https://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.00/relnote_14_00_34.html Revision : 14.00.34 Release : Mar. 2024, ヤマハ株式会社 RTX5000/RTX3500 Rev.14.00.34 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.14.00.08以降のファームウェアのリビジョンアップを行う際には以下の点にご注意 ください。 Rev.14.00.08にはRev.14.00.12で修正された以下の不具合が存在します。 「RTX5000/RTX3500 Rev.14.00.12 リリースノート」より、 https://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.00/relnote_14_00_12.html [12] syslog debugコマンドとipsec log illegal-spiコマンドの両方にonが設定されて いるとき、IPsecでSPI値が無効なパケットを受信するとリブートもしくはハング アップが発生することがあるバグを修正した。 この不具合がファームウェアのリビジョンアップ中に発生すると、ファームウェア (execファイル)が消失する可能性があります。お手数をおかけいたしますが、 Rev.14.00.08からファームウェアのリビジョンアップを行う際、ipsec log illegal-spi onが設定されている場合には、ipsec log illegal-spi offを設定したのちに実施してい ただくよう、お願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○RTX5000/RTX3500 Rev.14.00.33 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] IKEv2で、Configuration Payloadに対応した。 この変更により、AndroidとiOSの端末でIKEv2を使ったリモートアクセスVPN接続が 可能になる。 https://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ikev2_ras/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 対象機種: RTX5000, RTX3500 [2] BIGLOBE IPv6 オプションに対応した。 https://www.rtpro.yamaha.co.jp/RT/docs/biglobe/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 対象機種: RTX5000, RTX3500 [3] IPヘッダーおよびIPv6ヘッダーのDSフィールドを書き換えるコマンドを追加した。 ○IPパケットのDSフィールドの書き換えの設定 [書式] ip dscp supersede ID DSCP FILTER_NUM [FILTER_NUM_LIST] no ip dscp supersede ID [DSCP] [設定値及び初期値] ・ID [設定値] : 識別番号 (1..65535) [初期値] : - ・DSCP [設定値] : ・書き換えるDSCP値 (0..63) ・以下のニーモニックが利用できる ・cs1/cs2/cs3/cs4/cs5/cs6/cs7/af11/af12/af13/af21/af22/af23/ af31/af32/af33/af41/af42/af43/ef [初期値] : - ・FILTER_NUM [設定値] : 静的フィルターの番号 (1..21474836) [初期値] : - ・FILTER_NUM_LIST [設定値] : 静的フィルターの番号 (1..21474836) の並び [初期値] : - [説明] IP パケットを中継する場合に DS フィールドを指定した値に書き換える。 識別番号順にリストをチェックし、FILTER_NUM リストのフィルターを順次適用 していく。そして、最初にマッチした IP フィルターが pass、pass-log、 pass-nolog、restrict、restrict-log、restrict-nolog のいずれかであれば DS フィールドが書き換えられる。 reject、reject-log または reject-nolog である場合は書き換えずに処理を終 わる。 ip tos supersedeコマンドの設定と本コマンドの設定で条件が同じ場合、 本コマンドの設定が優先される。 [ノート] RTX5000、RTX3500 は Rev.14.00.34 以降で使用可能。 RTX1300 は Rev.23.00.05 以降で使用可能。 RTX1220 は Rev.15.04.05 以降で使用可能。 RTX830 は Rev.15.02.27 以降で使用可能。 ○IPv6パケットのDSフィールドの書き換えの設定 [書式] ipv6 dscp supersede ID DSCP FILTER_NUM [FILTER_NUM_LIST] no ipv6 dscp supersede ID [DSCP] [設定値及び初期値] ・ID [設定値] : 識別番号 (1..65535) [初期値] : - ・DSCP [設定値] : ・書き換えるDSCP値 (0..63) ・以下のニーモニックが利用できる ・cs1/cs2/cs3/cs4/cs5/cs6/cs7/af11/af12/af13/af21/af22/af23/ af31/af32/af33/af41/af42/af43/ef [初期値] : - ・FILTER_NUM [設定値] : 静的フィルターの番号 (1..21474836) [初期値] : - ・FILTER_NUM_LIST [設定値] : 静的フィルターの番号 (1..21474836) の並び [初期値] : - [説明] IPv6 パケットを中継する場合に DS フィールドを指定した値に書き換える。 