AlliedWare Plus リリースノート

バージョン5.5.4-0.1以降、および、5.5.3-2.1以降では、コンフィグに含まれるパスワードや認証キー（以後「パスワード」）の一部がデフォルトで暗号化されるようになりました。
本機能により暗号化されたコンフィグを使用している状態でファームウェアバージョンを暗号化未対応バージョンに変更した場合、起動時（コンフィグ適用時）に暗号化されたパスワードを含む行がエラーとなり適用されません。

ファームウェアバージョンを暗号化未対応バージョンに変更する場合は、暗号化未対応バージョンで保存したコンフィグを使用して起動してください。
または起動時にエラーとなって適用されなかったコンフィグを必要に応じて再設定してください。

• radius-server key（グローバルコンフィグモード）
• radius-server host（グローバルコンフィグモード）
• nas（RADIUSサーバーモード）
• nas（RADIUSプロキシーモード）
• server（RADIUSプロキシーモード）
• neighbor password（BGPモード）
• application-proxy whitelist server（グローバルコンフィグモード）

• radius dynamic-authorization-client（グローバルコンフィグモード）
• ppp password（インターフェースモード）
• shared-secret（L2TPプロファイルモード）
• ip rip authentication string（インターフェースモード）
• key-string（キーチェーン・キーモード）
• area virtual-link（OSPFモード）
• ip ospf authentication-key（インターフェースモード）
• ip ospf message-digest-key（インターフェースモード）
• password（DDNSアップデートメソッドモード）
• login username（AP登録モード）
• type download ap（タスク設定モード）

以前のバージョンで行われたAMF内部認証方式の変更に関して、バージョン5.5.4系列の5.5.4-2.6以降、および5.5.5-2.1以降（5.5.6以降も含む）では旧方式との互換性がなくなっています。
AMFネットワーク上にバージョン5.5.4系列の5.5.4-2.6以降、および5.5.5-2.1以降（5.5.6以降も含む）のAMFノードが存在する場合は、すべてのノードを以下のバージョンで運用することを推奨します。

• 5.5.3系列：5.5.3-2.8 以降（5.5.3-2.5以前を除く）
• 5.5.4系列：5.5.4-2.5 以降（5.5.4-2.4以前を除く）
• 5.5.5系列：5.5.5-0.2 以降（5.5.5-0.1を除く）
• 5.5.6以降

当該AMFネットワーク上に前記バージョン以外の非互換ノード※（5.5.3-2.5以前、5.5.4-2.4以前または5.5.5-0.1のノード）が存在する場合、下記の制限が発生します。

(1) これらの非互換ノードに対して以下の操作を行うことはサポート対象外です。

• AMFリモートログイン（atmf remote-login）
• AMFワーキングセット（atmf working-set）経由での下記コマンドの実行
  （Vista Manager EXのネットワークマップから「CLI接続」経由で下記コマンドを実行する場合も同様です）
  • atmf reboot-rolling
  • atmf distribute firmware
  • atmf recover
  • edit
  • issu boot
  • mail
  • terminal monitor
  • test cable-diagnostics tdr interface
  • copy（copy running-config startup-config の形で実行する場合を除く）

(2) これらの非互換ノードに対して以下の操作を行う場合、SSH認証が発生します。
SSHのパスワード入力プロンプトに表示されたユーザーのパスワードを入力してください。認証が成功すればコマンドが実行されます。
（例：ユーザー名 manager の場合、 コマンド実行時に (manager@) Password: のようなパスワード入力プロンプトが表示されます）

• AMFワーキングセット（atmf working-set）経由での下記コマンドの実行
  （Vista Manager EXのネットワークマップから「CLI接続」経由で下記コマンドを実行する場合も同様です）
  • atmf cleanup
  • banner login
  • delete
  • move
  • ping
  • remote-login（VCS）
  • traceroute

バージョンごとのAMF内部認証方式の互換性は以下のとおりです。
前の説明における「非互換ノード」は「旧方式にのみ対応」のバージョンで動作するAMFノードを示しています。

ip name-serverコマンドでDNSサーバーを登録する際、当該DNSサーバーへの問い合わせ時に使用する始点アドレスを明示的に指定することが可能となりました。指定アドレスは同コマンドに追加されたsource-addressパラメーターで行います。詳細はコマンドリファレンスをご参照ください。

外部CAを使用する環境において証明書取得プロセス（CAに対して証明書への署名を要求するプロセス）を自動化するプロトコル SCEP（Simple Certificate Enrollment Protocol）をサポートしました。

電子メール送信機能（メールクライアント）において、メール送信時の認証方式としてOAuth 2.0をサポートしました。
サポートするOAuthプロバイダーはGoogleとMicrosoftです。

SNMPトラップの動作確認を行う test snmp trap snmpコマンドにおいて、テスト用のatSampleプライベートトラップを送信できるように機能拡張しました。

DHCPv6サーバーからNTP/SNTPサーバーのIPv6アドレスを動的に学習できるようになりました。
show ntp associationsコマンドの出力において、動的に学習したNTPサーバーには「@」マークが付きます。

