BR410/BR410VPN ソフトウェア・リリースノート
Version 2.6.8-04/2006年 6月 29日/NTT 東日本・NTT 西日本
次のような機能追加、改善が行われました。
機能追加(仕様変更)
<運用管理>- ファイル名(ベース名)の最大長を8文字から16文字に拡張しました。
- コマンドプロンプトから1行で入力できる最大文字数を121文字から1000文字に拡張しました。 <PPP>
- PPPoEインターフェース上におけるMSSクランプ(インターフェースのMTUに応じて、TCPヘッダー内の Maximum Segment Sizeオプションの値を書き換える機能)の動作設定が可能になりました。設定はCREATE/SET PPPコマンドに追加されたMSSHEADERパラメーターで行います。
- PPPoEインターフェースのリンクダウン時に自動的に再接続を試みるPPPoEセッションキープアライブ機能が追加されました。本バージョン(2.6.8-04)より、「IDLE=OFF」(デフォルト)に設定されたPPPoEインターフェースでは本機能が自動的に働きます(特別な設定は不要)。本機能の追加により、自動再接続のためのインターフェーストリガーを設定する必要はなくなりましたが、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。
- PPPの設定において、LCP Configure-RequestパケットにMRUオプションを含めるかどうかを指定できるようになりました(MRU値の指定も可能)。 <ファイアウォール>
- ICMPパケットの転送制御に関する仕様を変更しました。これまで、ADD FIREWALL POLICY RULEコマンドのACTIONパラメーターに「NAT | NONAT」を指定した場合は、ENABLE FIREWALL POLICY コマンドのICMP_FORWARDINGパラメーターの設定に関係なくICMPパケットを転送していましたが、「NAT | NONAT」時にもICMP_FORWARDINGパラメーターでICMPパケットの転送する・しないを制御できるよう仕様変更しました。
-
UDPセッションの保持時間を次のとおり変更しました。
- 変更前
- 変更後
同一方向のパケットの数が5個に達するまで すべてのセッション:5分固定 同一方向のパケットの数が5個に達したのち、方向に関係なくさらに1パケット転送された場合(それ以降) すべてのセッション:UDPTIMEOUT分
(有効範囲は0~43200分。デフォルトは20分)同一方向のパケットの数が5個に達するまで 5060番ポートを使うセッション:UDPTIMEOUT分(有効範囲は0~43200分。デフォルトは20分)
その他のセッション:5分固定同一方向のパケットの数が5個に達したのち、方向に関係なくさらに1パケット転送された場合(それ以降) すべてのセッション:UDPTIMEOUT分
(有効範囲は0~43200分。デフォルトは20分) - ファイアウォールのPUBLICインターフェースでは、SSHポート(22/tcp)がデフォルトでオープンしていましたが、これをデフォルトでクローズするよう仕様変更しました。
- Universal Plug and Play (UPnP) Architecture Version 1.0のInternet Gateway Device (IGD) Version 1.0をサポートしました。
IGD Version 1.0の実装にともない、本バージョン(2.6.8-04)よりUPnP関連のコマンドが変更されています。本バージョン以前のファームウェアでUPnP関連機能をご使用の場合は、本バージョンへバージョンアップ後、変更後のコマンドで再度設定をおこなう必要があります。詳細はコマンドリファレンスの「ファイアウォール」→「UPnP」をご覧ください。
<VRRP>
- 本製品がマスターのときにリンクダウンが発生した場合、VRRPの状態をMASTERからINITIALに戻すことで、再リンクアップ時にARPパケットが送信されるよう仕様変更しました。 <GRE>
- GREの設定において、対向ルーター(トンネルの終点)ごとに簡易的な「トンネル鍵」を設定できるようになりました。
これにともない、本バージョン(2.6.8-04)よりGRE関連のコマンドが変更されています。バージョン 2.3.4 PL 5以前のファームウェアでGRE関連機能をご使用の場合は、本バージョンへバージョンアップ後、変更後のコマンドで再度設定をおこなう必要があります。詳細はコマンドリファレンスの「GRE」をご覧ください。
<L2TP>
- L2TPサーバーのパスワードを複数設定できるよう仕様変更しました。パスワードの追加、削除は、新しく追加されたADD/DELETE L2TP PASSWORDコマンドで行います。
以前からあるSET L2TP PASSWORDコマンドも使用可能ですが、設定を保存するときにADD L2TP PASSWORDに変換されて保存されます。
