http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.02/relnote_15_02_27.html Revision : 15.02.27 Release : Dec. 2022, ヤマハ株式会社 RTX830 Rev.15.02.27 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ・Rev.15.02.03以降のファームウェアへリビジョンアップを行う際には以下の点にご注 意ください Rev.15.02.03では以下の変更をしています。 「RTX830 Rev.15.02.03 リリースノート」より、 http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.02/relnote_15_02_03.html [1] 本機にアクセスするときのセキュリティーを強化した。 (8) 工場出荷状態の設定にtelnetd host lanコマンドを追加した。 Rev.15.02.03以降のファームウェアを使用して工場出荷状態からプロバイダーを設定 すると、上記のコマンドが設定されているため遠隔からTELNETでログインができなく なります。 遠隔からTELNETでログインをする場合はtelnetd hostコマンドの設定を変更してくだ さい。 ・Rev.15.02.13以降のファームウェアへリビジョンアップを行う際には以下の点にご注 意ください 「DPIを使用したアプリケーション制御機能」に対応したRev.15.02.13以降のファーム ウェアへリビジョンアップすると、Rev.15.02.10、またはそれ以前のファームウェア に対して工場出荷状態でのメモリー使用率が10%程度上昇します。 メモリーの空き容量が十分あることを確認のうえ、リビジョンアップを行うようにし てください。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○RTX830 Rev.15.02.26 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] IKEv2で、Configuration Payloadに対応した。 この変更により、AndroidとiOSの端末でIKEv2を使ったリモートアクセスVPN接続が 可能になる。 外部仕様書をよくご確認のうえ、ご利用ください。 http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ikev2_ras/index.html [2] コマンドラインからOSPF、BGP、OSPFv3を設定したとき、以下の各コマンドの実行を 促す注意喚起メッセージを表示するようにした。 - OSPF:ospf configure refreshコマンド - BGP:bgp configure refreshコマンド - OSPFv3:ipv6 ospf configure refreshコマンド [3] コマンドラインから以下を設定したとき、再起動を促す注意喚起メッセージを表示 するようにした。 - nat descriptor backward-compatibilityコマンド - system packet-bufferコマンド [4] IPv6の経路情報に変化があった時にログに記録するか否かを設定するコマンドを追 加した。 ○IPv6の経路情報に変化があった時にログに記録するか否かの設定 ★ [書式] ipv6 route change log LOG no ipv6 route change log [LOG] [設定値及び初期値] ・LOG [設定値] : on : IPv6経路の変化をログに記録する off: IPv6経路の変化をログに記録しない [初期値] : off [説明] IPv6の経路情報に変化があった時にそれをログに記録するか否かを設定する。 ログはINFOレベルで記録される。 [5] IPv6の経路情報に変化があった時にメールで通知するか否かをmail notifyコマンド のオプションで設定できるようにした。 ○メール通知のトリガーの設定 [書式] mail notify ID TEMPLATE_ID trigger backup IF_B [[RANGE_B] IF_B ...] mail notify ID TEMPLATE_ID trigger route ROUTE [ROUTE ...] mail notify ID TEMPLATE_ID trigger route6 ROUTE6 [ROUTE6 ...] ★ mail notify ID TEMPLATE_ID trigger filter ethernet IF_F DIR_F [IF_f DIR_F ...] mail notify ID TEMPLATE_ID trigger status TYPE [TYPE ...] mail notify ID TEMPLATE_ID trigger intrusion IF_I [RANGE_I] DIR_I [IF_I [RANGE_I] DIR_I ...] mail notify ID TEMPLATE_ID trigger qac-tm QAC_TYPE mail notify ID TEMPLATE_ID trigger lan-map no mail notify ID [...] [設定値及び初期値] ・ID [設定値] : 設定番号(1..10) [初期値] : - ・TEMPLATE_ID [設定値] : テンプレートID(1..10) [初期値] : - ・IF_B : メール通知を行うバックアップ対象のインターフェース [設定値] : ---------------------------- 設定値 説明 ---------------------------- pp PPバックアップ lanN LANバックアップ tunnel TUNNELバックアップ ---------------------------- [初期値] : - ・RANGE_B [設定値] : インターフェース番号および範囲指定 pp,tunnelのみ(*,xx-yy,zz etc) [初期値] : - ・ROUTE [設定値] : ネットマスク付きの経路 