Rev.14.00.08からファームウェアのリビジョンアップを行う際には以下の点にご注意ください。
Rev.14.00.08にはRev.14.00.12で修正された以下の不具合が存在します。
「RTX5000/RTX3500 Rev.14.00.12 リリースノート」より、
12. syslog debugコマンドとipsec log illegal-spiコマンドの両方にonが設定されているとき、IPsecでSPI値が無効なパケットを受信するとリブートもしくはハングアップが発生することがあるバグを修正した。
この不具合がファームウェアのリビジョンアップ中に発生するとファームウェア(execファイル)が消失する可能性があります。 お手数をおかけいたしますが、Rev.14.00.08からファームウェアのリビジョンアップを行う際、ipsec log illegal-spi on が設定されている場合には、ipsec log illegal-spi offを設定したのちに実施していただくよう、お願いいたします。
L2TPv3を用いたL2VPNに対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/index.html
外部仕様書をよくご確認のうえ、ご利用ください。
対象機種: RTX5000, RTX3500
VPNクライアントソフトYMS-VPN8/YMS-VPN8-CPに対応した。
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn8.html
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn8cp.html
設定例をご確認のうえ、ご利用ください。
対象機種: RTX5000, RTX3500
以下のコマンドについて、reboundオプションを追加した。
このオプションをonに設定することにより、受信したパケットに対するそれぞれのICMPエラーを経路と関係なく受信したインターフェースから送信することができる。
○ICMP Time Exceededを送信するか否かの設定
| 設定値 | 説明 |
|---|---|
| on | 送信する |
| off | 送信しない |
| 設定値 | 説明 |
|---|---|
| on | 受信インターフェースから送信する |
| off | 経路に従って送信する |
○ICMP Destination Unreachableを送信するか否かの設定
| 設定値 | 説明 |
|---|---|
| on | 送信する |
| off | 送信しない |
| 設定値 | 説明 |
|---|---|
| on | 受信インターフェースから送信する |
| off | 経路に従って送信する |
対象機種: RTX5000, RTX3500
IPsecトランスポートモードの設定で、テンプレートに対応した。
○トランスポートモードのテンプレートの設定
対象機種: RTX5000, RTX3500
ファストパスで使用するフローテーブルのエントリー数を変更できるようにした。
○フローテーブルのエントリー数の設定
対象機種: RTX5000, RTX3500
ファストパス機能使用時のセッション確立性能を向上させた。
対象機種: RTX5000, RTX3500
起動時のログやshow environmentコマンドで表示されるオプションモジュールの情報に、オプションモジュールに載っているFPGAのバージョンを表示するようにした。
対象機種: RTX5000, RTX3500
以下に示すIPv4の経路変更が発生した場合は、経路情報の更新内容を直ちにルーティング処理に反映するようにした。
なお、上記以外の場合には、経路情報の更新内容のルーティング処理への反映は従来通り1秒おきである。
対象機種: RTX5000, RTX3500
L2TP/IPsecで以下の仕様変更を行った。
対象機種: RTX5000, RTX3500
PPPの認証方式で、MSCHAP、MSCHAPv2に対応した。
対象機種: RTX5000, RTX3500
show ipsec saコマンドの実行結果を、管理元のコアごとに分離させずまとめて表示するようにした。
対象機種: RTX5000, RTX3500
状態メール通知機能でshow status l2tpコマンドの実行結果を出力するようにした。
対象機種: RTX5000, RTX3500
show environmentコマンドの実行結果にパケットバッファの使用率を表示するようにした。
対象機種: RTX5000, RTX3500
トンネルテンプレートで、L2TP/IPsecに関連したコマンドに対応した。
○トンネルテンプレートの設定
| コマンド | パラメーター |
|---|---|
| ipsec tunnel | ポリシーID |
| ipsec sa policy | ポリシーID |
| ipsec ikeで始まるコマンド | セキュリティ・ゲートウェイの識別子 |
| ipsec auto refresh | セキュリティ・ゲートウェイの識別子 |
| tunnel enable | トンネルインターフェース番号 |
ipsec sa policyコマンドでは、セキュリティ・ゲートウェイの識別子が展開先のトンネルインターフェース番号に置換される。
