RTX1220 Rev.15.04.05 リリースノート

Rev.15.04.04 からの変更点

■機能追加

1. YNOのLASで、機器統計情報の送信に対応した。

   http://www.rtpro.yamaha.co.jp/RT/docs/yno/agent/las/index.html

   外部仕様書をよくご確認のうえ、ご利用ください。

2. BIGLOBE IPv6オプションに対応した。

   http://www.rtpro.yamaha.co.jp/RT/docs/biglobe/index.html

   外部仕様書をよくご確認のうえ、ご利用ください。

3. IKEv2で、Configuration Payloadに対応した。
   この変更により、AndroidとiOSの端末でIKEv2を使ったリモートアクセスVPN接続が可能になる。

   http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ikev2_ras/index.html

   外部仕様書をよくご確認のうえ、ご利用ください。

4. ipsec ike durationコマンドで、古くなったSAの寿命を強制的に短縮する時間を設定できるようにした。

   ○SAの寿命の設定

   [書式]

   ipsec ike duration sa gateway_id second [kbytes] [rekey rekey] [forced-reduction=del_time] ★

   no ipsec ike duration sa gateway_id [second [kbytes] [rekey rekey] [forced-reduction=del_time]] ★

   [設定値及び初期値]

   • sa
     • [設定値] :

       設定値	説明
       ipsec-sa (もしくは child-sa)	IPsec SA (CHILD SA)
       isakmp-sa (もしくは ike-sa)	ISAKMP SA (IKE SA)

     • [初期値] : -
   • gateway_id
     • [設定値] : セキュリティー・ゲートウェイの識別子
     • [初期値] : -
   • second
     • [設定値] : 秒数(300..691200)
     • [初期値] : 28800
   • kbytes
     • [設定値] : キロ単位のバイト数

       設定値	説明
       100..2147483647	キロ単位のバイト数 (RTX1220 Rev.15.04.05以降のファームウェア)
       100..100000	キロ単位のバイト数 (その他のファームウェア)
       off	設定しない

     • [初期値] :
       • 2000000 (RTX1220 Rev.15.04.05以降のファームウェア)
       • off (その他のファームウェア)
   • rekey : SAを更新するタイミング
     • [設定値] :

       設定値	説明
       70% - 90%	パーセント
       off	更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定したときのみ設定可能)

     • [初期値] : 75%
   • del_time ★
     • [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200)
     • [初期値] : -

   [説明]

   各 SA の寿命を設定する。
   kbytes パラメーターを指定した場合には、second パラメーターで指定した時間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。
   kbytes パラメーターは SA パラメーターとして ipsec-sa (child-sa) を指定したときのみ有効である。SA の更新は kbytes パラメーターに設定したバイト数の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新されたとき古くなった既存の IPsec SA (CHILD SA) の寿命が 30 秒以上である場合は、寿命が 30 秒に短縮される。
   
   rekey パラメーターは SA を更新するタイミングを決定する。例えば、 second パラメーターで 20000 を指定し、 rekey パラメーターで75%を指定した場合には、SA を生成してから 15000 秒経過したときに新しい SA を生成する。 rekey パラメーターは second パラメーターに対する比率を表すもので、 kbytes パラメーターの値とは関係がない。
   
   sa パラメーターで isakmp-sa(ike-sa) を指定したときに限り、rekey パラメーターで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がない限り、ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。
   
   その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。
   
   

   • IKEv1
     始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。
     
     また、 ISAKMP SA に対する rekey パラメーターを off に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。
     
     
     1. IPsec SAよりも ISAKMP SA の寿命を短く設定する。
     2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定を off にする。
     
     RTX1220 または、RTX830、RTX1300、vRX が始動側になる場合は、最大で 2147483647 KB のバイト寿命値を相手側へ提案可能であるが、相手側機器が RTX1220 および、RTX830、RTX1300、vRX 以外の場合は 2 GB を超えるバイト寿命値を正しく認識できないため、RTX1220 および、RTX830、RTX1300、vRX 以外の機種と接続する場合は必ず 2 GB 以下に設定する必要がある。
   
