http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_27.html
Revision : 10.00.27
Release : Nov. 2007, ヤマハ株式会社

Rev.10.00.27リリースノート


Rev.10.00.22 からの変更点


■機能追加

  1. SNTPサーバ機能

    http://www.rtpro.yamaha.co.jp/RT/docs/sntpd/index.html

    クライアントからの時刻の問い合わせに対してルータの内蔵クロックの値を返す機能を追加した。
    SNTPバージョン4に対応しており、また下位互換としてSNTPバージョン1〜3のリクエストにも対応している。
    正確な時刻を得るためには、定期的にntpdateコマンドを実行して、他のNTPサーバにルータの時刻を合わせておくことを推奨する。

    この機能により以下のコマンドを追加した。

    ◯SNTPサーバー機能を有効にするか否かの設定

    [書式]
    sntpd service SWITCH
    no sntpd service
    [設定値]
    SWITCH
    • on ... NTPサーバー機能を有効にする
    • off ... SNTPサーバー機能を無効にする
    [説明]
    SNTPサーバー機能を有効にするか否かを設定します。
    [初期値]
    on

    ◯SNTPサーバーへのアクセスを許可するホストの設定

    [書式]
    sntpd host HOST
    no sntpd host
    [設定値]
    HOST
    • any ... すべてのホストからのアクセスを許可する
    • lan ... LAN1側ネットワーク内、あるいはLAN2側ネットワーク内ならば許可する
    • lan1 ... LAN1側ネットワーク内ならば許可する
    • lan2 ... LAN2側ネットワーク内ならば許可する
    • none ... すべてのホストからのアクセスを禁止する
    • SNTPサーバーへのアクセスを許可するホストのIPv4アドレス
    • SNTPサーバーへのアクセスを許可するホストのIPv4アドレス範囲
      (IP_ADDRESS-IP_ADDRESS)
    [説明]
    SNTPサーバーへのアクセスを許可するホストを設定します。
    [ノート]
    このコマンドでLANインタフェースを指定した場合には、ネットワークアドレスとディレクテッドブロードキャストアドレスを除くIPv4アドレスからからのアクセスを許可する。指定したLANインタフェースにプライマリアドレスもセカンダリアドレスも設定していなければアクセスを許可しない。
    [初期値]
    lan
  2. IPマスカレード変換セッション数制限機能

    http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/session-limit.html

    IPマスカレード変換の対象とするセッションの数をホスト単位で制限する機能を追加した。これにより、一部ホストの過多な通信によるマスカレードテーブルの占有を回避し、管理セグメント内の各ホストが均等にマスカレード変換を利用することができるようになる。

    この機能により以下のコマンドを追加した。

    ○IPマスカレードで変換するセッション数の設定

    [書式]
    nat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
    no nat descriptor masquerade session limit NAT_DESCRIPTOR ID
    [設定値]
    NAT_DESCRIPTOR ... NATディスクリプタ番号 (1..2147483647)
    ID ... セッション数設定の識別番号 (1)
    LIMIT ... 制限値 (1..4096)
    [説明]
    ホスト毎にIPマスカレードで変換するセッションの最大数を設定する。
    ホストはパケットの始点IPアドレスで識別され、任意のホストを始点とした変換テーブルの登録数がLIMITに制限される。
    [初期値]
    4096
  3. IDS(不正アクセス検知)メール通知機能

