http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.00/relnote_14_00_18.html Revision : 14.00.18 Release : Feb. 2016, ヤマハ株式会社 Rev.14.00.18 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.14.00.08からファームウェアのリビジョンアップを行う際には以下の点にご注意くだ さい。 Rev.14.00.08にはRev.14.00.12で修正された以下の不具合が存在します。 「RTX5000/RTX3500 Rev.14.00.12 リリースノート」より、 http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.00/relnote_14_00_12.html [12] syslog debugコマンドとipsec log illegal-spiコマンドの両方にonが設定されてい るとき、IPsecでSPI値が無効なパケットを受信するとリブートもしくはハングアッ プが発生することがあるバグを修正した。 この不具合がファームウェアのリビジョンアップ中に発生すると、ファームウェア (execファイル)が消失する可能性があります。お手数をおかけいたしますが、 Rev.14.00.08からファームウェアのリビジョンアップを行う際、ipsec log illegal-spi on が設定されている場合には、ipsec log illegal-spi offを設定したのちに実施してい ただくよう、お願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○RTX5000/RTX3500 Rev.14.00.13 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2014-3570 (JPCERT/CC JVNVU#98974537) - CVE-2014-8275 (JPCERT/CC JVNVU#98974537) - CVE-2015-0287 (JPCERT/CC JVNVU#95877131) - CVE-2015-0292 (JPCERT/CC JVNVU#95877131) - CVE-2015-1789 (JPCERT/CC JVNVU#91445763) - CVE-2015-3195 (JPCERT/CC JVNVU#95113540) CVE-2015-1789およびCVE-2015-3195の脆弱性については、IKEv2のPKI証明書を利用し た認証(「デジタル署名方式」および「EAP-MD5方式」)を行う場合に該当する。 この脆弱性の影響により、メモリリークやリブート、ハングアップなどが発生する可 能性がある。 対象機種: RTX5000, RTX3500 ■機能追加 [1] BGP経路強制広告機能に対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/bgp/bgp_force-to-advertise.html 外部仕様書をよくご確認のうえ、ご利用ください。 対象機種: RTX5000, RTX3500 [2] BGPのTCP MD5認証機能に対応した。 ○TCP MD5認証の事前共有鍵の設定 [書式] bgp neighbor pre-shared-key NEIGHBOR_ID text TEXT_KEY no bgp neighbor pre-shared-key NEIGHBOR_ID [text TEXT_KEY] [設定値及び初期値] NEIGHBOR_ID [設定値] : 近隣ルーターの番号 (1...2147483647) [初期値] : - TEXT_KEY [設定値] : ASCII文字列で表した鍵 (80文字以内) [初期値] : - [説明] TCP MD5認証で用いる事前共有鍵を設定する。設定した事前共有鍵が一致するピア 間のみ、BGPのコネクションが成立する。 対象機種: RTX5000, RTX3500 [3] NTT東日本/西日本フレッツ光ネクストのリナンバリングに対応した。 対象機種: RTX5000, RTX3500 [4] L2TPv3で、ブリッジインターフェースに収容した物理LANインターフェース上でVLAN インターフェースを使用することができるようにした。 http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/#tagvlan 外部仕様書をよくご確認のうえ、ご利用ください。 対象機種: RTX5000, RTX3500 [5] VRRPv3の一部機能に対応した。 ipv6 INTERFACE vrrpコマンド、およびipv6 INTERFACE vrrp shutdown triggerコマ ンドを追加した。 http://www.rtpro.yamaha.co.jp/RT/docs/vrrp/vrrp.html 外部仕様書をよくご確認のうえ、ご利用ください。 ○インターフェースごとのVRRPv3の設定 [書式] ipv6 INTERFACE vrrp VRID IPV6_ADDRESS [priority=PRIORITY] [preempt=PREEMPT] [auth=AUTH] [advertise-interval=TIME1] [down-interval=TIME2] no ipv6 INTERFACE vrrp VRID [VRID...] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名 [初期値] : - VRID [設定値] : VRRPv3グループID(1..255) [初期値] : - IPV6_ADDRESS [設定値] : 仮想ルーターのIPv6アドレス [初期値] : - PRIORITY [設定値] : 優先度(1..254) [初期値] : 100 PREEMPT : プリエンプトモード [設定値] : --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- on プリエンプトモードを使用する off プリエンプトモードを使用しない --------------------------------------------------------------- [初期値] : on AUTH [設定値] : テキスト認証文字列(8文字以内) [初期値] : - TIME1 [設定値] : VRRPv3広告の送信間隔(秒) [初期値] : 1 TIME2 [設定値] : マスターがダウンしたと判定するまでの時間(秒) [初期値] : 3 [説明] 指定したVRRPv3グループを利用することを設定する。 同じVRRPv3グループに所属するルーターの間では、VRIDおよび仮想ルーターの IPv6アドレスを一致させておかなくてはいけない。これらが食い違った場合の動 作は予測できない。 AUTHパラメーターを指定しない場合には、認証なしとして動作する。 TIME1およびTIME2パラメーターで、マスターがVRRPv3広告を送信する間隔と、 バックアップがそれを監視してダウンと判定するまでの時間を設定する。トラ フィックが多いネットワークではこれらの値を初期値より長めに設定すると動作 が安定することがある。これらの値はすべてのVRRPv3ルーターで一致している必 要がある。 [ノート] PRIORITYおよびPREEMPTパラメーターの設定は、仮想ルーターのIPv6アドレスと して自分自身のLANインターフェースに付与されているアドレスを指定している場 合には無視される。この場合、優先度は最高の255となり、常にプリエンプトモー ドで動作する。 ○シャットダウントリガの設定 [書式] ipv6 INTERFACE vrrp shutdown trigger VRID INTERFACE ipv6 INTERFACE vrrp shutdown trigger VRID pp PEER_NUM [dlci=DLCI] ipv6 INTERFACE vrrp shutdown trigger VRID route NETWORK [NEXTHOP] no ipv6 INTERFACE vrrp shutdown trigger VRID [INTERFACE] no ipv6 INTERFACE vrrp shutdown trigger VRID [pp PEER_NUM [...]] no ipv6 INTERFACE vrrp shutdown trigger VRID [route NETWORK] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名 [初期値] : - VRID [設定値] : VRRPv3グループID(1..255) [初期値] : - PEER_NUM [設定値] : 相手先情報番号 [初期値] : - DLCI [設定値] : DLCI番号 [初期値] : - NETWORK [設定値] : ■IPv6アドレス/マスク長 ■default [初期値] : - NEXTHOP [設定値] : ■インターフェース名 ■IPv6アドレス [初期値] : - [説明] 設定したVRRPv3グループでマスタールーターとして動作している場合に、指定し た条件によってシャットダウンすることを設定する。 ------------------------------------------------------------------------- 形式 説明 ------------------------------------------------------------------------- LANインターフェース形式 指定したLANインターフェースがリンクダウン するか、あるいはlan keepaliveでダウンが検 知されると、シャットダウンする。 ------------------------------------------------------------------------- pp形式 指定した相手先情報番号に該当する回線で通 信できなくなった場合にシャットダウンする。 通信できなくなるとは、ケーブルが抜けるな どレイヤ1が落ちた場合と、以下の場合である。 - 回線がISDN回線である時は、呼が接続さ れていない場合 回線が専用線である時には、LCPキープア ライブによって通信相手が落ちたと判断し た場合 - 回線がフレームリレーであって "dlci=DLCI"を指定している場合には、 PVC状態確認手順によって指定したDLCI 番号が通信できないと判断した場合 - pp keepalive use設定によりダウンが検 出された場合 ------------------------------------------------------------------------- route形式 指定した経路が経路テーブルに存在しないか、 NEXTHOPで指定したインターフェースもしくは IPv6アドレスで指定するゲートウェイに向 いていない場合に、シャットダウンする。 NEXTHOPを省略した場合には、経路がどのよ うな先を向いていても存在する限りはシャッ トダウンしない。 ------------------------------------------------------------------------- 対象機種: RTX5000, RTX3500 [6] IKEv2で、CHILD SAの作成方法を変更できるようにした。 ○CHILD SA作成方法の設定 [書式] ipsec ike child-exchange type GATEWAY_ID TYPE no ipsec ike child-exchange type GATEWAY_ID [TYPE] [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティ・ゲートウェイの識別子 [初期値] : - TYPE : IKEv2のCHILD SA作成方法のタイプ [設定値] : ------------------------------------------------------ 設定値 説明 ------------------------------------------------------ 1 ヤマハルーターのIKEv2の従来の動作との互換 性を保持する 2 CREATE_CHILD_SA交換を一部の実装にあわせる ------------------------------------------------------ [初期値] :1 [説明] IKEv2のCHILD SA作成方法を設定する。 このコマンドに対応する機種同士で接続する場合、タイプを同じ設定にして接続 する必要がある。 対象機種: RTX5000, RTX3500 [7] 受信パケットバッファのサイズを変更できるようにした。 ○LANインターフェースの受信パケットバッファサイズの設定 [書式] lan receive-buffer-size INTERFACE SIZE lan receive-buffer-size SIZE no lan receive-buffer-size [INTERFACE ..] no lan receive-buffer-size [.. ] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名 [初期値] : - SIZE [設定値] : 受信パケットバッファサイズ ・RTX5000/RTX3500: 1..16384 ・上記以外: 1..1000 [初期値] : ・RTX5000/RTX3500: 1024 (QoS設定時は128) ・RTX3000: 512 ・SRT100: 128 (QoS設定時は全LANインターフェースの初期値が20となる) [説明] LANインターフェースで一度に受信できるパケットバッファサイズ(受信キュー長) をパケットの個数で設定する。 RTX3000, SRT100ではLANインターフェースごとの設定が必要であるため第1書式を 使用する。RTX5000/RTX3500では第2書式を使用する。 RTX5000/RTX3500では本コマンドで設定したサイズが全CPUコアの受信処理に適用 される。RTX5000/RTX3500は4つのCPUコアで受信処理を行っており、各CPUコアと LANインターフェースは密接に結び付いていないため、LANインターフェースごと の設定はできない。 RTX3000以外の機種ではQoS設定の有無で初期値が変化するが、本コマンドを使用 してサイズを明示的に設定している場合は、QoS設定の有無に関係なく、常にその 設定値が適用される。 対象機種: RTX5000, RTX3500 [8] SSHサーバー応答に含まれるOpenSSHのバージョン情報を隠匿できるようにした。 ○SSHサーバー応答に含まれるOpenSSHのバージョン情報の非表示設定 [書式] sshd hide openssh version USE no sshd hide openssh version [USE] [設定値及び初期値] USE [設定値] : ------------------------------------- 設定値 説明 ------------------------------------- on バージョン情報を表示しない off バージョン情報を表示する ------------------------------------- [初期値] : off [説明] SSH接続時のサーバー応答に含まれるOpenSSHのバージョン情報を表示するか否か を設定する。 このコマンドはセキュリティー目的としてOpenSSHのバージョン情報を隠匿したい 場合に使用する。 のコマンドをonに設定した場合は、サーバー応答は"SSH-2.0-OpenSSH"となる。 [ノート] このバージョン情報は、SSH接続時にサーバーとクライアントのプロトコルの互換 性を調整するために使用される。 このため、このコマンドをONに設定することにより、クライアントのソフトに よっては、接続できなくなる可能性がある。 その場合には、クライアントソフトを変更するか、このコマンドの設定をOFFにす る。 対象機種: RTX5000, RTX3500 [9] DHCPの動作をインターフェースごとに設定できるようにした。 ○インターフェースごとのDHCPの動作の設定 [書式] ip INTERFACE dhcp service TYPE [HOST1 [HOST2 [HOST3 [HOST4]]]] no ip INTERFACE dhcp service [設定値及び初期値] INTERFACE [設定値]: LANインターフェース名、ブリッジインターフェース名 [初期値]: - TYPE [設定値]: ----------------------------------------------------------------- 設定値 説明 ----------------------------------------------------------------- off DHCPサーバーとしてもDHCPリレーエージェント としても機能しない server DHCPサーバーとして機能させる relay DHCPリレーエージェントとして機能させる ----------------------------------------------------------------- [初期値]:- HOST1...HOST4 [設定値]: DHCPサーバーのIPアドレス [初期値]: - [説明] インターフェースごとにDHCPの動作を設定する。 DHCPサーバーを設定した場合には、ネットワークアドレスが合致するDHCPスコー プからIPアドレスを1つ割り当てる。 DHCPリレーエージェントを設定した場合には、HOSTを設定する必要があり、この HOSTへDHCP DISCOVERパケットおよびDHCP REQUESTパケットを転送する。 offに設定した場合には、DHCPサーバーとしてもDHCPリレーエージェントとしても 動作せず、DHCPパケットは破棄される。 本設定が無い場合は、dhcp serviceコマンドの設定に従う。dhcp serviceコマン ドの設定と本設定の両方がある場合には、本設定が優先される。 対象機種: RTX5000, RTX3500 ■仕様変更 [1] CPUスケジューリング(パケット転送)機能の最適化を行った。 http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/cpu-scheduling/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 対象機種: RTX5000, RTX3500 [2] IPsecファストパスのスループットを向上させた。 対象機種: RTX5000, RTX3500 [3] L2TP/IPsecおよびL2TPv3を用いたL2VPNで、セッション数が多いときの性能を改善し た。 対象機種: RTX5000, RTX3500 [4] タグVLAN上のPPPoE接続で、ファストパスに対応した。 対象機種: RTX5000, RTX3500。 [5] QoS使用時の通信に対するコマンド実行負荷の影響を軽減した。 ○クラスごとのキュー長の設定 [書式] queue INTERFACE length LEN1 [LEN2...LENN] [drop-threshold=DTHRESHOLD-MID[,DTHRESHOLD-HIGH]] queue pp length LEN1 [LEN2...LEN16] no queue INTERFACE length [LEN1...] no queue pp length [LEN1...] [設定値及び初期値] INTERFACE [設定値]: LANインターフェース名、WANインターフェース名 [初期値]: - LEN1..LENN [設定値]: - クラス1からクラス16のキュー長(1..10000; RTX1500 の場合は1..2000) - RTX5000、RTX3500、RTX3000の場合はクラス1からクラス100のキュー長 (1..10000) [初期値]: - 600 (RTX5000、RTX3500) ★ - 200 (RTX3000、RTX1210、RTX1200、RTX810) - 40 (上記以外) LEN1...LEN16 [設定値]: クラス1からクラス16のキュー長(1..10000; RTX1500の場合は 1..2000) [初期値]: 20 DTHRESHOLD-MID [設定値]: AF PHBの廃棄優先度が中の場合のキューサイズの閾値(1%..100%) [初期値]: 75% DTHRESHOLD-HIGH [設定値]: AF PHBの廃棄優先度が高の場合のキューサイズの閾値(1%..100%) [初期値]: 50% [説明] インターフェースに対して、指定したクラスのキューに入れることができるパ ケットの個数を指定する。指定を省略したクラスに関しては、最後に指定された キュー長が残りのクラスにも適用される。 DiffServベースQoSの場合、DTHRESHOLD-MID、DTHRESHOLD-HIGHパラメーターで指 定した値が AF PHB の廃棄優先度が中と高に対応するキューに積むことができる 閾値となる。閾値は、クラスのキュー長に対する割合(%)として表す。 DTHRESHOLD-HIGHを省略した場合は、DTHRESHOLD-MIDと同じ値となる。廃棄優先 度が低に対応する閾値は常に100%である。DTHRESHOLD-MID、DTHRESHOLD-HIGHパ ラメーターは、RTX5000、RTX3500、RTX3000、RTX1500、RTX1210、RTX1200 で指 定可能である。 ○第2階層クラスのキュー長の設定 [書式] queue INTERFACE length secondary [primary=PRIMARY_CLASS] LEN1 [LEN2 ...LEN4] no queue INTERFACE length secondary [primary=PRIMARY_CLASS...] [設定値及び初期値] INTERFACE [設定値]: LANインターフェース名 [初期値]: - PRIMARY_CLASS [設定値]: - 第1階層クラス(1..100) - 省略時、すべての第1階層クラスに従属する第2階層クラスのキュー長を 一律に指定する [初期値]: - LEN1...LEN4 [設定値]: クラス1からクラス4のキュー長(1..10000) [初期値]: - 600 (RTX5000、RTX3500) ★ - 200 (上記以外) [説明] インターフェースに対して、指定した第1階層クラスに従属する第2階層クラスの キューに入ることのできるパケットの個数を指定する。設定を省略したクラスに 関しては、最後に指定されたキュー長が残りのクラスにも適用される。 対象機種: RTX5000, RTX3500 [6] Luaスクリプト機能で、以下の変更を行った。 - rt.command関数で、コマンド実行のログを出力するか否かを指定できるようにした。 - Luaスクリプト機能バージョンを1.07とした。 http://www.rtpro.yamaha.co.jp/RT/docs/lua/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 対象機種: RTX5000, RTX3500 [7] snmp(v1/v2c/v3) hostのコマンド拡張を行った。 ○SNMPv1 によるアクセスを許可するホストの設定 [書式] snmp host HOST [RO_COMMUNITY [RW_COMMUNITY]] no snmp host [HOST [RO_COMMUNITY [RW_COMMUNITY]]] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさんだ IPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none RO_COMMUNITY [設定値]: 読み出し専用のコミュニティー名(16文字以内) [初期値]: - RW_COMMUNIT [設定値]: 読み書き可能なコミュニティー名(16文字以内) [初期値]: - [説明] SNMPv1によるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv1によるアクセスを許可する。 IPアドレスやlanN、bridgeNでホストを指定した場合には、同時にコミュニティー 名も設定できる。 ★ RW_COMMUNITYパラメーターを省略した場合には、アクセスモードが読み書き可能 であるアクセスが禁止される。RO_COMMUNITYパラメーターも省略した場合には、 snmp community read-onlyコマンド、およびsnmp community read-writeコマンド の設定値が用いられる。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのは、 RTX1200 Rev.10.01.59 以降、RTX810 Rev.11.01.21以降、RTX5000/RTX3500 Rev.14.00.18以降のファームウェア、および、Rev.14.01系以降のファームウェア である。 ○SNMPv2c によるアクセスを許可するホストの設定 [書式] snmpv2c host HOST [RO_COMMUNITY [RW_COMMUNITY]] no snmpv2c host [HOST [RO_COMMUNITY [RW_COMMUNITY]]] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさんだ IPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none RO_COMMUNITY [設定値]: 読み出し専用のコミュニティー名(16文字以内) [初期値]: - RW_COMMUNITY [設定値]: 読み書き可能なコミュニティー名(16文字以内) [初期値]: - [説明] SNMPv2cによるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv2cによるアクセスを許可する。 IPアドレスやlanN、bridgeNでホストを指定した場合には、同時にコミュニティー 名も設定できる。 ★ RW_COMMUNITYパラメーターを省略した場合には、アクセスモードが読み書き可能 であるアクセスが禁止される。RO_COMMUNITYパラメーターも省略した場合には、 snmpv2c community read-onlyコマンド、およびsnmpv2c community read-writeコ マンドの設定値が用いられる。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのは、 RTX1200 Rev.10.01.59 以降、RTX810 Rev.11.01.21以降、RTX5000/RTX3500 Rev.14.00.18以降のファームウェア、および、Rev.14.01系以降のファームウェア である。 ○SNMPv3 によるアクセスを許可するホストの設定 [書式] snmpv3 host HOST user USER_ID ... no snmpv3 host HOST [user USER_ID ...] [設定値及び初期値] HOST [設定値]: --------------------------------------------------------------- 設定値 説明 --------------------------------------------------------------- IPアドレス 1個のIPアドレスまたは間にハイフン(-)をはさん だIPアドレス(範囲指定) ★ lanN LANインターフェース名 ★ bridgeN ブリッジインターフェース名 ★ any すべてのホストからのアクセスを許可する none すべてのホストからのアクセスを禁止する --------------------------------------------------------------- [初期値]: none USER_ID: ユーザー番号 [設定値]: 1個の数字、または間にハイフン(-)をはさんだ数字(範囲指定)、 およびこれらを任意に並べたもの(128個以内) [初期値]:- [説明] SNMPv3によるアクセスを許可するホストを設定する。 'any'を設定した場合は任意のホストからのSNMPv3によるアクセスを許可する。