リリースノート

以下のコンフィグパラメータを追加しました。

• admission-control.mac-address.[].radius.message-authenticator
  • RADIUSレスポンスにMessage-Authenticatorを必須とするかを設定する

以下のコンフィグパラメータを追加しました。

• interface.pppac[].authentication.[].radius.request.message-authenticator: { disable | enable }
  • RADIUSリクエストにMessage-Authenticator属性を付与するかどうかを制御する
• interface.pppac[].authentication.[].radius.response.message-authenticator: { required | optional }
  • RADIUSレスポンスにMessage-Authenticator属性を必須とするかどうかを制御する

Message-Authenticatorを検証することで、中間者攻撃によって認証応答が偽造される危険性を予防できます。

ただし、RADIUS通信先がMessage-Authenticatorに対応している必要があります。

詳細

信頼できるネットワーク上でRADIUSサーバとの通信を行うことで、中間者攻撃によって認証応答が偽造される可能性を回避できます。

詳細

システム起動処理中に無線LANデバイスの初期化が正常に完了せず、システム起動が停止しユーザインタフェースから操作不能な状態に陥る可能性があります。

発生時の状態

本不具合が発生した場合は本体上面のLEDが次のように表示されます。

　POWER/SMF：橙点灯

　STATUS：消灯

　無線LAN関連：消灯

発生時はシステム起動が完了せず、SMFサービスに接続されません。

このためコントロールパネルからのオペレーションが可能な状態の場合は、発生していません。

対処手段

本不具合が発生した場合の復旧には電源OFF/ONが必要です。

本バージョン以上のファームウェアへの更新により回避可能です。

発生条件・頻度

本不具合は設定内容や設置環境などの条件によらず、個体差により0.5%程の機器で時々システム起動に失敗する事象が発生します。

キャリブレーション処理が失敗した場合に正常にリトライするように修正しました。

詳細

システム起動時の無線LANデバイスの認識処理中に行われるデバイス内部のキャリブレーション処理が失敗したとき、システムが再起動する場合があります。

発生条件・頻度

本不具合は無線LANの設定有無に関わらず、複数のSA-W2シリーズが密集している環境で、希に電源ONや再起動操作などのシステム起動時に発生する可能性があります。

指定したポートで送受信されるトラフィックを他のポートへ複製して送信するポートミラーリング機能を追加しました。

IPsecインタフェースの折衝にIKEv2を使用する場合に、始点または終点のアドレスを任意とすることができます。

...ike.version に 2 が指定されている場合、次のいずれかのキーに any を設定できます。

• interface.ipsec[].ipv4.{ source, destination }
• interface.ipsec[].ipv6.{ source, destination }

また、次のキーで RFC 4555(MOBIKE) の機能を有効化出来ます。

• interface.ipsec[].ike.v2.mobike

IKEv2 で内部的なパラメータである lifebyte の値を 512MB から無制限に変更しました。

これによって lifebyte を起因とした rekey が発生しなくなります。

詳細

無線LANのセキュリティモードにWPA2のみを使用する以下の設定を追加しました。

"show status wlan.client.event..." および "show status wlan.client.table..." に記録されるASSOCおよびREASSOCイベントのReason Codeの値を追加しました。

"interface.wlan[].max-client" の設定値を超えたことで接続できなかった場合はREASON欄に 17 が記録されます。

設定内容や動作状況によってオペレーションの実行に時間を要する場合でもタイムアウトによる失敗が発生しにくくなります。

Syslogリモート転送機能は、直前に送信したログと同じログメッセージを繰り返し送信する場合は回数と共に繰り返しである旨を示すメッセージに置き換えて送信しますが、元のログが120文字以下であり、かつ、繰り返し回数が2回であったとき、メッセージの一部が意図しない文字列になる不具合を修正しました。

詳細

Point-to-PointインタフェースのConnected経路と重複する宛先と、そのインタフェースをゲートウェイとする経路が存在するとき、この経路が削除されると、そのPoint-to-PointインタフェースのConnected経路が正しく制御されない状態になり、インタフェースのアドレスを削除しても経路が残り続けることがあります。

この問題は、動的経路制御機能を使用する構成においてPoint-to-PointインタフェースのIPアドレスの変更操作などによって遭遇することがあります。

詳細

フロートリンクによるルーティングベースIPsecを使用し、かつ、対向アドレスの書換検知を有効化している場合の折衝において、Phase1完了後かつPhase2完了前の時点で対向ノードのアドレス登録が削除されたとき、IKE Phase1が削除されず残ってしまう可能性があります。

詳細

残ったIKEセッションはDPDにより削除されるため、時間経過により自然復旧します。

詳細

ポリシーベースIPsecにおいて、インデックス番号順にIPsec-SPがソートされない場合があります。

ipsec.security-policyキーの source と destinaton のバリューに、他のエントリのIPアドレスとポート番号の組み合わせが入れ替えられたコンフィグが存在する場合に インデックス番号順にIPsec-SPがソートされない可能性があります。

動作上のソート状態（適用優先順）は show status ipsec.security-policy コマンドで確認できます。

詳細

サービスホストから受信したオペレーションの実行中に、「持続型」の操作用接続の切断と再接続が発生した場合、オペレーション実行完了後に行うべき操作用接続確認を行わず、オペレーション不能な状態に陥る場合があります。

「待受型」の場合は該当しません。

インタフェースまたは経路の状態変化に伴う操作用接続確認によって復帰する可能性があります。または電源抜き差しによる再起動が必要です。 

詳細

次の条件を満たしているコンフィグを使用している場合に本不具合が発生する可能性があります。

•  自身宛の通信をブロックするフィルタがある（direction:in, action:block, destination:self）
• 同じインタフェースにNAT/NAPTが設定されている

このようなコンフィグを使用し、かつ、動作中に次の条件を満たす通信が発生した場合、本不具合が発生します。

• あるポート宛のNAT/NAPTセッションが無いときに、当該ポート宛のパケットを受信
• クライアントの通信をきっかけに当該ポートが受信ポートとなるNAT/NAPTセッションが生成

この条件を満たす通信が発生した場合、NAT/NAPTによって通信可能とする前提のパケットと同じアドレスとポートの組み合わせのパケットが本不具合に該当するパケットとなります。

詳細

本装置がNAT-traversal対応のUDP-encapを適用したESPパケットを、さらにESPでカプセル化した場合に発生します。

詳細

無線LANインタフェースの設定変更時に次の条件を満たす場合、当該無線LANインタフェースのIPv4アドレスの削除が動作に反映されません。

• チャネルが静的設定であり、変更されない
• 動作モードが変更されない

詳細

次の参照コマンドの実行結果に、接続中の無線LANクライアントの一部が表示されない場合があります。

• show status interface.wlan
• show status wlan.client.verbose.wlan
• show status wlan.client.count.log.wlan
• show status wlan.client.packets.type.wlan
• show status wlan.client.bytes.type.wlan

詳細

L2TPv3/IPsec、RASクライアント、およびリモートアクセスサーバ機能は、ハードウェア処理対応アルゴリズムのみを使用するため、これらのみを使用する場合は本不具合に該当しません。

ルーティングベースIPsec、およびポリシーベースIPsecはハードウェア処理非対応アルゴリズムを選択可能であるため、これらを併用する場合は本不具合に該当し全てのIPsec通信ができなくなる可能性があります。

詳細

CERT/CC VU#347067によって報告されたBGP実装の脆弱性に該当します。不正なBGPパス属性が付与された経路を受信するとBGPセッションを切断してしまう場合があります。

詳細

route.ipv4.[].fqdn.destination キーによるFQDN経路を設定し、かつ、gateway キーに dhcp を指定する設定があるとき、DHCPクライアント機能の動作状況によって経路が正しく反映されないことがあります。

本不具合に該当すると次のエラーログが記録されます。

"yavty[-]: zebra> 0: ip route <IPv4 アドレス> 1 -> % Command incomplete."