default [初期値] : - ・ROUTE6 ★ [設定値] : プレフィックス長付きの経路 default [初期値] : - ・IF_F [設定値] : メール通知を行うイーサネットフィルターの設定されたLANイン ターフェース [初期値] : - ・DIR_F : フィルター設定の方向 [設定値] : ------------------ 設定値 説明 ------------------ in 受信方向 out 送信方向 ------------------ [初期値] : - ・TYPE : メール通知で通知する情報 [設定値] : -------------------------------------- 設定値 説明 -------------------------------------- all 全ての内容 interface インターフェースの情報 routing ルーティングの情報 vpn VPN の情報 nat NAT の情報 firewall ファイアウォールの情報 config-log 設定情報とログ -------------------------------------- [初期値] : - ・IF_I : 不正アクセス検知設定のインターフェース [設定値] : -------------------------------------- 設定値 説明 -------------------------------------- pp PPインターフェース lanN(N,M,N/M) LANインターフェース wan1 WANインターフェース tunnel TUNNELインターフェース * 全てのインターフェース -------------------------------------- [初期値] : - ・RANGE_I [設定値] : インターフェース番号および範囲指定 lan(*,x) pp,tunnel(*,x,xx-yy,zz etc) [初期値] : - ・DIR_I : 不正アクセス検知設定の方向 [設定値] : ---------------------------- 設定値 説明 ---------------------------- in 受信方向 out 送信方向 in/out 受信/送信方向 ---------------------------- [初期値] : - ・QAC_TYPE : QAC/TM機能 [設定値] : ------------------------------------------------ 設定値 説明 ------------------------------------------------ server-error 管理サーバー情報更新失敗時 unqualified 不適格PC接続時 ------------------------------------------------ [初期値] : - [説明] メール通知の行うトリガー動作の設定を行う。バックアップ、経路変更、イーサ ネットフィルターのログ表示、mail notify status execコマンド実行時、およ び不正アクセス検知時をトリガーとして指定できる。 バックアップおよび経路については以下で設定されたものが対象となる。 -------------------------------+------------------------------ PPバックアップ | pp backup コマンド LANバックアップ | lan backup コマンド TUNNELバックアップ | tunnel backup コマンド 経路に対するバックアップ(IPv4) | ip route コマンド 経路に対するバックアップ(IPv6) | ipv6 route コマンド ★ -------------------------------+------------------------------ イーサネットフィルターについてはログ表示されるものが対象となる。 イーサネットフィルター....... pass-log,reject-logパラメーターの定義 内部状態を通知する場合は、mail notify status execコマンドを実行する必要 がある。 不正アクセス検知についてはip interface intrusion detectionコマンドの設定 により検出されたものが通知対象となる。 QAC/TM機能については以下の条件が対象となる。 ・管理サーバー情報の更新に失敗したとき ・クライアントPCの接続時の認定で不適格と判定したとき LANマップによる異常検知についてはswitch control use interfaceコマンドが 設定されたLANインターフェースが対象となる。 スナップショット機能による異常を含める場合は lan-map snapshot use interfaceコマンドを設定する必要がある。 また、一つのテンプレートIDに所属するメール通知設定はまとめて処理される。 [6] IPヘッダーおよびIPv6ヘッダーのDSフィールドを書き換えるコマンドを追加した。 ○IPパケットのDSフィールドの書き換えの設定 [書式] ip dscp supersede ID DSCP FILTER_NUM [FILTER_NUM_LIST] no ip dscp supersede ID [DSCP] [設定値及び初期値] ・ID [設定値] : 識別番号 (1..65535) [初期値] : - ・DSCP [設定値] : ・書き換えるDSCP値 (0..63) ・以下のニーモニックが利用できる ・cs1/cs2/cs3/cs4/cs5/cs6/cs7/af11/af12/af13/af21/af22/af23/ af31/af32/af33/af41/af42/af43/ef [初期値] : - ・FILTER_NUM [設定値] : 静的フィルターの番号 (1..21474836) [初期値] : - ・FILTER_NUM_LIST [設定値] : 静的フィルターの番号 (1..21474836) の並び [初期値] : - [説明] IP パケットを中継する場合に DS フィールドを指定した値に書き換える。 識別番号順にリストをチェックし、filter_num リストのフィルターを順次適用 していく。