http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_38.html Revision : 10.00.38 Release : Jul. 2008, ヤマハ株式会社 Rev.10.00.38リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.10.00.31 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 [1] ブリッジインタフェースを追加した。 ブリッジ機器として設置し、SRT100のセキュリティ機能などを利用できます。使用で きる機能については、下記資料をご確認ください。 http://www.rtpro.yamaha.co.jp/RT/docs/bridge/index.html http://www.rtpro.yamaha.co.jp/RT/docs/transfw/index.html [2] Shareフィルター機能を追加した。 http://www.rtpro.yamaha.co.jp/RT/docs/share/index.html [3] プライベートMIBでLOOPBACKインタフェースとNULLインタフェースの情報を取得でき るようにした。 プライベートMIBファイルも更新する必要がある。 [4] ip flow timerコマンドを追加した。 ○フローテーブルの各エントリの寿命を設定 [書式] ip flow timer PROTOCOL TIME no ip flow timer PROTOCOL [TIME] [設定値] PROTOCOL 寿命を指定するプロトコル tcp ... TCPパケット udp...... UDPパケット icmp...... ICMPパケット slow...... FIN/RSTビットのセットされたTCPパケット TIME 秒数(1-21474836) [説明] フローテーブルの各エントリの寿命をプロトコル毎に設定する。 FIN/RST の通過したエントリには'slow'が適用される。 NATや動的フィルタを使用している場合には、それらのエントリの寿命が適用さ れる。 [初期値] tcp = 900, udp = 30, icmp = 30, slow = 30 [5] URLフィルタについて、以下の機能を追加した。 * url filter log コマンドを追加した。 * url filter external-database logコマンドを追加した。 * 外部データベース参照型URLフィルタでユーザ認証に失敗した場合、再度ユーザ 認証を実行する間隔と回数を指定できるようにした。 * ブロック画面のカスタマイズ機能に対応した。 * 外部データベース参照型URLフィルタでデータベースでのチェックを待つリクエ ストの数に上限を設け、キューから溢れたリクエストに対しては、url filter external-database rejectコマンドで設定した動作を行うようにした。 内部データベース参照型URLフィルタ http://www.rtpro.yamaha.co.jp/RT/docs/url-filter/index.html 外部データベース参照型URLフィルタ http://www.rtpro.yamaha.co.jp/RT/docs/url-filter_ext_db/index.html [6] インタフェースに複数のグローバルIPv6アドレスが設定されているときの、始点IPv6 選択規則を設定するコマンドを新設した。 従来は、このコマンドで'lifetime'と設定したときと同じ動作をしていたが、本来は 'prefix'と同じ動作をするべきであった。 ○インタフェースに複数のグローバルIPv6アドレスが設定されているときの始点IPv6 の選択規則の設定 [書式] ipv6 source address selection rule RULE no ipv6 source address selection rule [RULE] [設定値] RULE prefix ... プレフィクスの最長一致 lifetime ... 寿命の長いほうを優先 [説明] 始点IPv6アドレスを選択する規則を設定する。 'prefix'を設定した場合には、終点IPv6アドレスと候補を選択して、先頭から一 致している部分(プレフィクス)がもっとも長いものを始点アドレスとして選択す る。 'lifetime'を設定した場合には、IPv6アドレスの寿命が長いものを優先して選択 する。 [ノート] 通常は'prefix'を設定しておけばいいが、アドレスリナンバリングが発生すると きには、'lifetime'の設定が有効な場合がある。 [初期値] prefix [7] IPv6で、RAによりインタフェースに自動的に設定されるIPv6アドレスの数を最大16に 制限するようにした。 また、最大数を変更することができるコマンドを新設した。 ○自動的に設定されるIPv6アドレスの最大数 [書式] ipv6 max auto address MAX no ipv6 max auto address [MAX] [設定値] MAX ... 自動的に設定されるIPv6アドレスの1インタフェースあたりの最大数 (1〜256) [説明] RAによりインタフェースに自動的に設定されるIPv6アドレスの1インタフェース あたりの最大数を設定する。 [初期値] 16 [8] RAプロキシでDADをトリガにNSを送信する機能を追加した。 