SNMPエージェント機能に以下のオブジェクトを追加しました。

• IIJ-SEIL-MIB::seilMobileICCID (1.3.6.1.4.1.770.1.101.1.1.8)： show status dialup-device の IC Card Id (ICCID) に対応
• IIJ-SEIL-MIB::seilMobileIMSI (1.3.6.1.4.1.770.1.101.1.1.9)：show status dialup-device の Subscriber Id (IMSI) に対応

詳細

インターネットブレイクアウト機能または静的経路制御機能において、静的経路自動切替が有効なIPv4経路が合計で512個（IPv6経路の場合は256個）よりも多い場合、report-toコマンドまたはshow tech-supportコマンドを実行すると、静的経路自動切替のプロセスが再起動します。

また、ごく稀なタイミングによりプロセスの再起動と静的経路自動切替を使用する経路の設定変更処理が重なると、設定変更により削除されるはずの経路が残り続ける場合があります。

詳細

SA-W2の2.4GHz帯無線LANインタフェースでセキュリティーモードとしてwpa-psk-aes、wpa-psk-tkip、wpa-eap-aes、wpa-eap-tkipのいずれかが設定されている場合に、特定のMACアドレスを持つ無線LANクライアントの接続またはGTK更新中にパワーマネージメントモードに遷移した無線LANクライアントが切断されたとき本装置が再起動する可能性があります。

SA-W2の5GHz帯の無線LANインタフェースは本不具合の影響を受けません。

SA-W2LおよびSA-W2Sの無線LANインタフェースはいずれも本不具合の影響を受けません。

メインメモリ上に保持するログの量を変更するコンフィグ（syslog.memory-block）を追加しました。

ログの発生源となる機能（function）ごとにブロック単位（1ブロックは350行）で記憶領域を追加でき、合計64ブロックを任意の機能に割り当てることができます。

サービスホストとの接続が「待受型」であると、本装置のIPアドレスやインタフェースの状態変化を伴わない経路情報の変化があった場合に、サービスホスト上の「接続元情報」との齟齬が発生しオペレーションが失敗することがありました。

これを改善するため、サービスホスト宛の経路を監視し、ゲートウェイの変化を検知したときに操作用接続を再確立するように変更しました。

• サービスホスト宛の経路を5分間隔で監視します
• IPアドレスやインタフェースの状態変化があった場合と同様に再確立します

リモートアクセスサーバ機能に、クライアントからの接続履歴を記録する機能を追加しました。

接続履歴および切断理由を最近の 1,000レコードまで参照できます。

resolver.server-priority キーにより、使用するDNSサーバの選択方法を指定できます。

• config-order を指定すると、resolver.[].address 行のインデックス順にDNSサーバを使用します。
• 未設定、または prefer-static を指定すると、従来の動作と同じく記述順によらず規定の順序でDNSサーバを使用します。

無線LANインタフェースの設定変更の処理時系列を確認できるように、システムと内蔵無線LANデバイス間の通信タイミングを記録するログを追加しました。

• インタフェース操作コマンド要求送信時
• インタフェース操作コマンド応答受信時
• インタフェースイベント受信時
• チャネルスキャンコマンド開始要求時
• チャネルスキャンイベント受信時

次の無線LANインタフェースに適用されます。

• SA-W2の5GHz帯
• SA-W2Lの2.4GHz帯または5GHz帯
• SA-W2Sの2.4GHz帯または5GHz帯

次のコンフィグパラメータを追加しました。

• dhcp6.client.prefix-delegation.[].interface-id
• dhcp6.client.prefix-delegation.force

ログのレベルをdebugからwarningに、ログメッセージを次のように変更しました。

変更前:
  1 Jun  1 00:00:00    debug   dhcp relay[-]: ioctl(SIOCGIFNETMASK) in open_if()
変更後:
  1 Jun  1 00:00:00  warning   dhcp relay[-]: ge1 will not be used because it doesn't have any IPv4 address

「IIJクラウドナビゲーションデータベース」は株式会社インターネットイニシアティブが提供するサービスです。

Microsoft365, Windows Update, GoogleWorkspaceなど様々なSaaSのFQDNパターンおよび経路情報が一元的管理され、本装置のインターネットブレイクアウト機能の経路情報取得元に利用できます。

DNS中継機能の静的DNS設定の動作状況を確認するオペレーションコマンド "show status dns-forwarder static" を追加しました。

設定済みのレコード情報と参照回数が表示されます。

参照回数は中継先の更新や設定変更によってリセットされます。

経路情報を参照する次のコマンドについて、本装置が大量の経路を保持していると実行時間が長くなる場合があり、処理を改善しました。

• show status route.ipv4
• show status route.ipv6

詳細

SA-W2Lの内蔵モバイルデータ通信端末でPIN1コードが設定されたSIMカードを使用した場合、以下のいずれのコンフィグパラメータやオペレーションコマンドを使用しても正しく接続を開始できません。

• interface.ppp[].pin
• clear dialup-device pin

詳細

PPPACインタフェースのトンネルプロトコルを変更すると、サービスが正常に動作しない、または、異常終了することがあります。

PPPACインタフェースのトンネルプロトコルを変更する場合は、各プロトコルのサービス設定（ interface.pppac0.l2tp.service および interface.pppac0.sstp.service ）を disable にしてコンフィグを反映し、その後プロトコル変更後のコンフィグを反映することで不具合を回避できます。

詳細

PPPAC機能をにおいてローカル認証レルムまたはアカウントリスト認証レルムを使用している場合、未知のユーザーを認証するとメモリリークが発生します。

SNMPエージェントがARP情報の更新のために確保したメモリが不足したとき、エラー終了せずメモリを再確保して情報更新するように修正しました。

詳細

SNMPエージェントは30秒ごとにARP情報更新のために全てのARP情報を取得します。この情報取得処理に必要となる量のメモリを事前に確保しますが、取得前に実際のARP情報が増加していると、メモリサイズ不足によって失敗し、次のログが出力されます。

設定変更時のIF-MIBのインタフェース情報に応答するインタフェースの取得処理を改善しました。

詳細

設定変更を短い間隔で実施した場合に発生することがあります。

詳細

SA-W2のみ該当します。また、2.4GHz帯の無線LANアクセスポイントのみで発生します。

問題の発生を回避するには2.4GHz帯クライアントスクリーニング機能を無効化する必要があります。

詳細

RFC1213によるとifIndexの値は1からifNumberの値の範囲とされていますが、 ifNumberがifIndexの最大値より小さい値になっていました。

詳細

DHCPサーバ機能が有効化されているとき、以下の条件を満たす場合に、アドレスのリース先でないホストへDHCPOFFERが送信されます。

1. DHCPサーバが次に払い出す予定のアドレスをDHCPを使わずに設定している
2. オプション番号 61 の Client ID を付与した DHCPDISCOVER を短期間に2個以上DHCPサーバが受信する

詳細

DHCPサーバ機能がDHCPDECLINEメッセージを受信すると、 メッセージ中で指定されたアドレスによらず該当のクライアントにリース中のアドレスをUNUSABLE状態に変更します。

詳細

IKEが内部的に保持するセキュリティボリシーの情報に不整合が起きた場合は再学習するように変更しました。

IKE Phase2（IPsec SA）の折衝時に次のログが継続して記録される場合は本問題に該当している可能性があります。

• info ike racoon[-]: no policy found: id:<NUM>.

