Revision : 11.03.23
Release : Feb. 2017, 雅马哈株式会社

Rev.11.03.23 发行说明


RTX820 Rev.11.03.16 之后的更新


■脆弱性対応

  1. 进行了以下OpenSSL的脆弱性对应。

    关于CVE-2015-3195的脆弱性,符合使用IKEv2的PKI证明书进行认证(「电子签名方式」和「EAP-MD5方式」)时,受此脆弱性的影响,路由器可能会重启。

■新增功能

  1. 支持了FQDN Filter功能。
    http://www.yamaha.com/products/zh/network/techdocs/fqdn_filter/
    请在确认了外部规格书之后使用。

  2. 支持了BGP路由强制广播功能。
    http://www.yamaha.com/products/zh/network/techdocs/bgp_force-to-advertise/
    请在确认了外部规格书之后使用。

  3. 支持了BGP的TCP MD5认证功能。

    ○TCP MD5认证的预先共享密钥的设置

    [格式]

    bgp neighbor pre-shared-key NEIGHBOR_ID text TEXT_KEY
    no bgp neighbor pre-shared-key NEIGHBOR_ID [text TEXT_KEY]

    [设置值和默认值]
    • NEIGHBOR_ID
      • [设置值] : 邻居路由器的编号 (1...2147483647)
      • [默认值] : -
    • TEXT_KEY
      • [设置值] : 以ASCII字符串表示的密钥 (80字符以内)
      • [默认值] : -
    [说明]

    设置TCP MD5认证用的预先共享密钥。只有设置了相同的预先共享密钥的邻居间才能建立BGP的协商。

  4. IKEv1的主模式中,可以指定IP地址作为本方的ID。

    [格式]

    ipsec ike local id address GATEWAY_ID TYPE
    no ipsec ike local id address GATEWAY_ID [TYPE]

    [设置值和默认值]
    • GATEWAY_ID
      • [设置值] : 安全网关的识别码
      • [默认值] : -
    • TYPE
      • [设置值] :
        • inner ... IKE启动时使用的IP地址
        • outer ... 使用全局IP地址
      • [默认值] : inner
    [说明]

    IKEv1的主模式中,指定IP地址作为本方的ID使用
    指定为inner时,使用在ipsec ike local address命令中设置的IP地址。在ipsec ike local address命令中没有指定IP地址时,使用IKE启动时自动选择的IP地址。
    指定为outer时,使用全局IP地址。

    [Note]

    本命令对于IKEv2的动作没有影响。
    本命令对于IPv6网络上的IKEv1的动作没有影响。

  5. 可以使用命令变更TCP的window・scale・option了。

    ○变更TCP的window・scale・option

    [格式]

    ip INTERFACE tcp window-scale SWITCH
    ip pp tcp window-scale SWITCH
    ip tunnel tcp window-scale SWITCH
    no ip INTERFACE tcp window-scale [SWITCH]
    no ip pp tcp window-scale [SWITCH]
    no ip tunnel tcp window-scale [SWITCH]

    [设置值和默认值]
    • INTERFACE
      • [设置值] : LAN接口名、WAN接口名
      • [默认值] : -
    • SWITCH
      • [设置值] :
        设置值 说明
        off 什么都不做
        remove 删除TCP的window・scale・option
      • [默认值] : off
    [说明]

    强制变更通过接口的TCP数据包的window・scale・option。
    指定为remove时、在window・scale・option有效时,将其无效并转发。

    ○变更TCP的window・scale・option

    [格式]

    ipv6 INTERFACE tcp window-scale SWITCH
    ipv6 pp tcp window-scale SWITCH
    ipv6 tunnel tcp window-scale SWITCH
    no ipv6 INTERFACE tcp window-scale [SWITCH]
    no ipv6 pp tcp window-scale [SWITCH]
    no ipv6 tunnel tcp window-scale [SWITCH]

    [设置值和默认值]
    • INTERFACE
      • [设置值] : LAN接口名、WAN接口名
      • [默认值] : -
    • SWITCH
      • [设置值] :
        设置值 说明
        off 什么都不做
        remove 删除TCP的window・scale・option
      • [默认值] : off
    [说明]

    强制变更通过接口的TCP数据包的window・scale・option。
    指定为remove时、在window・scale・option有效时,将其无效并转发。

  6. 在IKEv2中,可以变更CHILD SA的生成方式了。

    ○设置CHILD SA的生成方式

    [格式]

    ipsec ike child-exchange type GATEWAY_ID TYPE
    no ipsec ike child-exchange type GATEWAY_ID [TYPE]

