-
IKEで、DPD(Dead Peer Detection)に対応した。RFC3706に基づく機能で、トンネルの障害を検出するために利用できる。
この機能を動作させるためには、ipsec ike keepalive useコマンドを設定する。
○IKEキープアライブ機能の設定
- [書式]
-
ipsec ike keepalive use GATEWAY_ID SWITCH
ipsec ike keepalive use GATEWAY_ID SWITCH heartbeat [INTERVAL COUNT [UPWAIT]]
ipsec ike keepalive use GATEWAY_ID SWITCH icmp-echo IP_ADDRESS [length=LENGTH] [INTERVAL COUNT [UPWAIT]]
ipsec ike keepalive use GATEWAY_ID SWITCH dpd [INTERVAL COUNT [UPWAIT]]
no ipsec ike keepalive use GATEWAY_ID [SWITCH .... ]
- [設定値]
-
GATEWAY_ID |
... |
セキュリティ・ゲートウェイの識別子 |
SWITCH |
... |
キープアライブの動作
on |
... |
キープアライブを使用する |
off |
... |
キープアライブを使用しない |
auto |
... |
対向のルータがキープアライブを送信するときに限って送信する(heartbeatでのみ有効) |
|
IP_ADDRESS |
... |
pingを送信する宛先のIPアドレス(IPv4/IPv6) |
LENGTH |
... |
TYPEでicmp-echoを設定したときのデータ部の長さ (64..1500) |
INTERVAL |
... |
キープアライブパケットの送信間隔秒数 (1..600) |
COUNT |
... |
キープアライブパケットが届かないときに障害とみなすまでの試行回数 (1..50) |
UPWAIT |
... |
IPsec SAが生成されてから実際にトンネルインタフェースを有効にするまでの時間 (0..1000000) |
- [説明]
-
IKEキープアライブの動作を設定する。このコマンドの設定は、双方のルータで一致させる必要がある。キープアライブの方式としては、heartbeat、ICMP Echo、DPD(RFC3706)の3種類から選ぶことができる。
キープアライブの方式として、heartbeatを利用するときには、1行目か2行目の書式を使う。heartbeatに限っては、SWITCHパラメータとしてautoを設定できる。
autoを設定したときには、相手からheartbeatパケットを受信したときにのみ、heartbeatパケットを送信する。なお、双方の設定がautoになっているときには、IKEキープアライブは動作しない。
キープアライブの方式として、ICMP Echoを利用するときには、3行目の書式を使い、送信先のIPアドレスを設定する。オプションとして、ICMP Echoのデータ部の長さを指定できる。
キープアライブの方式として、DPDを利用するときには、4行目の書式を使う。
- [ノート]
-
同じ相手に対して、複数の方法を併用することはできない。
- [初期値]
-
SWITCH = auto
LENGTH = 64
INTERVAL = 10
COUNT = 6
UPWAIT = 0
-
IPsecでNATトラバーサルに対応した。次の2種類の方式に対応する。
a) RFC3947 + RFC3948
b) draft-ietf-ipsec-nat-t-ike-03.txt + draft-ietf-ipsec-udp-encaps-03.txt
IPsec NATトラバーサルを利用するためには、ipsec ike nat-traversalコマンドでonを設定する。方式は、ネゴシエーションによって自動的に選択されるため、明示的に方式を設定する必要はない。ヤマハの実装では、上記のa)の方式を優先し、a)をサポートしていない実装に対しては、b)の方式を使用する。
○IPsec NATトラバーサルを利用するための設定
- [書式]
-
ipsec ike nat-traversal GATEWAY SWITCH [ keepalive=INTERVAL ]
no ipsec ike nat-traversal GATEWAY [ SWITCH [ keepalive=INTERVAL ] ]
- [設定値]
-
GATEWAY |
... |
セキュリティゲートウェイの識別子 |
SWITCH |
... |
動作の有無
on |
... |
NATトラバーサルの動作を有効にする |
off |
... |
NATトラバーサルの動作を無効にする |
|
INTERVAL |
... |
NATキープアライブの送信間隔
off |
... |
送信しない |
時間 |
... |
30 - 100000[秒] |
|
- [説明]
-
NATトラバーサルの動作を設定する。この設定があるときには、IKEでNATトラバーサルの交渉を行う。相手がNATトラバーサルに対応していないときや、通信経路上にNATの処理がないときには、NATトラバーサルを使用せず、ESPパケットを使って通信する。
対向のルータや端末でもNATトラバーサルの設定が必要である。いずれか一方にしか設定がないときには、NATトラバーサルを使用せず、ESPパケットを使って通信する。
- [ノート]
-
ipsec ike esp-encapsulationコマンドとの併用はできない。
また、IPCompが設定されているトンネルインタフェースでは利用できない。
アグレッシブモードのESPトンネルでのみ利用できる。メインモードやAHでは利用できず、トランスポートモードでも利用できない。
- [初期値]
-
SWITCH = off
INTERVAL = 300
-
IPsec XAUTH 認証機能を実装した。
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec-xauth/index.html
-
ipsec ike durationコマンドで、SAを更新するタイミングを設定できるようにした。
○SAの寿命の設定
- [書式]
-
ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [ rekey REKEY ]
no ipsec ike duration SA GATEWAY_ID [ SECOND [KBYTES] [ rekey REKEY ]]
- [設定値]
-
- SA
- ipsec-sa ... IPsec SA
- isakmp-sa ... ISAKMP SA
- GATEWAY_ID ... セキュリティゲートウェイの識別子
- SECOND ... 秒数 (300 - 691200)
- KBYTES ... キロ単位のバイト数 (100 - 100000)
- REKEY ... SAを更新するタイミング
- パーセント (70% - 90%)
- off ... 更新しない
(SAパラメータでisakmp-saを指定したときのみ設定可能)
- [説明]
-
IKEで提案するIPsec SAまたはISAKMP SAの寿命を設定する。
KBYTESパラメータを指定した場合には、SECONDパラメータで指定した時間が経過するか、指定したバイト数のデータを処理した後にSAは消滅する。KBYTESパラメータはSAパラメータとしてipsec-saを指定したときのみ有効である。
REKEYパラメータはSAを更新するタイミングを決定する。例えば、SECONDパラメータで20000を指定し、REKEYパラメータで75%を指定したときには、SAを生成してから15000秒経過したときに新しいSAを生成する。REKEYパラメータはSECONDパラメータに対する比率を表すもので、KBYTESパラメータの値とは関係がない。
SAパラメータでisakmp-saを指定したときに限り、REKEYパラメータでoffを設定できる。この場合には、IPsec SAを作る必要がない限り、ISAKMP SAの更新を保留するので、ISAKMP SAの生成を最小限に抑えることができる。ただし、この効果を得るためには次の2点に注意して設定する必要がある。
- IPsec SAよりもISAKMP SAの寿命を短く設定する。
- ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-saコマンドの設定をoffにする。
なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られるSAにのみ、新しい寿命値が適用される。
- [初期値]
-
SECOND: 28800秒
REKEY: 75%
-
不正アクセス検知機能で、Winnyの通信を検知・遮断できるようにした。これに対応して、不正アクセス検知機能のコマンド仕様を次のように変更した。
○フィルタ定義の設定
- [書式]
-
ip INTERFACE intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
ip pp intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
ip tunnel intrusion detection DIRECTION [TYPE] SWITCH [OPTION]
no ip INTERFACE intrusion detection DIRECTION [TYPE] [ SWITCH [OPTION]]
no ip pp intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]]
no ip tunnel intrusion detection DIRECTION [TYPE] [SWITCH [OPTION]]
- [設定値]
-
- INTERFACE ... LANインタフェース名
- DIRECTION ... 観察するパケット・コネクションの方向
- in ... インタフェースの内向き
- out ... インタフェースの外向き
- TYPE ... 観察するパケット・コネクションの種類
- winny ... Winny
- default ... 設定していないものすべて
- SWITCH
- on ... 実行する
- off ... 実行しない
- OPTION
- reject=on ... 不正なパケットを破棄する
- reject=off ... 不正なパケットを破棄しない
- [説明]
-
指定したインタフェースで、指定された向きのパケットやコネクションについて異常を検知する。
TYPEパラメータを省略したときには、侵入検知機能の全体についての設定になる。
- [ノート]
-
危険性の高い攻撃については、rejectオプションの設定に関わらず、常にパケットを破棄する。
Winnyについては、バージョン2の検知が可能であり、それ以前のバージョンには対応していない。
- [初期値]
-
- SWITCH
- TYPEを指定しないとき ... off
- TYPEを指定したとき ... on
- REJECT ... off
Winnyを検知・遮断するためには次のように設定する。
- すべてのTCPコネクションを動的フィルタで通す。
- 静的フィルタではACK付きのTCPパケットを破棄する。
このためには、ip filterコマンドのプロトコルとして、establishedを指定すればよい。
- ip INTERFACE intrusion detectionコマンドを設定する。
検知した結果は、show ip intrusion detectionコマンドで確認できる。
関連FAQ:
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/winny-filter.html
-
IGMPプロキシで、リスナーからIGMPのReportメッセージを受信し、上流へと転送する場合、通常は即座に転送せずランダムな遅延時間を持たせている。この遅延を待たず即座にメッセージを転送する機能を追加した。
この機能を利用すると、リスナーがReportメッセージを出力してから、目的のマルチキャストストリームを受信するまでの時間を短縮することができる。
ただし、多数のリスナーが存在する環境では、Reportメッセージの転送回数が増えるため、この機能の利用は推奨できない。
追加機能は、下記コマンドのオプションとし、次のような仕様とする。
○インタフェースごとのIGMP の設定
- [書式]
-
ip INTERFACE igmp TYPE [OPTION ...]
