この度は、AT-AR2010 をお買いあげいただき、誠にありがとうございます。このリリースノートは、取扱説明書、コマンドリファレンスの補足や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。
最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。
TACACS+サーバーを使用して、ログインユーザーのコマンド実行を認可あるいは拒否する設定が可能になりました。
コマンド認可の設定は、新しく追加された下記のコマンドで行います。詳細はコマンドリファレンスをご参照ください。
また、TACACS+サーバーとの通信に用いるIPアドレスを任意設定する ip tacacs source-interface コマンドも追加されました。
OpenVPNクライアント認証用のローカルRADIUSサーバーにおいて、attribute Framed-Route
を複数設定することにより、OpenVPNクライアントに複数の経路を通知できるようになりました。
一台の製品上において、仮想的に複数のルーターを稼働させるVRF-Liteをサポートしました。
NTT東日本/NTT西日本の「フレッツ 光ネクスト」(NGN)を利用したIPv6接続に対応しました。
設定方法については、コマンドリファレンス内の下記設定例集 をご覧ください。
Webブラウザーを利用したグラフィカル・ユーザー・インターフェース(GUI)をサポートしました。
スタートアップコンフィグ読み込み時、一部の設定においては、設定がランニングコンフィグに反映されていないにもかかわらずエラーメッセージが表示されませんでしたが、これが表示されるように仕様変更しました。
TACACS+を用いて非特権EXECモードから特権EXECモードへの認証を行う場合、一度認証を通過したユーザーは、以降パスワードを入力せずに非特権EXECモードから特権EXECモードに移行できるようになりました。
永続ログ(permanentログ)の保存先が、本体内蔵フラッシュメモリーから不揮発性メモリー(NVS)に変更されました。
ポリシーベースルーティング機能において、ルールIDを指定せずにルール設定した場合、10の倍数でルールIDを割り当てていましたが、1ずつ増加するようにルールIDの割り当て方式を変更しました。
show atmf node コマンドにおいて、すべてのノードがバージョン 5.4.6-2.x 以降のファームウェアを使用しているかどうかを示すメッセージが表示されるようになりました(どのノードがバージョン 5.4.6-2.x より古いかは表示されません)。
Node map exchange is active
Node map exchange is inactive Firmware on some nodes does not support node map exchange, eg 02-x930
AMFマスターが離脱した場合、これまではメンバー側で show atmf nodes コマンドを実行するとAMFネットワーク内の他メンバーの情報が表示されていましたが、他メンバーの情報が表示をされないように変更しました。
ファームウェアバージョン 5.4.6-1.5 から 5.4.6-2.2 へのバージョンアップにおいて、以下の項目が修正されました。
SNMP 経由で存在しないイメージファイルを起動用ファームウェアに設定すると、実際にはファームウェアの設定は成功していないにもかかわらず、flash:/xxxx.rel set successfully.
というメッセージを返していましたが、flash:/xxxx.rel set failed.
というメッセージを返すように修正しました。
また、SNMP 経由で同じイメージファイルを2回続けて起動用ファームウェアに設定すると、該当ファームウェアを設定できませんでしたが、これを修正しました。
user.err awplus HSL[707]: Unexpected refcnt for blackhole prefix 172.19.0.0/16 (0)
以下の手順で設定を実行した場合、異常終了することがありましたが、これを修正しました。
ファームウェアバージョン 5.4.6-2.2 には、以下の制限事項があります。
enable-local 15
という不要な文字列が表示されます。
dir usb:/
のように、USBメモリーにアクセスする操作をもう一度行ってください。
successful
というメッセージが表示されます。
% Invalid input detected at '^' marker.
