Rev.15.02.03以降のファームウェアを使用して工場出荷状態からプロバイダーを設定すると、上記のコマンドが設定されているため遠隔からTELNETでログインができなくなります。
遠隔からTELNETでログインをする場合はtelnetd hostコマンドの設定を変更してください。
「DPIを使用したアプリケーション制御機能」に対応したRev.15.02.13以降のファームウェアへリビジョンアップすると、Rev.15.02.10、またはそれ以前のファームウェアに対して工場出荷状態でのメモリー使用率が10%程度上昇します。
-
IKEv2で、Configuration Payloadに対応した。
この変更により、AndroidとiOSの端末でIKEv2を使ったリモートアクセスVPN接続が可能になる。
外部仕様書をよくご確認のうえ、ご利用ください。
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ikev2_ras/index.html
-
コマンドラインからOSPF、BGP、OSPFv3を設定したとき、以下の各コマンドの実行を促す注意喚起メッセージを表示するようにした。
- OSPF:ospf configure refreshコマンド
- BGP:bgp configure refreshコマンド
- OSPFv3:ipv6 ospf configure refreshコマンド
-
コマンドラインから以下を設定したとき、再起動を促す注意喚起メッセージを表示するようにした。
- nat descriptor backward-compatibilityコマンド
- system packet-bufferコマンド
-
IPv6の経路情報に変化があった時にログに記録するか否かを設定するコマンドを追加した。
○IPv6の経路情報に変化があった時にログに記録するか否かの設定 ★
- [書式]
- ipv6 route change log log
- no ipv6 route change log [log]
- [設定値及び初期値]
-
- log
- [設定値] :
設定値 |
説明 |
on |
IPv6経路の変化をログに記録する |
off |
IPv6経路の変化をログに記録しない |
- [初期値] : off
- [説明]
- IPv6の経路情報に変化があった時にそれをログに記録するか否かを設定する。
ログはINFOレベルで記録される。
-
IPv6の経路情報に変化があった時にメールで通知するか否かをmail notifyコマンドのオプションで設定できるようにした。
○メール通知のトリガーの設定
- [書式]
- mail notify id template_id trigger backup
if_b
[[range_b] if_b ...]
- mail notify id template_id trigger route
route
[route
...]
- mail notify id template_id trigger route6
route6 [route6
...] ★
- mail notify id template_id trigger filter
ethernet if_f dir_f [if_f
dir_f ...]
- mail notify id template_id trigger status
type
[type ...]
- mail notify id template_id trigger intrusion
if_i
[range_i] dir_i
[if_i
[range_i] dir_i ...]
- mail notify id template_id trigger qac-tm
qac_type
- mail notify id template_id trigger lan-map
- no mail notify id [...]
- [設定値及び初期値]
-
- id
- [設定値] : 設定番号(1..10)
- [初期値] : -
- template_id
- [設定値] : テンプレートID(1..10)
- [初期値] : -
- if_b : メール通知を行うバックアップ対象のインターフェース
- [設定値] :
設定値 |
説明 |
pp |
PPバックアップ |
lanN |
LANバックアップ |
tunnel |
TUNNELバックアップ |
- [初期値] : -
- range_b
-
[設定値] :
インターフェース番号および範囲指定
pp,tunnelのみ(*,xx-yy,zz etc)
- [初期値] : -
- route
-
[設定値] :
ネットマスク付きの経路
default
- [初期値] : -
- route6 ★
- [設定値] :
プレフィックス長付きの経路
default
- [初期値] : -
- if_f
- [設定値] : メール通知を行うイーサネットフィルターの設定されたLANインターフェース
- [初期値] : -
- dir_f : フィルター設定の方向
- type : メール通知で通知する情報
-
[設定値] :
設定値 |
説明 |
all |
全ての内容 |
interface |
インターフェースの情報 |
routing |
ルーティングの情報 |
vpn |
VPN の情報 |
nat |
NAT の情報 |
firewall |
ファイアウォールの情報 |
config-log |
設定情報とログ |
[初期値] : -