ip pp igmp TYPE [OPTION ...]
ip tunnel igmp TYPE [OPTION ...]
no ip INTERFACE igmp TYPE [OPTION ...]
no ip pp igmp TYPE [OPTION ...]
no ip tunnel igmp TYPE [OPTION ...]
- [設定値]
-
INTERFACE |
... |
LAN インタフェース名 |
TYPE |
... |
IGMP の動作方式
off |
... |
IGMP は動作しない |
router |
... |
IGMP ルーターとして動作する |
host |
... |
IGMP ホストとして動作する |
|
OPTION |
... |
オプション
version=VERSION |
... |
IGMP のバージョン
2 |
... |
IGMPv2 |
3 |
... |
IGMPv3 |
2,3 |
... |
IGMPv2 とIGMPv3 の両方に対応する(IGMPv2 互換モード) |
|
syslog=SWITCH |
... |
詳細な情報をsyslog に出力するか否か
on |
... |
表示する |
off |
... |
表示しない |
|
robust-variable=VALUE |
... |
IGMP で規定されるRobust Variableの値(1..10) |
delay-timer=SW |
... |
IGMPのreportメッセージの転送タイミング
on |
... |
ランダムな遅延後に転送する |
off |
... |
即座に転送する |
|
|
- [説明]
-
インタフェースのIGMP の動作を設定する。
- [初期値]
-
type = off
version=2,3
syslog=off
robust-variable=2
delay-timer=on
-
RTX1100とRTX1500で、帯域検出機能でcooperation bandwidth-measuring remoteコマンドでnumberオプションとretry-intervalオプションを追加した。
numberオプションでは、測定に使用するパケット数を設定できる。パケット間隔のゆらぎが大きい環境ではこの数を多くすることで、より安定した結果が得られる。ただし測定に使用するパケットの数が増えるため測定パケットが他のデータ通信に与える影響も大きくなる可能性がある。
retry-intervalオプションでは、帯域測定が相手先からの応答がなかったり測定値が許容範囲を越えたなど、何らかの障害で正しい測定ができなかった場合の再試行までの時間を設定できる。ただし、網への負荷等を考慮すると正常に動作できない状況でむやみに短時間間隔で試行を繰り返すべきではない。正常に測定できない原因を回避することが先決である。
○帯域測定で連携動作を行う相手毎の動作の設定
- [書式]
-
cooperation bandwidth-measuring remote ID ROLE ADDRESS [OPTION=VALUE]
no cooperation bandwidth-measuring remote ID [ROLE ADDRESS [OPTION=VALUE]]
- [設定値]
-
ID |
... |
相手先ID番号(1-100) |
ROLE |
... |
連携動作での相手側の役割
server |
... |
相手側がサーバ側動作を行う |
client |
... |
相手側がクライアント側動作を行う |
|
ADDRESS |
... |
連携動作の相手側IPアドレス、FQDNまたは'any' |
OPTION |
... |
オプション
apply |
... |
測定結果をLANインタフェースの速度設定に反映させるか否か、'on' or 'off' |
port |
... |
相手側が使用するUDPのポート番号 |
initial-speed |
... |
測定開始値[bit/s] |
interval |
... |
定期監視間隔(60-2147483647)[sec] or 'off' |
retry-interval |
... |
エラー終了後の再試行までの間隔(60-2147483647)[sec] |
sensitivity |
... |
測定感度、'high', 'middle' or 'low' |
syslog |
... |
動作をログに残すか否か、'on' or 'off' |
interface |
... |
測定結果を反映させるLANインタフェース |
class |
... |
測定結果を反映させるクラス |
limit-rate |
... |
設定値の最大変化割合[%] |
number |
... |
測定に使用するパケット数(5-100) |
|
- [説明]
-
帯域測定で連携動作を行う相手毎の動作を設定する。
- [ノート]
-