のエラーメッセージが出力されるべきですが、エラーメッセージが出力されないため、スクリプトファイルが正常に終了したかのように見えてしまいますが、通信には影響はありません。
トリガー設定時、scriptコマンドで指定したスクリプトファイルが存在しない場合、コンソールに出力されるメッセージ内のスクリプトファイルのパスが誤っています。
誤:% Script /flash/script-3.scp does not exist. Please ensure it is created before
正:% Script flash:/script-3.scp does not exist. Please ensure it is created before
また、スクリプトファイルが存在しないにもかかわらず前述のコマンドは入力できてしまうため、コンフィグに反映され、show triggerコマンドのスクリプト情報にもこのスクリプトファイルが表示されます。
show trigger counter
で表示されるカウンターが正しい値を表示しなくなります。
sn enable trap
などと入力を省略した場合、入力したコマンドがホスト名欄に表示されコマンドが認識されない、または、コンソールの表示が乱れることがあります。コマンドはtab補完などを利用し省略せずに入力してください。
ioctl 35123 returned -1
のようなログが出力されることがありますが、通信には影響ありません。
Clock is synchronized, stratum 0, actual frequency is 0.000PPM, presicion is 2
Ctrl/C
キーを押して ping を中断してください。
本製品から他の機器にTelnetで接続しているとき、次のようなメッセージが表示されます。
No entry for terminal type "network"; using vt100 terminal settings.
本製品のSSHサーバーに対して、次に示すような非対話式SSH接続(コマンド実行)をしないでください。
※本製品のIPアドレスを192.168.10.1と仮定しています。
clientHost> ssh manager@192.168.10.1 "show system"
SSHログイン時、ログアウトするときに以下のログが表示されますが、動作に影響はありません。
sshd[2592]: error: Received disconnect from xxx.xxx.xxx.xxx: disconnected by server request
USB型データ通信端末を利用したPPP接続中に、本製品からPPP接続ユーザー名、パスワード、接続先情報(APN)等の設定を削除してもPPP接続が切断されませんが、下記のいずれかを実行することでPPP接続が切断されます。
shutdown
で無効化した後、no shutdown
で有効化する。
bridge-groupコマンドでトンネルインターフェースをソフトウェアブリッジに割り当てるとき、次のようなメッセージが表示される場合がありますが、動作に影響はありません。
Warning: Interface tunnel0 is not fully configure yet
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
network コマンドでRIPのネットワーク範囲を指定する際、ネットワークを集約して指定すると show ip rip interface コマンドでインターフェースが正しく表示されません。その場合は show ip rip interface コマンドではなく show ip protocols rip コマンドで RIP の状態を確認してください。本事象はVRFインスタンスに対して設定した場合も該当します。
なお、ネットワークを集約せず、VLANインターフェースごとに設定した場合、本事象は発生しません。
「no ipv6 forwarding」でIPv6パケット転送機能を無効化した場合、下記の警告メッセージが表示されますが、実際には再起動は不要です。
% Warning: IPV6 forwarding will not be disabled until the switch reboots.
IPv6アドレスを設定したインターフェースのリンクステータスがダウンとなっている状態でshow interfaceコマンドを実行した場合、該当インターフェースに設定したIPv6の情報が表示されませんが、表示だけの問題であり動作に影響はありません。
インターフェースに設定したIPv6アドレスの情報を確認したい場合は、show ipv6 interfaceコマンドを使用してください。
no ipv6 dhcp client pd
を実行してください。
OSPFv3のOSPFネイバー暗号化方式を設定すると、次の不要なログが出力されます。これは表示だけの問題であり、動作には影響ありません。
Authentication/Encryption algorithm error, or SA key is wrong.
