PN: 613-003023 Rev.H
Allied Telesis Logo

AMF Security(AT-VST-VRT版)2.7.0 リリースノート

このリリースノートは、マニュアルに記載されていない内容や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。 最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。

1. ソフトウェアバージョン 2.7.0

2. 重要:注意事項

2.1. 一般

  • 2.1.1
    スケジュールの日時とタイムゾーン設定の関係について

    「ポリシー設定」のスケジュールで設定する開始日時・終了日時は、「システム設定」/「時刻設定」画面で現在設定されているタイムゾーンの日時です。スケジュールを登録後にタイムゾーンが変更されると、変更後のタイムゾーンに合わせてスケジュールの開始日時・終了日時が変更されます。

    ■ タイムゾーンが「UTC」で以下を設定
    スケジュール開始日時 スケジュール終了日時
    20XX-04-01 08:00:00 20XX-09-30 23:59:59
    ■ タイムゾーンを「UTC」から「Asia/Tokyo」に変更
    スケジュール開始日時 スケジュール終了日時
    20XX-04-01 17:00:00 20XX-10-01 08:59:59

    そのため、以下のようなスケジュールの設定に関連した操作を行う場合には、あらかじめ使用されるタイムゾーンが設定されていることを確認してください。

    • 「ポリシー設定」でスケジュールの追加・更新
    • 「システム設定」/「システム情報」画面で、認証データのエクスポート・インポート
    •  AMF Securityの連携アプリケーション(API)による認証データの登録

  • 2.1.2
    ライセンスについての注意

    以下の場合にはライセンスの再発行が必要になりますので、新しくインストールしたAMF Securityの「システム設定」/「システム情報」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

    • AT-VST-VRT上でAMF Securityアプリケーションを削除し、再度AMF Securityアプリケーションをインストール
    • 別の仮想環境のAT-VST-VRTにAMF Securityアプリケーションをリストア(移行)
  • 2.1.3
    バージョン更新(バージョンアップ)の手順

    本バージョンにバージョン更新を行うと現在の認証データは削除されますので、バージョン更新を行う前に必ずバックアップを取得してください。なお、アップロードしたSSL証明書のファイル、トラップ監視設定のルールファイル、ライセンスは引き継がれます。

    バージョン更新は次の手順に従ってください。

    1. 認証データのバックアップを行います。
      AMF Securityの「システム設定」/「システム情報」画面を表示し、認証データの「エクスポート」ボタンをクリックして認証データをダウンロードします(データベース同期を使用している場合は、プライマリのAMF Securityで行います)。

    2. データベース同期を使用している場合は、認証データベースの同期を無効にします。
      無効にする手順は、「AMF Security リファレンスマニュアル」のクイックツアー「AMF Securityの同期」/「同期の設定の無効化」をご参照ください。
      データベース同期を使用していない場合は、次の手順に進んでください。

    3. AT-VST-VRTで本バージョンにバージョン更新を行います。
      詳細な手順は、「AT-VST-VRT リファレンスマニュアル」をご参照ください(データベース同期を使用している場合は、それぞれのAT-VST-VRTで行います)。

    4. データベース同期を使用していた場合は、認証データベースの同期を有効にします。
      有効にする手順は、「AMF Security リファレンスマニュアル」のクイックツアー「AMF Securityの同期」/「同期の設定」をご参照ください。
      データベース同期を使用しない場合は、次の手順に進んでください。

    5. 認証データをインポートします。
      AMF Securityの「システム設定」/「システム情報」画面を表示し、認証データの「インポート」ボタンをクリックして、手順1.でダウンロードした認証データをインポートします(データベース同期を使用している場合は、プライマリのAMF Securityで行います)。

    本バージョンへのバージョンアップは以上です。

3. 本バージョンで追加・拡張された機能

3.1. 一般

  • 3.1.1
    「AMF」/「AMF アプリケーションプロキシー設定」

    「AMF」/「AMF アプリケーションプロキシー設定」画面に以下の設定を追加しました。初期設定はチェックなしです。

    Message-Authenticator属性がない認証リクエストを拒否します。

    • チェックなし:認証リクエストにMessage-Authenticator属性がない場合でも応答します。
    • チェックあり:認証リクエストにMessage-Authenticator属性がない場合は応答しません。

