http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_87.txt Revision : 08.03.87 Release : Jan. 2010, ヤマハ株式会社 Rev.8.03.87 リリースノート ================================================================================ ○RTX1100/RTX1500/RT107e Rev.8.03.83 からの変更点 ================================================================================ ■機能追加 [1] ipv6 filterコマンドでICMPv4(プロトコル番号:1)を設定できるようにした。 プロトコルを"1","icmp4"とするとICMPv4がフィルタリングされ、プロトコルを"58", "icmp","icmp6"とするとICMPv6がフィルタリングされるようになった。 対象機種:RTX1100, RTX1500, RT107e [2] TCPセッション数制限機能を追加した。なお、本機能はTCP脆弱性対策である。 ○ルーターが端点となるTCPのセッション数の設定 [書式] tcp session limit LIMIT no tcp session limit [LIMIT] [設定値] ・LIMIT ... 制限値 ・32〜65535 ・none ... 制限しない [説明] ルーターが端点となるTCPのセッション数を制限する。 noneを選択した場合には制限を設けない。 [ノート] ルーターと直接通信しない場合にはこの制限は適用されない [初期値] 1000 対象機種:RTX1100, RTX1500, RT107e [3] 同一インタフェースに折り返すパケットを送信するか否かの設定を追加した。 ○同一インタフェースに折り返すパケットを送信するか否かの設定 [書式] ip INTERFACE rebound SWITCH ip pp rebound SWITCH ip tunnel rebound SWITCH no INTERFACE rebound [SWITCH] no ip pp rebound [SWITCH] no ip tunnel rebound [SWITCH] [設定値] ・INTERFACE ... LANインタフェース名 ・SWITCH ・on .... 折り返すパケットを送信する ・off ... 折り返すパケットを送信しない [説明] 同一インタフェースに折り返すパケットを送信するか否かを設定する。 折り返すパケットを送信しない場合にはそのパケットを廃棄し、送信元へ ICMP Destination Unreachableを送信する。 [初期値] off(PPインタフェースの場合) on(その他のインタフェースの場合) 対象機種:RTX1100, RTX1500, RT107e [4] NTPパケットの始点IPアドレスを設定できるコマンドを新設した。 ○NTPパケットを送信するときの始点IPアドレスの設定 [書式] ntp local address IP_ADDRESS no ntp local address [説明] NTPパケットを送信するときの始点IPアドレスを設定する。 始点IPアドレスが設定されていないときは、通常のUDPパケットの送信ルールに 従い、出力インタフェースのIPアドレスを利用する。 [初期値] 設定なし 対象機種:RTX1100, RTX1500, RT107e [5] tracerouteコマンドで、始点IPアドレスを設定できるようにした。 ○traceroute [書式] traceroute HOST [noresolv] [-sa SOURCE] [設定値] ・HOST ....... traceruteをかけるホストのIPアドレス(xxx.xxx.xxx.xxx)、 またはホスト名 ・noresolv ... DNSによる解決を行わないことを示すキーワード ・SOURCE ..... 始点IPアドレス [説明] 指定したホストまでの経路を調べて表示する。 対象機種:RTX1100, RTX1500, RT107e [6] ip keepaliveコマンドで、始点IPアドレスを設定できるようにした。OPTIONに local-address=(始点IPアドレス) を指定することで設定できる。 ○ネットワーク監視機能の設定 [書式] ip keepalive NUM KIND INTERVAL COUNT GATEWAY [GATEWAY ...] [option=value ...] no ip keepalive NUM [設定値] ・NUM ............. このコマンドの識別番号(1..100) ・KIND ............ 監視方式 ・icmp-echo ..... ICMP Echoを使用する ・INTERVAL ........ キープアライブの送信間隔秒数(1..65535) ・COUNT ........... 到達性がないと判断するまでに送信する回数(3..100) ・GATEWAY ・IPアドレス .... xxx.xxx.xxx.xxx(xxx は十進数) ・dhcp INTERFACE ・INTERFACE ... DHCPにて与えられるデフォルトゲートウェイを使う場合の、 DHCPクライアントとして動作するLANインターフェース名 ・OPTION=VALUE列 ┌───────────┬──────────┬────────────────────────┐ |OPTION |VALUE |説明 | ├───────────┼──────────┼────────────────────────┤ | |on |SYSLOGを出力する | |log ├──────────┼────────────────────────┤ | |off |SYSLOGを出力しない | ├───────────┼──────────┼────────────────────────┤ |upwait |秒数 |到達性があると判断するまでの待機時間(1..1000000)| ├───────────┼──────────┼────────────────────────┤ |downwait |秒数 |到達性がないと判断するまでの待機時間(1..1000000)| ├───────────┼──────────┼────────────────────────┤ |length |バイト |ICMP Echoパケットの長さ(64-1500) | ├───────────┼──────────┼────────────────────────┤ |local-address |IPアドレス |始点IPアドレス | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |DOWN→UPまたはUP→DOWNに状態が変化した場合に、指| |ipsec-refresh |ゲートウェイの識別子|定のセキュリティ・ゲートウェイに属するSAを強制的| | | |に更新(複数指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |DOWN→UPに状態が変化した場合のみ、指定のセキュリ| |ipsec-refresh-up |ゲートウェイの識別子|ティ・ゲートウェイに属するSAを強制的に更新(複数 | | | |指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |UP→DOWNに状態が変化した場合のみ、指定のセキュリ| |ipsec-refresh-down |ゲートウェイの識別子|ティ・ゲートウェイに属するSAを強制的に更新(複数 | | | |指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | | |ICMP Echoパケットを送信する際、該当する経路に複 | | |head |数のゲートウェイが指定されていても、必ず最初に指| | | |定されたゲートウェイへ送出する | |gateway-selection-rule├──────────┼────────────────────────┤ | | |ICMP Echoパケットを送信する際、該当する経路に複 | | |normal |数のゲートウェイが指定されていたら、通常の規則に| | | |従い送出ゲートウェイを選択する | └───────────┴──────────┴────────────────────────┘ [説明] 指定したゲートウェイに対してICMP Echoを送信し、その返事を受信できるかど うかを判定する。 [ノート] Rev.7.01 以上で実行可能である。 lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全体 の長さではない。 lengthパラメータは、Rev.7.01.43、Rev.8.01.18、Rev.8.02.35 以降で指定可能 である。 local-addressパラメータは、Rev.8.03.87 以降で指定可能である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、ネット ワークバックアップ機能の主系/従系回線の切り替え時において、IPsec通信の 復旧時間を短縮させる際に有効である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、RT107e を除くRev.8.03.68以降で指定可能である。 gateway-selection-ruleパラメータは、RT107eを除くRev.8.03.68以降で指定可 能である。 RT107eとSRT100でのみGATEWAYパラメータでdhcp INTERFACEを指定できる。 [初期値] log = off upwait = 5 downwait = 5 length = 64 local-address 設定なし ipsec-refresh 設定なし ipsec-refresh-up 設定なし ipsec-refresh-down 設定なし gateway-selection-rule = head [設定例] ネットワークバックアップ機能で従系回線pp11から主系回線pp10へ復旧する際に、 IPsec接続で使用しているセキュリティ・ゲートウェイの識別子3に属するSAを強 制的に更新させる。 # ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0 # ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3 ネットワークバックアップ機能を利用して、IPキープアライブ1がダウンしたの をトリガーにして経路172.16.224.0/24を活性化させる。 # ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0 # ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2 # ip keepalive 1 icmp-echo 5 5 192.168.100.101 # ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule=normal 対象機種:RTX1100, RTX1500, RT107e ■仕様変更 [1] 外部データベース参照型URLフィルターで、対応するデジタルアーツのデータベース を新データベースに変更した。 外部データベース参照型URLフィルターでデジタルアーツの旧データベースを使用し ている場合、既存のconfigのままではリビジョンアップ後の再起動時にurl filter external-database useコマンドはエラーとなり、外部データベース参照型URLフィル ターが機能しなくなる。 また、新データベースは旧データベースとカテゴリ番号が異なるため、新データベー スでurl filter external-database useコマンドを設定して外部データベース参照型 URLフィルターを機能させるときには、同時にカテゴリ番号についても再設定が必要 である。 対象機種:RTX1100, RT107e [2] 外部データベース参照型URLフィルターについて、特定拡張子を持つURLのカテゴリ確 認を行うか否かを設定する機能を、外部データベースとしてデジタルアーツを選択し ても使えるようにした。 対象機種:RTX1100, RT107e [3] かんたん設定ページからリビジョンアップするときに表示されるソフトウェアライ センス契約の文章を変更した。 対象機種:RT107e [4] かんたん設定ページの[インターフェース]のヘルプに、NULLインターフェースと LOOPBACKインターフェースに対応していない旨を追記した。 対象機種:RTX1100, RTX1500 ■バグ修正 [1] (欠番) [2] SSHで繰り返し接続を行うと、通信ができなくなったり、ルーターの動作が不安定に なることがあるバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [3] IPヘッダに不正なオプションが含まれているとリブートするバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [4] IPsecにおいて、ipsec ike remote addressコマンドをFQDNで指定、もしくは'any'と 指定し、その結果IPv6アドレスの対向ゲートウェイとIPsecトンネルを確立した場合、 そのトンネルへ送出されるパケットがファストパスで処理されないバグを修正した。 