http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_47.html
Revision : 09.00.47
Release : Aug. 2009, ヤマハ株式会社

Rev.9.00.47リリースノート

Rev.9.00.44 からの変更点

■機能追加

  1. SSH通信において一部データが漏えいする可能性がある脆弱性に対応するため、以下の機能追加を行った。

    http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/CPNI957037.html

    sshd encrypt algorithmコマンドを新設し、SSHで使用する暗号アルゴリズムを指定できるようにした。

    ○SSHサーバで利用可能な暗号アルゴリズムの設定

    [書式]
    sshd encrypt algorithm [ALGORITHM ...]
    no sshd encrypt algorithm [...]
    [設定値]
    ALGORITHM ... 暗号アルゴリズム(空白で区切って複数指定可能)
    • aes128-ctr ..... AES128-CTR
    • aes192-ctr ..... AES192-CTR
    • aes256-ctr ..... AES256-CTR
    • aes128-cbc ..... AES128-CBC
    • aes192-cbc ..... AES192-CBC
    • aes256-cbc ..... AES256-CBC
    • 3des-cbc ....... 3DES-CBC
    • blowfish-cbc ... Blowfish-CBC
    • cast128-cbc .... CAST-128-CBC
    • arcfour ........ Arcfour
    [説明]
    SSHサーバで利用可能な暗号アルゴリズムを設定する。
    ALGORITHMで指定した暗号アルゴリズムのリストをSSH接続時にクライアントへ提案する。
    [ノート]
    ALGORITHMで指定した暗号アルゴリズムをクライアントがサポートしていない場合には、そのクライアントとSSHによる接続ができない。
    [初期値]
    aes128-ctr aes192-ctr aes256-ctr

  2. IPsecで、OpenswanをVPNクライアントとしてXAUTHで相互接続できるようにした。

    OpenswanとヤマハルータをIPsecで相互接続しようとした場合、XAUTHを使わなければそのまま接続できるが、XAUTHを使用する場合には、Mode-Cfgの仕様の解釈の違いでうまく接続できない。そのため、ヤマハルータの側で、Openswanに接続できるよう動作を変更するコマンドを新設した。

    ○IKE XAUTH Mode-Cfgメソッドの設定

    [書式]
    ipsec ike mode-cfg method GATEWAY_ID METHOD [OPTION]
    no ipsec ike mode-cfg method GATEWAY_ID [METHOD...]
    [設定値]
    GATEWAY_ID...セキュリティゲートウェイの識別子
    METHOD...set ... SETメソッド
    OPTION...openswan ... Openswan互換モード
    [説明]
    IKE XAUTHのMode-Cfgでのアドレス割り当てメソッドを設定する。指定できるのはSETメソッドのみである。

    OPTIONに'openswan'を指定した場合にはOpenswan互換モードとなり、Openswanと接続できるようになる。

    [ノート]
    ダイヤルアップVPNの発呼側にヤマハルーターおよびYMS-VPN1を利用する時に、OPTIONを指定しているとXAUTHでは接続できない。
    [初期値]
    set

  3. 外部データベース参照型URLフィルタについて、特定拡張子を持つURLのカテゴリ確認を行うか否かを設定する機能を追加した。

    http://www.rtpro.yamaha.co.jp/RT/docs/url-filter_ext_db/specified_extension.html

  4. LANインタフェースのリンクアップ直後の送信を保留する機能を実装した。

    ○LANインタフェースのリンクアップ後の送信抑制時間の設定

    [書式]
    lan linkup send-wait-time INTERFACE TIME
    no lan linkup send-wait-time INTERFACE [TIME]
    [設定値]
    INTERFACE
    LANインタフェース名
    TIME
    送信抑制秒数(0..10)
    [説明]
    リンクアップ後の送信抑制時間を設定し、パケットの送信を抑制する。送信を抑制されたパケットはキューに保存され、リンクアップから設定秒数の経過後に送信される。保存先のキュー長はqueue INTERFACE lengthコマンドの設定に従う。
    [ノート]
    リンクアップ直後にGratuitous ARPやIPv6 neighbor solicitation等のパケットがルーターから送信されるが、その送信が早過ぎるために対向機器側で受信できない場合は、この抑制時間を適宜設定し送信を遅延させることで対向機器側で受信できるようになる。
    [初期値]
    0 (抑制しない)

