http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_31.html Revision : 10.00.31 Release : Mar. 2008, ヤマハ株式会社 Rev.10.00.31リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.10.00.28 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] Wake On LAN 機能を追加した。 http://www.rtpro.yamaha.co.jp/RT/docs/wol/wol.html [2] ネットワークバックアップとIPsecの連携機能を追加した。 IPキープアライブのUP/DOWN状態の変化に合わせて、指定したIPsecセキュリティ・ゲ ートウェイの識別子に属するSAを強制的に更新させることができるようにした。これ により、ネットワークバックアップによる経路切替えと連動して即座にSAの更新処理 を行わせることができ、IPsec通信の復旧を早めることができる。 本機能の追加に伴い、ip keepaliveコマンドの仕様が以下のように拡張される。 ○ネットワーク監視機能の設定 [書式] ip keepalive NUM KIND INTERVAL COUNT GATEWAY [GATEWAY ...] [option=value ...] no ip keepalive NUM [設定値] ○NUM ........... このコマンドの識別番号(1..100) ○KIND .......... 監視方式 ●icmp-echo ... ICMP Echoを使用する ○INTERVAL ...... キープアライブの送信間隔秒数(1..65535) ○COUNT ......... 到達性がないと判断するまでに送信する回数(3..100) ○GATEWAY ●IPアドレス.. xxx.xxx.xxx.xxx(xxx は十進数) ●dhcp INTERFACE ■INTERFACE .... DHCPにて与えられるデフォルトゲートウェイを使う場合 の、DHCPクライアントとして動作するLANインターフェース名 ○OPTION=VALUE列 ┌───────────┬──────────┬────────────────────────┐ |OPTION |VALUE |説明 | ├───────────┼──────────┼────────────────────────┤ | |on |SYSLOGを出力する | |log ├──────────┼────────────────────────┤ | |off |SYSLOGを出力しない | ├───────────┼──────────┼────────────────────────┤ |upwait |秒数 |到達性があると判断するまでの待機時間(1..1000000)| ├───────────┼──────────┼────────────────────────┤ |downwait |秒数 |到達性がないと判断するまでの待機時間(1..1000000)| ├───────────┼──────────┼────────────────────────┤ |length |バイト |ICMP Echoパケットの長さ(64-1500) | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |DOWN→UPまたはUP→DOWNに状態が変化した場合に、指| |ipsec-refresh |ゲートウェイの識別子|定のセキュリティ・ゲートウェイに属するSAを強制的| | | |に更新(複数指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |DOWN→UPに状態が変化した場合のみ、指定のセキュリ| |ipsec-refresh-up |ゲートウェイの識別子|ティ・ゲートウェイに属するSAを強制的に更新(複数 | | | |指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | |セキュリティ・ |UP→DOWNに状態が変化した場合のみ、指定のセキュリ| |ipsec-refresh-down |ゲートウェイの識別子|ティ・ゲートウェイに属するSAを強制的に更新(複数 | | | |指定する場合はカンマで区切る) | ├───────────┼──────────┼────────────────────────┤ | | |ICMP Echoパケットを送信する際、該当する経路に複 | | |head |数のゲートウェイが指定されていても、必ず最初に指| | | |定されたゲートウェイへ送出する | |gateway-selection-rule├──────────┼────────────────────────┤ | | |ICMP Echoパケットを送信する際、該当する経路に複 | | |normal |数のゲートウェイが指定されていたら、通常の規則に| | | |従い送出ゲートウェイを選択する | └───────────┴──────────┴────────────────────────┘ [説明] 指定したゲートウェイに対してICMP Echoを送信し、その返事を受信できるかど うかを判定する。 [ノート] Rev.7.01 以上で実行可能である。 lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全体 の長さではない。 lengthパラメータは、Rev.7.01.43、Rev.8.01.18、Rev.8.02.35 以降で指定可能 である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、ネット ワークバックアップ機能の主系/従系回線の切り替え時において、IPsec通信の 復旧時間を短縮させる際に有効である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、RT107e を除くRev.8.03.68以降で指定可能である。 gateway-selection-ruleパラメータは、RT107eを除くRev.8.03.68以降で指定可 能である。 RT107eでのみGATEWAYパラメータでdhcp INTERFACEを指定できる。 [初期値] log = off upwait = 5 downwait = 5 length = 64 ipsec-refresh 設定なし ipsec-refresh-up 設定なし ipsec-refresh-down 設定なし gateway-selection-rule = head [設定例] ネットワークバックアップ機能で従系回線pp11から主系回線pp10へ復旧する際に、 IPsec接続で使用しているセキュリティ・ゲートウェイの識別子3に属するSAを強 制的に更新させる。 # ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0 # ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3 ネットワークバックアップ機能を利用して、IPキープアライブ1がダウンしたの をトリガーにして経路172.16.224.0/24を活性化させる。 # ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0 # ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2 # ip keepalive 1 icmp-echo 5 5 192.168.100.101 # ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule=normal [3] descriptionコマンドを拡張し、従来のインタフェースの説明に加えて、システムの 説明を設定できるようにした。 ○インタフェースまたはシステムの説明の設定 [書式] description ID DESCRIPTION no description ID [DESCRIPTION] description INTERFACE DESCRIPTION no description INTERFACE [DESCRIPTION] [設定値] ○ID ... システム全体の説明を記述する場合のID (1..21474836) ○INTERFACE ... LANインタフェース名、'pp'、'tunnel'のいずれか ○DESCRIPTION ... 説明の文字列 (最大64文字/ASCII、32文字/シフトJIS) [説明] システム全体の説明、あるいはインタフェースの説明を設定しておく。 設定内容はあくまで説明のためだけであり、動作には影響を与えない。 システム全体の説明の場合は、IDの値を変えることで複数行の説明を設定できる。 インタフェースの説明は一行に限定される。 INTERFACEとして'pp'あるいは'tunnel'を指示したときにはそれぞれ、pp select あるいはtunnel selectで選択したインタフェースの説明となる。 設定内容はshow configコマンドで表示される。また、インタフェースに対する 設定内容はインタフェースに対するshow statusコマンドでも表示される。 システム全体の説明は、show configコマンドではすべての設定よりも先に、ID 順に表示される。 説明には、ASCII文字だけではなく、シフトJISで表現できる範囲の日本語文字 (半角カタカナを除く)も使用できる。ただし、console characterコマンドの設 定がsjisの場合にのみ、正しく設定、表示でき、他の設定の場合には文字化けす ることがある。 [4] 技術サポートに必要な情報を一度に出力することができる、show techinfoコマンド を新設した。 ○技術情報の表示 [書式] show techinfo [説明] 技術サポートに必要な情報を一度に出力する。 他のshowコマンドとは異なり、show techinfoコマンドの出力は console columns/linesコマンドの設定を無視して一度に出力される。 