  • 3.1.2
    認証データのインポートルール

    「システム設定」/「システム情報」画面に「認証データ インポートルール」を追加しました。認証データのインポート時の動作を変更できます。

    「認証データ インポートルール」では以下が設定できます。

    • MACアドレス列が空のエントリーをエラーにせず無視する。
    • 除外するインターフェース名称
    ■ MACアドレス列が空のエントリーをエラーにせず無視する。
    チェックなし:認証データのインポート時にMACアドレスが空欄の場合にはエラーになり認証データのインポートを中止します。
    チェックあり:認証データのインポート時にMACアドレスが空欄の場合にはスキップし、次の認証データのインポートを継続します。
    ※ 初期設定はチェックなしです(前バージョンと同じ動作)
    ■ 除外するインターフェース名称
    デバイス IDのインターフェースの名称の項目が、入力した文字(文字列)に合致する場合にはスキップします。
    入力は正規表現を使用します。
    ※ 初期設定は未設定です(前バージョンと同じ動作)
    入力例
    • 無線ポート と 有線ポート のどちらかが含まれる場合
       ^.*(無線ポート|有線ポート).*$
    • 無線ポート と 有線ポート の双方が含まれる場合
       ^(?=.*無線ポート)(?=.*有線ポート).*
  • 3.1.3
    SMTP OAuth 2.0

    メールのSMTP認証方式でOAuth 2.0を追加しました。OAuth 2.0は「Gmail (OAuth2.0)」と「Microsoft Exchange Online」が選択できます。

    また、既存の認証方式はユーザー名とパスワードのBasic認証で暗号化はSTARTTLSのみでしたがSMTPSも追加しました。暗号化の項目は以下が設定できます。

    • なし
    • STARTTLS
    • SMTPS

    設定は「システム設定」/「メール通知設定」画面で行います。SMTPサーバー設定に「SMTPプロバイダ」の項目が追加され以下を設定します。

    • 一般的なSMTPサーバー
    • Gmail (OAuth2.0)
    • Microsoft Exchange Online

  • 3.1.4
    MACアドレスのベンダー名のリスト(OUIリスト)の更新
    「デバイス」/「接続中 デバイス一覧」画面に表示される端末のMACアドレスのベンダー名のリスト(OUIリスト)を更新しました。
  • 3.1.5
    AW+ TQRのAMFメンバーの取り扱い

    AMFメンバーにTQRが含まれる場合に「AMF」/「AMF アプリケーションプロキシー 設定」画面のAMF マスターの「接続状態」に「Warning」が表示されていましたが「Good」が表示されるようになりました。

    また、本バージョンより前のバージョンではAMFマスター(プロキシーノード)への定期問い合わせ(30秒間隔)ごとに「AMF Securityログ」画面にログが出力されていましたが、本バージョンでは1度だけログを出力するようになりました。

    • 本バージョンより前のバージョンのログ 
      web WARNING Received an error response (501) of AMF member '(TQRのホスト名@AMFマスターのIPアドレス)' supplicant list API
    • 本バージョンのログ 
      web INFO (TQRのホスト名 TQRの管理IPアドレス): doesn't support AMF Application Proxy of AW+ and is unmanaged
  • 3.1.6
    楕円曲線暗号の証明書サポート

    公開鍵アルゴリズムに楕円曲線暗号(Elliptic Curve Cryptography)を使用した証明書をサポートしました。

    なお、MD5withRSAの旧式のアルゴリズムを使用した証明書はインポートできないようにしました。

  • 3.1.7
    AMFアプリケーションプロキシーの「アクション」関連のログ出力

    AMFアプリケーションプロキシーにおける「アクション」関連のログを追加しました。

    • AMF Securityに「IPフィルター」のアクションを登録
    • AMF Securityで「IPフィルター」のアクションを削除(解除)
    • AMF SecurityがAMFマスター(プロキシーノード)への定期問い合わせを行って情報を取得
    ■ AMF Securityに「IPフィルター」のアクションを登録
    AMF Securityに「IPフィルター」のアクションが登録された際に以下のようなログを出力します。 
    auth INFO IP-Filter 00:00:00:00:00:00("NOTSET") by action-policy "(アクション ID)" at 0("")@0.0.0.0:0("") to VLAN-ID 0("NOTSET") in 0 (idle=0) sec. reason="(理由)" cause="policy modified" dvcip="(デバイスIPv4アドレス)" owner="(アクションの実行者)"
    ■ AMF Securityで「IPフィルター」のアクションを削除(解除)
    AMF Securityで「IPフィルター」のアクションを削除(解除)の際に以下のようなログを出力します。 
    auth INFO Clear IP-Filter 00:00:00:00:00:00("NOTSET") by action-policy "(アクション ID)" at 0("")@0.0.0.0:0("") reason="(理由)" dvcip="(デバイスIPv4アドレス)" owner="(アクションの実行者)"
    ■ AMF SecurityがAMFマスター(プロキシーノード)への定期問い合わせを行って情報を取得
    AMF SecurityがAMFマスター(プロキシーノード)への定期問い合わせを行って情報を取得した際に以下のようなログを出力します。 
    web INFO Received blocking report: Applied IP-based (アクション) action (name="(アクション ID)", owner="(アクションの実行者)") to (デバイスIPv4アドレス)/(デバイスMACアドレス)

