この度は、AT-AR2050V/AT-3050S/AT-AR4050S をお買いあげいただき、誠にありがとうございます。このリリースノートは、取扱説明書、コマンドリファレンスの補足や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。
最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。
下記のUSB型データ通信端末に対応しました。
なお、サポートするUSB型データ通信端末の最新情報は、弊社ホームページでご確認ください。
PPPoEセッションが切断され、再接続するときにPPPoE PADTパケットを送信するよう機能拡張しました。これにより、PPPoEの再接続時間が短縮されました。
スイッチポート単位で、マルチキャストグループの登録数を制限できるようになりました。 登録可能なグループ数の上限はインターフェースモードの ip igmp maximum-groupsコマンドで設定します。初期設定は0(制限なし)です。
IPレピュテーション機能において、株式会社ラックが提供する脅威情報リストを利用できるようになりました。
同脅威情報リストに含まれる不正ホストを宛先または送信元とするパケットは新カテゴリーLACに分類され、設定によりアラート(ログ記録)または破棄が可能です。
本機能を使用するにはライセンスが必要です。
本製品を通過するアプリケーションパケットのデータ部分を検査し、既知のマルウェアを検出した場合に該当パケットを通知/遮断するマルウェアプロテクション機能をサポートしました。
本機能を使用するにはライセンスが必要です。
QoS機能において、キュー長が上限に達する前にパケットを徐々に破棄していくことで、キューの枯渇を予防したり、トランスポート層の輻輳回避メカニズムを有効に機能させたりするためのRED(Random Early Discard)アルゴリズムをサポートしました。
IPsecトンネル設定時にトラフィックセレクターを指定することで、1つのトンネル内に複数のIPsec SAを作成できるようになりました。
IPv4/IPv6ネットワーク経由でPPP接続を行うVPNプロトコルL2TPv2をサポートしました。AR570S、AR415Sなどの弊社AlliedWareルーターとの相互接続が可能です。
これまで、AMFネットワーク名(atmf network-nameコマンド)の設定変更は、設定を保存して再起動するまで有効になりませんでしたが、本バージョンからは再起動が不要になりました。
有効期限より前にアニュアルライセンスを適用した場合、show license external コマンドで該当ライセンスの情報を確認できませんでしたが、有効期限前でもライセンスの情報を表示できるよう仕様変更しました。
ローカルRADIUSサーバーに内蔵されているローカルCA機能の証明書関連コマンドが変更されました。
本バージョンから、永続ログ(permanentログ)の保存先が不揮発性メモリー(NVS)からフラッシュメモリーに変更されました。
下記コマンドの実行モードが「非特権EXECモード」から「特権EXECモード」(権限レベル7以上)に変更されました。
show log show log permanent show log config
NTP関連コマンドが下記のとおり変更されました。詳細はコマンドリファレンスをご参照ください。
NTPサービスへのアクセスを制御するための ntp restrict コマンド、ntp discard average コマンド、ntp discard minimum コマンドが追加されました。
リンクアグリゲーション(LAG)インターフェース(poX、saX)にshutdownコマンドを実行した場合、ランニングコンフィグ上、個々のメンバーポートにはshutdownコマンドが反映されず、LAGインターフェースにのみshutdownコマンドが反映されるよう仕様変更しました。実際の動作としてはこの状態で正常にシャットダウンが行われています。
IPv6パケットのポリシーベースルーティング(PBR)機能を使用する場合、通常の経路設定機能(スタティックルーティング、RIPng、OSPFv3等)と併用する必要がありましたが、本バージョンよりPBR単体でも動作するよう仕様変更されました。
本変更により、PBRルールにマッチしたIPv6パケットはIPv6経路表と関係なくネクストホップに転送されるようになり、IPv6経路表に宛先が登録されていなくてもルーティングが可能になりますが、そのような構成では設定変更などでPBRルールの適用を解除するとその間ルーティングができなくなるため、特別な理由がないかぎり、通常の経路設定を行った上でポリシーベースルーティングの設定を行ってください。
ファームウェアバージョン 5.4.6-0.1 から 5.4.6-1.3 へのバージョンアップにおいて、以下の項目が修正されました。
kern.warning xxx kernel: Post MLD packet failed kern.warning xxx kernel: Last message 'Post MLD packet fai' repeated 302 times, suppressed by syslog-ng on xxx
ntp peerコマンドとntp serverコマンドで同一のIPv4/IPv6アドレスまたはホスト名を指定できていましたが、これを修正しました。
また、ntp peerコマンドかntp serverコマンドで設定を行った後に、その設定をno形式で削除する場合、どちらのコマンドでも削除されるようになりました。
HSL[732]: HSL: ERROR: Can't find multicast FDB entry : Port port1.0.1 mac (0100.5e00.0001) VID 0
shutdown
、no shutdown
でPPPインターフェースのリンクアップ・ダウンを実施した場合、まれにPPPインターフェースが正常にリンクアップしないことがありましたが、これを修正しました。
NSM[558]: [IGMP-EVENTS] : Expiry (L2 IF Group-Source Query Re-Transmit Timer) for Grp 239.24.1.161 on port1.0.1
Ctrl/D
、exitコマンド、endコマンドを入力すると、正しいモードに移動しませんでしたが、これを修正しました。
