http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_49.html
Revision : 10.00.49
Release: Nov. 2009, ヤマハ株式会社

Rev.10.00.49リリースノート

Rev.10.00.46 からの変更点

■機能追加

  1. QAC/TMを透過型(ブリッジ型)で使用できるようにした。

    http://www.rtpro.yamaha.co.jp/RT/docs/qac_tm/index.html

  2. TCPの実装におけるサービス運用妨害(DoS)の脆弱性について対応した。

    http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU943657.html

    TCPのセッション数を制限する機能を追加した。

    ○ルーターが端点となるTCPのセッション数の設定

    [書式]
    tcp session limit LIMIT
    no tcp session limit [LIMIT]
    [設定値]
    LIMIT ..... 制限値
    32〜65535
    none ..... 制限しない
    [説明]
    ルーターが端点となるTCPのセッション数を制限する。

    noneを選択した場合には制限を設けない。
    [ノート]
    ルーターと直接通信しない場合にはこの制限は適用されない
    [初期値]
    400

  3. NTPパケットの始点IPアドレスを設定できるコマンドを新設した。

    ○NTPパケットを送信するときの始点IPアドレスの設定

    [書式]
    ntp local address IP_ADDRESS
    no ntp local address
    [説明]
    NTPパケットを送信するときの始点IPアドレスを設定する。
    始点IPアドレスが設定されていないときは、通常のUDPパケットの送信ルールに従い、出力インタフェースのIPアドレスを利用する。
    [初期値]
    設定なし

  4. tracerouteコマンドで、始点IPアドレスを設定できるようにした。

    ○traceroute

    [書式]
    traceroute HOST [noresolv] [-sa SOURCE]
    [設定値]
    HOST ....... traceruteをかけるホストのIPアドレス(xxx.xxx.xxx.xxx)、またはホスト名
    noresolv ... DNSによる解決を行わないことを示すキーワード
    SOURCE ..... 始点IPアドレス
    [説明]
    指定したホストまでの経路を調べて表示する。

  5. ip keepaliveコマンドで、始点IPアドレスを設定できるようにした。
    OPTIONに local-address=(始点IPアドレス) を指定することで設定できる。

    ○ネットワーク監視機能の設定

    [書式]
    ip keepalive NUM KIND INTERVAL COUNT GATEWAY [GATEWAY ...] [option=value ...]
    no ip keepalive NUM
    [設定値]
    NUM ........... このコマンドの識別番号(1..100)
    KIND .......... 監視方式
    • icmp-echo ... ICMP Echoを使用する
    INTERVAL ...... キープアライブの送信間隔秒数(1..65535)
    COUNT ......... 到達性がないと判断するまでに送信する回数(3..100)
    GATEWAY
    • IPアドレス ... xxx.xxx.xxx.xxx(xxx は十進数)
    • dhcp INTERFACE
      • INTERFACE .... DHCPにて与えられるデフォルトゲートウェイを使う場合の、DHCPクライアントとして動作するLANインターフェース名
    OPTION=VALUE列
    OPTION VALUE 説明
    log on SYSLOGを出力する
    off SYSLOGを出力しない
    upwait 秒数 到達性があると判断するまでの待機時間(1..1000000)
    downwait 秒数 到達性がないと判断するまでの待機時間(1..1000000)
    length バイト ICMP Echoパケットの長さ(64-1500)
    local-address IPアドレス 始点IPアドレス
    ipsec-refresh セキュリティ・ゲートウェイの識別子 DOWN→UPまたはUP→DOWNに状態が変化した場合に、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る)
    ipsec-refresh-up セキュリティ・ゲートウェイの識別子 DOWN→UPに状態が変化した場合のみ、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る)
    ipsec-refresh-downgth セキュリティ・ゲートウェイの識別子 UP→DOWNに状態が変化した場合のみ、指定のセキュリティ・ゲートウェイに属するSAを強制的に更新(複数指定する場合はカンマで区切る)
    gateway-selection-rule head ICMP Echoパケットを送信する際、該当する経路に複数のゲートウェイが指定されていても、必ず最初に指定されたゲートウェイへ送出する
    normal ICMP Echoパケットを送信する際、該当する経路に複数のゲートウェイが指定されていたら、通常の規則に従い送出ゲートウェイを選択する
    [説明]
    指定したゲートウェイに対してICMP Echoを送信し、その返事を受信できるかどうかを判定する。
    [ノート]
    Rev.7.01 以上で実行可能である。
    lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全体の長さではない。
    lengthパラメータは、Rev.7.01.43、Rev.8.01.18、Rev.8.02.35 以降で指定可能である。
    local-addressパラメータは、Rev.10.00.49およびRev.10.01.16以降で指定可能である。
    ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、ネットワークバックアップ機能の主系/従系回線の切り替え時において、IPsec通信の復旧時間を短縮させる際に有効である。
    ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、RT107eを除くRev.8.03.68以降で指定可能である。
    gateway-selection-ruleパラメータは、RT107eを除くRev.8.03.68以降で指定可能である。
    RT107eとSRT100でのみGATEWAYパラメータでdhcp INTERFACEを指定できる。
    [初期値]
    log = off
    upwait = 5
    downwait = 5
    length = 64
    ipsec-refresh 設定なし
    ipsec-refresh-up 設定なし
    ipsec-refresh-down 設定なし
    gateway-selection-rule = head
    [設定例]
    ネットワークバックアップ機能で従系回線pp11から主系回線pp10へ復旧する際に、IPsec接続で使用しているセキュリティ・ゲートウェイの識別子3に属するSAを強制的に更新させる。
    # ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0
    # ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3

