグを 修正した。 [54] ダッシュボードで、NATディスクリプター番号が65536以上のNATディスクリプターが NATガジェットに表示されているとき、ピーク値に関する情報がツールチップに表示 されないバグを修正した。 [55] ダッシュボードのヘルプページで、ガジェット名の誤記を修正した。 ■更新履歴 Aug. 2015, Rev.11.03.13 リリース Oct. 2015, Rev.11.03.13 脆弱性対応[2] 追加 Sep. 2017, Rev.11.03.13 バグ修正[46]の誤記および内容を訂正 以上