- if_i : 不正アクセス検知設定のインターフェース
- [設定値] :
設定値 |
説明 |
pp |
PPインターフェース |
lanN(N,M,N/M) |
LANインターフェース |
wan1 |
WANインターフェース |
tunnel |
TUNNELインターフェース |
* |
全てのインターフェース |
- [初期値] : -
- range_i
-
[設定値] :
インターフェース番号および範囲指定
lan(*,x)
pp,tunnel(*,x,xx-yy,zz etc)
- [初期値] : -
- dir_i : 不正アクセス検知設定の方向
- [設定値] :
設定値 |
説明 |
in |
受信方向 |
out |
送信方向 |
in/out |
受信/送信方向 |
- [初期値] : -
- qac_type : QAC/TM機能
-
[設定値] :
設定値 |
説明 |
server-error |
管理サーバー情報更新失敗時 |
unqualified |
不適格PC接続時 |
- [初期値] : -
- [説明]
-
メール通知の行うトリガー動作の設定を行う。バックアップ、経路変更、イーサネットフィルターのログ表示、mail notify status
execコマンド実行時、および不正アクセス検知時をトリガーとして指定できる。
バックアップおよび経路については以下で設定されたものが対象となる。
PPバックアップ |
pp backup コマンド |
LANバックアップ |
lan backup コマンド |
TUNNELバックアップ |
tunnel backup コマンド |
経路に対するバックアップ(IPv4) |
ip route コマンド |
経路に対するバックアップ(IPv6) |
ipv6 route コマンド ★ |
イーサネットフィルターについてはログ表示されるものが対象となる。
イーサネットフィルター....... pass-log,reject-logパラメーターの定義
内部状態を通知する場合は、mail notify status execコマンドを実行する必要がある。
不正アクセス検知についてはip interface intrusion
detectionコマンドの設定により検出されたものが通知対象となる。
QAC/TM機能については以下の条件が対象となる。
- 管理サーバー情報の更新に失敗したとき
- クライアントPCの接続時の認定で不適格と判定したとき
LANマップによる異常検知についてはswitch control use
interfaceコマンドが設定されたLANインターフェースが対象となる。
スナップショット機能による異常を含める場合はlan-map snapshot use interfaceコマンドを設定する必要がある。
また、一つのテンプレートIDに所属するメール通知設定はまとめて処理される。
-
IPヘッダーおよびIPv6ヘッダーのDSフィールドを書き換えるコマンドを追加した。
○IPパケットのDSフィールドの書き換えの設定
- [書式]
- ip dscp supersede id dscp
filter_num [filter_num_list]
- no ip dscp supersede id [dscp]
- [設定値及び初期値]
-
- id
- [設定値] : 識別番号 (1..65535)
- [初期値] : -
- dscp
- [設定値] :
- 書き換えるDSCP値 (0..63)
- 以下のニーモニックが利用できる
-
cs1/cs2/cs3/cs4/cs5/cs6/cs7/af11/af12/af13/af21/af22/af23/af31/af32/af33/af41/af42/af43/ef
- [初期値] : -
- filter_num
- [設定値] : 静的フィルターの番号 (1..21474836)
- [初期値] : -
- filter_num_list
- [設定値] : 静的フィルターの番号 (1..21474836) の並び
- [初期値] : -
- [説明]
- IP パケットを中継する場合に DS フィールドを指定した値に書き換える。
識別番号順にリストをチェックし、filter_num リストのフィルターを順次適用していく。そして、最初にマッチした IP フィルターが
pass、pass-log、pass-nolog、restrict、restrict-log、restrict-nolog
のいずれかであれば DS フィールドが書き換えられる。
reject、reject-log または reject-nolog である場合は書き換えずに処理を終わる。
ip tos supersede コマンドの設定と本コマンドの設定で条件が同じ場合、本コマンドの設定が優先される。
- [ノート]
- RTX830 は Rev.15.02.27以降で使用可能。
○IPv6パケットのDSフィールドの書き換えの設定
- [書式]
- ipv6 dscp supersede id dscp
filter_num [filter_num_list]
- no ipv6 dscp supersede id [dscp]
- [設定値及び初期値]
-
- id
- [設定値] : 識別番号 (1..65535)
- [初期値] : -
- dscp
- [設定値] :
- 書き換えるDSCP値 (0..63)
- 以下のニーモニックが利用できる
-
cs1/cs2/cs3/cs4/cs5/cs6/cs7/af11/af12/af13/af21/af22/af23/af31/af32/af33/af41/af42/af43/ef