対象機種: RTX1100, RT107e [5] SSHによる接続が確立された状態で、新たなSSH接続要求が拒否された場合、既に確立 されていたSSH接続がハングアップし、その状態でキー入力を続けるとメモリリーク によるリブートが発生するバグを修正した。 対象機種: RTX1100, RTX1500, RT107e [6] かんたん設定ページで、設定が存在しないフィルタについて設定を変更しようとする とリブートするバグを修正した。 対象機種: RT107e [7] かんたん設定ページで、画像の代替テキストに誤った記述があるバグを修正した。 対象機種: RT107e [8] ip reboundコマンドのコマンドヘルプにおいて、コンソールの文字コードがASCIIの 場合でもデフォルト値のみ日本語で表示されるバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [9] show status userコマンドを実行するとハングアップ、またはリブートすることがあ るバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [10] url INTERFACE filterコマンドのオンラインヘルプの誤記を修正した。 対象機種:RTX1100, RT107e [11] tunnel templateコマンドでトンネルインタフェースを追加しても、再起動をしない と以下の表示が有効にならないバグを修正した。 ・show status tunnelコマンドのIPv6パケット用のカウンタ表示 ・show ipv6 addressコマンドのトンネルインタフェースの表示 対象機種:RTX1100, RTX1500, RT107e [12] 生存通知機能(リリース2)で、使用していないheartbeat2 receive RECV_IDコマンド が設定されていると、生存通知機能(リリース2)のパケットが受信されないことがあ るバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [13] restartコマンドのオンラインヘルプの誤記を修正した。 対象機種:RTX1100, RTX1500 [14] 連続して同じログを出力することでログバッファに重複したログが存在していた場 合、show logコマンドで実行エラーになると、ログに "same message repeated N times"というログが出力されるバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [15] no user attributeコマンドのオンラインヘルプに省略可能なパラメータであるユー ザ名の記述がない不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [16] タグVLANが設定されているインタフェースからIPv6マルチキャストパケットを送信 する場合、IEEE802.1Qタグがつかないバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [17] timezoneコマンドの設定を変更すると、show environmentコマンドで表示される 「起動時刻」が更新されず、「起動からの経過時間」も不正な値になってしまうバ グを修正した。 対象機種:RTX1100, RTX1500, RT107e [18] LAN分割が設定されている場合に、QoS設定のような論理インタフェースに適用でき ないコマンドでもlan1の表示がlan1.1と表示されてしまうバグを修正した。以下の コマンドが該当する。 ・speed INTERFACE ・queue INTERFACE type ・queue INTERFACE class property ・queue INTERFACE default class ・queue INTERFACE length 対象機種:RTX1100, RTX1500 [19] DHCPサーバー機能で、クライアントからのDISCOVERメッセージ中に、DHCPでリース するネットワークとは異なるネットワークのIPアドレスがRequested IP Addressオ プションで要求されている場合、以前リースしたものとは異なるIPアドレスをリー スしてしまうバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [20] DHCPサーバ機能で、DHCPクライアントからDHCPDECLINEを受信するとリブートするこ とがあるバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [21] かんたん設定ページの[詳細設定と情報]-[システム情報のレポート作成]ページを開 いたり、[コマンドの実行]ページから任意のコマンドを実行すると、 "damaged block〜" というログが表示されるバグを修正した。 対象機種:RT107e [22] GUIから以下のコマンドを実行できないバグを修正した。 ・ip I/F arp queue length ・pppoe invalid-session forced close ・tcp log ・dns host ・ip flow timer ・ip I/F arp static ・ip arp timer ・ip I/F arp log 対象機種:RT107e [23] netvolante-dns set hostnameコマンドで、'serial'パラメーターを省略して入力し てもエラーにならないことがあるバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [24] no tcp logコマンドのコマンドヘルプが表示されないバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [25] 以下のコマンドのコマンドヘルプで、IDの説明が表示されないバグを修正した。 ・no auth user ・no auth user attribute ・no auth user group ・no auth user group attribute 対象機種:RTX1100, RTX1500, RT107e [26] ipsec ike remote addressコマンドで255文字のホスト名を設定した場合、ホスト名 の名前解決に失敗し、IPsecの接続ができない不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [27] LAN経由のキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレ スを指定した場合、キープアライブが正常に動作せず、常にダウン検知される不具 合を修正した。 