この度は、AlliedWare Plus スイッチ製品 をお買いあげいただき、誠にありがとうございます。このリリースノートは、取扱説明書、コマンドリファレンスなどの補足や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。
最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。
この度は、AlliedWare Plus スイッチ製品 をお買いあげいただき、誠にありがとうございます。このリリースノートは、取扱説明書、コマンドリファレンスなどの補足や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。
最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。
本リリースノートは、下記の製品・バージョンを対象としています。各項目がどの製品に該当するかは次のアイコンで示します。
アイコン | 対象製品 | 対象バージョン | 旧バージョン | |
---|---|---|---|---|
該当 | 非該当 | |||
x230-52 | x230-52 | CentreCOM x230シリーズ(52ポート版) | 5.5.0-2.16 | 5.5.0-2.14 |
GS980M | GS980M | CentreCOM Secure HUB GS980Mシリーズ | 5.5.0-2.16 | 5.5.0-2.12 |
ご購入時状態(AMFクリーン状態)の機器は起動時にAMFネットワークの自動検出を試みます。
AMFネットワークを検出できなかった場合でもIPネットワーク経由でSSHによる管理アクセスを可能とするため、既定のインターフェース上でDHCPおよびDHCPv6によるIPv4/IPv6アドレスの取得を試み、取得できなかったときはリンクローカルアドレスを自動設定した上で、SSHサーバーを有効にします。このとき、Telnet 無効設定、LDF検出有効設定、およびWebサーバーの有効設定も行われます。
※ 管理用Ethernetポート(eth0)を持つ製品ではeth0。管理用Ethernetポートを持たない製品ではデフォルトVLAN(vlan1)。VLAN(スイッチポート)を持たない製品では最初にリンクアップしたEthernetポートが既定のインターフェースとなります。
より詳細な設定は、コマンドリファレンスを参考にしてください。
各コマンドの状態は以下の通りとなっておりますので、必要に応じて各コマンドの無効、有効の設定を行ってください。
■ SSHサーバーの有効化、managerアカウントでのログイン許可
ssh server allow-users manager service ssh
SSHを利用しない場合には、これらを無効にしてください。
(config)#no ssh server allow-users manager (config)#no service ssh
■ Telnetサーバーの無効化
no service telnet
Telnetを利用する場合には、これを有効にしてください。
(config)#service telnet
■ ループガード(LDF検出)の有効化(vlan1のスイッチポートのみ)
loop-protection loop-detect ldf-interval 1 fast-block
LDF検出を利用しない場合には、これを無効にしてください。
(config)#no loop-protection loop-detect
■ DHCP/DHCPv6によるIPv4/IPv6アドレスの取得
ip dhcp-client vendor-identifying-class ip dhcp-client request vendor-identifying-specific ipv6 enable ipv6 address dhcp
これらの機能を利用しない場合には、該当インターフェースにおいてこれらの機能を無効にしてください。
(config-if)#no ip dhcp-client vendor-identifying-class (config-if)#no ip dhcp-client request vendor-identifying-specific (config-if)#no ipv6 enable (config-if)#no ipv6 address dhcp
■ IPv4アドレスの設定
該当インターフェースのIPアドレスを適切なアドレスに変更してください。
VLAN数が非常に多い環境でLDFの送出時にタイムアウトが検出された場合に、以下のログが出力されるようになりました。
Sending loop-detection frames taking longer than expected - too many instances?