no atmf network-name
を実行しているとエラーが出力されていましたが、これを修正しました。
ファームウェアバージョン 5.4.6-1.3 には、以下の制限事項があります。
service httpコマンドでWebサーバーを有効にした状態で起動するとbufferedログに以下のメッセージが出力されますが、これはWeb GUI用のJavaアプレットファイルがインストールされていないことを示すものです。本製品はWeb GUIをサポートしていませんので、このメッセージは無視してください。
2016 Feb 16 20:48:20 user.notice awplus root: No GUI resource file installed
enable-local 15
という不要な文字列が表示されます。
dir usb:/
のように、USBメモリーにアクセスする操作をもう一度行ってください。
successful
というメッセージが表示されます。
機器に装着しているUSBメモリーまたはSDカードを抜き、再度機器に装着した時、以下のログが出ます。
抜いた時
kernel: FAT-fs (sda1): unable to read boot sector to mark fs as dirty
装着した時
kernel: FAT-fs (sda1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
また、機器に装着しているUSBメモリーまたはSDカードを抜き、PCに装着すると、PC上で「スキャンして修復しますか?」というメッセージが出ますが、ログのみの問題で、ファイルの破損はありません。
% Invalid input detected at '^' marker.
のエラーメッセージが出力されるべきですが、エラーメッセージが出力されないため、スクリプトファイルが正常に終了したかのように見えてしまいますが、通信には影響はありません。
トリガー設定時、scriptコマンドで指定したスクリプトファイルが存在しない場合、コンソールに出力されるメッセージ内のスクリプトファイルのパスが誤っています。
誤:% Script /flash/script-3.scp does not exist. Please ensure it is created before
正:% Script flash:/script-3.scp does not exist. Please ensure it is created before
また、スクリプトファイルが存在しないにもかかわらず前述のコマンドは入力できてしまうため、コンフィグに反映され、show triggerコマンドのスクリプト情報にもこのスクリプトファイルが表示されます。
show trigger counter
で表示されるカウンターが正しい値を表示しなくなります。
sn enable trap
などと入力を省略した場合、入力したコマンドがホスト名欄に表示されコマンドが認識されない、または、コンソールの表示が乱れることがあります。コマンドはtab補完などを利用し省略せずに入力してください。
ioctl 35123 returned -1
のようなログが出力されることがありますが、通信には影響ありません。
Clock is synchronized, stratum 0, actual frequency is 0.000PPM, presicion is 2
Ctrl/C
キーを押して ping を中断してください。
本製品から他の機器にTelnetで接続しているとき、次のようなメッセージが表示されます。
No entry for terminal type "network"; using vt100 terminal settings.
本製品のSSHサーバーに対して、次に示すような非対話式SSH接続(コマンド実行)をしないでください。
※本製品のIPアドレスを192.168.10.1と仮定しています。
clientHost> ssh manager@192.168.10.1 "show system"
SSHログイン時、ログアウトするときに以下のログが表示されますが、動作に影響はありません。
sshd[2592]: error: Received disconnect from xxx.xxx.xxx.xxx: disconnected by server request
BPDU Skew detected on port port1.0.1, beginning role reselection
USB型データ通信端末を利用したPPP接続中に、本製品からPPP接続ユーザー名、パスワード、接続先情報(APN)等の設定を削除してもPPP接続が切断されませんが、下記のいずれかを実行することでPPP接続が切断されます。
shutdown
で無効化した後、no shutdown
で有効化する。
bridge-groupコマンドでトンネルインターフェースをソフトウェアブリッジに割り当てるとき、次のようなメッセージが表示される場合がありますが、動作に影響はありません。
Warning: Interface tunnel0 is not fully configure yet
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
no ha association
でHAモードの設定を削除した後、バーチャルルーターを削除してください。
VRRPのステータス変更時に下記のログメッセージが出力されますが、VRRPの動作に影響はありません。
VRRPD[1255]: VRRP Event: Transition to MASTER state for 2/1/vlan[vid] HSL[1225]: HSL: ERROR: Insufficient space in Field Processor to add VRRP trap ARP entry
Multicast membership on IPv6 interface IFNAME
のステータスがJOINEDと表示されますが、表示上の問題だけでありVRRPの動作に影響はありません。
「no ipv6 forwarding」でIPv6パケット転送機能を無効化した場合、下記の警告メッセージが表示されますが、実際には再起動は不要です。
% Warning: IPV6 forwarding will not be disabled until the switch reboots.