    http://www.rtpro.yamaha.co.jp/RT/docs/mail-service-intrusion/index.html

    不正アクセス検知機能(IDS)によって不正アクセスを検知すると、トリガによるメール通知機能で設定した内容に従って、メールで検知した内容を通知する機能を追加した。

    これによりメール通知のトリガの設定コマンドに以下のように不正アクセス検知に関する項目を追加した。

    ○メール通知のトリガの設定

    [書式]
    mail notify ID TEMPLATE_ID trigger backup IF_B [[RANGE_B] IF_B ...]
    mail notify ID TEMPLATE_ID trigger route ROUTE [ROUTE ...]
    mail notify ID TEMPLATE_ID trigger filter ethernet IF_F DIR_F [IF_F DIR_F [...]]
    mail notify ID TEMPLATE_ID trigger status TYPE [TYPE [...]]
    mail notify ID TEMPLATE_ID trigger intrusion IF_I [RANGE_I] DIR_I [IF_I [RANGE_I] DIR_I [...]]
    no mail notify ID [...]
    [設定値]
    ID ... 設定番号(1..10)
    TEMPLATE_ID ... テンプレートID(1..10)
    IF_B ...
    メール通知を行うバックアップ対象のインタフェース
    pp ... PPバックアップ
    lanN ... LANバックアップ
    tunnel ... TUNNELバックアップ
    RANGE_B ... インタフェース番号および範囲指定
    pp, tunnelのみ(*, xx-yy, zz etc)
    ROUTE ... ネットマスク付きの経路
    IF_F ... メール通知を行うフィルタの設定されたLANインタフェース
    DIR_F ...
    フィルタ設定の方向
    in ... 受信方向
    out ... 送信方向
    TYPE ...
    メール通知で通知する情報
    all ... 全ての内容
    interface ... インタフェースの情報
    routing ... ルーティングの情報
    vpn ... VPNの情報
    nat ... NATの情報
    firewall ... ファイアウォールの情報
    config-log ... 設定情報とログ
    IF_I ...
    不正アクセス検知設定のインタフェース
    pp ... PPインタフェース
    lanN(N,M, N/M) ... LANインタフェース
    tunnel ... TUNNELインタフェース
    * ... 全てのインタフェース
    RANGE_I ... インタフェース番号および範囲指定
    lan(*, x)
    pp, tunnel(*, x, xx-yy, zz etc)
    DIR_I ...
    不正アクセス検知設定の方向
    in ... 受信方向
    out ... 送信方向
    in/out ... 受信/送信方向
    [説明]
    メール通知の行うトリガ動作の設定を行う。バックアップ、経路変更、フィルタログ表示、mail notify status execコマンド実行時、および不正アクセス検知をトリガとして指定できる。
    バックアップおよび経路については以下で設定されたものが対象となる。
    PPバックアップ ... pp backupコマンド
    LANバックアップ ... lan backupコマンド
    TUNNELバックアップ ... tunnel backupコマンド
    経路に対するバックアップ ... ip routeコマンド
    フィルタについてはログ表示されるものが対象となる。
    イーサネットフィルタ ....... pass-log、rejet-logパラメータの定義
    内部状態を通知する場合は、mail notify status execコマンドを実行する必要がある。
    不正アクセス検知についてはip I/F intrusion detectionコマンドの設定により検出されたものが通知対象となる。
    また、一つのテンプレートIDに所属するメール通知設定はまとめて処理される。
    [設定例]
    mail notify 1 1 trigger backup pp * lan2 lan3 tunnel 1-10,12
    mail notify 2 1 trigger route 192.168.1.0/24,172.16.0.0/16
    mail notify 3 1 trigger filter ethernet lan1 in
    mail notify 4 1 trigger status all
    mail notify 5 1 trigger intrusion lan1 in/out pp * in tunnel 1-3,5 out
    [初期値]
    なし

■仕様変更

  1. Dynamic Class Control機能において、クラス制御が開始/解除されるときにSYSLOGを出力するようにした。
    開始時: [DCC] Started - Host:192.168.1.100 Class:1->3 Time:600
    解除時: [DCC] Cancelled - Host:192.168.1.100 Class:1->3

  2. ポートの開閉状態の診断のGUIヘルプに、「通過パケットの最大検出数」についての補足事項を追記した。

  3. show status bootの表示内容に起動中のファームウェアリビジョンと起動前のファームウェアリビジョンを表示するようにした。
    # show status boot
    Running EXEC: SRT100 Rev.10.00.27 (Thu Nov 1 18:00:02 2007)
    Previous EXEC: SRT100 Rev.10.00.22 (Tue Sep 25 15:06:22 2007)
    Restart by revision-up

  4. USBメモリから内蔵メモリへ、または内蔵メモリからUSBメモリへの設定ファイルのコピー時に暗号化/復号化のエラーでコピーに失敗したときにdebugレベルとinfoレベルのSYSLOGを出力するようにした。

    暗号化失敗時
    (debugレベル) File encrypt error("ファイル名")
    (infoレベル) FAILED : Configuration is not copied from "ファイル名" to "ファイル名"
    復号化失敗時
    (debugレベル) File decrypt error("ファイル名")
    (infoレベル) FAILED : Configuration is not copied from "ファイル名" to "ファイル名"
  5. GUIの[メール通知(メールサーバーの設定]ページで、SMTP(POP)サーバーのポート番号を設定する項目を追加した。