   
   • IKEv2
     IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独立して管理するものとなっている。従って、確立された SA には、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ゲートウェイの方が SA 更新のタイミングが早ければ、 SA はその分早く更新されることになる。

   
   forced-reduction オプションに時間を指定すると、SA を更新した際に古くなった既存の SA の寿命を強制的に設定値に変更し、消滅までの時間を早めることができる。ただし、IPsec SA (CHILD SA) で kbytes パラメーターにバイト寿命値を指定している場合は、del_time パラメーターで 31 秒以上の値を設定していても、短縮される値は30 秒となる。また、IKEv1 では寿命が設定値よりも短い場合は変更しない。 ★
   
   ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合は、ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。
   
   なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られる SA にのみ、新しい寿命値が適用される。

   [ノート]

   forced-reduction オプションは以下の機種およびリビジョンで使用可能。★
   RTX1220は Rev.15.04.05 以降。

5. ipv6 routeコマンドで、ゲートウェイにRAにて決定されるデフォルトゲートウェイの指定を追加した。

   ○IPv6の経路情報の追加

   [書式]

   ipv6 route network gateway gateway [parameter] [gateway gateway [parameter]]

   no ipv6 route network [gateway...]

   [設定値及び初期値]

   • network
     • [設定値]

       設定値	説明
       IPv6 アドレス/プレフィックス長	送り先のホスト
       default	デフォルト経路

     • [初期値] : -
   • gateway : ゲートウェイ
     • [設定値] :
       • IP アドレス % スコープ識別子
       • pp PEER_NUM [dlci=DLCI] : PP インターフェースへの経路。"dlci=dlci" が指定された場合は、フレームリレーの DLCI への経路
         • PEER_NUM
         • 相手先情報番号
         • anonymous
       • pp anonymous name=NAME

         設定値	説明
         name	PAP/CHAP による名前

       • dhcp INTERFACE

         設定値	説明
         INTERFACE	DHCP にて与えられるデフォルトゲートウェイを使う場合の、DHCP クライアントとして動作する LAN インターフェース名、ブリッジインターフェース名(送り先が Defaultの時のみ有効)

       • ra INTERFACE ★

         設定値	説明
         INTERFACE	RA にて決定されるデフォルトゲートウェイを使う場合の、RAクライアントとして動作する LAN インターフェース名、ブリッジインターフェース名(送り先がDefaultの時のみ有効)

       • tunnel TUNNEL_NUM : トンネルインターフェースへの経路
       • LOOPBACK インターフェース名、NULL インターフェース名
     • [初期値] : -
   • parameter : 以下のパラメーターを空白で区切り複数設定可能
     • [設定値]

       設定値	説明
       metric METRIC	メトリックの指定 METRIC メトリック値 (1..15) 省略時は 1
       hide	出力インターフェースが LAN インターフェース、または PP インターフェース、TUNNEL インターフェースの場合のみ有効なオプションで、回線が接続されている場合だけ経路が有効になることを意味する

     • [初期値] : -

   [説明]

   IPv6 の経路情報を追加する。LAN インターフェースが複数ある機種ではスコープ識別子でインターフェースを指定する必要がある。インターフェースに対応するスコープ識別子はshow ipv6 address コマンドで表示される。
   LAN インターフェースがひとつである機種に関しては、スコープ識別子が省略されると LAN1 が指定されたものとして扱う。
   
   なお LOOPBACK インターフェース、NULL インターフェースは常にアップ状態なので、hide オプションは指定はできるものの意味はない。

   [ノート]