このログが出力される環境ではLDFの送信が正常に行われていないため、ループが発生しても正しく検出できない可能性があります。
このような環境では以下の対策を行う必要があります。
loop-protection action none
を指定して無効にする
また、show loop-protection counters
の出力に、このタイムアウトを記録するカウンターが追加されました。
Web認証利用時に、SupplicantのIPアドレスが重複した場合の認証動作を変更するauth-web-server ip-conflict-prefer-newer-supplicantコマンドをサポートしました。
DHCPサーバーのIPアドレス払い出しタイミングにより短時間で同じIPアドレスが別々のSupplicantに払い出された場合、後から来たSupplicantがWeb認証画面にログインできないことがありますが、本コマンドを使用することにより新しいSupplicantを優先する設定が可能になります。
モード:グローバルコンフィグモード
(config)# [no] auth-web-server ip-conflict-prefer-newer-supplicant
Web認証サーバーにおいて、既存Supplicantと同じIPアドレスを持つ別のSupplicantを検出した場合に新しいSupplicantを許可するよう設定する。 no形式で実行した場合は同設定を無効にする。 初期設定は無効(新しいSupplicantを許可しない)。
DHCPサーバーから短時間で同じIPアドレスが別々のSupplicantに払い出された場合、後から来たSupplicantがWeb認証画面にログインできないことがあるが、本コマンドを使用することにより新しいSupplicantを優先する設定(既存Supplicantを未認証に戻し、新しいSupplicantを許可する)が可能となる。
■本コマンドとダイナミックVLAN、ゲストVLAN、Auth-fail VLANの併用は未サポート。
本コマンドは、Web認証の成功前と成功後のIPアドレスが同一の場合を想定しており、Web認証成功前と成功後にIPアドレスが変更される構成では使用できない。なお、ローミング認証とは併用可能。
下記のコマンドをサポートしました。
モード:グローバルコンフィグモード
(config)# [no] ip multicast handle-igmp-immediately
IGMPレポート受信後、マルチキャストを即時配信する動作を有効にする。
no形式で実行した場合は、該当動作を無効にし、IGMPレポート受信後マルチキャストを1秒遅延させて配信するよう設定する。
初期設定は無効。
■本機能はIGMP Snoopingの動作に関するもの。
ARPパケットを受信した際、受信したIPインターフェースとは異なるサブネットのIPアドレスであってもARPエントリーとして登録してしまう場合がありましたが、サブネットが一致する場合にのみARPエントリーを登録するよう仕様変更しました。
また、この変更にともない「arp-loose-check」コマンドを新規実装しました。
モード:インターフェースモード
(config-if)# [no] arp-loose-check
本コマンドを適用することで、従来どおり、異なるサブネットのIPアドレスに対してもARP登録できるようになります。本コマンドは初期設定では無効です。
本バージョンでは、以下の項目が修正されました。
show loop-protection counters
を実行すると再起動することがありましたが、これを修正しました。
user.crit awplus appmond[xxx]: Process imi has exceeded it memory limit of 50000kB, restarting.
kern.warning xxxx kernel: br-atmfmgmt: received packet on vlan4092 with own address as source address
本バージョンには、以下の制限事項があります。
システム起動時に下記のコンソールメッセージやログメッセージが出力されることがありますが、動作には影響ありません。
コンソールメッセージ
stop: Unable to stop job: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken. xx:xx:xx awplus init: getty (ttyS0) main process (XXXX) terminated with status 1
ログメッセージ
daemon.warning awplus init: network/getty_console (ttyS0) main process (XXXX) terminated with status 1
service httpコマンドでWebサーバーを有効にした状態で起動するとbufferedログに以下のメッセージが出力されることがありますが、これはWeb GUI用のファイルがインストールされていないことを示すものです。Web GUIを使用しない場合は動作に影響ありません。
user.notice awplus root: No GUI resource file installed
起動時に以下のログが出力されることがありますが、ログのみの問題で、システムは正常に起動します。
auth.warning awplus portmap[311]: user rpc not found, reverting to user bin
show memoryコマンドを実行した際、まれに以下のようなエラーログが出力されることがありますが、ログのみの問題で、通信には影響ありません。
hostd[xxx]: CMSG(xxxx).host.req.tipc[xx]: sending of reply failed send:-1 of xxxxx, error Cannot allocate memory IMI[xxxx]: CMSG(xxx).tport.host.req.tipc[xx]: Receive timed out socket xxx nbytes was -1 last error Resource temporarily unavailable IMI[xxxx]: CMSG(xxx).host.req.tipc[xx]: No response from server. (method: proc_get_sys_ps_info)
user.notice awplus root: GUI resource file awplus-gui_552_26.gui installed
enable-local 15
という不要な文字列が表示されます。
?
