================================================================================

 IX2106ソフトウェア Ver.10.2.16 リリースノート

                                                      2019.09.24 NEC Corporation
================================================================================

1. 適用機種
-----------

 IX2106/IX2106-Z


2. プログラムファイル名
-----------------------

  o ldcファイル ... ix2106-ms-10.2.16.ldc
  o rapファイル ... ix2106-boot-5.1-gate-ms-10.2.16.rap

  本装置は「プログラムファイル2面管理機能」による安全なバージョンアップ手順に
  対応しています。
  この手順では、「software-update」コマンドを使用します。
  手順の詳しい内容は取扱説明書をご参照ください。


3．機能強化内容
---------------

  [1] NetMeister対応を強化しました。

    o NetMeister Ver4.0に対応しました。

      ・NetMeisterからIXルータまたは子機の設定変更する際に、NetMeister
        操作に連動して一時的にWAN側からのアクセスを可能とする機能を
        追加しました。

      ・NetMeisterに接続されたIXルータに対して、一括でダイナミックVPN
        を設定するNetMeisterの機能に対応しました。また、NetMeister上で
        ダイナミックVPNの接続状態を表示する機能にも対応しました。

    o NetMeisterとの接続性を向上しました。

      ・NetMeisterとの通信で使用する送信元アドレスを指定する機能を
        追加しました。複数のWANインタフェースがある場合など、NetMeister
        と通信するアドレスを指定することができるようになります。

      ・プロキシサーバ経由で、NetMeisterからNGN閉域網に接続された
        IXルータの設定や管理ができるようになりました。

  [2] MAP-E機能を強化しました。

      ・NTTコミュニケーションズのOCNバーチャルコネクトに対応しました。

      ・BIGLOBEのIPv6オプションに対応しました。

  [3] WebコンソールによるNGN閉域網VPN設定に対応しました。

      Webコンソール機能を使用して、NGN閉域網VPNを設定できるように
      なりました。

  [4] ログイン時のセキュリティを強化しました。

      ・telnetおよびsshによるログイン認証無しでログインすることが
        できないようにしました。ただし、AAAのログイン認証方式でnoneを
        指定している場合を除きます。

      ・認証無しでログインした場合に、コンソール上に警告表示し、
        また、イベントログに記録するようにしました。

      ・ログイン認証に連続して失敗した場合、ログイン処理を一定時間
        ロックする機能を追加しました。

      ・各ログインパスワード設定時にパスワードの強度を表示する機能を
        追加しました。

  [5] アクセスリスト設定順指定機能を対応しました。

      アクセスリストで表示される一覧の、途中に設定を追加できるように
      なりました。

  [6] PPPoEパススルー機能に対応しました。

      LAN側のPPPoEクライアントをPPPoEパススルーしている状態で、他の
      プロトコルも利用できるようになりました。

  [7] DNS機能を拡張しました。

      ・DNSサーバがDNSラウンドロビン機能を搭載し、そのDNSサーバから
        前回解決したアドレスと異なるアドレスが通知された場合でも、
        可能な限り前回のアドレスを使用して通信を継続する機能を追加
        しました。

      ・ドメインごとのDNSサーバアクセス振り分けに対応したことで、
        DNS問い合わせ先のDNSサーバを特定ドメイン向けに限定できるよう
        になりました。

  [8] プライベートMIBを拡張しました。

      ・QoS MIBを対応しました。

      ・NAPTキャッシュMIBを対応しました。

  [9] NAPTのEIMモードを対応しました。

      NAPTのEIMモードを対応したことにより、LAN側のP2P端末の利便性が
      向上しました。

  [10] コンフィグダウンロード機能に、リトライ周回数指定機能を追加
       しました。

      従来は、コンフィグのダウンロードが完了するまで無限に全サーバ
      を周回してダウンロード試行していましたが、リトライ周回数指定
      機能によって、ダウンロード失敗時にはその時点で保持している
      コンフィグによって起動できるようになりました。

  [11] UTM機能を拡張しました。

      ・UTMイベントログをsyslog送信する際に、特定の送信先を設定できる
        ようにしました。

      ・URLフィルタリングの試験運用機能を追加しました。
        URLフィルタリング条件に一致した通信であったとしても、廃棄せず、
        ログで確認することができます。

      ・セキュリティ・スキャン機能別のホワイトリスト設定に対応しました。

      ・グループ別UTMポリシー設定機能を追加しました。

      ・UTMサーバとの通信で使用する送信元アドレスを指定する機能を
        追加しました。複数のWANインタフェースがある場合など、UTMサーバ
        と通信するアドレスを指定することができるようになります。

