http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.06.02/relnote_06_02_19.txt Revision : 06.02.19 Release : Mar 2002, ヤマハ株式会社 RT300i/RT140/RT105 Rev.6.02.19 リリースノート ========================================================================== ○ Rev.6.02.16からの変更点 ========================================================================== ■機能追加 [1] IPv6の動的フィルタを実装した。これにともなうコマンドの追加と仕様変 更は以下のとおり。 - ipv6 filter dynamicコマンドを新設。仕様はip filter dynamicと同様 で始点・終点アドレスにIPv6アドレスを設定できる。 - ipv6 INTERFACE secure filterコマンドで動的フィルタを指定できるよ うに変更。dynamicというキーワードの後にフィルタの番号を列記する。 - show ipv6 connectionコマンドを新設。仕様はshow ip connectionコマ ンドと同様。 - disconnect ipv6 connectionコマンドを新設。仕様はdisconnect ip connectionコマンドと同様。 [2] 動的フィルタでNetMeetingに対応し、ip filter dynamicコマンドで、ア プリケーション名としてnetmeetingを指定できるようにした。 静的フィルタの設定については、サーバに対するTCP 1720番宛てのSYNパ ケットを通過させるだけでよい。例えば、netmeetingだけを通過させるた めに最小限の穴しか空けない場合、次のような設定になる。 ip filter 1 pass 192.168.0.0/24 * tcpflag=0x0002/0x0002 * 1720 ip filter 100 reject * * * * * ip filter dynamic 10 192.168.0.0/24 * netmeeting ip lan2 secure filter out 1 100 dynamic 10 ip lan2 secure filter in 100 [3] IPマスカレードを動作させている時に、PPTPによるMSVPNを変換できるよ うにした。ルータ、Windows PC、Windows サーバのすべてで特別な設定は 必要なく、IPマスカレードの内側(プライベートアドレス側)にあるPPTPク ライアントであるWindows PCから外側(グローバルアドレス側)にあるPPTP サーバであるWindows サーバとの間にPPTPによるVPNトンネルを通常の動 作で設定できる。 同時に扱えるPPTPセッションの数に特に制限は設けていない。RTがIPマス カレードで扱える同時セッション数(最大4096)に制限を受ける。PPTPでは 制御用と通信用で最低でも2つのセッションを必要とすることに注意。 [4] IPマスカレードで利用するポートの範囲を設定できるようにした。 [入力形式] nat descriptor masquerade port range DESC START [NUM] no nat descriptor masquerade port range DESC [START [NUM]] [パラメータ] DESC ... ディスクリプタ番号 START ... 開始ポート番号、1024〜65534 NUM ... ポート数、1〜4096、省略時は4096 [説明] IPマスカレードで利用するポート番号の範囲を設定する。STARTとNUM の和が65535以下(START + NUM ≦ 65535)でなくてはいけない。 [デフォルト] 60000 4096 [5] NAT/IPマスカレードで、FTPとして認識するポート番号を設定できるよう にした。 [入力形式] nat descriptor ftp port DESC PORT [PORT...] no nat descriptor ftp port DESC [PORT...] [パラメータ] DESC ... ディスクリプタ番号、1〜 PORT ... ポート番号、1〜65535 [説明] TCPで、このコマンドにより設定されたポート番号をFTPの制御チャネ ルの通信だとみなして処理をする。 [デフォルト] 21 [6] IPマスカレードで、特定のポート番号は変換せずにそのまま外部に転送 できる機能を実装した。 [入力形式] nat descriptor masquerade unconvertible port DESC if-possible no nat descriptor masquerade unconvertible port DESC if-possible nat descriptor masquerade unconvertible port DESC PROTOCOL PORT no nat descriptor masquerade unconvertible port DESC PROTOCOL [PORT] [パラメータ] DESC ... ディスクリプタ番号 PROTOCOL ... プロトコル、'tcp'もしくは'udp' PORT ... ポート番号の範囲 [説明] IPマスカレードで変換しないポート番号の範囲を設定する。 