な お、アクセスのあったホストがHOSTパラメーターに合致していても、USER_IDパラ メーターで指定したユーザーに合致しなければアクセスはできない。 [ノート] HOSTパラメーターにIPアドレスの範囲やlanN、bridgeNを指定できるのは、 RTX1200 Rev.10.01.59 以降、RTX810 Rev.11.01.21以降、RTX5000/RTX3500 Rev.14.00.18以降のファームウェア、および、Rev.14.01系以降のファームウェア である。 対象機種: RTX5000, RTX3500 [8] interface resetコマンドのパラメーターにSDを追加した。 ○インターフェースの再起動 [書式] interface reset INTERFACE [INTERFACE ...] [設定値及び初期値] INTERFACE [設定値]: - LANインターフェース名 - WANインターフェース名 - BRIインターフェース名 - PRIインターフェース名 - USBインターフェース名 - SDインターフェース名 ★ [初期値]: - [説明] 指定したインターフェースを再起動する。 LANインターフェースでは、オートネゴシエーションする設定になっていればオー トネゴシエーション手順が起動される。 BRIとPRIインターフェースを使用中に回線種別をline typeコマンドで変更した場 合には、本コマンドでインターフェースを再起動する必要がある。 BRIとPRIインターフェースでMPを使用している場合にはinterface reset ppコマ ンドを使用する。 USBとSDインターフェースでは、ポートの給電がOFF,ONされ、USBデバイスや microSDカードの再アタッチが行われる。 [ノート] RTX1500,RTX1100,RTX810,RT107e,SRT100 では、LAN1またはLAN2に対してこのコマ ンドを実行すると、LAN1およびLAN2インターフェースが同時にリセットされる。 RTX5000/RTX3500 RTX1200では、いずれか一つのLANインターフェースに対してこ のコマンドを実行すると、すべてのLANインターフェースが同時にリセットされる。 LANインターフェースだけを持つモデルでは、INTERFACEパラメーターにはLANイン ターフェース名のみ指定可能。 WANインターフェースはRev.10.01.32以降のRTX1200、Rev.10.00.60以降のSRT100、 RTX1210、RTX810で指定可能。 USBインターフェースはRev.14.01.09以降のRTX1210、Rev.11.01.25以降のRTX810、 Rev.10.01.65以降のRTX1200で指定可能。 SDインターフェースはRev.14.01.09以降のRTX1210、Rev.14.00.18以降の RTX5000/RTX3500、Rev.11.01.25以降のRTX810、Rev.10.01.65以降のRTX1200で指 定可能。★ line typeコマンド、pp bindコマンド、経路情報などすべての設定を整えた後に 実行する。対象とするインターフェースがバインドされているすべての相手先情 報番号の通信を停止した状態で、また回線種別を変更する場合には回線を抜いた 状態で実行すること。 対象機種: RTX5000, RTX3500 [9] 外部メモリへのSYSLOG保存機能で、外部メモリに書き出す時間間隔と外部メモリに書 き出すログの行数を指定できるようにした。 ○外部メモリに保存する SYSLOG ファイル名の指定 [書式] external-memory syslog filename NAME [CRYPTO PASSWORD] [limit=SIZE] [backup=NUM] [interval=INTERVAL] [line=LINE] ★ no external-memory syslog filename [NAME] [設定値及び初期値] NAME: SYSLOGファイル名 [設定値]: --------------------------------------------------------- 設定値 説明 --------------------------------------------------------- usb1:filename USBメモリ内のファイル名 (.bak拡張子を含む名前は指定できない) sd1:filename microSDカード内のファイル名 (.bak拡張子を含む名前は指定できない) --------------------------------------------------------- [初期値]: - CRYPTO: SYSLOGを暗号化して保存する場合の暗号アルゴリズムの選択 [設定値] ------------------------------- 設定値 説明 ------------------------------- aes128 AES128で暗号化する aes256 AES256で暗号化する ------------------------------- [初期値]: - PASSWORD [設定値]: ASCII文字列で表したパスワード(半角8文字以上、32文字以内) [初期値]: - SIZE [設定値]: SYSLOGファイルの上限サイズ(1-1024 単位:MB) [初期値]: 10 NUM [設定値]: バックアップファイルの上限数(1-100) [初期値]: 10 INTERVAL ★ [設定値]: SYSLOGを外部メモリに書き出す間隔(2-86400 単位:秒) [初期値]: 2 LINE ★ [設定値]: SYSLOGを外部メモリに書き出す行数(1000-N 単位:行) N ... 各機種のログ記憶容量 [初期値]: 1000 [説明] 外部メモリ内に保存するSYSLOGファイル名を指定する。 NAMEに.bak拡張子を含むファイル名は指定できない。また、暗号化しない場合、 NAMEに.rtfg拡張子を含むファイル名は指定できない。 CRYPTOおよびPASSWORDを指定した場合、SYSLOGは暗号化してから外部メモリに 書き込まれる。暗号化する場合、NAMEに.rtfg拡張子を含めるか、拡張子を省略 した名前を指定する必要がある。拡張子を省略した場合、自動的にファイル名に .rtfg拡張子が追加される。 SYSLOGファイルが上限サイズに達すると、SYSLOGファイルのバックアップが行 われる。このとき作成されるバックアップファイルの名前はファームウェアによ って異なる。 RTX5000、RTX3500、RTX810では、バックアップファイル名は、NAMEで指定され たファイル名の後にバックアップが行われた日時を表す"_yyyymmdd_hhmmss"形式 の文字列が付加されたものとなる。 yyyy ... 西暦(4桁) mm ... 月(2桁) dd ... 日(2桁) hh ... 時(2桁) mm ... 分(2桁) ss ... 秒(2桁) バックアップファイル数がnumで指定される上限数に達した場合、もしくは外部 メモリに空き容量がなくなった場合は、最も古いバックアップファイルを削除し てから新しいバックアップファイルが作成される。 RTX1200では、オプションのsizeやnumの指定はできない。各パラメーターは固 定となっており、それぞれ、SIZEは、1,024(MB)、NUMは、1として動作する。 また、バックアップファイル名は以下の規則に従って決定される。 NAMEに拡張子が含まれている場合 暗号化しないで保存する ... 拡張子を.bakに置き換える 暗号化して保存する ... 拡張子の前に_bakを追加する NAMEに拡張子が含まれていない場合 ... .bakという拡張子を追加する INTERVALで指定した時間が経過した場合、もしくはLINEで指定した行数だけ SYSLOGが出力された場合に、外部メモリにSYSLOGを書き出す。 本コマンドが設定されていないときはSYSLOGは外部メモリに書き込まれない。 [ノート] 以下の変更を行う場合、nameを変更しなければならない。 - SYSLOGを暗号化しないで保存するから、暗号化して保存するに変更する場合 - SYSLOGを暗号化して保存するから、暗号化しないで保存するに変更する場合 - 暗号アルゴリズムまたは、パスワードを変更する場合 対象機種: RTX5000, RTX3500 [10] clear logコマンドにsavedオプションを追加した。 このオプションを指定することで、show log savedコマンドを実行したときに表示 されるログをクリアすることができる。 ○ログのクリア [書式] clear log [saved] [設定値及び初期値] saved: ★ [設定値] : リブート直前のログをクリアする [初期値] : - [説明] ログをクリアする。 savedを指定することで、show log savedコマンドを実行したときに表示されるロ グをクリアすることができる。★ 対象機種: RTX5000, RTX3500 [11] IKEv2で、リクエストメッセージの送信をメッセージIDで管理できるようにした。 ○IKEのメッセージID管理の設定 [書式] ipsec ike message-id-control GATEWAY_ID SWITCH no ipsec ike message-id-control GATEWAY_ID [SWITCH] [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - SWITCH [設定値] : ---------------------------------------------------------------- 設定値 説明 ---------------------------------------------------------------- on リクエストメッセージの送信をメッセージIDで管理する off リクエストメッセージの送信をメッセージIDで管理しない ---------------------------------------------------------------- [初期値] : off [説明] 自機からIKEv2のリクエストメッセージを送信するときのメッセージID管理方法 を設定する。 