一画面ごとに出力が停止する、ページ動作は行わない。そのため、ターミナルソ フトのログ機能を用いて、出力をPCのファイルとして保存することが望ましい。 また、console characterコマンドの設定も無視され、常に英語モードで出力さ れる。 一画面ごとに内容を確認しながら出力したいときには、以下のようにlessコマン ドを併用するとよい。ただし、lessコマンドは画面制御シーケンスを多数出力す るため、ログを記録しながらlessコマンドを使用すると、ログファイルがわかり にくくなる。 show techinfo | less [ノート] ルーターに対してPCで動作するTFTPクライアントからアクセスし、ファイル名 'techinfo'をGETすると、show techinfoコマンドの出力と同じものが得られる。 Windows XPのTFTP.EXEを使用した例: C:\>tftp 192.168.0.1 get techinfo techinfo.txt [5] BGP-4で受け取った経路について、ASパス属性に基づいたフィルタリングを設定する コマンドを追加した。 BGP-4で受けた経路情報に含まれるASパス属性に基づいて経路のフィルタリングをか けるため、bgp export aspathコマンドを新設した。bgp export aspathコマンドを設 定すると、bgp export aspathコマンドで指定した正規表現と一致するASパス属性を 持つ経路ごとに経路のフィルタリングをかけることができる。 ○ BGPで受信した経路に対するフィルタの適用 [書式] bgp export REMOTE_AS filter FILTER_NUM ... bgp export aspath SEQ "ASPATH_REGEXP" filter FILTER_NUM ... no bgp export REMOTE_AS [ filter FILTER_NUM ... ] no bgp export aspath SEQ ["ASPATH_REGEXP" [ filter FILTER_NUM ... ]] [設定値] ・ REMOTE_AS ... 相手のAS番号 (1..65535) ・ SEQ ... ASパスを指定したときの評価順序 (1..65535) ・ ASPATH_REGEXP ... 正規表現 ・ FILTER_NUM ... フィルタの番号 (1..2147483647) [説明] BGPで受けた経路に対してフィルタを設定する。 REMOTE_ASを指定してフィルタを設定した場合、接続先から受けた経路について フィルタに該当した経路が実際のルーティングテーブルに導入され、RIPやOSPF のような他のプロトコルにも通知される。フィルタに該当しない経路はルーティ ングには適用されず、他のプロトコルに通知されることもない。フィルタの番号 には bgp export filterコマンドで定義した番号を指定する。 ASPATH_REGEXPを指定してフィルタを設定した場合、 REMOTE_ASを指定した場合 と同様に、 ASパスが正規表現と一致する経路についてフィルタに該当した経路 が導入される。 ASPATH_REGEXPにはgrepコマンドで使用できる検索パターンを指 定する。 ASPATH_REGEXPを指定したフィルタを複数設定した場合、SEQの小さい順に評価さ れる。また、 ASPATH_REGEXPを指定したフィルタを設定した場合、REMOTE_ASを 指定したフィルタよりも優先して評価される。 [ノート] 正規表現によってASパスを表す例 ・ すべてのASパスと一致する # bgp export aspath 10 ".*" filter 1 ・ AS番号が1000または1100で始まるASパスと一致する # bgp export aspath 20 "^1[01]00 .*" filter 1 ・ AS番号に2000を含むASパスと一致する # bgp export aspath 30 "2000" filter 1 ・ ASパスが3000 3100 3200であるパスと完全一致する # bgp export aspath 40 "^3000 3100 3200$" filter 1 ・ ASパスにAS_SETを含むパスと一致する # bgp export aspath 50 "{.*}" filter 1 [初期値] このコマンドが設定されていないときには、BGPが受信したすべての経路が破棄 される。 [6] implicit経路の優先度を設定できるようにした。 ○implicit経路の優先度の設定 [書式] ip implicit-route preference PREFERENCE no ip implicit-route preference [PREFERENCE] [設定値] PREFERENCE ... implicit経路の優先度 (1..2147483647) [説明] implicit経路の優先度を設定する。 優先度は1以上の整数で示され、数字が大きいほど優先度が高い。 implicit経路が動的経路制御プロトコルで得られた経路またはip routeコマンド で設定された静的な経路と食い違う場合には、優先度が高い方が採用される。 