CentreCOM AR450S ソフトウェア・リリースノート
Version 2.7.3-08
2005年 12月 27日
アライドテレシス株式会社
目次 |
Ver.2.7.3-08 |
次のような機能追加(仕様変更)、機能改善が行われました。
新しい機能や仕様変更の詳細については、「CentreCOM AR450S コマンドリファレンス 2.7 Rev.H」をご参照ください。
IP
PINGコマンド、TRACEコマンドにおいて、DNSに登録されているホスト名(ドメイン名)を指定できるようになりました。
IPsec・ISAKMP
CREATE/SET ISAKMP POLICYコマンドにDELETEDELAYパラメーターが追加され、完了したメッセージ交換モード(Main、Aggresive、Quickなど)の情報保持時間を調整できるようになりました。
IP
オプション付きIPパケットのフラグメント化処理時にリブートすることがあるという事象を改善しました。
IPフィルター
IPフィルター関連のログメッセージが不適切であるという事象を改善しました。
IPsec・ISAKMP
Main、Aggressive、Quickなどのメッセージ交換モードにおいて、最終パケット送信後にそれ以前のパケットの再送を受けるとリブートすることがあるという事象を改善しました。
ISAKMP脆弱性(JPCERT/CC REPORT 2005-11-24)への対策を行いました。
SHOW ETH COUNTERS コマンドで表示される FrameTooLongs カウンターがカウントアップしません。
以下の機能は未サポートです。
GRE
Ver.2.7.3-05 |
次のような機能追加(仕様変更)、機能改善が行われました。
新しい機能や仕様変更の詳細については、「CentreCOM AR450S コマンドリファレンス 2.7 Rev.G」をご参照ください。
PPP
PPPoE インターフェースのリンクダウン時に自動的に再接続を試みる PPPoE セッションキープアライブ機能が追加されました。
本バージョン(2.7.3-05)より、「IDLE=OFF」(デフォルト)に設定された PPPoE インターフェースでは本機能が自動的に働きます(特別な設定は不要)。
本機能の追加により、自動再接続のためのインターフェーストリガーを設定する必要はなくなりましたが、トリガーの設定があっても問題はありません。以前の設定もそのまま使用できます。
ファイアウォール
SMTPプロキシー機能の仕様を拡張し、「DIRECTION=OUT」を指定できるようにしました。
「DIRECTION=OUT」に設定した場合、本製品はLAN側からのSMTP要求を受け付け、適切な外部SMTPサーバーに転送します。これにより、内部から外部へのメール転送時、不正行為(spamメール、不正中継など)を防止することができます。なお、本機能はオプションであるため、ご使用にはフィーチャー(追加機能)ライセンスのご購入が必要です。
ICMP パケットの転送制御に関する仕様を変更しました。
これまで、ADD FIREWALL POLICY RULE コマンドの ACTION パラメーターに「NAT | NONAT」を指定した場合は、ENABLE FIREWALL POLICY コマンドの ICMP_FORWARDING パラメーターの設定に関係なく ICMP パケットを転送していましたが、「NAT | NONAT」時にも ICMP_FORWARDING パラメーターで ICMP パケットの転送する・しないを制御できるよう仕様変更しました。
UDP セッションの保持時間を次のとおり変更しました。
変更前
同一方向のパケットの数が 5 個に達するまで | すべてのセッション:5 分固定 |
同一方向のパケットの数が 5 個に達したのち、 方向に関係なくさらに 1 パケット転送された場合 (それ以降) | すべてのセッション:UDPTIMEOUT 分(有効範囲は 0〜43200分。デフォルトは 20 分) |
変更後
同一方向のパケットの数が 5 個に達するまで | 5060番ポートを使うセッション:UDPTIMEOUT 分(有効範囲は 0〜43200分。デフォルトは 20 分) その他のセッション:5 分固定 |
同一方向のパケットの数が 5 個に達したのち、 方向に関係なくさらに 1 パケット転送された場合 (それ以降) | すべてのセッション:UDPTIMEOUT 分(有効範囲は 0〜43200分。デフォルトは 20 分) |
IPsec・ISAKMP
ISAKMP の同時鍵交換セッション数を 100 に拡張しました。
リモートアクセス型の IPsec VPN において「NAT 越え」を実現する IPsec NAT-Traversal(NAT-T)に対応しました。
VRRP