を入力しないでください。
Successful operation
と表示されます。SCP使用時は、コピー完了後にファイルが正しくコピーされていることを確認してください。
user.warning awplus NSM[XXXX]: 601 log messages were dropped - exceeded the log rate limitこれは短時間に大量のログメッセージが生成されたため一部のログ出力を抑制したことを示すものです。ログを抑制せずに出力させたい場合は、log-rate-limit nsmコマンドで単位時間あたりのログ出力上限設定を変更してください。
ターミナルモニター(terminal monitorコマンド)有効時に、動作中のスクリプトをCtrl/C
で強制終了しないでください。
起動後に以下のようなログが出力されることがありますが、動作には問題ありません。
syslog.err awplus syslog-ng[287]: Error opening include file; filename='/etc/syslog-conf.d/delay_buffer', depth='1 syslog.err awplus syslog-ng[287]: Error resolving reference; content='rewrite', name='r_subst', location='/etc/syslog-conf.d/buffered:12:42' syslog.err awplus syslog-ng[287]: Error initializing new configuration, reverting to old config;
kern.warning awplus kernel: pxa3xx-nand f10d0000.flash: This platform can't do DMA on this device
% Invalid input detected at '^' marker.
のエラーメッセージが出力されるべきですが、エラーメッセージが出力されないため、スクリプトファイルが正常に終了したかのように見えてしまいますが、通信には影響はありません。
トリガー設定時、scriptコマンドで指定したスクリプトファイルが存在しない場合、コンソールに出力されるメッセージ内のスクリプトファイルのパスが誤っています。
誤:% Script /flash/script-3.scp does not exist. Please ensure it is created before
正:% Script flash:/script-3.scp does not exist. Please ensure it is created before
また、スクリプトファイルが存在しないにもかかわらず前述のコマンドは入力できてしまうため、コンフィグに反映され、show triggerコマンドのスクリプト情報にもこのスクリプトファイルが表示されます。
sn enable trap
などと入力を省略した場合、入力したコマンドがホスト名欄に表示されコマンドが認識されない、または、コンソールの表示が乱れることがあります。コマンドはtab補完などを利用し省略せずに入力してください。
ioctl 35123 returned -1
のようなログが出力されることがありますが、通信には影響ありません。
SFLOWD[xxxx]: sflow_process_sample : sampler NULL for port 5001
Ctrl/C
キーを押して ping を中断してください。
daemon.warning dut chronyd[3197]: System clock wrong by 5307.988975 seconds, adjustment started daemon.warning dut chronyd[3197]: System clock was stepped by 5307.988975 seconds
本製品から他の機器にTelnetで接続しているとき、次のようなメッセージが表示されます。
No entry for terminal type "network"; using vt100 terminal settings.
本製品のSSHサーバーに対して、次に示すような非対話式SSH接続(コマンド実行)をしないでください。
※本製品のIPアドレスを192.168.10.1と仮定しています。
clientHost> ssh manager@192.168.10.1 "show system"
SSHログイン時、ログアウトするときに以下のログが表示されますが、動作に影響はありません。
sshd[2592]: error: Received disconnect from xxx.xxx.xxx.xxx: disconnected by server request
SSHサーバー機能を使用する場合、セッションタイムアウト(ssh server session-timeoutコマンド)は初期値「0」(タイムアウトしない)のままご使用ください。
特定のネットワークインターフェースカード(NIC)と接続したポートでカッパーケーブル簡易診断(test cable-diagnostics tdr interfaceコマンド)を行い、show test cable-diagnostics tdrコマンドで結果を確認すると、正常な状態であるにもかかわらず4つのペアのうち2つが Open と表示されることがあります。
EXFX[1976]: Link flapping detected on portx.y.z, check connection/configuration
ポートセキュリティー使用時、switchport port-security agingコマンドを設定していないポートに対して clear mac address-table dynamic
を実行しないでください。
当該ポートを対象に clear mac address-table dynamic
を実行すると、ポートセキュリティーの学習済みエントリーカウンター(show port-security interfaceで表示される「Total MAC Addresses」)とポートのロック状態がクリアされます。
それにより、すでに学習済みのMACエントリーに加え、switchport port-security maximumコマンドで指定した台数のMACエントリーが新規に学習・通信可能となります。
switchport port-securityコマンドでポートセキュリティー機能を有効にする場合、同ポートに対し学習可能なMACアドレスの最大数(switchport port-security maximumコマンド)もあわせて設定してください。
システム起動時に読み込まれるスタートアップコンフィグで switchport port-security maximum の値が未設定(0)になっていた場合、ポートセキュリティーの動作はオフとなるのが本来の仕様ですが、実際には当該ポートで受信したパケットが不正パケットとして破棄されてしまいます。
storm-control multicast level X
)が動作しません。マルチキャストパケットの受信レートを制限したいときは、IGMP Snoopingを無効にしてください。
Thrash: Loop Protection has re-enabled port on ifindex ...