無線端末の電波情報を継続的に収集して位置情報サービスへ活用する機能をサポートしました。
ご利用には、本機能に対応したバージョンのAT-Vista Manager EX（AWCプラグイン）が必要です。詳細はAWCプラグインのリファレンスマニュアルを参照してください。
また、本機能はAT-Vista Manager EXのAWCプラグインから設定するため、Web GUIやCLIからは設定を変更しないでください。また、トラブルシューティング時のご使用に際しては弊社技術担当にご相談ください。

無線LANコントローラー機能において、AT-TQRシリーズの新製品 AT-TQ6403 GEN2-R の管理に対応しました。

なお、管理下にあるAT-TQRシリーズでは自動的な設定保存が行われないため、管理下に入ったタイミングでAT-TQRシリーズのCLIからwireless ap-configuration pull ap local(local)コマンドを実行し、設定を保存することをおすすめします。 また、管理下にあるAT-TQRシリーズを再起動する際も、事前にwireless ap-configuration pull ap local(local)コマンドを実行し、設定を保存してから再起動してください。

製品内蔵のアプリケーションシグネチャデータベース（built-in）において、断片化されたClient Helloを含むQUICパケットを適切に処理できるように機能拡張しました。

MAC認証およびWPAエンタープライズ使用時にRADIUSサーバーへ送信するCalling-Station-Id属性値の区切り文字（ハイフン有無）と大文字・小文字を変更可能になりました。
対応アクセスポイントおよびファームウェアバージョンは以下のとおりです。

• AT-TQ7613 バージョン12.0.6-0.1以降
• AT-TQ(m)3403 バージョン 11.0.6-0.1以降
• AT-TQ7403 バージョン10.0.6-0.1以降
• AT-TQ(m)6403 GEN2、AT-TQ6702e GEN2 バージョン9.0.6-0.1以降
• AT-TQ(m)6702 GEN2、AT-TQ(m)6602 GEN2 バージョン8.0.6-0.1以降
• AT-TQ7403-R バージョン5.5.6-0.2以降
• AT-TQ6702 GEN2-R バージョン5.5.6-0.2以降
• AT-TQ6702e GEN2-R バージョン5.5.6-0.2以降
• AT-TQ6403 GEN2-R バージョン5.5.6-0.2以降

無線LANコントローラーは管理下に入った無線APに対して無線設定を自動的に適用しますが、本バージョンから自動適用を無効にし、任意のタイミングで手動適用することが可能になりました。
デフォルトは自動適用が有効ですが、新しく追加されたconfig-apply manualコマンドを設定することで自動適用を無効化し、手動適用による運用に切り替えられます。

受信信号強度（RSSI値）に応じて無線端末との通信を切断・接続拒否する「RSSIが低い端末を切断」機能をサポートしました。
本機能を有効にすると、無線端末の受信信号強度（RSSI値）がしきい値を下回った場合に同端末との通信を切断し、再接続要求も拒否するようになります。
設定は無線ネットワークモードのdisconnect-low-signalコマンドまたはWeb GUIの「無線設定」画面で行います。

無線LANコントローラー管理下のTQRシリーズに対して、VAP（無線ネットワーク設定）ごとに異なるMACフィルターを適用できるようになりました。
ご利用には下記APのファームウェアバージョン 5.5.6-0.2以降が必要です。

• AT-TQ7403-R
• AT-TQ6702 GEN2-R
• AT-TQ6702e GEN2-R
• AT-TQ6403 GEN2-R

無線LANコントローラーにおいて、APとの通信に使う管理アドレスをIPアドレスではなくインターフェースでも指定できるようになりました。

「無線設定」画面のユーザーフェースを改善し、無線ネットワーク設定をより直感的に行えるようにしました。
おもな変更点は以下のとおりです。

• デザインおよび設定項目の構成を無線LANコントローラー機能向けの「無線管理」画面に合わせて見直しました。
• RADIUSサーバーの設定を本画面からも行えるようにしました。

無線管理タスクの設定を行う「スケジュール登録」メニューが追加されました。
これにともない無線管理の監視画面から「タスク」タブが廃止されました。
また、従来無線管理画面クリック時に自動設定されていたAWC計算適用タスク（task 1000）とAWC計算タスク（task 1001）は自動で設定されないようになりました。

RADIUSサーバー画面からのユーザー追加時、パスワードに使用可能な文字がCLIよりも限定されていましたが、この制限がなくなりました。使用可能な文字の詳細はコマンドリファレンスをご参照ください。

サービス管理画面に「IP転送」の設定項目を追加しました。
同項目ではIPv4転送機能およびIPv6転送機能の有効・無効を変更することができます。

SSH機能がデフォルトで使用する暗号化アルゴリズム、鍵交換アルゴリズム、メッセージ認証コード（MAC）アルゴリズム、およびホスト鍵アルゴリズムを以下のとおり更新しました。

暗号化アルゴリズム

• chacha20-poly1305@openssh.com
• aes128-gcm@openssh.com
• aes256-gcm@openssh.com
• aes128-ctr
• aes192-ctr
• aes256-ctr

