http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.02/relnote_15_02_22.html Revision : 15.02.22 Release : Jan. 2022, ヤマハ株式会社 RTX830 Rev.15.02.22 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ・Rev.15.02.03以降のファームウェアへリビジョンアップを行う際には以下の点にご注 意ください Rev.15.02.03では以下の変更をしています。 「RTX830 Rev.15.02.03 リリースノート」より、 http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.02/relnote_15_02_03.html [1] 本機にアクセスするときのセキュリティーを強化した。 (8) 工場出荷状態の設定にtelnetd host lanコマンドを追加した。 Rev.15.02.03以降のファームウェアを使用して工場出荷状態からプロバイダーを設定 すると、上記のコマンドが設定されているため遠隔からTELNETでログインができなく なります。 遠隔からTELNETでログインをする場合はtelnetd hostコマンドの設定を変更してくだ さい。 ・Rev.15.02.13以降のファームウェアへリビジョンアップを行う際には以下の点にご注 意ください 「DPIを使用したアプリケーション制御機能」に対応したRev.15.02.13以降のファーム ウェアへリビジョンアップすると、Rev.15.02.10、またはそれ以前のファームウェア に対して工場出荷状態でのメモリー使用率が10%程度上昇します。 メモリーの空き容量が十分あることを確認のうえ、リビジョンアップを行うようにし てください。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○RTX830 Rev.15.02.20 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2021-3712 (JVNVU#99612123) ■機能追加 [1] VPN拡張ライセンスに対応した。 ○拡張ライセンスのパスワードの設定 [書式] ex-license password PASSWORD no ex-license password [PASSWORD] [設定値及び初期値] ・PASSWORD [設定値] : パスワード(半角8文字以上、64文字以内) [初期値] : - [説明] 拡張ライセンスを使用するためのパスワードを設定する。 本コマンドの設定の変更、または削除によりインポート済みのライセンスが復号 できなくなる場合、設定を保存してルーターを再起動したあとにライセンスが無 効になる。 ○拡張ライセンスのインポート [書式] import ex-license key [KEY] [設定値及び初期値] ・KEY [設定値] : インポートするライセンスキー [初期値] : - [説明] ・拡張ライセンスをインポートする。 ライセンスをインポートする前に ex-license password コマンドでパスワード を設定しておく必要がある。 KEY を省略した場合は、インポートするライセンスキーの入力を求められる。 このとき、インポートするライセンスの詳細が表示され、ライセンスのインポー トを続行するか否かを選択することができる。KEY にインポートするライセンス キーの入力した場合は、インポートを続行するか否かは問われず、正常なライセン スであれば自動的にインポートされる。 インポートしたライセンスは RTFS の /yamaha_sys/ex-license_vpn.lic に保存 される。yamaha_sys ディレクトリがない場合は自動生成される。 ○拡張ライセンスの削除 [書式] clear ex-license [説明] 拡張ライセンスを削除する。 本コマンドを実行すると、削除するライセンスの詳細が表示され、ライセンスの 削除を続行するか否かを選択することができる。ライセンスを削除するとルーター が再起動される。 ○ライセンス情報の表示 [書式] show status license [説明] LMS クライアントが取得したライセンス、および拡張ライセンスの情報を表示す る。 ★ 表示する項目は以下の通り。 品番 | ライセンス製品の品番。 ---------+--------------------------------------------- 状態 | ライセンスの状態。 ---------+--------------------------------------------- 有効期限 | ライセンスの有効期限。"年/月/日"形式で示す。 ライセンスの状態には以下の種類がある。 有効 ( Active ) | ・LMS クライアントが取得したライセンス | ライセンスが有効期限内であり、当該品番に対応す | るアプリケーションを使用できる状態。 | ・拡張ライセンス ★ | ライセンスが有効であり、当該品番に対応する機能 | 拡張が行われている状態。 ---------------------+--------------------------------------------- 更新猶予期間 (Renew | LMS クライアントが取得したライセンスでのみ表示さ grace period) | れる。 | 有効期限を過ぎている状態。この状態より一定期間経 | 過すると対応するアプリケーションを使用できなくな | るため、ライセンスの購入手続きが必要となる。 ---------------------+--------------------------------------------- 認証猶予期間 ( | LMS クライアントが取得したライセンスでのみ表示さ Authentication grace | れる。 period ) | 一時的にライセンス認証が猶予されている状態。 | ヤマハネットワーク機器が有効なライセンス情報を保 | 持している状態で再起動し、その後 LMS サーバーと通 | 信できない場合にこの状態となる。 | 対応するアプリケーションを使用することはできるが、 | ディアクティベートまでの時間が経過するまでにライ | センス認証を行う必要がある。ディアクティベートま | での時間は show status license authentication コ | マンドで確認することができる。 [ノート] ライセンスを保持していない場合、あるいは LMS サーバーからライセンス情報を 取得していない場合、当コマンドを実行しても情報は表示されない。 [2] YNOエージェント機能で、XMPPサーバーとのキープアライブ通信の実行間隔を設定で きるようにした。 ○XMPPサーバーとのキープアライブの時間間隔の設定 [書式] yno xmpp connection keepalive INTERVAL no yno xmpp connection keepalive [INTERVAL] [設定値及び初期値] ・INTERVAL [設定値] : キープアライブパケットを送出する時間間隔 (30..300 秒) [初期値] : 300 [説明] XMPPサーバーとのキープアライブ通信を実施する時間間隔を設定する。 [3] Web GUIでfaviconを表示するようにした。 [4] L2MSで以下の機種に対応した。 - SWX2220-10NT - SWX2221P-10NT [5] LANマップで、以下の機能に対応した。 - 「このスイッチを探す」機能 - 端末監視に関する通知/履歴メッセージの表示 ■仕様変更 [1] MTUが1280未満のICMPv6 Packet-Too-Bigメッセージを受信したとき、IPv6フラグメン トヘッダーを付けずに応答するようにした。 [2] ipv6 rtadv sendコマンドに、prf_flagオプションを追加した。 ○ルーター広告の送信の制御 [書式] ipv6 INTERFACE rtadv send PREFIX_ID [PREFIX_ID...] [OPTION=VALUE...] ipv6 pp rtadv send PREFIX_ID [PREFIX_ID...] [OPTION=VALUE...] no ipv6 INTERFACE rtadv send [...] no ipv6 pp rtadv send [...] [設定値及び初期値] ・INTERFACE [設定値] : LANインターフェース名 [初期値] : - ・PREFIX_ID [設定値] : プレフィックス番号 [初期値] : - ・OPTION=VALUE : NAME=VALUEの列 [設定値] : ----------------------------------------------------------------- NAME VALUE 説明 ----------------------------------------------------------------- m_flag on、off managed address configurationフラグ。 ルーター広告による自動設定 とは別に、DHCP6に代表され るルーター広告以外の手段に よるアドレス自動設定をホス トに許可させるか否かの設定。 