no redistribute connected
を実行してから、redistribute connected
を入力してください。
Neighbor discovery has timed out on link eth1->5
のログメッセージが不要に表示されることがあります。これは表示上の問題であり通信には影響はありません。
ファイアウォールとNATの最大ルール数は両機能あわせて500ですが、ルール数が500に近づくにつれてパフォーマンスが低下するため、なるべくルール数は少なく設定してください。
ルール数が多い場合は、以下の事象が発生します。
無効なNATルールが存在する状態でshow nat ruleコマンドを実行すると、次のようなログが出力されますが、動作に影響はありません。
yyyy mm dd hh:mm:ss user.err awplus firewalld: NAT: Sending iptables -t nat -L PORT_FORWARDING_RULE_10 -v -x 2>&1 | grep DNAT | awk '{print $1}' failed
NAT機能において、portfwdルールとそれに対応するmasqルールが設定されている場合、portfwdルールにマッチするパケットを受け取ったときに、show nat ruleコマンドで表示されるHitsカウンターがportfwdルールとmasqルールの両方でカウントされます。これは表示だけの問題で通信には影響はありません。
なお、show nat ruleコマンドで実際のマッチ数を確認したい場合は以下の方法で確認可能です。
トンネルインターフェースを削除した場合、下記の不要なログメッセージが出力されますが、動作への影響はありません。
BGP[1293]: Parse error for message Link Down ret=-1 PIM-SMv6[1262]: Parse error for message Link Down ret=-1 PIM-DM[1272]: Parse error for message Link Down ret=-1 PIM-SM[1290]: Parse error for message Link Down ret=-1
トンネルインターフェースのMTUを変更すると次のようなエラーメッセージがログに出力されますが、通信には影響ありません。
user.err XXXX HSL[1253]: HSL: ERROR: Error finding iif L2 interface info 11 user.err XXXX HSL[1253]: HSL: ERROR: Group(xxx.xxx.xxx.xxx) Source
IPsec SA、ISAKMP SAのrekeyのタイミングでshow ipsec saコマンドまたはshow isakmp saコマンドを実行した場合、以下のログが出力されることがありますが、通信や機能に影響はありません。
その場合は10秒程度時間をおいてから再度コマンドを入力することで正常に情報を確認できます。
IMI[671] SEARCH: Error processing request. IMI[671] SEARCH: No response IMI[671] RPC[17]: Recv data error: Bad file descriptor apteryxd SEARCH: Error processing request. apteryxd No response from indexer for path "/isakmp/sa/
shutdown
し、その後 no shutdown
してください。
HSL: ERROR: Failed to set IP forwarding in OS for interface pppX
IP packet with unknown IP version=15 seen
というログメッセージが出力されることがありますが、動作に影響はありません。
IPsec保護(tunnel protection ipsec)を適用しているGREトンネルインターフェース上にトラフィックが存在する状態で該当インターフェースがダウンした場合、informationalレベルの下記ログメッセージが繰り返し出力されます。ただし、本ログメッセージはinformationalレベルのため、初期設定ではbufferedログ、permanentログには保存されず、show log、show log permanentコマンドでも確認できません。
iked: [INTERNAL_ERR]: ikev2_auth.c:555:ikev2_auth_verify(): 4:xx.xx.xx.xx[500] - yy.yy.yy.yy[500]:(nil):no shared key with peer
shutdown
し、その後 no shutdown
してください。
log host
で設定したすべてのsyslogサーバーに送信されます。
show atmf links guest detail
では表示されない項目があります。当該項目を確認するには、show lldp neighbors detail
を使用してください。
AMFゲストノードがAMFネットワークに初めて参加したとき、下記の状況においてゲストノードのファームウェアバージョン情報が表示されない場合があります。
show atmf guests detail
を実行した場合
show atmf links guest detail
を実行した場合
その場合は、次のいずれかを実行してください。
前記手順で復旧すると、それ以降本事象は発生しません。