if-possibleが指定されている時には、処理しようとするポート番号が 他の通信で使われていない場合には値を変換せずそのまま利用する。 [7] IPv6のフィルタ機能で、近隣探索に関係するパケットを指定できるように した。ipv6 filterコマンドでプロトコルとしてicmp-ndというキーワード を指定する。近隣探索に関係するパケットとは、以下のもののことである。 - neighbor advertisement - neighbor solicitation - router advertisement - router solicitation [8] IPv6インタフェースのリンクMTUを設定できるようにした。 [入力形式] ipv6 INTERFACE mtu MTU no ipv6 INTERFACE mtu MTU [パラメータ] MTU ... インタフェースのリンクMTU、1280 .. 1500 [説明] IPv6インタフェースのリンクMTUを設定する。 [デフォルト値] 1500 [9] IPv6のルーティングを制御するコマンドとして、ipv6 routingコマンドを 追加した。書式や動作はip routingコマンドに準ずる。 [10] IPv6リダイレクトの送受信を制御するために下記のコマンドを追加した。 ○IPv6リダイレクトの送信を制御するコマンド [入力形式] ipv6 icmp redirect send SW [パラメータ] SW - on ... 送信する - off ... 送信しない [説明] IPv6のRedirectパケットを送信するか否かを選択する。 [デフォルト値] on ○リダイレクトの受信を制御するコマンド [入力形式] ipv6 icmp redirect receive SW [パラメータ] SW - on ... 受信して処理する - off ... 受信しても処理しない [説明] IPv6のRedirectパケットを受信したときにそれを処理するか否かを選 択する。 [デフォルト値] off [11] IKEキープアライブに関するsyslogの出力を制御できるようにした。これ までの動作ではdebugレベルのsyslogが出力されるが、下記のコマンドで offを設定すると出力を止めることができる。 [入力形式] ipsec ike keepalive log GATEWAY SW no ipsec ike keepalive log GATEWAY [SW] [パラメータ] GATEWAY ... セキュリティゲートウェイの識別子 (1.. ) SW ... syslogを出力するか否か (on/off) [説明] IKEキープアライブに関するsyslogを出力するか否かを設定する。 [デフォルト値] on [12] IPv4/IPv6パケットに対して多重にトンネリングの処理をして送信できる ようにした。これによって、例えば、IPv6 over IPv4 tunnelでカプセル 化したパケットを、IPv4 IPsecでカプセル化して送信することが可能にな る。なお、受信処理については、以前から多重の処理が可能になっている。 その他の仕様で注意すべき点は次のとおり。 - MTUとの比較やフラグメントは、最初にトンネルインタフェースを通過 するときに実施される。これらの処理は2回目以降の通過では実施され ない。LAN/PPインタフェースの通過については、従来の処理と同じ。 - トンネルインタフェースに対するルーティングの回数に制限は設けない。 設定によっては、TTLやHop Limitが尽きるか、MTU以上にパケットが長 くなるまで、ルーティングを繰り返す可能性がある。 [13] PPPoEでService-Nameタグを指定するためのコマンドを追加した。 ○サービス名の指定 [入力形式] pppoe service-name NAME no pppoe service-name [NAME] [パラメータ] NAME ... サービス名を表す文字列 (7bit US-ASCII、255文字以内) [説明] 選択されている相手についてPPPoEで要求するサービス名を設定する。 接続できるアクセスコンセントレータが複数ある場合に、要求するサー ビスを提供することが可能なアクセスコンセントレータを選択して接 続するために使用する。 [ノート] フレッツADSLに接続する場合には、このコマンドでサービス名を指定 してはいけない。 [デフォルト値] サービス名は指定されていない。 [14] dns server selectコマンドにrestrict pp節が追加され、DNSサーバの選 択にPPがアップしているかどうかを判断材料として加えられる。 [入力形式] dns server select ID SERVER [TYPE] DOMAIN [ORIGINAL-SENDER] [restrict pp PP_NUM] [パラメータ] ... PP_NUM ... PP番号 [説明] ... restrict pp節が指定されていると、PP_NUMで指定した相手先がアッ プしているかどうかがサーバの選択条件に追加される。相手先がアッ プしていないと、サーバは選択されない。相手先がアップしていて、 かつ、他の条件もマッチしている場合に指定したサーバが選択される。 [15] バックアップ機能について、以下の機能追加を行った。 - lan backup機能を実装した。 - pp backupでダイヤルアップVPNをバックアップ可能とした。 - VRRPのシャットダウントリガにppを指定した場合、pp keepaliveのicmp-echo のダウン検知も使用できるようにした。 ○プロバイダ接続がダウンした時にバックアップする接続先の指定 [入力形式] pp backup PP_NUM pp backup LAN_INTERFACE GW_IP no pp backup [パラメータ] PP_NUM ... バックアップとして使用する相手先情報番号 LAN_INTERFACE ... バックアップとして利用するLANインタフェース GW_IP ... ゲートウェイのIPアドレス [説明] 選択した相手先に対するプロバイダ接続がダウンした場合にバックアッ プするインタフェース情報を設定する。 [ノート] PP毎のコマンドである。 接続のダウンを検知するキープアライブ動作が必要なため、専用線の 場合はpp keepalive use lcp-echoの設定が、それ以外の場合にはpp always-on onが同時に必要になる。 プロバイダ接続のバックアップなど、バックアップ接続先にバックアッ プであることを通知する必要のない場合に使用する。拠点間接続のバッ クアップでは、専用線接続によるleased backupを使用することもで きる。leased backupでは相手先にバックアップ接続であることが通 知されるので、経路が双方で切り換えられる。 [デフォルト値] none ○LAN経由でのプロバイダ接続がダウンした時にバックアップする接続先 の指定 [入力形式] lan backup LAN PP_NUM lan backup LAN LAN_INTERFACE GW_IP no lan backup LAN [パラメータ] LAN ... バックアップ対象のLANインタフェース名 PP_NUM ... バックアップとしてppを使用する場合の相手先情報番号 LAN_INTERFACE ... バックアップとして使用するLANインタフェース GW_IP ... ゲートウェイのIPアドレス [説明] 指定するLANインタフェースに対して、LAN経由でのプロバイダ接続が ダウンした場合にバックアップするインタフェース情報を設定する。 [ノート] バックアップ動作のためには、LAN経由での接続のダウンを検知する ためにlan keepalive useコマンドでの設定が併せて必要である。プ ロバイダ接続のバックアップなど、バックアップ接続先にバックアッ プ情報を通知する必要のない場合に使用する。 [デフォルト値] none ○LAN経由のキープアライブを使用するか否かの設定 [入力形式] lan keepalive use LAN icmp-echo DST_IP [wait=WAIT] [DST_IP...] lan keepalive use LAN arp DST_IP [DST_IP...] lan keepalive use LAN icmp-echo DST_IP [wait=WAIT] [DST_IP...] arp DST_IP [DST_IP...] no pp keepalive use LAN_INTERFACE [パラメータ] LAN ... バックアップ対象のLANインタフェース名 DST_IP ... キープアライブ確認先のIPアドレス WAIT ... ICMP Echo Replyを受信するまでの待ち時間(ミリ秒)、省略 時は1000(1秒) [説明] 指定するLANインタフェースに対して、バックアップのためのキープ アライブ動作について設定する。キープアライブの方法としては、最 大10箇所の対象となるホストに、ICMP Echoを送信しICMP Echo Reply を受信するのを待つicmp-echoと、ARPによるIPアドレス解決を行なう arpが存在する。arp を利用する場合には、対象となるホストは同一 セグメント上に存在する必要がある。 icmp-echo、arpともに応答パケットを受け取るまでのデフォルトの待 ち時間は1秒だが、icmp-echoの場合はwait=WAITで待ち時間を設定で きる。 [デフォルト値] キープアライブは使用しない ○LAN経由のキープアライブの時間間隔の設定 [入力形式] lan keepalive interval LAN INTERVAL [COUNT] [パラメータ] LAN ... バックアップ対象のLANインタフェース名 INTERVAL ... キープアライブパケットを送出する時間間隔、1-65535 COUNT ... ダウン検出を判定する回数、3 - 100 [説明] 指定するLANインタフェースに対して、キープアライブパケットの送 出間隔とダウン検出を判定する回数を設定する。COUNTに設定した回 数だけ連続して応答パケットを検出できない場合に、ダウンと判定す る。 一度応答が返ってこないのを検出したら、その後のキープアライブパ ケットの送出間隔は1秒に短縮される。そのため、デフォルトの設定 値の場合でもダウン検出に要する時間は35秒程度である。 [デフォルト値] INTERVAL = 30 COUNT = 6 ○バックアップからの復帰待ち時間の設定 [入力形式] lan backup recovery time LAN [TIME] no lan backup recovery time [パラメータ] LAN ... バックアップ対象のLANインタフェース名 TIME ... 