詳細

IPsecインタフェースでNAT-Traversalを使用していると、IKE Phase1のみが確立している状態ではclearコマンドを実行してもIKE Phase1がクリアされません。

clearコマンド実行のほか、設定変更に伴うセッションのクリアも該当します。

詳細

FQDNパターンによる静的経路の設定は死活監視間隔を設定できませんが、この組み合わせの構文エラーが正しく表示されない不具合を修正しました。

詳細

不具合の説明:

DHCPサーバ機能が有効化されている状態から設定変更により無効化した場合、その後にインタフェースのアドレスや経路の状態が変化したときに無効化前の設定内容でDHCPサーバ機能が再始動することがあります。

不具合発生の確認方法:

dhcp.server.service キーに disable が設定されると、通常は"show status dhcp" コマンドの結果が、停止状態を示す "not available because DHCP server is not running"となります。 これと異なる動作情報が表示される場合は本不具合に該当している可能性があります。

回避・復旧手段

"dhcp.server.service:enable" を含み、かつ、他のdhcpキーを含まない設定を 反映した後に、"dhcp.server.service:disable" を含む、または dhcp キーをまったく含まないコンフィグを反映することで本不具合を回避できます。

詳細

IKEv2 keepaliveパケット（空のINFORMATIONAL exchange）の暗号化されたペイロードの誤ったフォーマットを修正しました。

これにより、SA-W2が送信するIKEv2 keepaliveパケットをドロップしていた機器が、keepaliveに応答することが期待されます。

詳細

DNSサーバアドレスを動的に取得したとき、アドレスに変化場合はDNS中継機能を再起動しないように修正しました。また、利用するDNSサーバアドレスが変更された時、複数回DNS中継機能を再起動する不具合を修正しました。

詳細

IPフィルタの自動切替、静的経路自動切替、モバイルデータ通信端末自動リセットのうち 2 機能以上のコンフィグを同時に変更すると、対象の死活監視を行うデーモンが多重起動することがあります。この場合、正常に死活監視が行えないことがあります。

詳細

以下の機能において、死活監視と無関係の自身宛のICMPパケットを受信すると、死活監視のためのICMPパケットの送信間隔が設定値より長くなることがあります。

• IPv4静的経路自動切替
• IPv4フィルタ自動切替
• IPv6フィルタ自動切替
• 死活監視によるモバイルデータ通信端末のリセット

詳細

本不具合に該当した場合、正しい経路に加えて、正しい経路と重複する経路、または正しい宛先と不正なゲートウェイを持つ経路が生成されます。

DHCPv6クライアント機能がサーバから更新情報を得たとき、 従来は有効期限のみが変化した場合でもアドレス情報の再設定を行いましたが、 IPv6アドレスおよびプレフィックスに変化が無い場合は再設定を行わないように変更しました。

詳細

FragAttacksとして公開された無線LANの脆弱性のうち、以下の問題を修正しました。

• CVE-2020-24586: ネットワークへの再接続時にフラグメントされたパケットのキャッシュをクリアしていないため、悪意を持った第三者によって不正なパケットを挿入される、もしくはパケットの内容が窃取されることがあります。
• CVE-2020-24587: 異なる鍵で暗号化されたフラグメントされたパケットを再構成してしまうため、悪意を持った第三者によってパケットの内容が窃取されることがあります。
• CVE-2020-24588: 802.11ヘッダのA-MSDUフラグが保護されていないため、ヘッダの書き換えによって悪意を持った第三者によって不正なパケットを挿入されることがあります。
• CVE-2020-26140: 保護されたネットワークにも関わらず平文のデータフレームを受け入れてしまうため、悪意を持った第三者によって不正なパケットを挿入されることがあります。
• CVE-2020-26143: 保護されたネットワークにも関わらずフラグメントされた平文のデータフレームを受け入れてしまうため、悪意を持った第三者によって不正なパケットを挿入されることがあります。
• CVE-2020-26144: 保護されたネットワークでRFC1042ヘッダでEtherTypeにEAPOLが指定された場合に平文のA-MSDUフレームを受け入れてしまうため、悪意を持った第三者によって不正なパケットを挿入されることがあります。
• CVE-2020-26146: 連続していないパケット番号の暗号化されたフラグメントを再構成してしまうため、悪意を持った第三者によってパケットの内容が窃取されることがあります。
• CVE-2020-26147: 暗号化されたフラグメントと平文のフラグメントを混同して再構成してしまうため、悪意を持った第三者によって不正なパケットを挿入される、もしくはパケットの内容が窃取されることがあります。

詳細

周囲の電波等により無線LANフレームの再送が多発する設置環境において、BeaconフレームやDataフレームなどの送信が停止し通信できなくなる場合があります。

サービスアダプタの個体差によって発生しやすい場合があり、事象発生時はチャネル使用率が99%、ノイズフロアが-50dBmとなります。

詳細

該当する無線LANインタフェースは次の通りです。

• SA-W2 5GHz帯
• SA-W2L 2.4GHz/5GHz帯
• SA-W2S 2.4GHz/5GHz帯

電源投入から長時間経過後に初めて無線LAN機能を有効化すると、無線LANアクセスポイントが正常に動作しない場合があります。

• 起動時に取得したコンフィグが該当する無線LANインタフェースを使用しない設定であったとき、長時間経過後に該当する無線LANインタフェースを有効化すると発生します。
• 再起動により復旧できます。

詳細

該当する無線LANインタフェースは次の通りです。

• SA-W2 5GHz帯
• SA-W2L 2.4GHz/5GHz帯
• SA-W2S 2.4GHz/5GHz帯

無線LAN機能の利用中に無線LANの設定変更を行なったとき、無線LAN機能が利用不可になる場合があります。

問題発生時は、ログに「timed out waitinfor AP to come up」または「ACS: Failed to configure ACS wlan : wait channel fixed timeout」が出力されます。

問題の解消には機器の再起動が必要です。

本バージョンリリース時点ではハードウェアリビジョン Rev.DのSA-W2Lは提供を開始していません。

ハードウェアリビジョン Rev.DのSA-W2Lは、本バージョンより古いファームウェアを使用できません。

ppp[]インタフェースに次のコンフィグパラメータを追加しました。

• interface.ppp[].auth-method

PPP接続の認証メソッドに、自動選択（auto）、または認証を行わない（none）を指定できます。

詳細はテクニカルマニュアルをご覧ください。

show status interface.ge[] コマンドの表示結果に含まれる "media" の表示はイーサネットインタフェースとスイッチポート間の内部接続の状態にあたるため、通常は変化しません。外部インタフェースである各GEポートのメディアの状態は、ge[]p[] の状態を参照してください。

