不正アクセス検知のメール通知機能を対応した。ただし、GUI設定はありません。
http://www.rtpro.yamaha.co.jp/RT/docs/mail-service-intrusion/index.html
タグVLAN上のPPPoEを利用できるようにした。pppoe useコマンドで、タグVLANインタフェースを指定する。ただし、指定できるのはサブインタフェース番号が1〜8の範囲だけである。
この機能を利用すると、複数のPPPoEをタグVLAN対応L2スイッチで集約して、RTX3000の1つのLANインタフェースで収容することができる。
IPマスカレードで、TCP/FIN通過後のエントリのTTL値は60秒に設定されているが、この値を変更できるようにした。
nat descriptor timerコマンドで、'tcpfin'というキーワードとともに設定する。
○NATのIPアドレスマップの消去タイマの設定
NAT_DESCRIPTOR | ... | NATディスクリプタ番号 (1..2147483647) |
TIME | ... | 消去タイマの秒数 (30-21474836) |
TIME2 | ... | TCP/FIN通過後の消去タイマの秒数 (1-21474836) |
PROTOCOL | ... | プロトコル |
PORT_RANGE | ... | ポート番号の範囲、プロトコルがTCPまたはUDPの場合にのみ有効 |
RAプロキシでDADをトリガにNSを送信する機能を追加した。
IPv6 RAプロキシ機能を利用する際、RTの機器交換が発生すると、上流の機器で下流の機器のグローバルアドレスに対する近隣キャッシュが更新されず、それによって通信できなくなる現象が発生することがある。
それを解決するために、上流の機器に対して下流の機器のグローバルアドレスを送信元とした近隣要請(NS)を送信することによって、上流の機器が近隣キャッシュを更新するように促す、という機能を追加した。このとき、NSを送信するタイミングとしては、下流の機器からアドレス重複チェックを受けたときがトリガとなる。
また、上流の機器に近隣要請(NS)を送信した場合、上流の機器から近隣広告(NA)が返されることになるが、このNAの宛先は、NSの送信元、つまり下流の機器となる可能性があり、下流の機器としては送信していないNSに対するNAを受け取ることになるので、このNAをプロキシしないように変更できる設定も追加した。
○アドレス重複チェックをトリガに近隣要請を行うか否かの設定
ipv6 nd ns-trigger-dad on [option=value] |
ipv6 nd ns-trigger-dad off |
no ipv6 nd ns-trigger-dad [...] |
○on... | 近隣要請を行う |
○off... | 近隣要請を行わない |
○OPTION=VALUE列 |
OPTION | VALUE | 説明 |
---|---|---|
na-proxy | all | 近隣要請を行った後で、アドレス重複チェックの送信 元への近隣広告はすべてプロキシする |
discard-one-time | 近隣要請を行った後で、アドレス重複チェックの送信 元への近隣広告を一回のみ破棄し、その後はプロキシ する |
RIPのタイマーを調整するコマンドを追加した。
○RIPのタイマーを調整する。
UPDATE | ... | 定期的な広告の送信間隔(10〜60(秒)) |
INVALID | ... | 広告を受け取れなくなってから経路を削除するまでの時間(30〜360(秒)) |
HOLDDOWN | ... | 経路が削除されたときにメトリック16で経路を広告する時間(20〜240(秒)) |
UPDATE × 3 ≦ INVALID ≦ UPDATE × 6 |
UPDATE × 2 ≦ HOLDDOWN ≦ UPDATE × 4 |
UPDATE | ... | T |
INVALID | ... | T × 6 |
HOLDDOWN | ... | rip timerコマンドの設定値(デフォルト120秒) |
PPインタフェース以外は該当するコマンドがないため、常にrip timerコマンドの設定値が有効である。
RIPフィルタで、RIP2の場合はネットマスクもフィルタの対象とすることができるようにした。
RIPフィルタでは、送受信するRIPエントリのアドレス部分だけをフィルタの対象とし、RIP2でのみ意味のあるネットマスク部は比較の対象でなかった。そこで、フィルタをネットマスク型で記述した場合のみ、ネットマスク部も比較できるようにした。
ip filter 1 reject 192.168.0.0/16 ip filter 2 pass 192.168.0.0/24
ip filter 10 reject 192.168.0.0-192.168.0.255 ip filter 20 pass 192.168.0.100
○RIP2でのフィルタの比較方法
RULE ... | address-only ... ネットワークアドレスだけを比較対象とする |
with-netmask ... RIP2の場合、ネットワークアドレスとネットマスクを比較対象とする |
rip filter ruleコマンド | プロトコル | 比較方法 |
address-only | RIP1 | ネットマスク型のフィルタは範囲指定と解釈され、RIPエントリーのアドレス部がその範囲に入っているかどうかを比較する。 |
RIP2 | ||
with-netmask | RIP1 | |
RIP2 | ネットマスク型のフィルタの、アドレスとネットマスクがそれぞれ、RIPエントリーのアドレス、ネットマスクと一致するかどうかを比較する。 |
経路テーブルに存在しない経路をRIPで広告することができる機能を追加した。
○RIPで強制的に経路を広告する
IP-ADDRESS/NETMASK ... | 強制的に広告したい経路のネットワークアドレスとネットマスク長、または'default' |
METRIC ... | 広告する際のメトリック値(1〜15) |