onに設定しているとき、同じIKE SAを使用して送信済みのIKEメッセージに対す る全てのレスポンスメッセージを受信していない場合、新しいIKEメッセージは 送信しない。 [ノート] 本コマンドはIKEv2でのみ有効であり、IKEv1の動作に影響を与えない。 対象機種: RTX5000, RTX3500 [12] IKEv2で鍵交換を始動するとき、SAを構築するための各折衝パラメーターを、特定の コマンド設定値に限定して提案できるようにした。 ○折衝パラメーターを制限するか否かの設定 [書式] ipsec ike proposal-limitation GATEWAY_ID SWITCH no ipsec ike proposal-limitation GATEWAY_ID [設定値及び初期値] GATEWAY_ID [設定値] : セキュリティー・ゲートウェイの識別子 [初期値] : - SWITCH [設定値] : ------------------------------------------- 設定値 説明 ------------------------------------------- on 折衝パラメーターを制限する off 折衝パラメーターを制限しない ------------------------------------------- [初期値] : off [説明] IKEv2で鍵交換を始動するときに、SAを構築するための各折衝パラメーターを、 特定のコマンド設定値に限定して提案するか否かを設定する。このコマンドの設 定がoffのときは、サポート可能な折衝パラメーター全てを提案する。 このコマンドが適用されるパラメーターと対応するコマンドは以下の通りである。 ----------------------------------------------------------- パラメーター コマンド ----------------------------------------------------------- 暗号アルゴリズム ipsec ike encryption グループ ipsec ike group ハッシュアルゴリズム ipsec ike hash 暗号・認証アルゴリズム ipsec sa policy ※CHILD SA 作成時 ----------------------------------------------------------- [ノート] 本コマンドはIKEv2でのみ有効であり、IKEv1としての動作には影響を与えない。 対象機種: RTX5000, RTX3500 [13] IKEv2で、INVALID_IKE_SPI Notifyメッセージを受信したとき、該当するIKE SAを削 除するようにした。 対象機種: RTX5000, RTX3500 [14] show status tunnelコマンドで、IKEv2のIKEキープアライブの状態を表示するよう にした。 対象機種: RTX5000, RTX3500 [15] pingコマンド、ping6コマンドの送信間隔の上限値を3600秒に変更した。 ○pingの実行 [書式] ping [-s DATALEN] [-c COUNT] [-sa IP_ADDRESS] [-w WAIT] HOST [設定値及び初期値] DATALEN [設定値] : データ長 - Rev.10.01.32以降 ... (1..65535 byte) - 上記以外 ... (64..65535 byte) [初期値] : 64 COUNT [設定値] : 実行回数(1..21474836) [初期値] : Ctrl+cキーが入力されるまで繰り返す IP_ADDRESS [設定値] : 始点IPアドレス(xxx.xxx.xxx.xxx(xxxは十進数)) [初期値] : ルーターのインターフェースに付与されたアドレスの中から選 択する WAIT [設定値] : パケット送信間隔秒数(0.1..3600.0) ★ [初期値] : 1.0 HOST [設定値] : pingをかけるホストのIPアドレス(xxx.xxx.xxx.xxx(xxxは十進数)) ping をかけるホストの名称 [初期値] : - [説明] ICMP Echoを指定したホストに送出し、ICMP Echo Replyが送られてくるのを待つ。 送られてきたら、その旨表示する。コマンドが終了すると簡単な統計情報を表示 する。 COUNTパラメーターを省略すると、Ctrl+cキーを入力するまで実行を継続する。 -wオプションを指定したときには、次のパケットを送信するまでの間に相手から の返事を確認できなかっときにはその旨のメッセージを表示する。-wオプション を指定していないときには、パケットが受信できなくても何もメッセージを表示 しない。 ○ping6の実行 [書式] ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION%SCOPE_ID ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION INTERFACE ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION pp PEER_NUM ping6 [-s DATALEN] [-c COUNT] [-sa IPV6_ADDRESS] [-w WAIT] DESTINATION tunnel TUNNEL_NUM ping6 DESTINATION [COUNT] ping6 DESTINATION%SCOPE_ID [COUNT] ping6 DESTINATION INTERFACE [COUNT] ping6 DESTINATION pp PEER_NUM [COUNT] ping6 DESTINATION tunnel TUNNEL_NUM [COUNT] [設定値及び初期値] DATALEN [設定値] : データ長(1..65535byte) [初期値] : 64 COUNT [設定値] : 実行回数(1..21474836) [初期値] : Ctrl+cキーが入力されるまで繰り返す IPV6_ADDRESS [設定値] : 始点IPv6アドレス [初期値] : ルーターのインターフェースに付与されたアドレスの中から選択 する WAIT [設定値] : パケット送信間隔秒数(0.1..3600.0) ★ [初期値] : 1.0 DESTINATION [設定値] : 送信する宛先のIPv6アドレス、または名前 [初期値] : - SCOPE_ID [設定値] : スコープ識別子 [初期値] : - INTERFACE [設定値] : LANインターフェース名 [初期値] : - PEER_NUM [設定値] : 相手先情報番号 [初期値] : - TUNNEL_NUM [設定値] : トンネルインターフェース番号 [初期値] : - [説明] 指定した宛先に対してICMPv6 Echo Requestを送信する。 スコープ識別子は、show ipv6 addressコマンドで表示できる。 第1〜第5書式は、Rev.10.01.32以降のリビジョンで指定できる。それ以外のリ ビジョンでは、第6〜第10書式で指定する。 COUNTパラメーターを省略すると、Ctrl+Cキーを入力するまで実行を継続する。 -wオプションを指定したときには、次のパケットを送信するまでの間に相手から の返事を確認できなかっときにはその旨のメッセージを表示する。-wオプション を指定していないときには、パケットが受信できなくても何もメッセージを表示 しない。 [ノート] -sオプション、-cオプション、-saオプション、-wオプションはRev.10.01.32以 降で使用可能。 対象機種: RTX5000, RTX3500 [16] L1シェーピング機能に対応した。 ○キューイングアルゴリズムタイプの選択 [書式] queue INTERFACE type TYPE [shaping-level=LEVEL] ★ queue pp type TYPE no queue interface type [TYPE] no queue pp type [TYPE] [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名、WANインターフェース名 [初期値] : - TYPE [設定値] : ---------------------------------------------------- 設定値 説明 ---------------------------------------------------- fifo First In, First Out形式のキューイング priority 優先制御キューイング shaping 帯域制御 ---------------------------------------------------- [初期値] : fifo LEVEL [設定値] : 帯域速度の計算を行うレイヤー ------------------------------------------- 設定値 説明 ------------------------------------------- 1 レイヤー1 2 レイヤー2 ------------------------------------------- [初期値] : 2 [説明] 指定したインターフェースに対して、キューイングアルゴリズムタイプを選択す る。 