Rev.9.00.37リリースノート

Rev.9.00.31 からの変更点

■機能追加

1. 不正アクセス検知のメール通知機能を対応した。ただし、GUI設定はありません。

   http://www.rtpro.yamaha.co.jp/RT/docs/mail-service-intrusion/index.html

2. タグVLAN上のPPPoEを利用できるようにした。pppoe useコマンドで、タグVLANインタフェースを指定する。ただし、指定できるのはサブインタフェース番号が1〜8の範囲だけである。

   この機能を利用すると、複数のPPPoEをタグVLAN対応L2スイッチで集約して、RTX3000の1つのLANインタフェースで収容することができる。

3. IPマスカレードで、TCP/FIN通過後のエントリのTTL値は60秒に設定されているが、この値を変更できるようにした。
   nat descriptor timerコマンドで、'tcpfin'というキーワードとともに設定する。

   ○NATのIPアドレスマップの消去タイマの設定

   [書式]

   nat descriptor timer NAT_DESCRIPTOR TIME
   nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] TIME
   nat descriptor timer NAT_DESCRIPTOR tcpfin TIME2
   no nat descriptor timer NAT_DESCRIPTOR [TIME]
   no nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] [TIME]
   no nat descriptor timer NAT_DESCRIPTOR tcpfin [TIME2]
   

   [設定値]

   NAT_DESCRIPTOR	...	NATディスクリプタ番号 (1..2147483647)
   TIME	...	消去タイマの秒数 (30-21474836)
   TIME2	...	TCP/FIN通過後の消去タイマの秒数 (1-21474836)
   PROTOCOL	...	プロトコル
   PORT_RANGE	...	ポート番号の範囲、プロトコルがTCPまたはUDPの場合にのみ有効

   [説明]

   NATやIPマスカレードのセッション情報を保持する期間を表すNATタイマを設定する。IPマスカレードの場合には、プロトコルやポート番号別のNATタイマを設定することもできる。指定されていないプロトコルの場合は、第一の形式で設定したNATタイマの値が使われる。
   IPマスカレードの場合には、TCP/FIN通過後のNATタイマを設定することができる。TCP/FINが通過したセッションは終了するセッションなので、このタイマを短くすることでNATテーブルの使用量を抑えることができる。

   [初期値]

   TIME ... 900, プロトコルごとの設定はなし
   TIME2 ... 60

4. RAプロキシでDADをトリガにNSを送信する機能を追加した。

   IPv6 RAプロキシ機能を利用する際、RTの機器交換が発生すると、上流の機器で下流の機器のグローバルアドレスに対する近隣キャッシュが更新されず、それによって通信できなくなる現象が発生することがある。
   それを解決するために、上流の機器に対して下流の機器のグローバルアドレスを送信元とした近隣要請(NS)を送信することによって、上流の機器が近隣キャッシュを更新するように促す、という機能を追加した。このとき、NSを送信するタイミングとしては、下流の機器からアドレス重複チェックを受けたときがトリガとなる。
   また、上流の機器に近隣要請(NS)を送信した場合、上流の機器から近隣広告(NA)が返されることになるが、このNAの宛先は、NSの送信元、つまり下流の機器となる可能性があり、下流の機器としては送信していないNSに対するNAを受け取ることになるので、このNAをプロキシしないように変更できる設定も追加した。

   ○アドレス重複チェックをトリガに近隣要請を行うか否かの設定

   [書式]

   ipv6 nd ns-trigger-dad on [option=value]

   ipv6 nd ns-trigger-dad off

   no ipv6 nd ns-trigger-dad [...]

   [設定値]

   ○on...	近隣要請を行う
   ○off...	近隣要請を行わない
   ○OPTION=VALUE列

   OPTION	VALUE	説明
   na-proxy	all	近隣要請を行った後で、アドレス重複チェックの送信 元への近隣広告はすべてプロキシする
   	discard-one-time	近隣要請を行った後で、アドレス重複チェックの送信 元への近隣広告を一回のみ破棄し、その後はプロキシ する

   [説明]

   RAプロキシにおいて、下流よりアドレス重複チェックの近隣要請を受信した際
   に、そのグローバルアドレスを送信元とした近隣要請を上流に送信するか否か
   を設定する。

   [初期値]

   off
   na-proxy=all

5. RIPのタイマーを調整するコマンドを追加した。

   ○RIPのタイマーを調整する。

   [書式]

   rip timer UPDATE [INVALID [HOLDDOWN]]
   no rip timer [UPDATE...]