4. 本バージョンで仕様変更された機能

4.1. 一般

  • 4.1.1
    syslogパケットのタイムスタンプ

    AMF Securityが送信するsyslogパケットのタイムスタンプ(時刻)のフォーマットを変更しました。

    変更前
    202X-XX-XXTXX:XX:XX.XX+09:00
    変更後
    202X-XX-XXTXX:XX:XX.XXXXXX+09:00

  • 4.1.2
    サポートリミットの拡張

    以下のサポートリミットを拡張しました。

    • AMFメンバー数 300→450
    • TQ数 300→450
    • AMFマスター数 1→2

    詳しくは、「サポートリミット一覧」をご参照ください。

5. 本バージョンで修正された項目

ソフトウェアバージョン 2.6.1 から 2.7.0 へのバージョンアップにおいて、以下の項目が修正されました。

  • 5.1 [D263004]
    OpenSSLに関する脆弱性(CVE-2025-15467, CVE-2025-68160, CVE-2025-69419)への対策を行いました。
  • 5.2 [R389291]
    RADIUSに関する脆弱性(CVE-2024-3596)への対策を行いました。
  • 5.3 [R420475]
    AMF Securityが送信するsyslogのタイムスタンプ(時刻)の小数点以下の値がログ出力順と前後する場合がありましたが、これを修正しました。
  • 5.4 [R434307]
    MongoDBに関する脆弱性(CVE-2025-14847)への対策を行いました。

6. 本バージョンでの制限事項

ソフトウェアバージョン 2.7.0 には、以下の制限事項があります。

6.1. 一般

  • 6.1.1 [R200752]
    OpenFlowとAMFアプリケーションプロキシーの混在構成は未サポートです。どちらかの構成でご利用ください。
  • 6.1.2 [R278600]

    本バージョンにバージョン更新(バージョンアップ)を行うと、AT-VST-VRTのストレージに以下のようなファイルが生成されることがありますが、バージョン更新やその後の動作には影響ありません。なお、これらのファイルは不要なためバージョン更新後に削除してください。

    • mongod-sesc-x.x.x-ATVSTxxx-x.x.x-x-xxxxxxxxxx-xxxx.tgz
    • exception.log
  • 6.1.3 [R302922]

    AMF Securityアプリケーションを新規で作成すると、AT-VST-VRTのストレージに以下のようなファイルが生成されることがありますが、AMF Securityアプリケーションの作成やその後の動作には影響ありません。なお、これらのファイルは不要なためアプリケーション作成後に削除してください。

    • mongod-sesc-x.x.x-ATVSTxxx-x.x.x-x-xxxxxxxxxx-xxxx.tgz
    • exception.log

6.2. デバイス

  • 6.2.1 [R197644]
    「接続中 AMF メンバー 一覧」画面で、AMFマスターとしてAMF Cloudが登録されている場合に「削除」ボタンをクリック(選択時の「複数削除」を含む)すると、下記のようなAMFマスターから端末の認証情報が削除できなかったことを示すログが記録されますが、ログのみの問題で動作に影響ありません。

    web INFO Failed to remove all devices from AMF master xxx.xxx.xxx.xxx, Internal Server Error
  • 6.2.2 [R198498]
    AMFアプリケーションプロキシーホワイトリスト機能使用時、「デバイス」/「接続中 デバイス一覧」画面で、状況が「認証失敗」または「検出」の端末を登録した際に、下記のような認証データを更新したことを示すログが複数と、AMFマスターから端末の認証情報が削除できなかったことを示すログが記録されますが、ログのみの問題で動作に影響ありません。

    auth INFO Authentication policy was updated
auth INFO Authentication policy was updated
web INFO Failed to remove xx-xx-xx-xx-xx-xx from AMF master xxx.xxx.xxx.xxx, Not Found
  • 6.2.3 [R198725]
    「スイッチ」/「接続中 AMF メンバー 一覧」画面で、「削除」ボタンをクリックしてAMFメンバーの認証情報の削除を行った際に、「接続中 AMFメンバーの削除に失敗しました。Receiveing IPC message timeout」メッセージが表示され、ログに web ERROR Failed to send IPC message (server), [Errno 32] Broken pipe が出力される場合がありますが、認証情報は正しく削除されます。
  • 6.2.4 [R198730]
    「デバイス」/「接続中 デバイス一覧」画面で、デバイスを「複数切断」で切断した際に、「接続中 デバイスの削除に失敗しました。 Receiveing IPC message timeout」メッセージが表示され、ログに web ERROR Failed to send IPC message (server), [Errno 32] Broken pipe が出力されますが、認証情報は正しく削除されます。
  • 6.2.5 [R198742]