DHCPサーバ機能において1つのインタフェースに対して外部リストファイルを利用して設定するIPアドレスとMACアドレスの組み合わせの設定上限を1ファイルあたり1024個から10000個に拡張しました。

ただし、複数の外部リストファイルを読み込む場合はレコードの合計が12288個を超えないように記述してください。合計が12288個を超えると正しく動作に反映されません。

MAC アドレスフィルタの外部リストに関する数量の制限を変更しました。リスト内に記述できるMACアドレスの最大数が16,000個から50,000個に拡張されます。

• リストファイルごとのアドレス数を、1,000個から無制限に変更
• 全リストファイルの合計のアドレス数について制限を追加（50,000個）

次の制限は変更されません。

• MACアドレスリストファイル自体の設定数上限（16個）
• MACアドレスリストファイルごとのファイルサイズの上限（512KB）

DNS中継機能に次のDNSレコードを静的設定できます。

• Aレコード
• AAAAレコード
• PTRレコード

コンフィグ取得処理の最適化により、本装置の起動からコンフィグ取得完了までの時間を短縮しました。

詳細

Syslog転送機能の送信元IPv6アドレスにリンクローカルアドレスは指定できない仕様です。設定した場合は正しく動作しません。

RADIUSサーバが複数設定されているとき、interface.wlan[].eap.server.[]... キーのインデックス番号の昇順で利用するように修正しました。

詳細

WPA/WPA2-EnterpriseにおけるRADIUSサーバへのアクセス順序はinterface.wlan[].eap.server.[]... キーに設定されたインデックス番号の昇順である仕様ですが、設定されたインデックス番号によっては昇順とならない場合がありました。

詳細

インタフェースのアドレス設定やデフォルト経路の設定にIPv6ルータ広告を利用する設定を含むとき、まれに設定反映処理に失敗しIPv6ルータ広告パケットを受信できない状態になる可能性があります。

詳細

DHCPサーバ機能のステータス表示中の "DHCP server start time" の項目は機能が動作を開始した日時を示す仕様ですが、設定を変更した日時が表示されます。

この不具合修正に伴い、リース期間内にDHCP REQUESTメッセージを受信したときにリース開始日時を更新しないように仕様を変更しました。

詳細

DHCPサーバ機能のリース期間の設定を変更するとステータス表示の "Lease Start Time" 列に表示されるリース開始時刻が変動し、正しく表示されない状態になります。

詳細

MACアドレスフィルタにおいて、外部リスト連携機能にログ取得の有効化が設定されているとき、ログ取得を無効化する設定変更を反映しても動作に反映されません。

該当する外部リスト連携設定を一旦削除し、再度設定すると動作に反映されます。

詳細

コンフィグから次のキーを削除したときメモリリークが発生します。

• macfilter.entry.[].interface
• macfilter.entry-list.[].interface
• admission-control.mac-address.[].target.[].interface

詳細

DHCPサーバにおいて多数のアドレスを配布している場合に "show status dhcp" コマンドを実行した、または、外部リストに多数のアドレスが設定されている場合に "show status dhcp.external" を実行したとき、本機能が異常停止し再起動することがあります。

これによって、参照結果内の情報の欠損や、管理していたリース情報の消失が発生します。

詳細

DHCPサーバにおいて外部リストを利用している場合に適用インタフェースの設定のみを変更したとき、取得した外部リストが動作に反映されないことがあります。

本不具合は、次の手順で分割して反映することで回避できます。

(1) 外部リストの設定を削除する(2) インタフェースの設定を変更する(3) 削除した外部リストの設定を再設定する

また、本不具合が発生した状態の場合は、適用インタフェースおよび外部リスト設定を変更前の内容に再設定したうえで、上記の回避手順を取ることで正しく動作に反映できます。

該当するActionフレームを受信した場合は破棄するように修正しました。

詳細

• SA-W2 は本不具合に該当しません。
• システムを再起動することで復旧可能です。
• 40MHz幅でない動作モード（802.11n 20MHz幅など）に変更することで回避可能です。

詳細

PPPoEのDiscoveryステージを処理しているときに正規のPPPoEサーバからのPADOを受信する前に、細工されたPPPoE PADOフレームを複数回受信した場合、システムが再起動する可能性があります。

このようなPPPoEフレームは、PPPoEインタフェースを関連付けたGEインタフェースと同一リンク上の装置から受信する可能性があります。

この修正はNetBSD-SA2022-001への対応となります。以下のNetBSD-SA2022-001のアナウンスもご参照ください。

https://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2022-001.txt.asc

ディスク容量不足によって外部リストのダウンロードに失敗したときは適切にクリーンナップを行い再試行が成功するように修正しました。

詳細

MACアドレスフィルタ、DHCP、およびPPPAC機能が外部リストを取得時したときにディスク容量不足によってダウンロードが失敗すると、再試行時も失敗し続ける場合があります。

ログに "command wgetd, on /: file system full" が連続で出力されている場合、本不具合に該当している可能性があります。

本不具合が発生した場合、外部リストを取得している機能を一旦無効化し再度有効化することで正常化できる場合があります。

DHCPリレーエージェント機能において、転送するDHCPメッセージの送信元IPアドレスにクライアントからのメッセージを受信したインタフェースを指定し、そのプライマリアドレスを利用する機能を追加しました。本機能は次のコンフィグパラメータによって設定します。

• dhcp.relay.source-address
  • auto: リレーパケットを送信するインタフェースに付与されているアドレス（従来通り）
  • received-interface: リクエストを受信したインタフェースに付与されているアドレス

対象のチャネルは次の通りです。

• 149
• 153
• 157
• 161
• 165

5GHz帯の無線LANアクセスポイントを設定したとき、チャネル自動選択にoutdoorまたはoutdoor-nodfsを指定した場合はこれらのチャネルが選択候補に含まれます。

次のログを追加しました。

無線LAN機能設定変更時の無線LANインタフェース処理待ち合わせの際に以下のログが待ち合わせを行った回数分出力されていましたが、初回待ち合わせを行った時のみ出力するように修正しました。

• XXXXXXXX WAITING FOR STOP EVENT
• XXXXXXXX WAITING FOR prev STOP EVENT
• XXXXXXXX WAITING FOR prev START RESP EVENT

対応済みのIPv4パケットフィルタと同様に、IPv6パケットフィルタにも ...source.floatlink.address および ...destination.floatlink.address 等のキーを追加しました。

詳細

"interface.ppp[0-1].ipv6cp: enable" の設定を含むPPPインタフェースが接続中のとき、IPCPが維持されたままIPv6CPが終了されると、当該インタフェースでのIPv4通信が行えなくなります。

• IPv6通信が不要な場合はIPv6CPを有効化しないでください
• リセット機能等により再接続することで復旧します

詳細

本装置は802.1Qスタッキングフレーム（タグが多重化されたフレーム）を扱わない仕様ですが、VLANインタフェースがスタッキングフレームを受信した場合にスタックを解除したVLANフレームを意図せず転送してしまいます。

このためブリッジのメンバーにVLANインタフェースが含まれる場合、VLANインタフェースに入力されたスタッキングフレームは、当該VLANインタフェースが対応するタグを取り除いた後のVLANフレームとして他のメンバーインタフェースから出力されます。

回避手段

"interface.bridge[].forward.other : disable" を設定すると、IP、IPv6、およびPPPoEでないフレームのブリッジ転送を無効化できます。（VLANを含む「その他」のフレームが転送されなくなります）

