ftp://ftp.rtpro.yamaha.co.jp/pub/rt/relnote/Rev.04.00/relnote_04_00_18.txt Revision : 04.00.18 Release : Jul 1999, ヤマハ株式会社 RT200i/RT140[iefp]/RT103i Rev.4.00.18 リリースノート ========================================================================== ○ 注意 ========================================================================== セキュリティ・ゲートウェイ機能には、注意すべき仕様変更がある。この仕様 変更は、コマンドと相互接続性に影響を与える。コマンドについては、新規の コマンドが追加されて、幾つかのコマンドの仕様が変更されている。相互接続 性については、従来のリビジョンとの接続性を維持するために、新規のコマン ドを設定する必要がある。これらの詳細は仕様変更[1]に記載される。 ========================================================================== ○ Rev.4.00.14からの変更点 ========================================================================== ■機能追加 [1] RT103iとRT140[iefp]で、PIAFSの32kbit/s通信モードと64kbit/s通信モードに 対応した。YMS15PによるPRIの回線交換モードでも、同様に利用できる。なお、 本機能はβ版としてリリースされる。 ○isdn piafs callコマンドの仕様変更 [入力形式] isdn piafs call {off|32k|64k} [パラメータ] SW off ... 利用しない 32k ... 発信をPIAFS 32kbit/s通信モードとする 64k ... 発信をPIAFS 64kbit/s通信モードとする [説明] PIAFSの通信モードを設定する。パラメータがoffに設定されているとき には、PIAFSではなく同期PPPで発信する。着信については、通信モード が自動的に識別される。 [ノート] PIAFS 64kでは特別なサブアドレスが用いられるため、サブアドレスを用 いることはできない。ユーザが設定したサブアドレスは無視される。 [デフォルト値] off [2] DNSに関して2つの機能を追加した。 ○DNS問い合わせの内容に応じたDNSサーバの選択 [入力形式] dns server select ID SERVER [TYPE] QUERY [ORIGINAL-SENDER] dns server select ID pp PP_NUM [TYPE] QUERY [ORIGINAL-SENDER] dns server select delete ID [パラメータ] ID ... DNSサーバ選択テーブルの番号 SERVER ... DNSサーバのIPアドレス PP_NUM ... IPCPにより接続相手から通知されるDNSサーバを使う場合の接 続相手先番号 TYPE ... DNSレコードタイプ a、ptr、mx、ns、cnameを取る。省略したときは'a'となる QUERY ... DNS問い合わせの内容 - TYPEがa、mx、ns、cnameの場合 QUERYはドメイン名を表す文字列であり、後方一致とする。例え ば、"yamaha.co.jp"であれば、comm.yamaha.co.jp、 rtpro.yamaha.co.jpなどにマッチする。 - TYPEがptrの場合 QUERYはIPアドレス(IP_ADDRESS[/MASKLEN])であり、MASKLENを 省略したときはIPアドレスにのみマッチし、MASKLENを指定した ときはネットワークアドレスに含まれるすべてのIPアドレスに マッチする。DNS問い合わせに含まれる.in-addr.arpaドメイン で記述されたFQDNは、IPアドレスへ変換された後に比較される。 ORIGINAL-SENDER ... DNS問い合わせの送信元のIPアドレスの範囲 [説明] DNS問い合わせの解決を依頼するDNSサーバとして、DNS問い合わせの内容 およびDNS問い合わせの送信元とDNSサーバとの組合せを複数登録しておき、 DNS問い合わせに応じてその組合せから適切なDNSサーバを選択できるよう にする。テーブルは若番から検索され、DNS問い合わせの内容にQUERYがマ ッチしたらそのDNSサーバを用いてDNS問い合わせを解決しようとする。