   RTX1220、RTX1210、RTX830、RTX810 では、PP インターフェースの dlci= オプションは指定できない。
   ra interface は RTX830 Rev.15.02.27 以降、RTX1220 Rev.15.04.05 以降、RTX1300 Rev.23.00.05 以降、および、Rev.23.01 系以降のすべてのファームウェアのファームウェアで指定可能。
   ブリッジインターフェースは RTX810 Rev.11.01.21 以降、RTX5000 / RTX3500 Rev.14.00.12 以降のファームウェア、および、Rev.14.01 系以降のすべてのファームウェアで指定可能。

6. IPヘッダーおよびIPv6ヘッダーのDSフィールドを書き換えるコマンドを追加した。

   ○IPパケットのDSフィールドの書き換えの設定

   [書式]

   ip dscp supersede id dscp filter_num [filter_num_list]

   no ip dscp supersede id [dscp]

   [設定値及び初期値]

   • id
     • [設定値] : 識別番号 (1..65535)
     • [初期値] : -
   • dscp
     • [設定値] :
       • 書き換えるDSCP値 (0..63)
       • 以下のニーモニックが利用できる
         • cs1/cs2/cs3/cs4/cs5/cs6/cs7/af11/af12/af13/af21/af22/af23/af31/af32/af33/af41/af42/af43/ef
     • [初期値] : -
   • filter_num
     • [設定値] : 静的フィルターの番号 (1..21474836)
     • [初期値] : -
   • filter_num_list
     • [設定値] : 静的フィルターの番号 (1..21474836) の並び
     • [初期値] : -

   [説明]

   IP パケットを中継する場合に DS フィールドを指定した値に書き換える。
   識別番号順にリストをチェックし、filter_num リストのフィルターを順次適用していく。そして、最初にマッチした IP フィルターが pass、pass-log、pass-nolog、restrict、restrict-log、restrict-nolog のいずれかであれば DS フィールドが書き換えられる。
   reject、reject-log または reject-nolog である場合は書き換えずに処理を終わる。
   ip tos supersede コマンドの設定と本コマンドの設定で条件が同じ場合、本コマンドの設定が優先される。

   [ノート]

   RTX1220 は Rev.15.04.05以降で使用可能。

7. bgp export filterコマンドのpreferenceオプションが比較するBGP経路の種別を変更するコマンドを追加した。

   ○BGPで受信した経路に対するbgp export filterのpreferenceオプションを使用した経路選択プロセスの動作を設定 ★

   [書式]

   bgp export route selection rule rule

   no bgp export route selection rule [rule]

   [設定値及び初期値]

   • rule
     • [設定値] : ebgp-only, all

       設定値	説明
       ebgp-only	eBGPで受信した同じ宛先の経路を比較対象とする。
       all	全てのBGPで受信した同じ宛先の経路を比較対象とする。

     • [初期値] : ebgp-only

   [説明]

   BGP で同じ宛先の経路を複数の相手から受信した際、一方を選択するための優先度による比較対象を設定する。
   本コマンドの設定により bgp export filter コマンドの preference オプションで比較する経路の種別が変更される。
   
   rule に ebgp-only を設定した場合、eBGP で受信した経路にのみ preference による比較が働く。このため、iBGP で受信した経路では、preference による比較は働かない。
   rule に all を設定した場合、全ての BGP で受信した経路に preference による比較が働く。このため、eBGP と iBGP で受信した経路間でも、preference による比較が働く。
   
   従来 iBGP で受信した経路は eBGP で受信した経路よりも低い優先度の経路として扱われていたが、rule に all を指定することで iBGP で受信した経路の優先度を eBGP で受信した経路よりも高くすることが可能になる。
   また、bgp export filter コマンドの preference は Local Preference よりも高い優先度であるため、iBGP 経路同士の場合にもより柔軟にネットワークを設計することが可能になる。
   
   本コマンドに対応していないリビジョンでは、rule が ebgp-only のときの動作をする。

   [ノート]

   RTpro"BGP-4 仕様[http://www.rtpro.yamaha.co.jp/RT/docs/bgp/index.html]"に掲載している "コマンドで設定した優先度による比較" で比較する経路種別を制御することができる。
   eBGP と iBGP 間で同じ宛先の経路を受信する環境下で特定の経路を優先するよう制御したい場合、本コマンドを設定することで実現できる。
   RTX1220 は、Rev.15.04.05 以降で使用可能。