本製品がマスターのときにリンクダウンが発生した場合、VRRP の状態を MASTER から INITIAL に戻すことで、再リンクアップ時に ARP パケットが送信されるよう仕様変更しました。
PPP
PPPoEマルチセッション使用時、セッション間でSession IDが重複するとリブートするという事象を改善しました。
ブリッジング
RESET BRIDGEコマンドを実行してもブリッジのフォワーディングデータベースがクリアされないという事象を改善しました。
SET BRIDGE PORT コマンドを実行した後、設定を保存して再起動するとエラーが発生するという事象を改善しました。
ブリッジ関連コマンドの実行時にリブートすることがあるという事象を改善しました。
ブリッジングとIPルーティングを併用する場合、設定順序によってはブリッジング機能が動作しないことがあるという事象を改善しました。
DNSリレー
Error/Answerを含まず、かつ、Authority/Additionalを含むDNS responseを受信するとメモリーリークが発生するという事象を改善しました。
ファイアウォール
ファイアウォール有効時、MMS(Microsoft Media Server)パケットを受信するとリブートすることがあるという事象を改善しました。
RTSPパケット受信時、パケットロスによりパケットの順序が入れ替わるとリブートすることがあるという事象を改善しました。
VRRP
本製品がマスターのときにRESET IPコマンドを実行すると、その後パケットを転送しなくなるという事象を改善しました。
DHCPサーバー
CREATE DHCP RANGEコマンドのIPパラメーターに不正なIPアドレスを割り当てたのち、DELETE DHCP RANGEコマンドで同アドレスを削除しようとすると、リブートすることがあるという事象を改善しました。
DHCPサーバー機能の使用中に本製品を再起動すると、DHCPレンジ内のIPアドレスの状態が reclaim のままになってしまうことがあるという事象を改善しました。
DHCPサーバー機能をいったん無効にすると、その後再び有効にしても、DHCPレンジ内のIPアドレスの状態が reclaim のままになってしまうことがあるという事象を改善しました。
不正なServer Idを持つDHCP requestを受信すると、リース中のアドレスの状態を unused に書き換えてしまい、結果的に他のクライアントにリースしてしまうという事象を改善しました。
L2TP
PPPoE上でL2TPを使用しているとき、LCPパケットの扱いによりリブートすることがあるという事象を改善しました。
IPsec・ISAKMP
ISAKMP有効時、暗号化(ENCO)モジュールの処理によってリブートすることがあるという事象を改善しました。
UDPトンネリング(ESP over UDP)を有効にするとIPsec通信が行えないという事象を改善しました。
その他
SHOW CONFIG DYNAMICを実行したとき、「disable flash autowrite」という不要なコマンド行が表示されるという事象を改善しました。
ファイルアクセスが頻繁に行われていると、ファイルシステムの内部状態に不整合が発生し、ファイルが消去されてしまうことがあるという事象を改善しました。
MAILコマンド実行時、メールエクスチェンジャー(MX)のIPアドレスを取得できず、メールを送信できないことがあるという事象を改善しました。
ログをメール送信するよう設定している場合、MAXQUEUESEVERITY以上のログレベルを持つメッセージが生成されても、ただちにメールを送信しないという事象を改善しました。
メモリートリガーが正しく動作しないという事象を改善しました。
NTP使用時、Stratumフィールドの値が0(unspecified)以外のNTPパケットを破棄するという事象を改善しました。
本製品にTelnetログインしているとき、Telnetクライアント側で「Ctrl」+「D」を入力するたびにメモリーが消費されるという事象を改善しました。
TELNETコマンド(Telnetクライアント)使用時、Telnetデータに不正な改行コードを付加するという事象を改善しました。
SSHサーバー有効時、SSHクライアントから185文字以上のユーザー名を受け取るとリブートするという事象を改善しました。
SSHサーバー有効時、大量のTCP Synパケットを受信するとSSHサーバー機能が停止するという事象を改善しました。
SHOW ETH COUNTERS コマンドで表示される FrameTooLongs カウンターがカウントアップしません。
以下の機能は未サポートです。
GRE
Ver.2.6.4 PL 0 |
次のような機能拡張(仕様変更)、機能改善が行われました。