鍵交換アルゴリズム

• mlkem768x25519-sha256
• sntrup761x25519-sha512
• sntrup761x25519-sha512@openssh.com
• curve25519-sha256
• curve25519-sha256@libssh.org
• ecdh-sha2-nistp256
• ecdh-sha2-nistp384
• ecdh-sha2-nistp521

メッセージ認証コード（MAC）アルゴリズム

• umac-64-etm@openssh.com
• umac-128-etm@openssh.com
• hmac-sha2-256-etm@openssh.com
• hmac-sha2-512-etm@openssh.com

ホスト鍵アルゴリズム

• ssh-ed25519-cert-v01@openssh.com
• ecdsa-sha2-nistp256-cert-v01@openssh.com
• ecdsa-sha2-nistp384-cert-v01@openssh.com
• ecdsa-sha2-nistp521-cert-v01@openssh.com
• rsa-sha2-512-cert-v01@openssh.com
• rsa-sha2-256-cert-v01@openssh.com
• ssh-ed25519
• ecdsa-sha2-nistp256
• ecdsa-sha2-nistp384
• ecdsa-sha2-nistp521
• rsa-sha2-512
• rsa-sha2-256

PPPインターフェース（pppX）のインターフェースインデックス番号（ifIndex）を以下のとおり変更しました。

5.5.5-2.x以前

30000 + X

5.5.6-0.x以降

自動割り当て

本バージョン以降では、PPPインターフェースがダウン/アップするたびにインターフェースインデックス番号を採番するため、ダウン/アップ後にインターフェースインデックス番号が変更されます。

セキュリティー設定でWPA3を使用する場合、showコマンドでは暗号プロトコルGCMPを「GCMP (192bit mode)」と表記するよう仕様変更しました。

専用のモバイルアプリケーション「Allied Telesis Wave Control」（以下「モバイルアプリ」）による無線機能の初期設定をサポートしました。
これにともない、ご購入時状態で起動した場合は、モバイルアプリから接続するための一時的な無線ネットワーク（以下「初期設定無線ネットワーク」）が自動設定されるようになりました。

ご購入時状態（AMFクリーン状態）での起動時には以下の設定で動作します。

• 無線1が有効な状態で起動します。
• 無線1の最後のVAPがブリッジ「0」から外れ、192.168.255.1/24のIPアドレスが設定されます。
• モバイルアプリを使用する無線端末へのIPアドレス配布用としてDHCPサーバー（DHCPプール 192.168.255.2～192.168.255.10）が有効化されます。
• 無線1の最後のVAPには、以下の無線設定が適用されます。
  • SSID：TQ-Initial-Setup-xxxxxxxx（xxxxxxxxの部分は機器ごとに異なります）
  • セキュリティー：WPA2-パーソナル
  • セキュリティーキー：機器ごとに異なります

これらの設定は、ご購入時状態において、AMFオートリカバリー、無線LANコントローラーによる管理、およびDHCPオプション43（ベンダー固有情報）のいずれも設定されていない、かつ、eth1インターフェースにDHCPでIPアドレスが付与される場合にのみ生成されます。
これらの設定は、コンソールでのログイン、Web GUIでのログイン、無線LANコントローラーによる管理、またはモバイルアプリから無線設定の適用が行われた時点で削除されます。
これらの設定が削除される際には、無線1の最後のVAPのIPアドレス（192.168.255.1）、ブリッジ設定、セキュリティー設定などもあわせて初期化されます。
また、モバイルアプリ端末向けのDHCPサーバーおよびDHCPプールも初期化されます。

全般的な画面デザインの変更を行いました。

ダッシュボードおよびシステム＞情報

ウィジェットごとの最大サイズを固定し、画面サイズに合わせてレイアウトされるよう変更しました。

入力欄のヒント文字列

内容を簡潔にし、より直感的に理解できる表現に変更しました。

無線設定および無線管理

MACフィルターリスト名が10文字を超えるときはそれ以降を省略して表示するよう変更しました。なお、マウスオーバーすることで全体表示が可能です。

起動時ファームウェアや起動時コンフィグに指定したファイルが削除されないよう仕様変更しました。

起動時に以下のログが出力されることがありますが、ログのみの問題で、システムは正常に起動します。

auth.warning awplus portmap[311]: user rpc not found, reverting to user bin

起動時に以下のログが出力されることがありますが、ログのみの問題で、動作には影響ありません。

kern.err awplus kernel: EXT4-fs (mmcblk0p1): couldn't mount as ext3 due to feature incompatibilities

show memoryコマンドを実行した際、まれに以下のようなエラーログが出力されることがありますが、ログのみの問題で、通信には影響ありません。

hostd[xxx]: CMSG(xxxx).host.req.tipc[xx]: sending of reply failed send:-1 of xxxxx, error Cannot allocate memory
IMI[xxxx]: CMSG(xxx).tport.host.req.tipc[xx]: Receive timed out socket xxx nbytes was -1 last error Resource temporarily unavailable
IMI[xxxx]: CMSG(xxx).host.req.tipc[xx]: No response from server. (method: proc_get_sys_ps_info)