fifoは最も基本的なキューである。 fifoの場合、パケットは必ず先にルーターに到着したものから送信される。 パケットの順番が入れ替わることは無い。fifoキューにたまったパケットの数が queue interface lengthコマンドで指定した値を越えた場合、キューの最後尾、 つまり最後に到着したパケットが破棄される。 priorityは優先制御を行う。 queue class filterコマンドおよびqueue interface class filter listコマンド でパケットをクラス分けし、送信待ちのパケットの中から最も優先順位の高いク ラスのパケットを送信する。 shapingはLANインターフェースに対する帯域制御を行う。LANインターフェースに だけ設定できる。 shaping-levelオプションはTYPEパラメーターにpriorityおよびshapingを指定し ているときのみ指定可能。 shaping-levelに1を設定した場合、帯域速度の計算をプリアンブル、SFD(Start Frame Delimiter)、IFG(Inter Frame Gap)を含んだフレームサイズでおこなう。 対象機種: RTX5000, RTX3500 [17] show exec listコマンドで、外部メモリに保存されている実行形式ファームウェア ファイルの情報を表示するようにした。 ○ファームウェアファイルの一覧の表示 [書式] show exec list less exec list [説明] 内蔵FlashROMおよび外部メモリに保存されている実行形式ファームウェアファイ ルの情報を表示する。起動中のファームウェアファイルには アスタリスク("*") 印が表示される。 ファームウェアファイルが保存されている外部メモリが接続されている場合には、 そのファームウェアファイルの情報も表示される。 ★ 対象機種: RTX5000, RTX3500 [18] 動的フィルターで、不特定多数からのアクセスがあったときにメモリを過剰に使用 しないようにした。 対象機種: RTX5000, RTX3500 [19] ブリッジインターフェースに収容されたLANインターフェースではQoS機能は使用で きない仕様であるため、bridge memberコマンドによってブリッジに収容されたLAN インターフェースに対して、queue typeコマンドでfifo以外を指定した場合、入力 エラーとなるようにした。 また、queue typeコマンドでfifo以外が指定されたLANインターフェースをbridge memberコマンドで指定した場合も同様に入力エラーとなる。 対象機種: RTX5000, RTX3500 [20] SNMPv2c、SNMPv3でINFORMリクエストを送出後、既定の再送回数以内にレスポンスを 受信できなかったときにログを出力するようにした。 対象機種: RTX5000, RTX3500 [21] 温度監視によって出力されるSYSLOGメッセージを以下のように変更した。 - 閾値を超えたとき SYSTEM ALARM (over T1): Temperature 80 [C.] - 閾値を下回ったとき SYSTEM ALARM (under T2): Temperature 75 [C.] 対象機種: RTX5000, RTX3500 ■バグ修正 [1] ルーターの負荷が高いときに、極めて稀に、ルーターの動作が不安定になったり、リ ブートやハングアップが発生することがあるバグを修正した。 対象機種: RTX5000, RTX3500 [2] show pki certificate summaryコマンドを実行したとき、メモリの不正解放が発生し、 リブートやハングアップが発生することがあるバグを修正した。 対象機種: RTX5000, RTX3500 [3] L2TP/IPsecおよびL2TPv3を用いたL2VPNで、クライアントが提案するトンネルIDと セッションIDの値が同一である接続を複数同時に受けたとき、その接続の切断時にリ ブートやハングアップが発生することがあるバグを修正した。 対象機種: RTX5000, RTX3500 [4] L2TP/IPsecで、以下の条件においてリブートすることがあるバグを修正した。 - クライアントのL2TP用仮想インターフェースのIPアドレスとして、クライアントの 実インターフェースのIPアドレスと同じものを設定して接続した場合 - クライアントのL2TP用仮想インターフェースのIPアドレスとして、クライアントの 実インターフェースのIPアドレスと同じものを接続時にルーターが割り当てた場合 対象機種: RTX5000, RTX3500 [5] console infoコマンドがonに設定されており、ルーターの起動時や起動後に一度でも シリアルコンソールを接続したことがある場合、その後シリアルコンソールを切断し た状態が長時間経過すると、稀にルーターの動作が不安定になったり、リブートする ことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [6] IPv6 QoSを設定してあるとき、IPv6の通信が発生した直後に稀にリブートすることが あるバグを修正した。 対象機種: RTX5000, RTX3500 [7] 優先制御で、queue class filterコマンドによるクラス分けによってクラス17以上に 分類されたパケットを送信しようとするとリブートすることがあるバグを修正した。 優先制御ではクラス16までしか使用できない仕様であるため、クラス17以上に分類さ れたパケットは破棄されるようにした。 対象機種: RTX5000, RTX3500 [8] TFTPでFlashROM上に保存されているCONFIGファイルを取得しているときに通信が切断 されると、それ以降、以下の問題が発生するバグを修正した。 - 外部メモリへのデータ書き込みが発生するとハングアップする - save、copy config、show config list、ファイル名指定のshow config等のCONFIG ファイルに関連するコマンドを実行するとハングアップしたり、エラーが発生した りする - TFTPによるCONFIGファイルのGETおよびPUTができない - SFTPでsystemディレクトリにアクセスできない - SCPによるCONFIGファイルの送信および受信を行うとハングアップしたり、エラー が発生したりする 対象機種: RTX5000, RTX3500 [9] URLフィルター機能で、以下の条件をすべて満たす場合に、リブートしたりリダイレ クト先URLに含まれるkeywordパラメーターの一部が欠けたりすることがあるバグを 修正した。 - url filter rejectコマンドでredirectが設定されている - リダイレクト先のURLが2048Byteを超えている 対象機種: RTX5000, RTX3500 [10] interface reset briコマンドを短い時間で連続して実行したときに、稀にコンソー ルの反応がなくなり、数時間後にリブートすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [11] ファストパスのフロー数、NAT/IPマスカレードおよび動的フィルターのセッション 数がそれぞれ多いときに、リブートすることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [12] データコネクト接続において、複数の接続があるときに稀にリブートすることがあ るバグを修正した。 対象機種: RTX5000, RTX3500 [13] 起動時にハングアップする可能性を排除した。 対象機種: RTX5000, RTX3500 [14] system packet-scheduling filter listコマンドがパラメーターの重複エラーと なったとき、メモリリークが発生するバグを修正した。 対象機種: RTX5000, RTX3500 [15] ipsec transport templateコマンドで設定が集約されているとき、展開先となるID に対してipsec transportコマンドを実行または削除するとメモリリークが発生する バグを修正した。 対象機種: RTX5000, RTX3500 [16] TFTPでFlashROM上に保存されているファイルを取得しているとき、またはFlashROM 上にファイルを転送しているときに通信が切断されると、メモリリークが発生する バグを修正した。 対象機種: RTX5000, RTX3500 [17] 動的フィルターによって管理されているコネクションがある状態で、インター フェースに適用された動的フィルターの設定を変更するとメモリリークが発生する バグを修正した。 対象機種: RTX5000, RTX3500 [18] IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由するノーマルパス の通信が行えなくなることがあるバグを修正した。 - LANインターフェースまたはWANインターフェースでDHCPによってIPアドレスを取 得する設定がされている - 上記インターフェースをゲートウェイとしてIPsecが確立する - トンネルインターフェースでipsec ike local addressコマンドが設定されていな い 対象機種: RTX5000, RTX3500 [19] IPsecで、以下の条件をすべて満たす場合にIPsecトンネルを経由する通信が行えな いバグを修正した。 - ipsec ike esp-encapsulationコマンドによってESPパケットがUDPでカプセル化さ れる設定が有効になっている - UDPでカプセル化されたパケットの送信先となるゲートウェイと、ESPパケットの 送信先となるゲートウェイが異なる - UDPでカプセル化されたパケットがファストパスで送信される 対象機種: RTX5000, RTX3500 [20] IPsecで、以下のすべての条件を満たす場合に、正しい設定であっても接続が確立し ないバグを修正した。 - ipsec ike negotiate-strictlyコマンドがonに設定されている - ipsec ike encryptionコマンドでaes256-cbcが設定されている 対象機種: RTX5000, RTX3500 [21] PPPoE接続上でIPsecを利用する場合、トンネルアップ後にPPPoEの再接続が行われる と、トンネルを介した通信が行えなくなることがあるバグを修正した。 PPPoEサーバーへの静的経路が設定されるなど、PPPoEの再接続により経路情報が変 化しない場合かつファストパスが有効な場合に発生する。 対象機種: RTX5000, RTX3500 [22] PPPoE接続上でL2TP/IPsecまたはL2TPv3/IPsecを利用する場合、トンネルアップ後に PPPoEの再接続が行われると、トンネルを介した通信が行えなくなることがあるバグ を修正した。 ファストパスが有効な場合に発生する。 対象機種: RTX5000, RTX3500 [23] IKEv2で、IKE SAのリキー後にipsec sa deleteコマンドでCHILD SAを削除すると、 トンネルがアップしなくなることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [24] L2TP/IPsecで、L2TPトンネル認証エラー等で接続が確立しなかった場合に、show status ppコマンドで不正な情報が出力されるバグを修正した。 Rev.14.00.12以降で発生する。 対象機種: RTX5000, RTX3500 [25] L2TP/IPsecで、YMS-VPN8-CPで接続するトンネルの設定とIPsec事前共有鍵を使用す るトンネルの設定が混在する場合に、接続できないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [26] L2TP/IPsecで、クライアントに対してDNSサーバー情報が通知されず、名前解決を伴 う通信ができないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [27] L2TP/IPsecで、以下の条件のどちらかに合致するとそれ以降当該トンネルで接続を 受けることができなくなるバグを修正した。 - ipsec ike retryコマンドのmax_session(デフォルト値:3)で指定された数以上の 接続を同時に受け、かつ接続相手のIPアドレスが同じである場合 ("[IKE] initiator's cookie is refused (too many requests)"のログがDEBUG レベルのSYSLOGに出力される) - 接続を受けたときにクッキー情報の生成に失敗した場合 対象機種: RTX5000, RTX3500 [28] L2TP/IPsecおよびL2TPv3で、トンネルインターフェースのMTUよりも大きなパケット がファストパスで処理されないバグを修正した。 対象機種: RTX5000, RTX3500 [29] L2TP/IPsecおよびL2TPv3で、ip/ipv6 tunnel tcp mss limitコマンドによるTCPセッ ションのMSS調整が機能しないバグを修正した。 対象機種: RTX5000, RTX3500 [30] ブリッジインターフェースを端点として接続が確立したL2TPv3で、トンネルを経由 する通信が行えないバグを修正した。 対象機種: RTX5000, RTX3500 [31] L2TPv3で、tunnel endpoint nameコマンドによって接続先のドメイン名(FQDN)が指 定されているとき、接続処理が始動しないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [32] L2TPv3を用いたL2VPNで、ブリッジインターフェースに収容されたLANインター フェースに対してIN方向の不正アクセス検知が設定してあるとき、フラグメントさ れたパケットがブリッジングされずに破棄されるバグを修正した。 対象機種: RTX5000, RTX3500 [33] L2TPv3で、トンネルの接続中に以下のコマンドによって接続先が変更された場合に、 再接続に失敗することがあるバグを修正した。 - tunnel endpoint address - tunnel endpoint name 対象機種: RTX5000, RTX3500 [34] L2TPv3で、ブリッジのラーニングテーブルに不正なエントリが登録されることがあ るバグを修正した。 本バグが発現した場合、L2TPv3トンネル上でフレームのループが発生し、高負荷に よってパケットの送受信が行えなくなる。 Rev.14.00.12 以降で発生する。 対象機種: RTX5000, RTX3500 [35] L2TPv3で、ブリッジインターフェースで受信したパケットを経路情報に従ってブ リッジインターフェースから送信するとき、イーサネットヘッダフィールドが不正 なパケットが送信されるバグを修正した。 ファストパスが有効な場合に発生する。 対象機種: RTX5000, RTX3500 [36] L2TPv3/IPsecで、IPv6トンネルを通過するパケットがファストパスで処理されない バグを修正した。 IPsecの暗号化アルゴリズムがaes-cbcまたはaes256-cbcの場合に発生する。 Rev.14.00.12 以降で発生する 対象機種: RTX5000, RTX3500 [37] データコネクト拠点間接続機能で、ipsec ike remote nameコマンドが設定されてい る状態で当コマンドの設定を削除すると、ナンバー・ディスプレイ契約無しの回線 にも関わらず着信に応答するバグを修正した。 元々設定がされていない状態でルーターを起動した場合には問題は発生しない。 対象機種: RTX5000, RTX3500 [38] データコネクト拠点間接続機能で、送信するパケットがファストパスで処理される ときに、パケットの優先度を示すIPv6ヘッダのトラフィッククラスの値が低くなる バグを修正した。 対象機種: RTX5000, RTX3500 [39] データコネクト拠点間接続のIPsecトンネルで、接続要求を受信したとき、稀にIKE の認証に失敗してトンネルがアップしないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [40] データコネクト拠点間接続機能およびデータコネクトリモートセットアップ機能で、 接続できない相手からの着信にエラーを返すと、直後に接続できる相手に発信して も正常に接続できないバグを修正した。 対象機種: RTX5000, RTX3500 [41] ARPテーブルに登録されていない相手へパケットを送信するときに、インターフェー スのMTU設定が反映されず、パケットがフラグメントされないバグを修正した。 対象機種: RTX5000, RTX3500 [42] PP anonymousを使用した接続で、anonymous番号が256以上の接続が切断されるとき、 anonymous番号が255以下の別の接続によって生成されたTemporary経路が削除される バグを修正した。 対象機種: RTX5000, RTX3500 [43] PP anonymousの名前によるルーティング設定により自動接続するときに、その契機 となるパケットが出力フィルターで破棄する条件に一致した場合に、anonymousイン ターフェースを持ちきってしまい、以降の着信に応答しなくなるバグを修正した。 対象機種: RTX5000, RTX3500 [44] anonymousインターフェースにおいて、mynameオプションを付けてpp auth username コマンドが設定されている場合に同じユーザー名とパスワードを使った複数の接続 を同時に受けることができないバグを修正した。 対象機種: RTX5000, RTX3500 [45] anonymousインターフェースにおいて、pp auth usernameコマンドで相手に割り当て るIPアドレスを指定した場合にimplicit経路が生成されるが、この設定を消したと きにこの経路が消えないバグを修正した。 対象機種: RTX5000, RTX3500 [46] anonymousインターフェースにおいて、ip pp secure filter nameコマンドを設定し ていない場合に、接続時にRADIUSでフィルターセットの名前を指定されても、その フィルターセットの動的フィルターが適用されないバグを修正した。 対象機種: RTX5000, RTX3500 [47] pp auth usernameコマンドでIPv6アドレスを設定できるバグを修正した。 IPv6アドレスはIPv6プレフィックスに変換するようにした。 対象機種: RTX5000, RTX3500 [48] DHCPリレーエージェントとして動作するとき、ブリッジインターフェース上の端末 がDHCPでIPアドレスを取得できないバグを修正した。 