UPnP Ver.1.0のIGD Ver.1.0(Internet Gateway Device)をサポートしました。 IGD Ver.1.0の実装により、本バージョン(2.6.4 pl0)よりUPnP関連のコマンドが変更されています。バージョン2.5.2以前のファームウェアでUPnP関連機能をご使用の場合は、本バージョンへバージョンアップ後、変更後のコマンドで再度設定をおこなう必要があります。機能の概要と設定については「CentreCOM AR450S コマンドリファレンス 2.6 Rev.F」の「ファイアウォール」-「UPnP」の項を参照してください。
アプリケーション層で通信の制御をおこなうことができるアプリケーションゲートウェイ(HTTPプロキシー、SMTPプロキシー)をサポートしました。
なお、本機能はオプションであるため、ご使用にはフィーチャー(追加機能)ライセンスのご購入が必要です。機能の概要と設定については「CentreCOM AR450S コマンドリファレンス 2.6 Rev.F」の「ファイアウォール」-「アプリケーションゲートウェイ」を参照してください。
PPPに関して、CREATE PPPまたはSET PPPコマンドで、LCP Configure-RequestパケットにMRUオプションを含めるかどうかを指定できるように仕様を拡張しました。また、MRUのサイズを変更できるようになりました。 詳細については「CentreCOM AR450S コマンドリファレンス 2.6 Rev.F」の「PPP」の章で各コマンドの説明を参照してください。
ブリッジングに関して、vlanインターフェースとethインターフェース間のブリッジングができるように仕様を拡張しました。
ファイアウォールのpublicインターフェースについて、SSHで使用するポート(Port=22/TCP)のデフォルト設定をクローズに変更しました。
ファイアウォールNATに関して、NATに設定したIPアドレス宛てのARP requestに対してARP replyを送出するように仕様を拡張しました。
これにより、ARP replyを送出する際のARPの代理応答やマルチホーミングの設定が必要がなくなりました。
L2TPに関して、L2TPサーバーパスワードを設定する際、以下のコマンドを追加して複数のパスワードを設定/削除できるように仕様を拡張しました。SET L2TP PASSWORDコマンドも使用可能ですが、パスワードの追加/削除は新コマンドを使用してください。詳細については「CentreCOM AR450S コマンドリファレンス 2.6 Rev.F」の「L2TP」の章で各コマンドの説明を参照してください。
ADD L2TP PASSWORD |
DELETE L2TP PASSWORD |
PPP
ピアからのPPP Auth Requestに対して送信したPAP Auth ACKパケットがロストした場合に、再送されたPPP Auth Requestに対してはPAP Auth ACKを再送しないことがあるという事象を改善しました。
CHAP Successパケットがロストした場合に、CHAP Success/Responseパケットを再送しないことがあるという事象を改善しました。
IP
IPフィルター機能のエントリー数を増やした場合に、スループットが低下することがあるという事象を改善しました。
ethインターフェースがup/downした際に、ARPテーブルが更新されないことがあるという事象を改善しました。
ENABLE IP NAT FRAGMENTコマンドでUDPのフラグメントパケットの透過を指定しても、LAN側からWAN側への通信において、1781byteを超えるパケットが破棄されることがあるという事象を改善しました。
DNSリレー
DNSリレーを設定している場合に、DNSクエリーパケットを受信し続けるとメモリーリークが発生するという事象を改善しました。
ISAKMP
Responderとして動作した場合、Phase-2のネゴシエーションで受信したISAKMPパケットに応答しないことがあるという事象を改善しました。
ISAKMPネゴシエーション時にパケットロスが発生すると、ネゴシエーションが正常に完了しないことがあるという事象を改善しました。
その他
DESTROY LOG OUTPUT=TEMPORARYコマンドを実行した後、SHOW LOGコマンドを2回実行すると、正しく通信ができなくなることがあるという事象を改善しました。
Security Officerレベルでログインして、SHOW DEBUGコマンドを実行すると、正しく通信ができなくなることがあるという事象を改善しました。
SHOW ETH COUNTERS コマンドで表示される FrameTooLongs カウンターがカウントアップしません。
以下の機能は未サポートです。
GRE
Ver.2.5.2 PL 6 |
次のような機能追加(仕様変更)、機能改善が行われました。