一 度マッチしたら、それ以降のテーブルは検索しない。すべてのテーブルを 検索してマッチするものがないときは、dns serverコマンドで指定された DNSサーバを用いる。 ○静的DNSレコードの登録 ルータに静的にDNSレコードを登録し、それに対する問い合わせには上位のDNS サーバに問い合わせないで、ルータ自身が返事を返すようにする。 [入力形式] ip host FQDN VALUE ip host delete FQDN dns static TYPE NAME VALUE dns static delete TYPE NAME [パラメータ] TYPE ... 名前のタイプ a、ptr、mx、ns、cname NAME、VALUE ... DNSテーブルの中身、タイプによって以下のように意味 が異なる - a NAMEはFQDN、VALUEはIPアドレス - ptr NAMEはIPアドレス、VALUEはFQDN - mx/ns/cname NAME、VALUEともにFQDN [説明] 静的なDNSレコードを定義する。ip hostコマンドは、dns staticコマンド でaとptrを両方設定することを簡略化したものである。 [ノート] 問い合わせに対して返されるDNSレコードは以下のような特徴を持つ。 - TTLフィールドには1がセットされる - Answerセクションに回答となるDNSレコードが1つセットされるだけで、 Authority/AdditionalセクションにはDNSレコードがセットされない - MXレコードのpreferenceフィールドは0にセットされる ○静的DNSレコードの表示 [コマンド形式] show ip host show dns static [パラメータ] なし [説明] 静的なDNSレコードを表示する。 ■仕様変更 [1] セキュリティ・ゲートウェイ機能に関して、以下の仕様変更を行った。より詳 しい情報は< http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/index.html >に 記載される。 ・RFC2401〜RFC2409、RFC2451に対応した。 ・IKEのパラメータのうち、暗号アルゴリズム、ハッシュアルゴリズム、グル ープ、IDの内容、PFSの有無、ISAKMP SAの寿命値を設定するためのコマンド を新設した。また、それぞれの設定に従って、IKEの始動時に提案の内容を 変化させるようにした。 ・ipsec sa duration、ipsec ike host、ipsec ike local hostの3つのコマン ドを廃止し、代りに新しいコマンドを用意した。 ○コマンド仕様の変更について 前述のように、3つのコマンドが廃止されて、新しいコマンドが用意された。 従来のコマンドは、リビジョンアップの際に、新しいコマンドに変換される。 原則として変換は自動的に行われるが、設定によっては自動的に変換できない こともあるため、ユーザが自ら設定を変更することが望ましい。完全な変換手 続きは、以下のようになる。 (1) 各対地に対して、ゲートウェイ番号を割り当てる。番号は、RT103iでは 1〜10の整数であり、それ以外の機種では1〜20の整数である。 (2) ipsec ike hostの設定を以下のように変更する。 旧:ipsec ike host IPアドレス1 IPアドレス2 ... 新:ipsec ike remote address ゲートウェイ番号1 IPアドレス1 ipsec ike remote address ゲートウェイ番号2 IPアドレス2 ・ ・ ・ 注意:引数として複数のIPアドレスが設定されている場合には、IPアドレ スごとに、異なるゲートウェイ番号を割り当てる必要がある。また、引数 としてallが設定されていた場合には、IPアドレスを明示して設定する必 要がある。 (3) ipsec sa durationの設定があれば、以下のように変更する。 旧:ipsec sa duration 寿命 新:ipsec ike duration ipsec-sa ゲートウェイ番号 寿命 注意:複数の対地があるときには、対地の数だけ設定する必要がある。 (4) ipsec ike local hostの設定があれば、以下のように変更する。 旧:ipsec ike local host IPアドレス 新:ipsec ike local address ゲートウェイ番号 IPアドレス 注意:IPアドレスに対応するゲートウェイ番号を設定する。 ○リリース番号について セキュリティ・ゲートウェイ機能は、リビジョンに応じて異なる仕様を持つ。 そこで、これらの仕様の違いを表現するために、リリース番号を定義する。 ・リリース1 ... Rev.3.00.09〜Rev.3.01.07における仕様 ・リリース2 ... Rev.3.01.11〜Rev.4.00.14における仕様 ・リリース3 ... Rev.4.00.18以降における仕様 本リビジョンで提供される仕様は「リリース3」となる。 ○リリース3とリリース2の接続性について リリース3とリリース1の接続性は失われているが、リリース3とリリース2の接 続性は確保されている。リリース3をリリース2と接続するためには、リリース 3で新設されたコマンドを、以下のように設定する必要がある。 ・ipsec ike encryptionコマンドで、des-cbcを設定する。 ・ipsec ike hashコマンドで、md5を設定する。 ・ipsec ike groupコマンドで、modp768を設定する。 ・ipsec ike local idコマンドで、clearを設定する。 ・ipsec ike payload typeコマンドで、1を設定する。 ・ipsec ike pfsコマンドで、onを設定する。 ・ipsec ike remote idコマンドで、clearを設定する。 ・ipsec ike send infoコマンドで、onを設定する。 また、以下の例のように、認証アルゴリズムとしてHMAC-MD5を設定する必要が ある。HMAC-SHAでの動作は保証されない。 ・ipsec sa policy 101 192.168.1.1 esp des-cbc md5-hmac ・ipsec sa policy 102 192.168.1.1 ah md5-hmac [2] RADIUSで、NAS-PortアトリビュートとしてRADIUSサーバに送信する値は、従来 はBRIポート番号であったが、Bチャネルも含めた番号に変更した。例えば、 RT140p(2BRI、1PRI)では以下のようになる。 NAS-Port BRI/PRI Bch --------------------------- 0 BRI1 B1 1 BRI1 B2 2 BRI2 B1 3 BRI2 B2 4 PRI1 B1 5 PRI1 B2 : 26 PRI1 B23 27 PRI1 B24 --------------------------- [3] バックアップから復帰するときに、すぐに復帰するのではなく、時間をおいて から復帰できるようにした。 ○バックアップからの復帰待ち時間の設定 [入力形式] leased backup recovery time off leased backup recovery time TIME [パラメータ] TIME ... 時間(秒) 1 - 21474836 [説明] バックアップから復帰するときに、すぐに復帰するのではなく、設定され た時間だけ待ってから復帰する。 [ノート] この設定はすべてのPPで共通に用いられる。また、専用線バックアップで も、FRバックアップでも、この設定が共通に用いられる。 [デフォルト値] off ■バグ修正 [1] セキュリティ・ゲートウェイ機能において、パケットを処理してフラグメント の必要が生じたときに、元のパケットにDFビットが立っていると、正しい宛先 にICMPが送信されないバグを修正した。Rev.4.00.13でエンバグしている。 [2] less logコマンドの実行時に、使用可能なメモリが減少するバグを修正した。 コマンドを繰り返し実行すると、最終的にはメモリが使用できなくなって、リ ブートなどの不安定な動作を起こす。 [3] SNMP機能で、SNMPバージョン2のパケットを受信したときに、使用可能なメモ リが減少するバグを修正した。受信を繰り返すと、最終的にはメモリが使用で きなくなって、リブートなどの不安定な動作を起こす。 [4] DNSサーバの設定が間違っているなどの理由により、DNSの問い合わせが失敗す ると、その後の動作が不安定になることがあるのを修正した。 [5] PPPのVJ圧縮機能で、エラーパケットを受信した後に動作が不安定になる可能 性を排除した。 [6] show status ppコマンドで表示される送信パケット数と送信オクテット数が正 しくないことがあるのを修正した。Rev.4.00.07でエンバグしている。 [7] TFTPで、引数のないdns domainコマンドを設定すると、リブートすることがあ るのを修正した。 [8] pp copyコマンドで、ip pp rip auth keyコマンドが正しくコピーされないこ とがあるのを修正した。 [9] RT140[ef]で専用線を収容し、なおかつLAN2ポートを利用していると、ルータ がパケットの内容を壊してしまうことがあるのを修正した。 [10] MPで、2B目以降の発呼に一度でも失敗すると、そのポートからの発呼で使用 可能なBチャネルが1つ減るバグを修正した。