http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.00/relnote_14_00_21.html Revision : 14.00.21 Release : Jan. 2017, ヤマハ株式会社 Rev.14.00.21 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.14.00.08からファームウェアのリビジョンアップを行う際には以下の点にご注意くだ さい。 Rev.14.00.08にはRev.14.00.12で修正された以下の不具合が存在します。 「RTX5000/RTX3500 Rev.14.00.12 リリースノート」より、 http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.00/relnote_14_00_12.html [12] syslog debugコマンドとipsec log illegal-spiコマンドの両方にonが設定されてい るとき、IPsecでSPI値が無効なパケットを受信するとリブートもしくはハングアッ プが発生することがあるバグを修正した。 この不具合がファームウェアのリビジョンアップ中に発生すると、ファームウェア (execファイル)が消失する可能性があります。お手数をおかけいたしますが、 Rev.14.00.08からファームウェアのリビジョンアップを行う際、ipsec log illegal-spi on が設定されている場合には、ipsec log illegal-spi offを設定したのちに実施してい ただくよう、お願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○RTX5000/RTX3500 Rev.14.00.18 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2016-0797 - CVE-2016-0799 - CVE-2016-2108 - CVE-2016-2109 対象機種: RTX5000, RTX3500 ■機能追加 [1] TCP ウィンドウ・スケール・オプションをコマンドで変更できるようにした。 ○TCP ウィンドウ・スケール・オプションを変更する [書式] ip INTERFACE tcp window-scale SWITCH ip pp tcp window-scale SWITCH ip tunnel tcp window-scale SWITCH no ip INTERFACE tcp window-scale [SWITCH] no ip pp tcp window-scale [SWITCH] no ip tunnel tcp window-scale [SWITCH] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名、WANインターフェース名 [初期値] : - SWITCH [設定値] : ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- off 何もしない remove TCPウィンドウ・スケール・オプションを削除する ----------------------------------------------------------------- [初期値] : off [説明] インターフェースを通過するTCPパケットのウィンドウ・スケール・オプションを 強制的に変更する。 removeを指定すると、ウィンドウ・スケール・オプション が有効になっていた場 合には、無効にして転送する。 ○TCP ウィンドウ・スケール・オプションを変更する [書式] ipv6 INTERFACE tcp window-scale SWITCH ipv6 pp tcp window-scale SWITCH ipv6 tunnel tcp window-scale SWITCH no ipv6 INTERFACE tcp window-scale [SWITCH] no ipv6 pp tcp window-scale [SWITCH] no ipv6 tunnel tcp window-scale [SWITCH] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名、WANインターフェース名 [初期値] : - SWITCH [設定値] : ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- off 何もしない remove TCPウィンドウ・スケール・オプションを削除する ----------------------------------------------------------------- [初期値] : off [説明] インターフェースを通過するTCPパケットのウィンドウ・スケール・オプションを 強制的に変更する。 removeを指定すると、ウィンドウ・スケール・オプション が有効になっていた場 合には、無効にして転送する。 対象機種: RTX5000, RTX3500 [2] NGN 網を介したリナンバリング発生時にLANインターフェースを一時的にリンクダウ ンするか否かを設定するコマンドを追加した。 ○NGN 網を介したリナンバリング発生時にLANインターフェースを一時的にリンクダ ウンするか否かの設定 [書式] ngn renumbering link-refresh SWITCH no ngn renumbering link-refresh [SWITCH] [設定値及び初期値] SWITCH [設定値] : ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- on リナンバリング発生時、LANインターフェースを一時的にリ ンクダウンする off リナンバリング発生時、取得したプレフィックスに変更がな い場合は、LANインターフェースをリンクダウンしない ----------------------------------------------------------------- [初期値] : on [説明] NGN網を介したリナンバリングが発生した時、LANインターフェースを一時的にリ ンクダウンするか否かを設定する。 LANインターフェースを一時的にリンクダウンさせることにより、DHCPv6-PD/RAプ ロキシの配下のより多くの端末に対して、IPv4/IPv6アドレスの再取得を促し、リ ナンバリング後も通信を継続できるようにする。 このコマンドをonに設定した場合は、NGN網を介したリナンバリングの発生時、取 得したプレフィックスに変更がないときでもLANインターフェースを一時的にリン クダウンする。offに設定した場合は、取得したプレフィックスに変更がないとき はリンクダウンしない。 対象機種: RTX5000, RTX3500 [3] ソフトウェアの著作権情報を表示するコマンドを追加した。 また、起動時やログイン時に表示されていた著作権情報は表示されなくなった。 ○ソフトウェアの著作権情報の表示 [書式] show copyright [detail] [設定値及び初期値] detail [設定値] : 条文を含めたソフトウェアの著作権情報を表示する [初期値] : - [説明] ソフトウェアの著作権情報を表示する。 detailを指定することで、条文を含めたソフトウェアの著作権情報を表示するこ とができる。 対象機種: RTX5000, RTX3500 ■仕様変更 [1] MLD機能で、リンクローカルスコープのグループが格納されたレポートの送受信を行 わないようにデフォルトの動作を変更した。また、従来の動作に戻すために ipv6 INTERFACE mldコマンドにreport-link-local-groupオプションを追加した。 ○MLDの動作の設定 [書式] ipv6 INTERFACE mld TYPE [OPTION ...] ipv6 pp mld TYPE [OPTION ...] ipv6 tunnel mld TYPE [OPTION ...] no ipv6 INTERFACE mld [TYPE [OPTION ...]] no ipv6 pp mld [TYPE [OPTION ...]] no ipv6 tunnel mld [TYPE [OPTION ...]] [設定値及び初期値] INTERFACE [設定値] : LAN インターフェース名 [初期値] : - TYPE : MLD の動作方式 [設定値] : ------------------------------------------------------------------- 設定値 説明 ------------------------------------------------------------------- off MLD は動作しない router MLD ルーターとして動作する host MLD ホストとして動作する ------------------------------------------------------------------- [初期値] : off OPTION : オプション [設定値] : version=VERSION MLD のバージョン --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- 1 MLDv1 2 MLDv2 1,2 MLDv1 と MLDv2 の両方に対応する。 (MLDv1 互換モード ) --------------------------------------------------------------- syslog=SWITCH 詳細な情報を syslog に出力するか否か --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on 表示する off 表示しない --------------------------------------------------------------- robust-variable=VALUE(1..10) MLD で規定される Robust Variable の値を設定する。 report-link-local-group=SWITCH★ リンクローカルスコープのグループを処理するか否か --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on MLD ルーターとして動作しているとき、リンクローカ ルスコープのグループのレポート受信を有効にする MLD ホストとして動作しているとき、リンクローカル スコープのグループのレポート送信を有効にする off リンクローカルスコープのグループのレポート送受信 を無効にする -------------------------------------------------------------- [初期値] : version=1,2 syslog=off robust-variable=2 report-link-local-group=off★ [説明] インターフェースにおけるMLDの動作を設定します。 対象機種: RTX5000, RTX3500 [2] OSPFおよびBGPで、インターフェースの状態変化を検知したとき、複数の外部経路の 反映処理をまとめて行うようにした。 ○インターフェースの状態変化時、OSPFに外部経路を反映させる時間間隔の設定 [書式] ospf reric interval TIME no ospf reric interval [TIME] [設定値及び初期値] TIME [設定値] : 秒数 (1以上の数値) [初期値] : 1 [説明] ルーターのインターフェースの状態が変化したとき、OSPFに外部経路を反映させ る時間の間隔を設定する。 OSPFではインターフェースの状態変化を1秒間隔で監視し、変化があれば最新の外 部経路を自身に反映させるが、インターフェースの状態変化が連続して発生する ときは、複数の外部経路の反映処理がTIMEで指定した秒数の間隔でまとめて行わ れるようになる。 [ノート] 複数のトンネルが一斉にアップすることがあるような環境では、本コマンドの値 を適切に設定することで、OSPFやBGPの外部経路の導入によるシステムへの負荷を 軽減することができる。 本コマンドの設定値は、BGPへの外部経路の反映にも影響する。本コマンドとbgp reric intervalコマンドの設定値が食い違う場合には、本コマンドが優先して適 用される。 本コマンドの設定は、経路の変化やIPアドレスの変化に対するOSPFやBGPの動作に は関係しない。 ○インターフェースの状態変化時、BGPに外部経路を反映させる時間間隔の設定 [書式] bgp reric interval TIME no bgp reric interval [TIME] [設定値及び初期値] TIME [設定値] : 秒数 (1以上の数値) [初期値] : 1 [説明] ルーターのインターフェースの状態が変化したとき、BGPに外部経路を反映させる 時間の間隔を設定する。 BGPではインターフェースの状態変化を1秒間隔で監視し、変化があれば最新の外 部経路を自身に反映させるが、インターフェースの状態変化が連続して発生する ときは、複数の外部経路の反映処理がTIMEで指定した秒数の間隔でまとめて行わ れるようになる。 [ノート] 複数のトンネルが一斉にアップすることがあるような環境では、本コマンドの値 を適切に設定することで、OSPFやBGPの外部経路の導入によるシステムへの負荷を 軽減することができる。 本コマンドの設定値は、OSPFへの外部経路の反映にも影響する。本コマンドの設 定値とospf reric intervalコマンドの設定値が食い違う場合には、ospf reric intervalコマンドの設定値が優先して適用される。 対象機種: RTX5000, RTX3500 [3] SSHサーバー公開鍵を生成するときに、2048ビットの鍵長を選択できるようにした。 また、セキュリティーの観点からSEEDパラメーターの入力を無視するようにした。 ○SSHサーバーホスト鍵の設定 [書式] sshd host key generate [bit=BIT] ★ no sshd host key generate [...] [設値及び初期値] BIT [設定値] : 鍵のビット長 (1024, 2048) [初期値] : 1024 [説明] SSHサーバーのホスト鍵を設定する。 BITパラメーターによって、生成する鍵のビット数を指定できる。 ★ [ノート] SSHサーバー機能およびSFTPサーバー機能を利用する場合は、事前に本コマンドを 実行してホスト鍵を生成する必要がある。 既にホスト鍵が設定されている状態で本コマンドを実行した場合、ユーザーに対 してホスト鍵を更新するか否かを確認する。 ホスト鍵の生成には、機種によって異なるが、1024ビット鍵では数秒から数分程 度、2048ビットの鍵では数分から十数分程度の時間がかかる。 ★ TFTPで設定を取得した場合は、sshd host key generate [bit=BIT] KEY1 KEY2 KEY3という形式で保存される。 ★ KEY1〜KEY3は、秘密鍵を機器固有の方式で暗号化した文字列である。 対象機種: RTX5000, RTX3500 [4] SSHサーバー公開鍵の鍵指紋を表示するパラメーターを追加した。 ○SSHサーバー公開鍵の表示 [書式] show sshd public key [fingerprint] ★ [設定値及び初期値] fingerprint ★ [設定値] : 鍵指紋を表示する [初期値] : - [説明] SSHサーバーの公開鍵を表示する。 fingerprintキーワードを指定した場合は、公開鍵の鍵長と鍵指紋を表示する。 ★ 対象機種: RTX5000, RTX3500 [5] データコネクト拠点間接続で設定するトンネルインターフェースの帯域幅の設定を細 かく設定できるように変更した。 ○NGN網を介したトンネルインターフェースの帯域幅の設定 [書式] tunnel ngn bandwidth BANDWIDTH [arrivepermit=SWITCH] no tunnel ngn bandwidth [BANDWIDTH arrivepermit=SWITCH] [設定値及び初期値] BANDWIDTH [設定値]:帯域幅(1k - 1000M) [初期値]:1m SWITCH [設定値]: on ... 帯域の設定と一致しない着信も許可する off .. 帯域の設定と一致した着信のみ許可する [初期値]:on [説明] NGN網を介したトンネルインターフェースの帯域幅を設定した値にする。 帯域の設定が一致しない着信について、arrivepermitオプションがoffの場合は着 信せず、onの場合は着信する。 [ノート] 通信中の変更は無効。 対象機種: RTX5000, RTX3500 [6] TFTPで設定ファイルを書き込むとき、設定ファイルの最終行で末尾に改行コード(LF) が付加されていないコマンドも認識できるようにした。 