ブリッジインタフェースを追加した。
ブリッジ機器として設置し、SRT100のセキュリティ機能などを利用できます。使用できる機能については、下記資料をご確認ください。
Shareフィルター機能を追加した。
プライベートMIBでLOOPBACKインタフェースとNULLインタフェースの情報を取得できるようにした。
プライベートMIBファイルも更新する必要がある。
ip flow timerコマンドを追加した。
○フローテーブルの各エントリの寿命を設定
PROTOCOL | 寿命を指定するプロトコル |
|
|
TIME | 秒数(1-21474836) |
URLフィルタについて、以下の機能を追加した。
インタフェースに複数のグローバルIPv6アドレスが設定されているときの、始点IPv6選択規則を設定するコマンドを新設した。
従来は、このコマンドで'lifetime'と設定したときと同じ動作をしていたが、本来は'prefix'と同じ動作をするべきであった。
○インタフェースに複数のグローバルIPv6アドレスが設定されているときの始点IPv6の選択規則の設定
RULE
|
IPv6で、RAによりインタフェースに自動的に設定されるIPv6アドレスの数を最大16に制限するようにした。
また、最大数を変更することができるコマンドを新設した。
○自動的に設定されるIPv6アドレスの最大数
RAプロキシでDADをトリガにNSを送信する機能を追加した。
IPv6 RAプロキシ機能を利用する際、RTの機器交換が発生すると、上流の機器で下流の機器のグローバルアドレスに対する近隣キャッシュが更新されず、それによって通信できなくなる現象が発生することがある。
それを解決するために、上流の機器に対して下流の機器のグローバルアドレスを送信元とした近隣要請(NS)を送信することによって、上流の機器が近隣キャッシュを更新するように促す、という機能を追加した。このとき、NSを送信するタイミングとしては、下流の機器からアドレス重複チェックを受けたときがトリガとなる。
また、上流の機器に近隣要請(NS)を送信した場合、上流の機器から近隣広告(NA)が返されることになるが、このNAの宛先は、NSの送信元、つまり下流の機器となる可能性があり、下流の機器としては送信していないNSに対するNAを受け取ることになるので、このNAをプロキシしないように変更できる設定も追加した。
○アドレス重複チェックをトリガに近隣要請を行うか否かの設定
ipv6 nd ns-trigger-dad on [option=value] |
ipv6 nd ns-trigger-dad off |
no ipv6 nd ns-trigger-dad [...] |
○on... | 近隣要請を行う |
○off... | 近隣要請を行わない |
○OPTION=VALUE列 |
OPTION | VALUE | 説明 |
---|---|---|
na-proxy | all | 近隣要請を行った後で、アドレス重複チェックの送信 元への近隣広告はすべてプロキシする |
discard-one-time | 近隣要請を行った後で、アドレス重複チェックの送信 元への近隣広告を一回のみ破棄し、その後はプロキシ する |
RIPのタイマーを調整するコマンドを追加した。
○RIPのタイマーを調整する。
UPDATE | ... | 定期的な広告の送信間隔(10〜60(秒)) |
INVALID | ... | 広告を受け取れなくなってから経路を削除するまでの時間(30〜360(秒)) |
HOLDDOWN | ... | 経路が削除されたときにメトリック16で経路を広告する時間(20〜240(秒)) |
UPDATE × 3 ≦ INVALID ≦ UPDATE × 6 |
UPDATE × 2 ≦ HOLDDOWN ≦ UPDATE × 4 |
UPDATE | ... | T |
INVALID | ... | T × 6 |
HOLDDOWN | ... | rip timerコマンドの設定値(デフォルト120秒) |
PPインタフェース以外は該当するコマンドがないため、常にrip timerコマンドの設定値が有効である。
RIPフィルタで、RIP2の場合はネットマスクもフィルタの対象とすることができるようにした。
RIPフィルタでは、送受信するRIPエントリのアドレス部分だけをフィルタの対象とし、RIP2でのみ意味のあるネットマスク部は比較の対象でなかった。そこで、フィルタをネットマスク型で記述した場合のみ、ネットマスク部も比較できるようにした。
ip filter 1 reject 192.168.0.0/16 ip filter 2 pass 192.168.0.0/24
ip filter 10 reject 192.168.0.0-192.168.0.255 ip filter 20 pass 192.168.0.100
○RIP2でのフィルタの比較方法
RULE ... | address-only ... ネットワークアドレスだけを比較対象とする |
with-netmask ... RIP2の場合、ネットワークアドレスとネットマスクを比較対象とする |
rip filter ruleコマンド | プロトコル | 比較方法 |