識別番号順にリストをチェックし、FILTER_NUM リストのフィルターを順次適用 していく。そして、最初にマッチした IPv6 フィルターが pass、pass-log、 pass-nolog、restrict、restrict-log、restrict-nolog のいずれかであれば DS フィールドが書き換えられる。 reject、reject-log または reject-nolog である場合は書き換えずに処理を終 わる。 [ノート] RTX5000、RTX3500 は Rev.14.00.34 以降で使用可能。 RTX1300 は Rev.23.00.05 以降で使用可能。 RTX1220 は Rev.15.04.05 以降で使用可能。 RTX830 は Rev.15.02.27 以降で使用可能。 対象機種: RTX5000, RTX3500 [4] ipsec ike durationコマンドで、古くなったSAの寿命を強制的に短縮する時間を設 定できるようにした。 ○SA の寿命の設定 [書式] ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME] ★ no ipsec ike duration SA GATEWAY_ID [SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME]] ★ [設定値及び初期値] ・SA [設定値] : --------------------------------------------------- 設定値 説明 --------------------------------------------------- ipsec-sa (もしくは child-sa) IPsec SA (CHILD SA) isakmp-sa (もしくは ike-sa) ISAKMP SA (IKE SA) --------------------------------------------------- [初期値] : - ・GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - ・SECOND [設定値] : 秒数(300..691200) [初期値] : 28800 ・KBYTES [設定値] : キロ単位のバイト数(100..100000) ・REKEY : SAを更新するタイミング [設定値] : ------------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------------ 70% - 90% パーセント off 更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定し たときのみ設定可能) ------------------------------------------------------------------ [初期値] : 75% ・DEL_TIME [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200) ★ [初期値] : - [説明] 各 SA の寿命を設定する。 KBYTES パラメーターを指定した場合には、 SECOND パラメーターで指定した時 間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。 KBYTES パラメーターは SA パラメーターとして ipsec-sa (child-sa) を指定し たときのみ有効である。SA の更新は KBYTES パラメーターに設定したバイト数 の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新さ れたとき古くなった既存の IPsec SA (CHILD SA) の寿命が 30 秒以上である場 合は、寿命が 30 秒に短縮される。 REKEY パラメーターは SA を更新するタイミングを決定する。例えば、 SECOND パラメーターで 20000 を指定し、 REKEY パラメーターで75%を指定した場合に は、SA を生成してから 15000 秒経過したときに新しい SA を生成する。 REKEY パラメーターは SECOND パラメーターに対する比率を表すもので、 KBYTES パラ メーターの値とは関係がない。 SA パラメーターで isakmp-sa(ike-sa) を指定したときに限り、REKEY パラメー ターで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がな い限り、ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の 生成を最小限に抑えることができる。 その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点 については以下の通り。 ・IKEv1 始動側として働く場合に、このコマンドで設定した寿命値が提案される。応 答側として働く場合は、このコマンドの設定に関係なく相手側から提案され た寿命値に合わせる。 また、 ISAKMP SA に対する REKEY パラメーターを off に設定した場合、 その効果を得るためには、次の2点に注意して設定する必要がある。 1. IPsec SAよりも ISAKMP SA の寿命を短く設定する。 2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定を off にする。 ・IKEv2 IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独 立して管理するものとなっている。従って、確立された SA には、常にこの コマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ ゲートウェイの方が SA 更新のタイミングが早ければ、 SA はその分早く更 新されることになる。 forced-reduction オプションに時間を指定すると、SA を更新した際に古くなっ た既存の SA の寿命を強制的に設定値に変更し、消滅までの時間を早めることが できる。