http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_20.html
Revision : 09.00.20
Release : Jan. 2007, ヤマハ株式会社

Rev.9.00.20リリースノート


Rev.9.00.15 からの変更点


■機能追加

  1. ipsec ike durationコマンドで、SAを更新するタイミングを設定できるようにした。

    ○SAの寿命の設定

    [書式]
    ipsec ike duration SA GATEWAY_ID SECOND [KBYTES] [rekey REKEY ]
    no ipsec ike duration SA GATEWAY_ID [SECOND [KBYTES] [rekey REKEY ]]
    [設定値]
    SA
    ipsec-sa ... IPsec SA
    isakmp-sa ... ISAKMP SA
    GATEWAY_ID ... セキュリティゲートウェイの識別子
    SECOND ... 秒数 (300 - 691200)
    KBYTES ... キロ単位のバイト数 (100 - 100000)
    REKEY ... SAを更新するタイミング
    パーセント(70% - 90%)
    off ... 更新しない(SAパラメータでisakmp-saを指定したときのみ設定可能)
    [説明]
    IKEで提案するIPsec SAまたはISAKMP SAの寿命を設定する。
    KBYTESパラメータを指定した場合には、SECONDパラメータで指定した時間が経過するか、指定したバイト数のデータを処理した後にSAは消滅する。KBYTESパラメータはSAパラメータとしてipsec-saを指定したときのみ有効である。

    REKEYパラメータはSAを更新するタイミングを決定する。例えば、SECONDパラメータで20000を指定し、REKEYパラメータで75%を指定したときには、SAを生成してから15000秒経過したときに新しいSAを生成する。REKEYパラメータはSECONDパラメータに対する比率を表すもので、KBYTESパラメータの値とは関係がない。

    SAパラメータでisakmp-saを指定したときに限り、REKEYパラメータでoffを設定できる。この場合には、IPsec SAを作る必要がない限り、ISAKMP SAの更新を保留するので、ISAKMP SAの生成を最小限に抑えることができる。ただし、この効果を得るためには次の2点に注意して設定する必要がある。
    1. IPsec SAよりもISAKMP SAの寿命を短く設定する。
    2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-saコマンドの設定をoffにする。
    なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られるSAにのみ、新しい寿命値が適用される。
    [初期値]
    SECOND ... 28800秒
    REKEY ... 75%


  2. 連携機能で、送出するパケットの始点IPアドレスを設定できるようにした。
    下記のコマンドでlocal-addressオプションを追加した。

    NATの外側アドレスも指定できるため、PPPoEのunnumbered接続でNATを使用する構成にも対応できる。

    http://www.rtpro.yamaha.co.jp/RT/docs/bandwidth-measuring/index.html#command
    http://www.rtpro.yamaha.co.jp/RT/docs/load-watch/index.html#command

  3. ipsec ike local addressコマンドに、IPCPで取得する動的アドレスを指定するオプションを追加した。

    ○自分側セキュリティ・ゲートウェイのIP アドレスの設定

    [書式]
    ipsec ike local address GATEWAY_ID IP_ADDRESS
    ipsec ike local address GATEWAY_ID vrrp INTERFACE VRID
    ipsec ike local address GATEWAY_ID ipv6 prefix PREFIX on INTERFACE
    ipsec ike local address GATEWAY_ID ipcp pp PP_NUM
    no ipsec ike local address gateway_id [IP_ADDRESS]
    [設定値]
    GATEWAY_ID ... セキュリティ・ゲートウェイの識別子
    IP_ADDRESS ... 自分側セキュリティ・ゲートウェイのIPアドレス
    INTERFACE ... LAN インタフェース名
    VRID ... VRRP グループID ( 1..255)
    PP_NUM ... PPインタフェース番号
    [説明]
    自分側セキュリティ・ゲートウェイのIP アドレスを設定する。
    vrrp キーワードを指定する第2書式では、VRRP マスターとして動作している場合のみ、指定したLAN インタフェース/VRRP グループID の仮想IPアドレスを自分側セキュリティ・ゲートウェイアドレスとして利用する。
    VRRP マスターでない場合には鍵交換は行わない。
    ipv6 キーワードを指定する第3書式では、IPv6のダイナミックアドレスを指定する。
    ipcp キーワードを指定する第4書式では、IPCPアドレスを取得するPPインタフェースを指定する。
    [ノート]
    本コマンドが設定されていない場合には、相手側のセキュリティ・ゲートウェイに近いインタフェースのIPアドレスを用いてIKEを起動する。