のようなログメッセージが出力されません。
no shutdown
を入力しても、ポートが有効にならないことがあります。この場合は、再度shutdown
→ no shutdown
を入力してください。
Interface portx.x.x: set STP state to BLOCKING
運用中、ターミナルソフトのテキスト貼り付け機能を使って、スイッチポートにVLANとポート認証の設定を連続して入力すると、 ポート認証でSupplicantに正しいVLANをアサインできなくなることがあります。この場合、再度スイッチポートのVLAN設定を入力しなおすことで正しいVLANをアサインできるようになります。なお、設定をスタートアップコンフィグに保存し、再起動した場合は発生しません。
no service power-inline
でPoE給電機能を無効化したときに、下記のようなログが出力されますが、動作に影響はありません。
POEHW[856]: POE Device /dev/i2c-1:0x20 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x21 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x22 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x24 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x20 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x25 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x26 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x28 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x21 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x29 failed startup checks POEHW[856]: POE Device /dev/i2c-1:0x2a failed startup checks
PoE電源の電力使用量が装置全体の最大供給電力を上回るようにPDを接続すると、そのポートの状態は「Denied」になります。その後「Denied」になったポートよりも給電優先度が低いポートに最大供給電力を上回らないクラスのPDを接続した場合、そのポートの状態も「Denied」になるべきですが、表示上「Powered」状態となり、POE LEDも給電中を示す点灯状態になりますが、実際には給電されません。
1ポートに適用するVLANクラシファイアグループは2グループまでにしてください。
同じVLANクラシファイアグループ内に複数のルールを定義した場合、設定順ではなく番号順に反映されます。
インターフェースにプライベートVLANの設定をしたままプライベートVLANを削除することはできません。プライベートVLANを削除する場合は次の手順でVLANを削除するようにしてください。
エンハンストプライベートVLANの設定において、プロミスキャスポートとセカンダリーポートのVLAN情報が一致しない誤った設定を行った場合、エラーが表示されます。エラー表示後、プロミスキャスポートのタグなし情報が間違って表示されます。
このため以下のエラー表示後は必ずセカンダリーポートの設定VLANがプロミスキャスポートの設定VLANに含まれていることを確認してください。
% Secondary port vlans do not match promiscuous ports
local7.err awplus EXFX[1615]: DBG:hsl_hw_impl_l2_set_pvlan_port_mode 793: Received unknown pvlan port mode (0), setting to (3)
一度に大量のVLANを作成すると、以下のようなログが出力されますが、動作に影響はありません。
HSL[619]: HSL: WARNING: hsl-netlink-listen recvmsg: excessive netlink messages now queued HSL[619]: HSL: WARNING: hsl-netlink-listen recvmsg: soft limit exceeded for netlink messages
% Cannot reconfigure VLAN as there are already ports attached. % Operation failed, an internal error has occured. Error 63
state disable
で対象VLANに所属するパケットの転送を無効化している場合、パケットの転送を再度有効化するには vlanコマンドでstate enable
に変更した後、設定を保存して再起動する必要があります。
udld reset コマンドの実行または閉塞持続時間(udld time disable-period コマンド)の満了にともないUDLDのポート閉塞が解除された後でも、物理リンクがダウンしている場合は show interface status コマンドの表示上 err-disabled 状態を維持するのが本来の仕様ですが、UP 状態に戻ってしまいます。
BPDU Skew detected on port port1.0.1, beginning role reselection
