http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.02/relnote_15_02_14.html Revision : 15.02.14 Release : Jan. 2020, ヤマハ株式会社 Rev.15.02.14 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ・Rev.15.02.03以降のファームウェアへリビジョンアップを行う際には以下の点にご注 意ください Rev.15.02.03では以下の変更をしています。 「RTX830 Rev.15.02.03 リリースノート」より、 http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.02/relnote_15_02_03.html [1] 本機にアクセスするときのセキュリティーを強化した。 (8) 工場出荷状態の設定にtelnetd host lanコマンドを追加した。 Rev.15.02.03以降のファームウェアを使用して工場出荷状態からプロバイダーを設定 すると、上記のコマンドが設定されているため遠隔からTELNETでログインができなく なり ます。 遠隔からTELNETでログインをする場合はtelnetd hostコマンドの設定を変更してくだ さい。 ・Rev.15.02.13以降のファームウェアへリビジョンアップを行う際には以下の点にご注 意ください 「DPIを使用したアプリケーション制御機能」に対応したRev.15.02.13以降のファーム ウェアへリビジョンアップすると、Rev.15.02.10、またはそれ以前のファームウェア に対して工場出荷状態でのメモリー使用率が10%程度上昇します。 メモリーの空き容量が十分あることを確認のうえ、リビジョンアップを行うようにし てください。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○RTX830 Rev.15.02.13 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2019-1547(JPCERT/CC JVNVU#94367039) - CVE-2019-1563(JPCERT/CC JVNVU#94367039) ■機能追加 [1] L2MSで、以下の機器に対応した。 - SWX3100-18GT - SWX2310-10G - SWX2310-18GT - SWX2310-28GT - SWX2310-52GT - SWX2210P-10G - SWX2210P-18G - SWX2210P-28G [2] OCNバーチャルコネクトサービスの固定IP8契約と固定IP16契約に対応した。 [3] DNSリカーシブサーバー機能でEDNS0に対応した。 また、Web GUIの詳細設定の[DNSサーバー]でEDNSを設定できるようにした。 これに伴い、以下のコマンドにednsオプションを追加した ○DNSサーバーのIPアドレスの設定 [書式] dns server IP_ADDRESS [edns=SW] [IP_ADDRESS [edns=SW]...] ★ no dns server [IP_ADDRESS [edns=SW]...] ★ [設定値及び初期値] IP_ADDRESS [設定値] : DNSサーバーのIPアドレス [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNSサーバーのIPアドレス、またはネットボランチサーバー番号を最大4つ指定で きる。 このIPアドレスはルーターがDHCPサーバーとして機能する場合にDHCPクライアン トに通知するためや、IPCPのMS拡張オプションで相手に通知するためにも使用さ れる。他のコマンドでもDNSサーバーが設定されている場合は、最も優先順位の 高いコマンドの設定が使用される。DNSサーバーを設定する各種コマンドの優先 順位は、コマンドリファレンスの「DNSの設定」ページの冒頭の説明を参照。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ ○DNSサーバーアドレスを取得するインターフェースの設定 [書式] dns server dhcp INTERFACE [edns=SW] ★ no dns server dhcp [INTERFACE [edns=SW]] ★ [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名、WANインターフェース名、ブリッジ インターフェース名 [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNSサーバーアドレスを取得するインターフェースを設定する。このコマンドで インターフェース名が設定されていると、DNSで名前解決を行うときに、指定し たインターフェースで DHCPサーバーから取得したDNSサーバーアドレスに対して 問い合わせを行う。DHCPサーバーからDNSサーバーアドレスを取得できなかった 場合は名前解決を行わない。他のコマンドでもDNSサーバーが設定されている場 合は、最も優先順位の高いコマンドの設定が使用される。DNSサーバーを設定す る各種コマンドの優先順位は、コマンドリファレンスの「DNSの設定」ページの 冒頭の説明を参照。