-
[初期値] : -
- filter_num
- [設定値] : 静的フィルターの番号 (1..21474836)
- [初期値] : -
- filter_num_list
- [設定値] : 静的フィルターの番号 (1..21474836) の並び
- [初期値] : -
- [説明]
- IPv6 パケットを中継する場合に DS フィールドを指定した値に書き換える。
識別番号順にリストをチェックし、filter_num リストのフィルターを順次適用していく。そして、最初にマッチした IPv6 フィルターが
pass、pass-log、pass-nolog、restrict、restrict-log、restrict-nolog
のいずれかであれば DS フィールドが書き換えられる。
reject、reject-log または reject-nolog である場合は書き換えずに処理を終わる。
- [ノート]
- RTX830 は Rev.15.02.27以降で使用可能。
-
ipsec ike durationコマンドで、古くなったSAの寿命を強制的に短縮する時間を設定できるようにした。
○SAの寿命の設定
- [書式]
- ipsec ike duration sa gateway_id
second
[kbytes] [rekey rekey]
[forced-reduction=del_time] ★
- no ipsec ike duration sa gateway_id
[second
[kbytes]
[rekey rekey]
[forced-reduction=del_time]] ★
- [設定値及び初期値]
-
- sa
-
[設定値] :
設定値 |
説明 |
ipsec-sa (もしくは child-sa) |
IPsec SA (CHILD SA) |
isakmp-sa (もしくは ike-sa) |
ISAKMP SA (IKE SA) |
- [初期値] : -
- gateway_id
- [設定値] : セキュリティー・ゲートウェイの識別子
- [初期値] : -
- second
- [設定値] : 秒数(300..691200)
- [初期値] : 28800
- kbytes
- [設定値] : キロ単位のバイト数
設定値 |
説明 |
100..2147483647 |
キロ単位のバイト数 (RTX830 Rev.15.02.27以降のファームウェア) |
100..100000 |
キロ単位のバイト数 (その他のファームウェア) |
off |
設定しない |
- [初期値] :
- 2000000 (RTX830 Rev.15.02.27以降のファームウェア)
- off (その他のファームウェア)
- rekey : SAを更新するタイミング
-
[設定値] :
設定値 |
説明 |
70% - 90% |
パーセント |
off |
更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定したときのみ設定可能) |
- [初期値] : 75%
- del_time ★
- [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200)
- [初期値] : -
- [説明]
- 各 SA の寿命を設定する。
kbytes パラメーターを指定した場合には、 second
パラメーターで指定した時間が経過するか、指定したバイト数のデータを処理した後に
SA は消滅する。
kbytes パラメーターは SA パラメーターとして ipsec-sa (child-sa)
を指定したときのみ有効である。SA の更新は
kbytes パラメーターに設定したバイト数の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新されたとき古くなった既存の
IPsec SA (CHILD SA) の寿命が 30 秒以上である場合は、寿命が 30 秒に短縮される。
rekey パラメーターは SA を更新するタイミングを決定する。例えば、 second
パラメーターで 20000 を指定し、 rekey
パラメーターで75%を指定した場合には、SA を生成してから 15000 秒経過したときに新しい SA を生成する。
rekey
パラメーターは second パラメーターに対する比率を表すもので、 kbytes
パラメーターの値とは関係がない。
sa パラメーターで isakmp-sa(ike-sa) を指定したときに限り、rekey
パラメーターで 'off'
を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がない限り、ISAKMP SA (IKE SA)
の更新を保留するので、 ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。
その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。
- IKEv1
始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。
また、 ISAKMP SA に対する rekey パラメーターを off
に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。