• SA-W2 5GHz帯、SA-W2L・SA-W2Sの無線LANのエアタイム取得処理を見直して処理速度を改善しました。
• show status wlan.tech-support、show tech-supportの出力項目にエアタイムを復帰しました。

無線LANクライアントとの通信が一定時間行われない際の無線LANクライアント切断時でも切断ログの出力と切断イベントの記録を行う様に修正しました。

詳細

無線LANクライアントとの通信が一定時間行われないと無線LANクライアントとの接続を切断しますが、この場合に切断ログと切断イベントを記録していまでんでした。

詳細

SA-W2Lの内蔵のモバイルデータ通信端末について、環境によって稀に電波の受信レベルが100%を超えたりマイナスの値で表示される場合があります。

詳細

ダウンロードしたファームウェアイメージファイルの破損を検知した場合はリトライする動作に変更しました。

ダウンロードしたファイルが破損していた場合の他、HTTPプロキシを介してダウンロードする構成の場合にプロキシからエラー応答を受信した場合に、ファイルの破損と認識する場合があります。

DHCPサーバ機能において DNS, NTP, WINSのいずれかのサーバのアドレスを複数指定した場合に、コンフィグキーに含まれるインデックスの順序とDHCPメッセージに含める各サーバのアドレスの順序が一致しない不具合を修正しました。

詳細

ルーティングベースIPsecによって生成されたIPsecセキュリティポリシーを "show status ipsec.security-policy" コマンドで参照したとき、日時情報が表示されません。

詳細

SLAACリンクローカルアドレスと同じ経路を持つIPv6リンクローカルアドレスをインタフェースに設定し、その後に削除すると、SLAACリンクローカルアドレスが存在するにもかかわらず同経路が削除されます。

詳細

モバイルデータ通信端末の切断処理の失敗が当該端末の認識後180秒以内に起きた場合、自動リセットが働かない不具合があります。

詳細

フィルタ条件のうち、...address と ...hostname は同時に指定できませんが、重複した場合のエラー検出に関する次の不具合を修正しました。

• ...destination.address および ...destination.hostname が同時に指定された場合のエラーメッセージが正しくない
• ...source と ...destination の両方で ...address と ...hostname が同時に指定された場合に、一方のエラーを検出しない
• ブリッジフィルタにおいて、...address と ...hostname を同時に指定された場合にエラーを検出しない

詳細

IPv4パケットフィルタにおいて、...foatlink.address のバリューに不正な文字が含まれていてもエラー検出されない不具合を修正しました。

RAMDISK に割り当てるメモリサイズを調整しました。

詳細

多数の機能が有効化されているとき、内部的なリソース不足により外部リストの取得やステータス参照オペレーションに失敗する場合があります。

詳細

CVE-2022-0778として報告されたOpenSSLの脆弱性に該当します。細工された証明書を処理した場合に無限ループが発生し、サービスの停止、およびCPU使用率の増加が発生する可能性があります。

通信にHTTPSを用いる次の機能において、中間者攻撃などにより不正な証明書が渡された場合に該当します。

• SMFv2機能
• フロートリンク機能

TLSサーバとして動作する次の機能のコンフィグに、使用者が不正な証明書を設定した場合に該当します。

• PPPACのSSTP機能

外部リストの取得やHTTPS APIの呼び出しを行う次の機能において、HTTPSを指定して不正なサーバに接続した場合に該当します。

• アプリケーションゲートウェイ機能
• DHCPサーバ機能
• MACアドレスフィルタ機能
• PPPAC機能
• DDNS機能
• インターネットブレイクアウト機能

指定したURLからファイルを取得するmeasure downloadなどのコマンドにおいて、不正なサーバに接続した場合に該当します。

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0778

固定アドレス配布のリストファイル内のMACアドレスに対してアドレスプールからのリースが可能になりました。MACアドレスに対応するIPv4アドレスの代わりに "POOL" を記述すると、アドレスプール内の空きアドレスをリースします。

また、既知のMACアドレスを持つクライアントのみにアドレスを配布する機能を追加しました。本機能を有効化すると、次のいずれかに該当するMACアドレスからのリクエストにのみ応答します。

• リストファイルにIPアドレスが指定されているMACアドレス
• リストファイルに"POOL"が指定されているMACアドレス
• コンフィグにIPアドレスが指定されているMACアドレス

• コンフィグキー bgp.neighbor.[].soft-reconfiguration を追加しました。"inbound" を指定すると、隣接ルータから受信した経路情報を見評価の状態で保持します。
• show status bgp.neighbor <IPv4address> received-routes コマンドを追加しました。IPアドレスを指定し、 "...soft-reconfiguration : inbound" によって保持されている評価前の経路情報を参照できます。
• show status bgp.neighbor <IPv4address> advertised-routes コマンドを追加しました。IPアドレスを指定し、隣接ルータに送信した経路情報を参照できます。
• show status bgp.neighbor <IPv4address> コマンドを追加しました。隣接ルータの情報をIPアドレスで絞り込んで参照できます。

PPPAC機能にL2TPのダイアルインの受け入れ機能を追加しました。

本機能を有効化するとProxy LCP AVPおよびProxy Authentication AVPを受け入れることができます。

本機能は「IIJ認証アウトソースサービス」が提供するVPDN機能との相互接続を想定し動作を確認しています。

外部のRADIUSサーバにユーザ認証（Authentication）およびユーザごとの利用統計情報の管理（Accounting）を委任できます。

MACアドレスフィルタ機能のステータス参照に以下の 5 つのコマンドを追加しました。特定のインタフェースに紐づくフィルタや指定した MACアドレスのフィルタなど条件を絞ってステータスが確認できます。

• show status macfilter summary
• show status macfilter interface <Interface>
• show status macfilter entry <Index>
• show status macfilter entry-list <Index>
• show status macfilter mac-address <MAC Address>

次のコンフィグキーを追加しました

• nat.ipv4.napt.[].global
  • NAPT適用時の送信に使用するグローバルアドレスを指定する
• nat.ipv4.snapt.[].listen.address
  • 静的NAPT適用時の受信に使用するグローバルアドレスを指定する

ルーティングベースIPsec（IPsecインタフェース）の設定において、トランスポートモードを使用する折衝が可能になりました。

IKEv1またはIKEv2に次のキーを設定すると、折衝時にトランスポートモードを使用します。

• interface.ipsec[].ike.proposal.phase2.use-transport-mode
• interface.ipsec[].ike.v2.proposal.child-sa.use-transport-mode

route.{ipv4|ipv6}.[].fqdn.destination が設定されている経路にも次のキーを設定できます。

• route.{ipv4|ipv6}.[].keepalive.service
• route.{ipv4|ipv6}.[].keepalive.target
• route.{ipv4|ipv6}.[].distance

また、ibo.server... に次のキーが追加されます。

• ibo.server.[].{ipv4|ipv6}.keepalive.service
• ibo.server.[].{ipv4|ipv6}.keepalive.target
• ibo.server.[].{ipv4|ipv6}.distance

MTUを指定するinterface.<interface>.mtuキーを追加しました。

• MTUを1280-1500の範囲で設定できます。
• ge[]インタフェースおよび bridge[]インタフェースはMTUを直接指定できます。
• vlan[]インタフェースはinterface.vlan[].overキーで指定されたGEインタフェースのMTUを使用します。