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ ○DNSサーバーを通知してもらう相手先情報番号の設定 [書式] dns server pp PEER_NUM [edns=SW] ★ no dns server pp [PEER_NUM [edns=SW]] ★ [設定値及び初期値] PEER_NUM [設定値] : DNSサーバーを通知してもらう相手先情報番号 [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNSサーバーを通知してもらう相手先情報番号を設定する。このコマンドで相手 先情報番号が設定されていると、DNSでの名前解決を行う場合に、まずこの相手 先に発信して、そこでPPPのIPCP MS拡張機能で通知されたDNSサーバーに対して 問い合わせを行う。 相手先に接続できなかったり、接続できてもDNSサーバーの通知がなかった場合 には名前解決は行われない。 他のコマンドでもDNSサーバーが設定されている場合は、最も優先順位の高いコ マンドの設定が使用される。DNSサーバーを設定する各種コマンドの優先順位は、 コマンドリファレンスの「DNSの設定」ページの冒頭の説明を参照。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ ○DNS問い合わせの内容に応じたDNSサーバーの選択 [書式] dns server select ID SERVER [edns=SW] [SERVER2 [edns=SW]] [TYPE] QUERY [ORIGINAL-SENDER] [restrict pp CONNECTION-PP] ★ dns server select ID pp PEER_NUM [edns=SW] [DEFAULT-SERVER [edns=SW]] [TYPE] QUERY [ORIGINAL-SENDER] [restrict pp CONNECTION-PP] ★ dns server select ID dhcp INTERFACE [edns=SW] [DEFAULT-SERVER [edns=SW] [TYPE] QUERY [ORIGINAL-SENDER] [restrict pp CONNECTION-PP] ★ dns server select ID reject [TYPE] QUERY [ORIGINAL-SENDER] no dns server select ID [設定値及び初期値] ID [設定値] : DNSサーバー選択テーブルの番号 [初期値] : - SERVER [設定値] : プライマリーDNSサーバーのIPアドレス [初期値] : - SERVER2 [設定値] : セカンダリーDNSサーバーのIPアドレス [初期値] : - TYPE : DNSレコードタイプ [設定値] : a : ホストのIPアドレス aaaa : ホストのIPv6アドレス ptr : IPアドレスの逆引き用のポインター mx : メールサーバー ns : ネームサーバー cname: 別名 any : すべてのタイプにマッチする 省略 : 省略時はa [初期値] : - QUERY : DNS問い合わせの内容 [設定値] : TYPEがa、aaaa、mx、ns、cnameの場合 QUERYはドメイン名を表す文字列であり、後方一致とする。例えば "yamaha.co.jp"であれば、rtpro.yamaha.co.jpなどにマッチする。 "."を指定するとすべてのドメイン名にマッチする。 TYPEがptrの場合 QUERYはIPアドレス(ip_address[/masklen])であり、masklenを省略 したときはIPアドレスにのみマッチし、masklenを指定したときはネッ トワークアドレスに含まれるすべてのIPアドレスにマッチする。 DNS問い合わせに含まれるin-addr.arpaドメインで記述されたFQDNは、 IPアドレスへ変換された後に比較される。すべてのIPアドレスにマッ チする設定はできない。 rejectキーワードを指定した場合 QUERYは完全一致とし、前方一致、及び後方一致には"*"を用いる。 つまり、前方一致では、"NetVolante.*"であれば、NetVolante.jp、 NetVolante.rtpro.yamaha.co.jpなどにマッチする。また、後方一致 では、"*yamaha.co.jp"と記述する。 [初期値] : - ORIGINAL-SENDER [設定値] : DNS問い合わせの送信元のIPアドレスの範囲 [初期値] : - CONNECTION-PP [設定値] : DNSサーバーを選択する場合、接続状態を確認する接続相手先情 報番号 [初期値] : - PEER_NUM [設定値] : IPCPにより接続相手から通知されるDNS サーバーを使う場合の 接続相手先情報番号 [初期値] : - INTERFACE [設定値] : DHCPサーバーより取得するDNSサーバーを使う場合のLANインター フェース名またはWANインターフェース名またはブリッジインター フェース名 [初期値] : - DEFAULT-SERVER [設定値] : PEER_NUMパラメーターで指定した接続相手からDNSサーバーを獲 得できなかったときに使うDNSサーバーのIPアドレス [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNS問い合わせの解決を依頼するDNSサーバーとして、DNS問い合わせの内容およ びDNS問い合わせの送信元および回線の接続状態を確認する接続相手先情報番号 とDNSサーバーとの組合せを複数登録しておき、DNS問い合わせに応じてその組合 せから適切なDNSサーバーを選択できるようにする。