- IPsec SAよりも ISAKMP SA の寿命を短く設定する。
- ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定を
off にする。
RTX830 または、RTX1300、vRX が始動側になる場合は、最大で 2147483647 KB
のバイト寿命値を相手側へ提案可能であるが、相手側機器が RTX830 および、RTX1300、vRX 以外の場合は 2 GB
を超えるバイト寿命値を正しく認識できないため、RTX830 および、RTX1300、vRX 以外の機種と接続する場合は必ず 2 GB
以下に設定する必要がある。
- IKEv2
IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独立して管理するものとなっている。従って、確立された
SA には、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ゲートウェイの方が SA
更新のタイミングが早ければ、 SA はその分早く更新されることになる。
forced-reduction オプションに時間を指定すると、SA を更新した際に古くなった既存の SA
の寿命を強制的に設定値に変更し、消滅までの時間を早めることができる。ただし、IPsec SA (CHILD SA) で kbytes
パラメーターにバイト寿命値を指定している場合は、del_time パラメーターで 31
秒以上の値を設定していても、短縮される値は30
秒となる。また、IKEv1 では寿命が設定値よりも短い場合は変更しない。 ★
ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合は、ISAKMP SA
(IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。
なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られる SA にのみ、新しい寿命値が適用される。
- [ノート]
- forced-reduction オプションは以下の機種およびリビジョンで使用可能。★
RTX830は Rev.15.02.27 以降。
-
bgp export filterコマンドのpreferenceオプションが比較するBGP経路の種別を変更するコマンドを追加した。
○BGPで受信した経路に対するbgp export filterのpreferenceオプションを使用した経路選択プロセスの動作を設定 ★
- [書式]
- bgp export route selection rule rule
- no bgp export route selection rule [rule]
- [設定値及び初期値]
-
- rule
-
[設定値] : ebgp-only, all
設定値 |
説明 |
ebgp-only |
eBGPで受信した同じ宛先の経路を比較対象とする。 |
all |
全てのBGPで受信した同じ宛先の経路を比較対象とする。 |
- [初期値] : ebgp-only
- [説明]
- BGP で同じ宛先の経路を複数の相手から受信した際、一方を選択するための優先度による比較対象を設定する。
本コマンドの設定により bgp export filter コマンドの preference
オプションで比較する経路の種別が変更される。
rule に ebgp-only を設定した場合、eBGP で受信した経路にのみ preference
による比較が働く。このため、iBGP
で受信した経路では、preference による比較は働かない。
rule に all を設定した場合、全ての BGP で受信した経路に preference
による比較が働く。このため、eBGP と
iBGP で受信した経路間でも、preference による比較が働く。
従来 iBGP で受信した経路は eBGP で受信した経路よりも低い優先度の経路として扱われていたが、rule に
all を指定することで
iBGP で受信した経路の優先度を eBGP で受信した経路よりも高くすることが可能になる。
また、bgp export filter コマンドの preference は Local Preference
よりも高い優先度であるため、iBGP 経路同士の場合にもより柔軟にネットワークを設計することが可能になる。
本コマンドに対応していないリビジョンでは、rule が ebgp-only のときの動作をする。
- [ノート]
-
RTpro"BGP-4
仕様[http://www.rtpro.yamaha.co.jp/RT/docs/bgp/index.html]"に掲載している
"コマンドで設定した優先度による比較" で比較する経路種別を制御することができる。
eBGP と iBGP
間で同じ宛先の経路を受信する環境下で特定の経路を優先するよう制御したい場合、本コマンドを設定することで実現できる。
RTX830 は、Rev.15.02.27 以降で使用可能。
-
ipv6 routeコマンドで、ゲートウェイにRAにて決定されるデフォルトゲートウェイの指定を追加した。
○IPv6の経路情報の追加
- [書式]
- ipv6 route network gateway gateway
[parameter]
[gateway
gateway
[parameter]]
- no ipv6 route network [gateway...]