<IPsec・ISAKMP>
- ISAKMPの同時鍵交換セッション数を100に拡張しました。
- リモートアクセス型のIPsec VPNにおいて「NAT越え」を実現するIPsec NAT-Traversal(NAT-T)に対応しました。
機能改善
<PPP>- ログをSyslogサーバーに転送するよう設定している場合、Syslogサーバーへの経路が消失するとPPPの接続が行えなくなることがあるという事象を改善しました。
- ピアからのPPP Auth Requestに対して送信したPAP Auth ACKパケットがロストした場合に、再送されたPPP Auth Requestに対してはPAP Auth ACKを再送しないことがあるという事象を改善しました。
- CHAP Successパケットがロストした場合に、CHAP Success/Responseパケットを再送しないことがあるという事象を改善しました。 <ブリッジング>
- RESET BRIDGEコマンドを実行してもブリッジのフォワーディングデータベースがクリアされないという事象を改善しました。
- eth0からvlan1にパケットが正しく転送されないことがあるという事象を改善しました。
- フラグメント化されたIPパケットが正しく転送されないという事象を改善しました。
- SET BRIDGE PORTコマンドを実行した後、設定を保存して再起動するとエラーが発生するという事象を改善しました。
- スパニングツリープロトコルを有効にしている場合、ブリッジポートのリンクアップ時にListening → Learning → Forwardingの状態遷移を経ず、ただちにForwarding状態に移行するという事象を改善しました。 <IP全般>
- オプション付きIPパケットのフラグメント化処理時にリブートすることがありましたが、これを修正しました。
- ICMP Echo Requestパケット転送時に1番目と2番目のパケットの順序が入れ替わることがあるという事象を改善しました。
- 同一コストの経路が複数存在する場合、そのうちの1つが削除されるとルーティングが正しく行われなくなることがあるという事象を改善しました。
- VRRP 有効時、VLANインターフェースがダウンしていても、SHOW IP INTERFACEコマンドでリンクダウンを示す「#」が表示されないという事象を改善しました。 <RIP>
- RIPバージョン2使用時、RIP ResponseパケットのNexthopフィールドに正しいIPアドレスをセットしないことがあるという事象を改善しました。
- RIPバージョン2使用時、受信したRIP ResponseパケットのNexthopフィールドで指定されたアドレスが、受信インターフェースと同一サブネットにある場合で、なおかつ、RIP Responseパケットの始点IPアドレスとは異なっている場合、3つ目以降の経路エントリーがルーティングテーブルに反映されないという事象を改善しました。
- RIPバージョン2の認証(AUTHENTICATION)の設定をした後、設定を保存して再起動するとエラーが発生するという事象を改善しました。 <OSPF>
- ASBRから受信したAS外部経路をルーティングテーブルに反映しないことがあるという事象を改善しました。
- L2TPトンネル上のPPPインターフェースでOSPFを使用する場合、該当PPPインターフェースをUnnumberedに設定すると、同インターフェースがリンクアップせず、結果としてOSPFの隣接関係が確立できないという事象を改善しました。
- 本製品がDRとして動作しているネットワークのリンクがダウンしても、ネットワークLSAの更新通知を送信しないという事象を改善しました。 <IPフィルター>
- IPフィルターの設定でDPORT=65535を指定すると、DPORT=ANYの設定になるという事象を改善しました。 <DNSリレー>
- Error/Answerを含まず、かつ、Authority/Additionalを含むDNS responseを受信するとメモリーリークが発生するという事象を改善しました。 <IPv6>
- ENABLE IPV6 ADVERTISEコマンドを実行して設定を保存すると、再起動時にエラーが発生するという事象を改善しました。
- MIPv6 Binding Updateパケットを破棄するという事象を改善しました。 <ファイアウォール>
- ファイアウォール有効時、MMS(Microsoft Media Server)パケットを受信するとリブートすることがあるという事象を改善しました。
- RTSPパケット受信時、パケットロスによりパケットの順序が入れ替わるとリブートすることがあるという事象を改善しました。
- フラグメントパケットを受信したときにリブートすることがありましたが、これを修正しました。
- ファイアウォールを介して、Windows Media Playerによるストリーミングデータを再生できないという事象を改善しました。