起動時にまれに以下のようなログが出力されることがありますが、動作には影響ありません。

user.err awplus-1 licencecheck: RPC[3]: Recv data error: Bad file descriptor

SSHクライアント端末が接続している状態でシステムを再起動した場合、これらの接続の切断処理を行いません。

systemd 254 running in system mode (-PAM -AUDIT -SELINUX -APPARMOR -IMA -SMACK -SECCOMP -GCRYPT -GNUTLS +OPENSSL -ACL +BLKID -CURL -ELFUTILS -FIDO2 -IDN2 -IDN -IPTC +KMOD -LIBCRYPTSETUP -LIBFDISK -PCRE2 -PWQUALITY -P11KIT -QRENCODE -TPM2 -BZIP2 -LZ4 -XZ -ZLIB -ZSTD -BPF_FRAMEWORK -XKBCOMMON +UTMP -SYSVINIT default-hierarchy=hybrid)
Detected virtualization container-other.
Detected architecture mips64.

起動時コンフィグ（スタートアップコンフィグ）が存在しない状態で機器を起動すると、起動後に以下のようなログが記録される場合がありますが、動作には影響ありません。

user.err awplus IMISH[2090]: Command [loop-protection loop-detect fast-block ldf-interval 1] failed

同じユーザーアカウント（ユーザー名）で連続してログインに失敗しても、aaa local authentication attempts max-failコマンドの設定によるアカウントロックが動作しないことがあります。
ログインに成功するとそれまでの失敗回数がクリアされますが、同じユーザーアカウントでGUIアプリケーション（AT-Vista Manager EXやWeb GUI）を使用している場合、これらのアプリケーションによるログイン成功でも失敗回数がクリアされます。
そのためCLIから連続でログインに失敗しても、アプリケーション経由のログインによるカウントクリアのタイミングによってはアカウントがロックされません。

本事象はアプリケーションが使用するユーザーアカウントとCLIが使用するアカウントを別にすれば回避できますので、必要に応じてアプリケーション専用のユーザーアカウントを設定してください。

authpriv.err awplus IMISH[XXXX]: PAM _pam_load_conf_file: unable to open config for /etc/pam-aaa/method/group:tacacs+.acct-commands

サーバー証明書の削除、またはインポートを実施した際に以下のログが表示されますが、ログのみの問題で、削除処理、またはインポート処理には問題ありません。

PKI error: failed to create symlink

通信中まれに以下のログが出力されることがありますが、ログのみの問題で、通信には影響ありません。

kern.err awplus kernel: pca953x 0-0023: failed writing register

NATが有効の場合、起動後に以下のようなログが出力されることがありますが、通信には影響ありません。

apteryxd: Failed to notify watcher for path "/firewall/nat-rules/xx/index""

HSL: WARNING: Interface port1.0.28 detected link status remote fault

起動後に以下のようなログが出力されることがありますが、動作には問題ありません。

syslog.err awplus syslog-ng[287]: Error opening include file; filename='/etc/syslog-conf.d/delay_buffer', depth='1
syslog.err awplus syslog-ng[287]: Error resolving reference; content='rewrite', name='r_subst', location='/etc/syslog-conf.d/buffered:12:42'
syslog.err awplus syslog-ng[287]: Error initializing new configuration, reverting to old config;

起動時に以下のようなログが出力されることがありますが、動作には影響ありません。

daemon.warning awplus systemd[1]: /lib/systemd/system/animad.service:6: Unknown key name 'SuccessExitStatus' in section 'Unit', ignoring.
daemon.warning awplus systemd[1]: /lib/systemd/system/anima_sshd.service:5: Unknown key name 'SuccessExitStatus' in section 'Unit', ignoring.
daemon.warning awplus systemd[1]: dev-hugepages.mount: unit configures an IP firewall, but the local system does not support BPF/cgroup firewalling.
daemon.warning awplus systemd[1]: (This warning is only shown for the first unit using IP firewalling.)

起動時に、まれにappweb: PAMから始まる以下のようなエラーログが出力されることがありますが、動作には影響ありません。

authpriv.err awplus appweb: PAM unable to dlopen(/lib/security/pam_permit.so): /lib/security/pam_permit.so: cannot open shared object file: Too many open files
authpriv.err awplus appweb: PAM adding faulty module: /lib/security/pam_permit.so
authpriv.err awplus appweb: PAM no modules loaded for `login' service
authpriv.err awplus appweb: PAM _pam_init_handlers: no default config /etc/pam.d/other
authpriv.err awplus appweb: PAM error reading PAM configuration file

起動時に以下のようなwarningレベルのログが出力されることがありますが、動作には影響ありません。

kern.warning awplus kernel: mmcblk0: p1 size 7714809 extends beyond EOD, truncated

起動中に、まれに以下のようなメッセージが表示されることがありますが、動作には影響ありません。

systemd[1]: Failed to allocate manager object: Read-only file system
[!!!!!!systemd[1]: Freezing execution.
] Failed to allocate manager object.