MSTP使用時のポート状態はshow spanning-tree mst instanceコマンドで確認してください。
show spanning-tree briefコマンドでは、ポートが実際には転送可能な状態であってもDiscardingと表示される場合があります。
EPSRのトポロジーチェンジによりパケットがCPUに転送される際、以下のログメッセージが出力される場合がありますが、通信に影響はありません。
'cmsg_transport_tipc_broadcast_client_send 161: [TRANSPORT] Failed to send tipc broadcast'
DHCP Snoopingを有効にしている機器を起動した際、下記のようなエラーログが表示されることがありますが、実際にはランニングコンフィグから削除されず、動作にも影響はありません。
WARNING: Failed to execute the following commands: 89: ip dhcp snooping trust – (not executed) 97: ip dhcp snooping – (not executed)
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
IPv6アドレスを設定したインターフェースのリンクステータスがダウンとなっている状態でshow interfaceコマンドを実行した場合、該当インターフェースに設定したIPv6の情報が表示されませんが、表示のみの問題で、動作には影響ありません。
インターフェースに設定したIPv6アドレスの情報を確認したい場合は、show ipv6 interfaceコマンドを使用してください。
IPv6のデフォルト経路設定で、ネクストホップにグローバルユニキャストアドレスを設定している場合、該当経路がダウンすると次のようなログが記録されることがありますが、動作には影響ありません。このメッセージを回避するには、ネクストホップとしてリンクローカルアドレスを設定してください。
HSL[640]: HSL: ERROR: Route could not be added : No route to host HSL[640]: HSL: ERROR: Error adding route ::/0 to kernel HSL[640]: HSL: ERROR: Failed to add IPv6 prefix 0x0/0x0 nexthop 0x10000fd entry to TCP/IP stack ret= -309
Neighbor discovery has timed out on link eth1->5
のログメッセージが不要に表示されることがあります。これは表示のみの問題で、通信には影響ありません。
user.warning awplus NSM[xxx]: Sending Query Solicit on IGMP Interface vlan1000 vid not successful
IPv6マルチキャストトラフィックが存在する環境において、(S,G)または(*,G)エントリーが登録可能な上限を超えた場合には以下のようなエラーログが生成されます。また、超過分のエントリーは登録されません。
local6.err awplus EXFX[808]: Failed to add IPv6 MC prefix Grp ff03:102::103, Src 2001:abcd:cafe:10::2; LPM RAM is FULL local7.err awplus EXFX[808]: DBG:_exfx_mcl3_routeAdd 1200:rc=19 local7.err awplus EXFX[808]: DBG:exfx_mcl3_routeAdd 1333:rc=19 local7.err awplus EXFX[808]: DBG:exfx_mc_entryAdd 216:rc=19
% No such Group-Rec found
というエラーメッセージが表示されることがありますが、コマンドの動作には問題ありません。
clear ipv6 mld group *
ですべてのグループを削除した場合、ルーターポートのエントリーも削除されてしまいます。clear ipv6 mld group ff1e::1
のように特定のグループを指定した場合は削除されないため、グループを指定し削除してください。また、削除されてしまった場合もMLD Queryを受信すれば再登録されます。
no ipv6 mld snooping report-suppression
でReport抑制機能を無効化してください。
ARPやIGMPなどCPUで処理されるパケットに対してイングレスフィルターが正しく動作しません。
ARPに関しては、以下の設定でフィルターすることが可能です。
mls qos enable access-list 4000 deny any any vlan 100 class-map class1 match access-group 4000 policy-map policy1 class default class class1 interface port2.0.24 service-policy input policy1
AMFリンクとして使用しているスタティックチャンネルグループの設定や構成を変更する場合は、次に示す手順A・Bのいずれかにしたがってください。
[手順A]
[手順B]
オートリカバリーが成功したにもかかわらず、リカバリー後に正しく通信できない場合は、代替機の接続先が交換前と同じポートかどうかを確認してください。誤って交換前とは異なるポートに代替機を接続してしまった場合は、オートリカバリーが動作したとしても、交換前とネットワーク構成が異なるため、正しく通信できない可能性がありますのでご注意ください。