    [设置值和默认值]
    • GATEWAY_ID
      • [设置值] : 安全网关的识别码
      • [默认值] : -
    • TYPE : IKEv2的CHILD SA生成方式的类型
      • [设置值] :
        设置值 说明
        1 保持和之前的雅马哈路由器的IKEv2动作的互换性
        2 符合CREATE_CHILD_SA交换的一部分的实装
      • [默认值] : 1
    [说明]

    设置IKEv2的CHILD SA的生成方式
    支持这条命令的机型在连接时,必须设置为相同的类型

  7. 增加了显示软件著作权的命令。
    另外,启动时或登陆时将不再显示著作权信息。

    ○软件的著作权信息的显示

    [格式]

    show copyright [detail]

    [设置值和默认值]
    • detail
      • [设置值] : 显示包含条文信息的软件的著作权信息
      • [默认值] : -
    [说明]

    显示软件的著作权信息。
    指定了detail时,可以显示包含条文信息的软件的著作权信息。

■规格变更

  1. MLD功能中,可以通过设置来切换是否收发存储在本地链路范围的组中的报告。

    [格式]

    ipv6 INTERFACE mld TYPE [OPTION ...]
    ipv6 pp mld TYPE [OPTION ...]
    ipv6 tunnel mld TYPE [OPTION ...]
    no ipv6 INTERFACE mld [TYPE [OPTION ...]]
    no ipv6 pp mld [TYPE [OPTION ...]]
    no ipv6 tunnel mld [TYPE [OPTION ...]]

    [设置值和默认值]
    • INTERFACE
      • [设置值] : LAN接口名
      • [默认值] : -
    • TYPE : MLD的运行方式
      • [设置值] :
        设置值 说明
        off MLD不运行
        router 以MLD路由器运行
        host 以MLD终端运行
      • [默认值] : off
    • OPTION : 选项
      • [设置值] :
        • version=version
          • MLD的版本
            设置值 说明
            1 MLDv1
            2 MLDv2
            1,2 同时支持MLDv1和MLDv2。(MLDv1兼容模式)
        • syslog=switch
          • 是否在syslog中输出详细的信息
            设置值 说明
            on 显示
            off 不显示
        • robust-variable=VALUE(1..10)
          • 设置MLD中的规定的Robust Variable的值。
        • report-link-local-group=switch★
          • 是否处理链路本地范围的组
            设置值 说明
            on 以MLD路由器运行时,接收链路本地范围的组的报告有效
            off 以MLD终端运行时,发送链路本地范围的组的报告有效
      • [默认值] :
        • version=1,2
        • syslog=off
        • robust-variable=2
        • report-link-local-group=off★
    [说明]

    设置接口的MLD的运行方式。

  2. 在OSPF和BGP中,检测到接口的状态变化时,可以集中反应处理多条外部路由了。

    ○设置接口的状态变化时,在OSPF中反应外部路由的时间间隔

    [格式]

    ospf reric interval TIME
    no ospf reric interval [TIME]

    [设置值和默认值]
    • TIME
      • [设置值] : 秒数 (1以上的数值)
      • [默认值] : 1
    [说明]

    设置路由器的接口的状态变化时,在OSPF中反应外部路由的时间间隔
    在OSPF中,以1秒间隔监控接口的状态变化,如果有变化则将最新的外部路由反应在自身中,当连续发生接口的状态变化时,会以TIME指定的秒数间隔集中反应处理多条外部路由。

    [Note]

    在存在多条隧道一起连通的环境中,通过本命令设置适当的值,可以减轻因OSPF或BGP导入外部路由而引起的系统负载。
    本命令的设置值也会影响BGP中的外部路由的反应。当本命令和bgp reric interval命令的设置值不同时,优先使用本命令的值。
    本命令的设置对于路由的变化或IP地址的变化的OSPF和BGP的运行没有影响。

    ○设置接口的状态变化时,在BGP中反应外部路由的时间间隔

    [格式]

    bgp reric interval TIME
    no bgp reric interval [TIME]

    [设置值和默认值]
    • TIME
      • [设置值] : 秒数 (1以上的数值)
      • [默认值] : 1
    [说明]

    设置路由器的接口的状态变化时,在BGP中反应外部路由的时间间隔。
    在BGP中,以1秒间隔监控接口的状态变化,如果有变化则将最新的外部路由反应在自身中,当连续发生接口的状态变化时,会以TIME指定的秒数间隔集中反应处理多条外部路由。

    [Note]

    在存在多条隧道一起连通的环境中,通过本命令设置适当的值,可以减轻因OSPF或BGP导入外部路由而引起的系统负载。
    本命令的设置值也会影响OSPF中的外部路由的反应。当本命令和ospf reric interval命令的设置值不同时,优先使用ospf reric interval命令设置的值。

  3. 生成SSH服务器的公共密钥时,可以选择2048bit的密钥长度。
    另外,从安全的角度,将无视SEED参数的输入。

    ○SSH服务器host密钥的设置

    [格式]

    sshd host key generate [bit=BIT] ★
    no sshd host key generate [...]