■仕様変更

  1. DHCPリレーエージェント機能で、リレー対象となるパケットサイズのチェックをDHCPサーバ機能と同様に緩めた。

  2. 低位レイヤ整合性情報が
    「非制限ディジタル情報、アウトバンド交渉不可能、回線交換モード、64kbit/s (7c 02 88 90)」
    の場合だけではなく
    「非制限ディジタル情報、アウトバンド交渉可能、回線交換モード、64kbit/s (7c 03 08 c0 90)」
    の場合でも着信を拒否しないようにした。

    なお、自分自身が発信する場合の低位レイヤ整合性情報は
    「非制限ディジタル情報、アウトバンド交渉不可能、回線交換モード、64kbit/s (7c 02 88 90)」
    のままで変わりはない。

  3. イーサネットフィルタ機能でDHCP予約情報を利用する時、任意のイーサネットタイプのパケットを対象にできるようにした。
    例えば以下のようにオフセットバイト列の指定を行うことで、全てのイーサネットタイプのパケットをフィルタにマッチするとみなすことができる。

     ethernet filter 1 pass-nolog dhcp-bind 1 0 *,*

  4. show status bootコマンドで機種名とリビジョン番号を表示するようにした。

  5. console promptコマンドで指定可能な文字列の最大長を16文字から64文字に変更した。

■バグ修正

  1. MMI関連で以下のバグを修正した。

  2. OSPFで、経路のdownとupが短い時間で連続したときに、経路を広告できなくなることがあるバグを修正した。

  3. DHCPサーバからDHCPクライアントにセカンダリネットワークのアドレスを付与するパケットをブロードキャストで送出する場合に、送信元IPアドレスとしてセカンダリアドレスではなくプライマリアドレスを使用するバグを修正した。

  4. IPフィルタで通過または破棄したパケットのログを記録するように設定していて、かつ、dns syslog resolv onと設定していると、パケットのログを記録しようとしたときにハングアップするバグを修正した。

  5. YAMAHA private MIBのyrIfPpAccumulatedConnTimeで表示されるPPの累積接続時間が正しく表示されない可能性があったため、この可能性を排除した。

  6. フィルタ型経路に対応できていなかった下記のバグを修正した。

  7. トンネル2本を使ってフィルタ型ルーティングでIPsecの始点IPアドレスで2つのppを使い分ける時、片方のppがダウンするとそのppを使用するトンネルがダウンするが、そのppを使用していないもう一方のトンネルまでダウンすることがあるバグを修正した。

  8. DHCPサーバ機能において、DHCPクライアントに与えるアドレスを予約する際、
    dhcp scope bind 1 192.168.100.10 ethernet 00:01:02:XX:YY:ZZ
    (192.168.100.10を00:01:02:XX:YY:ZZをMACアドレスとするDHCPクライアントに予約)
    と設定すべきところを、
    dhcp scope bind 1 192.168.100.10 00:01:02:XX:YY:ZZ
    とethernetキーワードを指定せずに誤って設定した場合に、IPアドレスが一切割り当てられないバグを修正した。

    Rev.8.03系のファームと同様に、該当DHCPクライアントには誤って設定されたアドレス(上記例では192.168.100.10)以外のアドレスが割り当てられることになる。

  9. tcp logコマンドを設定することでsyslogに記録されるTCPのコネクションログのうち、受信方向のログにおいて、送信元IPアドレスと宛先IPアドレスが逆になって記録されるバグを修正した。

  10. ルーターが送出するWOL magic packetのIPヘッダのchecksumの値が不正であり、相手の機器によってはWOL機能が動作しないことがあるバグを修正した。

  11. pp enableコマンドでANONYMOUSインタフェースを有効にした場合、2つ目以降に使用されるANONYMOUSでRIPによる経路通知が行われないバグを修正した。