対象機種:RTX1100, RTX1500, RT107e [28] no dhcp scope lease type コマンドで設定されていないスコープ番号を指定すると、 不正に設定が追加されるバグを修正した。また、設定されていないスコープ番号を 指定した場合、エラーメッセージを出力するようにした。 対象機種:RTX1100, RTX1500, RT107e [29] 256文字以上のパラメータ、またはスペースを含むパラメータを入力した後、以降の パラメータのタブ補完が効かない不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [30] GUIの[IPsec]ページの「設定の検証」を実行すると、メモリの不正アクセスをして 機種によってはリブートすることがあったバグを修正した。 対象機種:RTX1100, RTX1500 [31] 生存通知2で送信側と受信側で暗号化の設定が異なる場合、受信側で不正なログが 出力されることがある不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [32] TELNET EC(Erase Character)、またはTELNET EL(Erase Line)シーケンスのパケット を受信するとメモリの不正アクセスをし、機種によってはリブートすることがある バグを修正した。 対象機種:RTX1100, RTX1500, RT107e [33] auth user attributeコマンドの"xauth-address="オプションにIPv6アドレスを指定 すると、任意のIPv4アドレスが設定されてしまうバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [34] no login userコマンドでユーザ名を指定せずに入力できることがある不具合を修正 した。この場合、直前にlogin userコマンドで設定したユーザが削除されることが ある。 また、no login userコマンドのオンラインヘルプで必須パラメータであるユーザ名 の記述がない不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [35] sshd encrypt algorithmコマンドで、パラメータを重複して指定してもエラーにな らないバグを修正した。 対象機種:RTX1100, RTX1500, RT107e [36] heartbeat receiveコマンドのオンラインヘルプのデフォルト値がアルファベット大 文字で表示される不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [37] トンネルテンプレートとなるトンネルインタフェースの設定で以下のコマンドを変 更すると、そのテンプレートの適用先のトンネルインタフェースに設定されている 同じコマンドが優先されず、トンネルテンプレートの設定が適用されるバグを修正 した。 ・ipsec ike log GATEWAY TYPE コマンド ・ipsec ike keepalive log GATEWAY SW コマンド ・ipsec ike keepalive use GATEWAY SW コマンド ・ipsec ike nat-traversal GATEWAY SW コマンド 対象機種:RTX1100, RTX1500, RT107e [38] ip keepaliveコマンドで以下のバグを修正した。 ・IPv6アドレスを指定したとき、正しく動作しない ・no ip keepaliveコマンドで、ID以降に任意の文字を指定するとエラーになる 対象機種:RTX1100, RTX1500, RT107e [39] dhcp scopeコマンドのexpireとmaxexpireの設定で、設定可能な最大値より大きな値 を設定してもエラーにならなかったり、ある値以上が設定できない場合があるバグ を修正した。 対象機種:RTX1100, RTX1500, RT107e [40] IPv6 ICMP EchoによるIKEキープアライブにおいて、送信したICMP Echo Requestに 対する ICMP Echo Replyを受信していない場合、以降のIKEキープアライブが行われ ない不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [41] IPv6 ICMP EchoによるIKEキープアライブにおいて、ipsec ike keepalive logコマ ンドの設定に関わらず、ICMP Echo Request送信時にログが出力されない不具合を修 正した。 対象機種:RTX1100, RTX1500, RT107e [42] IPv6 ICMP EchoによるIKEキープアライブを使用するとき、拠点数が多いと障害を誤 検知してトンネルがダウンすることがある不具合を修正した。 対象機種:RTX1100, RTX1500, RT107e [43] PPインタフェースに適用するNATの外側アドレスとして固定IPアドレスを設定した場 合、PPPのIPCPネゴシエーションで得たIPアドレスを自アドレスとして扱っていた。 例えばLAN側からのpingに応答していた。 これを、NATの外側アドレスの設定に関わらず、IPCPで得られたアドレスは自アドレ スとして扱わないようにした。 対象機種:RTX1100, RTX1500, RT107e [44] GUIからのコマンドの入力で半角カタカナを入力実行するとハングするバグを修正し た。また、config番号を指定してGUIからrestartコマンドを発行すると画面に何も 表示されないバグを併せて修正した。 対象機種:RT107e [45] LAN分割したインターフェースにマルチキャストパケットを転送するとリブートする バグを修正した。 対象機種:RTX1500 [46] ISDN回線交換で通信中着信が発生し回線が確保できない場合に、不正なメモリ領域 を参照し、ごく稀にリブートしてしまうバグを修正した。 対象機種: RTX1100, RTX1500 ■更新履歴 Jan. 2010, Rev.8.03.87 リリース ================================================================================ 以上