ただし、IPsec SA (CHILD SA) で KBYTES パラメーターにバイト寿命値 を指定している場合は、DEL_TIME パラメーターで 31 秒以上の値を設定してい ても、短縮される値は30 秒となる。また、IKEv1 では寿命が設定値よりも短い 場合は変更しない。 ★ ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合 は、ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。 なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新し く作られる SA にのみ、新しい寿命値が適用される。 [ノート] forced-reduction オプションは以下の機種およびリビジョンで使用可能。 RTX830 は Rev.15.02.27 以降。 RTX1220 は Rev.15.04.05 以降。 RTX1300 は Rev.23.00.05 以降。 RTX3510 は すべてのリビジョン。 RTX5000、RTX3500 は Rev.14.00.34 以降。 対象機種: RTX5000, RTX3500 [5] bgp export filterコマンドのpreferenceオプションが比較するBGP経路の種別を変 更するコマンドを追加した。 ○BGPで受信した経路に対する経路選択の優先順位の規則を設定 ★ [書式] bgp export route selection rule RULE no bgp export route selection rule [RULE] [設定値及び初期値] ・RULE [設定値] : ebgp-only, all --------------------------------------------------- 設定値 説明 --------------------------------------------------- ebgp-only eBGPで受信した同じ宛先の経路を比較 対象とする。 all 全てのBGPで受信した同じ宛先の経路を 比較対象とする。 --------------------------------------------------- [初期値] : ebgp-only [説明] BGP で同じ宛先の経路を複数の相手から受信した際、一方を選択するための優先 度による比較対象を設定する。 本コマンドの設定により bgp export filter コマンドの preference で比較す る経路の種別が変更される。 RULE に ebgp-only を設定した場合、EBGP で受信した経路に対してのみ preference による比較が働く。 RULE に all を設定した場合、全ての BGP で受信した経路に対して preference による比較が働く。このため、IBGP で受信した経路に対しても、preference に よる比較が働く。これにより、IBGP で受信した経路の優先度を EBGP で受信し た経路よりも高くすることが可能になる。 IBGP のみを使用した構成では、本コマンドの設定によって選択される経路が変 わることはない。 同じ近隣ルーター番号をもつ近隣ルータから複数の同一宛先経路を受信する場合、 本コマンドによって規則を変更した経路選択の優先度に差を設けることはできな い。この場合、EBGP であれば MED を、IBGP であれば Local Preference を 使用して経路の優先度を設定できる。 本コマンドに対応していないリビジョンでは、RULE が ebgp-only のときの動作 をする。 [ノート] 本コマンドで動作を設定可能な経路選択プロセスは以下の URL を参照してくださ い。 https://www.rtpro.yamaha.co.jp/RT/docs/bgp/index.html#rt_select EBGPとIBGP間で同じ宛先の経路を受信する環境下で特定の経路を優先するよう制 御したい場合、本コマンドを設定することで実現できる。 RTX830 は Rev.15.02.27 以降で使用可能。 RTX1220 は Rev.15.04.05 以降で使用可能。 RTX1300 は Rev.23.00.05 以降で使用可能。 RTX5000、RTX3500 は Rev.14.00.34 以降で使用可能。 対象機種: RTX5000, RTX3500 ■仕様変更 [1] RAプロキシーで、RAによるプレフィックスのpreferred lifetimeが残り60秒になっ たとき、RSを送出するようにした。 対象機種: RTX5000, RTX3500 [2] ipsec ike durationコマンドのKBYTESパラメーターを以下のように変更した。 - 最大値を100000から2147483647に変更 - 初期値なしから2000000に変更 この修正により、初期値で2GBのバイト寿命を持つため、IPsec SA (CHILD SA) が古 くなった時、forced-reductionオプションの設定がない場合でも、自動的に秒寿命 が30秒に短縮される。 またバイト寿命の最大値が2,147,483,647KBの機種が始動側になる場合は、相手側 機器がバイト寿命の最大値が2,147,483,647KBの機種ではないとき、バイト寿命を 必ず2GB以下に設定する必要がある。 ○SAの寿命の設定 [書式] ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME] no ipsec ike duration SA GATEWAY_ID [SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME]] [設定値及び初期値] ・SA [設定値] : --------------------------------------------------- 設定値 説明 --------------------------------------------------- ipsec-sa (もしくは child-sa) IPsec SA (CHILD SA) isakmp-sa (もしくは ike-sa) ISAKMP SA (IKE SA) --------------------------------------------------- [初期値] : - ・GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - ・SECOND [設定値] : 秒数(300..691200) [初期値] : 28800 ・KBYTES [設定値] : キロ単位のバイト数 ------------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------------ 100..2147483647 キロ単位のバイト数 (RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降) ★ 100..100000 キロ単位のバイト数 (上記以外) ★ off バイト寿命を設定しない (RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降) ★ ------------------------------------------------------------------ [初期値] : - 2000000 (RTX830 Rev.15.02.27以降、RTX1220 Rev.15.04.05以降、 RTX1300、RTX3510、RTX5000 / RTX3500 Rev.14.00.34以降) ★ - off (上記以外) ★ ・REKEY : SAを更新するタイミング [設定値] : ------------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------------ 70% - 90% パーセント off 更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定し たときのみ設定可能) ------------------------------------------------------------------ [初期値] : 75% ・DEL_TIME [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200) [初期値] : - [説明] 各 SA の寿命を設定する。 KBYTES パラメーターを指定した場合には、 SECOND パラメーターで指定した時 間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。 KBYTES パラメーターは SA パラメーターとして ipsec-sa (child-sa) を指定し たときのみ有効である。SA の更新は KBYTES パラメーターに設定したバイト数 の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新さ れたとき古くなった既存の IPsec SA (CHILD SA) の寿命が 30 秒以上である場 合は、寿命が 30 秒に短縮される。★ REKEY パラメーターは SA を更新するタイミングを決定する。例えば、 SECOND パラメーターで 20000 を指定し、 REKEY パラメーターで75%を指定した場合に は、SA を生成してから 15000 秒経過したときに新しい SA を生成する。 REKEY パラメーターは SECOND パラメーターに対する比率を表すもので、 KBYTES パラ メーターの値とは関係がない。 SA パラメーターで isakmp-sa(ike-sa) を指定したときに限り、REKEY パラメー ターで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がな い限り、ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の 生成を最小限に抑えることができる。 その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点 については以下の通り。 ・IKEv1 始動側として働く場合に、このコマンドで設定した寿命値が提案される。応 答側として働く場合は、このコマンドの設定に関係なく相手側から提案され た寿命値に合わせる。 また、 ISAKMP SA に対する REKEY パラメーターを off に設定した場合、 その効果を得るためには、次の2点に注意して設定する必要がある。 1. IPsec SAよりも ISAKMP SA の寿命を短く設定する。 2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定を off にする。 RTX830 Rev.15.02.27 以降または、RTX1220 Rev.15.04.05以降、RTX1300、 RTX5000 / RTX3500 Rev.14.00.34 以降が始動側になる場合は、最大で 2147483647 KB のバイト寿命値を相手側へ提案可能であるが、相手側機器が RTX830 Rev.15.02.27 以降および、RTX1220 Rev.15.04.05以降、RTX1300、 RTX5000 / RTX3500 Rev.14.00.34 以降、NVR700W Rev.15.00.24 以降、vRX Amazon EC2 版、vRX VMware ESXi 版以外の場合は 2 GB を超えるバイト寿 命値を正しく認識できないため、 RTX830 Rev.15.02.27 以降および、RTX1220 Rev.15.04.05以降、RTX1300、RTX5000 / RTX3500 Rev.14.00.34 以降、 NVR700W Rev.15.00.24 以降、vRX Amazon EC2 版、vRX VMware ESXi 版以外 の機種と接続する場合は必ず 2 GB 以下に設定する必要がある。 ★ ・IKEv2 IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独 立して管理するものとなっている。