   [設定値]

   UPDATE	...	定期的な広告の送信間隔(10〜60(秒))
   INVALID	...	広告を受け取れなくなってから経路を削除するまでの時間(30〜360(秒))
   HOLDDOWN	...	経路が削除されたときにメトリック16で経路を広告する時間(20〜240(秒))

   [説明]

   RIPのタイマー値を設定する。
   UPDATE、INVALID、HOLDDOWNの各値の間には以下の不等式が成立している必要がある。
   

   UPDATE × 3 ≦ INVALID ≦ UPDATE × 6

   UPDATE × 2 ≦ HOLDDOWN ≦ UPDATE × 4

   [ノート]

   PPインタフェースに対し、ip pp rip connect/disconnect interval コマンドが設定されているときは、そのコマンドの設定値がrip timer コマンドに優先する。ただし、ip pp rip connect/disconnect intervalコマンドはUPDATEタイマーとINVALIDタイマーの値に影響するが、HOLDDOWNタイマーの値には影響しない。
   ip pp rip connect/disconnect intervalコマンドの設定値をTとした場合、各タイマーは以下のようになる。
   

   UPDATE	...	T
   INVALID	...	T × 6
   HOLDDOWN	...	rip timerコマンドの設定値(デフォルト120秒)

   PPインタフェース以外は該当するコマンドがないため、常にrip timerコマンドの設定値が有効である。

   [初期値]

   UPDATE: 30秒
   INVALID: UPDATE × 6 (180秒)
   HOLDDOWN: UPDATE × 4 (120秒)

6. RIPフィルタで、RIP2の場合はネットマスクもフィルタの対象とすることができるようにした。

   RIPフィルタでは、送受信するRIPエントリのアドレス部分だけをフィルタの対象とし、RIP2でのみ意味のあるネットマスク部は比較の対象でなかった。そこで、フィルタをネットマスク型で記述した場合のみ、ネットマスク部も比較できるようにした。

   • rip filter ruleコマンドを新設し、このコマンドの設定値がwith-netmaskの場合には、RIP2であればネットマスクまで含めてフィルタとエントリを比較する。デフォルト値はaddress-onlyであり、ネットマスクは比較の対象とはしない。
   • RIP1の場合は、rip filter ruleコマンドの設定にかかわらず、ネットマスクは比較の対象としない。
   • ネットマスクを比較の対象とできるのは、ip filterコマンドの始点アドレス部を、以下の例のようにネットマスク型で記述した場合のみである。

     ip filter 1 reject 192.168.0.0/16
     ip filter 2 pass 192.168.0.0/24
     

   • 以下のような範囲型のフィルタや、ネットマスク無しのフィルタの場合は、設定にかかわらずアドレスのみが比較対象となる。

     ip filter 10 reject 192.168.0.0-192.168.0.255
     ip filter 20 pass 192.168.0.100
     

   ○RIP2でのフィルタの比較方法

   [書式]

   rip filter rule RULE
   no rip filter rule [RULE]

   [設定値]

   RULE ...	address-only ... ネットワークアドレスだけを比較対象とする
   	with-netmask ... RIP2の場合、ネットワークアドレスとネットマスクを比較対象とする

   [説明]

   RIPフィルタで、設定されたフィルタとRIPエントリの内容の比較方法を設定する。

   rip filter ruleコマンド	プロトコル	比較方法
   address-only	RIP1	ネットマスク型のフィルタは範囲指定と解釈され、RIPエントリーのアドレス部がその範囲に入っているかどうかを比較する。
   	RIP2
   with-netmask	RIP1
   	RIP2	ネットマスク型のフィルタの、アドレスとネットマスクがそれぞれ、RIPエントリーのアドレス、ネットマスクと一致するかどうかを比較する。