起動時に以下のログが出力されることがありますが、動作には影響ありません。

kernel: cgroup: new mount options do not match the existing superblock, will be ignored

AT-Vista Manager EXで管理されている環境のルーターにおいて、起動時に以下のようなエラーログが複数生成されることがありますが、動作には影響ありません。

user.err awplus apteryxd: No response from provider for path "/system/configuration/state"

起動時に以下のログが出力されることがありますが、動作には影響ありません。

kern.notice awplus kernel: random: crng init done
kern.notice awplus kernel: random: 6 urandom warning(s) missed due to ratelimiting

kern.warning awplus kernel: dw-apb-uart 18020000.serial: forbid DMA for kernel console (1993 times)
kern.warning awplus kernel: ipifwd: loading out-of-tree module taints kernel.  (1992 times)
kern.warning awplus kernel: pci_bus 0000:00: 2-byte config write to 0000:00:00.0 offset 0x4 may corrupt adjacent RW1C bits (1996 times)

起動後に以下のエラーログが出力されることがありますが、動作には問題ありません。

ovs-vsctl: (db_ctl_base) unix:/tmp/db.sock: database connection failed (Connection refused)
ovs-exec: (ovs_exec) Failed to initialize the database.
ovs-vsctl: (db_ctl_base) no row "of0" in table Bridge
ovs-vsctl: (db_ctl_base) no bridge named of0

systemd[1]: Warning! Reported kernel version 4.4.60 is older than systemd's required baseline kernel version 4.15. Your mileage may vary.

ターミナルモニターを有効化すると、以下のようなメッセージが約15分間隔で出力されますが、動作に影響はありません。

20:55:38 awplus systemd[1]: Starting Fake Hardware Clock...
20:55:38 awplus systemd[1]: fake-hwclock.service: Succeeded.
20:55:38 awplus systemd[1]: Started Fake Hardware Clock.

[FAILED] Failed to start Rotate log files
See 'systemctl status logrotate.service' for details.

トリガー設定時、scriptコマンドで指定したスクリプトファイルが存在しない場合、コンソールに出力されるメッセージ内のスクリプトファイルのパスが誤っています。

誤：% Script /flash/script-3.scp does not exist. Please ensure it is created before

正：% Script flash:/script-3.scp does not exist. Please ensure it is created before

また、スクリプトファイルが存在しないにもかかわらず前述のコマンドは入力できてしまうため、コンフィグに反映され、show triggerコマンドのスクリプト情報にもこのスクリプトファイルが表示されます。

SNMPマネージャーからMIB取得要求を連続的に受信している状態で再起動が発生すると、再起動後一時的に以下のエラーメッセージが複数回出力されますが、通信に影響はありません。

kern.err awplus snmpd[xxxx]: send response: Failure in sendto
kern.err awplus snmpd[xxxx]:  -- .1.0.8802.1.1.1.1.1.1.0

daemon.warning dut chronyd[3197]: System clock wrong by 5307.988975 seconds, adjustment started
daemon.warning dut chronyd[3197]: System clock was stepped by 5307.988975 seconds 

本製品のSSHサーバーに対して、次に示すような非対話式SSH接続（コマンド実行）をしないでください。

※本製品のIPアドレスを192.168.10.1と仮定しています。

clientHost> ssh manager@192.168.10.1 "show system"

SSHログイン時、ログアウトするときに以下のログが表示されますが、動作に影響はありません。

sshd[2592]: error: Received disconnect from xxx.xxx.xxx.xxx: disconnected by server request

crypto key pubkey-chain knownhostsコマンド使用時、VRFオプションで誤入力（存在しないVRFインスタンスを指定するなど）し、エラーとなった場合、その後正しく入力しなおしてもknownhostとして登録できなくなります。 その場合は、取得/登録する鍵の種類（dsa, rsa, rsa1）を指定してコマンドを再実行してください。
なお、本コマンドは事前にKnown Hostsデータベースに手動登録しておくことで、初回接続時のホスト鍵の確認を省くためのものですが、仮に本事象が発生していても、SSHサーバーへの初回接続時の鍵の確認手順を経ることで動的に確認済みSSHサーバーとして登録されます。

SSHサーバー機能を使用する場合、セッションタイムアウト（ssh server session-timeoutコマンド）は初期値「0」（タイムアウトしない）のままご使用ください。

RADIUS認証用のユーザー名、パスワードを使用して機器にSSHでログインしようとすると、以下のエラーが出力され、ログインに失敗することがあります。その場合は再度、認証用のユーザー名、パスワードを使用してSSHログインしてください。

sshd[74545]: fatal: mm_request_receive_expect: read: rtype 104 != type 102

% VRF "" does not exist

ssh server allow-usersコマンドまたはnetconf allow-usersコマンドでログイン元（HOSTNAME-PATTERN）をホスト名で指定している場合、該当ホストからログインできないことがあります。
その場合は、ユーザー名のみ、あるいはユーザー名とIPアドレスの組み合わせで指定してください。

トンネルインターフェースのデリバリーパケットの始点アドレスにPPPインターフェースを設定している場合、起動時に以下のエラーログが出力されることがありますが、ログのみの問題で、動作には影響ありません。