    「デバイス」/「接続中 デバイス一覧」画面に表示されるAMFアプリケーションプロキシーホワイトリスト機能で認証された端末の情報は、アプリケーションインスタンスの再起動と「システム設定」/「システム情報」画面のサービスの再起動後に自動で表示されます。

    ただし、仮想マシンや物理サーバーが再起動した場合は表示されないことがあります。その場合は「システム設定」/「システム情報」画面でサービスの再起動を行ってください。

  • 6.2.6 [R303088]
    AMFマスター(プロキシーノード)とAMF Securityで事前共有鍵(PSK)が一致しない場合でも、「デバイス」/「接続中 デバイス一覧」画面で当該端末が「認証済み」の表示になることがありますが、実際の認証は成功しません。

6.3. システム設定

  • 6.3.1 [R228119]

    OpenFlow構成で認証データベースの同期(AMF Securityの冗長構成)を使用時に、AMF Securityの電源断や経路等の障害が発生して復旧した場合、まれに同期の再開が行えないことがあります。
    その場合は、「システム設定」/「ネットワーク設定」画面にある「再接続」ボタンをクリックして、データベース同期の再接続を行ってください。

    詳しくは、「AMF Security リファレンスマニュアル」の「クイックツアー」/「AMF Securityの同期」をご参照ください。

6.4. AMF Securityログ

  • 6.4.1 [R205096]
    AMF Securityが複数存在するOpenFlowの冗長構成で、フローエントリーの更新が行われた際に、フローエントリーが削除されたことを示すログが複数記録される場合がありますが、動作に影響ありません。

7. サポートリミット一覧

最大
デバイス数5000
1デバイスあたりのMACアドレス数255
デバイスに設定するタグ4 ※1
MACアドレス数5000
スケジュール設定可能数5000
ロケーション設定可能数300
1ロケーションあたりのスイッチ数300
ネットワーク数4094
OpenFlowスイッチ数500
AMFメンバー数 ※2450 ※3 ※4
TQ数 ※2450 ※3 ※4
未認証グループ数8
タグ数8
AMF Security全体のポリシー数 ※55000
1デバイスあたりのポリシー数 ※58
1未認証グループあたりのポリシー数 ※51
1タグあたりのポリシー数 ※52
Syslogサーバー数2 ※6
トラップ監視設定 - 監視対象ネットワーク数8
トラップ監視設定 - 監視外ネットワーク数8
AMFマスター数2
Vista Manager EX数1
アカウント数(デフォルトのmanagerを含む) ※7100
アカウントグループ数100
アクション数10000
保持可能AMF Securityログ300000
保持可能アクションログ320000
メール受信者数不定 ※8
※1
タグによる認証使用時。デバイスルックアップのタグ使用時は1つ目に設定されているタグのみ動作
※2
AMFメンバーとTQ混在の場合は合計数
※3
AMFアプリケーションプロキシー機能(ホワイトリスト機能およびブラックリスト機能)使用時
※4
AMFメンバーとTQの合計数はAMFマスター数が最大の場合でも記載の数
※5
デバイス、未認証グループ、タグに設定するポリシーの総数
※6
複数の設定はセミコロン(;)で区切って登録。設定する全体の文字数の最大は255文字以下
※7
最大登録数。同時接続数の推奨は10
※8
複数のメールアドレスをセミコロン(;)で区切って登録。その設定の文字列が255文字以内に収まるアドレス数が登録可
重複して設定可能な項目については累計で最大数を超えないようにしてください。
例1)
以下の設定をした場合、AMFメンバー数は「2」となります。
AMFメンバーA → ロケーション-A
AMFメンバーA → ロケーション-B
例2)
以下の設定をした場合、OpenFlowスイッチ数は「2」となります。
OpenFlowスイッチ-A → ロケーション-A
OpenFlowスイッチ-A → ロケーション-B
AT-VST-VRTで動作するアプリケーションの状態によって、処理できる最大数は変動します。

8. 最新マニュアルについて

本バージョンに準拠の「AMF Security(AT-VST-VRT版)リファレンスマニュアル (613-003022 Rev.H)」は、弊社ホームページに掲載されています。

本リリースノートは、上記の最新ドキュメントに対応した内容になっていますので、お手持ちのドキュメントが上記のものでない場合は、弊社ホームページで最新の情報をご覧ください。

https://www.allied-telesis.co.jp/