    [设置值和默认值]
    • BIT
      • [设置值] : 密钥的bit长 (1024, 2048)
      • [默认值] : 1024
    [说明]

    SSH服务器host密钥的设置。
    根据BIT参数的不同,可以指定生成的密钥的bit数了。 ★

    [Note]

    使用SSH服务器功能和SFTP服务器功能时,必须事先运行本命令生成host密钥。
    如果已经设置过host密钥再运行本命令时,会让用户确认是否更新host密钥。
    根据机型的不同,生成host密钥时,1024bit可能需要花费数秒至数分钟,2048bit需要花费数分钟至十几分钟的时间。 ★
    通过TFTP获取设置时,由sshd host key generate [bit=BIT] KEY1 KEY2 KEY3形式保存。 ★
    KEY1~KEY3是将密钥通过设备固有的方式进行加密后的字符串。

  4. 增加了显示SSH服务器公共密钥的密钥指纹的参数。

    ○显示SSH服务器的公共密钥

    [格式]

    show sshd public key [fingerprint] ★

    [设置值和默认值]
    • fingerprint ★
      • [设置值] : 显示密钥指纹
      • [默认值] : -
    [说明]

    显示SSH服务器的公共密钥。
    指定了fingerprint关键字时,可以显示公共密钥的密钥长度和密钥指纹。 ★

  5. 向全节点组播地址(ff02::1)、和全路由器多播地址(ff02::2)运行ping6命令时,可以由路由器自身返回应答了。

  6. clear log命令中增加了saved选项。
    通过指定此选项,可以清除运行show log saved命令时显示的log。

    ○log的清除

    [格式]

    clear log [saved]

    [设置值和默认值]
    • saved ★
      • [设置值] : 清除重启之前的log
      • [默认值] : -
    [说明]

    清除log。
    通过指定saved选项,可以清除运行show log saved命令时显示的log。★

  7. 通过TFTP进行设置文件的写入时,可以识别设置文件的最后一行的末尾没有附加换行符(LF)的命令了。

  8. DHCPv6客户端功能中,从服务器处接收到RECONFIGURE信息时,可以在INFO级别的log中输出以下信息。

    • [DHCPv6] receive RECONFIGURE
  9. 由于电源开关导致的电源关闭时,在串口控制台上回输出以下信息。
    "Power switch was turned off."
    但是,在路由器启动完成前不会输出。

  10. 因为不能在收容于桥接接口中的LAN接口上使用QoS功能,所以对于用bridge member命令设置了桥接的LAN接口,在queue type命令中指定了fifo以外的参数时,会发生输入错误。
    另外,将已经在queue type命令中设置了fifo以外的LAN接口用bridge member命令指定时,也会报错。

  11. 在简单设置页面的中断代码表中,增加了以下的中断代码说明。

    • 781 由于累计连接时间的发送限制而发送失败。
    • 1553 由于移动终端没有应答而超时。
    • 1554 数据发送失败。
    • 1555 设置了不支持的连接类型。
    • 3000 认证失败。
    • 3004 SIP服务器的域名解析失败。
    • 3020 请求超时
  12. 简单设置页面的首页的[Configure firewall]按钮的说明文变更了。

■BUG修正

  1. 排除了接收到非法格式的PPPoE数据包时,会重启的可能性。

  2. L2TP/IPsec中,修正了从隧道中接收到的数据包发送给在IPv6网络上建立的别的隧道时,会重启的BUG。

  3. 修正了在RIP为有效时,LAN备份的备份目的接口为没有设置过的PP接口时,在切换至备份时会重启的BUG。

  4. 修正了ipsec transport命令中,省略了协议或者起始端口列表的参数并运行时会重启的BUG。

  5. 修正了增加或删除以下命令时,有时会重启的BUG。

    • ipsec transport
    • ipsec transport template
  6. 排除了在设置有dhcp scope bind命令时,将dhcp server rfc2131 compliant命令设置为off或者设置不使用use-clientid功能时会重启的可能性。