対象機種: RTX5000, RTX3500 [49] OSPFv2でエリア境界ルーター(ABR)として動作しているとき、バックボーンエリアに 存在するAS境界ルーター(ASBR)への経路が不正になったり、誤ったメトリック値を 含むタイプ4のLSA(ASBR-summary-LSA)をバックボーンエリアに隣接するエリアに広 告したりすることがあるバグを修正した。以下の条件に当てはまる場合に発生する。 - バックボーンエリア側のインターフェースはDROther、隣接する他のエリア側のイ ンターフェースはDRとして動作している - 両エリアに隣接するABRが当該ルーター以外にも存在する - 当該ルーターのバックボーンエリア側のインターフェースがダウンして、当該ル ーターを経由していたASBRへの経路が別のABR経由に切り替わり、その後ダウンし ていたインターフェースが再度アップした 対象機種: RTX5000, RTX3500 [50] OSPFv2で、他のOSPFルーターから受信したタイプ5のLSA(AS-external-LSA)の寿命が 尽きたとき、当該LSAに含まれる外部経路は無効な経路であるにもかかわらず、有効 な経路として扱われることがあるバグを修正した。 対象機種: RTX5000, RTX3500 [51] OSPFv3で、ネイバーのリンクローカルアドレスの取得に失敗することがあるバグを 修正した。本バグが発現すると、該当するネイバーが広告する経路を経由した通信 ができなくなり、また、show ipv6 routeコマンドでその経路のゲートウェイが"-" と表示される。 対象機種: RTX5000, RTX3500 [52] RIPngで、他のプロトコルから得られた経路を削除できない場合があるバグを修正し た。 対象機種: RTX5000, RTX3500 [53] ファストパスで、ISDN回線/専用線を介したデータパケットを受信したときに、ファ ストパスの処理対象ではないにも関わらずフローが生成されてしまうバグを修正 した。 対象機種: RTX5000, RTX3500 [54] ファストパスでNAT変換を行ったときに、IPヘッダのチェックサム値もこれに応じて 書き換えるが、本来は0x0001になるはずが0x0000になることが稀にあるバグを修正 した。 対象機種: RTX5000, RTX3500 [55] IPマスカレードで、FTPのPORT/EPRTコマンドの再送パケット、またはPASV/EPSVコマ ンドのレスポンスの再送パケットが通過すると、NATエントリのTTLの値が不正な値 に更新されるバグを修正した。 対象機種: RTX5000, RTX3500 [56] Luaのrt.socket.dns.toip関数で、AAAAレコードが引けるFQDNを引数にすると、正常 に名前解決ができないバグを修正した。ソケット通信ライブラリはIPv6に対応して いないため、AAAAレコードではなくAレコードを引くようにした。 対象機種: RTX5000, RTX3500 [57] SNMPで、LAN分割またはタグVLANを使用しているLANインターフェースに対してclear status lanコマンドを実行しても、MIB変数のifInErrorsの値がクリアされないバグ を修正した。 対象機種: RTX5000, RTX3500 [58] SNMPで、MIB変数のyrIfTableの値を取得すると、インターフェース番号が'??'と表 示される不正なPPインターフェースが取得されるバグを修正した。 対象機種: RTX5000, RTX3500 [59] yrhMultiCpuUtilTrapトラップで、企業番号やオブジェクトIDとして不正な値が通知 されるバグを修正した。 対象機種: RTX5000, RTX3500 [60] INTEGER型のMIB変数で負数を取得できないバグを修正した。 対象機種: RTX5000, RTX3500 [61] 外部メモリ起動に失敗する可能性を排除した。 対象機種: RTX5000, RTX3500 [62] 異常動作によりリブートしたときに、リブート前のSYSLOGが消えたりshow status bootコマンドで表示される起動理由が"Power-on boot"になることがあるバグを修正 した。 対象機種: RTX5000, RTX3500 [63] SFTP接続で、ファイルやディレクトリの情報を表示したときに不正な更新日時が表 示されるバグを修正した。 対象機種: RTX5000, RTX3500 [64] VRRPでバックアップルーターからマスタールーターへ切替わったとき、マスター ルーターが送信したGratuitous ARP Requestに対して、バックアップルーターが Gratuitous ARP Replyを返すことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [65] ip INTERFACE vrrpコマンドで、IP_ADDRESSパラメーターにIPv6アドレスを設定でき るバグを修正した。 対象機種: RTX5000, RTX3500 [66] ip INTERFACE vrrp shutdown triggerコマンドで、NETWORKパラメーターにIPv6の ネットワークおよびアドレスを設定できるバグを修正した。 対象機種: RTX5000, RTX3500 [67] ipsec log illegal-spiコマンドにonが設定されているとき、当該ログは1秒あたり 最大10種類まで出力される仕様であるが、実際には9種類までしか出力されないバグ を修正した。 対象機種: RTX5000, RTX3500 [68] 外部メモリ起動のLEDの動作で、以下のバグ修正を行った。 - 起動完了時に、ALARM LEDが点滅する - 起動失敗時に、LEDが点滅しないことがある 対象機種: RTX5000, RTX3500 [69] 以下のコマンドで、トンネル番号としてPPインターフェースの最大数(150)より大き い番号を指定すると実行エラーとなるバグを修正した。 - clear account tunnel - show account tunnel 対象機種: RTX5000, RTX3500 [70] 以下のコマンドでPP ANONYMOUS01の情報しか処理されないバグを修正した。 - show url filter - show url filter external-database - show url filter pp anonymous - show url filter external-database pp anonymous - clear url filter pp anonymous - clear url filter external-database pp anonymous 対象機種: RTX5000, RTX3500 [71] schedule atコマンドで設定されている処理、およびリモートセットアップが実行で きなくなることがあるバグを修正した。 本バグによりschedule atコマンドで設定されている処理の実行が失敗したときは、 実際にはリソースが枯渇していないにも関わらず、以下のログがINFOレベルで出力 される。 - [SCHEDULE] resource short, command has not been completed 対象機種: RTX5000, RTX3500 [72] 以下のコマンドを実行したときに、L2TPのためのポートが開放された旨のSYSLOGが 出力されることがあるバグを修正した。 - l2tp service off l2tp - l2tp service off l2tpv3 - l2tp service off l2tp l2tpv3 対象機種: RTX5000, RTX3500 [73] IPv6でPPPoE接続をしているとき、clear status lanコマンドを実行してもshow status lanコマンドで表示されるIPv6の送受信パケット数がクリアされないバグを 修正した。 対象機種: RTX5000, RTX3500 [74] clear ip dynamic routingコマンドを実行したときに、以下の経路が消えるバグを 修正した。 - pp auth usernameコマンドで設定したIPアドレスに対応する経路 - ip tunnel addressコマンドで設定したIPアドレスに対応する経路 - loopbackインターフェースに設定したIPアドレスに対応する経路 対象機種: RTX5000, RTX3500 [75] ip tos supersedeコマンドで、パラメーターのフィルター番号に256より大きい番号 を入力すると違う番号で設定されるバグを修正した。 対象機種: RTX5000, RTX3500 [76] 複数のshow系コマンドをコピー&ペースト等で連続入力を行ったときに、正常に入 力できないことがあるバグを修正した。 対象機種: RTX5000, RTX3500 [77] show status bgp neighbor advertised-routesコマンドの実行結果で、各パラメー ターの値として不正な値が出力されるバグを修正した。 対象機種: RTX5000, RTX3500 [78] show status ppコマンドの実行結果の誤記を修正した。 対象機種: RTX5000, RTX3500 [79] 以下のコマンドのコマンドヘルプの誤記を修正した。 - bridge member - url INTERFACE filter - vlan INTERFACE 802.1q 対象機種: RTX5000, RTX3500 ■更新履歴 Feb. 2016, Rev.14.00.18 リリース 以上