UPnP機能の仕様を拡張し、"GetStatusInfo"メッセージに対応しました。 これにより、DirectX 9.0xがインストールされたWindows端末でも、Windows Messengerの音声チャットなどが利用できるようになりました。
VLAN
ディセーブルにしたスイッチポートにおいて、ケーブルが接続されているとifOperStatusがUPになることがあるという事象を改善しました。
OSPF
受信したLSA情報がルーティングテーブルに反映されないことがあるという事象を改善しました。
ABRとして動作するARルーターにスタブエリアを設定した場合、設定保存後システムを再起動すると、スタブエリアにデフォルトルートを通知しないことがあるという事象を改善しました。
IPv6
ICMPv6 Address Unreachable またはNo Route To Destination メッセージの送信に時間がかかることがあるという事象を改善しました。
IGMP
SHOW IP IGMPコマンドのbadQuery、badRouterMsgカウンターがカウントされないことがあるという事象を改善しました。
ファイアウォール
ENABLE FIREWALL POLICYコマンドでUDPのフラグメントパケットの透過を指定しても、LAN側からWAN側への通信において、1781byteを超えるパケットが破棄されることがあるという事象を改善しました。
スタティックNATを使用した際、PUBLICインターフェースからPRIVATEインターフェースに送信したUDPパケットに対してポートを変換しないという事象を改善しました。
L2TP
L2TPセッションが確立している場合に、LNSが再送したHelloパケットを受信しても、ARルーターがZLBパケットで応答しないことがあるという事象を改善しました。
VLAN を除くインターフェース間のブリッジングのみが可能です。
SHOW ETH COUNTERS コマンドで表示される FrameTooLongs カウンターがカウントアップしません。
以下の機能は未サポートです。
GRE
Ver.2.5.2 PL 5 |
次のような機能追加(仕様変更)、改善が行われました。
RIPにおいて、1パケットあたりの最大搭載ルート数を24ルートから25ルートに拡張しました。
ARルーターのフラッシュメモリーに格納されている管理ファイルの更新、書き換えを行わないように仕様を変更しました。
RIP
RIPの経路情報をOSPFにエクスポートするよう設定している場合、RIP経路のメトリックが16になってもOSPFでUPDATEを行わず、RIP経路が削除されたタイミングでUPDATEを行うという動作を改善しました。
IPv6
約1000byte以上のICMPv6パケットを受信した場合に、不要なメッセージをコンソールに表示するという事象を改善しました。
誤ったフォーマットのIPv6 RAパケットを受信した場合に、システムに矛盾が生じるという事象を改善しました。
IGMPv2
IGMP Membershipに登録されていないVLAN上のポートに対してマルチキャストパケットをフラッディングするという事象を改善しました。
ファイアウォール
エンハンストNATルールをpublicインターフェースに設定した場合に、プロトコルにUDPを指定してもUDPパケットの通信ができないという事象を改善しました。
Windows Media PlayerでプロトコルにUDPを指定すると、VLAN / ETHインターフェースに設定するIPアドレスによってはストリーミングを再生できないことがあるという事象を改善しました。
TCPセッションの終了時にTCP RSTパケットを返信することがあるという事象を改善しました。
TCPセッションの通信中にTCP ack=0のパケットを送信することがあるという事象を改善しました。
コマンドラインからADD FIREWALL POLICY RULEコマンドでPORTパラメーターを指定後にSET FIREWALL POLICY RULEコマンドでREMOTEIPまたはGBLIPパラメーターを指定すると、SET FIREWALL POLICY RULEコマンドの内容が反映されないという事象を改善しました。
ファイアウォール有効時に、ETHインターフェースに接続された異なるネットワーク下の端末から、リンクダウンしているVLANインターフェースに対してICMP requestパケットを送信した場合、本製品がICMP replyパケットを返さないという事象を改善しました。
VRRP
SHOW VRRPコマンドを実行すると、不要な情報をシステムログに記録するという事象を改善しました。
その他
プライオリティーフィルター有効時におけるバッファオーバーフローの処理を改善しました。
Gratuitous ARP replyパケットを受信した際にARPテーブルを更新しないという事象を改善しました。