ROLEパラメータでclientを設定する場合には、オプションはportとsyslogだけが設定できる。serverを設定する場合には全てのオプションが設定できる。
連携動作の相手側設定としてanyを指定できるのは、ROLEパラメータでclientを設定した場合のみである。
applyオプションが'on'の場合、帯域測定の結果を相手先に向かうLANインタフェースのspeed lanコマンドの設定値に上書きする。classオプションに値が設定されている場合には、queue lan class propertyコマンドのbandwidthパラメータに測定結果が反映される。
initial-speedオプションでは初期状態で測定を開始する速度を設定できる。パラメータの後ろに'k'または'M'をつけると、それぞれkbit/s、Mbit/s として扱われる。
intervalオプションでは、帯域測定が正常終了した後、帯域に変化がないか定期的に確認測定する間隔を設定できる。'off'を指定した場合には測定終了後の定期的な確認測定を行わない。
retry-intervalオプションでは、帯域測定が相手先からの応答がなかったり測定値が許容範囲を越えたなど、何らかの障害で正しい測定ができなかった場合の再試行までの時間を設定できる。ただし、網への負荷等を考慮すると正常に動作できない状況でむやみに短時間間隔で試行を繰り返すべきではない。正常に測定できない原因を回避することが先決である。
numberオプションでは、測定に使用するパケット数を設定できる。パケット間隔のゆらぎが大きい環境ではこの数を多くすることで、より安定した結果が得られる。ただし測定に使用するパケットの数が増えるため測定パケットが他のデータ通信に与える影響も大きくなる可能性がある。
sensitivityオプションでは、測定感度を変更することができる。パケット間隔のゆらぎが大きかったりパケットロスのある環境では、測定感度を鈍くすることで、頻繁な設定変更を抑制したり測定完了までの時間を短縮することができる。
interfaceオプションでLANインタフェースが設定されている場合には、そのLANインタフェースのspeed lanコマンドに測定結果が反映される。classオプションに値が設定されている場合にはqueue lan class propertyコマンドのbandwidthパラメータに測定結果が反映される。
classオプションは帯域制御機能が実装されている機種でのみ利用できる。
limit-rateオプションは、設定値の急激な変動をある割合内に抑えたい場合に設定する。直前の測定結果と今回の測定結果に大きな差がある場合、回の測定結果そのものではなく、このlimit-rateに応じた値を今回の設定値として採用する。
- [初期値]
-
apply = on
port = 59410
initial-speed = 10000000
interval = 3600
retry-interval = 3600
ensitivity = high
syslog = off
interface 設定なし
class 設定なし
limit-rate 設定なし
number = 30
-
RTX1100とRTX1500で、指定したトンネルの設定内容だけを表示できるコマンドを実装した。
○指定したトンネルの設定内容の表示
- [書式]
- show config tunnel [TUNNEL_NUM]
less config tunnel [TUNNEL_NUM]
- [設定値]
-
TUNNEL_NUM ... トンネル番号、省略時は選択されているトンネルについて表示する
- [説明]
-
show config、less configコマンドの表示の中から、指定したトンネル番号に関するものだけを表示する。
-
RTX1100とRTX1500で、インタフェースに適用されたフィルタ定義だけを表示できるコマンドを実装した。
○指定したインタフェースのフィルタ内容の表示
- [書式]
-
show ip secure filter INTERFACE [DIR]
show ip secure filter pp [PEER_NUM] [DIR]
show ip secure filter tunnel [TUNNEL_NUM] [DIR]
- [設定値]
-
INTERFACE | ... | LANインタフェース名 |
PEER_NUM | ... | 相手先情報番号あるいは'anonymous' |
TUNNEL_NUM | ... | トンネル番号 |
DIR | ... | フィルタの適用された方向、'in' または 'out' |
- [説明]
-
指定したインタフェースに適用されているフィルタ定義の内容を表示する。
-
RTX1100とRTX1500で、show ipv6 addressコマンドでIPv6アドレス情報を表示するインタフェースを指定できるようにした。
○インタフェースに付与されているIPv6 アドレスの表示
- [書式]
- show ipv6 address [INTERFACE]