   [初期値]

   address-only

7. 経路テーブルに存在しない経路をRIPで広告することができる機能を追加した。

   • ip INTERFACE rip force-to-advertiseコマンドを新設し、このコマンドで設定した経路を経路テーブルにない場合でも強制的にRIPで通知する。
   • RIPフィルタと組み合わせることで、経路テーブルにはネットワーク経路が存在するが、ネットワーク全体は広告せずその一部分だけを広告する、ということが可能になる。
   • ip INTERFACE rip force-to-advertiseコマンドで経路を設定しても、RIP以外の他の動的経路制御プロトコルの動作には影響を与えない。
   • RIP1の場合には、経路のアドレス部だけが広告され、ネットマスクは広告されない。そのため、経路の一部分だけの広告という動作が期待通り動かない可能性が高い。できるだけ、RIP2を使用すべきである。

   ○RIPで強制的に経路を広告する

   [書式]

   ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC]
   no ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC]
   

   [設定値]

   IP-ADDRESS/NETMASK ...	強制的に広告したい経路のネットワークアドレスとネットマスク長、または'default'
   METRIC ...	広告する際のメトリック値(1〜15)

   [説明]

   設定した経路が経路テーブルに存在しない場合でも、指定されたインタフェースに対し、RIPで経路を強制的に広告する。

   経路として'default'を指定した場合にはデフォルト経路が広告される。

   [初期値]

   METRIC: 1

   ○設定例

   LAN1側に、LAN2の一部のホストだけを広告する。

   ip lan1 address 192.168.0.1/24
   ip lan2 address 192.168.1.1/24
   
   rip use on
   rip filter rule with-netmask
   ip lan1 rip send on version 2
   ip lan1 rip receive on version 2
   
   ip filter 1 reject 192.168.1.0/24
   ip filter 100 pass *
   ip lan1 rip filter out 1 100
   
   ip lan1 rip force-to-advertise 192.168.1.28/30
   ip lan1 rip force-to-advertise 192.168.1.100/32
   ip lan1 rip force-to-advertise 192.168.1.101/32
   

■バグ修正

1. BGP UPDATEメッセージ受信の脆弱性問題に対応した。

   http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU929656.html

2. ISDN回線で帯域制御を使用したときに、データを高負荷で転送しようとするとデータを送信できなくなることがあるバグを修正した。

3. 複数のISDN回線インタフェースを同時に使用したときに、専用線に接続している回線インタフェースのアップダウンが発生すると、他の回線経由で接続されているリモートセットアップを誤って切断するバグを修正した。

4. RIPよりもプリファレンス値の低い他のプロトコル(静的経路含む)からとRIPからとで同じネットワーク宛の経路をほぼ同時に受信したときに、ごくまれにshow ip routeコマンドでは経路がRIPによるものと表示されるのに、show ip rip tableコマンドでは経路が"other protocol"と表示され、その後RIPからの経路の受信が無くなっても経路が消えなくなることがあるバグを修正した。

5. IPマスカレード変換で動的なセッションの総数を制限した。

   静的IPマスカレードの設定がされているとき、外側から内側への通信でセッションが無制限にはられてしまい、動作が不安定になる要因となっていた。

6. Winny検知を有効にした状態で、TCPセッションが同時に多数発生するとリブートするバグを修正した。

7. DHCPサーバー機能で、大量のDHCPクライアントから同時にDHCPメッセージを受信すると、リブートするなどルータの動作が不安定になるバグを修正した。

8. LAN1以外のLANインタフェースでDHCPクライアント機能によりアドレスを割り当てられたときにARPリクエストが送出されないバグを修正した。

9. SNMPで、受信したPDU中のINTEGER型の値に対して、ITU-T X.690 8.3.2節に記述されている規則のチェックを行わないようにした。

   その規則を守らないSNMPマネージャーとの間で通信ができるようになる。

10. yrfLoginTrapの仕様を変更し、ログイン状態に変化のあったコネクションの情報だけをVARIABLEとしてつけることにした。具体的には、以下のMIB変数を要素として持つテーブルyrfLoginTableを新設し、そこにログイン情報を集めることにした。yrfLoginTrapに付けるMIB変数は、yrfLoginTableの1エントリ分となる。