そして、最初にマッチした IP フィルターが pass、pass-log、 pass-nolog、restrict、restrict-log、restrict-nolog のいずれかであれば DS フィールドが書き換えられる。 reject、reject-log または reject-nolog である場合は書き換えずに処理を終 わる。 ip tos supersede コマンドの設定と本コマンドの設定で条件が同じ場合、 本コマンドの設定が優先される。 [ノート] RTX830 は Rev.15.02.27以降で使用可能。 ○IPv6パケットのDSフィールドの書き換えの設定 [書式] ipv6 dscp supersede ID DSCP FILTER_NUM [FILTER_NUM_LIST] no ipv6 dscp supersede ID [DSCP] [設定値及び初期値] ・ID [設定値] : 識別番号 (1..65535) [初期値] : - ・DSCP [設定値] : ・書き換えるDSCP値 (0..63) ・以下のニーモニックが利用できる ・cs1/cs2/cs3/cs4/cs5/cs6/cs7/af11/af12/af13/af21/af22/af23/ af31/af32/af33/af41/af42/af43/ef [初期値] : - ・FILTER_NUM [設定値] : 静的フィルターの番号 (1..21474836) [初期値] : - ・FILTER_NUM_LIST [設定値] : 静的フィルターの番号 (1..21474836) の並び [初期値] : - [説明] IPv6 パケットを中継する場合に DS フィールドを指定した値に書き換える。 識別番号順にリストをチェックし、filter_num リストのフィルターを順次適用 していく。そして、最初にマッチした IPv6 フィルターが pass、pass-log、 pass-nolog、restrict、restrict-log、restrict-nolog のいずれかであれば DS フィールドが書き換えられる。 reject、reject-log または reject-nolog である場合は書き換えずに処理を終 わる。 [ノート] RTX830 は Rev.15.02.27以降で使用可能。 [7] ipsec ike durationコマンドで、古くなったSAの寿命を強制的に短縮する時間を設 定できるようにした。 ○SAの寿命の設定 [書式] ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME] ★ no ipsec ike duration SA GATEWAY_ID [SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME]] ★ [設定値及び初期値] ・SA [設定値] : --------------------------------------------------- 設定値 説明 --------------------------------------------------- ipsec-sa (もしくは child-sa) IPsec SA (CHILD SA) isakmp-sa (もしくは ike-sa) ISAKMP SA (IKE SA) --------------------------------------------------- [初期値] : - ・GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - ・SECOND [設定値] : 秒数(300..691200) [初期値] : 28800 ・KBYTES [設定値] : キロ単位のバイト数 ------------------------------------------------------------------- 設定値 説明 ------------------------------------------------------------------- 100..2147483647 キロ単位のバイト数 (RTX830 Rev.15.02.27以降のファー ムウェア) 100..100000 キロ単位のバイト数 (その他のファームウェア) off 設定しない ------------------------------------------------------------------- [初期値] : - 2000000 (RTX830 Rev.15.02.27以降のファームウェア) - off (その他のファームウェア) ・REKEY : SAを更新するタイミング [設定値] : ------------------------------------------------------------------- 設定値 説明 ------------------------------------------------------------------- 70% - 90% パーセント off 更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定した ときのみ設定可能) ------------------------------------------------------------------- [初期値] : 75% ・DEL_TIME ★ [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200) [初期値] : - [説明] 各 SA の寿命を設定する。 KBYTES パラメーターを指定した場合には、 SECOND パラメーターで指定した時 間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。 KBYTES パラメーターは SA パラメーターとして ipsec-sa (child-sa) を指定し たときのみ有効である。SA の更新は KBYTES パラメーターに設定したバイト数 の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新さ れたとき古くなった既存の IPsec SA (CHILD SA) の寿命が 30 秒以上である場 合は、寿命が 30 秒に短縮される。 