      ・UTM機能拡張に伴い、Webコンソールを追加対応しました。

      ・NetMeister Ver4.0のUTM脅威分析機能に対応しました。

      ・UTMサーバからダウンロードするシグネチャについて、
        新フォーマットのシグネチャをダウンロードできるように対応
        しました。


4. 仕様改善/変更
----------------

  [1] ping/tracerouteコマンドで、nexthopを指定できるパラメータを追加
      しました。

  [2] nhrp holding-timeコマンドにて、NHRPキャッシュを時間経過で削除しない
      設定を追加しました。(nhrp holding-time 0)

  [3] show running-configコマンドに、watch-group設定表示を行うパラメータを
      追加しました。

  [4] show ip ufs-cacheコマンドで、UTM対象外トラフィックを判別できるよう
      に改善しました。

  [5] software-updateコマンドで、無効なIPv6アドレスをソースアドレスに選択
      できないよう改善しました。

  [6] OpenSSLのバージョンを、OpenSSL-1.1.1d にアップデートしました。

  [7] ダイナミックDNSおよびNetMeister利用時のHTTPSクライアント機能で、
      SERVER_NAMEを通知できるよう改善しました。

  [8] ping/tracerouteコマンドで、nexthop/interfaceを指定した際のコマンド
      ヘルプおよびエラーメッセージを改善しました。

  [9] show ddnsコマンドで、ダイナミックDNSサーバからの応答内容を表示する
      'result'の表示可能なbyte数を1,000byteから4,096byteに拡張しました。

  [10] show dynamic-qos statusコマンドに、端末毎に規制が実行された累積
       回数の表示を追加しました。

  [11] ikev2のsource-address指定コマンドで、ユニキャストアドレス以外を
       設定した際に表示される以下のエラーメッセージの'Unicast'の文字を
       'unicast'に変更しました。

         % Input IPv4 address isn't Unicast address.
         % Input IPv6 address isn't Unicast address.
                                      ↓変更
         % Input IPv4 address isn't unicast address.
         % Input IPv6 address isn't unicast address.

  [12] MAP-E利用中のIPv6ソースアドレス選択方法を改善しました。

  [13] ダイナミックVPNでのNHRPアドレス解決失敗時に出力される以下のイベント
       ログのレベルをwarnからnoticeへ変更しました。
        ・NHRP.006
        ・NHRP.015

  [14] ログイン・タイマ(terminal timeout)のデフォルト値を、0(自動ログアウト
       なし)から60(60分)に変更しました。

  [15] usernameコマンドのハッシュ化モードのdefault値を'0'(旧方式)から
       '1'(新方式)へ変更しました。

  [16] 最後に取得したMAP-EルールをFLASHメモリに保存することにより、
       再起動直後のhttps通信を回避し、サーバへのアクセス集中を抑制
       するようにしました。


5. 不具合修正
-------------


  [1] OpenFlowを使用した場合に、フローエントリにDSCPを設定しても正しく
      マッチしない問題を修正しました。
      本問題は過去全てのバージョンで発生します。

  [2] LAN内のFTPクライアントからアクティブモードでFTP実行後に、NAPTの
      キャッシュが消えず、ポート21のエントリがTime 0で残ったままとなる
      ことがある問題を修正しました。
      本問題は過去全てのバージョンで発生します。

  [3] MAP-E利用中、MAPルール取得ごとにNAPTキャッシュがクリアされる問題を
      修正しました。
      本問題はVer10.1.14版以降で発生します。

  [4] ネットワークモニタにおいて、複数のshutdown-route実行中に複数の
      resume-routeを実行した場合、resume-routeのactionが復旧しないことが
      ある問題を修正しました。
      本問題は過去全てのバージョンで発生します。

  [5] BGPにおいて、ネクストホップへの経路があっても、その経路が有効でない
      場合にBGPの経路が消えない場合がある問題を修正しました。
      本問題は過去全てのバージョンで発生します。

  [6] MAP-E動作中に事業者側のリレールータ(BR)のアドレスの変更があった場合、
      通信不可となる可能性がある問題を修正しました。
      本問題はVer10.1.14版以降で発生します。

  [7] 特定のMAP-Eルールを取得すると、正しいIPアドレス(CEアドレス)が割り
      当てられず、通信不可となる可能性がある問題を修正しました。
      本問題はVer10.1.14版以降で発生します。

  [8] MAP-E以外のトンネルインタフェースでコンフィグ変更を行うと、MAP-E
      トンネルが停止状態となることがある問題を修正しました。
      本問題はVer10.1.14版以降で発生します。

  [9] OSPFv2において、デッドタイマ値が再送間隔の2倍以下となり、さらに接続
      Neighbor同士が送信するDDパケットのシーケンス番号が同じ場合にネイバ
      隣接関係が成立しないことがある問題を修正しました。
      本問題は過去全てのバージョンで発生します。

