この度は、AT-AR2050V/AT-3050S/AT-AR4050S をお買いあげいただき、誠にありがとうございます。このリリースノートは、取扱説明書、コマンドリファレンスの補足や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。
最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。
Ethernetインターフェース(ethX)でも polarityコマンドをサポートしました。
受信したARP Replyの宛先MACアドレスがブロードキャストであっても、ARPエントリーの登録を行えるようになりました。
初期状態ではこの動作は無効ですが、インターフェースごとに下記の新コマンドを実行することで有効化できます。
[no] arp-reply-bc-dmac
ファームウェアバージョン 5.4.5-2.3まで、vpnux Client(Tunモード) と iOS版クライアントを使用する場合は、本製品とRADIUSサーバーに対して他のクライアントとは異なる設定が必要でしたが、本バージョンからは他のクライアントと共通の設定が使用できるようになりました(※)。
また、これにともない、vpnux Client(Tunモード)、iOS版クライアントの同時接続可能セッション数が、サポートリミットである100セッションに拡大されます。
※ 従来の設定では動作しません。また、iOS版クライアントのクライアント設定ファイルについては、従来どおり他のクライアントと異なる設定が必要です。本バージョンにおける具体的な設定内容についてはコマンドリファレンスをご参照ください。
ファームウェアバージョン 5.4.5-2.3 から 5.4.5-3.4 へのバージョンアップにおいて、以下の項目が修正されました。
no free leases
(IPアドレスに空きがない)という誤解を招くログメッセージが出力されていましたが、これを no permitted pools
(対応するDHCPプールがない)に変更しました。また同メッセージのログレベルを引き下げ、初期状態ではログに出力されないようにしました。
no atmf backup enable
でAMF自動バックアップが無効に設定されていると手動バックアップを実行できませんでしたが、これを修正しました。
ファームウェアバージョン 5.4.5-3.4 には、以下の制限事項があります。
enable-local 15
という不要な文字列が表示されます。
dir usb:/
のように、USBメモリーにアクセスする操作をもう一度行ってください。
successful
というメッセージが表示されます。
機器に装着しているUSBメモリーまたはSDカードを抜き、再度機器に装着した時、以下のログが出ます。
抜いた時
kernel: FAT-fs (sda1): unable to read boot sector to mark fs as dirty
装着した時
kernel: FAT-fs (sda1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
また、機器に装着しているUSBメモリーまたはSDカードを抜き、PCに装着すると、PC上で「スキャンして修復しますか?」というメッセージが出ますが、ログのみの問題で、ファイルの破損はありません。
kern.warning xxx kernel: Post MLD packet failed kern.warning xxx kernel: Last message 'Post MLD packet fai' repeated 302 times, suppressed by syslog-ng on xxx
% Invalid input detected at '^' marker.
のエラーメッセージが出力されるべきですが、エラーメッセージが出力されないため、スクリプトファイルが正常に終了したかのように見えてしまいますが、通信には影響はありません。
トリガー設定時、scriptコマンドで指定したスクリプトファイルが存在しない場合、コンソールに出力されるメッセージ内のスクリプトファイルのパスが誤っています。
誤:% Script /flash/script-3.scp does not exist. Please ensure it is created before
正:% Script flash:/script-3.scp does not exist. Please ensure it is created before
また、スクリプトファイルが存在しないにもかかわらず前述のコマンドは入力できてしまうため、コンフィグに反映され、show triggerコマンドのスクリプト情報にもこのスクリプトファイルが表示されます。
sn enable trap
などと入力を省略した場合、入力したコマンドがホスト名欄に表示されコマンドが認識されない、または、コンソールの表示が乱れることがあります。コマンドはtab補完などを利用し省略せずに入力してください。
Clock is synchronized, stratum 0, actual frequency is 0.000PPM, presicion is 2
本製品から他の機器にTelnetで接続しているとき、次のようなメッセージが表示されます。
No entry for terminal type "network"; using vt100 terminal settings.
本製品のSSHサーバーに対して、次に示すような非対話式SSH接続(コマンド実行)をしないでください。
※本製品のIPアドレスを192.168.10.1と仮定しています。
clientHost> ssh manager@192.168.10.1 "show system"
SSHログイン時、ログアウトするときに以下のログが表示されますが、動作に影響はありません。
sshd[2592]: error: Received disconnect from xxx.xxx.xxx.xxx: disconnected by server request
BPDU Skew detected on port port1.0.1, beginning role reselection
bridge-groupコマンドでトンネルインターフェースをソフトウェアブリッジに割り当てるとき、次のようなメッセージが表示される場合がありますが、動作に影響はありません。
Warning: Interface tunnel0 is not fully configure yet
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
VRRPのステータス変更時に下記のログメッセージが出力されますが、VRRPの動作に影響はありません。
VRRPD[1255]: VRRP Event: Transition to MASTER state for 2/1/vlan[vid] HSL[1225]: HSL: ERROR: Insufficient space in Field Processor to add VRRP trap ARP entry
「no ipv6 forwarding」でIPv6パケット転送機能を無効化した場合、下記の警告メッセージが表示されますが、実際には再起動は不要です。
% Warning: IPV6 forwarding will not be disabled until the switch reboots.