■バグ修正

  1. FOMAへのリモートセットアップ着信機能で、FOMA端末から2バイトに満たない不正なデータを受信するとリブートすることがあるバグを修正した。

  2. IPsecトンネルへ送信するにあたってフラグメントの必要がある場合にフラグメント用のパケットエリアの確保ができないとメモリリークすることがあるバグを修正した。

  3. 起動時に以下のSNMPトラップが送出されないことがあるバグを修正した。

  4. Ciscoルータとmainモードを使用してIPsec接続を行なったとき、DPDによるIKEキープアライブを設定していても機能しなくなるバグを修正した。

  5. ping6コマンドでPPインタフェースを指定するとき、PP番号に登録可能な (相手先情報番号+1) を指定できてしまうバグを修正した。

  6. 統計情報を書き込み禁止機構の付いたUSBメモリに書こうとしたときや、最大ファイル数を超えて書こうとしたときに、それぞれ以下のSYSLOGを出力するようにした。
    [USB HOST] FAILED : Statistics file write protected
    [USB HOST] FAILED : Statistics file over maximum count

  7. USBメモリに暗号化なしで統計情報ファイルを書くと文字化けすることがあるバグを修正した。

  8. SIP-NAT機能において、書き換え対象となるIPアドレスを多く含んだヘッダを持つSIPパケットを受信した時にリブートすることがあるバグを修正した。

  9. IKEで、SAの寿命が切れるとき、あるいは、SAの鍵を更新するときに、その他のSAの寿命が余分に減少するバグを修正した。減少する秒数は場合によって異なるが、複数のSAの寿命が同じ値に揃う傾向を呈する。この結果、鍵交換が集中的に発生したり、多数のSAが同時に消滅する頻度が高くなり、IKEのパケットが集中的に発生する可能性がある。

  10. LCPのネゴシエーション中に回線が切断されたとき、STATUS LEDが点灯しないバグを修正した。
    "PPP/LCP aborted" というエラーログを出力するときが該当し、認証方式が異なる設定の接続先に対して接続しようとしたときなどに発生する。

  11. BGPでピアから経路情報を受信している状態で、bgp configure refreshまたはospf configure refreshコマンドを入力すると、稀にリブートするバグを修正した。

  12. 入力したコマンドのパラメータヘルプを表示させたときに、別のコマンドになるキーワードが存在する場合に、文字化けやリブートしてしまうバグを修正した。
    キーワードの表示が複数行にわたる場合に現象が発生していた。

  13. lan typeコマンド実行後、本来ファストパスで処理されるべきフローがノーマルパスで処理されることがあるバグを修正した。

  14. dhcp client client-identifierコマンドの不完全入力でリブート、または不正な動作となるバグを修正した。

  15. 以下のコマンドが削除された場合に、"[MAIL] Not Found Server(Template) ID:N"のSYSLOGが出力されないように修正した。

  16. netvolante-dns delete goコマンドで以下のバグを修正した。

  17. ネットボランチDNS関連のコマンド(netvolante-dns 〜)で、入力キーワードがタブ補完されないことがあるバグを修正した。

  18. netvolante-dns auto saveコマンドで、自動保存をする設定ファイルを指定した状態でネットボランチDNSの登録してセーブしようとすると、リブート、またはハングアップすることがあるバグを修正した。

  19. BGPの設定をしてLANがリンクダウンしているときに、ip addressコマンドでLANアドレスの設定を変更するとリブートするバグを修正した。

  20. no ip I/F intrusion detectionコマンドで以下のバグを修正した。

  21. ipv6 filterコマンドで以下のバグを修正した。

  22. rdateコマンド、telnetコマンドを実行するとリブートすることがあるバグを修正した。

  23. console character sjis/eucに設定されているとき、no pp selectコマンドのコマンドヘルプで [ ] を閉じていなかったのを修正した。