  [10] NetMeisterのURLオフロード連携にて、特定の操作時にオフロードDBが
       空となることがある問題を修正しました。
       本問題はVer10.1.14版以降で発生します。

  [11] UTMが無効の状態で、WebコンソールのUTMの詳細設定ページ内にある
       「脅威レポートの通知設定」の設定が表示されない場合がある問題を修正
       しました。
       本問題はVer10.1.14版以降で発生します。

  [12] WebコンソールのUTMホワイトリスト設定で、ポート指定をした際に
       ハイフン[-]を2つ以上入れてもエラーにならない問題を修正しました。
       本問題はVer10.1.14版以降で発生します。

  [13] NGN網で、outgoing-interfaceを使用するとトンネルの複数対地接続が
       できない問題を修正しました。
       本問題は過去全てのバージョンで発生します。

  [14] UTM有効時に、UTM対象外のフラグメントパケットの通信が失敗することが
       ある問題を修正しました。
       本問題はVer10.1.14版以降で発生します。

  [15] NetMeisterを使用したIPv4/IPv6混在環境で、NetMeister画面の「装置概要」
       のIPアドレスがIPv6アドレスにならないことがある問題を修正しました。
       本問題はVer10.1.14版以降で発生します。

  [16] DHCPサーバプロファイル設定の任意IPアドレスオプションコマンドに、
       IPアドレスを64個設定すると、オプション長が255を超えてしまう場合が
       ある問題を修正しました。
       本問題は過去全てのバージョンで発生します。

  [17] PPPoEサーバ機能が無効化されているインタフェースでPPPoE接続要求を
       受信すると、PPOE.043のイベントログが出力される問題を修正しました。
       本問題はVer9.7.15版以降で発生します。

  [18] dialer restraintコマンドで、コマンドの中断・ヘルプの表示、入力エラー
       発生、同一設定の上書きなどを行うと、64byteのメモリ枯渇が発生する
       場合がある問題を修正しました。
       本問題は過去全てのバージョンで発生します。

  [19] show ip access-listコマンドで、特定のアクセスリストのエントリを
       --More--で表示停止中に、他のコンソールからshow running-config
       コマンドもしくはshow ip access-listコマンドを実行し、その後にno
       コマンドで該当のエントリを削除した場合、その後に--More--で停止
       している表示を続行すると再起動する可能性がある問題を修正しました。
       本問題は過去全てのバージョンで発生します。

  [20] 以下のコマンドは設定時に要再起動メッセージが表示されますが、
       check configuretionコマンドでは要再起動とならない問題を修正しました。
        ・receive-buffers
       本問題は過去全てのバージョンで発生します。

  [21] WebコンソールでのNetMeisterグループパスワードの入力可能文字が拡張
       されていない問題を修正しました。
       Ver10.0では『A-Za-z0-9_-』のみで、Ver10.1で『"? 』以外のASCII文字
       に拡張する予定でしたが、実際にはVer10.1で拡張されておらず
       『A-Za-z0-9_-』のみ使用可能となっていました。
       本問題はVer10.1.14版以降で発生します。

  [22] コンソールからCLIにて設定を行った後、Webコンソールにてかんたん設定で
       DHCPの変更を行った場合、DHCPのプロファイル名が追従できず、正しくDHCP
       プロファイルの設定が行えないことがある問題を修正しました。
       本問題は過去全てのバージョンで発生します。

  [23] utm license keyが未登録の状態で、utm enableコマンドを設定し、
       write memory後に装置の再起動を行うと、utm enableコマンドの設定が
       実行されない場合がある問題を修正しました。
       本問題はVer10.0.14版以降で発生します。


6. 注意事項
-----------

  [1] OpenFlow機能は組み合わせて利用するコントローラのバージョン・機能によっ
      て、実現できるネットワーク構成が異なります。
      このため、提案時には必ずシステムデザインレビュー(SDR)を受け、実現可能な
      構成と制限事項をご確認の上でご提案ください。
      SDRのお申し込みは以下(NECグループのみアクセス可能)
      [ SAFE ]
      http://zpfc3vme054.zpf.nec.co.jp/pls/safeap/SAFE_MENU_HTM_PKG.INFO_PR
      ※販売店様は担当営業を通してお申し込みください。


7．制限事項
-----------

  [1] OSPFv2にて、他のルーティングプロトコルによる数千経路もの大量な経路の受信
      時にnssa-rangeコマンドにより経路の集約を行った場合に、広告されている経路
      が削除されずに広告され続けてしまう可能性があります。
      [回避策]  集約元の経路が広告されます。
                経路数が増えますが、運用には影響ありません。
                clear ip ospf processで復旧します。