    ネットワークバックアップ機能を利用して、IPキープアライブ1がダウンしたのをトリガーにして経路172.16.224.0/24を活性化させる。
    # ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0
    # ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2
    # ip keepalive 1 icmp-echo 5 5 192.168.100.101
    # ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule=normal

  6. GUIでQAC/TMの設定を行うPCのMACアドレスを設定できるようにした。

    管理サーバPCがWAN側にあるなど管理サーバPCから設定できない場合に、 LAN側にある任意の固定IPアドレスを持つPCから設定できるようになる。

■仕様変更

  1. GUIのIPsecの新規登録、または修正ページで、descriptionコマンドが設定されていない プロバイダ設定でも、「自分のIPアドレス」の「自動的に取得する」で選択できるようにした。

  2. Internet Explorer 8を使用してGUIから管理者パスワードの設定を変更したとき、 ブラウザを再起動させるための注意文を表示させるようにした。

    IE8以外のブラウザを使用した場合は、従来の動作と変わらない。

■バグ修正

  1. QAC/TM機能で、クライアントPCのウイルスパターンファイルの自動アップデート機能を 使用する設定の場合、バージョン範囲外判定でアップデート指示パケットが送信される 際に出力されるログに不正なプレフィックスが付与されるバグを修正した。

  2. QAC/TM機能で、IPアドレスをリリースしたクライアントに対してアンチウイルスソフトウェア のバージョン情報の取得処理が行われ、場合よってはリブートするバグを修正した。

  3. QAC/TMで管理サーバのプロトコルがHTTPSの場合に、SSLのハンドシェイクに失敗し、 管理サーバに接続できないことがあるバグを修正した。

  4. QAC/TMでSSLのハンドシェイク中に「qac-tm server IP_ADDRESS PORT protocol=https」 コマンドが変更されるとリブートするバグを修正した。

  5. QAC/TMのGUIで固定IPアドレスの端末を50端末アクセスを許可すると、 設定変更用のボタン群が表示されなくなるバグを修正した。

  6. QAC/TMのGUIで「個別にアクセスを許可する固定IPアドレスの端末」の設定を チェックボックスを使ってアクセスを許可しようとすると、エラーになることがある バグを修正した。

  7. 次のコマンドのオンラインヘルプの誤記を修正した。

    また、show status qac-tmコマンドの表示内容の誤記および不要な改行が 挿入されるバグを修正した。

  8. QAC/TMのヘルプページで表記が統一されていない箇所を修正した。

  9. DHCPサーバ機能で、DHCPクライアントからDHCPDECLINEを受信するとリブートする場合がある バグを修正した。

  10. DHCPサーバー機能で、クライアントからのDISCOVERメッセージ中に、DHCPでリースする ネットワークとは異なるネットワークのIPアドレスがRequested IP Addressオプションで 要求されている場合、以前リースしたものとは異なるIPアドレスをリースしてしまうバグを 修正した。