  5. ARPエントリ変更をログに残すことができるようにした。
    show log | grep ARP: を実行することによって、過去のARPエントリ履歴を確認することができる。

    ○ARPエントリの変化をログに残すか否かの設定

    [書式]
    ip INTERFACE arp log SWITCH
    no ip INTERFACE arp log [SWITCH]
    [設定値]
    SWITCH
    • on ... 記録する
    • off ... 記録しない
    [説明]
    ARPエントリの変更をログに記録するか否かを設定する。
    [初期値]
    off

  6. シリアル番号をネットボランチDNSのホスト名として登録できるコマンドを追加した。

    ○シリアル番号を使ったホスト名登録コマンドを実行

    [書式]
    netvolante-dns set hostname INTERFACE serial
    [設定値]
    INTERFACE ... LANインタフェース名あるいは"pp"
    [説明]
    機器のシリアル番号をホスト名登録するコマンドを発行する。
    つまり本コマンドを実行すると、機器のシリアル番号を使ってnetvolante-dns hostname hostコマンドが設定される。

  7. NTPパケットの始点IPアドレスを設定できるコマンドを新設した。

    ○NTPパケットを送信するときの始点IPアドレスの設定

    [書式]
    ntp local address IP_ADDRESS
    no ntp local address
    [説明]
    NTPパケットを送信するときの始点IPアドレスを設定する。
    始点IPアドレスが設定されていないときは、通常のUDPパケットの送信ルールに従い、出力インタフェースのIPアドレスを利用する。
    [初期値]
    設定なし

  8. tracerouteコマンドで、始点IPアドレスを設定できるようにした。

    ○traceroute

    [書式]
    traceroute HOST [noresolv] [-sa SOURCE]
    [設定値]
    HOST ....... traceruteをかけるホストのIPアドレス(xxx.xxx.xxx.xxx)、またはホスト名
    noresolv ... DNSによる解決を行わないことを示すキーワード
    SOURCE ..... 始点IPアドレス
    [説明]
    指定したホストまでの経路を調べて表示する。

  9. ip keepaliveコマンドで、始点IPアドレスを設定できるようにした。
    OPTIONに local-address=(始点IPアドレス) を指定することで設定できる。