  12. MIBファイルではGAUGE型として定義されているデータをINTEGER型で設定してSNMPトラップyrhCpuUtilTrap、yrhMemoryUtilTrap、yrhSystemAlarmTrapを送信するバグを修正した。

  13. PPP接続状態から切断状態になった直後に、PPP経由でデータを送信しようとするとリブートすることがあるバグを修正した。
    また、MPのリンクを追加または削除するときにリブートする可能性も排除した。

  14. リブート後の起動情報の一部が正しく表示されない場合があるバグを修正した。
    併せて、表示する起動情報を追加した。

  15. IPsecでicmpキープアライブを使用する場合、障害とみなすまでの試行回数の最終回で対向ルーターからのリプライを受信してキープアライブに成功したにもかかわらずトンネルがダウンしてしまうバグを修正した。

  16. BGPで、経路のASパス属性のみが更新された場合、show ip routeコマンドで表示される経路のASパス属性と、show status bgp neighborコマンドで表示されるASパス属性が一致しなくなるバグを修正した。

  17. IPsecの対向SGWへの経路をフィルタ型経路で設定している場合に、設定によっては鍵交換がされずトンネルが確立できないバグを修正した。

  18. LANがリンクアップした状態でVLANの設定を行った場合、VLANに設定した経路がLANの再リンクアップ動作を経るまで反映されないバグを修正した。

  19. 同じPPPoEサーバに接続するために他のPPPoEクライアント機器と並列して設置して使用したときに、そのPPPoEクライアント機器がPPPoEサーバと接続できないことがあるバグを修正した。
    ルータ側には存在しないPPPoEセッションを強制的に切断する機能が原因となっていた。

  20. IPsecのメインモードで応答側として接続した場合に、鍵交換が終了ているにもかかわらず、再度自分から鍵交換を始動してしまう場合のあるバグを修正した。

  21. VRRPで、マスター側のVRRPを設定してあるインタフェースがリンクダウンすると再度リンクアップしたときに優先度が0であるVRRP広告を送信するバグを修正した。

  22. DHCPサーバ機能で、DHCPクライアントの予約設定(dhcp scope bindコマンド)のIPアドレスが特定IPアドレスでなく任意('*'指定)に設定されている場合に、そのクライアントからのIPアドレス延長要求に正しく応答できないバグを修正した。

  23. 長さが0にセットされているTCPオプションを受信するとリブートするバグを修正した。

  24. dns server select ID pp PP_NUM netvolante-dns SERVER ... と設定した時、pp 接続先から DNSサーバのアドレスを取得することができない時でも、ネットボランチDNSサーバへ DNSクエリを送信しないバグを修正した。

  25. イーサネットフィルタ機能で、DHCPの予約設定を利用したフィルタリングを行う時、同じIPアドレスの予約設定を異なるクライアント識別子で再設定すると、その予約設定がフィルタリングに利用できないことがあるバグを修正した。

  26. LANインタフェースのIPアドレスを設定する時、プライマリアドレスとセカンダリアドレスに同じネットワークのIPアドレスを設定した場合、その後IPアドレス設定を変更しても変更前のIPアドレスにしか応答しないバグを修正した。

  27. 専用線接続時にケーブルの抜き差しを行なうとリブートするバグを修正した。

  28. 長いログを保持した状態で、コンソールとtelnetなど、複数の方法で同時にSYSLOGを表示させようとすると、正しく表示されないことがあるバグを修正した。
    先のログと同じログにも関わらず,"same message requested XX times"が記録されずに、先と同じログが表示されてしまうことがあった。

  29. IPsecのトンネルインターフェースにバックアップ先としてIPsecのトンネルインターフェースを設定した場合に、バックアップからの復旧時にUP/DOWNが繰り返され、正常に復旧できないバグを修正した。

  30. anonymous着信でpp user nameコマンドによる双方向でのCHAP認証を行う時、送信するCHAPチャレンジのNameフィールドが常にLAN1のIPアドレスであったのを、clidキーワードで発番号認証を併用することにより接続相手が特定できる場合にはpp user nameコマンドで設定されている自分側のユーザ名とするようにした。

  31. VRRPで、マスターがダウンしたと判定するまでの時間を長くしている時、または、多くのVRRPグループを使用している時に、VRRPに関する内部のタイマが起動できなくなり、以下の状態になることがあるバグを修正した。

  32. PIMの設定の無いインターフェースで、アドレスの変更やインターフェースDOWN/UPが発生するたびに、メモリー使用率が上昇してしまうバグを修正した。

  33. 温度が設定値を超えてもSystemAlarmTrapが飛ばないバグを修正した。

  34. SystemAlarmTrapにFANの情報が正しく設定されないバグを修正した。ONあるいはOFFを表す値が設定されるはずが、温度を表す値が設定されていた。

  35. SNMP機能で、専用線のLinkDown/LinkUpのトラップがその回線の対向側にあるSNMPマネージャに送出されないバグを修正した。

■更新履歴

Jan. 2007, Rev.9.00.20 リリース


以上