テーブルは小さい番号から 検索され、DNS問い合わせの内容にQUERYがマッチしたら、そのDNSサーバーを用い てDNS問い合わせを解決しようとする。一度マッチしたら、それ以降のテーブル は検索しない。すべてのテーブルを検索してマッチするものがない場合には、他 のコマンドで指定されたDNSサーバーを用いる。DNSサーバーを設定する各種コマン ドの優先順位は、コマンドリファレンスの「DNSの設定」ページの冒頭の説明を 参照。 rejectキーワードを使用した書式の場合、QUERYがマッチしたら、そのDNS問い合 わせパケットを破棄し、DNS問い合わせを解決しない。 restrict pp節が指定されていると、CONNECTION-PPで指定した相手先がアップし ているかどうかがサーバーの選択条件に追加される。相手先がアップしていない とサーバーは選択されない。相手先がアップしていて、かつ、他の条件もマッチ している場合に指定したサーバーが選択される。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ [4] SSHサーバー機能、SFTPサーバー機能で、公開鍵認証に対応した。 TELNET複数セッション機能、SSHサーバー機能 http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html SFTPサーバー機能 http://www.rtpro.yamaha.co.jp/RT/docs/sftpd/ 外部仕様書をよくご確認のうえ、ご利用ください。 ■仕様変更 [1] IKEv2で、ipsec ike message-id-controlをONに設定しているとき、IKEメッセージ のリトライ中に次のIKEメッセージを送信したい場合、リトライ回数満了後にIKEメッ セージを送信し、その間トンネルダウンもしないようにした。 [2] console columnsコマンドで設定できる上限値を4096に変更した。 ○コンソールの表示文字数の設定 [書式] console columns COL no console columns [COL] [設定値及び初期値] COL : コンソールの表示文字数 [設定値] : 80..4096 (RTX830 Rev.15.02.14 以降) 80..200 (上記以外★) [初期値] : 80 [説明] コンソールの1行あたりの表示文字数を設定する。 本コマンドは一般ユーザでも実行できる。 [ノート] 本コマンドの設定は、saveコマンドで保存するまでshow configコマンドによる 設定の表示に反映されない。 Rev.9 系以降では、saveコマンドで保存しなくてもshow configコマンドで設定 が表示される。 [3] RAプロキシーで、ルーター起動時にプロキシー配下のLANインターフェースがリンク ダウン状態のとき、RA受信により生成したIPv6アドレスを暫定IPv6アドレスとして いたのを有効なIPv6アドレスとするように変更した。 [4] RAプロキシーで、以前と異なるIPv6プレフィックスのRAを受信したときに、RA配下 のWindows PCが新しいIPv6プレフィックスを利用できるようにした。 [5] IPv6 IPoE設定のルーターを多段に配置したときに、下位ルーターのDNSリカーシブ サーバーから上位ルーターのDNSリカーシブサーバーへアクセスできるようにした。 [6] LMSクライアント機能で、ライセンス認証が失敗したときリトライするようにした。 また、リトライの間隔と回数を設定するコマンドを追加した。 ○ライセンス認証のリトライの間隔と回数の設定 [書式] license authentication retry interval INTERVAL COUNT no license authentication retry interval [INTERVAL COUNT] [設定値及び初期値] INTERVAL [設定値] : ライセンス認証をリトライするまでの間隔 (1 - 3600 秒) [初期値] : 30 COUNT [設定値] : ライセンス認証をリトライする回数 (1 - 10) [初期値] : 5 [説明] ライセンス認証に失敗したときのリトライ間隔と回数を設定する。 ライセンス認証に失敗したとき、INTERVALに設定した間隔でライセンス認証のリ トライを行う。 COUNTに設定した回数連続でライセンス認証に失敗した場合はリトライを停止す る。 本コマンドの設定に関わらず、license authentication goコマンドによる手動 認証に失敗したときは、ライセンス認証のリトライは行わない。 [ノート] ライセンス認証のリトライ待ちのとき、license authentication goコマンドに よる手動認証を行うと、ライセンス認証のリトライは停止する。 [7] RAプロキシーで設定されたMAP-Eトンネルにおいて、LANインターフェースがリンク ダウンしたときに、MAP-Eで計算されたIPv6アドレスを消さないように変更した。 [8] dns notice orderコマンドでDHCPv6を設定できるようにした。 