    ○ネットワーク監視機能の設定

    [書式]
    ip keepalive NUM KIND INTERVAL COUNT GATEWAY [GATEWAY ...] [option=value ...]
    no ip keepalive NUM
    [設定値]
    NUM ........... このコマンドの識別番号(1..100)
    KIND .......... 監視方式
    • icmp-echo ... ICMP Echoを使用する
    INTERVAL ...... キープアライブの送信間隔秒数(1..65535)
    COUNT ......... 到達性がないと判断するまでに送信する回数(3..100)
    GATEWAY
    • IPアドレス ... xxx.xxx.xxx.xxx(xxx は十進数)
    • dhcp INTERFACE
      • INTERFACE .... DHCPにて与えられるデフォルトゲートウェイを使う場合の、DHCPクライアントとして動作するLANインターフェース名
    OPTION=VALUE列
    OPTION VALUE 説明
    log on SYSLOGを出力する
    off SYSLOGを出力しない
    upwait 秒数 到達性があると判断するまでの待機時間(1..1000000)
    downwait 秒数 到達性がないと判断するまでの待機時間(1..1000000)
    length バイト ICMP Echoパケットの長さ(64-1500)
    local-address IPアドレス 始点IPアドレス
    ipsec-refresh セキュリティ・ゲートウェイの識別子 DOWN→UPまたはUP→DOWNに状態が変化した場合に、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る)
    ipsec-refresh-up セキュリティ・ゲートウェイの識別子 DOWN→UPに状態が変化した場合のみ、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る)
    ipsec-refresh-downgth セキュリティ・ゲートウェイの識別子 UP→DOWNに状態が変化した場合のみ、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る)
    gateway-selection-rule head ICMP Echoパケットを送信する際、該当する経路に複数のゲートウェイが指定されていても、必ず最初に指定されたゲートウェイへ送出する
    normal ICMP Echoパケットを送信する際、該当する経路に複数のゲートウェイが指定されていたら、通常の規則に従い送出ゲートウェイを選択する
    [説明]
    指定したゲートウェイに対してICMP Echoを送信し、その返事を受信できるかどうかを判定する。
    [ノート]
    Rev.7.01 以上で実行可能である。
    lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全体の長さではない。
    lengthパラメータは、Rev.7.01.43、Rev.8.01.18、Rev.8.02.35 以降で指定可能である。
    local-addressパラメータは、Rev.9.00.47以降で指定可能である。
    ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、ネットワークバックアップ機能の主系/従系回線の切り替え時において、IPsec通信の復旧時間を短縮させる際に有効である。
    ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、RT107eを除くRev.8.03.68以降で指定可能である。
    gateway-selection-ruleパラメータは、RT107eを除くRev.8.03.68以降で指定可能である。
    RT107eとSRT100でのみGATEWAYパラメータでdhcp INTERFACEを指定できる。
    [初期値]
    log = off
    upwait = 5
    downwait = 5
    length = 64
    local-address 設定なし
    ipsec-refresh 設定なし
    ipsec-refresh-up 設定なし
    ipsec-refresh-down 設定なし
    gateway-selection-rule = head
    [設定例]
    ネットワークバックアップ機能で従系回線pp11から主系回線pp10へ復旧する際に、IPsec接続で使用しているセキュリティ・ゲートウェイの識別子3に属するSAを強制的に更新させる。
    # ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0
    # ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3

    ネットワークバックアップ機能を利用して、IPキープアライブ1がダウンしたのをトリガーにして経路172.16.224.0/24を活性化させる。
    # ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0
    # ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2
    # ip keepalive 1 icmp-echo 5 5 192.168.100.101
    # ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule=normal

■仕様変更

  1. ARP受信時の動作を以下のように変更した。

  2. DHCPサーバ機能で、IPアドレス割り当て方式がbind-onlyのとき、IPアドレス予約が解除されたらそのIPアドレスの現在のリース情報も消去することとした。
    これにより、予約対象IPアドレスの再利用がより早くできるようになる。

  3. IPアドレスの設定またはIPv6アドレスの設定、IPv6プレフィックスの設定を行う以下のコマンドにおいて、それぞれの設定でIPアドレスが重複した場合は、エラーとするように変更した。
    ただし、IPv6リンクローカルアドレスは重複して設定できる。

    IPアドレスの設定
    ip INTERFACE address
    ip pp address
    ip tunnel address
    ip loopback address
    IPv6アドレスの設定
    ipv6 INTERFACE address
    ipv6 pp address
    ipv6 tunnel address
    ipv6 loopback address
    IPv6プレフィックスの設定
    ipv6 INTERFACE prefix
    ipv6 pp prefix
    ipv6 tunnel prefix

  4. show status lanコマンドにIPアドレスを表示するようにした。

        例)
    # show status lan1
    LAN1
    説明:
    IPアドレス:                     192.168.1.1/24
    IPアドレス(セカンダリ):         192.168.2.1/24
    イーサネットアドレス:           00:a0:de:01:23:45
    :

  5. security class コマンドのオンラインヘルプをコマンドリファレンスの表記に合わせた。
    show environmentの表示についても同様に変更した。