ARPテーブルに登録済みのIPアドレスからソースMACアドレスを変更したARPパケットを受信した際に、変更したMACアドレスがARPテーブルに反映されないという事象を改善しました。
SHOW DEBUGコマンドを実行した際、「Q」を入力しても表示処理が中断されないという事象を改善しました。
コマンドラインからSET ENCO DHPADDING=OFFを設定後、CREATE CONFIGコマンドで設定を保存して再起動しても、設定内容が反映されないという事象を改善しました。
起動時に不要なエラーメッセージをログに記録するという事象を改善しました。
RESET SWITCHコマンドを実行しても、VLANインターフェースの統計情報がクリアされないという事象を改善しました。
VLAN を除くインターフェース間のブリッジングのみが可能です。
SHOW ETH COUNTERS コマンドで表示される FrameTooLongs カウンターがカウントアップしません。
以下の機能は未サポートです。
GRE
Ver.2.5.2 PL 3 |
次のような機能追加(仕様変更)、改善が行われました。
Ping ポーリング機能が追加されました。
本機能は、ICMP Echo メッセージ(Ping パケット)を利用して監視対象機器をポーリングし、機器からの応答パケットを定期的に確認する機能です。応答が途絶えたとき、および、回復したときに、経路変更などのトリガースクリプトを実行可能です。
RIP ユニキャスト機能が拡張され、RIP Version 2(以下 RIP2)パケットの Next Hop フィールドに任意の値をセットできるようになりました。
これにより、同一サブネット上にない RIP2 ルーターとの間で、ユニキャストによる RIP パケットの送受信が可能になります。RIP ユニキャストの設定は、ADD/SET IP RIP コマンドの IP パラメーター(ユニキャストの宛先)と NEXTHOP パラメーター(RIP2 パケットの Next Hop フィールド)で行います。
ARP キャッシュログ機能が追加されました。
本機能は、ARP キャッシュの変更(登録・削除)をシステムログに記録する機能です。デフォルトは無効ですが、ENABLE IP ARP LOG コマンドで有効になります。
以下の IPv6 関連機能が追加されました。
コマンド仕様や機能の内容については、コマンドリファレンス(Rev.C)の「IPv6」の章をご参照ください。
IPsec における PFS(Perfect Forward Secrecy)をサポートしました。
これに関連して、Diffie Hellman における鍵の計算方式を変更するコマンドが追加されました。
SET ENCO DHPADDING={ON|OFF} |
AR ルーター同士を接続するときは各機器の設定が同じになるよう注意してください。特に、接続相手が本コマンドを実装していない AR ルーターの場合は、本機側の設定を OFF にして対応してください。
VPN Client Ver.1.5 との接続において、AGGRESSIVE モードをサポートしました。また、ポリシーサーバー機能をサポートしました。
ISAKMP メッセージの暗号化アルゴリズムとして、鍵長 128 ビットの AES をサポートしました(ご利用には、ライセンス「AT-FL-12」の購入が必要です)。
Public Key Infrastructure(PKI)をサポートしました(ご利用には、ライセンス「AT-FL-06」の購入が必要です)。
OSPF をサポートしました。
NTP をサポートしました。
ダイナミック L2TP をサポートしました。
CREATE DHCP POLICY コマンドの LEASETIME パラメーターの最小値が 3600(秒)から 2(秒)に変更されました。
ファイルのベース名(拡張子より前の部分)に使用できる文字数が 8 文字から16 文字に拡張されました。
RIP・OSPF
異なる経路制御プロトコル間で IP の経路情報を再配布するときの動作を改善しました。
RIP と OSPF の併用時、経路情報の交換が正しく行われないことがあるという事象を改善しました。
IPv6
SET IPV6 INTERFACE コマンドで FILTER パラメーターを指定しても、該当するインターフェースにフィルターが適用されないことがあるという事象を改善しました。
SHOW IPV6 INTERFACE コマンドで、トンネル(virtX)インターフェースに設定したアドレスの状態(State)がつねに tentative(仮アドレス)と表示されるという事象を改善しました。
IPv6 アドレス宛てに PING コマンドを実行する場合、LENGTH パラメーターに 1453(Byte)以上の値を指定すると、フラグメントパケットが正しく生成されず、PING がタイムアウトするという事象を改善しました。