show ipv6 address pp [PEER_NUM]
show ipv6 address tunnel [TUNNEL_NUM]
- [設定値]
-
INTERFACE |
... |
LAN インタフェース名, Loopbackインタフェース名 |
PEER_NUM |
... |
相手先情報番号あるいは'anonymous' |
TUNNEL_NUM |
... |
トンネル番号 |
- [説明]
-
各インタフェースに付与されているIPv6アドレスを表示する。インタフェースを指定しない場合は、すべてのインタフェースについて情報を表示する。
-
MMI関連で以下のバグを修正した。
- dhcp convertコマンド実行後にコンソール操作を抜ける時、セーブするか否かの確認メッセージが出ない
- ethernet filterコマンドのpass/rejectパラメータの扱いがオンラインヘルプと異なる
本リビジョン以降では
- 入力は以下のものを全て受け付ける(変更なし)
pass, pass-nolog, pass-log, reject, reject-log, reject-nolog
- 表示は以下のものとする
(変更前)pass, pass-log, reject, reject-nolog
(変更後)pass-nolog, pass-log, reject-log, reject-nolog
- helpコマンドのヘルプ文で、ctrl-Cの説明文に誤りがある
- ip lanN dhcp retryコマンドで、回数と時間の2つ必要である引数のうち、回数だけ指定して時間を指定しないと、本来であればパラメータの数が不適当である旨のエラーメッセージを出力してエラーにしなければいけないところを、他の理由のエラーにしたり、あるいは機種によってはコマンド入力でリブートする
- ip hostコマンド、dns staticコマンドで、ホスト名やFQDNに空文字列が設定できてしまう
空文字列を設定した場合、コマンドがエラー無く受け付けられてしまうが、show configコマンドやTFTPでの設定取得では空文字列のホスト名は表示されず、不完全なコマンドとして表示され、設定を保存することもできない
- netvolante-dns hostname hostコマンドを、netvolante-dns hostname host INTERFACE HOSTNAMEの形式で実行すると、機種によってはリブートする
リブートが確認されている機種はRTX1500とRTX3000である
- show ip secure filterコマンドで、パラメータを誤って入力した場合にもエラー表示が出なかったり、機種によってはコマンド入力でリブートすることがある
リブートが確認されている機種はRTX1500である
- ipv6 INTERFACE rip filterコマンドで、入力時には100個のフィルタIDを受け付けるが、実際には10個しか設定されない
修正後はIPv6のRIPフィルタは100個まで設定ができる
- 以下のnoコマンドを実行後、Administratorから抜ける際に、設定変更を保存するかどうかの確認メッセージが表示されない
- no sshd session
- no telnetd session
- no ipv6 mtu
- no security class
- no timezone
- no console speed
- no serial line
- no system power
- no system temperature threshold
- no console character
- no console columns
- ipsec ike local nameコマンドの種別に認識できない文字列が指定された場合、入力に対してはエラーが表示されるにも関わらずkey-idで設定されたかのようにshow configで表示される
- RTX1100とRTX1500で、cooperation load-watch triggerコマンドでlan1の時だけタブ補完が働かない
- RTX1100とRTX1500で、dhcp scope lease type コマンドのヘルプ文に「fallback=」オプションの説明がない
- RTX1100とRTX1500で、dhcp scopeコマンドでexpire/maxexpireオプションで0を入力してもエラーとならない
またオンラインヘルプで同オプションの最大値の表記が間違っている
- RTX1100とRTX1500で、ip rip auth keyコマンドで十六進数列を設定する時、不正な入力でもエラーとならないことがある
- RTX1100とRTX1500で、isdn auto connectコマンドのオンラインヘルプに誤りがある
- RTX1500で、ppインタフェースでip pp pim sparse onコマンドがエラーで入力できない