  6. 下記のコマンドで設定できるフィルタの数を300個までに増やした。

    ip secure filter
    ospf import from

    ○フィルタリングによるセキュリティの設定

    [書式]
    ip INTERFACE secure filter DIRECTION [FILTER_LIST...] [dynamic FILTER_LIST...]
    ip pp secure filter DIRECTION [FILTER_LIST...] [dynamic FILTER_LIST...]
    ip tunnel secure filter DIRECTION [FILTER_LIST...] [dynamic FILTER_LIST...]
    ip INTERFACE secure filter name SET_NAME
    ip pp secure filter name SET_NAME
    ip tunnel secure filter name SET_NAME
    no ip INTERFACE secure filter DIRECTION [FILTER_LIST]
    no ip pp secure filter DIRECTION [FILTER_LIST]
    no ip tunnel secure filter DIRECTION [FILTER_LIST]
    no ip INTERFACE secure filter name [SET_NAME]
    no ip pp secure filter name [SET_NAME]
    no ip tunnel secure filter name [SET_NAME]
    [設定値]
    INTERFACE ......... LAN インタフェース名、LOOPBACK インタフェース名、NULLインタフェース名、ブリッジインタフェース名
    DIRECTION
    in ........ 受信したパケットのフィルタリング
    out ....... 送信するパケットのフィルタリング
    FILTER_LIST ....... 空白で区切られたフィルタ番号の並び(RTX3000は300個以内、他の機種は128個以内)
    SET_NAME .......... フィルタセットの名前を表す文字列
    dynamic ........... キーワード後に動的フィルタの番号を記述する
    [説明]
    ip filterコマンドによるパケットのフィルタを組み合わせて、インタフェースで送受信するパケットの種類を制限する。

    方向を指定する書式では、それぞれの方向に対して適用するフィルタ列をフィルタ番号で指定する。指定された番号のフィルタが順番に適用され、パケットにマッチするフィルタが見つかればそのフィルタにより通過/ 廃棄が決定する。それ以降のフィルタは調べられない。すべてのフィルタにマッチしないパケットは廃棄される。
    フィルタセットの名前を指定する書式では、指定されたフィルタセットが適用される。フィルタを調べる順序などは方向を指定する書式の方法に準ずる。定義されていないフィルタセットの名前が指定された場合には、フィルタは設定されていないものとして動作する。
    [ノート]
    フィルタリストを走査して、一致すると通過、破棄が決定する。
            # ip filter 1 pass 192.168.0.0/24 *
        # ip filter 2 reject 192.168.0.1
        # ip lan1 secure filter in 1 2
    この設定では、始点IP アドレスが192.168.0.1 であるパケットは、最初のフィルタ1 で通過が決定してしまうため、フィルタ2 での検査は行われない。そのため、フィルタ2 は何も意味を持たない。
    フィルタリストを操作した結果、どのフィルタにも一致しないパケットは破棄される。

    PP Anonymous で認証にRADIUS を利用する場合で、RADIUS サーバーから送られたAccess-Responseにアトリビュート'Filter-Id' がついていた場合には、その値に指定されたフィルタセットを適用し、 ip pp secure filter コマンドの設定は無視される。
    ただしアトリビュート"Filter-Id" が存在しない場合には、 ip pp secure filter コマンドの設定がフィルタとして利用される。
    RT250i には ip tunnel secure filter コマンドはない。
    SRT100 ではdynamic キーワードは使用できない。動的フィルタは ip policy filter コマンドを使用する。
    LOOPBACK インタフェースとNULL インタフェースでは動的フィルタは使用できない。
    NULL インタフェースで direction に'in' は指定できない。
    LOOPBACK インタフェース、NULL インタフェースを指定できるのはRev.8.03 以降のリビジョンである。
    ブリッジインタフェースを指定できるのはRev.10.00.38 以降のリビジョンである。
    [初期値]
    フィルタは設定されていない

    ○外部プロトコルによる経路導入

    [書式]
    ospf import from PROTOCOL [filter FILTER_NUM...]
    no ospf import from [PROTOCOL [filter FILTER_NUM...]]
    [設定値]
    PROTOCOL............... OSPF の経路テーブルに導入する外部プロトコル
    static ........ 静的経路
    rip............ RIP
    bgp ........... BGP
    FILTER_NUM ............ フィルタ番号(RTX3000は300個以内、他の機種は100個以内)
    [説明]
    OSPFの経路テーブルに外部プロトコルによる経路を導入するかどうかを設定する。
    導入された経路は外部経路として他のOSPF ルーターに広告される。