フラグメント化された ICMPv6 パケットを受信するとリブートすることがあるという事象を改善しました。
他の装置から IPv6 Ping を受信した場合、インターフェースの MTU を超えるサイズの応答パケットを返そうとするという事象を改善しました。
IPv6 のスタティック経路が設定されているとき、ネクストホップルーターが接続されているインターフェースがリンクダウンの状態で CREATE CONFIG コマンドを実行すると、保存されたスクリプトファイルに「METRIC=16」が付加されてしまうという事象を改善しました。
IGMP
IGMP 使用中にシステム時刻が変更されると、IGMP グループエントリーの Refresh time が不正な値になることがあるという事象を改善しました。
ファイアウォール
ファイアウォールと IPsec の併用時、PUBLIC 側にある ident サーバーからの RST + ACK パケットを PRIVATE 側に転送するとき、ACK フラグをクリアしてしまうという事象を改善しました。
UPnP NAT Traversal 有効時に、VLAN インターフェースのリンクをアップダウンさせるとリブートすることがあるという事象を改善しました。
IPsec・ISAKMP
ISAKMP Transaction モード中に Vendor ID ペイロードを送出してしまうため、他社製 IPsec 機器との XAUTH ネゴシエーションに失敗してしまうことがあるという事象を改善しました。
ISAKMP Quick モードにおいて本製品が応答者(Responder)のとき、始動者(Initiator)が複数のアルゴリズムを提示をしてきた場合に接続できないという事象を改善しました。
VRRP
VRRP 使用時、CPU リソースが大量に消費され、他の機能が動作しなくなるという事象を改善しました。
その他
SHOW FFILE コマンドでファイル一覧が表示されないことがあるという事象を改善しました。
SHOW ENCO COUNTER=ALL を実行しても Hardware カウンターの値が表示されないという事象を改善しました。
SHOW SWITCH FDB コマンドを実行すると、Ethernet インターフェースのリンクが一瞬ダウンすることがあるという事象を改善しました。
IGMP Queryメッセージなどの受信時に登録するFDBエントリーのポート番号が正しくないという事象を改善しました。
sysUpTime の値が 2,147,483,647 を超えた場合に、各種 SHOW コマンドにおいて、インターフェースの状態変化後の経過時間を示す ifLastChange が正しく表示されないという事象を改善しました。
VLAN を除くインターフェース間のブリッジングのみが可能です。
SHOW ETH COUNTERS コマンドで表示される FrameTooLongs カウンターがカウントアップしません。
以下の機能は未サポートです。
GRE
Ver.2.5.2 PL 1 |
AR450S における初期リリースバージョンです。 本リリースには以下の注意事項があります。
VLAN を除くインターフェース間のブリッジングのみが可能です。
IPsec における PFS(Perfect Forward Secrecy)をご利用になることができません。
VPN Client Ver.1.5 による接続では、MAIN モード、XAUTH 認証のみが可能です。また、ポリシーサーバー機能はご利用になることができません。
ISAKMP メッセージの暗号化アルゴリズムとして AES を使用する場合、192 または 256 ビットの鍵長のみが可能です。
接続先が IPsec SA に複数のアルゴリズムの提示をしてきた場合接続できません。接続先の機器に対して、単一のアルゴリズムを提示するような設定を施してください。
IPv6 のスタティック経路が設定されているとき、ネクストホップルーターが接続されているインターフェースがリンクダウンすると、メトリックが 16 となります。リンクダウンの状態で、CREATE CONFIG コマンドを実行しないでください(保存されたスクリプトファイルに「METRIC=16」が付加されてしまいます)。保存してしまった場合は、EDIT コマンドで「METRIC=16」を削除してください。
SHOW ETH COUNTERS コマンドで表示される FrameTooLongs カウンターがカウントアップしません。
以下の機能は未サポートです。
OSPF
NTP
ダイナミック L2TP
GRE
(c) 2003 - 2005 アライドテレシスホールディングス株式会社
PN: J613-M3069-02 Rev.H 051227