- RT107eで、かんたん設定ページから「NTPサーバによる自動調整」の時間を誤って設定した場合に、スケジュールの設定が削除されてしまう
- RT107eで、かんたん設定ページ「ユーザの編集」画面で、不正なユーザ名を設定してエラーとなった後に、「戻る」ボタンで「ユーザの編集」画面に戻ると、ユーザ名が文字化けして表示される
- RT107eで、かんたん設定ページ「ユーザの追加」画面で、「接続の許可」にIPアドレスを指定して設定を行うと、リブートする
- RT107eで、かんたん設定ページで「ユーザとアクセス制限の設定」の設定完了ページを直接表示させると、不明な管理パスワードが設定および保存される
- RT107eで、かんたん設定ページ内のヘルプページで、誤字・脱字またはヘルプの説明として不適当な表現がある
- RT107eで、かんたん設定ページ「ユーザの修正」ページで、設定完了メッセージが表示されないことがある
- RT107eで、かんたん設定ページで管理者パスワードをクリアした場合に、以下の文章が表示される
「ブラウザで次のアクセスを行うと再度パスワードの入力が求められますが、なにも入力する必要はありません。」
- RT107eで、かんたん設定ページでプロバイダの設定がセキュリティレベル3以下の時に「VPN接続の登録」を行うと、ip pp secure filter コマンドには適用されない不要な ip filter コマンドが設定される
- RT107eで、ネットボランチDNSサーバに複数個のホストアドレスが登録されている状態で、かんたん設定ページからネットボランチDNSの登録をしようとするとリブートすることがある
- RT107eで、かんたん設定ページの「リビジョンアップの実行」ページで「リビジョンダウンの許可」の設定を変更すると、不正な設定完了メッセージが表示される
- RT107eで、かんたん設定ページの[詳細設定と情報]-[リビジョンアップの実行]から不正なバイナリに対してファームウェアのリビジョンアップを行った場合、かんたん設定ページ上で正しくエラー表示されないことがある
- RT107eで、かんたん設定ページのヘルプページで、リビジョンアップに関する注意文が日本語として正しくない
- RT107eで、provider auto connect forced disableコマンドでon/off以外の不正な値を設定してもエラーにならず、offとして設定されてしまう
- RT107eで、かんたん設定ページのヘルプページで、パスワード欄に表示される文字の表記例に"●"がない
- RT107eで、かんたん設定ページの「切断」ボタンを押して「切断処理中」と表示される場合、ブラウザがリロードしない
-
ENTERキーを入力してコマンドを実行した時、矢印キーなどで参照できるヒストリーに保存されるコマンド文字列の末尾に入力していないはずの空白が追加されることがあるバグを修正した。
-
OSPFで、LS-RequestでLSAの情報を送信するよう要求された場合、以下の2つの条件のいずれにも合致する時に間違ったLSAをLS-Updateで送信するバグを修正した。
- LSAのタイプが1(ROUTER)または2(NETWORK)
- 要求されたLSAと、タイプとリンクIDは同じだが広告ルータが異なるLSAを、自身のLSデータベースに保持している
これらの条件が満たされると、LS-Requestを受信した側は本来であればBadLSReqイベントとして処理しなければいけないところを、自身のLSデータベースにある、異なる広告ルータを持つLSAをLS-Updateで送信してしまっていた。
このバグが発生すると、LS-Requestを送信している側では、show status ospf neighborコマンドで表示できる隣接ルータの状態がLOADから先に進まなくなり、LS-Requestの送信を定期的に繰り返すようになる。逆に、LS-Requestを受信している側は、隣接ルータの状態はFULLになる。
-
PPPのMPで通信中に、MPリンクを減らす場合には通常は最後に接続したMPリンクを切断するが、何らかの原因でそれ以外のMPリンクが切断されると、その後、MPリンクの増減が正常に行えなくなってしまうバグを修正した。具体的には、以下のような問題が起きていた。
- MPリンクを増やす条件になっても、新しくMPリンクが追加されない。
- MPリンクが追加されても、それが通信には使われず、通信速度が上がらない。
- MPリンクを減らす条件になっても、MPリンクを切断しない。
- 通常とは違うMPリンクを切断してしまう。
この問題が発生している間でも、MPによる通信自体は行える場合が多い。また、いったんすべてのMPリンクが切断されると、それ以降の通信はまた正常な動作に戻る。
-
ネットボランチDNSのホスト名が設定されていない状態でnetvolante-dns delete goコマンドを実行すると、削除するホスト名が設定されていないのでエラーになるはずが、syslogに Delete Succeeded という間違ったログが表示されるバグを修正した。