- [設定値及び初期値]
-
- network
- [設定値]
設定値 |
説明 |
IPv6 アドレス/プレフィックス長 |
送り先のホスト |
default |
デフォルト経路 |
- [初期値] : -
- gateway : ゲートウェイ
- [設定値] :
- IP アドレス % スコープ識別子
- pp PEER_NUM [dlci=DLCI] : PP インターフェースへの経路。"dlci=dlci"
が指定された場合は、フレームリレーの DLCI への経路
- pp anonymous name=NAME
設定値 |
説明 |
name |
PAP/CHAP による名前 |
- dhcp INTERFACE
設定値 |
説明 |
INTERFACE |
DHCP にて与えられるデフォルトゲートウェイを使う場合の、DHCP クライアントとして動作する
LAN インターフェース名、ブリッジインターフェース名(送り先が Defaultの時のみ有効) |
- ra INTERFACE ★
設定値 |
説明 |
INTERFACE |
RA にて決定されるデフォルトゲートウェイを使う場合の、RAクライアントとして動作する LAN
インターフェース名、ブリッジインターフェース名(送り先がDefaultの時のみ有効) |
- tunnel TUNNEL_NUM : トンネルインターフェースへの経路
- LOOPBACK インターフェース名、NULL インターフェース名
- [初期値] : -
- parameter : 以下のパラメーターを空白で区切り複数設定可能
- [設定値]
設定値 |
説明 |
metric METRIC |
メトリックの指定
|
hide |
出力インターフェースが LAN インターフェース、または PP インターフェース、TUNNEL
インターフェースの場合のみ有効なオプションで、回線が接続されている場合だけ経路が有効になることを意味する
|
-
[初期値] : -
- [説明]
- IPv6 の経路情報を追加する。LAN
インターフェースが複数ある機種ではスコープ識別子でインターフェースを指定する必要がある。インターフェースに対応するスコープ識別子はshow
ipv6 address コマンドで表示される。
LAN インターフェースがひとつである機種に関しては、スコープ識別子が省略さ
れると LAN1 が指定されたものとして扱う。
なお LOOPBACK インターフェース、NULL インターフェースは常にアップ状態な
ので、hide オプションは指定はできるものの意味はない。
- [ノート]
-
RTX1220、RTX1210、RTX830、RTX810 では、PP インターフェースの dlci= オプションは指定できない。
gateway に ra を指定できるのは、RTX830 Rev.15.02.27 以降のファームウェアである。
★
ブリッジインターフェースは RTX810 Rev.11.01.21 以降、RTX5000 / RTX3500 Rev.14.00.12
以降のファームウェア、および、Rev.14.01 系以降のすべてのファームウェアで指定可能。
-
Web GUIのかんたん設定および詳細設定の[プロバイダー接続]-[IPv4 over IPv6
トンネルの設定]で、以下のサービスに対応した。
- transix
- v6 コネクト
- クロスパス (Xpass)
-
DPIのファストパスに対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/dpi/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
-
IPv6の処理性能を改善した。
-
以下のとき、USB、SDインターフェースの給電停止時間を10秒に変更した。
- interface resetコマンドを実行したとき(変更前3秒)
- モバイル端末との接続に問題が発生したときのモバイル端末再アタッチ処理をしたとき(変更前1秒)
-
モバイルインターネット接続機能で、モバイル端末をアタッチした際に、自局番号の取得に一定回数失敗した時、自局番号を取得せずにインターネットに接続できるようにした。
自局番号を取得しない場合、show status usbhostコマンドにて、ダミーの自局番号
"----------"が表示される。
-
モバイルインターネット接続機能で、FS040Uを使用しているときに網へ接続している状態でも電波受信レベルを取得できるようにした。
-
UX302NCおよびUX302NC-Rで、使用するLTEバンドをチューニングした。
-
USB通信端末が通信デバイスモードにならなかった場合、USB通信端末への給電をOFF、ONして再接続するようにした。
-
RAプロキシーで、RAによるプレフィックスのpreferred lifetimeが残り60秒になったとき、RSを送出するようにした。
-
show techinfoコマンドで表示される内容に、show dpi cacheコマンドの実行結果を追加した。
-
ipsec ike durationコマンドのKBYTESパラメーターを以下のように変更した。
- 最大値を100000から2147483647に変更
- 初期値なしから2000000に変更
この修正により、初期値で2GBのバイト寿命を持つため、IPsec SA (CHILD SA) が古くなった時、