HSL[xxxx]: hsl_os_ioctl_inet4 ioctl (xxxxx): errno 19 - No such device

トンネルインターフェースの送信元としてPPPインターフェースを指定し、そのトンネルを使用してPBRルールを設定している場合、起動時またはPPPインターフェースのアップ時に以下のようなエラーログが出力されることがありますが、動作に影響はありません。

user.err awplus pbrd: PBR: Error creating route via tunnel0 in IPv4 table 5 (ret=-31)

pbrd: PBR: Error creating route via tunnel0 in IPv4 table 5 (ret=-1)

"0000.5e00.53b1",""

本製品の起動直後に無線接続を行う場合、コンソールにログインプロンプトが表示されてから1分ほどお待ちいただくか、WIRELESS LAN LEDが点灯するまでお待ちください。

WDSと高速ローミングの併用時、WDS間で使用できるVLANは1つだけです。

PPPインターフェース上のIPv6アドレスをno ipv6 addressで削除すると、以下のメッセージがコンソール上に表示されますが、メッセージのみの問題で、アドレスは正しく削除されます。

% Unknown error -1

例）

awplus# show running-config | begin vrf

VRF-Lite環境において、no ip route vrf でIP経路表から経路を削除したときは、clear arp-cacheコマンドを実行しARPエントリーを削除してください。
clear arp-cacheコマンドを実行しない場合、削除した経路に関連するARPエントリーが残り、削除した経路へのルーティングが行われつづけます。

VRFインスタンス間では、機器に設定したIPアドレスに対するPingに失敗します。
グローバルVRFからのPingや、機器の配下に接続された端末によるVRFインスタンス間のPingは正常に行えます。

IPv6アドレスを設定したインターフェースのリンクステータスがダウンとなっている状態でshow interfaceコマンドを実行した場合、該当インターフェースに設定したIPv6の情報が表示されませんが、表示のみの問題で、動作には影響ありません。

インターフェースに設定したIPv6アドレスの情報を確認したい場合は、show ipv6 interfaceコマンドを使用してください。

DHCPv6クライアント機能において、Rebindメッセージを送信した際に以下のログが出力されますが、動作には影響ありません。

daemon.err awplus dhclient: dhc6: send_packet6() sent -1 of 81 bytes
daemon.err awplus dhclient: dhc6: send_packet6() sent -1 of 81 bytes

設定変更等により、同一IPv6アドレス、かつ異なるサブネットマスク長を持つ2つのIPv6アドレスを同一インターフェース上に設定し、最初に設定したIPv6アドレスを削除した場合、該当インターフェースをいったん無効化してから再度有効化してください（shutdown → no shutdown）。

IPv6トンネルインターフェースがダウンすると、以下のような警告ログが出力されることがありますが、動作には影響ありません。

kern.warning awplus kernel: ip6_tunnel: tunnelXX xmit: Local address not yet configured!

IPv6のデフォルト経路設定で、ネクストホップにグローバルユニキャストアドレスを設定している場合、該当経路がダウンすると次のようなログが記録されることがありますが、動作には影響ありません。このメッセージを回避するには、ネクストホップとしてリンクローカルアドレスを設定してください。

HSL[640]: HSL: ERROR:   Route could not be added : No route to host
HSL[640]: HSL: ERROR: Error adding route ::/0 to kernel
HSL[640]: HSL: ERROR: Failed to add IPv6 prefix 0x0/0x0 nexthop 0x10000fd entry to TCP/IP stack ret= -309

ipv6 nd prefixコマンドで1つのインターフェースに複数のIPv6プレフィックスを設定した場合、以下のログが出力されますが、動作に影響はありません。

daemon.warning awplus radvd[1766]: our AdvPreferredLifetime on [INTERFACE] for [IPv6 Prefix Address] doesn't agree with [link-local-address]

ファイアウォールとNATの最大ルール数は両機能あわせて500ですが、ルール数が500に近づくにつれてパフォーマンスが低下するため、なるべくルール数は少なく設定してください。

ルール数が多い場合は、以下の事象が発生します。

• ルール数が500の場合、すべてのルールが有効になるまで約2分半かかります。
• ルールを読み込んでいる間はすべてのパケットを破棄します。
• ルールを読み込んでいる間にshow nat ruleコマンドを実行すると、有効になる前のルールは「*」付きで表示され、Hitsカウンターには-1が表示されます。また、すべてのルールが有効になってから、カウンターが正常に動作するまで45秒かかります。

無効なNATルールが存在する状態でshow nat ruleコマンドを実行すると、次のようなログが出力されますが、動作に影響はありません。

user.err awplus firewalld: NAT: Sending iptables -t nat -L PORT_FORWARDING_RULE_10 -v -x 2>&1 | grep DNAT | awk '{print $1}' failed