address-only | RIP1 | ネットマスク型のフィルタは範囲指定と解釈され、RIPエントリーのアドレス部がその範囲に入っているかどうかを比較する。 |
RIP2 | ||
with-netmask | RIP1 | |
RIP2 | ネットマスク型のフィルタの、アドレスとネットマスクがそれぞれ、RIPエントリーのアドレス、ネットマスクと一致するかどうかを比較する。 |
経路テーブルに存在しない経路をRIPで広告することができる機能を追加した。
○RIPで強制的に経路を広告する
IP-ADDRESS/NETMASK ... | 強制的に広告したい経路のネットワークアドレスとネットマスク長、または'default' |
METRIC ... | 広告する際のメトリック値(1〜15) |
経路として'default'を指定した場合にはデフォルト経路が広告される。
○設定例
LAN1側に、LAN2の一部のホストだけを広告する。
ip lan1 address 192.168.0.1/24 ip lan2 address 192.168.1.1/24 rip use on rip filter rule with-netmask ip lan1 rip send on version 2 ip lan1 rip receive on version 2 ip filter 1 reject 192.168.1.0/24 ip filter 100 pass * ip lan1 rip filter out 1 100 ip lan1 rip force-to-advertise 192.168.1.28/30 ip lan1 rip force-to-advertise 192.168.1.100/32 ip lan1 rip force-to-advertise 192.168.1.101/32
URLフィルタについて、以下の変更を行った。
mail notify trigger intrusion コマンドで、Anonymousインターフェースを入力できないように修正した。
閏年かどうかを判定する処理が間違っており、以下の年に、日付に関するさまざまな動作で誤動作していた。
以下の日付で、本来は5/1になるはずが、4/29になっている年は本来の日付より1日遅い動作をし、5/2になっている年は本来より1日早い動作をしていた。
Apr-30-1980
Apr-30-1984
Apr-30-1988
May-02-1990
Apr-29-1992
May-02-1994
Apr-29-1996
May-02-1998
Apr-30-2000
Apr-30-2004
Apr-30-2008
May-02-2010
Apr-29-2012
May-02-2014
Apr-29-2016
May-02-2018
Apr-30-2020
Apr-30-2024
Apr-30-2028
May-02-2030
Apr-29-2032
May-02-2034
Apr-29-2036
不正アクセス検知機能がPPインタフェースとトンネルインタフェースで働かないことがあるバグを修正した。
以下のIPオプションを持つルーター宛のパケットを受信したときに、不要なログが表示されるバグを修正した。
IPマスカレード変換で動的なセッションの総数を制限した。
静的IPマスカレードの設定がされているとき、外側から内側への通信でセッションが無制限にはられてしまい、動作が不安定になる要因となっていた。
RIPよりもプリファレンス値の低い他のプロトコル(静的経路含む)からとRIPからとで同じネットワーク宛の経路をほぼ同時に受信したときに、ごくまれにshow ip routeコマンドでは経路がRIPによるものと表示されるのに、show ip rip tableコマンドでは経路が"other protocol"と表示され、その後RIPからの経路の受信が無くなっても経路が消えなくなることがあるバグを修正した。
同じ宛先に対して、OSPFあるいはBGPで受信した経路(経路Aとする)と、ip routeコマンドによる静的経路あるいはRIPで受信した経路(経路Bとする)があり、経路Aよりも経路Bの方がプレフィクス値が高く、優先されている状態のときに、経路Aが先に消え、その後経路Bが消えた場合に、show ip routeコマンドで消えたはずの経路Aが表示され、パケットも転送されてしまうバグを修正した。
IPsec機能において、アグレッシブモードでlocal nameが同じでpre-shared-keyが異なる接続があった場合に、正しいpre-shared-keyが設定された接続が切れてしまうことがあるバグを修正した。
IPsec機能において、ISAKMPヘッダが正しくないパケットを受信したときに、不要なログが出力されていたりしたバグを修正した。
IPsecをファストパス処理している場合で、暗号化後のESPパケットをフラグメントする場合で送信負荷が非常に高い場合に、まれに2つめのフラグメントのデータが正しくない状態で送信することがあるバグを修正した。
Winny検知を有効にした状態で、TCPセッションが同時に多数発生するとリブートするバグを修正した。