8. L2MSで、以下の機種に対応した。

   • SWX2220-18NT
   • SWX2220-26NT
   • SWX2220P-18NT
   • SWX2220P-26NT
   • WLX322
   • WLX323

■仕様変更

1. Luaスクリプト機能で、rt.httprequest関数のHTTPリクエスト設定テーブルのurlフィールドの最大文字数を半角255文字から半角2048文字に変更した。

2. RAプロキシーで、RAによるプレフィックスのpreferred lifetimeが残り60秒になったとき、RSを送出するようにした。

3. 以下のとき、USB、SDインターフェースの給電停止時間を10秒に変更した。

   • interface resetコマンドを実行したとき（変更前3秒）
   • モバイル端末との接続に問題が発生したときのモバイル端末再アタッチ処理をしたとき（変更前1秒）

4. ipsec ike durationコマンドのKBYTESパラメーターを以下のように変更した。

   • 最大値を100000から2147483647に変更
   • 初期値なしから2000000に変更

   この修正により、初期値で2GBのバイト寿命を持つため、IPsec SA (CHILD SA) が古くなった時、forced-reductionオプションの設定がない場合でも、自動的に秒寿命が30秒に短縮される。
   
   またバイト寿命の最大値が2,147,483,647KBの機種が始動側になる場合は、相手側機器がバイト寿命の最大値が2,147,483,647KBの機種ではないとき、バイト寿命を必ず2GB以下に設定する必要がある。

   ○SAの寿命の設定

   [書式]

   ipsec ike duration sa gateway_id second [kbytes] [rekey rekey] [forced-reduction=del_time]

   no ipsec ike duration sa gateway_id [second [kbytes] [rekey rekey] [forced-reduction=del_time]]

   [設定値及び初期値]

   • sa
     • [設定値] :

       設定値	説明
       ipsec-sa (もしくは child-sa)	IPsec SA (CHILD SA)
       isakmp-sa (もしくは ike-sa)	ISAKMP SA (IKE SA)

     • [初期値] : -
   • gateway_id
     • [設定値] : セキュリティー・ゲートウェイの識別子
     • [初期値] : -
   • second
     • [設定値] : 秒数(300..691200)
     • [初期値] : 28800
   • kbytes
     • [設定値] : キロ単位のバイト数

       設定値	説明
       100..2147483647	キロ単位のバイト数 (RTX1220 Rev.15.04.05以降のファームウェア) ★
       100..100000	キロ単位のバイト数 (その他のファームウェア) ★
       off	設定しない ★

     • [初期値] :
       • 2000000 (RTX1220 Rev.15.04.05以降のファームウェア) ★
       • off (その他のファームウェア) ★
   • rekey : SAを更新するタイミング
     • [設定値] :

       設定値	説明
       70% - 90%	パーセント
       off	更新しない(SAパラメーターでisakmp-sa (ike-sa) を指定したときのみ設定可能)

     • [初期値] : 75%
   • del_time
     • [設定値] : 古くなったSAの寿命を強制的に短縮する時間(1..691200)
     • [初期値] : -

   [説明]

   各 SA の寿命を設定する。
   kbytes パラメーターを指定した場合には、 second パラメーターで指定した時間が経過するか、指定したバイト数のデータを処理した後に SA は消滅する。
   kbytes パラメーターは SA パラメーターとして ipsec-sa (child-sa) を指定したときのみ有効である。SA の更新は kbytes パラメーターに設定したバイト数の75%を処理したタイミングで行われる。また、IPsec SA (CHILD SA) が更新されたとき古くなった既存の IPsec SA (CHILD SA) の寿命が 30 秒以上である場合は、寿命が 30 秒に短縮される。★
   