LACPインターフェースでAMFリンクの設定を行っている構成で対向機器が再起動すると、起動後に以下のログが出力されることがありますが、ログのみの問題でAMFの動作には影響ありません。
user.notice awplus ATMF[523]: Incarnation is not possible with the data received port1.0.28 (ifindex 5028)
log host
で設定したすべてのSyslogサーバーに送信されます。
show atmf links guest detail
では表示されない項目があります。当該項目を確認するには、show lldp neighbors detail
を使用してください。
AMFゲストノードがAMFネットワークに初めて参加したとき、下記の状況においてゲストノードのファームウェアバージョン情報が表示されない場合があります。
show atmf guests detail
を実行した場合
show atmf links guest detail
を実行した場合
その場合は、次のいずれかを実行してください。
前記手順で復旧すると、それ以降本事象は発生しません。
自動バックアップを中断した場合、AMFマスター上に以下のようなログが出力されますが、動作に問題はありません。
ATMFFS[13301]: ATMF backup: Aborted backup for node ノード名 (ホスト名) due to insufficient media space ATMFFS[13301]: ATMF backup: Aborted "ノード名 (ホスト名)" on backup by user request
ATMFFS[13301]: ATMF backup: Could not copy rsync log file to media ATMFFS[13301]: ATMF backup: Errors occurred during all-nodes backup
AMFアプリケーションプロキシー機能におけるAMFアクションの「破棄(drop)」とFDBのスタティックエントリー(mac address-table staticコマンド)は併用できません。
atmf domain vlan コマンドの設定を変更し、保存、再起動すると、コンフィグ読み込み時にエラーが表示されますが、動作には影響ありません。
デフォルトのAMFマネージメントVLANを使用している環境ではno atmf management vlanを実行しないでください。
AMFセキュアモードで、AMFノードのオートリカバリーを実行するとき、リカバリー中に以下のようなログが出力されることがありますが、オートリカバリーは正常に行われます。
Local certificate subject host_xxxx_xxxx_xxxx does not match node Name xxxx!
user.notice awplus amfappsd[1265]: Setting block action drop on port1.0.1 for 192.168.1.1 vid:1 succeeded
AMF上のメンバーを再起動すると下記ログが記録され、AMFネットワークへの再接続が完了するまで1分程度かかることがあります。
Interface portX.Y.Z link partner has no valid ATMF response
AMFクリーンアップ実行時に以下のログが出力される場合がありますが、ログのみの問題で、クリーンアップの動作には影響ありません。
syslog-ng[xxx]: Error opening file for writing;filename='/flash/log/messages', error='No such file or directory (2)' {noformat}
user.err awplus ATMF[1779]: Learning failed for guest TQm5403: Unknown error (18)
user.err awplus ATMF[1813]: Learning failed for guest TQm5403: Login validation error
ポート認証またはAMFアプリケーションプロキシーのホワイトリストと、AMFアプリケーションプロキシーの破棄、ポート無効化、隔離、ログアクションのいずれかを併用しているとき、端末にアクションが適用されるとshow application-proxy threat-protectionコマンドの出力や、AMF Securityの「デバイス」/「接続中 デバイス一覧」画面、AMF Securityのログに、端末に割り当てられたVLAN以外に、端末接続ポートに設定されているVLANの遮断情報も表示されることがありますが、動作には影響ありません。
各種ドキュメントの補足事項および誤記訂正です。
本製品がサポートするSFPモジュールの最新情報については、弊社ホームページをご覧ください。
ファームウェアバージョン 5.5.0-2.12 以降では、show httpコマンドの表示に「Server Certificate」欄が追加されました。同欄には、HTTPサーバーが使用しているサーバー証明書の情報が表示されます。
バージョン5.5.0-2.14以降、VLAN数が非常に多い環境でLDFの送出時にタイムアウトが検出された場合に、以下のログが出力されるようになりました。
Sending loop-detection frames taking longer than expected - too many instances?