従って、確立された SA には、常にこの コマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ ゲートウェイの方が SA 更新のタイミングが早ければ、 SA はその分早く更 新されることになる。 forced-reduction オプションに時間を指定すると、SA を更新した際に古くなっ た既存の SA の寿命を強制的に設定値に変更し、消滅までの時間を早めることが できる。ただし、IPsec SA (CHILD SA) で KBYTES パラメーターにバイト寿命値 を指定している場合は、DEL_TIME パラメーターで 31 秒以上の値を設定してい ても、短縮される値は30 秒となる。また、IKEv1 では寿命が設定値よりも短い 場合は変更しない。 ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合 は、ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。 なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新し く作られる SA にのみ、新しい寿命値が適用される。 [ノート] forced-reduction オプションは以下の機種およびリビジョンで使用可能。 RTX830 は Rev.15.02.27 以降。 RTX1220 は Rev.15.04.05 以降。 RTX1300 は Rev.23.00.05 以降。 RTX3510 は すべてのリビジョン。 RTX5000、RTX3500 は Rev.14.00.34 以降。 対象機種: RTX5000, RTX3500 [3] ipsec ike local idコマンド、およびipsec ike remote idコマンドを設定したとき、 SAの削除およびIKEの初期化を行うようにした。 対象機種: RTX5000, RTX3500 [4] Luaスクリプト機能で、rt.httprequest関数のHTTPリクエスト設定テーブルのurlフィー ルドの最大文字数を半角255文字から半角2048文字に変更した。 対象機種: RTX5000, RTX3500 [5] tunnel templateコマンドを実行したときの処理時間を短縮した。 また、tunnel templateコマンド実行時に進捗状況を示すメッセージを出力するよう にした。 対象機種: RTX5000, RTX3500 ■バグ修正 [1] pp selectコマンドで接続先を選択している状態、またはswitch selectコマンドで スイッチを選択している状態のときに、tunnel enable/disableコマンドの設定変更 やloadコマンドで設定を読み込むと、トンネル接続の設定が正しく反映されなかっ たり、リブートすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [2] L2TP/IPsec接続で、大量のクライアントを一斉に接続するとリブートすることがあ るバグを修正した。 対象機種: RTX5000, RTX3500 [3] 大量の経路情報が削除されたとき、リブートすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [4] 外部メモリー機能で、外部メモリー内に壊れたファイルが存在している状態で、外 部メモリーに関する操作を行うとリブートすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [5] L2TPv3で、l2tp remote end-idコマンドに対向と異なるend-idを設定したとき、リ ブートすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [6] YNOエージェント機能で、セキュリティー装置等によりYNOマネージャーからの応答 が正しく返って来ない場合にリブートすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [7] BGP機能を使用しているとき、近隣ルーター宛ての経路とBGPで受信した経路より優 先度の高い経路を同時に削除するとリブートすることがあるバグを修正した。 Rev.14.00.20以降で発生する。 対象機種: RTX5000, RTX3500 [8] ipsec transportコマンドを上書き設定するとメモリーリークが発生するバグを修正 した。 対象機種: RTX5000, RTX3500 [9] メモリー確保に失敗したときにメモリーリークが発生するバグを修正した。 対象機種: RTX5000, RTX3500 [10] DHCPv6のIRに対するReplyにReconfigure Acceptオプションが付与されていた場合、 Replyを処理しないバグを修正した。 対象機種: RTX5000, RTX3500 [11] YNOエージェント機能で、YNOエージェントが起動するタイミングでYNOのコマンド を変更すると、configは設定されるが、実行されないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [12] YNOエージェント機能で、YNOマネージャーの[SYSLOG管理]-[リアルタイム表示]で SYSLOGが表示されなくなることがあるバグを修正した。 ルーターの内部時計を過去の時間に戻したときに発生する。 対象機種: RTX5000, RTX3500 [13] YNOエージェント機能で、常時接続回線の状態が正しく通知されないバグを修正し た。 LANバックアップのバックアップ回線に切り替わったときに発生する。 Rev.14.00.26以降で発生する。 対象機種: RTX5000, RTX3500 [14] OSPFとBGPで、自分側アドレスが設定されており相手側アドレスが設定されていな いトンネルインターフェースをゲートウェイとする経路を広告できないバグを修正 した。 対象機種: RTX5000, RTX3500 [15] OCNバーチャルコネクト 固定IP8/16契約で、以下の条件をすべて満たす場合に、 MAP-Eトンネルに設定されたグローバルIPv6アドレスが更新されずIPv4通信ができ なくなるバグを修正した。 - MAP-EトンネルにIPマスカレードの設定がない - NGN網を介したリナンバリングが発生した 対象機種: RTX5000, RTX3500 [16] マルチポイントトンネルで、トンネルの切断後にクライアントが再接続処理を開始 しないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [17] bgp export filterコマンドで、preferenceパラメーターによる経路選択が正常に 動作しないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [18] IPv6機能で、DHCPv6のIRに対するReplyを連続で受信したとき、DNSサーバー情報が 取得できないバグを修正した。 対象機種: RTX5000, RTX3500 [19] HTTPリビジョンアップ機能で、ファームウェアを更新したときに出力されるログの 誤記を修正した。 対象機種: RTX5000, RTX3500 [20] tunnel templateコマンドで以下のコマンドが展開されないバグを修正した。 - ipsec ike backward-compatibility - ipsec ike mode-cfg method - ipsec ike negotiation receive 対象機種: RTX5000, RTX3500 [21] DHCPv6-PDプロキシー、またはRAプロキシーで、受信したIPv6プレフィックスを配 布するLAN側インターフェースをLAN2、またはLAN2を分割したインターフェースに 設定しているとき、NGNのリナンバリングが発生してもそのLANインターフェースに 所属するLANポートの一時的なリンクダウンによるIPv4/IPv6アドレスの再取得の促 進が行われないバグを修正した。 対象機種: RTX5000, RTX3500 [22] 以下のコマンドで、不正なオプションを設定することができるバグを修正した。 - dns sever - dns sever dhcp - dns sever pp - dns sever select 対象機種: RTX5000, RTX3500 [23] ip INTERFACE intrusion detectionコマンドで、オプションに誤った文字列を指定 した時、エラーが表示されないバグを修正した。 対象機種: RTX5000, RTX3500 [24] SNMPで、SERIALポートからのログイン情報を表す以下のMIB変数がSFTPからのログ アウトを契機に不当に変更されるバグを修正した。 - yrfLoginSerial - yrfLoginStatus - yrfLoginUser 対象機種: RTX5000, RTX3500 [25] フィルター型ルーティングまたはパケット転送フィルターを使用しているとき、ル ーターからtelnetコマンドやrdateコマンドなどを実行すると、通信できないバグ を修正した。 対象機種: RTX5000, RTX3500 [26] ip routeコマンドで、フィルター型ルーティングの設定をしたとき、不適切なエラー メッセージが表示されることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [27] IKEv2で、パケットのロスや遅延が発生しているとき、受信したIKEメッセージが認 証エラーになることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [28] IPsec IKEv1メインモードで、トンネルアップした約30秒後にトンネルダウンする ことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [29] フィルター型ルーティングまたはパケット転送フィルターを使用しているときに発 生する以下のバグを修正した。 - ルーターからhttp revision-up goコマンドなどを実行すると通信できないこと がある - Luaスクリプトを使用してHTTPで通信できないことがある - YNOでHTTPSプロキシサーバーを使用していると通信できないことがある - RADIUS認証に失敗することがある - SNMPトラップのパケットにルーターのエージェントアドレスが設定されないこと がある 対象機種: RTX5000, RTX3500 [30] L2TPv3で、拠点間接続にIPv6アドレスを使用したとき、WAN側のパケットをIPv4の パケットとしてカウントしてしまうバグを修正した。 対象機種: RTX5000, RTX3500 [31] QoSで、以下のバグを修正した。 - show status qosコマンドのクラスごとの使用帯域とピーク値が、実際の値より 大きく表示されることがある - Dynamic Class Control(DCC)機能で、設定した閾値を下回る帯域で通信してい るホストが、DCCによりフロー制御されることがある Rev.14.00.16以降で発生する。 対象機種: RTX5000, RTX3500 [32] ブリッジインターフェース、LOOPBACKインターフェース、NULLインターフェースに 適用されたIPフィルターが動作しないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [33] PPPoEパススルー機能で、bridge memberコマンドが設定されているとき、パススルー されるパケットがファストパスで処理されないバグを修正した。 対象機種: RTX5000, RTX3500 [34] BGPで、IBGP経路広告に含まれるMEDの情報がshow status bgp neighbor advertised-routes コマンドで表示されないバグを修正した。 Rev.14.00.16以降で発生する。 対象機種: RTX5000, RTX3500 [35] IPv4フラグメントパケットを経路情報に従って転送した後、同じ送信元アドレスで IPヘッダーのIDが同じパケットを受信したときに経路情報を無視して、先のIPv4 フラグメントパケットと同じ経路に送信することがあるバグを修正した。 