  7. 排除了运行no nat descriptor masquerade session limit命令时会重启的可能性。

  8. 修正了在URL过滤功能中,满足以下条件时,可能发生重启或者阻拦页面中显示的「关键字」的一部分缺失的BUG。

    • url filter reject命令中设置有reject(默认值)时
    • 重定向的阻拦页面的URL超过了2048Byte
  9. 修正了在浏览简单设置页面时,连续刷新浏览器的话,可能会发生重启或宕机的BUG。

  10. 修正了在PPTP中,建立连接失败时有时会发生内存泄露的BUG。

  11. 修正了在tunnel backup命令中将LAN接口设置为备份链路时,在切换至备份链路时会发生内存泄漏的BUG。

  12. 修正了设置保存失败时有时会发生内存泄漏的BUG。

  13. 修正了移动互联网功能中,在移动终端的识别处理中移除终端的话,之后有时将无法正常识别终端的BUG。

  14. 在移动互联网功能,修正了即使超过了限制通信的累计时间,有时也不解除限制的BUG。

  15. 在移动互联网功能中,修正了连续运行disconnect命令的话,蜂鸣器会连续报警的BUG。

  16. 在移动互联网功能的WAN接口连接中,修正了设置了wan1 always-on on命令时,即使检查出线路为切断状态,STATUS LED也不亮的BUG。

  17. 在移动互联网功能中,排除了show status usbhost命令显示的本地编号和IMEI不正常的可能性。

  18. 修正了IPsec中,满足以下所有条件时,不会经由IPsec隧道进行通信的BUG。

    • 根据ipsec ike esp-encapsulation命令将ESP数据包进行了UDP封装
    • UDP封装的数据包的发送目的地的网关和ESP数据包的发送目的地的网关不同
    • UDP封装的数据包是由fastpath发送的
  19. 修正了IPsec中,满足以下所有条件时,即使设置正确也不能建立连接的BUG。

    • ipsec ike negotiate-strictly设置为on
    • ipsec ike encryption设置为aes256-cbc
  20. 修正了IKEv2中,IKE SA的rekey之后运行ipsec sa delete命令删除CHILD SA的话,有时隧道无法建立的BUG。

  21. 修正了在IKEv2中,运行ipsec sa delete命令删除IKE SA时,当ipsec ike message-id-control命令设置为on时,不会向对方发送Delete请求的BUG。

  22. 修正了在L2TP/IPsec中接收到非法L2TP控制数据包时,会占有ANONYMOUS接口,之后无法使用ANONYMOUS接口的BUG。

  23. 修正了在L2TP/IPsec中,有时不会向客户端发送DNS服务器信息,不能进行域名解析的BUG。

  24. 修正了在L2TP/IPsec中,有时不进行L2TP隧道认证而连接的BUG。

  25. 修正了在L2TP/IPsec中,对于由隧道接收的TCP数据包,不适用ip tunnel tcp mss limit命令而是ip pp tcp mss limit命令的TCP会话的MSS限制的BUG。

  26. 修正了PPTP中,通过域名(FQDN)指定隧道的对端时,当本方的连接请求或对方的连接请求,和对应的域名发生IP地址变更的时间点重合时,该PPTP无法通信的BUG。

  27. 修正了DHCP服务器功能中,不会处理从DHCP中继服务器处接收的DHCP数据包的BUG。

  28. 修正了对于同一网络存在多条读取的路由的状态下,同时删除这些路由时,OSPF和BGP接收的路由仍会保留的BUG。

  29. 修正了当一起OSPFv2和BGP合用时,即使用ospf router id命令和bgp router id命令设置了相同的路由器ID,BGP不会正常启动的BUG。

  30. 修正了OSPFv2中,作为区域边界路由器(ABR)运行时,指向主干区域中的AS边界路由器(ASBR)的路由不正确,或向主干区域的邻接区域广播了包含了错误的度量值的类型4的LSA(ASBR-summary-LSA)的BUG。满足以下条件时发生。

    • 主干区域侧的接口为DROther,邻接的其他区域侧的接口为DR时
    • 存在该路由器以外的邻接两个区域的ABR
    • 该路由器的主干区域侧的接口down,该路由器向ASBR发送的路由切换至经由别的ABR路由,之后down的接口再次up时
  31. 修正了在OSPFv2中,当从别的OSPF路由器处接收到的类型5的LSA(AS-external-LSA)的寿命将尽时,不管该LSA包含的外部路由是否无效路由,都将其作为有效路由处理的BUG。