-
ip hostコマンド、dns staticコマンドで、ホスト名やFQDNにDNSルートを表すドット(.)を設定しても、DNSルートに関する問い合わせに対して返事を返せないバグを修正した。
この修正に伴い、ip hostコマンド、dns staticコマンドではホスト名やFQDNの末尾にドットがあっても無くても同じ名前として扱うようになった。つまり、以下の2つのコマンドは同じ意味になる。
ip host a.com 192.168.0.1
ip host a.com. 192.168.0.1
show configなどの表示では、ドット一文字だけであるルートの場合を除き、末尾のドットは表示しない。
-
netvolante-dns get hostname list ppコマンドを、PP番号の指定無しに実行すると、不正なPP番号の情報を取得してしまう、または機種によってはリブートするバグを修正した。
-
DDNSホスト名を自動取得、その後開放し、再度自動取得した時に、取得したDDNSホスト名が変更になると、後から取得したホスト名が正しく保存されない場合があるバグを修正した。
-
dns server seceltコマンドで設定されたDNSサーバへのアクセスでPPの接続を開始したとき、syslogのIP Commencingに表示されるDNS問い合わせをしたPCのアドレスが正しくないバグを修正した。
-
インタフェースに MLD host を設定するとリブートする、もしくはリブートしない機種でも参加するマルチキャストグループが多いと動作が不安定になるバグを修正した。リブートはRTX1500以外では発生しない。
-
DHCPサーバからDHCPクライアントにセカンダリネットワークのアドレスを付与するパケットをブロードキャストで送出する場合に、送信元IPアドレスとしてセカンダリアドレスではなくプライマリアドレスを使用するバグを修正した。
-
トンネル2本を使ってフィルタ型ルーティングでIPsecの始点IPアドレスで2つのppを使い分ける時、片方のppがダウンするとそのppを使用するトンネルがダウンするが、そのppを使用していないもう一方のトンネルまでダウンすることがあるバグを修正した。
-
フィルタ型経路に対応できていなかった下記のバグを修正した。
- DHCPリレーエージェント機能でパケットを転送する時、送出インタフェースを受信インタフェースと同一とみなして転送できないことがある
- 帯域検出機能でパケットを送信する際、正しい送出インタフェースが選択されないことがある
- 帯域検出機能でパケットを送出する際、送出インタフェースとは異なるインタフェースのIPアドレスを送信元IPアドレスとすることがある
-
RTX1100とRTX1500で、OSPFでPOINT-TO-POINTタイプのインタフェースの先のOSPFルータが、ルータIDおよびOSPFパケットの始点IPアドレスのいずれもが異なるOSPFルータに変更される時に、インタフェースのダウンや、OSPFのネイバ状態のDOWNを経ないまま入れ換えられると、新しいOSPFルータと隣接関係は確立できるものの、新しいOSPFルータが広告する経路を取り込めないバグを修正した。
-
RTX1100とRTX1500で、OSPFで以下のいずれかの条件に該当する複数の外部経路を取り込もうとすると、その後のルータの動作が不安定になり、不特定のタイミングでリブートすることがあるバグを修正した。
- マスク長が31ビット以下であるネットワーク経路と、そのネットワークのネットワークアドレスと同じ値をもつマスク長が32ビットであるホスト経路
- マスク長が31ビット以下であるネットワーク経路と、そのネットワークのブロードキャストアドレスと同じ値をもつマスク長が32ビットであるホスト経路
-
RTX1100とRTX1500で、OSPFでタイプ5(AS External) LSAとして受け取っている外部経路について、Link State IDが同じままネットワークマスクだけが変更された時に、ルーティングテーブルを変更できないバグを修正した。
タイプ5(AS External) LSAのLink State IDの決め方としてRFC2328 Appenix E記載のアルゴリズムを採用しているOSPFルータと相互接続する時に問題が発生する。
-
RTX1100とRTX1500で、bgp aggregate filterコマンドで、本来は指定したプロトコルの経路だけが集約の対象になるところが、同じネットワークでプロトコルの異なる経路も集約の対象になるバグを修正した。
-
RTX1100とRTX1500で、TCPを使ったSIPパケットをSIP-NAT機能で書き換えた時に、パケットを壊していたバグを修正した。
-
RTX1100とRTX1500で、IPv6アドレスを削除すると、残っているアドレスに対応する要請ノードマルチキャストアドレスが削除される場合があるバグを修正した。
-