REKEY パラメーターは SA を更新するタイミングを決定する。例えば、 SECOND パラメーターで 20000 を指定し、 REKEY パラメーターで75%を指定した場合に は、SA を生成してから 15000 秒経過したときに新しい SA を生成する。 REKEY パラメーターは SECOND パラメーターに対する比率を表すもので、 KBYTES パラ メーターの値とは関係がない。 SA パラメーターで isakmp-sa(ike-sa) を指定したときに限り、REKEY パラメー ターで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がな い限り、ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の 生成を最小限に抑えることができる。 その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点 については以下の通り。 ・IKEv1 始動側として働く場合に、このコマンドで設定した寿命値が提案される。応 答側として働く場合は、このコマンドの設定に関係なく相手側から提案され た寿命値に合わせる。 また、 ISAKMP SA に対する REKEY パラメーターを off に設定した場合、 その効果を得るためには、次の2点に注意して設定する必要がある。 1. IPsec SAよりも ISAKMP SA の寿命を短く設定する。 2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定を off にする。 RTX830 または、RTX1300、vRX が始動側になる場合は、最大で 2147483647 KB のバイト寿命値を相手側へ提案可能であるが、相手側機器 が RTX830 および、RTX1300、vRX 以外の場合は 2 GB を超えるバイト寿 命値を正しく認識できないため、RTX830 および、RTX1300、vRX 以外の機 種と接続する場合は必ず 2 GB 以下に設定する必要がある。 ・IKEv2 IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独 立して管理するものとなっている。従って、確立された SA には、常にこの コマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ ゲートウェイの方が SA 更新のタイミングが早ければ、 SA はその分早く更 新されることになる。 forced-reduction オプションに時間を指定すると、SA を更新した際に古くなっ た既存の SA の寿命を強制的に設定値に変更し、消滅までの時間を早めることが できる。ただし、IPsec SA (CHILD SA) で KBYTES パラメーターにバイト寿命値 を指定している場合は、DEL_TIME パラメーターで 31 秒以上の値を設定してい ても、短縮される値は30 秒となる。また、IKEv1 では寿命が設定値よりも短い 場合は変更しない。 ★ ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合 は、ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。 なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新し く作られる SA にのみ、新しい寿命値が適用される。 [ノート] forced-reduction オプションは以下の機種およびリビジョンで使用可能。★ RTX830は Rev.15.02.27 以降。 [8] bgp export filterコマンドのpreferenceオプションが比較するBGP経路の種別を変 更するコマンドを追加した。 ○BGPで受信した経路に対するbgp export filterのpreferenceオプションを使用した 経路選択プロセスの動作を設定 ★ [書式] bgp export route selection rule RULE no bgp export route selection rule [RULE] [設定値及び初期値] ・RULE [設定値] : ebgp-only, all --------------------------------------------------- 設定値 説明 --------------------------------------------------- ebgp-only eBGPで受信した同じ宛先の経路を比較 対象とする。 all 全てのBGPで受信した同じ宛先の経路を 比較対象とする。 --------------------------------------------------- [初期値] : ebgp-only [説明] BGP で同じ宛先の経路を複数の相手から受信した際、一方を選択するための優先 度による比較対象を設定する。 本コマンドの設定により bgp export filter コマンドの preference オプション で比較する経路の種別が変更される。 RULE に ebgp-only を設定した場合、eBGP で受信した経路にのみ preference による比較が働く。このため、iBGP で受信した経路では、preference による比 較は働かない。 RULE に all を設定した場合、全ての BGP で受信した経路に preference によ る比較が働く。このため、eBGP と iBGP で受信した経路間でも、preference に よる比較が働く。 従来 iBGP で受信した経路は eBGP で受信した経路よりも低い優先度の経路とし て扱われていたが、RULE に all を指定することで iBGP で受信した経路の優先 度を eBGP で受信した経路よりも高くすることが可能になる。 また、bgp export filter コマンドの preference は Local Preference よりも 高い優先度であるため、iBGP 経路同士の場合にもより柔軟にネットワークを設 計することが可能になる。 