forced-reductionオプションの設定がない場合でも、自動的に秒寿命が30秒に短縮される。
またバイト寿命の最大値が2,147,483,647KBの機種が始動側になる場合は、相手側機器がバイト寿命の最大値が2,147,483,647KBの機種ではないとき、バイト寿命を必ず2GB以下に設定する必要がある。
○SAの寿命の設定
- [書式]
- ipsec ike duration sa gateway_id
second
[kbytes] [rekey rekey]
[forced-reduction=del_time]
- no ipsec ike duration sa gateway_id
[second
[kbytes]
[rekey rekey]
[forced-reduction=del_time]]
- [設定値及び初期値]
-
- sa
-
[設定値] :
設定値 |
説明 |
ipsec-sa (もしくは child-sa) |
IPsec SA (CHILD SA) |
isakmp-sa (もしくは ike-sa) |
ISAKMP SA (IKE SA) |
- [初期値] : -
- gateway_id
- [設定値] : セキュリティー・ゲートウェイの識別子
- [初期値] : -
- second
- [設定値] : 秒数(300..691200)
- [初期値] : 28800
- kbytes
- [設定値] : キロ単位のバイト数
設定値 |
説明 |
100..2147483647 |
キロ単位のバイト数 (RTX830 Rev.15.02.27以降のファームウェア) ★ |
100..100000 |
キロ単位のバイト数 (その他のファームウェア) ★ |
off |
設定しない ★ |
-
[初期値] :
- 2000000 (RTX830 Rev.15.02.27以降のファームウェア) ★
- off (その他のファームウェア) ★
- rekey : SAを更新するタイミング
-
[設定値] :
設定値 |
説明 |
70% - 90% |
パーセント |
off |
更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定したときのみ設定可能) |
- [初期値] : 75%
- del_time
- [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200)
- [初期値] : -
- [説明]
- 各 SA の寿命を設定する。
kbytes パラメーターを指定した場合には、 second
パラメーターで指定した時間が経過するか、指定したバイト数のデータを処理した後に
SA は消滅する。
kbytes パラメーターは SA パラメーターとして ipsec-sa (child-sa)
を指定したときのみ有効である。SA の更新は
kbytes パラメーターに設定したバイト数の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新されたとき古くなった既存の
IPsec SA (CHILD SA) の寿命が 30 秒以上である場合は、寿命が 30 秒に短縮される。★
rekey パラメーターは SA を更新するタイミングを決定する。例えば、 second
パラメーターで 20000 を指定し、 rekey
パラメーターで75%を指定した場合には、SA を生成してから 15000 秒経過したときに新しい SA を生成する。
rekey
パラメーターは second パラメーターに対する比率を表すもので、 kbytes
パラメーターの値とは関係がない。
sa パラメーターで isakmp-sa(ike-sa) を指定したときに限り、rekey
パラメーターで 'off'
を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がない限り、ISAKMP SA (IKE SA)
の更新を保留するので、 ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。
その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。
- IKEv1
始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。
また、 ISAKMP SA に対する rekey パラメーターを off
に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。
- IPsec SAよりも ISAKMP SA の寿命を短く設定する。
- ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定を
off にする。
RTX830 または、RTX1300、vRX が始動側になる場合は、最大で 2147483647 KB
のバイト寿命値を相手側へ提案可能であるが、相手側機器が RTX830 および、RTX1300、vRX 以外の場合は 2 GB
を超えるバイト寿命値を正しく認識できないため、RTX830 および、RTX1300、vRX 以外の機種と接続する場合は必ず 2 GB