LAN1以外のLANインタフェースでDHCPクライアント機能によりアドレスを割り当てられたときにARPリクエストが送出されないバグを修正した。
DHCPサーバー機能で、大量のDHCPクライアントから同時にDHCPメッセージを受信すると、リブートするなどルータの動作が不安定になるバグを修正した。
外部データベース参照型URLフィルタを使用中にリブートすることがあるバグを修正した。
セキュリティクラスの設定によりTELNET接続が失敗したときのログ表示について、正しくIPアドレスが表示されていなかったバグを修正した。
セキュリティクラスの設定によりSSH接続が失敗したときのログ表示について、IPアドレスが正しく表示されていなかったバグを修正した。
SNMPで、sysUpTime変数が49日あまりで0に戻ってしまうバグを修正した。
497日あまりで0に戻るのが正しい。
SNMPで、受信したPDU中のINTEGER型の値に対して、ITU-T X.690 8.3.2節に記述されている規則のチェックを行わないようにした。
その規則を守らないSNMPマネージャーとの間で通信ができるようになる。
yrfLoginTrapの仕様を変更し、ログイン状態に変化のあったコネクションの情報だけをVARIABLEとしてつけることにした。具体的には、以下のMIB変数を要素として持つテーブルyrfLoginTableを新設し、そこにログイン情報を集めることにした。yrfLoginTrapに付けるMIB変数は、yrfLoginTableの1エントリ分となる。
これに伴い、従来のログイン情報である以下のMIB変数はMIBファイル上ではobsoleteとした。ただし、読み出した場合にはそれぞれ該当するyrfLoginStats変数やyrfLoginFromIpが読み出せるようにしている。
この修正により、TELNET多重化およびSSHD機能実装後にyrfLoginTrapが送信できなくなっていたバグが修正される。
GUIにアクセスする際に、URIに'/'(スラッシュ)が複数連続して含まれるとリフレッシュを繰り返すバグを修正した。
GUIのIPsecの詳細設定画面で初期値で表示されない箇所があるバグを修正した。
GUIのアクセス管理のパスワード設定を行なったあと、[メイン画面に戻る]ボタンをクリックしたとき、管理者向けトップページに戻っていたバグを修正した。
アクセス管理のメインページに戻るようにした。
GUIの[ルーティング]->[静的経路の設定]において、以下のバグを修正した。
宛先ネットワーク : デフォルト
ゲートウェイ1 : DHCP LAN1
として、[確認]ボタンを押し、確認画面に移行する。その画面で、[戻る]を押して[静的経路の設定]に戻ってくると、
ゲートウェイ1:"空欄"
となってしまうことがあった。
GUIの"ハードウェア"の"LANXの設定"にて、lan typeコマンドで初期値を指定しても、lan typeコマンドが残ってしまうバグを修正した。
GUIで「初期設定ウィザード(プロバイダの設定)」から「CATVインターネット、またはPPPoEを用いない端末型接続」を選択し、WAN側IPアドレスを「DHCPクライアント」に設定したときに正しく設定されないことがあるバグを修正した。
GUIからipsec ike local addressの設定に0.0.0.0を指定してもエラーにならないバグを修正した。
GUIのSNMPの以下の項目について、以下のバグを修正した。
以下のコマンドについて、IPアドレスとして0.0.0.0を入力してもエラーにならないバグを修正した。
ip filterコマンドで、始点・終点IPアドレスとしてネットマスク付きの形を設定したときに、ネットマスク長が32の場合だとshow configで表示されたりフラッシュROMに保存されるときにネットマスクが省略されるバグを修正した。
ほとんどの場合で、ip filterコマンドで設定されるフィルターのネットマスク長が32のときにネットマスクを省略しても同じ意味になるので問題とはならないが、フィルターをRIPのフィルターとして使用するときで、rip filter ruleコマンドをwith-netmaskと設定している場合には両者で意味が変わってくるため問題となる。
TFTPでconfigファイルをルーターにアップロードする場合に、configファイル中にrestartコマンドが記述してあっても、以下の条件に合致する場合にはルーターの再起動が行われないバグを修正した。
または、
configファイル中のrestartコマンドの直前にsaveコマンドが記述されていればこの問題は発生しない。
upwaitパラメータを指定したipsec ike keepalive useコマンドを設定した後にno ipsec ike keepalive useコマンドを設定しても、先のupwaitパラメータの指定が残った状態で動作するバグを修正した。
以下のコマンドが一般ユーザで使用できてしまうバグを修正した。
system packet-buffer
clear url filter コマンドと url filter external-database id check go コマンドについて、一般ユーザで使用できてしまうバグとコマンドに'|'を付けてもエラーにならないバグを修正した。