IPv6 RAプロキシ機能を利用する際、RTの機器交換が発生すると、上流の機器で下流 の機器のグローバルアドレスに対する近隣キャッシュが更新されず、それによって通 信できなくなる現象が発生することがある。 それを解決するために、上流の機器に対して下流の機器のグローバルアドレスを送信 元とした近隣要請(NS)を送信することによって、上流の機器が近隣キャッシュを更新 するように促す、という機能を追加した。このとき、NSを送信するタイミングとして は、下流の機器からアドレス重複チェックを受けたときがトリガとなる。 また、上流の機器に近隣要請(NS)を送信した場合、上流の機器から近隣広告(NA)が返 されることになるが、このNAの宛先は、NSの送信元、つまり下流の機器となる可能性 があり、下流の機器としては送信していないNSに対するNAを受け取ることになるので、 このNAをプロキシしないように変更できる設定も追加した。 ○アドレス重複チェックをトリガに近隣要請を行うか否かの設定 [書式] ipv6 nd ns-trigger-dad on [option=value] ipv6 nd ns-trigger-dad off no ipv6 nd ns-trigger-dad [...] [設定値] ○on ... 近隣要請を行う ○off ... 近隣要請を行わない ○OPTION=VALUE列 na-proxy all ... 近隣要請を行った後で、アドレス重複チェックの送信元への近 隣広告はすべてプロキシする discard-one-time ... 近隣要請を行った後で、アドレス重複チェック の送信元への近隣広告を一回のみ破棄し、その 後はプロキシする [説明] RAプロキシにおいて、下流よりアドレス重複チェックの近隣要請を受信した際に、 そのグローバルアドレスを送信元とした近隣要請を上流に送信するか否かを設定 する。 [初期値] off na-proxy=all [9] RIPのタイマーを調整するコマンドを追加した。 ○RIPのタイマーを調整する。 [書式] rip timer UPDATE [INVALID [HOLDDOWN]] no rip timer [UPDATE...] [設定値] UPDATE ... 定期的な広告の送信間隔(10〜60(秒)) INVALID ... 広告を受け取れなくなってから経路を削除するまでの時間(30〜360(秒)) HOLDDOWN ... 経路が削除されたときにメトリック16で経路を広告する時間(20〜240(秒)) [説明] RIPのタイマー値を設定する。 UPDATE、INVALID、HOLDDOWNの各値の間には以下の不等式が成立している必要が ある。 UPDATE × 3 ≦ INVALID ≦ UPDATE × 6 UPDATE × 2 ≦ HOLDDOWN ≦ UPDATE × 4 [ノート] PPインタフェースに対し、ip pp rip connect/disconnect interval コマンドが 設定されているときは、そのコマンドの設定値がrip timer コマンドに優先する。 ただし、ip pp rip connect/disconnect intervalコマンドはUPDATEタイマーと INVALIDタイマーの値に影響するが、HOLDDOWNタイマーの値には影響しない。 ip pp rip connect/disconnect intervalコマンドの設定値をTとした場合、各タ イマーは以下のようになる。 UPDATE ... T INVALID ... T × 6 HOLDDOWN ... rip timerコマンドの設定値(デフォルト120秒) PPインタフェース以外は該当するコマンドがないため、常にrip timerコマンド の設定値が有効である。 [初期値] UPDATE: 30秒 INVALID: UPDATE × 6 (180秒) HOLDDOWN: UPDATE × 4 (120秒) [10] RIPフィルタで、RIP2の場合はネットマスクもフィルタの対象とすることができるよ うにした。 RIPフィルタでは、送受信するRIPエントリのアドレス部分だけをフィルタの対象とし、 RIP2でのみ意味のあるネットマスク部は比較の対象でなかった。そこで、フィルタを ネットマスク型で記述した場合のみ、ネットマスク部も比較できるようにした。 ・rip filter ruleコマンドを新設し、このコマンドの設定値がwith-netmaskの場合 には、RIP2であればネットマスクまで含めてフィルタとエントリを比較する。 デフォルト値はaddress-onlyであり、ネットマスクは比較の対象とはしない。 ・RIP1の場合は、rip filter ruleコマンドの設定にかかわらず、ネットマスクは比 較の対象としない。 ・ネットマスクを比較の対象とできるのは、ip filterコマンドの始点アドレス部を、 以下の例のようにネットマスク型で記述した場合のみである。 ip filter 1 reject 192.168.0.0/16 ip filter 2 pass 192.168.0.0/24 ・以下のような範囲型のフィルタや、ネットマスク無しのフィルタの場合は、設定に かかわらずアドレスのみが比較対象となる。 