以下に設定する必要がある。 ★
- IKEv2
IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独立して管理するものとなっている。従って、確立された
SA には、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ゲートウェイの方が SA
更新のタイミングが早ければ、 SA はその分早く更新されることになる。
forced-reduction オプションに時間を指定すると、SA を更新した際に古くなった既存の SA
の寿命を強制的に設定値に変更し、消滅までの時間を早めることができる。ただし、IPsec SA (CHILD SA) で kbytes
パラメーターにバイト寿命値を指定している場合は、del_time パラメーターで 31
秒以上の値を設定していても、短縮される値は30
秒となる。また、IKEv1 では寿命が設定値よりも短い場合は変更しない。
ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合は、ISAKMP SA
(IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。
なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られる SA にのみ、新しい寿命値が適用される。
- [ノート]
- forced-reduction オプションは以下の機種およびリビジョンで使用可能。
RTX830は Rev.15.02.27 以降。
-
ipsec ike local idコマンド、およびipsec ike remote
idコマンドを設定したとき、SAの削除およびIKEの初期化を行うようにした。
-
ip flow timerコマンドで、FIN/RSTビットのセットされたTCPパケットの寿命の初期値を5秒に変更した。
○フローテーブルの各エントリの寿命を設定する
- [書式]
- ip flow timer protocol time
- no ip flow timer protocol [time]
- [設定値及び初期値]
-
- protocol : 寿命を指定するプロトコル
- [設定値] :
設定値 |
説明 |
tcp |
TCP パケット |
udp |
UDP パケット |
icmp |
ICMP パケット |
slow |
FIN/RST ビットのセットされた TCP パケット |
- [初期値] :
- tcp = 900
- udp = 30
- icmp = 30
- slow = 5 (RTX830 Rev.15.02.27 以降)★
30 (上記以外)★
- time
- [設定値] : 秒数 (1..21474836)
- [初期値] : -
- [説明]
- フローテーブルの各エントリの寿命をプロトコル毎に設定する。
FIN/RSTの通過したエントリには 'slow' が適用される。
NATや動的フィルターを使用している場合には、それらのエントリの寿命が適用される。
-
Web GUIのかんたん設定、および詳細設定の[プロバイダー接続]で、v6プラスとOCN
バーチャルコネクトの表記を一部変更した。
-
Web GUIの詳細設定の[プロバイダー接続]のヘルプで、「1.概要」の「IPv6 IPoE接続」に説明を追記した。
-
Web GUIの以下の画面で、デザインやレイアウト等を修正し、視認性や操作性を改善した。
-
Web GUIのヘルプにWLX222に関する記述を追加した。
-
Web GUIの管理の[保守]-[コマンドの実行]のヘルプページの実行できないコマンド一覧に、以下のコマンドを追記した。
- administrator passwordコマンド
- administrator password encryptedコマンド
- clear ex-licenseコマンド
- copyコマンド
- copy execコマンド
- deleteコマンド
- delete execコマンド
- execute batchコマンド
- import ex-license keyコマンド
- lessで始まるコマンド
- login passwordコマンド
- login password encryptedコマンド
- make directoryコマンド
- renameコマンド
- rtfs formatコマンド
- rtfs garbage-collectコマンド
- scpコマンド
- sshコマンド
- sshd host key generateコマンド
- '|' でgrepを連結したコマンド
- '|' でlessを連結したコマンド
-
LANインターフェースやトンネルインターフェースなどの複数のインターフェースで同時にキープアライブがダウンしたとき、リブートすることがあるバグを修正した。
-
pp selectコマンドで接続先を選択している状態、またはswitch
selectコマンドでスイッチを選択している状態のときに、tunnel
enable/disableコマンドの設定変更やloadコマンドで設定を読み込むと、トンネル接続の設定が正しく反映されなかったり、リブートすることがあるバグを修正した。
-
Web