OSPFv3のOSPFネイバー暗号化方式を設定すると、次の不要なログが出力されます。これは表示だけの問題であり、動作には影響ありません。
Authentication/Encryption algorithm error, or SA key is wrong.
Neighbor discovery has timed out on link eth1->5
のログメッセージが不要に表示されることがあります。これは表示上の問題であり通信には影響はありません。
% No such Group-Rec found
というエラーメッセージが表示されることがありますが、コマンドの動作には問題ありません。
clear ipv6 mld group *
ですべてのグループを削除した場合、ルーターポートのエントリーも削除されてしまいます。clear ipv6 mld group ff1e::1
のように特定のグループを指定した場合は削除されないため、グループを指定し削除してください。また、削除されてしまった場合もMLD Queryを受信すれば再登録されます。
no ipv6 mld snooping report-suppression
でReport抑制機能を無効化してください。
ファイアウォールとNATの最大ルール数は両機能あわせて500ですが、ルール数が500に近づくにつれてパフォーマンスが低下するため、なるべくルール数は少なく設定してください。
ルール数が多い場合は、以下の事象が発生します。
無効なNATルールが存在する状態でshow nat ruleコマンドを実行すると、次のようなログが出力されますが、動作に影響はありません。
yyyy mm dd hh:mm:ss user.err awplus firewalld: NAT: Sending iptables -t nat -L PORT_FORWARDING_RULE_10 -v -x 2>&1 | grep DNAT | awk '{print $1}' failed
アプリケーションコントロール(DPI)機能を有効にした場合、NATルールにおいてアプリケーション「ftp」が正しく動作しなくなります。これを回避するため、アプリケーションコントロール(DPI)機能を使用する場合は、下記のようにしてFTP通信を表すカスタムアプリケーション「ftp」を定義してください。
awplus(config)# application ftp awplus(config-application)# protocol tcp awplus(config-application)# sport 1024 to 65535 awplus(config-application)# dport 21
トラフィックシェーピング機能を有効にしているとき、次のようなログメッセージが出力されることがありますが、動作には影響ありません。
kernel: HTB: quantum of class 10001 is big. Consider r2q change
トンネルインターフェースを削除した場合、下記の不要なログメッセージが出力されますが、動作への影響はありません。
BGP[1293]: Parse error for message Link Down ret=-1 PIM-SMv6[1262]: Parse error for message Link Down ret=-1 PIM-DM[1272]: Parse error for message Link Down ret=-1 PIM-SM[1290]: Parse error for message Link Down ret=-1
トンネルインターフェースのMTUを変更すると次のようなエラーメッセージがログに出力されますが、通信には影響ありません。
user.err XXXX HSL[1253]: HSL: ERROR: Error finding iif L2 interface info 11 user.err XXXX HSL[1253]: HSL: ERROR: Group(xxx.xxx.xxx.xxx) Source
IP packet with unknown IP version=15 seen
というログメッセージが出力されることがありますが、動作に影響はありません。
IPsec保護(tunnel protection ipsec)を適用しているGREトンネルインターフェース上にトラフィックが存在する状態で該当インターフェースがダウンした場合、informationalレベルの下記ログメッセージが繰り返し出力されます。ただし、本ログメッセージはinformationalレベルのため、初期設定ではbufferedログ、permanentログには保存されず、show log、show log permanentコマンドでも確認できません。
iked: [INTERNAL_ERR]: ikev2_auth.c:555:ikev2_auth_verify(): 4:xx.xx.xx.xx[500] - yy.yy.yy.yy[500]:(nil):no shared key with peer
AMFリンクとして使用しているスタティックチャンネルグループの設定や構成を変更する場合は、次に示す手順A・Bのいずれかにしたがってください。
[手順A]
[手順B]
オートリカバリーが成功したにもかかわらず、リカバリー後に正しく通信できない場合は、代替機の接続先が交換前と同じポートかどうかを確認してください。誤って交換前とは異なるポートに代替機を接続してしまった場合は、オートリカバリーが動作したとしても、交換前とネットワーク構成が異なるため、正しく通信できない可能性がありますのでご注意ください。
LACPとAMFを併用している場合、LACPチャンネルグループのメンバーポートがリンクダウンすると、次のようなエラーログが出力されますが、これはログのみの問題で、AMFや通信には影響ありません。
kern.err XXXX kernel: Unexpected parent vlan4092 found for [IFNAME] kern.err XXXX kernel: Parent interface vlan4092 found while deleting [IFNAME]
shutdownコマンドがいずれかのインターフェースに設定されている AMFマスターをリカバリーすると以下のログが出力されますが、通信に影響はありません。
NSM[1091]: port1.0.31 enabling failed :-45