静的な経路と優先度が同じ場合には、静的な経路が優先される。 動的経路制御プロトコルで得られた経路と優先度が同じ場合には、時間的に先に 採用された経路が有効となる。 なお、ip implicit-route preferenceコマンドでimplicit経路の優先度を変更し ても、その時点で既にルーティングテーブルに登録されているimplicit経路の優 先度は変更されない。 [ノート] implicit経路とは、IPアドレスを設定したインタフェースが有効な状態になった ときに暗黙のうちに登録されるそのインタフェースを経由する経路のことである。 例えば、IPアドレスを設定したLANインタフェースがリンクアップ状態のときに は、設定したIPアドレスとネットマスクの組み合わせから決定されるネットワー クアドレスが、そのLANインタフェースを経由するimplicit経路として登録され ている。 [初期値] 10000 [7] LANインタフェースの受信パケットバッファサイズを設定できるようにした。 ○LANインタフェースの受信パケットバッファサイズの設定 [書式] lan receive-buffer-size INTERFACE SIZE no lan receive-buffer-size INTERFACE [設定値] INTERFACE ... LANインタフェース名 SIZE ... 受信パケットバッファサイズ(1..1000) [説明] LANインタフェースの受信パケットバッファサイズを設定する。 [初期値] 128(QoS設定時は全LANインタフェースで20) [8] IPマスカレードで、TCP/FIN通過後のエントリのTTL値は60秒に設定されているが、こ の値を変更できるようにした。 nat descriptor timerコマンドで、'tcpfin'というキーワードとともに設定する。 ○NATのIPアドレスマップの消去タイマの設定 [書式] nat descriptor timer NAT_DESCRIPTOR TIME nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] TIME nat descriptor timer NAT_DESCRIPTOR tcpfin TIME2 no nat descriptor timer NAT_DESCRIPTOR [TIME] no nat descriptor timer NAT_DESCRIPTOR protocol=PROTOCOL [port=PORT_RANGE] [TIME] no nat descriptor timer NAT_DESCRIPTOR tcpfin [TIME2] [設定値] NAT_DESCRIPTOR ... NATディスクリプタ番号 (1..2147483647) TIME ... 消去タイマの秒数 (30-21474836) TIME2 ... TCP/FIN通過後の消去タイマの秒数 (1-21474836) PROTOCOL ... プロトコル PORT_RANGE ... ポート番号の範囲、プロトコルがTCPまたはUDPの場合にのみ有効 [説明] NATやIPマスカレードのセッション情報を保持する期間を表すNATタイマを設定す る。IPマスカレードの場合には、プロトコルやポート番号別のNATタイマを設定 することもできる。指定されていないプロトコルの場合は、第一の形式で設定し たNATタイマの値が使われる。 IPマスカレードの場合には、TCP/FIN通過後のNATタイマを設定することができる。 TCP/FINが通過したセッションは終了するセッションなので、このタイマを短く することでNATテーブルの使用量を抑えることができる。 [初期値] TIME ... 900, プロトコルごとの設定はなし TIME2 ... 60 [9] url filter useコマンドを追加した。 ○URLフィルターを使用するか否かの設定 [書式] url filter use SW no url filter use [設定値] SW on .... URLフィルターを使用する off ... URLフィルターを使用しない [説明] 内部データベース参照型URLフィルターおよび、外部データベース参照型URLフィ ルターを使用するか否かを設定する。 [初期値] on ■仕様変更 [1] GUIのクロスサイトリクエストフォージェリの脆弱性問題対応に伴いログインタイマ の下限値を120秒にした。 ○ログインタイマの設定 [書式] login timer time no login timer [time] [設定値] ○ time ● 秒数.... キー入力がない場合に自動的にログアウトするまでの秒数(30..21474836;SRT100の場合は120..21474836) ● clear... ログインタイマを設定しない [説明] キー入力がない場合に自動的にログアウトするまでの時間を設定する。 [ノート] TELNET またはSSH でログインした場合、 clear が設定されていてもタイマ値は 300 秒として扱う。 [初期値] 300 ○ユーザの属性を設定 [書式] user attribute [user] attribute=value [attribute=value...] no user attribute [user...] [設定値] ○ user ● 登録されているユーザ名 ● *( すべてのユーザ) ○ attribute=value ......... ユーザ属性 [説明] ユーザの属性を設定する。属性には、以下のものがある。 ┌───────┬───────┬──────────────────────┐ |attribute |value |説明 | ├───────┼───────┼──────────────────────┤ |administrator |on |administrator コマンドにより管理ユーザに昇 | | | |格することができる。またGUI の管理者ページへ| | | |接続することができる。 | | ├───────┼──────────────────────┤ | |off |administrator コマンドにより管理ユーザに昇 | | | |格することができない。またGUI の管理者ページ| | | |へ接続することができない。 | ├───────┼───────┼──────────────────────┤ |connection |off |すべての接続を禁止する。 | | ├───────┼──────────────────────┤ | |all |すべての接続を許可する。 | | ├───────┼──────────────────────┤ | |serial |シリアルコンソールからの接続を許可する。 | | ├───────┼──────────────────────┤ | |telnet |TELNET による接続を許可する。 | | ├───────┼──────────────────────┤ | |ssh |SSH による接続を許可する。 | | ├───────┼──────────────────────┤ | |remote |リモートセットアップによる接続を許可する。 | | ├───────┼──────────────────────┤ | |http |GUI設定画面への接続を許可する。 | ├───────┼───────┼──────────────────────┤ |host |IP |アドレス指定したホストからの接続を許可する。| | ├───────┼──────────────────────┤ | |any |すべてのホストからの接続を許可する。 | ├───────┼───────┼──────────────────────┤ |multi-session |on |同一ユーザ名によるTELNET、SSH または | | | |HTTP での複数接続を許可する。 | | ├───────┼──────────────────────┤ | |off |同一ユーザ名によるTELNET、SSH または | | | |HTTP での複数接続を禁止する。 | ├───────┼───────┼──────────────────────┤ |login-timer |30..21474836; |ログインタイマを設定する。 | | |SRT100の場合は| | | |120..21474836,| | | |clear | | └───────┴───────┴──────────────────────┘ [ノート] user を省略した場合は、無名ユーザの属性を設定する。 user をアスタリスク(*) に設定した場合は、すべてのユーザに対して設定を有 効にする。ただし、ユーザ名を指定した設定がされている場合は、その設定が優 先される。 すでに管理ユーザに昇格しているユーザに対して、このコマンドで administrator 属性を off に変更しても、そのユーザは exit コマンドにより 一般ユーザに降格するか、あるいはログアウトするまでは管理ユーザで居続ける ことができる。またGUI の管理者ページへの接続が制限されるのは Rev.10 以降 のファームウェアである。 connection 属性では、 off、 all 以外の値はコンマ(,) でつないで複数指定す ることができる。またhttp を指定してGUI 設定画面への接続を設定できるのは Rev.10 以降のファームウェアである。 すでに接続しているユーザに対して、このコマンドでconnection 属性または host 属性により接続を禁止しても、そのユーザは切断するまでは接続を維持し 続けることができる。 host 属性では、TELNET、SSH 及びHTTP で接続できるホストを設定する。 指定できるIP アドレスは、1個のIP アドレスまたは間にハイフン(-) をはさん だIP アドレス(範囲指定)、およびこれらをコンマ(,) でつないだものである。 multi-session 属性では、TELNET またはSSH での複数接続の可否を設定する。 この属性を off に変更しても、シリアルとTELNET やリモートセットアップと SSH など、接続方法が異なる場合は同じユーザ名で接続することができる。 