詳細

VLAN 0 Priority TagでカプセリングされたIPv4およびIPv6パケットはブリッジフィルタにマッチせず常にパスされます。

詳細

VLAN IDが0のIEEE 802.1Q形式のタグ付きフレームはVLANタグを外して通常のEthernetフレームとして受信されるべきでしたが、意図せず破棄されていました。

詳細

内部的な排他処理に問題があり、ごく短期間に繰り返し設定変更を行った場合や、IPアドレスの動的な変化などとコンフィグ変更が同時に発生した場合に、 ごく稀なタイミングにより変更内容が反映されない可能性があります。

詳細

内部的な排他処理に問題があり、コンフィグ変更とフロートリンク関連の処理が同時に発生した場合、稀にインタフェースの設定が正しく反映されない可能性あります。

詳細

静的経路自動切替の監視対象アドレスを変更したとき、変更後のアドレスが他の監視によってアップ状態であると、設定変更した経路が削除され復帰しない不具合があります。

本不具合に該当した場合、監視ステータス（show status route.ipv4.keepalive）上は監視UP状態の経路であるにもかかわらず、経路表（show status route.ipv4）に含まれない状態になります。該当する経路の設定を一旦を削除した後、再度設定を追加することで復旧します。

詳細

• TCP port 21(ftp)のパケットをパスするフィルタが無い場合は該当しません。
• 上限を超えるフィルタステートを作成しようとすると、"iipf: filter rule is full" のログが出力されます。

詳細

インタフェースがリンクダウン状態であると通常OSPFv2は当該インタフェースでプロトコルの動作を行いませんが、インタフェースのIPアドレスの値や有無が変化したとき、リンクダウン状態であってもOSPFv2がリンクアップ時相当の動作を開始してしまいます。この場合、OSPFv2の内部状態の不整合が発生し、実際のリンクアップ時に正しく動作しません。

リンクがダウンしているインタフェースについて OSPFv2 が次のログを記録している場合、本不具合の影響により OSPFv2 が当該インターフェイスで正しく動作していない可能性があります。

• DR-Election[1st]: Backup <ip address>
• DR-Election[1st]: DR <ip address>
• DR-Election[2nd]: Backup <ip address>
• DR-Election[2nd]: DR <ip address>

詳細

サービスホストとの接続が「接続持続型」で確立しているとき、オペレーションを実行するとごく稀に「操作用接続確認」に関するメッセージを送信しない状態に陥ることがあります。

この場合は操作用接続セッションを失うと次回以降のオペレーションが実行できなくなります。

インターネットブレイクアウト機能による経路表の更新がFQDNパターンにマッチする通信のDNS解決よりも後になることで、クライアントの通信が切断される問題を軽減しました。

これに伴い、インターネットブレイクアウト機能による経路の追加を伴う場合のDNS中継機能の応答が若干遅延することがあります。有効な経路情報が追加済みの場合の応答には影響しません。

詳細

詳細

詳細

特にルータ広告によってIPv6アドレスが付与されている場合、受信した広告情報によってIPv6アドレスを削除することがあるため、コンフィグを変更しない場合でも本不具合が発生する可能性があります。

• interface.ipsec[0-511].ike.proposal.phase1.dh-group
• interface.ipsec[0-511].ike.proposal.phase2.pfs-group
• interface.l2tp[].ike.proposal.phase1.dh-group
• interface.l2tp[].ike.proposal.phase2.pfs-group
• ike.peer.[].proposal.dh-group
• ipsec.security-policy.[].ike.proposal.pfs-group

次のキーを追加しました。

• upnp.timeout
• upnp.timeout-type

次のキーを追加しました。

• nat.ipv4.option.limit.session-per-ip

loopback0インタフェースに設定したIPv4アドレスおよびIPv6アドレスは、 各機能の送信元アドレス、または受信アドレスに使用できます。

また、loopback0は以下のパラメータにインタフェースとして設定できます

• インタフェースをUnnumberedとする場合のアドレス借り受け元インタフェース
  • interface.tunnel[].ipv4.address
  • interface.ipsec[].ipv4.address
• OSPFv2を使用するインタフェース
  • ospf.link.[].interface

詳細

リモートアクセスユーザのパスワードの先頭に"@"を設定すると、先頭の"@"を含まない文字列がパスワードであるように扱われます。このため、認証時に先頭に"@"を含むパスワードを使用すると認証エラーになります。

詳細

VRRP version 3では該当しません。

詳細

詳細

リモートアクセスユーザ名に「|」が含まれる設定を書式エラーとして扱うように変更しました。

詳細

リモートアクセスサーバのユーザ認証のユーザ名に「|」が含まれている場合、想定していないユーザ名でもユーザ認証が成功します。

例: ユーザ名に「us|er1」を設定した場合、「us|er1」のほか「us」「er1」についても有効なユーザ名として扱われます。

IPsecインタフェースを構成するコンフィグパラメータのうち、次のキーについて省略不可に変更しました。

• interface.ipsec[].preshared-key
• interface.ipsec[].source
• interface.ipsec[].destination

詳細

DHCP リレー機能の受信処理においてエラー発生時に動作が不安定になることがあります。

次の errorレベルのログが dhcp から出力されている場合は本不具合に該当します。

• "cannot read fd (<num>) : <error message>"

詳細

詳細

詳細

サービスホストとの操作用接続が接続待受型で確立している場合、コンフィグの即時反映オペレーションの実行中にインタフェースのアドレスが変化すると、稀にアドレスの変化をサービスホストに通知する機能が停止します。

この通知機能の停止中にインタフェースのアドレスが変化すると、サービスホストが管理する接続元アドレスとの不一致によりオペレーションが実行できない状態に陥ります。

操作用接続が接続持続型で確立している場合は本不具合に該当しません。

次のログが記録された場合は、接続元アドレスの変化をサービスホストに通知する機能が停止しています。

(1) 中継先DNSサーバアドレスの更新処理時に機能停止が発生しないように修正しました。

(2) 中継先DNSサーバアドレスの設定にIPCPによる自動取得が指定されていない場合は、PPPやPPPoEインタフェースの接続状態が変化しても更新処理を行わないように変更しました。

詳細

(1) 中継先DNSサーバアドレスの更新処理が実行されたとき、中継先DNSサーバアドレスの反映に失敗する、またはDNS中継機能が停止する場合があります。

更新処理は、DHCPやIPCPによって自動取得している中継先DNSサーバアドレスの更新時に実行されます。これはDHCPでIPアドレスを取得しているインタフェースのリンクダウン・アップや、IPCPを使用しているPPPまたはPPPoEインタフェースの接続状態の変化に伴って発生します。

DNS中継機能の動作状態は、 show status dns-forwarder コマンドで参照できます。

DNS中継機能が機能停止状態に陥った場合は、コンフィグ変更操作によってDNS中継機能を無効化し、再度有効化することで復旧します。

(2) 中継先DNSサーバアドレスをIPアドレスで直接設定している場合であっても、PPPまたはPPPoEインタフェースの接続状態が変化すると、中継先DNSサーバアドレスの更新処理が実行されます。この更新処理によって中継先DNSサーバアドレスが変化することはありませんが、(1)の不具合発生のきっかけになる場合があります。