- identプロキシーを無効にしたとき、identパケットに対して返すTCP/RSTパケットのACK番号が正しくないという事象を改善しました。 <VRRP>
- 本製品がマスターのときにRESET IPコマンドを実行すると、その後パケットを転送しなくなるという事象を改善しました。 <DHCPサーバー>
- CREATE DHCP RANGEコマンドのIPパラメーターに不正なIPアドレスを割り当てたのち、DELETE DHCP RANGEコマンドで同アドレスを削除しようとすると、リブートすることがあるという事象を改善しました。
- 不正なServer Idを持つDHCP requestを受信すると、リース中のアドレスの状態をunusedに書き換えてしまい、結果的に他のクライアントにリースしてしまうという事象を改善しました。
- DHCPサーバー機能をいったん無効にすると、その後再び有効にしても、DHCPレンジ内のIPアドレスの状態がreclaimのままになってしまうことがあるという事象を改善しました。
- DHCPレンジ内の先頭アドレスを特定のMACアドレスに固定で割り当てるよう設定した状態でルーターを再起動すると、該当アドレスの状態が「reclaim」(回収中)のままとなり、同アドレスをリースできなくなるという事象を改善しました。 <IPsec・ISAKMP>
- ISAKMP脆弱性(JPCERT/CC REPORT 2005-11-24)への対策を行いました。
- ISAKMP有効時、暗号化(ENCO)モジュールの処理によってリブートすることがあるという事象を改善しました。
- AggressiveモードでSENDDELETES=TRUEを指定した場合、Re-KEYを繰り返すとIPsecの通信が切断されることがあるという事象を改善しました。
- IPsec用インターフェースのIPアドレスが動的に決定される場合、AggressiveモードでPRENEGOTIATE=TRUEを指定すると、ISAKMPパケットのUDP Checksumに正しい値をセットしないことがあるという事象を改善しました。
- リプレイ防止機能が有効のとき、受信したESPパケットのシーケンス番号が、過去に受信したものより古かった場合、リブートするという事象を改善しました。
- PPPoE + IPsecの環境で双方向のデータ通信を行っているとバッファーが枯渇し、リブートすることがあるという事象を改善しました。
- ISAKMPパケット受信時、ヘッダー内のMinor Versionフィールドが不正な場合に、"Invalid Major Version"のログメッセージが表示されることがあるという事象を改善しました。
- Mainモードでイニシエーターとして動作するARルーターがKEパケットを再送しないことがあるという事象を改善しました。
- ENABLE ISAKMP DEBUGを実行後、DISABLE ISAKMP DEBUGを実行しても、ポリシーにマッチしないEncapsulation Modeのペイロードを受信するとデバッグメッセージを表示することがあるという事象を改善しました。
- ISAKMPメッセージの交換が正常に完了していても"Exchange failed"のエラーメッセージを表示することがあるという事象を改善しました。
- ISAKMP SAにおいてRe-KEYを繰り返すと、バッファーのメモリーリークが発生することがあるという事象を改善しました。
- ISAKMPネゴシエーション時にパケットロスが発生すると、ネゴシエーションが正常に完了しないことがあるという事象を改善しました。
- 複数のISAKMP SAが存在する場合に、IPSec SAが更新されないことがあるという事象を改善しました。 <その他>
- ファイルアクセスが頻繁に行われていると、ファイルシステムの内部状態に不整合が発生し、ファイルが消去されてしまうことがあるという事象を改善しました。
- NTP使用時、Stratumフィールドの値が0(unspecified)以外のNTPパケットを破棄するという事象を改善しました。
- 本製品にTelnetログインしているとき、Telnetクライアント側で「Ctrl」+「D」を入力するたびにメモリーが消費されるという事象を改善しました。
- SSHサーバー有効時、SSHクライアントから185文字以上のユーザー名を受け取るとリブートするという事象を改善しました。
- SSHサーバー有効時、大量のTCP Synパケットを受信するとSSHサーバー機能が停止するという事象を改善しました。
- ログをメール送信するよう設定している場合、MAXQUEUESEVERITY以上のログレベルを持つメッセージが生成されても、ただちにメールを送信しないという事象を改善しました。
- ログに「SWK INTER BDATT Packet discarded owing to hardware read failure」というメッセージが記録され、このときLAN側スイッチポートでパケットが破棄されることがあるという事象を改善しました。