このログが出力される環境ではLDFの送信が正常に行われていないため、ループが発生しても正しく検出できない可能性があります。
このような環境では以下の対策を行う必要があります。
loop-protection action none
を指定して無効にする
また、show loop-protection counters
の出力に、このタイムアウトを記録するカウンターが追加されました。
ファームウェアバージョン 5.5.0-2.12 以降では、Web認証サーバーにおいて、認証済みSupplicantの存在確認にARPパケットを使用できるようになりました。
Supplicant監視機能の有効時(auth-web-server ping-poll enable)、初期設定では従来どおりPingパケットを使用して認証済みSupplicantの存在を監視しますが、新しく追加されたauth-web-server ping-poll typeコマンドで「arp」を指定することにより、ARPパケットによる監視に切り替えることができます。
モード:グローバルコンフィグモード
(config)# auth-web-server ping-poll type {arp|ping} (config)# no auth-web-server ping-poll type
Web認証サーバーのSupplicant監視機能における存在確認用パケットの種類を指定する。
no形式で実行した場合は初期設定に戻る。
初期設定はping。
ファームウェアバージョン 5.5.0-2.14以降、 Web認証利用時に、SupplicantのIPアドレスが重複した場合の認証動作を変更するauth-web-server ip-conflict-prefer-newer-supplicantコマンドをサポートしました。
DHCPサーバーのIPアドレス払い出しタイミングにより短時間で同じIPアドレスが別々のSupplicantに払い出された場合、後から来たSupplicantがWeb認証画面にログインできないことがありますが、本コマンドを使用することにより新しいSupplicantを優先する設定が可能になります。
モード:グローバルコンフィグモード
(config)# [no] auth-web-server ip-conflict-prefer-newer-supplicant
Web認証サーバーにおいて、既存Supplicantと同じIPアドレスを持つ別のSupplicantを検出した場合に新しいSupplicantを許可するよう設定する。 no形式で実行した場合は同設定を無効にする。 初期設定は無効(新しいSupplicantを許可しない)。
DHCPサーバーから短時間で同じIPアドレスが別々のSupplicantに払い出された場合、後から来たSupplicantがWeb認証画面にログインできないことがあるが、本コマンドを使用することにより新しいSupplicantを優先する設定(既存Supplicantを未認証に戻し、新しいSupplicantを許可する)が可能となる。
■本コマンドとダイナミックVLAN、ゲストVLAN、Auth-fail VLANの併用は未サポート。
本コマンドは、Web認証の成功前と成功後のIPアドレスが同一の場合を想定しており、Web認証成功前と成功後にIPアドレスが変更される構成では使用できない。なお、ローミング認証とは併用可能。
AMFマスターと代替機が 5.5.0-2.12 以降または 5.4.9-2.7 以降の場合、下記の機種間でオートリカバリーが可能です。
交換前の製品シリーズ | 交換後の製品シリーズ(代替機) |
---|---|
GS900MX/GS900MPXシリーズ | AT-GS980M/52、AT-GS980M/52PS |
GS900MX/GS900MPXシリーズ | AT-x230-52GT、AT-x230-52GP |
以下、製品ごとに掲載しておりますので、ご希望の製品を選択してご覧ください。
x230シリーズ(52ポート版) | |
---|---|
パフォーマンス | |
VLAN登録数 | 4094 |
MACアドレス(FDB)登録数 ※1 | 16K |
IPv4ホスト(ARP)登録数 ※1 | - |
IPv4ルート登録数 | - |
リンクアグリゲーション | |
グループ数(筐体あたり) | 51 ※2 |
ポート数(グループあたり) | 8 |