dns notice orderコマンドの設定をすることで、IPv6網からDHCPv6で通知されたDNS サーバーアドレスをルーター配下の端末に通知できるようになる。 ○DHCP/DHCPv6/IPCP MS拡張でDNSサーバーを通知する順序の設定 ★ [書式] dns notice order PROTOCOL SERVER [SERVER] no dns notice order PROTOCOL [SERVER [SERVER]] [設定値及び初期値] ・PROTOCOL [設定値]: dhcp .. DHCPによる通知 dhcpv6 .. DHCPv6による通知 ★ msext .. IPCP MS拡張による通知 [初期値]: dhcp、dhcpv6およびmsext ★ ・SERVER [設定値]: none .. 一切通知しない me .. 本機自身 server .. dns serverコマンドに設定したサーバー群 PROTOCOLにdhcpv6を指定した場合はDHCPv6で割り当てられたサー バー群 ★ [初期値]: me server (PROTOCOLがdhcpまたはmsextの場合) me (PROTOCOLがdhcpv6の場合) ★ [説明] DHCPやDHCPv6、IPCP MS拡張ではDNSサーバーを複数通知できるが、それをどのよ うな順番で通知するかを設定する。★ noneを設定すれば、他の設定に関わらずDNSサーバーの通知を行わなくなる。 meは本機自身のDNSリカーシブサーバー機能を使うことを通知する。PROTOCOLに dhcp、またはmsextを指定した場合、serverではdns serverコマンドに設定した サーバー群を通知することになる。PROTOCOLにdhcpv6を指定した場合は、IPv6網 からDHCPv6で通知されたDNSサーバー群を通知することになる。★ IPCP MS拡張では通知できるサーバーの数が最大2に制限されているので、後ろに meが続く場合は先頭の1つだけと本機自身を、server単独で設定されている場合 には先頭の2つだけを通知する。 [9] IPマスカレード機能で、既存のUDPのNATエントリーと「送信元IPアドレス」 「送信元ポート番号」「宛先ポート番号」が同一であり「宛先IPアドレス」のみが 異なるUDPパケットは従来は新しくNATエントリーは作成しない仕様であったが、対 応する新しいNATエントリーを作成し別々に管理するようにした。 [10] YNOのGUI Forwarder経由でWeb GUIの詳細設定の[プロバイダー接続]にアクセスし たとき、プロバイダー接続の設定を新規に作成できるようにした。 [11] Web GUIの詳細設定の[DNSサーバー]-[中継先DNSサーバーの設定]で、サーバーの選 択条件を設定できるようにした。 [12] Web GUIのかんたん設定の[アプリケーション制御]で、「フィルターと経路の設定」 から設定するアプリケーションに、以下のアプリケーションを追加した。 動画&音楽配信:Amazon Prime Video, GYAO SNS :LINE, Pinterst, LinkedIn, Snapchat, KakaoTalk ■バグ修正 [1] 以下の機能を使用すると、リブートやハングアップする可能性を排除した。 ただし、この問題が実機上で発現することは確認できていない。 - YNOエージェント機能 - 「v6プラス」 - OCNバーチャルコネクトサービス - DPI Rev.15.02.10以降で発生する可能性がある。 [2] DPIで、パケット解析中にshow dpi statistics categoryコマンドを実行するとリブー トすることがあるバグを修正した。 [3] L2TP接続で、切断処理中にリブートやハングアップする可能性を排除した。 ただし、この問題が実機上で発現することは確認できていない。 [4] 不正なファイルやディレクトリーが保存された外部メモリーを使用するとリブート することがあるバグを修正した。 [5] OSPFv3による経路の優先度が他より高い場合、LANインターフェース、またはVLAN インターフェースのimplicit経路と同一の経路がOSPFv3によって通知されると、当 該ネットワーク宛の通信が正常にできなくなることがあるバグを修正した。 [6] YNOマネージャーに保存したコンフィグをルーターに取り込む場合、本来は差分のみ 設定されるはずが、一部のコマンドではすでに設定されているにも関わらず、再設 定されてしまうバグを修正した。 [7] YNOエージェント機能で以下のコマンドが実行できないバグを修正した。 - ipv6 interface icmp-nd queue length - ipv6 ospf import from - snmp trap cpu threshold - snmp trap memory threshold - system cpu threshold - system memory threshold [8] L2TP/IPsec接続で、PPインターフェースにバインドしたトンネルインターフェース をdisableにしたとき、L2TP/IPsecで通信ができてしまうバグを修正した。 [9] PPTP接続で、トンネルがアップしたあとにPPインターフェースにバインドしたトン ネルインターフェースをdisableにしたとき、PPTPで通信ができてしまうバグを修正 した。 [10] show dpi statistics categoryコマンドで、指定したカテゴリー以外の統計情報も 表示されるバグを修正した。 [11] IPv6フラグメントパケットの再構築後のペイロード長が65,535オクテットを超える とき、ICMPv6 Parameter Problemパケットを送信しないバグを修正した。 [12] IPv6フィルターまたはIPv6動的フィルターで、そのフィルターに該当するプロトコ ルで3つ以上にフラグメントされたパケットを受信したときに発生する以下のバグ を修正した。 ・フラグメントされたすべてのパケットを破棄してしまうことがある - ipv6 filterコマンド pass_reject:pass、pass-log、pass-nolog、restrict、restrict-log、 restrict-nolog - ipv6 filter dynamicコマンド ・最後のパケットに対するrejectログが出力されないことがある - ipv6 filterコマンド pass_reject:reject-log [13] DPIで、シグネチャーの自動更新に失敗すると、その後自動更新のリトライを行わ なくなることがあるバグを修正した。 [14] DPIで、シグネチャーの自動更新中に以下の条件でDPIが無効になると、 "Internal error: XXX"というログが出力されることがあるバグを修正した。 - dpi useコマンドをoffに設定する - ライセンスが無効になる [15] DPIで、dpi signature download goコマンドによるシグネチャーの手動更新を実行 中に以下の条件でDPIが無効になると、その後実行系コマンドが実行できなくなる ことがあるバグを修正した。 - dpi useコマンドをoffに設定する - ライセンスが無効になる [16] 以下の操作でコンフィグを比較したとき、特定のコマンドが一致しているにもかか わらず差分として抽出されることがあるバグを修正した。 - show config differenceコマンドを実行 - loadコマンドでdifferenceオプションを指定し実行 [17] ポート分離機能が設定されているとき、タグVLANを設定してもエラーにならないバ グを修正した。 [18] IPv6拡張ヘッダーのHop-by-Hopオプションの宛先オプションに不明なタイプがセッ トされているICMPv6 Echo Requstパケットを受信したとき、発信元へICMPv6 Echo Replyパケットが送信されないバグを修正した。 [19] dns server selectコマンドで、typeを省略すると設定できないことがあるバグを 修正した。 [20] dns notice orderコマンドで、以下のバグを修正した。 - 重複したキーワードを設定してもエラーにならない - サーバーパラメーターの2つ目のキーワードにnoneを設定してもエラーにならな い [21] show status user historyコマンドで、SFTPで接続したユーザーのログイン履歴が 表示されないバグを修正した。 [22] Web GUIのLANマップのツリービューでPoEスイッチを選択したとき、PoE状態の取得 完了までに時間がかかることがあるバグを修正した。 [23] Web GUIのLANマップで、SWX2210の機器名を変更するとき、アンダースコア(_)とハ イフン(-)以外の半角記号が設定できないバグを修正した。 [24] Web GUIの管理の以下のページで、外部メモリーでインポートおよびエクスポート に失敗したときに不適切なエラーメッセージが表示されるバグを修正した。 - [保守]-[CONFIGファイルの管理]-[CONFIGファイルのインポート] - [保守]-[CONFIGファイルの管理]-[CONFIGファイルのエクスポート] - [保守]-[ファームウェアの更新]-[外部メモリーからファームウェアを更新] [25] Web GUIの詳細設定の[プロバイダー接続]で、プロバイダー接続の設定を追加する と、コンソール上に不正なログが表示されることがあるバグを修正した。 [26] Web GUIのかんたん設定の[アプリケーション制御]-[フィルターと経路設定一覧]で、 デフォルト経路のインターフェースにDPIフィルターが適用されていないとき、フィ ルタリングの設定が正しく表示されないバグを修正した。 [27] Web GUIのかんたん設定の[アプリケーション制御]で、デフォルト経路の設定がな いとき、「設定の確定」ボタンをクリックするとエラーになることがあるバグを修 正した。 [28] Web GUIの詳細設定の[DNSサーバー]-[中継先DNSサーバーの設定]で、誤ったインター フェースが選択可能になっているバグを修正した。 [29] Web GUIのLANマップのタグVLANの画面で、VLAN間フィルター設定ダイアログのVLAN 間通信がVLAN間フィルター設定状態に関わらず常に全遮断になっているバグを修正 した。 [30] Web GUIの以下のヘルプページで、誤記を修正した。 - [詳細設定]-[DHCPサーバー]-[動作モードの設定ページ] - [詳細設定]-[ルーティング]-[静的ルーティングの設定] - [LANマップ]-[詳細]-[マルチプルVLAN]-[マルチプルVLANの設定ビュー] -------------------------------------------------------------------------------- ■更新履歴 Jan. 2020, Rev.15.02.14 リリース Jan. 2020, 機能追加[3] 文面修正 以上