すでに複数の接続があるユーザに対して、このコマンドでmulti-session 属性を off に変更しても、そのユーザは切断するまでは接続を維持し続けることができ る。 無名ユーザに対してはSSH による接続を許可することができない。 無名ユーザに対してはTELNET での複数接続はできない。 TELNET、SSH またはHTTP で接続した場合、login-timer 属性の値がclear に設 定されていても、タイマ値は300 秒として扱う。 login timer コマンドの設定値よりも、本コマンドのlogin-timer 属性の設定値 が優先される。 本コマンドにより、すべてのユーザの接続を禁止する、またはすべてのユーザが 管理ユーザに昇格できないといった設定を行った場合、ルーターの設定変更や状 態確認などができなくなるので注意する必要がある。 [初期値] administrator = on connection = serial,telnet,remote,ssh,http host = any multi-session = on login-timer = 300 [2] 静的フィルタで、ICMP/ICMPv6パケットのタイプとコードをチェックするフィルタを 記述できるようにした。 既存のip/ipv6 filterコマンドのTCP/UDPのソースポート番号の部分にICMP/ICMPv6の タイプを記述でき、デスティネーションポート番号の部分にICMP/ICMPv6のコードを 記述できる。 [設定例] ・LAN1で送受信されるIPv4 ICMP ECHO/REPLYをpass-logで記録する ip lan1 secure filter in 1 2 100 ip lan1 secure filter out 1 2 100 ip filter 1 pass-log * * icmp 8 # ECHO ip filter 2 pass-log * * icmp 0 # ECHO REPLY ip filter 100 pass * * ・LAN2から送信されるIPv4 Redirectのうち、"for the Host"だけを通さない ip lan2 secure filter out 1 100 ip filter 1 reject * * icmp 5 1 # Redirect Datagram for the Host ip filter 100 pass * * ・PP 1で送受信されるIPv6 Packet Too Bigを記録する pp select 1 ip pp secure filter in 1 100 ip pp secure filter out 1 100 ipv6 filter 1 pass-log * * icmp6 2 # Packet Too Big ipv6 filter 100 pass * * [3] IPマスカレード機能で、新しく内側と外側のアドレスをバインド、解放したときのロ グに、今までの情報に加えて宛先IPアドレス、ポート番号の情報を表示するようにし た。 例: [NAT(1):LAN2] Bound TCP 10.0.0.1.60000 <-> 192.168.0.1.60371 ==> 172.16.0.1.80 この例では、10.0.0.1が外側アドレス、60000が外側ポート番号、 192.168.0.1が内側アドレス、60371が内側ポート番号、 172.16.0.1が宛先アドレス、80が宛先ポート番号になる。 [4] PPP/IPCPのネゴシエーションが完了したときのログに、ネゴシエーションしたIPアド レスを表示するようにした。例えば、以下のような表示になる。 PP[ANONYMOUS1] PPP/IPCP up (Local: 192.168.7.1, Remote: 192.168.100.100) ネゴシエーションが行われず、表示すべきIPアドレスがないときにはIPアドレスの代 わりに"None"と表示される。 [5] show status qosコマンドで、QoS設定がない場合にコマンドをエラーにするのではな く、エラーメッセージを独自に表示してコマンドは正常終了するようにした。 show techinfoコマンドで、QoS設定がない場合にコマンドが実行されなかったかのよ うに見えるのを防ぐのが目的。show status qosコマンド自体の動作に変更はない。 [6] NATテーブルのエントリ数が多いときの性能を改善した。 [7] QoS使用時のスループットを向上させた。 [8] IKEキープアライブ機能でIPsecトンネルのダウンを検出したときに記録するログを、 DEBUGレベルのログからINFOレベルのログに変更した。 [9] ipsec ike local address コマンドおよび ipsec ike remote address コマンドに ついて、パラメータにIPアドレスを設定するときに0.0.0.0や0::0を設定できないよ うに変更した。 ■バグ修正 [1] GUIにおけるクロスサイトリクエストフォージェリの脆弱性問題に対応した。