  24. no mail templateコマンドのコマンドヘルプの誤記を修正した。

  25. tcp logコマンドのコマンドヘルプの誤記を修正した。

  26. 設定や状態の表示コマンドの実行時に「つづく」が表示された状態で「CTRL+C」や「Q」で終了したり、ログインタイムアウトした場合に、メモリリークするバグを修正した。

  27. GUIの[メール通知(メインページ)]ページを開くと、リブートすることがあるバグを修正した。

  28. GUIの[メール通知(通知内容の設定)]ページで、通知内容を設定した時にリブートすることがあるバグを修正した。

  29. GUIの[統計情報]ページで、以下のバグを修正した。

    1. QoS統計のデータをCSVファイル形式で閲覧した場合、「識別子」のクラス表示に誤った値が表示されていた。
    2. QoS統計のデータをCSVファイル形式で閲覧した場合、「送信帯域率」と「破棄パケット数」の値が逆に表示されていた。
    3. QoS統計のデータをCSVファイル形式で閲覧した場合、「破棄パケット数」が負の値で表示されていた。
    4. トラフィック統計のデータをCSVファイル形式で閲覧した場合、「入力」と「出力」の値が逆に表示されていた。
  30. GUIの初期設定ウィザードにおいて、回線自動判別を行うとGUIにアクセスできなくなることがあるバグを修正した。

  31. GUIの[不正アクセス検知の状態]ページで、「種別」に"TCP"と表示されないバグを修正した。

  32. GUIの[IPsec(設定の検証)]ページで、設定が不十分な場合に追加するポリシーフィルターが、フィルターセットに付加されないことがあるバグを修正した。

  33. GUIの[保守(再起動)]ページで、"設定ファイル"欄に現在使用している設定ファイルがデフォルトで選択されないバグを修正した。

  34. GUIのハードウェアの設定ページにおいて、LAN2ポートの設定変更が正しく反映されないバグを修正した。

  35. GUIの初期設定ウィザードにおいて、パスワードを変更した後、パスワードの再入力が必要となる旨の注意文が表示されるより前に、認証ダイアログが表示されるバグを修正した。

  36. GUIのアクセス管理ページの管理者パスワード変更完了ページの背景が正しく表示されないバグを修正した。

  37. GUIのレポートの作成サブウィンドウにおいて、正常に表示されないことがあるバグを修正した。

  38. GUIのプロバイダ情報の一覧で削除を中止した後、もう一度削除ができるようなページが出ることがあるバグを修正した。

  39. GUIのRAIDUSページにおいて、設定の変更結果が不揮発性メモリに保存されないバグを修正した。このため、RADIUSページで設定変更後に、他のページで設定変更を行わず再起動すると、RADIUSの設定が消えてしまっていた。

  40. GUIのIPsecの[詳細設定]ページから、ipsec ike local addressコマンドが設定できないバグを修正した。
    Rev.10.00.19以降のファームで発生する。

  41. GUIの[DHCP認証]-[端末の管理]から新しい端末を登録できないことがあるバグを修正した。

  42. GUIの[DHCP認証]-[端末の管理]ページの端末の修正画面で、MACアドレスの設定は変更せず、DHCPスコープ番号、または異なるDHCPスコープ番号内のIPアドレスに変更しようとすると、コマンド実行エラーとなり、設定されていたdhcp scope bindコマンドが削除されてしまうバグを修正した。

  43. GUIの[保守]-[SYSLOGの管理]ページで、複数個のSYSLOGホストを表示、設定できないバグを修正した。
    [保守]のヘルプページに、SYSLOGホストの設定方法について追記した。

  44. GUIの[NAT]ページから、任意のインタフェースの[設定]ボタンを押し、NATを「使用しない」に設定した後、[変換ルール]のページを開くと、変換方法に「IPマスカレード」が選択されているバグを修正した。

  45. GUIの[メール通知]ページで、[メールサーバーの削除]/[通知内容の削除]ページのタイトルが「〜の登録」と表示されていたバグを修正した。

  46. 不正アクセス検知の履歴がある状態でGUIのトップページにアクセスするとメモリリークしていたバグを修正した。

■更新履歴

Nov. 2007, Rev.10.00.27 リリース


以上