atmf management subnetコマンドでは、指定されたIPアドレスに16ビットのサブネットマスク(255.255.0.0)を自動的に適用してAMFマネージメントサブネットのIPアドレス空間を決定しますが、同コマンドでクラスAのIPアドレスを指定した場合は、内部的に8ビットのマスクで経路を登録してしまいます。
たとえば、同コマンドで10.0.0.0を指定した場合、AMFマネージメントサブネットの範囲は10.0.0.0/16(10.0.0.0〜10.0.255.255)ですが、これに対して10.0.0.0/8(10.0.0.0〜10.255.255.255)を経路表に登録してしまいます。そのため、この範囲内のアドレス(たとえば10.10.0.0/16)を運用ネットワーク(データプレーン)で使用していた場合、これらのアドレスを使用した通信ができなくなります。
これを回避するには、運用ネットワークで使用するアドレス範囲に対して、より具体的な(マスクの長い)経路をスタティックに登録してください。たとえば、さきほどの例では、10.10.0.0/16への経路を登録することで本現象を回避できます。
なお、本件はatmf management subnetコマンドでクラスAのIPアドレス(0.0.0.0 〜 127.255.255.255)を指定したときにだけ発生する現象であり、クラスB、クラスCのIPアドレスを指定した場合は問題ありません。
各種ドキュメントの補足事項および誤記訂正です。
サポートするUSB型データ通信端末につきましては、弊社ホームページでご確認ください。
サブスクリプションライセンスはファームウェアバージョン5.4.5-1.1以降でのみご使用いただけます。
本バージョンでは、OpenVPNクライアントとして下記OS/アプリケーションの組み合わせをサポートします。
OS | アプリケーション |
---|---|
Windows7 (32bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows7 (64bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows8.1 (64bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows10 (64bit) | OpenVPN GUI v7 (2.3.8) |
vpnux Client (ver.1.3.0.0) | |
MAC OS X | Tunnelblick 3.4.3 |
Tunnelblick 3.6 beta10 | |
Android 4.4.x | OpenVPN for Android 0.6.29 |
OpenVPN for Android 0.6.35 | |
iOS 8 | OpenVPN Connect 1.0.5 |
AT-AR2050V | AT-AR3050S | AT-AR4050S | |
---|---|---|---|
パフォーマンス | |||
VLAN登録数 | 1000 | 4094 | 4094 |
MACアドレス(FDB)登録数 | 1024 | 1024 | 1024 |
IPv4ホスト(ARP)登録数 | 1024 | 1024 | 1024 |
IPv4ルート | |||
IPv4スタティックルート登録数 | 1000 | 1000 | 1000 |
RIPv1/v2ルート登録数 | 1500 | 1500 | 1500 |
OSPFv2ルート登録数 | 1000 | 1000 | 1000 |
BGP4ルート登録数 | 10000 | 10000 | 10000 |
IPv6ルート | |||
IPv6スタティックルート登録数 | 1000 | 1000 | 1000 |
RIPngルート登録数 | 1500 | 1500 | 1500 |
OSPFv3ルート登録数 | 1000 | 1000 | 1000 |
BGP4+ルート登録数 | 10000 | 10000 | 10000 |
リンクアグリゲーション | |||
グループ数(筐体あたり) | 2 ※1 | 2 ※1 | 2 ※1 |
ポート数(グループあたり) | 4 ※2 | 4 ※2 | 4 ※2 |
VPN | |||
IKEv1同時接続可能セッション数 | 100 ※3 | 100 ※3 | 256 ※3 |
IKEv2同時接続可能セッション数 | 100 ※3 | 100 ※3 | 256 ※3 |
L2TPv3同時接続可能セッション数 | 256 ※3 | 256 ※3 | 256 ※3 |
OpenVPN同時接続可能セッション数 | 100 | 100 | 100 |
PPPoE | |||
PPPoE同時接続可能セッション数 | 20 | 20 | 20 |
ローカルRADIUSサーバー ※4 | |||
ユーザー登録数 | 3000 | 3000 | 4000 |
RADIUSクライアント(NAS)登録数 | 1000 | 1000 | 1000 |
ファイアウォール | |||
セッション数 | 65535 | 65535 | 65535 |
ルール数 | 500 ※5 | 500 ※5 | 500 ※5 |
※1 スタティックチャンネルグループとLACPチャンネルグループを合わせて2グループまでサポートします。 ※2 LAN側スイッチポートのみ使用可能です。 ※3 共有するトンネルインターフェースの合計値です。 ※4 OpenVPNでのみ使用可能です。 ※5 ファイアウォールルールとNATルールを合わせて500ルールをサポートします。
最新のコマンドリファレンスに記載されていない機能、コマンドはサポート対象外ですので、あらかじめご了承ください。最新マニュアルの入手先については、次節「最新マニュアルについて」をご覧ください。
最新の取扱説明書「AT-AR4050S/AT-AR3050S/AT-AR2050V 取扱説明書」(613-002124 Rev.B)とコマンドリファレンス「AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス」(613-002107 Rev.G)は弊社ホームページに掲載されています。
本リリースノートは、これらの最新マニュアルに対応した内容になっていますので、お手持ちのマニュアルが上記のものでない場合は、弊社ホームページで最新の情報をご覧ください。
http://www.allied-telesis.co.jp/