自動バックアップを中断した場合、AMFマスター上に以下のようなログが出力されますが、動作に問題はありません。
ATMFFS[13301]: ATMF backup: Aborted backup for node ノード名 (ホスト名) due to insufficient media space ATMFFS[13301]: ATMF backup: Aborted "ノード名 (ホスト名)" on backup by user request
ATMFFS[13301]: ATMF backup: Could not copy rsync log file to media ATMFFS[13301]: ATMF backup: Errors occurred during all-nodes backup
atmf distribute firmware または atmf reboot-rolling コマンドでファームウェアを更新する場合は、起動中のファームウェアと異なるイメージファイルを指定しているノードが存在しない状態で実施してください。
異なるイメージファイルを指定しているノードが存在する場合、ファームウェアイメージファイルの転送に失敗します。 その場合は、atmf distribute firmware または atmf reboot-rolling コマンドを実行する前に boot system コマンドで起動中のイメージファイルを再度指定してください。
AMFオートリカバリーの実行中に以下のエラーログが生成されますが、ログのみの問題でありAMFオートリカバリーの動作に影響はありません。
user.err awplus NSM[845]: Could not add vlans for port1.0.1 in libvlan
no atmf enable
によってAMFを無効にしている機器を起動した際に、設定が入っていないような警告メッセージが表示されます。ただし、動作としては正常に無効になっていますので、改めて設定の無効化を行う必要はありません。
各種ドキュメントの補足事項および誤記訂正です。
サポートするUSB型データ通信端末につきましては、弊社ホームページでご確認ください。
本バージョンでは、OpenVPNクライアントとして下記OS/アプリケーションの組み合わせをサポートします。
OS | アプリケーション |
---|---|
Windows7 (32bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows7 (64bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows8.1 (64bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows10 (64bit) | OpenVPN GUI v7 (2.3.8) |
vpnux Client (ver.1.3.0.0) | |
MAC OS X | Tunnelblick 3.4.3 |
Tunnelblick 3.6 beta10 | |
Android 4.4.x | OpenVPN for Android 0.6.29 |
OpenVPN for Android 0.6.35 | |
iOS 8 | OpenVPN Connect 1.0.5 |
パフォーマンス | |
---|---|
VLAN登録数 | - |
MACアドレス(FDB)登録数 | - |
IPv4ホスト(ARP)登録数 | 1024 |
IPv4ルート | |
IPv4スタティックルート登録数 | 1000 |
RIPv1/v2ルート登録数 | 1500 |
OSPFv2ルート登録数 | 1000 |
BGP4ルート登録数 | 10000 |
IPv6ルート | |
IPv6スタティックルート登録数 | 1000 |
RIPngルート登録数 | 1000 |
OSPFv3ルート登録数 | 1000 |
BGP4+ルート登録数 | 10000 |
リンクアグリゲーション | |
グループ数(筐体あたり) | - |
ポート数(グループあたり) | - |
VPN | |
IKEv1同時接続可能セッション数 | 100 ※1 |
IKEv2同時接続可能セッション数 | 100 ※1 |
IPsecトンネル内 同時接続可能セッション数 | 30 |
L2TPv2同時接続可能セッション数 | 20 ※2 |
L2TPv3同時接続可能セッション数 | 100 ※1 |
OpenVPN同時接続可能セッション数 | 100 ※1 |
PPPoE | |
PPPoE同時接続可能セッション数 | 20 ※2 ※3 |
ローカルRADIUSサーバー ※4 | |
ユーザー登録数 | 3000 |
RADIUSクライアント(NAS)登録数 | 1000 |
ファイアウォール | |
セッション数 | 65535 |
ルール数 | 500 ※5 |
その他 | |
VRF-Liteインスタンス数 | 64 ※6 |
最新のコマンドリファレンスに記載されていない機能、コマンドはサポート対象外ですので、あらかじめご了承ください。最新マニュアルの入手先については、次節「最新マニュアルについて」をご覧ください。
最新の取扱説明書「AT-AR2010V 取扱説明書」(613-002319 Rev.A)とコマンドリファレンス「AT-AR2010V コマンドリファレンス」(613-002311 Rev.E)は弊社ホームページに掲載されています。
本リリースノートは、これらの最新マニュアルに対応した内容になっていますので、お手持ちのマニュアルが上記のものでない場合は、弊社ホームページで最新の情報をご覧ください。
http://www.allied-telesis.co.jp/