アプリケーションコントロール（DPI）機能を有効にした場合、NATルールにおいてアプリケーション「ftp」が正しく動作しなくなります。これを回避するため、アプリケーションコントロール（DPI）機能を使用する場合は、下記のようにしてFTP通信を表すカスタムアプリケーション「ftp」を定義してください。

awplus(config)# application ftp
awplus(config-application)# protocol tcp
awplus(config-application)# sport 1024 to 65535
awplus(config-application)# dport 21

NAT機能において、portfwdルールとそれに対応するmasqルールが設定されている場合、portfwdルールにマッチするパケットを受け取ったときに、show nat ruleコマンドで表示されるHitsカウンターがportfwdルールとmasqルールの両方でカウントされます。これは表示のみの問題で、通信には影響ありません。

なお、show nat ruleコマンドで実際のマッチ数を確認したい場合は以下の方法で確認可能です。

• portfwdルールのマッチ数：portfwdルールのHitsを確認
• masqルールのマッチ数：masqルールのHitsからportfwdルールのHitsを引いて確認

streamd[471]: NAVL engine error (22)(Invalid argument)

ご購入時のようにアプリケーションシグネチャデータベースが存在しない状態でアプリケーションコントロール（DPI）機能を有効にした場合、下記のログメッセージが出力されますが、アプリケーションシグネチャデータベースのダウンロード完了後は正しく動作します。

awplus streamd[477]: Could not open NAVL library
awplus streamd[477]: Failed to enable DPI provider

00:42:01 awplus real_init: network/suricata main process (xxx) killed by USR2 signal
00:42:01 awplus real_init: network/suricata main process ended, restarting

NATのportfwdまたはnetmapルールを削除した場合、以下のエラーログが出力されますが、動作には影響ありません。

local5.err awplus firewalld[604]: CB: not found ((null)/*)

kernel: NMRING: No iif for processed prerouting packet

kernel: NMRING(TX): no priv
kernel[383]: Last message 'NMRING(TX): no priv' repeated 229 times, suppressed by syslog-ng

servicefc: TTL expired

アプリケーションコントロール（DPI）機能において、サンドバイン社が提供するアプリケーションシグネチャデータベース（provider procera）を使用している場合、アプリケーションコントロールライセンスの有効期限が切れるとルーターを経由する通信が停止します。
有効期限が切れた場合は、DPI機能を無効化してください。また、有効なライセンスを再適用した場合は、再びDPI機能を有効にすることで使用可能な状態になります。

dpi: Failed to add rules

Web GUIでは、エンティティーのネットワーク定義に無効なIPv4サブネットを設定してもエラーになりません（CLIから設定するときはエラーになります）。
無効なIPv4サブネットを含むネットワーク定義をファイアウォールなどのルールで使用した場合、そのルールは無視されます。
また、再起動時に無効なIPv4サブネットを含むネットワーク定義はエラーとなりランニングコンフィグに反映されませんので、起動時にエラーが出力されていないかCLIでご確認ください。

ブラックリストおよびホワイトリストファイルの改行コードにはLFを使用してください。
改行コードがCRLFだとこれらのリストが動作しません。

user.err awplus linkmond[579]: Probe[PROBE0]: Failed to bind socket [Bad value for ai_flags] (errno=126)

起動時にまれに下記のエラーログが出力されることがありますが、動作に影響はありません。

local6.err awplus pbrd: CMSG(xx).tport.linkmon.re/tmp/linkmon_registration: Failed to connect to remote host. Error:No such file or directory

DNSリレーの設定を含む起動時コンフィグで起動した際、以下のログが出力されることがありますが、動作には影響ありません。

dnsmasq[1750]: cannot open named out pipe

DNSリレーを有効にしている機器にてIMIモジュールの異常終了が発生した場合、以下のようなエラーログが大量に出力されますが、動作には影響ありません。

daemon.err awplus dnsmasq[3490]: recv AW+ event, but cannot read msg: Success
daemon.err awplus dnsmasq[395]: Last message 'recv AW+ event, but ' repeated 9469 times, suppressed by syslog-ng on awplus

ip dhcp poolコマンドでDHCPモードに移行後、未設定の静的IPアドレスを指定して no host A.B.C.D を実行すると機器のホスト名の設定（hostnameコマンド）が削除されます。
その場合は、グローバルコンフィグモードのhostnameコマンドで機器のホスト名を再設定してください。

トンネルインターフェースのMTUを変更すると次のようなエラーメッセージがログに出力されますが、通信には影響ありません。

user.err XXXX HSL[1253]: HSL: ERROR: Error finding iif L2 interface info 11
user.err XXXX HSL[1253]: HSL: ERROR: Group(xxx.xxx.xxx.xxx) Source

IPsec SA、ISAKMP SAのrekeyのタイミングでshow ipsec saコマンドまたはshow isakmp saコマンドを実行した場合、以下のログが出力されることがありますが、通信や機能には影響ありません。

その場合は、10秒程度時間をおいてから再度コマンドを入力することで正常に情報を確認できます。

IMI[671]	SEARCH: Error processing request.
IMI[671]	SEARCH: No response
IMI[671]	RPC[17]: Recv data error: Bad file descriptor
apteryxd	SEARCH: Error processing request.
apteryxd	No response from indexer for path "/isakmp/sa/

kern.crit awplus kernel: ATL Virtual Device tunnel1 Error-Loop

HSL[XXXX]: HSL: WARNING: IP address set failed (Resource temporarily unavailable)
HSL[XXXX]: HSL: WARNING: Couldn't add address to OS -19