ハードウェアパケットフィルター | |
登録数 | 512 ※3 ※4 ※5 |
認証端末数 | |
認証端末数(ポートあたり) | 1K ※6 |
認証端末数(装置あたり) | 1K ※6 |
マルチプルダイナミックVLAN(ポートあたり) | 350 ※7 |
マルチプルダイナミックVLAN(装置あたり) | 350 ※7 |
ローカルRADIUSサーバー | |
ユーザー登録数 | 3 |
RADIUSクライアント(NAS)登録数 | 1 ※8 |
AMFアプリケーションプロキシー | |
AT-SESC 接続数 | - |
被疑端末情報保持数 | 10000 ※9 |
アクション「破棄」による最大被疑端末遮断数 | 10000 ※9 ※10 |
アクション「ポート無効化」による最大被疑端末遮断数 | 10000 ※9 ※10 |
アクション「隔離」による最大被疑端末遮断数 | 10000 ※9 ※10 |
アクション「IPフィルター」による最大被疑端末遮断数 | 511 ※11 |
アクション「ログ」による最大被疑端末遮断数 | 10000 ※9 ※10 |
その他 | |
VRF-Liteインスタンス数 | - |
IPv4マルチキャストルーティングインターフェース数 | - |
GS980Mシリーズ | |
---|---|
パフォーマンス | |
VLAN登録数 | 4094 |
MACアドレス(FDB)登録数 ※1 | 16K |
IPv4ホスト(ARP)登録数 ※1 | - |
IPv4ルート登録数 | - |
リンクアグリゲーション | |
グループ数(筐体あたり) | 52 ※2 |
ポート数(グループあたり) | 8 |
ハードウェアパケットフィルター | |
登録数 | 512 ※3 ※4 ※5 |
認証端末数 | |
認証端末数(ポートあたり) | 1K ※6 |
認証端末数(装置あたり) | 1K ※6 |
マルチプルダイナミックVLAN(ポートあたり) | 350 ※7 |
マルチプルダイナミックVLAN(装置あたり) | 350 ※7 |
ローカルRADIUSサーバー | |
ユーザー登録数 | - |
RADIUSクライアント(NAS)登録数 | - |
SES Ready | |
AT-SESC同時接続数 | - |
ハードウェアで処理可能なフロー数 | - |
端末接続可能なフロースイッチングポート数 | - |
AMFアプリケーションプロキシー | |
AT-SESC 接続数 | - |
被疑端末情報保持数 | 10000 ※8 |
アクション「破棄」による最大被疑端末遮断数 | 10000 ※8 ※9 |
アクション「ポート無効化」による最大被疑端末遮断数 | 10000 ※8 ※9 |
アクション「隔離」による最大被疑端末遮断数 | 10000 ※8 ※9 |
アクション「IPフィルター」による最大被疑端末遮断数 | 511 ※10 |
アクション「ログ」による最大被疑端末遮断数 | 10000 ※8 ※9 |
その他 | |
VRF-Liteインスタンス数 | - |
IPv4マルチキャストルーティングインターフェース数 | - |
最新のコマンドリファレンスに記載されていない機能、コマンドはサポート対象外ですので、あらかじめご了承ください。最新マニュアルの入手先については、次節「最新マニュアルについて」をご覧ください。
本リリースノートは、下記の最新マニュアルに対応した内容になっていますので、お手持ちのマニュアルが下記のものでない場合は、弊社ホームページで最新の情報をご覧ください。
http://www.allied-telesis.co.jp/
対象製品 | マニュアルタイトル | パーツ番号 |
---|---|---|
CentreCOM x230シリーズ(52ポート版) | CentreCOM x230 シリーズ 取扱説明書 | 613-002759 Rev.A |
CentreCOM x230 シリーズ(52ポート版) コマンドリファレンス | 613-002734 Rev.L | |
CentreCOM Secure HUB GS980Mシリーズ | CentreCOM Secure HUB GS980M シリーズ 取扱説明書 | 613-002689 Rev.A |
CentreCOM Secure HUB GS980M シリーズ コマンドリファレンス | 613-002671 Rev.N |