   rekey パラメーターは SA を更新するタイミングを決定する。例えば、 second パラメーターで 20000 を指定し、 rekey パラメーターで75%を指定した場合には、SA を生成してから 15000 秒経過したときに新しい SA を生成する。 rekey パラメーターは second パラメーターに対する比率を表すもので、 kbytes パラメーターの値とは関係がない。
   
   sa パラメーターで isakmp-sa(ike-sa) を指定したときに限り、rekey パラメーターで 'off' を設定できる。このとき、 IPsec SA (CHILD SA) を作る必要がない限り、ISAKMP SA (IKE SA) の更新を保留するので、 ISAKMP SA (IKE SA) の生成を最小限に抑えることができる。
   
   その他、動作するIKEのバージョンによって異なる、本コマンドの影響、注意点については以下の通り。
   
   

   • IKEv1
     始動側として働く場合に、このコマンドで設定した寿命値が提案される。応答側として働く場合は、このコマンドの設定に関係なく相手側から提案された寿命値に合わせる。
     
     また、 ISAKMP SA に対する rekey パラメーターを off に設定した場合、その効果を得るためには、次の2点に注意して設定する必要がある。
     
     
     1. IPsec SAよりも ISAKMP SA の寿命を短く設定する。
     2. ダングリングSAを許可する。すなわち、ipsec ike restrict-dangling-sa コマンドの設定を off にする。
     
     RTX1220 または、RTX830、RTX1300、vRX が始動側になる場合は、最大で 2147483647 KB のバイト寿命値を相手側へ提案可能であるが、相手側機器が RTX1220 および、 RTX830、RTX1300、vRX 以外の場合は 2 GB を超えるバイト寿命値を正しく認識できないため、RTX1220 および、RTX830、RTX1300、vRX 以外の機種と接続する場合は必ず 2 GB 以下に設定する必要がある。 ★
   
   
   • IKEv2
     IKEv2 では SA 寿命値は折衝されず、各セキュリティー・ゲートウェイが独立して管理するものとなっている。従って、確立された SA には、常にこのコマンドで設定した寿命値がセットされる。ただし、相手側セキュリティー・ゲートウェイの方が SA 更新のタイミングが早ければ、 SA はその分早く更新されることになる。

   
   forced-reduction オプションに時間を指定すると、SA を更新した際に古くなった既存の SA の寿命を強制的に設定値に変更し、消滅までの時間を早めることができる。ただし、IPsec SA (CHILD SA) で kbytes パラメーターにバイト寿命値を指定している場合は、del_time パラメーターで 31 秒以上の値を設定していても、短縮される値は30 秒となる。また、IKEv1 では寿命が設定値よりも短い場合は変更しない。
   
   ISAKMP SA (IKE SA) の寿命が IPsec SA (CHILD SA) の寿命より先に尽きた場合は、ISAKMP SA (IKE SA) の寿命値を IPsec SA (CHILD SA) の寿命値に合わせる。
   
   なお、このコマンドを設定しても、すでに存在するSAの寿命値は変化せず、新しく作られる SA にのみ、新しい寿命値が適用される。

   [ノート]

   forced-reduction オプションは以下の機種およびリビジョンで使用可能。
   RTX1220は Rev.15.04.05 以降。

5. ipsec ike local idコマンド、およびipsec ike remote idコマンドを設定したとき、SAの削除およびIKEの初期化を行うようにした。

6. Web GUIのかんたん設定の[プロバイダー接続]および詳細設定の[プロバイダー接続]で接続種別にIPv6 IPoE接続を選択したとき、以下のIPv4 over IPv6トンネルを設定 できるようにした。

   • BIGLOBE
   • transix
   • v6 コネクト
   • クロスパス (Xpass)

7. Web GUIの以下のプロバイダー接続の設定時に、設定されるLuaスクリプトのインデントを削除した。スクリプトの動作に変更はない。

   • かんたん設定の[プロバイダー接続]
   • 詳細設定の[プロバイダー接続]
     • OCNバーチャルコネクト 固定IP1契約
     • 「v6プラス」固定IPサービス