    FILTER_NUMはospf import filter コマンドで定義したフィルタ番号を指定する。
    外部プロトコルから導入されようとする経路は指定したフィルタにより検査され、フィルタに該当すればその経路はOSPF に導入される。
    該当するフィルタがない経路は導入されない。また、 filter キーワード以降を省略した場合には、すべての経路がOSPFに導入される。

    経路を広告する場合のパラメータであるメトリック値、メトリックタイプ、タグは、フィルタの検査で該当したospf import filterコマンドで指定されたものを使う。 filter キーワード以降を省略した場合には、以下のパラメータを使用する。
    • metric = 1
    • type = 2
    • tag = 1
    [初期値]
    外部経路は導入しない

  7. 以下のコマンドでclear configurationで設定が削除されないバグを修正した。

    また、受信設定の識別子と時間を指定してnoコマンドを発行した場合にのみ個別に指定した設定を削除するようにした。

    この修正に伴いオンラインヘルプも変更した。

    ○受信間隔の監視設定

    [書式]
    heartbeat2 receive monitor TIME
    heartbeat2 receive monitor RECV_ID TIME
    no heartbeat2 receive monitor [TIME]
    no heartbeat2 receive monitor RECV_ID TIME
    [設定値]
    ○RECV_ID........ 受信設定の識別子
    ○TIME........... 監視時間
    ●秒数(30..21474836)
    ●off.......... 受信間隔を監視しない
    [説明]
    RECV_IDに対応する受信設定における受信間隔の監視設定を行う。監視が有効な場合は、指定した時間内に生存通知が届かないときINFOレベルのsyslogを出力してSNMPトラップを送出する。

    RECV_IDを省略した場合は全ての受信設定が適用対象となる。ただし、RECV_IDを個別に指定した設定の方が優先して適用される。
    [ノート]
    Rev.8.03.80、Rev.9.00.43以降で使用可能。
    [初期値]
    off

    ○通知間隔の設定

    [書式]
    heartbeat2 transmit interval TIME
    heartbeat2 transmit interval TRANS_ID TIME
    no heartbeat2 transmit interval [TIME]
    no heartbeat2 transmit interval TRANS_ID TIME
    [設定値]
    ○TRANS_ID....... 通知設定の識別子
    ○TIME........... 通知間隔秒数(30..65535)
    [説明]
    TRANS_IDに対応する通知設定の送信間隔を指定する。

    TRANS_IDを省略した場合は全ての通知設定が適用対象となる。ただし、TRANS_IDを個別に指定した設定の方が優先して適用される。
    [ノート]
    Rev.8.03.80、Rev.9.00.43以降で使用可能。
    [初期値]
    30

  8. ip INTERFACE secure filter name が設定されている状態で、ip INTERFACE secure filter in または out を新たに設定したときに、nameの設定が消えて in または out の設定が反映されるように変更した。

  9. PPP接続の認証で、CHAP Response送信のタイムアウト時にLCPを切断するようにした。

■バグ修正

  1. UDPパケットがノーマルパス経由でNAT/IPマスカレード変換されると、変換後のUDPチェックサムが0x0000になることがあるバグを修正した。UDPチェックサムの0x0000は「チェックサム無し」を表す特別な値なので、UDPチェックサムの計算結果が0x0000になった場合は0xFFFFに変換しなければならない。

  2. 長さが0にセットされているTCPオプションを受信したときに出力されるSYSLOG"Invalid TCP option length(0)" で、IPv6アドレスが正しく表示されないバグを修正した。