本コマンドに対応していないリビジョンでは、RULE が ebgp-only のときの動作 をする。 [ノート] RTpro"BGP-4 仕様[http://www.rtpro.yamaha.co.jp/RT/docs/bgp/index.html]" に掲載している "コマンドで設定した優先度による比較" で比較する経路種別を 制御することができる。 eBGP と iBGP 間で同じ宛先の経路を受信する環境下で特定の経路を優先するよ う制御したい場合、本コマンドを設定することで実現できる。 RTX830 は、Rev.15.02.27 以降で使用可能。 [9] ipv6 routeコマンドで、ゲートウェイにRAにて決定されるデフォルトゲートウェイ の指定を追加した。 ○IPv6の経路情報の追加 [書式] ipv6 route NETWORK gateway GATEWAY [PARAMETER] [gateway GATEWAY [PARAMETER]] no ipv6 route NETWORK [gateway...] [設定値及び初期値] ・NETWORK [設定値] ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- IPv6 アドレス/プレフィックス長 送り先のホスト default デフォルト経路 [初期値] : - ・GATEWAY : ゲートウェイ [設定値] : ・IP アドレス % スコープ識別子 ・pp PEER_NUM [dlci=DLCI] : PP インターフェースへの経路。 "dlci=dlci" が指定された場合は、フレー ムリレーの DLCI への経路 ・PEER_NUM ・相手先情報番号 ・anonymous ・pp anonymous name=NAME ------------------------------------------------------------- 設定値 説明 ------------------------------------------------------------- name PAP/CHAP による名前 ・dhcp INTERFACE ------------------------------------------------------------- 設定値 説明 ------------------------------------------------------------- INTERFACE DHCP にて与えられるデフォルトゲートウェイを使う場 合の、DHCP クライアントとして動作する LAN インター フェース名、ブリッジインターフェース名(送り先が Defaultの時のみ有効) ・ra INTERFACE ★ ------------------------------------------------------------- 設定値 説明 ------------------------------------------------------------- INTERFACE RA にて決定されるデフォルトゲートウェイを使う場合 の、RAクライアントとして動作する LAN インターフェー ス名、ブリッジインターフェース名(送り先がDefaultの 時のみ有効) ・tunnel TUNNEL_NUM : トンネルインターフェースへの経路 ・LOOPBACK インターフェース名、NULL インターフェース名 [初期値] : - ・PARAMETER : 以下のパラメーターを空白で区切り複数設定可能 [設定値] ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- metric メトリックの指定 METRIC ・METRIC ・メトリック値 (1..15) ・省略時は 1 hide 出力インターフェースが LAN インターフェース、または PP イン ターフェース、TUNNEL インターフェースの場合のみ有効なオプショ ンで、回線が接続されている場合だけ経路が有効になることを意 味する [初期値] : - [説明] IPv6 の経路情報を追加する。LAN インターフェースが複数ある機種ではスコー プ識別子でインターフェースを指定する必要がある。インターフェースに対応す るスコープ識別子はshow ipv6 address コマンドで表示される。 LAN インターフェースがひとつである機種に関しては、スコープ識別子が省略さ れると LAN1 が指定されたものとして扱う。 なお LOOPBACK インターフェース、NULL インターフェースは常にアップ状態な ので、hide オプションは指定はできるものの意味はない。 [ノート] RTX1220、RTX1210、RTX830、RTX810 では、PP インターフェー スの dlci= オプションは指定できない。 GATEWAY に ra を指定できるのは、RTX830 Rev.15.02.27 以降のファームウェア である。 ★ ブリッジインターフェースは RTX810 Rev.11.01.21 以降、RTX5000 / RTX3500 Rev.14.00.12 以降のファームウェア、および、Rev.14.01 系以降のすべてのファー ムウェアで指定可能。 [10] Web GUIのかんたん設定および詳細設定の[プロバイダー接続]-[IPv4 over IPv6 ト ンネルの設定]で、以下のサービスに対応した。 - transix - v6 コネクト - クロスパス (Xpass) ■仕様変更 [1] DPIのファストパスに対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/dpi/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [2] IPv6の処理性能を改善した。 [3] 以下のとき、USB、SDインターフェースの給電停止時間を10秒に変更した。 - interface resetコマンドを実行したとき(変更前3秒) - モバイル端末との接続に問題が発生したときのモバイル端末再アタッチ処理をし たとき(変更前1秒) [4] モバイルインターネット接続機能で、モバイル端末をアタッチした際に、自局番号 の取得に一定回数失敗した時、自局番号を取得せずにインターネットに接続できる ようにした。 