OpenVPN使用構成において、デフォルト経路の出力先にトンネルインターフェースなどの動的インターフェースを設定している場合、起動時に下記のwarningログが出力されることがありますが、動作に影響はありません。

openvpn[2098]: sitnl_route_save: rtnl: can't get ifname for index 0: No such device or address (errno=6)

IPアドレスや経路情報をDHCPサーバーから取得するOpenVPNクライアントが接続したとき、下記のようなエラーログが出力されますが、動作に問題はありません。

openvpn[2089]: userA/172.16.254.2:13050 MULTI: no dynamic or static remote--ifconfig address is available for userA/172.16.254.2:13050

OpenVPN接続時に以下のログが出力されることがありますが、通信に影響はありません。

daemon.warning awplus openvpn[xxxx]: xx.xx.xx.xx:xxxxx WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'

センター側が2台のルーターによるVRRP冗長構成かつマルチポイントGREトンネルを使用したVPN構成において、VPN切断にともなう再接続時に時間を要する（9分程度）ことがあります。

自動バックアップを中断した場合、AMFマスター上に以下のようなログが出力されますが、動作に問題はありません。

• バックアップが完了しなかったAMFノード分のログ

  ATMFFS[13301]: ATMF backup: Aborted backup for node ノード名 (ホスト名) due to insufficient media space
  ATMFFS[13301]: ATMF backup: Aborted "ノード名 (ホスト名)" on backup by user request

• その他のログ

  ATMFFS[13301]: ATMF backup: Could not copy rsync log file to media
  ATMFFS[13301]: ATMF backup: Errors occurred during all-nodes backup

atmf domain vlan コマンドの設定を変更し、保存、再起動すると、コンフィグ読み込み時にエラーが表示されますが、動作には影響ありません。

AMF仮想リンクのローカル側IPアドレスとして、tunnel sourceコマンドでPPPインターフェースを指定したトンネルインターフェースのIPアドレスを使用している構成において、トンネルインターフェースのIPアドレスを削除したい場合は、最初に該当するAMF仮想リンク設定を削除してからトンネルインターフェースのIPアドレスを削除してください。

デフォルトのAMFマネージメントVLANを使用している環境ではno atmf management vlanを実行しないでください。

AMFセキュアモードで、AMFノードのオートリカバリーを実行するとき、リカバリー中に以下のようなログが出力されることがありますが、オートリカバリーは正常に行われます。

Local certificate subject host_xxxx_xxxx_xxxx does not match node Name xxxx!

AMF上のメンバーを再起動すると下記ログが記録され、AMFネットワークへの再接続が完了するまで1分程度かかることがあります。

Interface portX.Y.Z link partner has no valid ATMF response

AMFクリーンアップ実行時に以下のログが出力される場合がありますが、ログのみの問題で、クリーンアップの動作には影響ありません。

syslog-ng[xxx]: Error opening file for writing;filename='/flash/log/messages', error='No such file or directory (2)' {noformat}

AMFセキュアモードを使用したAMFネットワークにて、AMF接続ポートとしてethポートを使用しているとき、ethポート経由でオートリカバリーを実行すると以下のエラーログが出力されますが、オートリカバリーは正常に動作します。

user.err awplus ATMF[1234]: Failed to remove "atmfeth1.4092" to the bridge, "br-atmfmgmt".

AMFノードのホスト名を2回以上変更する場合、以前に使用したことのあるホスト名を設定すると当該AMFノードのAMFバックアップが失敗します。
本事象が発生した場合、当該AMFノードを再起動してください。
使用したことのないホスト名を設定する場合、本事象は発生しません。

• Node Depth 3 以上のAMFメンバーが存在する
• Node Depth 1 とNode Depth 2 のAMFメンバー間がAMF仮想リンクで接続されている
• Node Depth 2 以降のAMFメンバー間がAMFリンクで接続されている

• Operator name
• Domain name
• NAI realm information

画面左下のCopyright表示が2025年のままになっています。
また、サイドメニューを上下にスクロールした場合にCopyright表示がメニューと重なることがありますが、メニューをクリックする動作には影響ありません。

user.err xxx apteryxd: Failed to notify refresher for path "/system/storage/"
user.err xxx apteryxd: Failed to notify refresher for path "/system/ram/"
user.err xxx apteryxd: No response from provider for path "/system/cpu-load"
user.err xxx apteryxd: Failed to notify refresher for path "/system/storage/"
local0.err xxx appweb: QUERY: No response Path(/system)
user.err xxx apteryxd: No response from provider for path "/system/flash/total"
user.err xxx apteryxd: Failed to notify refresher for path "/system/ram/"
user.err xxx apteryxd: No response from provider for path "/system/flash/available"

本バージョンでは、OpenVPNクライアントとして下記OS/アプリケーションの組み合わせをサポートします。