1 - 21474836、 off [説明] 指定するLANインタフェースに対して、バックアップから復帰する場 合に、すぐに復帰させるか、設定された時間だけ待ってから復帰する かを設定する。 [デフォルト値] off ○LAN経由のキープアライブのログをとるか否かの設定 [入力形式] lan keepalive log LAN LOG no lan keepalive log LAN [パラメータ] LAN ... バックアップ対象のLANインタフェース名 LOG ... on ログをとる off ログをとらない [説明] キープアライブパケットのログをとるか否かを設定する。 [デフォルト値] off ■仕様変更 [1] RT300iでもLANのLink up/downをINFOログに表示することとした。 [2] RTが送信するICMP Destination Unreachable message / "fragmentation needed and DF set"に、RFC1191(経路MTU探索)に従い、MTU値を含めるよ うにした。 [3] RT140pで、バイナリイメージを圧縮するようにした。 [4] IPマスカレードでDNS問い合わせパケットを変換した場合、それに対する 回答パケットを処理した時点で該当エントリのタイマを10秒に縮めるよう にした。IPマスカレードでDNS問い合わせパケットを変換した場合、それ に対する回答パケットを処理した時点で該当エントリのタイマを10秒に縮 めるようにした。 [5] NATディスクリプタのNetMeeting対応で、未対応のメッセージ書式に対応 できるようにした。これによって、音声、ビデオで片通信になる可能性が 減る。 [6] LANインタフェースでNATしている時に、外側IPアドレスとしてLANインタ フェースのIPアドレスを使用する場合には、そのIPアドレスを自分のIP アドレスとして利用しないようにした。 ただし、他に利用できるIPアドレスが全く無い時には仕方が無いのでその IPアドレスを利用する。 [7] pppoe access concentratorコマンドとpppoe service-nameコマンドの入 力可能文字数を255文字とした。 [8] RT105シリーズのshow status lanコマンドで、受信キューオーバー数を資 源不足による受信失敗として表示させるようにした。また、若番ポートが Auto Negotiationの場合の他の固定設定ポートでのリンク状態表示を up/downのみとした ■バグ修正 [1] MMIの修正 - IPアドレスの入力で、不正な形式でもエラーにならず受け付けてしまう - dns sever selectコマンドのrestrictキーワード拡張で、restrict以降 が入力できない場合がある - nat descriptor masquerade port rangeコマンドで、STARTとNUMの和が 65535の場合に入力を受け付けられない - backup recovery timeコマンドでoffが指定できない - pppoe access concentrator コマンドで空白を含む文字列を名前として 設定できない - tunnel endpoint addressコマンドにIPv4アドレスを設定する時にロー カルIPアドレスを省略できない [2] 自分宛てのIPv6パケットのNext Headerフィールドが認識できないときに 送信するICMP Parameter Problem MessageのPointerフィールドの値が正 しくないバグを修正した。 [3] IPv6で、M FlagとOffsetがともに0であるようなフラグメントパケットを 処理せずに破棄してしまうバグを修正した。 [4] ipv6 INTERFACE addressコマンドでプレフィックス長として128を設定す ると、show ipv6 addressコマンドで、該当するアドレスがanycastとして 表示されるバグを修正した。本来、unicastとanycastを区別して表示する 必要もないと思われるので、区別しないようにした。 [5] IPv6の近隣探索で、TLLAオプションのない近隣広告(NA)を受信したときに、 近隣キャッシュ(neighbor cache)に間違ったMACアドレスを登録してしま うバグを修正した。RFCに従った実装では必ずTLLAオプションを付けるの で通常の動作では問題はないが、近隣キャッシュを不正に操作する手段を 与えてしまうことになる。 [6] 再起動するまでIPv6ルータ広告の設定が有効にならないバグを修正した。 [7] ipv6 INTERFACE secure filterコマンドで登録されていないフィルタ番号 を設定すると、通信中にリブートすることがあるのを修正した。 [8] IPv6の近隣探索で、正常な近隣広告(NA)に対して、TLLAオプションがな いという意味のエラーメッセージをsyslogに出力することがあるのを修正 した。 [9] 自分宛てではないIPv6パケットの拡張ヘッダのnext headerが認識できな い値のときにパケットを転送せずに破棄してしまうバグを修正した。 [10] IPv6のRIPngで、削除を通知するためにmetric 16で広告される経路1と、 それと宛先は同じだがnexthopの異なる経路2の両方が存在しているときに、 経路1と同じ経路を受信すると、ルーティングテーブルが正しく更新され ないバグを修正した。 [11] IPv6のRIPngで、受信したdefault経路をルーティングテーブルに登録で きないことがあるのを修正した。 [12] データ部のないICMPv6 Echoパケットを受信したときにリブートするバグ を修正した。 [13] nat descriptor masquerade incomingコマンドでforwardを設定したとき に、NATの外側から受信したNetMeetingのパケットを変換できないバグを 修正した。 [14] IPマスカレードで、TCP、UDP、ICMPに該当しないプロトコルのパケット がNATの外側へ送信されるときに、NATテーブルに正しくエントリが登録さ れず、それらの戻りのパケットを破棄してしまうバグを修正した。例えば、 IPマスカレードを越えてIPsecで通信できなくなるなどの問題が起きる。 [15] 不正なIKEパケットを受信するとリブートすることがあるのを修正した。 [16] IPsecのトンネルバックアップ機能で、鍵の更新や通信断を契機にしてバッ クアップを頻繁に繰り返す可能性があるのを修正した。特に拠点数が多く、 複数の対地で同時に鍵の更新や通信断が起きたときに発生しやすい。 [17] IPsecでipsec ike remote addressコマンドを設定したときに初期化する 必要のない既存のSAを削除してしまうバグを修正した。 [18] ipsec sa policyコマンドを削除したときに、初期化する必要のない対地 のSAを削除してしまうバグを修正した。 [19] ダイアルアップVPNでキープアライブ機能を使う拠点と使わない拠点が混 在するときに、キープアライブを使わない拠点に対してセンター側がキー プアライブを実施するバグを修正した。このような拠点では、センターが 回線に異常が起きたものと判定し、約60秒でSAを削除する。 [20] PPPoEの設定が正しくされていない状態でコンソールからconnectコマン ドを発行すると、誤ったsyslogが出力されるバグを修正した。 [21] ip routeコマンドでフィルタ型経路を設定すると、設定時にリブートし たり、設定後に起動できなくなることがあるのを修正した。 [22] OSPFで、FR回線などを利用するためにインタフェースのタイプを POINT-TO-MULTIPOINTにした場合に、近隣ルータの数が2以上あると不正な メモリアクセスを起こしてリブートするなど動作が不安定になるのを修正 した。 [23] VRRPのシャットダウントリガとしてroute形式のものを設定すると、VRRP の動作中にルータがハングアップしてしまうバグを修正した。 [24] SNMPでifoperstatusにLANのリンク情報を反映させるようにした。また、 RT105eで、yrIfLanLinkにLANのリンク情報を反映させるようにした。 [25] administratorコマンドでパスワード失敗でもSNMPのyrfLoginTrapトラッ プが送出されるバグを修正した。 [26] SNMPで以下に対応できていなかったのを修正した。 - yrIfPpLinkUp/Downトラップ - PPPoEが適用されたPPのyrIfPpOut/InUtil - PPPoEが適用されたPPのyrIfPpOut/InUtilThresholdによるトラップ [27] ブリッジ機能で、LANインタフェースを含むブリッジグループを設定して いる場合に、ダウンしているLANインタフェースに付与したIPアドレスに 対して他のインタフェース経由でパケットを受信しても応答できないバグ を修正した。 通常はLANインタフェースがダウンしているとそのLANインタフェースの経 路情報も削除されているが、LANインタフェースがブリッジグループに含 まれている場合には、そのブリッジグループ内のいずれかのインタフェー スがアップしているとLANインタフェースの経路情報は保持されるように なる。 [28] RT105iで、BRI経由でブリッジ接続している場合、対向LAN上のマシンか らtelnet接続した時にリブートするバグを修正した。 [29] RT105e/pのセカンダリセグメント機能で、1510バイト以上(MACヘッダを 含む)のパケットを扱えなかったのを修正した。 [30] RT105eで、VRRPシャットダウントリガとしてLANインタフェースが使えな いバグを修正した。 [31] RT105シリーズでOSPFの挙動が不安定になることがあるのを修正した。 [32] RT300iで代表を組んでいる複数のISDN回線と接続している時に、その回 線からコールバックで他の地点へ接続しようとすると、コールバックして きた着信がコールバック要求のために発信した回線と同じ回線に着信した 場合には接続できるが、違う回線に着信した場合には接続できないバグを 修正した。 [33] RT300iで、ip pp remote address poolコマンドで仕様通り92個のIPアド レスが設定できるように、従来1023文字に制限していたコマンド行の長さ を4095文字に拡張した。RT300i以外は1023文字のままである。 また、このコマンドでIPアドレスが範囲指定で設定された時には、show configでも範囲指定で表示するようにした。 ■既知の問題 [1] RT140pでは、空きメモリが足りないためにRev.6.02.16以前のRev.6系ファー ムウェアにバージョンダウンできないことがある。一旦、Rev.4台のファー ムウェアに戻してからRev.6にバージョンアップし直すか、設定を極端に 簡単にしてバージョンダウンする必要がある。Rev.4を経由する場合には 設定が保存されないことがあるのに注意する。