8. Web GUIのかんたん設定、および詳細設定の[プロバイダー接続]で、v6プラスとOCNバーチャルコネクトの表記を一部変更した。

9. Web GUIの詳細設定の[プロバイダー接続]のヘルプで、「1.概要」の「IPv6 IPoE接続」に説明を追記した。

10. Web GUIの以下のページで、IPv6 IPoE接続の設定の注意事項を記載した。

    • かんたん設定の[プロバイダー接続]-[プロバイダー情報の設定]
    • 詳細設定の[プロバイダー接続]-[基本設定]

11. Web GUIの以下の画面で、デザインやレイアウト等を修正し、視認性や操作性を改善した。

    • LANマップ

12. Web GUIのヘルプにWLX222に関する記述を追加した。

13. Web GUIの[管理]-[保守]-[コマンドの実行]のヘルプページの実行できないコマンド一覧に、以下のコマンドを追記した。

    • administrator password
    • administrator password encrypted
    • copy
    • copy exec
    • delete
    • delete exec
    • execute batch
    • lessで始まるコマンド
    • login password
    • login password encrypted
    • make directory
    • rename
    • rtfs format
    • rtfs garbage-collect
    • scp
    • ssh
    • sshd host key generate
    • '|' でgrepを連結したコマンド
    • '|' でlessを連結したコマンド

■バグ修正

1. 以下のデータ通信端末で、接続できなくなることがあるバグを修正した。

   • UX302NC Ver.1.0.8以降
   • UX302NC-R

2. OSPFとBGPで、自分側アドレスが設定されており相手側アドレスが設定されていないトンネルインターフェースをゲートウェイとする経路を広告できないバグを修正した。

3. モバイルインターネット接続機能で、SIMカードが正しく認識されていない場合でも、syslogに"found SIM card"と出力するバグを修正した。

   Rev.15.04.04で発生する。

4. Web GUIの以下のプロバイダー接続で各設定項目に長い文字列を設定したとき、インターネットに接続できないことがあるバグを修正した。

   • OCNバーチャルコネクト 固定IP1契約
   • 「v6プラス」固定IPサービス

5. Web GUIの以下のページで、「IPv6 IPoE接続」の「IPv4 over IPv6 トンネルの設定」に「OCN バーチャルコネクトサービス」を選択したとき、ipv6 source address selection ruleコマンドが設定されないバグを修正した。

   • かんたん設定の[プロバイダー接続]
   • 詳細設定の[プロバイダー接続]

6. Web GUIのLANマップの接続機器ビューと[一覧マップ]で、SWX2220-10NT/SWX2221P-10NTのポート10配下に端末もしくはL2MSエージェントが接続されているとき、ポート10のVLAN設定を表示するべき箇所にポート9のVLAN設定が表示されるバグを修正した。

7. Web GUIの以下のページで、LAN分割時にIPv4 over IPv6 トンネルの設定ができてしまうバグを修正した。

   • かんたん設定の[プロバイダー接続]
   • 詳細設定の[プロバイダー接続]

8. Web GUIの以下の画面で、デザインやレイアウト等を修正し、視認性や操作性を改善した。

   • 管理の[本体の設定]-[DOWNLOADボタンの設定]-[ソフトウェアライセンス利用規約]
   • 管理の[保守]-[ファームウェアの更新]-[ネットワーク経由でファームウェアを更新]-[ファームウェア更新の実行]

9. Web GUIのLANマップの以下のページの入力欄で、全角文字が使用できないバグを修正した。

   • [機器一覧]-[端末一覧]
   • [機器一覧]-[端末情報DB]

   Rev.15.04.04で発生する。

10. コマンドヘルプで、表示する文字列が不当に改行されることがあるバグを修正した。

■更新履歴

Oct. 2023, Rev.15.04.05 リリース
Apr. 2024, 機能追加[8] 追加

以上