RTX1100とRTX1500で、RA proxyでプレフィックスを配布する設定の時、その同じプレフィックスからIPv6アドレスが自動構成された後、同一インタフェースにリンクローカルアドレスが割り振られ、それらの要請ノードマルチキャストアドレスが一致していた場合に、RA proxyで配布するプレフィックスの寿命切れの後リブートが発生するバグを修正した。
-
RTX1100とRTX1500で、自動構成されたIPv6アドレスとそうでないアドレスの要請ノードマルチキャストアドレスが一致していた場合に、非自動構成アドレスがあるにも関わらず要請ノードマルチキャストアドレスが invalid と表示されてしまうバグを修正した。
-
RTX1100とRTX1500で、ルータ自身宛のIPv6 TCPパケットを高負荷で受信し続けると、使用可能なパケットバッファが減っていき、負荷が無くなった後でも送受信性能が落ちる、または送受信不能になってしまう場合があるバグを修正した。
-
RTX1100とRTX1500で、IPv6の動的フィルタが適用される通信を行っている最中に、show ipv6 connectionコマンド、およびログに表示されるIPv6アドレスの表示がおかしくなる不具合を修正した。
-
RTX1100とRTX1500で、dns server selectコマンドのヘルプにおいて、指定可能なタイプとして"aaaa"の表記がないバグを修正した。
-
RTX1100とRTX1500で、netvolante-dns serverコマンドで何らかの値を設定した後に、no netvolante-dns serverコマンドで設定をデフォルトに戻した場合、デフォルト値である"netvolante-dns.netvolante.jp"ではなく、不定な宛先に対して接続を行おうとしてしまうバグを修正した。
-
RTX1100とRTX1500で、netvolante-dns auto hostnameコマンドにおいて、スイッチ(on/off)を設定せずに入力すると、リブートなど動作が不安定になるバグを修正した。
-
RTX1100とRTX1500で、SNMPのプライベートMIBでyrIpKeepaliveStatus変数の値として実際の状態とは異なる値を返すバグを修正した。
具体的には、show status ip keepaliveコマンドの表示で'up'または'down?'と表示されている時に2(down)を、'down'または'up?'と表示されている時に3(up-wait)を返していた。本来は、以下のようになるべきである。
show status ip keepalive |
yrIpKeepaliveStatus |
up |
1(up) |
down |
2(down) |
up? |
3(up-wait) |
down? |
4(down-wait) |
-
RTX1500とRTX1100で、IGMPやPIMを利用して新たなマルチキャストストリーム転送を開始した直後に、パケットの転送が一時的に停止してしまう可能性を排除した。
-
RTX1500とRTX1100で、exec1で起動中にhttp revision-up goコマンドを実行したときにexec0がリビジョンアップされてしまうバグを修正した。
-
RTX1500で、多数のフローでIPsecトンネルのMTUを越えるサイズのパケットがフラグメントされてIPsecトンネルへ送信され続けたときにリブートすることがあるバグを修正した。
-
RTX1500で、IPv6のマルチキャストパケットを転送するとリブートするバグを修正した。
-
RTX1500で、TUNNELインタフェースを利用するなどして多数のインタフェースにIGMPの設定をした場合に、ルータが正しく起動しない不具合を修正した。この不具合のために正しく起動できない場合には、起動直後のログに"task message exhausted"のメッセージが多数出力されていた。
-
RTX1500で、転送性能以下の負荷であるにもかかわらず、帯域制御もしくは優先制御を設定したインタフェースにおいて受信でパケットロスすることがあるのを修正した。
-
RTX1100とRT107eで、ip routing processコマンドの設定がfastになっているとき、IPsec NATトラバーサルの通信ができないバグを修正した。IPsec SAを作るまでは正常に動作するが、受信したパケットを正しく処理しない。
-
RTX1100で、IPv6マルチキャストのパケットをファストパスで処理したとき、show status lanNコマンドで表示される、IPv6パケットの送信カウンタの数が増えない不具合を修正した。
-
RTX1100で、動的フィルタが適用されるIPv6パケットがファストパスで処理されない不具合を修正した。
-
RT107eで、pp keepakive useコマンドでicmp-echoを指定して、downwait=で時間を指定したときに、指定した時間でのダウン検出が正しく行われないバグを修正した。また、ダウン検出後にアップ検出することができないバグを修正した。