    • yrfLoginIndex ... インデックス番号
    • yrfLoginProtocol ... プロトコル、(serial(1), remote(2), telnet(3), ssh(4))
    • yrfLoginStatus ... ログインの状態 (notlogin(1), login(2), administorator(3))
    • yrfLoginUser ... ユーザー名
    • yrfLoginFromIp ... TELNET/SSHの場合のユーザー端末のIPアドレス

    これに伴い、従来のログイン情報である以下のMIB変数はMIBファイル上ではobsoleteとした。ただし、読み出した場合にはそれぞれ該当するyrfLoginStats変数やyrfLoginFromIpが読み出せるようにしている。

    • yrfLoginSerial ... yrfLoginProtocolがserial(1)のyrfLoginStatus
    • yrfLoginTelnet ... yrfLoginProtocolがtelnet(3)になるうちの最も若番のyrfLoginStatus
    • yrfLoginTelnetFrom ... yrfLoginProtocolがtelnet(3)になるうちの最も若番のyrfLoginFromIp
    • yrfLoginRemote ... yrfLoginProtocolがremote(2)のyrfLoginStatus
    • yrfLoginSSH ... yrfLoginProtocolがssh(3)になるうちの最も若番のyrfLoginStatus
    • yrfLoginSSHFrom ... yrfLoginProtocolがssh(4)になるうちの最も若番のyrfLoginStatus

    この修正により、TELNET多重化およびSSHD機能実装後にyrfLoginTrapが送信できなくなっていたバグが修正される。

11. TFTPでconfigファイルをルーターにアップロードする場合に、configファイル中にrestartコマンドが記述してあっても、以下の条件に合致する場合にはルーターの再起動が行われないバグを修正した。

    • restartコマンドの直前が、設定を変更するコマンドである。

    または、

    • configファイルの先頭がrestartコマンドで、かつ、configファイルのアップロード以前に何らかの手段で設定が変更され、保存されていない。

    configファイル中のrestartコマンドの直前にsaveコマンドが記述されていればこの問題は発生しない。

12. upwaitパラメータを指定したipsec ike keepalive useコマンドを設定した後にno ipsec ike keepalive useコマンドを設定しても、先のupwaitパラメータの指定が残った状態で動作するバグを修正した。

13. queue INTERFACE/pp class property コマンドについて以下を修正した。

    • 各パラメータについて、デフォルト値と同じ値を設定した場合に表示されないバグを修正した。
    • ヘルプ文にparent以外のパラメータが表示されていなかった誤記を修正した。
    • no コマンドのヘルプ文に省略できないパラメータが記述されていなかった誤記を修正した。

14. queue class property コマンドの帯域の設定値およびspeed ppコマンドの速度の設定値について、上限を1000Mまでとした。

15. ip/ipv6 filter dynamic コマンドのsyslogオプションの設定でon/offの後に文字を続けてもエラーにならないバグを修正した。

16. ip/ipv6 filter dynamic コマンド設定の入力時に、プロトコルを不正な文字列で設定を行うとパラメータの数が不適当ですと表示していたが、正しくパラメータのキーワードが認識できませんと表示するように修正した。

17. wol send コマンドで、一部のパラメータについてタブ補完が効かなかったバグを修正した。

18. ipsec ike local address コマンドおよび ipsec ike remote address コマンドについて、パラメータにIPアドレスを設定するときに0.0.0.0や0::0を設定できないように変更した。

19. 以下のコマンドについて、IPアドレスとして0.0.0.0を入力してもエラーにならないバグを修正した。

    • bgp router id
    • dhcp relay server
    • dns server
    • ip pp remote address pool
    • ospf router id
    • radius server
    • radius auth server
    • radius account server
    • snmp trap host
    • tunnel endpoint address
    • wins server

20. 以下のコマンドが一般ユーザで使用できてしまうバグを修正した。

    system temperature threshold
    system packet-buffer

21. clear url filter コマンドと url filter external-database id check go コマンドについて、一般ユーザで使用できてしまうバグとコマンドに'|'を付けてもエラーにならないバグを修正した。

22. SNMPで、sysUpTime変数が49日あまりで0に戻ってしまうバグを修正した。
    497日あまりで0に戻るのが正しい。

■更新履歴