    Rev.9.00.20以降で発生する。

  3. 不正なTCPパケットを受信すると、パケットデータ外の不当領域を参照することがあるバグを修正した。

    このバグにより、当該パケットを受信するとCPU利用率が不当に高くなることがあった。

  4. PPのanonymous接続においてpp auth usernameコマンドで相手に割り当てるIPアドレスが設定してあっても、ip routeコマンドでPAP/CHAPの名前を使って同じ相手に対する静的経路が設定してあると、2番目以降に接続した相手に対してはpp auth usernameコマンドの設定どおりのIPアドレスが割り当てられないバグを修正した。

  5. IPv6 RAプロキシ機能を使用しているとき、配下のホストへ通知するRA内のprefix informationの数が時間とともに増えていくバグを修正した。まったく同一のIPv6プレフィックスの数が増えていくというバグであり、上位ルータからRAを受信する度にその数が増えていく可能性があった。

    この問題はRev.9.00.42以降のファームウェアで発生する。

  6. 静的経路やOSPF/BGPで学習した経路で、自分のLANインタフェース上にある別のホストをゲートウェイとする経路を、RIP2でそのLANインタフェースに広告できないバグを修正した。

    このような経路は、RIP1ではスプリットホライズンの対象になり広告できないのが正しいが、RIP2では広告できなくてはいけない。

  7. RIPで通知された経路が隠し経路 (hidden) としてルーティングテーブルに登録された場合、rip use offでRIPを停止してもその経路が削除されないバグを修正した。

  8. DHCPクライアント機能で、サーバから通知されるゲートウェイ情報が変わった場合、それが経路情報に反映されないことがあるバグを修正した。

  9. DHCPでアドレスをリース延長し続けるとメモリリークするバグを修正した。
    クライアントからのメッセージにホストネームオプションがあった場合にメモリリークしていた。

  10. PPインタフェースに複数のNATディスクリプタを適用してNAT/IPマスカレード機能を使用する場合、2番目以降のNATディスクリプタの外側IPアドレス(nat descriptor address outer)に"ipcp"を指定すると、そのNATディスクリプタを使用する通信のNAT変換が正しく行われないバグを修正した。

  11. 帯域検出機能で、ロスや遅延により測定に使用するパケットの受信タイムアウトが発生し、帯域測定がエラー終了するとリブートすることがあるバグを修正した。

  12. アグレッシブモードの受け側としてIPsecトンネルを構築しているとき、そのトンネル内で帯域検出機能、または、負荷通知機能を使用すると恒常的にメモリリークが発生し、やがてリブートに至るバグを修正した。

  13. 帯域検出のサーバ側で、クライアントからの測定用パケットの受信中に帯域検出機能の設定を変更するとメモリリークすることがあるバグを修正した。

  14. YMS-VPN1や他社製ルーターなど、ヤマハルーター以外の装置とIPsec接続する場合、アグレッシブモードの受け側としてヤマハルーターを設定すると、IPsec-SAのバイト寿命が尽きる直前にVPNがダウンすることがあるバグを修正した。なお、バイト寿命を設定していない装置との接続ではこの問題は該当しないが、YMS-VPN1との接続では必ずバイト寿命が設定されるため、この問題が該当する。

  15. トンネルテンプレートとなるトンネルインタフェースの設定で以下のコマンドを変更すると、そのテンプレートの適用先のトンネルインタフェースに設定されている同じコマンドが優先されず、トンネルテンプレートの設定が適用されるバグを修正した。