経路として'default'を指定した場合にはデフォルト経路が広告される。
○設定例
LAN1側に、LAN2の一部のホストだけを広告する。
ip lan1 address 192.168.0.1/24 ip lan2 address 192.168.1.1/24 rip use on rip filter rule with-netmask ip lan1 rip send on version 2 ip lan1 rip receive on version 2 ip filter 1 reject 192.168.1.0/24 ip filter 100 pass * ip lan1 rip filter out 1 100 ip lan1 rip force-to-advertise 192.168.1.28/30 ip lan1 rip force-to-advertise 192.168.1.100/32 ip lan1 rip force-to-advertise 192.168.1.101/32
BGP UPDATEメッセージ受信の脆弱性問題に対応した。
ISDN回線で帯域制御を使用したときに、データを高負荷で転送しようとするとデータを送信できなくなることがあるバグを修正した。
複数のISDN回線インタフェースを同時に使用したときに、専用線に接続している回線インタフェースのアップダウンが発生すると、他の回線経由で接続されているリモートセットアップを誤って切断するバグを修正した。
RIPよりもプリファレンス値の低い他のプロトコル(静的経路含む)からとRIPからとで同じネットワーク宛の経路をほぼ同時に受信したときに、ごくまれにshow ip routeコマンドでは経路がRIPによるものと表示されるのに、show ip rip tableコマンドでは経路が"other protocol"と表示され、その後RIPからの経路の受信が無くなっても経路が消えなくなることがあるバグを修正した。
IPマスカレード変換で動的なセッションの総数を制限した。
静的IPマスカレードの設定がされているとき、外側から内側への通信でセッションが無制限にはられてしまい、動作が不安定になる要因となっていた。
Winny検知を有効にした状態で、TCPセッションが同時に多数発生するとリブートするバグを修正した。
DHCPサーバー機能で、大量のDHCPクライアントから同時にDHCPメッセージを受信すると、リブートするなどルータの動作が不安定になるバグを修正した。
LAN1以外のLANインタフェースでDHCPクライアント機能によりアドレスを割り当てられたときにARPリクエストが送出されないバグを修正した。
SNMPで、受信したPDU中のINTEGER型の値に対して、ITU-T X.690 8.3.2節に記述されている規則のチェックを行わないようにした。
その規則を守らないSNMPマネージャーとの間で通信ができるようになる。
yrfLoginTrapの仕様を変更し、ログイン状態に変化のあったコネクションの情報だけをVARIABLEとしてつけることにした。具体的には、以下のMIB変数を要素として持つテーブルyrfLoginTableを新設し、そこにログイン情報を集めることにした。yrfLoginTrapに付けるMIB変数は、yrfLoginTableの1エントリ分となる。
これに伴い、従来のログイン情報である以下のMIB変数はMIBファイル上ではobsoleteとした。ただし、読み出した場合にはそれぞれ該当するyrfLoginStats変数やyrfLoginFromIpが読み出せるようにしている。
この修正により、TELNET多重化およびSSHD機能実装後にyrfLoginTrapが送信できなくなっていたバグが修正される。
TFTPでconfigファイルをルーターにアップロードする場合に、configファイル中にrestartコマンドが記述してあっても、以下の条件に合致する場合にはルーターの再起動が行われないバグを修正した。
または、
configファイル中のrestartコマンドの直前にsaveコマンドが記述されていればこの問題は発生しない。
upwaitパラメータを指定したipsec ike keepalive useコマンドを設定した後にno ipsec ike keepalive useコマンドを設定しても、先のupwaitパラメータの指定が残った状態で動作するバグを修正した。
queue INTERFACE/pp class property コマンドについて以下を修正した。
queue class property コマンドの帯域の設定値およびspeed ppコマンドの速度の設定値について、上限を1000Mまでとした。
ip/ipv6 filter dynamic コマンドのsyslogオプションの設定でon/offの後に文字を続けてもエラーにならないバグを修正した。
ip/ipv6 filter dynamic コマンド設定の入力時に、プロトコルを不正な文字列で設定を行うとパラメータの数が不適当ですと表示していたが、正しくパラメータのキーワードが認識できませんと表示するように修正した。
wol send コマンドで、一部のパラメータについてタブ補完が効かなかったバグを修正した。
ipsec ike local address コマンドおよび ipsec ike remote address コマンドについて、パラメータにIPアドレスを設定するときに0.0.0.0や0::0を設定できないように変更した。
以下のコマンドについて、IPアドレスとして0.0.0.0を入力してもエラーにならないバグを修正した。
以下のコマンドが一般ユーザで使用できてしまうバグを修正した。
system temperature threshold
system packet-buffer
clear url filter コマンドと url filter external-database id check go コマンドについて、一般ユーザで使用できてしまうバグとコマンドに'|'を付けてもエラーにならないバグを修正した。
SNMPで、sysUpTime変数が49日あまりで0に戻ってしまうバグを修正した。
497日あまりで0に戻るのが正しい。