中継先DNSサーバアドレスをIPアドレスで直接設定している、かつ、PPPまたはPPPoEインタフェースのいずれも使用していない場合は、(1)および(2)の問題は発生しません。

Micorosoft社のWebAPIを利用してOffice365関連ホストのFQDNパターン情報を得るとき、以下のルートCA証明書を信頼します。詳細はMicrosoft社のアナウンスを参照してください。

• Baltimore CyberTrust Root
• CNNIC ROOT
• D-TRUST Root Class 3 CA 2 2009
• D-TRUST Root Class 3 CA 2 EV 2009
• DigiCert High Assurance EV Root CA
• DigiCert Global Root CA
• DigiCert Global Root G2
• DST Root CA X3
• Entrust Root Certification Authority - G2
• Entrust.net Certification Authority (2048)
• GlobalSign Root CA
• GlobalSign Root CA - R2
• GlobalSign Root CA - R3
• Microsoft EV ECC Root Certificate Authority 2017
• Microsoft RSA Root Certificate Authority 2017
• thawte Primary Root CA - G3
• VeriSign Class 3 Public Primary Certification Authority - G5

SNMP機能のインタフェース情報収集処理を改善しました。

詳細

不具合に該当すると、show status dns-forwarder で表示される 中継先DNSサーバアドレスに、設定されるべきアドレスと異なる アドレス（以前に使用されていたアドレス）が表示されます。

回避方法はありません。

再度設定を変更する、または動的に取得されるDNSサーバの情報に変化があると、更新される場合があります。

詳細

次の条件に該当すると、折衝完了後に通信ができない場合があります。

• IKE Phase1 が始動側で折衝完了し、Phase2が受動側で折衝完了する

詳細

モバイルデータ通信端末を使用するPPPインタフェースの接続を開始するとき、微量のメモリリークが発生します。

また、微量のメモリリークが蓄積した状態でモバイルデータ通信端末のリセット（手動または自動）が実行されたとき、大きなメモリリークが発生する場合があります。

WWANインタフェースを使用する場合は影響を受けません。

指定された条件に基づいてイーサネットインタフェースからのパケット送信を制御することができます。また、パケット送出時にIPヘッダのDSCP値またはIEEE 802.1QヘッダのCoS値を任意の値に書き換えることができます。

受信済みのルータ広告と異なるプレフィックスやデフォルトルータを含むルータ広告を受信したとき、通常は先に受信した古いルータ広告の情報を優先します（RFCに準拠する動作）。

本オプションを有効化すると、最後に受信した新しい広告の情報を優先するように動作を変更します（RFCに非準拠の動作）。これにより、ゲートウェイルータのリプレースや設定変更に伴うプレフィックスやルータドレスの変更に素早く追従することができます。

transix IPv4接続（固定IP）を利用することで、IPv4 over IPv6技術（IPIP方式）により、IPv6インターネット上で固定IPv4アドレスによるインターネット通信を実現できます。

インターネットマルチフィード株式会社のtransix IPv4接続（固定IP）サービスが提供するDDNSサーバの利用を想定しています。

詳細

上位のルータ装置の変更などによって広告されるルータアドレスが変化したとき、古い広告の有効期限が満了しても、新しく広告されている経路に切り替わらない場合があります。

詳細

ルータ広告受信機能が設定されたインタフェースがリンクダウンおよびリンクアップした後に、設定変更によりルータ広告受信機能が削除された場合、削除されたIPv6アドレスに対応するコネクテッド経路が経路表から削除されません。

詳細

PPPoEインタフェースの設定においてパスワード文字列に"#"が含まれる場合、コンフィグ変更操作によってPPPoEが切断されます。

即時反映オペレーションでコンフィグを変更したとき、 PPPoEインタフェース以外の変更を含む場合に、パスワードに"#"を含むPPPoEインタフェースの接続が切断されることがあります。

本不具合は、以下のキーの変更を含むコンフィグ反映では発生しません。

• interface.pppoe[].id
• interface.pppoe[].ipcp
• interface.pppoe[].ipv6cp
• interface.pppoe[].mtu
• interface.pppoe[].auto-connect

詳細

interface.pppoe[].password に "\" を含む文字を指定するには "\\" のように置換する必要がありますが、置換されている場合でも動作に反映されず認証に失敗します。

パスワードに含まれる `"\"` を`"\\\\"` に置換することで `"\"` として動作に反映されます。

※不具合に該当するバージョンのファームウェアにおいてのみ有効な回避手段です。

詳細

interface.pppoe[].id に "#" を含場合は "\#" に置換する必要がありますが、置換されている場合でも#以降の文字列が動作に反映されず認証に失敗します。

interface.pppoe[].id に "\" を含場合は "\\" に置換する必要がありますが、置換されている場合でも\が動作に反映されず認証に失敗します。

"#" を "\\#" に置換することで "#" として動作に反映されます。 また、"\" を "\\\\" に置換することで "\" として動作に反映されます。

※不具合に該当するバージョンのファームウェアにおいてのみ有効な回避手段です。

route.ipv4.[].dns.destination キーを追加しました。

DHCPまたはIPCPによるDNSアドレスの自動取得と連動して、各DNSアドレスを宛先とし、バリューの値をゲートウェイとする静的経路（プレフィックス長が32のホスト経路）を設定できます。

従来の外部リストファイルによる固定割り当てに加えて、コンフィグ内にIPアドレスとMACアドレスの対を設定できます。

これにより、UDPのDNSリクエストを受け付ける判断基準が「コンフィグで指定されたインタフェースと、受信インタフェースが一致すること」のみになります。

詳細

次回起動時反映では発生しません。

正常化するには再起動が必要です。

仮想IPアドレスの削除と実インタフェースへのIPアドレスの追加を分けて反映することで回避できます。

詳細

WEP利用時にクライアントが接続すると次のerrorレベルのログが出力されますが、異常ではありません。

error   kern ieee80211_wepconnect 862 crypto_setkey[5] [ac:3f:a4:XX:XX:XX:XX] 

ホスト名データベースが設定されている場合は優先的に参照するように修正しました。

以下に該当する設定変更について、再接続処理を行わないように修正しました。

• interface.pppoe[].ipv4.tcp-mss キーのバリューの変更
• interface.pppoe[].ipv6.tcp-mss キーのバリューの変更
• interface.pppoe[].idle-timer キーのバリューの変更
• デフォルト値に相当するバリューが設定されたキーを削除した場合、またはその逆（変更前後で値が変化しない場合）

詳細

本装置自身が名前解決を行う機能全般が影響を受けます。

例として、pingコマンドにアンダーバー (_) を含むドメイン名を指定すると次のように失敗します。

ping: Cannot resolve "under_score.example.com" (Unknown host)

DNS中継機能は本不具合の対象ではありません。

詳細

詳細

ルータ広告受信インタフェースを変更したとき、変更前の経路情報が削除されないまま変更後の経路情報が追加され、意図せずマルチパス経路の状態になる可能性があります。

詳細

リゾルバが使用するDNSサーバのうち、到達性の無いDNSサーバが1つのみの場合は該当しません。

詳細

CVE-2020-12663によって報告されたUnboundの脆弱性に該当します。ドメイン名情報を細工された上位サーバからのDNSレスポンスを処理する時、無限ループが発生してDNS中継機能が応答不能になり、CPU使用率が増加する可能性があります。DNS中継機能を使用していない場合は本脆弱性の影響を受けません。