ipsec ike remote nameコマンドでは、相手側セキュリティ・ゲートウェイの名前の末尾に展開先のトンネルインターフェース番号が付加される。
展開元のトンネルインターフェースに設定されているコマンドと同じコマンドが、展開先のトンネルインターフェースに既に設定されている場合、展開先のトンネルインターフェースに設定されているコマンドが優先される。
コマンド展開後の、ルーターの動作時に参照される設定はshow config tunnelコマンドにexpandキーワードを指定することで確認できる。
| 機種 | リビジョン |
|---|---|
| RTX5000、RTX3500 | すべてのリビジョン |
| RTX3000 | Rev.9.00.56以降 |
| RTX1200 | Rev.10.01.42以降 |
| RTX810 | Rev.11.01.09以降 |
| 機種 | リビジョン |
|---|---|
| RTX3000 | Rev.9.00.60以降 |
対象機種: RTX5000, RTX3500
IKEv1で、鍵交換の処理を一部の実装に合わせられるようにした。
IKEv1の旧実装(リリース1)と新実装(リリース2)は、ipsec ike backward-compatibilityコマンドで切り替えることができる。
IKEv1の旧実装と新実装でIPsec接続する場合、認証アルゴリズムと暗号化アルゴリズムとの組み合わせによっては接続が確立しなかったり、データの送受信が行えない。
○IKEv1鍵交換タイプの設定
| 設定値 | 説明 |
|---|---|
| 1 | ヤマハルーターのリリース1(過去のリリース)との互換性を保持する |
| 2 | ヤマハルーターのリリース2(新リリース)に合わせる |
対象機種: RTX5000, RTX3500
2基の拡張スロットで同時にPRIモジュール「YBC-1PRI-M」を利用できるようにした。
対象機種: RTX5000, RTX3500
PPPのIPV6CPがアップすると、メモリの不正解放が発生し、リブートもしくはハングアップが発生することがあるバグを修正した。
対象機種: RTX5000, RTX3500
SCP機能で、大きなサイズのファイルを転送するとリブートすることがあるバグを修正した。
対象機種: RTX5000, RTX3500
ipv6 ospf configure refreshコマンドでOSPFv3を再起動すると稀にリブートすることがあるバグを修正した。
対象機種: RTX5000, RTX3500
PP anonymousで複数の接続を受けると稀にリブートすることがあるバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecによるトンネル接続、またはXAUTH認証を用いたIPsecトンネル接続において、複数のトンネルの確立処理が同時に発生すると、稀にIPsec関連の機能が停止することがあるバグを修正した。
この問題が発生すると、最終的にはシステムリソースが枯渇してリブートする。
対象機種: RTX5000, RTX3500
Luaスクリプト機能のrt.httprequest関数で、1つのフィールドに長い文字列が格納されたヘッダーを持つレスポンスを受信すると、動作が不安定になったりリブートしたりするバグを修正した。
対象機種: RTX5000, RTX3500
IKEv2で、証明書失効リスト(CRL)ファイルを利用してPKI証明書による認証を行う場合、接続するそれぞれのルーターから同時に鍵交換を始動すると接続後にリブートすることがあるバグを修正した。
対象機種: RTX5000, RTX3500
OSPFv3で、以下の条件に当てはまる設定がされていると、ルーターの起動時やOSPFv3の再起動時にルーターがリブートすることがある可能性を排除した。
対象機種: RTX5000, RTX3500
pp bindコマンドで不正なパラメーターを入力したときに、入力エラーにならなかったり、リブートもしくはハングアップが発生することがあるバグを修正した。
対象機種: RTX5000, RTX3500
以下のコマンド入力とリンクアップまたはリンクダウンが同時に発生したときに、ルーターがハングアップすることがあるバグを修正した。
対象機種: RTX5000, RTX3500
ファームウェアのリビジョンアップ処理中、または設定ファイルの更新処理中に、restartコマンドによる再起動要求を受け付けてしまうバグを修正した。
なお、誤って上記の操作を行うと発生する可能性があった以下の不具合も修正した。
対象機種: RTX5000, RTX3500
syslog debugコマンドとipsec log illegal-spiコマンドの両方にonが設定されているとき、IPsecでSPI値が無効なパケットを受信するとリブートもしくはハングアップが発生することがあるバグを修正した。
対象機種: RTX5000, RTX3500
大規模な経路設定と大量のIPIPトンネルの設定、BGPまたはOSPFの設定をした設定ファイルで起動すると、起動中にリブートすることがあるバグを修正した。
対象機種: RTX5000, RTX3500
traceroute6コマンドを実行したときにメモリリークが発生することがあるバグを修正した。