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN88575577.html [2] GUIの設定確認画面の表示の誤りを修正した。 [3] GUIにおいて「URLフィルター(外部データベース参照型URLフィルターのオプション設 定)[設定]」ページの画面表示がおかしいことがあるバグを修正した。 [4] GUIのページタイトルに誤りがあったのを修正した。 [5] IPsecトランスポートモードで、ESPパケットを送信するときにプロトコルとして誤っ た値を設定していたために、通信できないバグを修正した。 [6] IPsecで複数のSAがあるときに一部のSAが消滅すると、残ったSAの寿命値が1秒だけ延 びるバグを修正した。 [7] トンネルインタフェースに内部データベース参照型URLフィルタまたは、外部データ ベース参照型URLフィルタを設定した場合、SNMPで統計情報を取得できないバグを修 正した。 インタフェースのIN側に外部データベース参照型URLフィルタを設定した場合、SNMP で統計情報が取得できないバグを修正した。 [8] 外部データベース参照型URLフィルタでネットスターを使用した場合、ブロック画面 に表示されるカテゴリ名、およびGUIのURLフィルター設定画面で表示されるカテゴリ 名の誤記を修正した。 [9] LAN分割機能を使用しイーサネットフィルタでdhcp-bindを指定したとき、IPv4パケッ ト以外のパケット(ARPなど)が通らないバグを修正した。 LAN分割機能を使用しているとき、イーサネットフィルタのログのイーサネットタイ プの表示が正しくないバグを修正した。 [10] LAN分割機能とイーサネットフィルタを併用するとき、lan1.2,lan1.3,lan1.4に設定 したイーサネットフィルタが正しく機能しないバグを修正した。 [11] タグVLAN機能とVRRP機能を同一インタフェースで使用して、VRRPの仮想MACアドレス 宛ての受信フレームを他のインタフェース経由で転送するときに、ファストパスで処 理できないバグを修正した。 [12] SPF計算で同コストなスタブリンクを評価したとき、スタブ経路の計算結果に基づい てルーティングテーブルを更新できない場合があるバグを修正した。 具体的には、あるスタブ経路に関するスタブリンクを評価したとき、最後に評価した スタブリンクにおいてネクストホップ情報の更新が発生しなかったとき、ルーティン グテーブルにそのスタブ経路の計算結果が反映されなくなる。 [13] フローティングスタティックのとき、OSPF・BGPで経路の生成元の切り替わりを検知 できないバグを修正した。 最初にOSPF・BGPのルーティングテーブルに取り込んだプロトコルでその後の動作が 決まってしまい、import できたりできなかったりしていた。 [14] BGPピアの設定があり、その設定をまったく変更していない状態で、show status bgp neighborコマンドで表示される状態がIdleまたはActiveのときにbgp configure refreshコマンドを実行すると、そのBGPピアがそれ以降、bgp configure refreshコ マンドに反応しなくなるバグを修正した。 この状態になると、ルーターを再起動するしか復旧の方法はない。 Idle状態とはBGPの初期化中の状態であり、ごく短時間で他の状態に遷移するため、 現実的には、Idle状態中にbgp configure refreshコマンドを実行するのは困難であ る。 Active状態とは、BGPピアからの接続を待っている状態である。bgp neighborコマン ドでpassiveオプションをonに設定していると、BGPピアから接続されるまでActive状 態になる。また、passiveオプションがoffの場合でも、BGPピアとの接続がいったん 切断されると、少なくともIdelHoldTimer(=12秒)の間はActive状態になる。そのため、 bgp configure refreshコマンドを12秒以内に2回以上実行すると、この問題に遭遇す ることになる。 [15] BGPで、bgp configure refreshコマンドを実行したときに、本来であればBGPピアか ら受信していた経路はいったんすべて削除されるが、それが削除されずに残ってしま うことがあるバグを修正した。 [16] OSPFで、TYPE2の外部経路について、経路の変更がまったくない場合でも、SPF再計 算のタイミングで経路の削除/追加イベントが発生することがあるバグを修正した。 問題が発生したときに、ip route change logコマンドをonに設定しておくと、 "Delete IP route"/"Add IP route"のログが続けて記録されるがその前後で経路の変 更は起きていない。 [17] IBGP構成におけるNULLポインタアクセスによるリブートの可能性を排除した。 IBGP構成での動作は保障しない。 [18] Relay-Session-IDタグを含むPPPoEパケットの受信に対する応答のPPPoEパケットに、 受信したRelay-Session-IDタグを含めずに送信するバグを修正した。 本修正前は、サーバとの間にPPPoEリレー機能を持つ機器が設置されている構成では PPPoE接続ができないことがあった。 [19] 受信したインタフェースと同一のLANインタフェースにパケットを転送するときに、 フローテーブルに当該エントリが存在するときはファストパスで処理するようにした。 フローテーブルにエントリが存在していないときは、ノーマルパスで処理されてIMCP redirectが送信されるという本修正前と同じ動作になる。 [20] USBメモリを認識していない状態で、GUIの「保守(設定ファイルのコピー)」ページ から内蔵メモリ同士の設定ファイルのコピーを行うことができないバグを修正した。 [21] ppp ipcp remote address checkコマンドが設定されていないときは、on と設定さ れた状態で動作しなければならないにも関わらず、off と設定された状態で動作する バグを修正した。 [22] timezone コマンドで -00:01 〜 -00:59 の範囲を指定したときに、符号が反転して しまうバグを修正した。 例えば "timezone -00:30" と入力した場合に "timezone +00:30" と設定されてしま う。 [23] show sshd public keyコマンドでのメモリリークを修正した。 [24] 以下に示すコマンドのパラメータで、不正な形式であってもエラーを表示しないこ とがあるバグを修正した。 - ip filter、ipv6 filterコマンドのプロトコル、始点/終点ポート番号 - ip tos supersedeコマンドのTOS値 - syslog facilityコマンドのファシリティ値 - nat descriptor timerコマンドのプロトコル - nat descriptor masquerade staticコマンドのプロトコル 不正な形式でもエラーにならない例は以下のとおり。 - 「''」 (空文字列、「0」と解釈される) - 「0x」 (「0」と解釈される) - 「,」 (ip/ipv6 filterコマンドでのみ指定可能、「0,0」と解釈される) [25] nat descriptor timerコマンドで、no形式で設定を削除する場合に、本来不要なパ ラメータを指定しないとエラーになることがあるバグを修正した。 [26] queue class property コマンドについて、no コマンドのヘルプ文に省略できない パラメータが記述されていなかった誤記を修正した。 [27] queue class property コマンドの帯域の設定値およびspeed ppコマンドの速度の設 定値について、上限を100Mまでとした。 [28] queue class property コマンドのbandwidthパラメータについて、非常に大きな値を 設定しようとしたときに、指示した値とは異なる値が設定されることがあるバグを修 正した。 queue class propertyコマンドで、bandwidthパラメータに'm'を付けてMbit/s指定で きないバグを修正した。 [29] queue INTERFACE default class コマンドのヘルプ文の誤記を修正した。 ヘルプ文の日本語表示で『クラス』の後ろに『...』が付いていて複数の入力ができ るように見えていた。 [30] syslog hostコマンドで、スコープIDを指定していないIPv6リンクローカルアドレス を設定できないようにした。 [31] ipv6 routeコマンド設定において、networkが0::0となるような入力ができてしまう バグを修正した。 [32] snmp local addressコマンドで、0.0.0.0または::0を設定してもエラーにならない が、コマンド自体は設定されないバグを修正した。 [33] bgp export filterコマンドおよびbgp import filterコマンドで、以下のバグを修 正した。 - bgp export filterコマンドでpreferenceパラメータのTAB補完ができない。 - bgp export filterコマンドでmetricパラメータが設定できてしまう。 - bgp export filterコマンドでpreferenceパラメータを複数指定できてしまう。 - bgp import filterコマンドでpreferenceパラメータが設定できてしまう。 - bgp import filterコマンドでmetricパラメータを複数指定できてしまう。 また、それぞれのコマンドのオンラインヘルプの記述を整理した。 [34] ospf area network コマンドのヘルプ表記を修正した。 [35] bgp router idコマンドで、ルータIDに0.0.0.0を指定してもエラーにならないバグ を修正した。 [36] BGP UPDATEメッセージ受信の脆弱性問題に対応した。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU929656.html ■更新履歴 Mar. 2008, Rev.10.00.31 リリース May. 2008, BGP UPDATEメッセージ受信の脆弱性についてのバグ修正を追加した
以上