o_flag on、off other stateful configurationフラグ。 ルーター広告以外の手段によ りIPv6アドレス以外のオプショ ン情報をホストに自動的に取 得させるか否かの設定。 prf_flag high、medium、low Default Router Preference フラグ。ルーター広告の優先 度を示す設定。 ★ max-rtr-adv-interval 秒数 ルーター広告を送信する最大 間隔 (4-1,800秒) min-rtr-adv-interval 秒数 ルーター広告を送信する最小 間隔 (3-1,350秒) adv-default-lifetime 秒数 ルーター広告によって設定さ れる端末のデフォルト経路の 有効時間 (0-9,000秒) adv-reachable-time ミリ秒数 ルーター広告を受信した端末 が、ノード間で確認した到達 性の有効時間 (0-3,600,000 ミリ秒) adv-retrans-time ミリ秒数 ルーター広告を再送する間隔 (0-4,294,967,295ミリ秒) adv-cur-hop-limit ホップ数 ルーター広告の限界ホップ数 (0-255) mtu auto、off、バイト数 ルーター広告にMTUオプショ ンを含めるか否かと、含める 場合の値の設定。 autoの場合はインターフェー スのMTUを採用する。 rdnss rdnss、off、dhcpv6 ルーター広告にRDNSSオプショ ンを含めるか否かと、含める 場合の値の設定。 rdnssの場合はRAのRDNSSオプ ションで割り当てられたサー バー群を通知する。 ------------------------------------------------------------------ [初期値] : ・m_flag = off ・o_flag = off ・prf_flag = medium ★ ・max-rtr-adv-interval = 600 ・min-rtr-adv-interval = 200 ・adv-default-lifetime = 1800 ・adv-reachable-time = 0 ・adv-retrans-time = 0 ・adv-cur-hop-limit = 64 ・mtu = auto ・rdnss = rdnss [説明] インターフェースごとにルーター広告の送信を制御する。送信されるプレフィッ クスとして、ipv6 prefixコマンドで設定されたものが用いられる。 また、オプションとしてm_flagおよびo_flagを利用して、管理するホストがルー ター広告以外の自動設定情報をどのように解釈するかを設定することができる。 オプションでは、送信するルーター広告の送信間隔や、ルーター広告に含まれる 情報の設定を行うこともできる。 [3] 以下のselectコマンドがエラーとなったとき、プロンプトがselectコマンドの対象 を選択していない状態(none)に遷移するようにした。 - ap selectコマンド - pp selectコマンド - switch selectコマンド - tunnel selectコマンド [4] Web GUIの以下のページで表示される「ソフトウェアライセンス契約」の内容を更新 した。 - 管理の[本体の設定]-[DOWNLOAD ボタンの設定]で「ネットワーク経由でファーム ウェアを更新する」を選択した後 - 管理の[保守]-[ファームウェアの更新]-[ネットワーク経由でファームウェアを更 新] [5] ipsec ike queue lengthコマンドで、設定できるキュー長の最小値と最大値、およ び初期値を変更した。 ○受信した IKE パケットを蓄積するキューの長さの設定 [書式] ipsec ike queue length LENGTH no ipsec ike queue length [LENGTH] [設定値及び初期値] ・LENGTH [設定値] : キュー長 (100 .. 200) ★ [初期値] : 200 ★ [説明] 受信した IKE パケットを蓄積するキューの長さを設定する。 この設定は、短時間に集中して IKE パケットを受信した際のルーターの振る舞 いを決定する。設定した値が大きいほど、IKE パケットが集中したときにより多 くのパケットを取りこぼさないで処理することができるが、逆に IKE パケット がルーターに滞留する時間が長くなるためキープアライブの応答が遅れ、トンネ ルの障害を間違って検出する可能性が増える。通常の運用では、この設定を変更 する必要はないが、多数のトンネルを構成しており、多数の SA を同時に消す状 況があるならば値を大きめに設定するとよい。 [ノート] キューの長さを長くすると、一度に受信して処理できる IKE パケットの数を増 やすことができる。しかし、あまり大きくすると、ルーター内部にたまった IKE パケットの処理が遅れ、対向のルーターでタイムアウトと検知されてしまう可能 性が増える。そのため、このコマンドの設定を変更する時には、慎重に行う必要 がある。 通常の運用では、この設定を変更する必要はない。 ■バグ修正 [1] OSPFv3のパケットを受信したとき、リブートすることがあるバグを修正した。 [2] YNOエージェント機能で、YNOマネージャーに接続しているときリブートする可能性 を排除した。 ただし、この問題が実機上で発現することは確認できていない。 [3] VRRPで、シャットダウントリガーによりマスタールーターが切り替わるとリブート することがあるバグを修正した。 [4] マルチポイントトンネル機能で、OSPFによる経路交換を行っているとき、トンネル のアップダウンにより動的にインターフェースの追加・削除が行われると、その後 リブートすることがある可能性を排除した。 ただし、実機上でこの現象が発現することは確認できていない。 [5] ファストパスで、L2TPv3-raw over IPIPの通信をしたとき、リブートすることがあ るバグを修正した。 [6] モバイルインターネット接続機能で、WANインターフェースで通信中にリブートする 可能性を排除した。 ただし、実機上でこの現象が発現することは確認できていない。 [7] リモートアクセスVPN機能で、クライアント側のIPアドレスをDHCPで割り当てる設定 のとき、dhcp scope bindコマンドで割り当てるIPアドレスを指定しない設定がある と、リブートするバグを修正した。 [8] 起動した直後に、コンソールから以下のコマンドを実行するとリブートすることが あるバグを修正した。 - clear dns cacheコマンド - dns cache use offコマンド - dns cache max entryコマンド - tunnel endpoint nameコマンドでFQDNを指定したIPIPトンネルインターフェース に対して - no tunel encapsulationコマンド - no tunnel endpoint nameコマンド [9] ngn typeコマンドをnttに設定したインターフェースで、不正な長さを指定した Classless Static Route Optionを持つDHCP ACKを受信したとき、リブートすること があるバグを修正した。 [10] Web GUIのLANマップの[機器一覧]で、消失したスレーブ情報を削除したときリブー トすることがあるバグを修正した。 Rev.15.02.19以降で発生する。 [11] 以下のタイミングでメモリーリークが発生するバグを修正した。 - ip filter dynamicコマンドで始点、または終点アドレスにFQDNを設定したとき - ip filterコマンド、ip filter dynamicコマンドで始点、または終点アドレスに FQDNを設定し、アドレス以外のパラメーターでエラーになったとき - queue class filterコマンドで始点、または終点アドレスにFQDNを設定したとき - queue class filterコマンドで始点、または終点アドレスにFQDNを設定し、アド レス以外のパラメーターでエラーになったとき - queue class filterコマンドでip dpiを設定し、始点、または終点アドレスに FQDNを設定したとき [12] クラウドサービスとのVPN接続設定機能を使用してAmazon VPCと接続できないバグ を修正した。 なお、この問題はAmazon VPC側の仕様変更によって発生するようになっていた。 [13] YNOエージェント機能で、外部メモリー内のCONFIGで起動しているとき、退避ファ イルの設定がデフォルトの場合、ゼロコンフィグ機能が失敗するバグを修正した。 [14] YNOのゼロコンフィグ機能で、CONFIGの自動適用がタイムアウトしたとき、YNOの GUI上で以下の項目が誤表示される可能性を排除した。 - [ゼロコンフィグ]-[CONFIG一覧]-[機器情報]のCONFIG適用結果およびコマンド実 行結果 [15] マルチポイントトンネル機能で、接続済みトンネルのSAポリシー定義 (ipsec sa policyコマンド)を再設定すると、トンネルが二重に接続され、トンネ ル通信ができなくなるバグを修正した。 [16] L2TPv3を用いたL2VPNで、接続先をドメイン名で指定しているとき、接続処理の開 始後にドメイン名のIPアドレスが変更されると接続できないバグを修正した。 [17] IPv6で、上位層ヘッダーがないフラグメントパケットを受信したときの以下のバグ を修正した。 - 該当パケットを破棄しない - ICMPv6 Parameter Problemパケットを返信しない [18] クラウドサービスとのVPN接続設定機能で、MAP-Eトンネルなどのトンネルインター フェースを経由してAmazon VPCの設定をすると、コマンドの作成に失敗して Amazon VPCとVPN接続できないバグを修正した。 [19] RAプロキシーで、IPv6 IPoE接続中のルーターを外してその回線に別のルーターを 繋ぎ変えたとき、別のルーターですぐにIPv6 IPoE接続ができないバグを修正した。 [20] IPv6で、フラグメントされた近隣探索パケットを受信したとき、破棄せずに処理し ていたバグを修正した。 [21] ファストパスで、ip tos supersedeコマンドの設定値によるtosフィールドの書き 換えが行われない事があるバグを修正した。 IPヘッダーのサービスタイプが設定値と同じパケットによってファストパスのフロー が作られたとき、そのフローを利用するがサービスタイプが違うパケットについて 書き換えが行われていなかった。 [22] データコネクトリモートセットアップ機能で、接続が1分で切れることがあるバグ を修正した。 [23] FQDNフィルター機能で、FQDNを完全一致条件で指定しても後方一致条件で判定され ることがあるバグを修正した。 [24] 以下のサービスで、DHCPv6-PDでLAN分割機能を使用しているとき、IPv6アドレスが 不正に更新されてしまい、通信が切断されるバグを修正した。 - 「v6プラス」 IPv6/IPv4インターネットサービス - OCNバーチャルコネクト [25] リモートアクセスVPN接続で、pp auth usernameコマンドでIPアドレスを指定した ユーザー名で接続できないことがあるバグを修正した。 Rev.15.02.20以降で発生する。 [26] DPIで、フラグメントパケットを識別できないバグを修正した。 Rev.15.02.15以降で発生する。 [27] 動的フィルターで、PINGとPING6のセッション終了時に出力されるSYSLOGのIDが0と 表示されるバグを修正した。 [28] PPTP接続で、LAN1をブリッジインターフェースに収容しているとき、通信ができな いバグを修正した。 [29] トリガによるメール通知機能で、SMTPSを指定するとメール通知に失敗することが あるバグを修正した。 [30] モバイルインターネット接続やPPPoE接続中に、以下の手段で設定を変更したとき、 接続できなくなるバグを修正した。 - clear configurationコマンドを含むCONFIGをTFTPでPUTする - loadコマンドを実行する - YNOゼロコンフィグ機能を使用する [31] PP2インターフェース以降のPPインターフェースに対して以下のコマンドを設定した とき、ルーターを再起動しないとコマンドの設定が反映されないバグを修正した。 - ip pp mtuコマンド - no ip pp mtuコマンド [32] TUNNEL2インターフェース以降のTUNNELインターフェースに対して以下のコマンド を設定したとき、ルーターを再起動しないとコマンドの設定が反映されないバグを 修正した。 - ip tunnel mtuコマンド - no ip tunnel mtuコマンド [33] ip reassembly hold-timeコマンドを設定したとき、MIB変数ipReasmTimeoutに反映 されないバグを修正した。 [34] dhcp scopeコマンドで、既存のコマンドと重複するスコープを設定したとき、エラー と表示するが有効な設定として動作してしまうことがあるバグを修正した。 Rev.15.02.08以降で発生する。 [35] wol sendコマンドを実行したとき、Wake On Lanパケットがディレクテッドブロー ドキャストアドレスではなくリミテッドブロードキャストアドレスへ送信されてし まうバグを修正した。 [36] dhcp manual leaseコマンドでリース情報を追加したとき、不正なリース情報が設 定されてしまうバグを修正した。 [37] 以下のコマンドで、始点/終点アドレスにハイフンを含むFQDNを設定すると、正し く設定されないバグを修正した。 - ip dpi filterコマンド - ip filterコマンド - ip filter dynamicコマンド - tcp logコマンド - queue class filterコマンド [38] 以下のコマンドで、IPIPトンネルのトンネル端点にホスト名を指定している場合、 トンネル切断時に無関係なDNSキャッシュが削除されるバグを修正した。 - tunnel endpoint nameコマンド - tunnel endpoint remote addressコマンド - tunnel endpoint local addressコマンド [39] show configコマンドで、ipv6 prefixコマンドのオプションの表示順が正しくない バグを修正した。 [40] remote setup acceptコマンドで、tel_numパラメーターに不正な値を入力したとき、 当該コマンドが削除されるバグを修正した。 [41] 大量のdhcp scopeコマンドを設定して起動すると、dhcp scopeコマンドが削除でき ないことがあるバグを修正した。 [42] PPTP接続で、pp always-onコマンドがonに設定されていても常時接続にならないバ グを修正した。 [43] Web GUI詳細設定の[セキュリティー]-[IPフィルター]のインターフェースの一覧で、 一般ユーザーでログインしたとき、「IPv6」の表示に切り替えられないバグを修正 した。 [44] Web GUIの詳細設定の[IPアドレス]-[IPv4アドレスの設定]の確認画面で、不正なメッ セージが表示されることがあるバグを修正した。 [45] Web GUIの詳細設定の[DNSサーバー]で、「中継先DNSサーバーの一覧」の「問い合 わせの内容」の設定内容のツールチップを表示すると、画面遷移ができなくなるこ とがあるバグを修正した。 [46] Web GUIのダッシュボードの[Live]-[インターフェース情報]ガジェットで、画面分 離中に表示するインターフェースを変更すると、ダッシュボードの[Live]に表示さ れるガジェットの配置が初期状態になるバグを修正した。 Rev.15.02.10以降で発生する。 [47] Web GUIのLANマップで、SWX2100シリーズの「スイッチの設定表示と保守」ダイア ログを開いたとき、「ポートの動作」の説明に「使用しない」と表示されるバグを 修正した。 [48] Web GUIのLANマップで、LANマップから制御できない未対応のスレーブに接続され ている端末が表示されないことがあるバグを修正した。 [49] Web GUIの詳細設定の以下のページで、IPフィルターの送信元アドレス、宛先アド レスにmap-eを設定できないバグを修正した。 - [セキュリティー]-[IPフィルター]-[適用されているIPv4フィルターの一覧]-[イン ターフェースへの適用の設定]-[静的フィルターの設定] - [セキュリティー]-[IPフィルター]-[適用されているIPv4フィルターの一覧]-[イン ターフェースへの適用の設定]-[動的フィルターの設定] - [セキュリティー]-[IPフィルター]-[適用されているIPv6フィルターの一覧]-[イン ターフェースへの適用の設定]-[静的フィルターの設定] - [セキュリティー]-[IPフィルター]-[適用されているIPv6フィルターの一覧]-[イン ターフェースへの適用の設定]-[動的フィルターの設定] - [ルーティング]-[静的ルーティングの設定]-[フィルター型ルーティングの設定]- [フィルター型ルーティング用フィルターの設定] [50] Web GUIの詳細設定の以下のページで、送信元/宛先アドレスにハイフンを含むFQDN を設定すると、正しく設定されないバグを修正した。 - 詳細設定の[セキュリティー]-[IPフィルター]-[適用されているIPv4フィルター の一覧]-[インターフェースへの適用の設定]-[静的フィルターの設定] - 詳細設定の[セキュリティー]-[IPフィルター]-[適用されているIPv4フィルター の一覧]-[インターフェースへの適用の設定]-[動的フィルターの設定] - 詳細設定の[ルーティング]-[静的ルーティングの設定]-[フィルター型ルーティン グの設定]-[フィルター型ルーティング用フィルターの設定] [51] Web GUIの詳細設定の[ルーティング]-[静的ルーティングの設定]-[フィルター型ルー ティングの設定]で、フィルター型ルーティング用フィルターの設定を変更できな いバグを修正した。 Rev.15.02.15以降で発生する。 [52] Web GUIの以下のヘルプページで、誤記を修正した。 - [全般]-[はじめに] - [全般]-[ログイン・ログアウト] - [全般]-[各画面について] [53] コマンドヘルプの誤記を修正した。 -------------------------------------------------------------------------------- ■更新履歴 Jan. 2022, Rev.15.02.22 リリース Apr. 2022, 機能追加[4]、[5] 追加 以上