対象機種: RTX5000, RTX3500
interface resetコマンドを実行したときにメモリリークが発生するバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、接続中のL2TP/IPsec接続が切断されるときに他のL2TP/IPsec接続も切断されてしまうことがあるバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、ファストパス処理においてパディングを含むIPパケットをトンネルへ送出するときに不正なパケットとして送信してしまうバグを修正した。
本バグによって一部のパケットがトンネルを疎通できず、正しく通信が行えなくなっていた。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、1つのトンネルに対し2重接続されてしまうことがあるバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、正しい設定がされているにもかかわらずクライアントからの接続要求を受け付けられないことがあるバグを修正した。
tunnel encapsulation l2tpコマンドを最後に設定したときに発生する。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、NATの配下から複数の端末が接続している状況でその内の1台から不正なIKEメッセージを受信すると、他の接続が切断されることがあるバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、IPsecによって暗号化されていないL2TPのメッセージを受信してしまうことがあるバグを修正した。
ただし、本バグによってIPsecを介さないL2TP接続が確立することはない。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、show status ppコマンドまたはshow status l2tpコマンドで表示される転送パケット量をclear status ppコマンドで初期化できないバグを修正した。
対象機種: RTX5000, RTX3500
l2tp tunnel authコマンドで以下のバグを修正した。
対象機種: RTX5000, RTX3500
IPsecで、ISAKMPヘッダー長として必要な長さを満たさないIKEv1パケットを受信した場合に、IKEv2の不要なエラーログがSYSLOGに出力されてしまうバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、切断時に"IP Tunnel[XX] Down"というログが出力されないことがあるバグを修正した。
また、上記ログが出力されなかったトンネルインターフェースで受け付けた次のL2TP/IPsec接続の確立時に"IP Tunnel[XX] Up"というログが出力されないバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、disconnectコマンドによって接続している端末を切断した場合、次に当該トンネルで受けた接続において接続後の鍵交換に失敗して切断されることがあるバグを修正した。
対象機種: RTX5000, RTX3500
IPsecで、ipsec ike keepalive useコマンドでautoが設定されていて、接続相手からのheartbeatパケットの受信によってキープアライブが動作しているとき、show ipsec sa gatewayコマンドでKフラグが表示されないことがあるバグを修正した。
対象機種: RTX5000, RTX3500
show ipsec sa gatewayコマンドで表示されるアクティブゲートウェイ数に、IKEv2のゲートウェイ数が加算されないバグを修正した。
対象機種: RTX5000, RTX3500
IKEv2で、ip keepaliveコマンドのipsec-refresh/ipsec-refresh-up/ipsec-refresh-downオプションを設定しているとき、キープアライブの到達性が変化してもSAが更新されないバグを修正した。
対象機種: RTX5000, RTX3500
LAN分割設定時にclear status lanコマンドを実行してもIPv6(受信パケット)がクリアされないことがあるバグを修正した。
対象機種: RTX5000, RTX3500
ngn typeコマンドで、LAN分割されたインターフェースを指定できないバグを修正した。
対象機種: RTX5000, RTX3500
tunnel ngn interfaceコマンドで、LAN分割されたインターフェースがタブ補完されないバグを修正した。
対象機種: RTX5000, RTX3500
以下の場合にLAN3またはLAN4インターフェースで通信できなくなることがあるバグを修正した。
対象機種: RTX5000, RTX3500
ルーター起動時のLANインターフェースの初期化完了前に、LAN3またはLAN4インターフェースが一旦リンクアップすることがあるバグを修正した。
対象機種: RTX5000, RTX3500