自局番号を取得しない場合、show status usbhostコマンドにて、ダミーの自局番号 "----------"が表示される。 [5] モバイルインターネット接続機能で、FS040Uを使用しているときに網へ接続してい る状態でも電波受信レベルを取得できるようにした。 [6] UX302NCおよびUX302NC-Rで、使用するLTEバンドをチューニングした。 [7] USB通信端末が通信デバイスモードにならなかった場合、USB通信端末への給電をOFF、 ONして再接続するようにした。 [8] RAプロキシーで、RAによるプレフィックスのpreferred lifetimeが残り60秒になっ たとき、RSを送出するようにした。 [9] show techinfoコマンドで表示される内容に、show dpi cacheコマンドの実行結果を 追加した。 [10] ipsec ike durationコマンドのKBYTESパラメーターを以下のように変更した。 - 最大値を100000から2147483647に変更 - 初期値なしから2000000に変更 この修正により、初期値で2GBのバイト寿命を持つため、IPsec SA (CHILD SA)が古 くなった時、forced-reductionオプションの設定がない場合でも、自動的に秒寿命 が30秒に短縮される。 またバイト寿命の最大値が2,147,483,647KBの機種が始動側になる場合は、相手側 機器がバイト寿命の最大値が2,147,483,647KBの機種ではないとき、バイト寿命を 必ず2GB以下に設定する必要がある。 ○SAの寿命の設定 [書式] ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME] no ipsec ike duration SA GATEWAY_ID [SECOND [KBYTES] [rekey REKEY] [forced-reduction=DEL_TIME]] [設定値及び初期値] ・SA [設定値] : --------------------------------------------------- 設定値 説明 --------------------------------------------------- ipsec-sa (もしくは child-sa) IPsec SA (CHILD SA) isakmp-sa (もしくは ike-sa) ISAKMP SA (IKE SA) --------------------------------------------------- [初期値] : - ・GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - ・SECOND [設定値] : 秒数(300..691200) [初期値] : 28800 ・KBYTES [設定値] : キロ単位のバイト数 ------------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------------ 100..2147483647 キロ単位のバイト数 (RTX830 Rev.15.02.27以降のファー ムウェア) ★ 100..100000 キロ単位のバイト数 (その他のファームウェア) ★ off 設定しない ★ ------------------------------------------------------------------ [初期値] : - 2000000 (RTX830 Rev.15.02.27以降のファームウェア) ★ - off (その他のファームウェア) ★ ・REKEY : SAを更新するタイミング ------------------------------------------------------------------ 設定値 説明 ------------------------------------------------------------------ 70% - 90% パーセント off 更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定し たときのみ設定可能) ------------------------------------------------------------------ [初期値] : 75% ・DEL_TIME [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200) [初期値] : - [説明] 各 SA の寿命を設定する。 KBYTES パラメーターを指定した場合には、 SECOND パラメーターで指定した時 間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。 KBYTES パラメーターは SA パラメーターとして ipsec-sa (child-sa) を指定 したときのみ有効である。SA の更新は KBYTES パラメーターに設定したバイト 数の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新 されたとき古くなった既存の IPsec SA (CHILD SA) の寿命が 30 秒以上である 場合は、寿命が 30 秒に短縮される。★ REKEY パラメーターは SA を更新するタイミングを決定する。例えば、 SECOND パラメーターで 20000 を指定し、 REKEY パラメーターで75%を指定した場合に は、SA を生成してから 15000 秒経過したときに新しい SA を生成する。 REKEY パラメーターは SECOND パラメーターに対する比率を表すもので、 KBYTES パ ラメーターの値とは関係がない。 SA パラメーターで isakmp-sa(ike-sa) を指定したときに限り、REKEY パラメー ターで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要が ない限り、ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。 