http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_49.html Revision : 10.00.49 Release: Nov. 2009, ヤマハ株式会社 Rev.10.00.49リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.10.00.46 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■機能追加 1. QAC/TMを透過型(ブリッジ型)で使用できるようにした。 http://www.rtpro.yamaha.co.jp/RT/docs/qac_tm/index.html □ ブリッジインタフェースにセカンダリアドレスを設定できるようにした。 □ 透過型(ブリッジ型)でQAC/TMを動作させた場合のみ、収容インタフェースで NAT、 IPマスカレード機能が動作するようにした。 □ GUIで透過型(ブリッジ型)でQAC/TMを設定できるようにした。 2. TCPの実装におけるサービス運用妨害(DoS)の脆弱性について対応した。 http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU943657.html TCPのセッション数を制限する機能を追加した。 ○ルーターが端点となるTCPのセッション数の設定 [書式] tcp session limit LIMIT no tcp session limit [LIMIT] [設定値] LIMIT ..... 制限値 32〜65535 none ..... 制限しない [説明] ルーターが端点となるTCPのセッション数を制限する。 noneを選択した場合には制限を設けない。 [ノート] ルーターと直接通信しない場合にはこの制限は適用されない [初期値] 400 3. NTPパケットの始点IPアドレスを設定できるコマンドを新設した。 ○NTPパケットを送信するときの始点IPアドレスの設定 [書式] ntp local address IP_ADDRESS no ntp local address [説明] NTPパケットを送信するときの始点IPアドレスを設定する。 始点IPアドレスが設定されていないときは、通常のUDPパケットの送信ルール に従い、出力インタフェースのIPアドレスを利用する。 [初期値] 設定なし 4. tracerouteコマンドで、始点IPアドレスを設定できるようにした。 ○traceroute [書式] traceroute HOST [noresolv] [-sa SOURCE] [設定値] HOST ....... traceruteをかけるホストのIPアドレス(xxx.xxx.xxx.xxx)、ま たはホスト名 noresolv ... DNSによる解決を行わないことを示すキーワード SOURCE ..... 始点IPアドレス [説明] 指定したホストまでの経路を調べて表示する。 5. ip keepaliveコマンドで、始点IPアドレスを設定できるようにした。 OPTIONに local-address=(始点IPアドレス) を指定することで設定できる。 ○ネットワーク監視機能の設定 [書式] ip keepalive NUM KIND INTERVAL COUNT GATEWAY [GATEWAY ...] [option= value ...] no ip keepalive NUM [設定値] NUM ........... このコマンドの識別番号(1..100) KIND .......... 監視方式 ・ icmp-echo ... ICMP Echoを使用する INTERVAL ...... キープアライブの送信間隔秒数(1..65535) COUNT ......... 到達性がないと判断するまでに送信する回数(3..100) GATEWAY ・ IPアドレス ... xxx.xxx.xxx.xxx(xxx は十進数) ・ dhcp INTERFACE □ INTERFACE .... DHCPにて与えられるデフォルトゲートウェイを使う 場合の、DHCPクライアントとして動作するLANインターフェース名 OPTION=VALUE列 ┌───────────┬────┬────────────────┐ │ OPTION │ VALUE │ 説明 │ ├───────────┼────┼────────────────┤ │ │on │SYSLOGを出力する │ │log ├────┼────────────────┤ │ │off │SYSLOGを出力しない │ ├───────────┼────┼────────────────┤ │upwait │秒数 │到達性があると判断するまでの待機│ │ │ │時間(1..1000000) │ ├───────────┼────┼────────────────┤ │downwait │秒数 │到達性がないと判断するまでの待機│ │ │ │時間(1..1000000) │ ├───────────┼────┼────────────────┤ │length │バイト │ICMP Echoパケットの長さ(64-1500)│ ├───────────┼────┼────────────────┤ │local-address │IPアドレ│始点IPアドレス │ │ │ス │ │ ├───────────┼────┼────────────────┤ │ │セキュリ│DOWN→UPまたはUP→DOWNに状態が変│ │ │ティ・ゲ│化した場合に、指定のセキュリティ│ │ipsec-refresh │ートウェ│・ゲートウェイに属するSAを強制的│ │ │イの識別│に更新(複数指定する場合はカンマ │ │ │子 │で区切る) │ ├───────────┼────┼────────────────┤ │ │セキュリ│DOWN→UPに状態が変化した場合のみ│ │ │ティ・ゲ│、指定のセキュリティ・ゲートウェ│ │ipsec-refresh-up │ートウェ│イに属するSAを強制的に更新(複数 │ │ │イの識別│指定する場合はカンマで区切る) │ │ │子 │ │ ├───────────┼────┼────────────────┤ │ │セキュリ│UP→DOWNに状態が変化した場合のみ│ │ │ティ・ゲ│、指定のセキュリティ・ゲートウェ│ │ipsec-refresh-downgth │ートウェ│イに属するSAを強制的に更新(複数 │ │ │イの識別│指定する場合はカンマで区切る) │ │ │子 │ │ ├───────────┼────┼────────────────┤ │ │ │ICMP Echoパケットを送信する際、 │ │ │head │該当する経路に複数のゲートウェイ│ │ │ │が指定されていても、必ず最初に指│ │ │ │定されたゲートウェイへ送出する │ │gateway-selection-rule├────┼────────────────┤ │ │ │ICMP Echoパケットを送信する際、 │ │ │normal │該当する経路に複数のゲートウェイ│ │ │ │が指定されていたら、通常の規則に│ │ │ │従い送出ゲートウェイを選択する │ └───────────┴────┴────────────────┘ [説明] 指定したゲートウェイに対してICMP Echoを送信し、その返事を受信できるか どうかを判定する。 [ノート] Rev.7.01 以上で実行可能である。 lengthパラメータで指定するのはICMPデータ部分の長さであり、IPパケット全 体の長さではない。 lengthパラメータは、Rev.7.01.43、Rev.8.01.18、Rev.8.02.35 以降で指定可 能である。 local-addressパラメータは、Rev.10.00.49およびRev.10.01.16以降で指定可 能である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、ネッ トワークバックアップ機能の主系/従系回線の切り替え時において、IPsec通 信の復旧時間を短縮させる際に有効である。 ipsec-refresh、ipsec-refresh-up、ipsec-refresh-downパラメータは、 RT107eを除くRev.8.03.68以降で指定可能である。 gateway-selection-ruleパラメータは、RT107eを除くRev.8.03.68以降で指定 可能である。 RT107eとSRT100でのみGATEWAYパラメータでdhcp INTERFACEを指定できる。 [初期値] log = off upwait = 5 downwait = 5 length = 64 ipsec-refresh 設定なし ipsec-refresh-up 設定なし ipsec-refresh-down 設定なし gateway-selection-rule = head [設定例] ネットワークバックアップ機能で従系回線pp11から主系回線pp10へ復旧する際 に、IPsec接続で使用しているセキュリティ・ゲートウェイの識別子3に属する SAを強制的に更新させる。 # ip route 172.16.0.0/24 gateway pp 10 keepalive 1 gateway pp 11 weight 0 # ip keepalive 1 icmp-echo 5 5 172.16.0.1 ipsec-refresh-up=3 ネットワークバックアップ機能を利用して、IPキープアライブ1がダウンした のをトリガーにして経路172.16.224.0/24を活性化させる。 # ip route 172.16.112.0/24 gateway null keepalive 1 gateway 172.16.0.1 weight 0 # ip route 172.16.224.0/24 gateway 172.16.112.1 keepalive 2 # ip keepalive 1 icmp-echo 5 5 192.168.100.101 # ip keepalive 2 icmp-echo 5 5 172.16.112.1 gateway-selection-rule= normal 6. GUIでQAC/TMの設定を行うPCのMACアドレスを設定できるようにした。 管理サーバPCがWAN側にあるなど管理サーバPCから設定できない場合に、 LAN側に ある任意の固定IPアドレスを持つPCから設定できるようになる。 ■仕様変更 1. GUIのIPsecの新規登録、または修正ページで、descriptionコマンドが設定されて いないプロバイダ設定でも、「自分のIPアドレス」の「自動的に取得する」で選択 できるようにした。 2. Internet Explorer 8を使用してGUIから管理者パスワードの設定を変更したとき、 ブラウザを再起動させるための注意文を表示させるようにした。 □ ポップアップウィンドウ ☆ [ウィザード]からLANの設定が完了した後 (admin/wizard/lan_wzd_set.html) (admin/wizard/bridge_wzd_set.html) ☆ [アクセス管理]-[パスワードの設定]から管理者パスワードを変更した後 (admin/basic/pass_apply.html) □ HTML(「中止」ボタンを押したときの注意文) ☆ [ウィザード]から管理者パスワードを変更した後 (admin/wizard/admin_pw_set.html) IE8以外のブラウザを使用した場合は、従来の動作と変わらない。 ■バグ修正 1. QAC/TM機能で、クライアントPCのウイルスパターンファイルの自動アップデート機 能を使用する設定の場合、バージョン範囲外判定でアップデート指示パケットが送 信される際に出力されるログに不正なプレフィックスが付与されるバグを修正した。 2. QAC/TM機能で、IPアドレスをリリースしたクライアントに対してアンチウイルスソ フトウェアのバージョン情報の取得処理が行われ、場合よってはリブートするバグ を修正した。 3. QAC/TMで管理サーバのプロトコルがHTTPSの場合に、SSLのハンドシェイクに失敗し、 管理サーバに接続できないことがあるバグを修正した。 4. QAC/TMでSSLのハンドシェイク中に「qac-tm server IP_ADDRESS PORT protocol= https」コマンドが変更されるとリブートするバグを修正した。 5. QAC/TMのGUIで固定IPアドレスの端末を50端末アクセスを許可すると、設定変更用 のボタン群が表示されなくなるバグを修正した。 6. QAC/TMのGUIで「個別にアクセスを許可する固定IPアドレスの端末」の設定をチェ ックボックスを使ってアクセスを許可しようとすると、エラーになることがあるバ グを修正した。 7. 次のコマンドのオンラインヘルプの誤記を修正した。 □ no qac-tm server □ qac-tm server refresh go また、show status qac-tmコマンドの表示内容の誤記および不要な改行が挿入され るバグを修正した。 8. QAC/TMのヘルプページで表記が統一されていない箇所を修正した。 9. DHCPサーバ機能で、DHCPクライアントからDHCPDECLINEを受信するとリブートする 場合があるバグを修正した。 10. DHCPサーバー機能で、クライアントからのDISCOVERメッセージ中に、DHCPでリース するネットワークとは異なるネットワークのIPアドレスがRequested IP Addressオ プションで要求されている場合、以前リースしたものとは異なるIPアドレスをリー スしてしまうバグを修正した。 11. ブリッジ動作時に、入力インターフェイスと出力インターフェイスが同一となるパ ケットを受信すると、そのパケットをそのまま送信してしまうバグを修正した。 具体的にはL2SWを持たないポートにループ検出機能を持つ機器を接続すると、接続 した機器でループが検出される問題があった。 12. PPインタフェースに適用するNATの外側アドレスとして固定IPアドレスを設定した 場合、 PPPのIPCPネゴシエーションで得たIPアドレスを自アドレスとして扱ってい た。例えば LAN側からのpingに応答していた。 これを、NATの外側アドレスの設定に関わらず、IPCPで得られたアドレスは自アド レスとして扱わないようにした。 13. timezoneコマンドの設定を変更すると、show environmentコマンドで表示される「 起動時刻」が更新されず、「起動からの経過時間」も不正な値になってしまうバグ を修正した。 14. 生存通知機能(リリース2)で、使用していないheartbeat2 receive RECV_IDコマン ドが設定されていると、生存通知機能(リリース2)のパケットが受信されないこと があるバグを修正した。 15. pp auth acceptコマンドに対応していない認証方式を設定した場合、PPPのConfNak パケットのデータの一部が不正な値になるバグを修正した。 16. less config listコマンドを実行してもless表示されないバグを修正した。 17. 連続して同じログを出力することでログバッファに重複したログが存在していた場 合、 show logコマンドで実行エラーになると、ログに "same message repeated N times" というログが出力されるバグを修正した。 18. tunnel templateコマンドでトンネルインタフェースを追加しても、その後、再起 動しないと次の2点が有効にならないバグを修正した。 □ show status tunnelコマンドのIPv6パケット用のカウンタ表示 □ show ipv6 addressコマンドのトンネルインタフェースの表示 19. LAN分割が設定されている場合に、QoS設定のような論理インタフェース名に適用で きないコマンドであっても、物理インタフェース名(例: lan1)ではなく論理インタ フェース名 (例: vlan1)で表示されてしまうバグを修正した。 具体的には次のコマンドが該当する。 □ speed INTERFACE □ queue INTERFACE type □ queue INTERFACE class property □ queue INTERFACE class control □ queue INTERFACE default class □ queue INTERFACE default class secondary □ queue INTERFACE length □ queue INTERFACE length secondary 20. 設定しても機能しない次のコマンドが入力できてしまうバグを修正した。 □ show ssl public key □ ssl public key generate 21. 次のコマンドでインタフェース名に pp を指定した場合、タブ補完されてしまうバ グを修正した。 □ ip INTERFACE dhcp lease time □ ip INTERFACE dhcp retry 22. clear ip/ipv6 inbound filter コマンドのコマンドヘルプの誤記を修正した。 23. url INTERFACE filterコマンドのコマンドヘルプの誤記を修正した。 24. no user attributeコマンドのコマンドヘルプに省略可能なパラメータであるユー ザ名の記述がないバグを修正した。 25. login userを削除しても、削除したユーザに対するuser attributeの設定が残って いると、そのユーザ名でGUIにログインできるバグを修正した。 26. GUIの[保守]-[コマンドの入力]ページから任意のコマンドを実行すると、 "damaged block〜"というログが表示されることがあるバグを修正した。 27. GUIヘルプにおいて、「不正アクセス検知」「入力遮断フィルター」「ポリシーフ ィルター」それぞれの項目について、説明文および説明図に誤りがあった点を修正 した。 28. GUIヘルプページでURLフィルターのIPアドレスの指定方法についての誤記を修正し た。 29. GUIで「インターフェース(メインページ)」ページからインタフェースの設定を行 ない、子ウィンドウを閉じると、情報を再送信する旨の警告メッセージが表示され ることがあるバグを修正した。 30. GUIのウィザードから「フレッツ・グループアクセス/フレッツ・グループ[端末型 払い出し]」接続の設定を修正するとき、経路情報のネットマスクの初期値が24ビッ トになっているバグを修正した。 新規登録時は32ビットが選択されている。 31. GUIから以下のコマンドが実行できないバグを修正した。 □ ip I/F arp queue length □ pppoe invalid-session forced close □ tcp log □ dns host □ ip flow timer □ lan port-mirroring □ wol send □ ip I/F arp static □ ip arp timer □ ip I/F arp log □ show diagnosis config port access □ show diagnosis config port map ■更新履歴 Nov.2009, Rev.10.00.49 リリース 以上