対象機種: RTX5000, RTX3500 [36] no nat descriptor backward-compatibilityコマンドでNAT機能の動作タイプが変 化すると、再起動により設定が有効になる前に、以下のコマンドで表示される動作 タイプが変化後の値になってしまうバグを修正した。 - show nat descriptor address - show nat descriptor interface address - show nat descriptor interface address pp - show nat descriptor interface address tunnel - show nat descriptor interface bind - show nat descriptor interface bind pp - show nat descriptor interface bind tunnel - show nat descriptor masquerade port summary - show nat descriptor masquerade session statistics 対象機種: RTX5000, RTX3500 [37] queue INTERFACE class propertyコマンドのBANDWIDTHパラメーターで、保証帯域 と上限帯域の速度を数値とパーセンテージの組み合わせで設定できるバグを修正し た。 対象機種: RTX5000, RTX3500 [38] nat descriptor staticコマンドで、ネットマスクを設定したときにそのネットワ ークの先頭以外のアドレスが設定されていると、変換範囲が後ろにスライドしてし まうバグを修正した。 対象機種: RTX5000, RTX3500 [39] SFTPサーバー機能で、Put結果を示すSYSLOGメッセージが正しく表示されない可能 性を排除した。 ただし、実機上でこの現象が発現することは確認できていない。 対象機種: RTX5000, RTX3500 [40] ip pp remote addressコマンドで、IPアドレスを2つ以上設定したときにエラーに ならないバグを修正した。 対象機種: RTX5000, RTX3500 [41] dns server selectコマンドの以下のバグを修正した。 - 以下のパラメーターで0.0.0.0および::0が指定できる - プライマリーDNSサーバーのIPアドレス - セカンダリーDNSサーバーのIPアドレス - PEER_NUMパラメーターで指定した接続相手からDNSサーバーを獲得できなかっ たときに使うDNSサーバーのIPアドレス - 以下のパラメーターで0.0.0.0が指定できる - DNSレコードタイプにptrを指定したときのDNS問い合わせの内容 対象機種: RTX5000, RTX3500 [42] pp anonymous接続で、同時に複数接続したときに2番目以降の接続でパケット転送 フィルターが動作しないバグを修正した。 対象機種: RTX5000, RTX3500 [43] QoS機能で、vlan1またはvlan5に設定したクラスフィルターが、同一の物理LANを 使用するVLANインターフェースにも適用されるバグを修正した。 対象機種: RTX5000, RTX3500 [44] IPsec機能で、NATトラバーサルを利用したインターネット接続をしているとき、 CPU使用率が高騰することがあるバグを修正した。 対象機種: RTX5000, RTX3500 [45] コマンドヘルプで、表示する文字列が不当に改行されることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [46] 以下のコマンドのコマンドヘルプの誤記を修正した。 - bgp aggregate filter - bgp export filter - bgp import filter - clear nat descriptor dynamic - clear nat descriptor masquerade session statistics - date - ip INTERFACE nat descriptor - nat descriptor address inner - nat descriptor address outer - nat descriptor ftp port - nat descriptor masquerade static - nat descriptor masquerade incoming - nat descriptor masquerade port range - nat descriptor masquerade unconvertible port - nat descriptor masquerade rlogin - nat descriptor masquerade session limit - nat descriptor masquerade session limit total - nat descriptor sip - nat descriptor static - nat descriptor timer - nat descriptor type - ospf export filter - ospf import filter - show nat descriptor address - show nat descriptor masquerade port - show nat descriptor masquerade session - show nat descriptor masquerade session statistics - no ipv6 ospf virtual-link 対象機種: RTX5000, RTX3500 ------------------------------------------------------------------------------- ■更新履歴 Mar. 2024, Rev.14.00.34 リリース 以上