ip filter 10 reject 192.168.0.0-192.168.0.255 ip filter 20 pass 192.168.0.100 ○RIP2でのフィルタの比較方法 [書式] rip filter rule RULE no rip filter rule [RULE] [設定値] RULE address-only ... ネットワークアドレスだけを比較対象とする with-netmask ... RIP2の場合、ネットワークアドレスとネットマスクを比 較対象とする [説明] RIPフィルタで、設定されたフィルタとRIPエントリの内容の比較方法を設定する。 address-only + RIP1 address-only + RIP2 with-netmask + RIP1 ネットマスク型のフィルタは範囲指定と解釈され、RIPエントリーのアド レス部がその範囲に入っているかどうかを比較する。 with-netmask + RIP2 ネットマスク型のフィルタの、アドレスとネットマスクがそれぞれ、RIP エントリーのアドレス、ネットマスクと一致するかどうかを比較する。 [初期値] address-only [11] 経路テーブルに存在しない経路をRIPで広告することができる機能を追加した。 * ip INTERFACE rip force-to-advertiseコマンドを新設し、このコマンドで設定 した経路を経路テーブルにない場合でも強制的にRIPで通知する。 * 経路テーブルにはネットワーク経路が存在するが、ネットワーク全体は広告せず その一部分だけを広告したい場合には、RIPフィルターでネットワーク経路を reject指定し、強制的に一部分だけの経路を広告することができる。 なお、このコマンドによる強制的な経路は、RIPフィルターの設定にかかわらず 常に広告される。 * ip INTERFACE rip force-to-advertiseコマンドで経路を設定しても、RIP以外の 他の動的経路制御プロトコルの動作には影響を与えない。 * RIP1の場合には、経路のアドレス部だけが広告され、ネットマスクは広告されな い。そのため、経路の一部分だけの広告という動作が期待通り動かない可能性が 高い。できるだけ、RIP2を使用すべきである。 ○RIPで強制的に経路を広告する [書式] ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC] no ip INTERFACE rip force-to-advertise IP-ADDRESS/NETMASK [metric METRIC] [設定値] IP-ADDRESS/NETMASK ... 強制的に広告したい経路のネットワークアドレスとネ ットマスク長、または'default' METRIC ... 広告する際のメトリック値(1〜15) [説明] 設定した経路が経路テーブルに存在しない場合でも、指定されたインタフェース に対し、RIPで経路を強制的に広告する。 経路として'default'を指定した場合にはデフォルト経路が広告される。 [ノート] このコマンドで設定した経路は、RIPフィルターの設定にかかわらず常に広告さ れる。 [初期値] METRIC: 1 ○設定例 LAN1側に、LAN2の一部のホストだけを広告する。 ip lan1 address 192.168.0.1/24 ip lan2 address 192.168.1.1/24 rip use on rip filter rule with-netmask ip lan1 rip send on version 2 ip lan1 rip receive on version 2 ip filter 1 reject 192.168.1.0/24 ip filter 100 pass * ip lan1 rip filter out 1 100 ip lan1 rip force-to-advertise 192.168.1.28/30 ip lan1 rip force-to-advertise 192.168.1.100/32 ip lan1 rip force-to-advertise 192.168.1.101/32 ■仕様変更 [1] URLフィルタについて、以下の変更を行った。 * 内部データベース参照型URLフィルタおよび外部データベース参照型URLフィルタ で、フィルタにマッチした際に出力するログをDEBUGレベルからNOTICEレベルに 変更した。 * 外部データベース参照型URLフィルタでデータベースへのアクセスに失敗した場 合に再送を行うようした。 * url filterコマンドおよびurl filter external-database categoryコマンドで、 カンマで区切って複数のIPアドレスを指定できるようにした。 内部データベース参照型URLフィルタ http://www.rtpro.yamaha.co.jp/RT/docs/url-filter/index.html 外部データベース参照型URLフィルタ http://www.rtpro.yamaha.co.jp/RT/docs/url-filter_ext_db/index.html [2] mail notify trigger intrusion コマンドで、Anonymousインターフェースを入力で きないように修正した。 ■バグ修正 [1] 閏年かどうかを判定する処理が間違っており、以下の年に、日付に関するさまざまな 動作で誤動作していた。 以下の日付で、本来は5/1になるはずが、4/29になっている年は本来の日付より1日遅 い動作をし、5/2になっている年は本来より1日早い動作をしていた。 