GUIの[管理]-[保守]-[CONFIGファイルの管理]で、「CONFIGファイルのインポート」からPC上に保存されているCONFIGファイルをインポートするとリブートすることがあるバグを修正した。
-
LANマップで、端末情報が大量に蓄積された状態で新規端末を検出すると、メモリーリークが発生することがあるバグを修正した。
Rev.15.02.19以降で発生する。
-
Web
GUIで、詳細設定の[メール通知]-[登録されているメールサーバーの一覧]からメールサーバーの設定をするとメモリーリークが発生するバグを修正した。
-
YNOエージェント機能で、YNOエージェントが起動するタイミングでYNOのコマンドを変更すると、configは設定されるが、実行されないことがあるバグを修正した。
-
YNOエージェント機能で、YNOマネージャーの[SYSLOG管理]-[リアルタイム表示]でSYSLOGが表示されなくなることがあるバグを修正した。
ルーターの内部時計を過去の時間に戻したときに発生する。
-
YNOエージェント機能で、常時接続回線の状態が正しく通知されないバグを修正した。
LANバックアップのバックアップ回線に切り替わったときに発生する。
-
モバイルインターネット接続機能で接続時に電波受信レベルが圏外で発呼が中断されたとき、show
historyコマンドの通信履歴に"通信中"という履歴が表示されるバグを修正した。
-
マルチポイントトンネルで、トンネルの切断後にクライアントが再接続処理を開始しないことがあるバグを修正した。
-
DHCPv6のIRに対するReplyにReconfigure
Acceptオプションが付与されていた場合、Replyを処理しないバグを修正した。
-
OSPFとBGPで、自分側アドレスが設定されており相手側アドレスが設定されていないトンネルインターフェースをゲートウェイとする経路を広告できないバグを修正した。
-
HTTPサーバー機能で、リクエストヘッダーやエンティティーヘッダーの、ヘッダー名の大文字小文字の違いが無視されないバグを修正した。
-
OCNバーチャルコネクト
固定IP8/16契約で、以下の条件をすべて満たす場合に、MAP-Eトンネルに設定されたグローバルIPv6アドレスが更新されずIPv4通信ができなくなるバグを修正した。
- MAP-EトンネルにIPマスカレードの設定がない
- NGN網を介したリナンバリングが発生した
-
IPv6機能で、DHCPv6のIRに対するReplyを連続で受信したとき、DNSサーバー情報が取得できないバグを修正した。
-
bgp export filterコマンドで、preferenceパラメーターによる経路選択が正常に動作しないことがあるバグを修正した。
-
VPN拡張ライセンスがインポートされていない状態で以下のコマンドを実行したとき、使用できないインターフェース番号の設定が入力されるバグを修正した。
- pp enabale allコマンド
- pp disable allコマンド
- tunnel enable allコマンド
- tunnel disable allコマンド
-
LANマップで、端末情報が蓄積された状態で端末管理機能を無効にしたとき、再度
端末管理機能を有効にしたときに検出できる端末の数が減少するバグを修正した。
Rev.15.02.19以降で発生する。
-
Web
GUIの管理の[保守]-[CONFIGファイルの管理]-[CONFIGファイルのインポート]で、末尾に改行コードがないテキストファイルをインポートしたとき、最終行の設定内容が反映されないバグを修正した。
-
Web GUIのLANマップの以下のページの入力欄で、全角文字が使用できないバグを修正した。
- [機器一覧]-[端末一覧]
- [機器一覧]-[端末情報DB]
Rev.15.02.21以降で発生する。
-
Web GUIの詳細設定の[プロバイダー接続]で、IPv4 over
IPv6トンネルの設定を「使用する」から「使用しない」に変更したとき、IPv4 over IPv6トンネルの設定が削除されないバグを修正した。
-
Web GUIの以下のページで、LAN分割時にIPv4 over IPv6トンネルの設定ができてしまうバグを修正した。
- かんたん設定の[プロバイダー接続]
- 詳細設定の[プロバイダー接続]
-
Web GUIの以下のページで、「IPv6 IPoE接続」の「ひかり電話の契約」で「契約していない」を選択したとき、ngn
typeコマンドが設定されないバグを修正した。
- かんたん設定の[プロバイダー接続]
- 詳細設定の[プロバイダー接続]
-
Web GUIの以下の画面で、デザインやレイアウト等を修正し、視認性や操作性を改善した。
- 管理の[本体の設定]-[DOWNLOADボタンの設定]-[ソフトウェアライセンス利用規約]
- 管理の[保守]-[ファームウェアの更新]-[ネットワーク経由でファームウェアを更新]
- [ファームウェア更新の実行]
欠番
-
Web GUIの以下のヘルプページで、誤記を修正した。
-
コマンドヘルプの文字列中で、不当に改行されることがあるバグを修正した。
-
コマンドヘルプの誤記を修正した。
Dec. 2022, Rev.15.02.27 リリース
Jan. 2023, 機能追加[7]、仕様変更[10]追記
Apr. 2023, バグ修正[25]を仕様変更[17]に移動