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12663

詳細

具体的には、以下のようなエントリが問題に該当します。

route.ipv4.0.destination      :192.168.110.0/24
route.ipv4.0.distance         :10
route.ipv4.0.gateway          :ipsec0
route.ipv4.0.keepalive        :enable
route.ipv4.0.keepalive.target :192.168.110.1

route.ipv4.1.destination      :192.168.110.1/32
route.ipv4.1.gateway          :ipsec0
route.ipv4.1.distance         :100

route.ipv4.2.destination      :192.168.110.0/24
route.ipv4.2.gateway          :discard
route.ipv4.2.distance         :100

• "route.ipv4.0" は、192.168.110.0/24について、ゲートウェイをipsec0とする経路です。静的経路自動切替を有効化します。
• "route.ipv4.1"は、"route.ipv4.0" の静的経路自動切替の監視パケットの送信時のゲートウェイをipsec0とする経路です。
• "route.ipv4.2" は、192.168.110.0/24について、ゲートウェイをdiscardとする経路です。ipsec0インタフェースのダウン時に監視パケットが他の経路によって監視先に到達することを防ぐのが目的です。

このとき、route.ipv4.2のプレフィックス長が、route.ipv4.1のプレフィックス長より短いことによって問題に該当します。

• 問題に該当する場合、監視パケットを正常に送信できず、監視を有効化した経路（route.ipv4.0）がダウンしたままになります。
• ゲートウェイとなるインタフェースの設定にフロートリンクを使用しない場合は発生しません。
• route.ipv4.2のプレフィックス長を、route.ipv4.1と同じにすることで回避可能です。

詳細

SA-W1自身のIPアドレスが変化した場合などにDHCPサーバ機能の再設定が行われますが、このときブリッジインタフェースにおけるリース情報の引き継ぎに失敗します。

アドレス情報の配布や、配布済みのクライアントに対する影響はありません。

詳細

OSPFv2のAS-external LSAのLink State IDには基本的に広告するprefixのNetwork部が使用されます。このため広告するprefixによっては、複数のprefixが同じLink State IDに割り当てられる場合があります。Link State IDの衝突が発生した場合、通常は代替のLink State IDを割り当てる事でこれを回避しますが、代替のLink State IDが割り当てられず当該prefixの広告に失敗することがあります。

広告に失敗したprefixは次のいずれかの手段で復旧可能です。

• OSPFv2を一旦無効化したのちに有効化する
• システムを再起動する
• 再配布元から改めて再配布を受ける

詳細

OSPFv2のエリアの経路集約範囲を設定し集約するべき経路が存在する場合、集約範囲宛ての経路が経路表にブラックホール経路として生成されます。経路集約範囲の設定を削除または変更したとき、このブラックホール経路が適切に削除されません。

経路集約範囲の設定を変更または削除する前に、そのエリアに所属するインタフェースの設定を削除することでこの問題の発生を回避できます。

詳細

point-to-pointインタフェースをゲートウェイとするマルチパス経路を作成すると、本来の経路に加えて、宛先が同一で "Flags" が "M*!" となる不要な経路が経路表に表示されます。

なお、この不要な経路が転送に使用されることはありません。

詳細

詳細

不要な動的NATルールが存在する場合、次のいずれかの操作によって削除できます。

• clear nat-session ipv4 コマンドを実行する
• 残存セッションのグローバルアドレスを含む動的NAT設定を追加する

詳細

問題に該当した場合は次のログが記録されます。

• script exited abnormally - SIGNALED=1(15) STOPPED=0(0)

通信負荷が低いときに実行することで回避できます。

詳細

5GHz帯の無線LANアクセスポイントにクライアント端末が接続されているとき、無線LAN通信に異常な通信遅延が発生する場合があります。

無線LANの再接続により改善する場合があります。

詳細

1. route.ipv6.[].fqdn.destination を指定している経路のゲートウェイアドレスにIPv6リンクローカルアドレスを指定すると、DNSクエリがFQDNパターンにマッチしても経路が作成されません。ゲートウェイに router-advertisement またはグローバルアドレスを指定した場合は正常に作成されます。
2. route.ipv6.[].fqdn.destination または ibo.server.[].gateway に router-advertisementを指定している状態で、ルータ広告受信インタフェースの設定を変更すると、変更前の受信インタフェース宛ての経路が削除されず不正なマルチパス状態となります。これは "clear ibo" コマンドにより復旧可能です。

詳細

詳細

一旦インタフェースのIPv6アドレス設定を削除したコンフィグを反映し、その後にIPv6アドレスを設定したコンフィグを反映することで回避・復旧できます。

詳細

DNS中継機能の設定変更を含むコンフィグの即時反映操作を実行したとき、その直前にインタフェースの状態変化などに伴う中継先DNSサーバアドレスの更新処理が発生しタイミングが重なると、中継先DNSサーバアドレスが更新されない、またはDNS中継機能が動作を停止する可能性があります。

潜在的な不具合であり、ごくまれなタイミングで発生する可能性があります。

中継先DNSサーバアドレスをIPアドレスで直接設定している場合は発生しません。

DNS中継機能の動作状態は、show status dns-forwarder コマンドで参照できます。

本不具合が発生した場合は、コンフィグ変更操作によってDNS中継機能を無効化し、再度有効化することで復旧する可能性がありますが、設定変更は本不具合のきっかけになるため、再度発生する可能性があります。

詳細

nameserver '<中継先のIPアドレス>' changed the status to up

`show status dns-forwarder` で各中継先サーバの実際のステータスを確認することが可能です。

時間経過により再度中継先サーバの利用を試みます。また、DNS中継機能の設定変更により全ての中継先サーバのステータスがupになります。

詳細

該当する無線LANインタフェースは以下となります。

• SA-W2 5GHz帯
• SA-W2L 2.4GHz/5GHz帯
• SA-W2S 2.4GHz/5GHz帯

問題が発生した場合、以下のログが出力されます。

ACS: Failed to configure ACS wlan : wait channel fixed timeout

また show status interface.wlan[] コマンドで取得できる「SSID」の値が「SELECTING_CHANNEL」のままとなります。

        SSID: SELECTING_CHANNEL

問題の解消には機器の再起動が必要です。

詳細

DHCPサーバ機能の設定において複数のインタフェースで同時に外部リストを利用し、そのファイルサイズの合計が1～２MB以上となる場合に、記録領域が不足することでシステム全体の動作が不安定になることがあります。

詳細

該当する無線LANインタフェースは次の通りです。

• SA-W2 5GHz帯
• SA-W2L 2.4GHz/5GHz帯
• SA-W2S 2.4GHz/5GHz帯

無線LAN機能の送信出力制限の設定を100%以外に設定した場合、設定した値ではなく100%となってしまうことがあります。

問題の発生はshow tech-supportもしくはshow status wlan.tech-supportコマンドで出力される「[Adjusted Internal Transmit Power (<周波数帯>)]」の値がコンフィグで設定した値とは違っていることで確認できます。

問題の解消には無線LAN機能設定変更の実施が必要となります。

システムや各デーモンプロセスが大量にログを出力しているとき、一時的にログを正しく取得できない場合があります。

• この場合、show logコマンドの結果が空となります。
• 大量にログを出力する状況が改善すると回復する場合があります。