Apr-30-1980 Apr-30-1984 Apr-30-1988 May-02-1990 Apr-29-1992 May-02-1994 Apr-29-1996 May-02-1998 Apr-30-2000 Apr-30-2004 Apr-30-2008 May-02-2010 Apr-29-2012 May-02-2014 Apr-29-2016 May-02-2018 Apr-30-2020 Apr-30-2024 Apr-30-2028 May-02-2030 Apr-29-2032 May-02-2034 Apr-29-2036 [2] 不正アクセス検知機能がPPインタフェースとトンネルインタフェースで働かないこと があるバグを修正した。 [3] 以下のIPオプションを持つルーター宛のパケットを受信したときに、不要なログが表 示されるバグを修正した。 ・レコードルート ・タイムスタンプ [4] IPマスカレード変換で動的なセッションの総数を制限した。 静的IPマスカレードの設定がされているとき、外側から内側への通信でセッションが 無制限にはられてしまい、動作が不安定になる要因となっていた。 [5] RIPよりもプリファレンス値の低い他のプロトコル(静的経路含む)からとRIPからとで 同じネットワーク宛の経路をほぼ同時に受信したときに、ごくまれにshow ip route コマンドでは経路がRIPによるものと表示されるのに、show ip rip tableコマンドで は経路が"other protocol"と表示され、その後RIPからの経路の受信が無くなっても 経路が消えなくなることがあるバグを修正した。 [6] 同じ宛先に対して、OSPFあるいはBGPで受信した経路(経路Aとする)と、ip routeコマ ンドによる静的経路あるいはRIPで受信した経路(経路Bとする)があり、経路Aよりも 経路Bの方がプレフィクス値が高く、優先されている状態のときに、経路Aが先に消え、 その後経路Bが消えた場合に、show ip routeコマンドで消えたはずの経路Aが表示さ れ、パケットも転送されてしまうバグを修正した。 [7] IPsec機能において、アグレッシブモードでlocal nameが同じでpre-shared-keyが異 なる接続があった場合に、正しいpre-shared-keyが設定された接続が切れてしまうこ とがあるバグを修正した。 [8] IPsec機能において、ISAKMPヘッダが正しくないパケットを受信したときに、不要な ログが出力されていたりしたバグを修正した。 [9] IPsecをファストパス処理している場合で、暗号化後のESPパケットをフラグメントす る場合で送信負荷が非常に高い場合に、まれに2つめのフラグメントのデータが正し くない状態で送信することがあるバグを修正した。 [10] Winny検知を有効にした状態で、TCPセッションが同時に多数発生するとリブートす るバグを修正した。 [11] LAN1以外のLANインタフェースでDHCPクライアント機能によりアドレスを割り当てら れたときにARPリクエストが送出されないバグを修正した。 [12] DHCPサーバー機能で、大量のDHCPクライアントから同時にDHCPメッセージを受信す ると、リブートするなどルータの動作が不安定になるバグを修正した。 [13] 外部データベース参照型URLフィルタを使用中にリブートすることがあるバグを修正 した。 [14] セキュリティクラスの設定によりTELNET接続が失敗したときのログ表示について、 正しくIPアドレスが表示されていなかったバグを修正した。 セキュリティクラスの設定によりSSH接続が失敗したときのログ表示について、IPア ドレスが正しく表示されていなかったバグを修正した。 [15] SNMPで、sysUpTime変数が49日あまりで0に戻ってしまうバグを修正した。 497日あまりで0に戻るのが正しい。 [16] SNMPで、受信したPDU中のINTEGER型の値に対して、ITU-T X.690 8.3.2節に記述され ている規則のチェックを行わないようにした。 その規則を守らないSNMPマネージャーとの間で通信ができるようになる。 [17] yrfLoginTrapの仕様を変更し、ログイン状態に変化のあったコネクションの情報だ けをVARIABLEとしてつけることにした。具体的には、以下のMIB変数を要素として持 つテーブルyrfLoginTableを新設し、そこにログイン情報を集めることにした。 yrfLoginTrapに付けるMIB変数は、yrfLoginTableの1エントリ分となる。 ・yrfLoginIndex ... インデックス番号 ・yrfLoginProtocol ... プロトコル、(serial(1), remote(2), telnet(3), ssh(4)) ・yrfLoginStatus ... ログインの状態 (notlogin(1), login(2), administorator(3)) ・yrfLoginUser ... ユーザー名 ・yrfLoginFromIp ... TELNET/SSHの場合のユーザー端末のIPアドレス これに伴い、従来のログイン情報である以下のMIB変数はMIBファイル上ではobsolete とした。ただし、読み出した場合にはそれぞれ該当するyrfLoginStats変数や yrfLoginFromIpが読み出せるようにしている。 ・yrfLoginSerial ... yrfLoginProtocolがserial(1)のyrfLoginStatus ・yrfLoginTelnet ... yrfLoginProtocolがtelnet(3)になるうちの最も若番のyrfLoginStatus ・yrfLoginTelnetFrom ... yrfLoginProtocolがtelnet(3)になるうちの最も若番のyrfLoginFromIp ・yrfLoginRemote ... yrfLoginProtocolがremote(2)のyrfLoginStatus ・yrfLoginSSH ... yrfLoginProtocolがssh(3)になるうちの最も若番のyrfLoginStatus ・yrfLoginSSHFrom ... yrfLoginProtocolがssh(4)になるうちの最も若番のyrfLoginStatus この修正により、TELNET多重化およびSSHD機能実装後にyrfLoginTrapが送信できなく なっていたバグが修正される。 [18] GUIにアクセスする際に、URIに'/'(スラッシュ)が複数連続して含まれるとリフレッ シュを繰り返すバグを修正した。 [19] GUIのIPsecの詳細設定画面で初期値で表示されない箇所があるバグを修正した。 [20] GUIのアクセス管理のパスワード設定を行なったあと、[メイン画面に戻る]ボタンを クリックしたとき、管理者向けトップページに戻っていたバグを修正した。 アクセス管理のメインページに戻るようにした。 [21] GUIの[ルーティング]->[静的経路の設定]において、以下のバグを修正した。 宛先ネットワーク : デフォルト ゲートウェイ1 : DHCP LAN1 として、[確認]ボタンを押し、確認画面に移行する。その画面で、[戻る]を押して [静的経路の設定]に戻ってくると、 ゲートウェイ1:"空欄" となってしまうことがあった。 [22] GUIの"ハードウェア"の"LANXの設定"にて、lan typeコマンドで初期値を指定しても、 lan typeコマンドが残ってしまうバグを修正した。 [23] GUIで「初期設定ウィザード(プロバイダの設定)」から「CATVインターネット、また はPPPoEを用いない端末型接続」を選択し、WAN側IPアドレスを「DHCPクライアント」 に設定したときに正しく設定されないことがあるバグを修正した。 [24] GUIからipsec ike local addressの設定に0.0.0.0を指定してもエラーにならないバ グを修正した。 [25] GUIのSNMPの以下の項目について、以下のバグを修正した。 1) [基本項目の設定]の[トラップの始点IPアドレス]に 0.0.0.0 と入力してもエラーに ならない 2) [トラップの送信先の設定]の[IPアドレス]に 0.0.0.0 と入力してもエラーにならな い 3) [アクセスを許可する端末の設定]の[IPアドレス]に 0.0.0.0 と入力すると、登録さ れてしまい、GUI上では「すべて」となってしまう [26] 以下のコマンドについて、IPアドレスとして0.0.0.0を入力してもエラーにならない バグを修正した。 bgp router id dhcp relay server dns server ip pp remote address pool ospf router id radius server radius auth server radius account server snmp host snmp trap host tunnel endpoint address wins server [27] ip filterコマンドで、始点・終点IPアドレスとしてネットマスク付きの形を設定し たときに、ネットマスク長が32の場合だとshow configで表示されたりフラッシュROM に保存されるときにネットマスクが省略されるバグを修正した。 ほとんどの場合で、ip filterコマンドで設定されるフィルターのネットマスク長が 32のときにネットマスクを省略しても同じ意味になるので問題とはならないが、フィ ルターをRIPのフィルターとして使用するときで、rip filter ruleコマンドを with-netmaskと設定している場合には両者で意味が変わってくるため問題となる。 [28] TFTPでconfigファイルをルーターにアップロードする場合に、configファイル中に restartコマンドが記述してあっても、以下の条件に合致する場合にはルーターの再 起動が行われないバグを修正した。 ・restartコマンドの直前が、設定を変更するコマンドである。 または、 ・configファイルの先頭がrestartコマンドで、かつ、configファイルのアップロー ド以前に何らかの手段で設定が変更され、保存されていない。 configファイル中のrestartコマンドの直前にsaveコマンドが記述されていればこの 問題は発生しない。 [29] upwaitパラメータを指定したipsec ike keepalive useコマンドを設定した後にno ipsec ike keepalive useコマンドを設定しても、先のupwaitパラメータの指定が残 った状態で動作するバグを修正した。 [30] 以下のコマンドが一般ユーザで使用できてしまうバグを修正した。 system packet-buffer [31] clear url filter コマンドと url filter external-database id check go コマン ドについて、一般ユーザで使用できてしまうバグとコマンドに'|'を付けてもエラー にならないバグを修正した。 ■更新履歴 Jul. 2008, Rev.10.00.38 リリース 以上