  32. 修正了PP/LAN备份功能中,备份切换时不能ping通备份侧的BUG。

  33. 修正了wan1接口使用数据包转发过滤发送数据包时,无法发送数据包的BUG。

  34. 修正了在ethernet filter命令中设置了pass-log或者はreject-log时,即使是syslog notice off的状态,吞吐量也会显著下降的BUG。

  35. 修正了在接口设置了IP地址时,对于优先级低的路由不进行路由的再检索,发生路由信息不正确的BUG。

  36. 修正了fastpath中,通过PPTP的隧道或者移动互联网接收数据包时,不管是否是fastpath的处理对象都会生成flow的BUG。

  37. 修正了anonymous接口中,设置了附加myname选项的pp auth username命令时,无法接收多个使用相同的用户名和密码的连接的BUG。

  38. 修正了MLD功能中,作为MLDv2的MLD路由器运行的接口,第一次接收到源列表为空的报告时,不在多播中增加代理信息和路由信息的BUG。

  39. 修正了MLD功能中,作为MLD路由器的MLDv1,v2兼容模式运行时,收到MLDv1报告登录组信息,经过一定时间没有收到包含该组信息的MLDv1报告时,该组信息的条目不会超时的BUG。

  40. 修正了当访问RTFS存储空间时保存设置的话,有时会发生保存失败,之后将无法保存设置的BUG。

  41. 修正了通过SFTP无法进行版本更新的BUG。

  42. 修正了SFTP连接中,显示文件或目录的信息时,更新时间显示不正确的BUG。

  43. 修正了INTEGER类型的MIB变量无法获取负数的BUG。

  44. 修正了SNMP中,yrIfTable下属的MIB变量的BRIDGE1的接口编号指定为Index的话,会取得不正确的接口信息的BUG。

  45. 修正了不显示URL过滤的阻拦页面的BUG。

  46. 修正了通过IPv6进行PPPoE连接时,运行clear status lan命令也不会清除show status lan命令显示的IPv6的收发数据包数的BUG

  47. 修正了clear mobile access limitation命令中,即使指定了USB接口,也不会清除绑定了USB端口的WAN接口的累计收发信息,不会解除发送限制的BUG。

  48. 修正了接收到非法NTP数据包时,在SYSLOG中显示的端口号不正确的BUG。

  49. 修正了经由LAN1接口进行PPPoE连接时,即使连接切断后,使用show history命令也会在连接历史中显示「通信中」,或者不显示连接历史的BUG。

  50. 修正了在dhcp duplicate check命令中不输入第二个参数进行设置时,错误信息不正确的BUG。

  51. 修正了ipv6 INTERFACE mld命令中,重复指定选项参数时不报错,而且可以设置最大数以上的选项参数的BUG。

  52. 修正了less config switch命令不正确显示的BUG。

  53. 修正了show status bgp neighbor advertised-routes命令的运行结果中,各参数的值不正确的BUG。

  54. 修正了以下命令的命令帮助的误记。

    • clear url filter
    • clear url filter https-proxy
    • connect
    • dhcp scope
    • show status pp
    • show status qos
    • show url filter
    • show url filter https-proxy
    • url INTERFACE filter
    • url INTERFACE proxy filter
  55. 修正了在设置了tag VLAN接口的地址时,简单设置页面的以下的BUG。

    • 仪表盘的流量信息(LAN)插件中,接口可以选择tag VLAN接口了
    • [详细设置和信息]-[统计信息的显示]-[流量统计]页面中可以显示tag VLAN接口的图表
  56. 修正了移动互联网功能中发生错误时,简单设置页面的仪表盘的供应商连接状态插件中,不正确显示警告信息的BUG。

  57. 修正了使用移动互联网功能时,简单设置页面的仪表盘的供应商连接状态插件中,提示的收发信息有误的BUG。

  58. 修正了简单设置页面的[Advanced settings]-[Execute revision up]中,URL to download中输入了205字符以上的名称并确认运行的话,可能会删除URL的末尾,或者"Allow for revision down"的设置不正确的BUG。

  59. 修正了由外部存储中的CONFIG文件启动且拔出外部存储的状态下,用简单设置页面变更设置时,选择保存场所的警告页面的[Confirm]按钮不显示的BUG。

  60. 修正了交换机控制GUI的VLAN设置页面中,点击连接在SWX2200以外的雅马哈交换机下面的SWX2200或者雅马哈无线AP的端口,从VLAN组中移除时,也会移除参加相同VLAN组的其他端口的BUG。

■更新履历

Feb. 2017, Rev.11.03.23 发行

以上