  16. LAN経由のキープアライブでICMP Echoを利用し、確認先のIPアドレスにIPv6アドレスを指定した場合、キープアライブが正常に動作せず、常にダウン検知されるバグを修正した。

  17. IPv6 ICMP EchoによるIKEキープアライブにおいて、送信したICMP Echo Requestに対する ICMP Echo Replyを受信していない場合、以降のIKEキープアライブが行われないバグを修正した。

  18. IPv6 ICMP EchoによるIKEキープアライブにおいて、ipsec ike keepalive logコマンドの設定に関わらず、ICMP Echo Request送信時にログが出力されないバグを修正した。

  19. IPv6 ICMP EchoによるIKEキープアライブを使用するとき、拠点数が多いと障害を誤検知してトンネルがダウンすることがあるバグを修正した。

  20. 生存通知2機能で送信側と受信側で暗号化の設定が異なる場合、受信側で不正なログが出力されることがあるバグを修正した。

  21. TELNET EC(Erase Character)、またはTELNET EL(Erase Line)シーケンスのパケットを受信するとメモリの不正アクセスをし、リブートすることがあるバグを修正した。

  22. 既にSSHでログインしているユーザー名と同じユーザー名でSSH接続をすると、その後の動作が不安定になり、リブートすることがあるバグを修正した。

  23. XAUTH認証機能の内部IPアドレスとしてIPv6アドレスを指定したとき、トンネル接続後に当該アドレス宛ての経路情報がstatic経路として登録されてしまうバグを修正した。

    本来であれば、temporary経路として登録されるのが正しい。

  24. XAUTH認証機能を使用してIPsecトンネルを確立させたとき、auth user attribute/auth user group attributeコマンドのxauth-filterパラメータで設定したフィルタセットが、そのトンネル内で有効にならないバグを修正した。

  25. 接続先PPにフレームリレーが設定されているとき、そのPPに対してSNMPマネージャからSNMPGETコマンドでフレームリレーのインタフェース番号 (mib2.transmission.frDlcmiTable.frDlcmiEntry.frDlcmiIfIndex) を取得すると、不当な値が返ってくるバグを修正した。

  26. 接続先PPにフレームリレーが設定されているとき、SNMPでフレームリレーのPVC状態確認手順の設定値(mib2.transmission.frDlcmiTable.frDlcmiEntry.frDlcmiState)が取得できなかったり、取得できても不当な値が返ってくるバグを修正した。
    また、frDlcmiEntryに対してSNMPWALKコマンドを実行しても、同原因によりfrDlcmiStateより前のオブジェクト(frDlcmiIfIndex)しか取得できていなかった。この問題も本修正により改善される。

  27. フレームリレーが設定されているPPにおいて、次に示す条件のいずれかが該当する場合、SNMPでフレームリレー関連のオブジェクト(mib2.transmission)が正しく取得できないバグを修正した。

    (*) mib2.interfaces.ifTable.ifEntry.ifIndexに示される全インタフェースの通し番号で128以上になるPPインタフェースが該当する。

    また、mib2テーブル全体に対してSNMPWALKコマンドを実行しても、上記条件に該当するPPが存在する場合はフレームリレー関連のオブジェクト(mib2.transmission)の取得中にSNMPマネージャでエラーが発生してしまうため、transmissionより後のオブジェクトを取得することができなかった。この問題も本修正により改善される。

  28. フレームリレー関連のMIBオブジェクト(mib-2.transmission)に対して、SNMPマネージャからSNMPGETNEXTやSNMPWALKコマンドが実行されたとき、QoSの設定がある場合でもQoSのクラスごとに設定されているMIBインタフェースを見せないようにした。

    なお、フレームリレーの設定がない場合も、同オブジェクト(mib-2.transmission)に対してSNMPマネージャからSNMPGETNEXTやSNMPWALKコマンドが実行されたときは、応答する情報がないということを調べるために検索処理が発生する。いずれかのインタフェースにQoSの設定があるとMIBインタフェース数が増えることでこの検索処理にかかる時間が長くなり、ルータから何らかの応答を返す前にSNMPマネージャでタイムアウトが発生してしまうことがあった。また、その結果、SNMPマネージャはコマンドの再送を繰り返すことがあり、その間ルータの負荷が上がったまま下がらないという問題も発生する可能性があった。この問題は本修正により改善される。

  29. SNMPで、atIfIndex、ipNetToMediaIfIndexの値が実際のインタフェースにかかわらず常に1(LAN1)になるバグを修正した。

  30. SSHでログインしたRTから、またはSSHでログインされたRTに対して、リモートセットアップすることができないバグを修正した。

  31. remote setupを実行すると、"Idle timer is expired"という間違ったログが出力されることがあったバグを修正した。

  32. 256文字以上のパラメータ、またはスペースを含むパラメータを入力した後、以降のパラメータのタブ補完が効かないバグを修正した。

  33. console character/columns/linesコマンドの設定を変更後、restartコマンドを実行し、設定の変更を保存するか否かの問いに 'Y' を入力して再起動をすると、変更したはずの設定がconfigに保存されないバグを修正した。