対象機種: RTX5000, RTX3500 [7] DHCPv6クライアント機能で、サーバーからRECONFIGUREメッセージを受信したときに、 INFOレベルのSYSLOGに以下のログを出力するようにした。 - [DHCPv6] receive RECONFIGURE 対象機種: RTX5000, RTX3500 [8] 電源スイッチにより電源を落としたとき、シリアルコンソール上に以下のメッセー ジを出力するようにした。 "Power switch was turned off." ただし、ルーターの起動が完了していないときは出力されない。 対象機種: RTX5000, RTX3500 [9] NGNのリナンバリングで、DEBUGレベルのSYSLOGに出力されていた以下のログを、INFO レベルのSYSLOGに出力するようにした。 - [DHCPv6] Renumbering start インターフェース名 - [DHCPv6] Renumbering success インターフェース名 - [IPv6] Received renumbering signal インターフェース名 - [IPv6] Renumbering start インターフェース名 - [IPv6] Renumbering success インターフェース名 対象機種: RTX5000, RTX3500 [10] netvolante-dns auto hostnameコマンドで、OUIが"00:a0:de"以外のときは、「'y' +(MACアドレス全12桁).auto.netvolante.jp」という形のホスト名が自動生成され るようにした。 対象機種: RTX5000, RTX3500 ■バグ修正 [1] 外部メモリーにSYSLOGを暗号化して出力する設定をして再起動をすると、リブートを 繰り返して起動できないバグを修正した。 対象機種: RTX5000, RTX3500 [2] 不正なフォーマットのPPPoEパケットを受信したとき、リブートする可能性を排除し た。 対象機種: RTX5000, RTX3500 [3] L2TPv3を用いたL2VPNで、IEEE802.1Qタグが複数付加されたL2フレームを転送すると CPU使用率が100%になり、その後リブートするバグを修正した。 対象機種: RTX5000, RTX3500 [4] ブリッジインターフェースを端点として接続が確立したL2TPv3で、以下の条件を満た す宛先に対して転送しようとしたフレームがフラグメントされたとき、リブートする バグを修正した。 - ブリッジインターフェースに収容されたトンネルインターフェースの先にある - ブリッジのラーニングテーブルに存在しない 対象機種: RTX5000, RTX3500 [5] 以下のコマンドを追加または削除したとき、リブートすることがあるバグを修正した。 - ipsec transport - ipsec transport template Rev.14.00.18でのみ発生する。 対象機種: RTX5000, RTX3500 [6] RIPを有効にしているとき、LANバックアップのバックアップ先インターフェースに未 設定のPPインターフェースを指定しておくと、バックアップに切り替わるタイミング でリブートするバグを修正した。 対象機種: RTX5000, RTX3500 [7] ひかり電話契約ありのNGN回線で、NGNのリナンバリングが発生し、処理が完了したと きにリブートしたりハングアップしたりする可能性を排除した。 対象機種: RTX5000, RTX3500 [8] dhcp scope bind コマンドが設定されているときに dhcp server rfc2131 compliant コマンドを off あるいは use-clientid 機能を使用しない設定にするとリブートす る可能性を排除した。 対象機種: RTX5000, RTX3500 [9] no nat descriptor masquerade session limitコマンドを実行すると、リブートする 可能性があったバグを修正した。 対象機種: RTX5000, RTX3500 [10] 外部データベース参照型URLフィルターでパケットを解析するとき、リブートする可 能性を排除した。 対象機種: RTX5000, RTX3500 [11] tunnel backupコマンドでバックアップ先にLANインターフェースを指定している場 合、バックアップに切り替わる度にメモリーリークが発生するバグを修正した。 対象機種: RTX5000, RTX3500 [12] 設定の保存に失敗したときメモリーリークすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [13] データコネクト拠点間接続において、ファストパスで送信するパケットのUDPヘッダ のチェックサムを計算していなかったバグを修正した。 対象機種: RTX5000, RTX3500 [14] データコネクト拠点間接続のIPsecトンネルで、着信後にデータ送受信が全くない場 合、tunnel ngn disconnect timeコマンドの設定に関わらず、60秒で切断すること があるバグを修正した。 対象機種: RTX5000, RTX3500 [15] L2TP/IPsecで不正なL2TP制御パケットを受信すると、ANONYMOUSインターフェースが 占有されてしまい、それ以降ANONYMOUSインターフェースが使用できなくなるバグを 修正した。 対象機種: RTX5000, RTX3500 [16] L2TP/IPsecおよびL2TPv3を用いたL2VPNで、トンネルから受信したTCPパケットに対 してip tunnel tcp mss limitコマンドではなくip pp tcp mss limitコマンドによ るTCPセッションのMSS制限が適用されていたバグを修正した。 