SSHサーバー機能やSSHクライアント機能、SCP機能を同時に使用しようとすると、先に接続中のセッションが切断されるバグを修正した。
対象機種: RTX5000, RTX3500
ルーターのIPv6リンクローカルアドレス宛のUDPパケットを受信したとき、宛先ポートが使用していないポートである場合にICMPエラーが返らないバグを修正した。
対象機種: RTX5000, RTX3500
宛先アドレスに該当する経路が不明なパケットを受信したとき、送出されるICMPエラーパケットに格納されている受信パケットに対するNATのエントリが不正に生成されるバグを修正した。
対象機種: RTX5000, RTX3500
DNSリカーシブサーバー機能で、EDNS0に対応したクライアントからの問い合わせにエラーを返さないバグを修正した。
対象機種: RTX5000, RTX3500
PRI回線交換で、グローバル呼番号における初期設定手順に関するメッセージを送信したときに不正なログが表示されるバグを修正した。
対象機種: RTX5000, RTX3500
WAN側で動的IPv6アドレスを使用し、LAN側に静的IPv6プレフィックスを広告する設定を行ったとき、RAプロキシ機能を使っていないにも関わらず、LAN側の設定に関するコマンド入力時にWAN側にRSが送信されるバグを修正した。
対象機種: RTX5000, RTX3500
ISDN専用線を使ったPP接続において、ルーターの起動直後に接続処理が始まると、IPCPのネゴシエーションに失敗し続け、接続が完了しないバグを修正した。
対象機種: RTX5000, RTX3500
ISDN回線によるリモートセットアップで、show accountコマンドを実行したときに表示される着信履歴が発信履歴としてカウントされるバグを修正した。
対象機種: RTX5000, RTX3500
ISDN接続で、IPsecトンネルの接続先アドレスが名前によるルーティング機能によりPP anonymousから発信する設定になっている場合に、ISDNを切断した直後にipsec refresh saコマンドを実行すると、別の接続先に発信できないことがあるバグを修正した。
対象機種: RTX5000, RTX3500
Luaスクリプト機能のrt.httprequest関数で、ヘッダーにContent-Lengthフィールドを含まないレスポンスを受信したとき、戻り値テーブルの"body"に受信したメッセージボディーを保存しないバグを修正した。
対象機種: RTX5000, RTX3500
Luaスクリプト機能のrt.command関数で、以下のコマンドが実行できないバグを修正した。
対象機種: RTX5000, RTX3500
LAN分割の設定をしているとき、SNMPでIF-MIB::ifOutQLen変数の値を取得すると、正しい値が得られないバグを修正した。
対象機種: RTX5000, RTX3500
LAN分割インターフェースで、show status lanコマンドを実行したり、SNMPで情報を取得したとき、送受信のオクテット数が1パケットにつき4オクテット多いバグを修正した。
対象機種: RTX5000, RTX3500
LAN1またはLAN2インターフェースで、SNMPのIF-MIB::ifDescrもしくはIF-MIB::yrIfDescr変数の値を取得すると、"LAN*1"および"LAN*2"というアスタリスク("*")が混ざった文字列が返ってくるバグを修正した。
対象機種: RTX5000, RTX3500
SNMPで以下の情報を取得すると正しい値が得られないバグを修正した。
対象機種: RTX5000, RTX3500
pp bindコマンドで、interfaceパラメーターの指定に関する以下のバグを修正した。
対象機種: RTX5000, RTX3500
ipv6 ospf area networkコマンドを設定した後、以下のコマンドで管理ユーザーを抜けても、変更した設定を保存するか否かを問い合わせるメッセージが表示されないことがあるバグを修正した。
対象機種: RTX5000, RTX3500
VRRPで、他のVRRP関係のコマンドを設定したあと最後にip interface vrrpコマンドを設定したとき、マスターがシャットダウンすべき条件下でもシャットダウンしないバグを修正した。
対象機種: RTX5000, RTX3500
no queue interface class controlコマンドで、classパラメーターを指定せずに実行したときにエラーとならないバグを修正した。
対象機種: RTX5000, RTX3500
ipv6 filter dynamicコマンドで、指定されたフィルター番号に該当するIPv6のフィルターが適用されず、IPv4用に設定された同じフィルター番号を持つフィルターが適用されるバグを修正した。
対象機種: RTX5000, RTX3500
L2TP/IPsecで、AVPに関するログの誤記を修正した。
対象機種: RTX5000, RTX3500
以下のコマンドのコマンドヘルプの誤記を修正した。
対象機種: RTX5000, RTX3500
以下のコマンドの実行結果の誤記を修正した。
対象機種: RTX5000, RTX3500
ノーマルパスでのIPsecの復号処理でICVチェックが正しく動作しないバグを修正した。
対象機種: RTX5000, RTX3500