  34. show ipv6 addressで、disableになっているtunnelインタフェースの情報が表示されるバグを修正した。

    tunnelを一旦enableにした後でdisableにするとこの現象が発生していた。

  35. pp enable all、tunnel enable allを設定してもshow ipv6 addressでpp、tunnelの情報が表示されないバグを修正した。

  36. auth user group attributeコマンドでメモリリークするバグを修正した。

    Rev.9.00.15以降のファームウェアで発生していた。

  37. ip keepaliveコマンドで以下のバグを修正した。

  38. 以下のコマンドに「|」を指定できないバグを修正した。

  39. dns serverの後に 'd', 'p', 's'+タブキーを入力しても、'dhcp', 'pp', 'select'キーワードがタブ補完されず、それ以降のキーワードもタブ補完されないバグを修正した。

  40. dns hostコマンドで'any'以外の値を設定したとき、RT自身からの名前解決ができなくなるバグを修正した。

    nslookupやドメイン名を指定したping、メール通知、ネットボランチDNSなどで名前解決に失敗する。

  41. ipsec ike remote addressコマンドで255文字のホスト名を設定した場合、ホスト名の名前解決に失敗し、IPsecの接続ができないバグを修正した。

  42. dhcp scopeコマンドのexpireとmaxexpireの設定で、設定可能な最大値より大きな値を設定してもエラーにならなかったり、ある値以上が設定できない場合があるバグを修正した。

  43. no dhcp scope lease type コマンドで設定されていないスコープ番号を指定すると、不正に設定が追加されるバグを修正した。
    また、設定されていないスコープ番号を指定した場合、エラーメッセージを出力ようにした。

  44. no tcp logコマンドのコマンドヘルプが表示されないバグを修正した。

  45. no login userコマンドでユーザ名を指定せずに入力できることがあるバグを修正した。この場合、直前にlogin userコマンドで設定したユーザが削除されることがある。

    no login userコマンドのオンラインヘルプで必須パラメータであるユーザ名の記述がないバグを修正した。

  46. auth user attributeコマンドの"xauth-address="オプションにIPv6アドレスを指定すると、任意のIPv4アドレスが設定されてしまうバグを修正した。

  47. auth user attribute/auth user group attributeコマンドの各パラメータが重複指定されたときは、エラーメッセージを出力し、コマンド入力を受け付けないようにした。

  48. 以下のコマンドのコマンドヘルプで、IDの説明が表示されないバグを修正した。

  49. PPPoE用のPPインタフェースに対してshow status ppコマンドを実行したとき、インタフェースの説明(descriptionコマンドの設定値)が表示されないバグを修正した。

  50. no ethernet filer コマンドのオンラインヘルプの誤記を修正した。

  51. dhcp scope lease typeコマンドのコマンドヘルプの誤記を修正した。

  52. ip I/F igmp static コマンドのコマンドヘルプの誤記を修正した。
    ipv6 I/F mld static コマンドのコマンドヘルプの誤記を修正した。

  53. heartbeat receiveコマンドのオンラインヘルプのデフォルト値がアルファベット大文字だったのを小文字にした。

  54. heartbeat2 receive recode limitコマンドのコマンドヘルプの誤記を修正した。

  55. ipv6 INTERFACE secure filterコマンドのコマンドヘルプの誤記を修正した。

  56. dns cache max entryコマンドのコマンドヘルプの誤記を修正した。

  57. url filter external-database lookup specified extention listコマンドのコマンドヘルプ表示が間違っているバグを修正した。

  58. url filter external-database lookup specified extensionコマンドのコマンドヘルプ表示が間違っているバグを修正した。

■更新履歴

Aug. 2009, Rev.9.00.47 リリース


以上