対象機種: RTX5000, RTX3500 [17] ブリッジインターフェースを端点として接続が確立したL2TPv3で、ブリッジのラー ニングテーブルに存在しない宛先に対するパケットをトンネルの先に転送すると、 不要なパケットが送信されるバグを修正した。 対象機種: RTX5000, RTX3500 [18] OSPFv2とBGPを併用するとき、ospf router idコマンドとbgp router idコマンドで 同じルーターIDが設定されていても、BGPが正常に起動しないバグを修正した。 対象機種: RTX5000, RTX3500 [19] 同じネットワークに対する複数の経路が取り込まれた状態で、それらが同時に削除 されるとき、OSPFやBGPで受信した経路がルーティングテーブルに残ることがあるバ グを修正した。 対象機種: RTX5000, RTX3500 [20] LAN分割機能を有効にしたLANインターフェース(VLANインターフェース)で、通信 自体が正常にできなくなったり、通信はできてもファストパスで処理されないこと があるバグを修正した。 なお、ip routing process normalが設定されている場合はこの問題は発生しない。 対象機種: RTX5000, RTX3500 [21] PP/LAN バックアップ機能で、バックアップ切り替え時にバックアップ側へのpingが 通らないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [22] ethernet filterコマンドでpass-logもしくはreject-logの設定がされているとき syslog notice offの状態であってもスループットが著しく低下するバグを修正した。 対象機種: RTX5000, RTX3500 [23] インターフェースのIPアドレスが設定されたときに、優先度が低い経路については 経路の再検索が行われず、経路情報が不正になるバグを修正した。 対象機種: RTX5000, RTX3500 [24] MLD機能で、MLDv2のMLDルーターとして動作しているインターフェースが、ソースリ ストが空のレポートを新規に受信したとき、プロキシ情報とルーティング情報にマ ルチキャストグループが追加されないバグを修正した。 対象機種: RTX5000, RTX3500 [25] MLD機能で、MLDルーターのMLDv1,v2の互換モードとして動作しているとき、MLDv1レ ポートを受信してグループ情報を登録し、一定時間そのグループ情報を含むMLDv1レ ポート受信しなかった場合に、そのグループのエントリーがタイムアウトしなくな るバグを修正した。 対象機種: RTX5000, RTX3500 [26] RTFS領域にファイルアクセスしているときに設定を保存しようとすると、設定の保 存に失敗し、それ以降設定を保存できなくなることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [27] NGNのリナンバリングに関するログの誤記を修正した。 対象機種: RTX5000, RTX3500 [28] ある不正なDHCPサーバー機能に関する設定が入った状態でルーターを起動したとき、 以降DHCPサーバー機能が動作しないバグを修正した。 対象機種: RTX5000, RTX3500 [29] external-memory syslog filenameコマンドにより暗号化して保存されたSYSLOGファ イルを復号すると、起動時のログの一部が文字化けしているバグを修正した。 対象機種: RTX5000, RTX3500 [30] 以下の操作を行うと"Detected incomplete exclusive control"というメッセージ がシリアルコンソールに出力されることがあるバグを修正した。 - 設定ファイルのコピー、保存、削除 - ファームウェアファイルのコピーまたは削除 - リビジョンアップ - RTFSへの書き込みまたは削除 - RTFSのフォーマット 対象機種: RTX5000, RTX3500 [31] dhcp duplicate checkコマンドで2つめのパラメーターを入力せずに設定しようとし たときに、エラーメッセージが正しくないバグを修正した。 対象機種: RTX5000, RTX3500 [32] 以下のコマンドで、フィルター番号に65536以上の値を指定すると、show configコ マンドで設定が表示されないバグを修正した。 - url filter external-database category 対象機種: RTX5000, RTX3500 [33] sip server qvalueコマンドでq値に0を設定すると、show configコマンドに設定が 表示されないバグを修正した。 対象機種: RTX5000, RTX3500 [34] sip serverコマンドで不正なパラメーターが入力できるバグを修正した。 対象機種: RTX5000, RTX3500 [35] 以下のコマンドのコマンドヘルプの誤記を修正した。 - clear url filter - clear url filter external-database - connect - dhcp scope - show url filter - show url filter external-database 対象機種: RTX5000, RTX3500 ■更新履歴 Jan. 2017, Rev.14.00.21 リリース Feb. 2017, 仕様変更[10]を追加した。 以上