  11. ブリッジ動作時に、入力インターフェイスと出力インターフェイスが同一となる パケットを受信すると、そのパケットをそのまま送信してしまうバグを修正した。

    具体的にはL2SWを持たないポートにループ検出機能を持つ機器を接続すると、 接続した機器でループが検出される問題があった。

  12. PPインタフェースに適用するNATの外側アドレスとして固定IPアドレスを設定した場合、 PPPのIPCPネゴシエーションで得たIPアドレスを自アドレスとして扱っていた。例えば LAN側からのpingに応答していた。

    これを、NATの外側アドレスの設定に関わらず、IPCPで得られたアドレスは自アドレス として扱わないようにした。

  13. timezoneコマンドの設定を変更すると、show environmentコマンドで表示される 「起動時刻」が更新されず、「起動からの経過時間」も不正な値になってしまうバグを修正した。

  14. 生存通知機能(リリース2)で、使用していないheartbeat2 receive RECV_IDコマンド が設定されていると、生存通知機能(リリース2)のパケットが受信されないことがある バグを修正した。

  15. pp auth acceptコマンドに対応していない認証方式を設定した場合、PPPのConfNak パケットのデータの一部が不正な値になるバグを修正した。

  16. less config listコマンドを実行してもless表示されないバグを修正した。

  17. 連続して同じログを出力することでログバッファに重複したログが存在していた場合、 show logコマンドで実行エラーになると、ログに "same message repeated N times" というログが出力されるバグを修正した。

  18. tunnel templateコマンドでトンネルインタフェースを追加しても、 その後、再起動しないと次の2点が有効にならないバグを修正した。

  19. LAN分割が設定されている場合に、QoS設定のような論理インタフェース名に適用できない コマンドであっても、物理インタフェース名(例: lan1)ではなく論理インタフェース名 (例: vlan1)で表示されてしまうバグを修正した。

    具体的には次のコマンドが該当する。

  20. 設定しても機能しない次のコマンドが入力できてしまうバグを修正した。

  21. 次のコマンドでインタフェース名に pp を指定した場合、タブ補完されてしまうバグを修正した。

  22. clear ip/ipv6 inbound filter コマンドのコマンドヘルプの誤記を修正した。

  23. url INTERFACE filterコマンドのコマンドヘルプの誤記を修正した。

  24. no user attributeコマンドのコマンドヘルプに省略可能なパラメータである ユーザ名の記述がないバグを修正した。

  25. login userを削除しても、削除したユーザに対するuser attributeの設定が 残っていると、そのユーザ名でGUIにログインできるバグを修正した。

  26. GUIの[保守]-[コマンドの入力]ページから任意のコマンドを実行すると、 "damaged block〜"というログが表示されることがあるバグを修正した。

  27. GUIヘルプにおいて、「不正アクセス検知」「入力遮断フィルター」 「ポリシーフィルター」それぞれの項目について、 説明文および 説明図に誤りがあった点を修正した。

  28. GUIヘルプページでURLフィルターのIPアドレスの指定方法についての誤記を修正した。

  29. GUIで「インターフェース(メインページ)」ページからインタフェースの設定を行ない、 子ウィンドウを閉じると、情報を再送信する旨の警告メッセージが表示されることがある バグを修正した。

  30. GUIのウィザードから「フレッツ・グループアクセス/フレッツ・グループ[端末型 払い出し]」 接続の設定を修正するとき、経路情報のネットマスクの初期値が24ビットになっているバグを 修正した。

    新規登録時は32ビットが選択されている。

  31. GUIから以下のコマンドが実行できないバグを修正した。

■更新履歴

Nov.2009, Rev.10.00.49 リリース

以上