その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点 については以下の通り。 ・IKEv1 始動側として働く場合に、このコマンドで設定した寿命値が提案される。 応答側として働く場合は、このコマンドの設定に関係なく相手側から提案 された寿命値に合わせる。 また、 ISAKMP SA に対する REKEY パラメーターを off に設定した場合、 その効果を得るためには、次の2点に注意して設定する必要がある。 1. IPsec SAよりも ISAKMP SA の寿命を短く設定する。 2. ダングリングSAを許可する。すなわち、 ipsec ike restrict-dangling-sa コマンドの設定を off にする。 RTX830 または、RTX1300、vRX が始動側になる場合は、最大で 2147483647 KB のバイト寿命値を相手側へ提案可能であるが、相手側機器 が RTX 830および、RTX1300、vRX 以外の場合は 2 GB を超えるバイト寿 命値を正しく認識できないため、RTX830 および、RTX1300、vRX 以外の機 種と接続する場合は必ず 2 GB 以下に設定する必要がある。 ★ ・IKEv2 IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが 独立して管理するものとなっている。従って、確立された SA には、常に このコマンドで設定した寿命値がセットされる。ただし、相手側セキュリ ティー・ゲートウェイの方が SA 更新のタイミングが早ければ、 SA はそ の分早く更新されることになる。 forced-reduction オプションに時間を指定すると、SA を更新した際に古くなっ た既存の SA の寿命を強制的に設定値に変更し、消滅までの時間を早めること ができる。ただし、IPsec SA (CHILD SA) で KBYTES パラメーターにバイト寿 命値を指定している場合は、DEL_TIME パラメーターで 31 秒以上の値を設定し ていても、短縮される値は 30 秒となる。また、IKEv1 では寿命が設定値より も短い場合は変更しない。 ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場 合は、 ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わ せる。 なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新 しく作られる SA にのみ、新しい寿命値が適用される。 [ノート] forced-reduction オプションは以下の機種およびリビジョンで使用可能。 RTX830は Rev.15.02.27 以降。 [11] ipsec ike local idコマンド、およびipsec ike remote idコマンドを設定したと き、SAの削除およびIKEの初期化を行うようにした。 [12] ip flow timerコマンドで、FIN/RSTビットのセットされたTCPパケットの寿命の初 期値を5秒に変更した。 ○フローテーブルの各エントリの寿命を設定する [書式] ip flow timer PROTOCOL TIME no ip flow timer PROTOCOL [TIME] [設定値及び初期値] ・PROTOCOL : 寿命を指定するプロトコル [設定値] : --------------------------------------------------- 設定値 説明 --------------------------------------------------- tcp TCP パケット udp UDP パケット icmp ICMP パケット slow FIN/RST ビットのセットされた TCP パケット --------------------------------------------------- [初期値] : tcp = 900 udp = 30 icmp = 30 slow = 5 (RTX830 Rev.15.02.27 以降)★ 30 (上記以外)★ ・TIME [設定値] : 秒数 (1..21474836) [初期値] : - [説明] フローテーブルの各エントリの寿命をプロトコル毎に設定する。 FIN/RSTの通過したエントリには 'slow' が適用される。 NATや動的フィルターを使用している場合には、それらのエントリの寿命が適用 される。 [13] Web GUIのかんたん設定、および詳細設定の[プロバイダー接続]で、v6プラスとOCN バーチャルコネクトの表記を一部変更した。 [14] Web GUIの詳細設定の[プロバイダー接続]のヘルプで、「1.概要」の「IPv6 IPoE接 続」に説明を追記した。 [15] Web GUIの以下の画面で、デザインやレイアウト等を修正し、視認性や操作性を改 善した。 - LANマップ [16] Web GUIのヘルプにWLX222に関する記述を追加した。 [17] Web GUIの管理の[保守]-[コマンドの実行]のヘルプページの実行できないコマンド 一覧に、以下のコマンドを追記した。 - administrator passwordコマンド - administrator password encryptedコマンド - clear ex-licenseコマンド - copyコマンド - copy execコマンド - deleteコマンド - delete execコマンド - execute batchコマンド - import ex-license keyコマンド - lessで始まるコマンド - login passwordコマンド - login password encryptedコマンド - make directoryコマンド - renameコマンド - rtfs formatコマンド - rtfs garbage-collectコマンド - scpコマンド - sshコマンド - sshd host key generateコマンド - '|' でgrepを連結したコマンド - '|' でlessを連結したコマンド ■バグ修正 [1] LANインターフェースやトンネルインターフェースなどの複数のインターフェースで 同時にキープアライブがダウンしたとき、リブートすることがあるバグを修正した。 [2] pp selectコマンドで接続先を選択している状態、またはswitch selectコマンドで スイッチを選択している状態のときに、tunnel enable/disableコマンドの設定変更 やloadコマンドで設定を読み込むと、トンネル接続の設定が正しく反映されなかっ たり、リブートすることがあるバグを修正した。 [3] Web GUIの[管理]-[保守]-[CONFIGファイルの管理]で、「CONFIGファイルのインポー ト」からPC上に保存されているCONFIGファイルをインポートするとリブートするこ とがあるバグを修正した。 [4] LANマップで、端末情報が大量に蓄積された状態で新規端末を検出すると、メモリー リークが発生することがあるバグを修正した。 Rev.15.02.19以降で発生する。 [5] Web GUIで、詳細設定の[メール通知]-[登録されているメールサーバーの一覧]から メールサーバーの設定をするとメモリーリークが発生するバグを修正した。 [6] YNOエージェント機能で、YNOエージェントが起動するタイミングでYNOのコマンドを 変更すると、configは設定されるが、実行されないことがあるバグを修正した。 [7] YNOエージェント機能で、YNOマネージャーの[SYSLOG管理]-[リアルタイム表示]で SYSLOGが表示されなくなることがあるバグを修正した。 ルーターの内部時計を過去の時間に戻したときに発生する。 [8] YNOエージェント機能で、常時接続回線の状態が正しく通知されないバグを修正した。 LANバックアップのバックアップ回線に切り替わったときに発生する。 [9] モバイルインターネット接続機能で接続時に電波受信レベルが圏外で発呼が中断さ れたとき、show historyコマンドの通信履歴に"通信中"という履歴が表示されるバ グを修正した。 [10] マルチポイントトンネルで、トンネルの切断後にクライアントが再接続処理を開始 しないことがあるバグを修正した。 [11] DHCPv6のIRに対するReplyにReconfigure Acceptオプションが付与されていた場合、 Replyを処理しないバグを修正した。 [12] OSPFとBGPで、自分側アドレスが設定されており相手側アドレスが設定されていな いトンネルインターフェースをゲートウェイとする経路を広告できないバグを修正 した。 [13] HTTPサーバー機能で、リクエストヘッダーやエンティティーヘッダーの、ヘッダー 名の大文字小文字の違いが無視されないバグを修正した。 [14] OCNバーチャルコネクト 固定IP8/16契約で、以下の条件をすべて満たす場合に、 MAP-Eトンネルに設定されたグローバルIPv6アドレスが更新されずIPv4通信ができ なくなるバグを修正した。 - MAP-EトンネルにIPマスカレードの設定がない - NGN網を介したリナンバリングが発生した [15] IPv6機能で、DHCPv6のIRに対するReplyを連続で受信したとき、DNSサーバー情報が 取得できないバグを修正した。 [16] bgp export filterコマンドで、preferenceパラメーターによる経路選択が正常に 動作しないことがあるバグを修正した。 [17] VPN拡張ライセンスがインポートされていない状態で以下のコマンドを実行したと き、使用できないインターフェース番号の設定が入力されるバグを修正した。 - pp enabale allコマンド - pp disable allコマンド - tunnel enable allコマンド - tunnel disable allコマンド [18] LANマップで、端末情報が蓄積された状態で端末管理機能を無効にしたとき、再度 端末管理機能を有効にしたときに検出できる端末の数が減少するバグを修正した。 Rev.15.02.19以降で発生する。 [19] Web GUIの管理の[保守]-[CONFIGファイルの管理]-[CONFIGファイルのインポート] で、末尾に改行コードがないテキストファイルをインポートしたとき、最終行の設 定内容が反映されないバグを修正した。 [20] Web GUIのLANマップの以下のページの入力欄で、全角文字が使用できないバグを修 正した。 - [機器一覧]-[端末一覧] - [機器一覧]-[端末情報DB] Rev.15.02.21以降で発生する。 [21] Web GUIの詳細設定の[プロバイダー接続]で、IPv4 over IPv6トンネルの設定を 「使用する」から「使用しない」に変更したとき、IPv4 over IPv6トンネルの設定 が削除されないバグを修正した。 [22] Web GUIの以下のページで、LAN分割時にIPv4 over IPv6トンネルの設定ができてし まうバグを修正した。 - かんたん設定の[プロバイダー接続] - 詳細設定の[プロバイダー接続] [23] Web GUIの以下のページで、「IPv6 IPoE接続」の「ひかり電話の契約」で「契約し ていない」を選択したとき、ngn typeコマンドが設定されないバグを修正した。 - かんたん設定の[プロバイダー接続] - 詳細設定の[プロバイダー接続] [24] Web GUIの以下の画面で、デザインやレイアウト等を修正し、視認性や操作性を改 善した。 - 管理の[本体の設定]-[DOWNLOADボタンの設定]-[ソフトウェアライセンス利用規 約] - 管理の[保守]-[ファームウェアの更新]-[ネットワーク経由でファームウェアを 更新] - [ファームウェア更新の実行] [25] 欠番 [26] Web GUIの以下のヘルプページで、誤記を修正した。 - [かんたん設定]-[プロバイダー接続] [27] コマンドヘルプの文字列中で、不当に改行されることがあるバグを修正した。 [28] コマンドヘルプの誤記を修正した。 -------------------------------------------------------------------------------- ■更新履歴 Dec. 2022, Rev.15.02.27 リリース Jan. 2023, 機能追加[7]、仕様変更[10]追記 Apr. 2023, バグ修正[25]を仕様変更[17]に移動 以上