OSPFv3のOSPFネイバー暗号化方式を設定すると、次の不要なログが出力されます。これは表示だけの問題であり、動作には影響ありません。
Authentication/Encryption algorithm error, or SA key is wrong.
no redistribute connected
を実行してから、redistribute connected
を入力してください。
Neighbor discovery has timed out on link eth1->5
のログメッセージが不要に表示されることがあります。これは表示上の問題であり通信には影響はありません。
shutdown
してから、 no ip igmp proxy-service
を実行し、その後VLANインターフェースを no shutdown
してください。
% No such Group-Rec found
というエラーメッセージが表示されることがありますが、コマンドの動作には問題ありません。
clear ipv6 mld group *
ですべてのグループを削除した場合、ルーターポートのエントリーも削除されてしまいます。clear ipv6 mld group ff1e::1
のように特定のグループを指定した場合は削除されないため、グループを指定し削除してください。また、削除されてしまった場合もMLD Queryを受信すれば再登録されます。
no ipv6 mld snooping report-suppression
でReport抑制機能を無効化してください。
ファイアウォールとNATの最大ルール数は両機能あわせて500ですが、ルール数が500に近づくにつれてパフォーマンスが低下するため、なるべくルール数は少なく設定してください。
ルール数が多い場合は、以下の事象が発生します。
無効なNATルールが存在する状態でshow nat ruleコマンドを実行すると、次のようなログが出力されますが、動作に影響はありません。
yyyy mm dd hh:mm:ss user.err awplus firewalld: NAT: Sending iptables -t nat -L PORT_FORWARDING_RULE_10 -v -x 2>&1 | grep DNAT | awk '{print $1}' failed
アプリケーションコントロール(DPI)機能を有効にした場合、NATルールにおいてアプリケーション「ftp」が正しく動作しなくなります。これを回避するため、アプリケーションコントロール(DPI)機能を使用する場合は、下記のようにしてFTP通信を表すカスタムアプリケーション「ftp」を定義してください。
awplus(config)# application ftp awplus(config-application)# protocol tcp awplus(config-application)# sport 1024 to 65535 awplus(config-application)# dport 21
NAT機能において、portfwdルールとそれに対応するmasqルールが設定されている場合、portfwdルールにマッチするパケットを受け取ったときに、show nat ruleコマンドで表示されるHitsカウンターがportfwdルールとmasqルールの両方でカウントされます。これは表示だけの問題で通信には影響はありません。
なお、show nat ruleコマンドで実際のマッチ数を確認したい場合は以下の方法で確認可能です。
トンネルインターフェースを削除した場合、下記の不要なログメッセージが出力されますが、動作への影響はありません。
BGP[1293]: Parse error for message Link Down ret=-1 PIM-SMv6[1262]: Parse error for message Link Down ret=-1 PIM-DM[1272]: Parse error for message Link Down ret=-1 PIM-SM[1290]: Parse error for message Link Down ret=-1
トンネルインターフェースのMTUを変更すると次のようなエラーメッセージがログに出力されますが、通信には影響ありません。
user.err XXXX HSL[1253]: HSL: ERROR: Error finding iif L2 interface info 11 user.err XXXX HSL[1253]: HSL: ERROR: Group(xxx.xxx.xxx.xxx) Source
IPsec SA、ISAKMP SAのrekeyのタイミングでshow ipsec saコマンドまたはshow isakmp saコマンドを実行した場合、以下のログが出力されることがありますが、通信や機能に影響はありません。
その場合は10秒程度時間をおいてから再度コマンドを入力することで正常に情報を確認できます。
IMI[671] SEARCH: Error processing request. IMI[671] SEARCH: No response IMI[671] RPC[17]: Recv data error: Bad file descriptor apteryxd SEARCH: Error processing request. apteryxd No response from indexer for path "/isakmp/sa/
shutdown
し、その後 no shutdown
してください。
IP packet with unknown IP version=15 seen
というログメッセージが出力されることがありますが、動作に影響はありません。
IPsec保護(tunnel protection ipsec)を適用しているGREトンネルインターフェース上にトラフィックが存在する状態で該当インターフェースがダウンした場合、informationalレベルの下記ログメッセージが繰り返し出力されます。ただし、本ログメッセージはinformationalレベルのため、初期設定ではbufferedログ、permanentログには保存されず、show log、show log permanentコマンドでも確認できません。
iked: [INTERNAL_ERR]: ikev2_auth.c:555:ikev2_auth_verify(): 4:xx.xx.xx.xx[500] - yy.yy.yy.yy[500]:(nil):no shared key with peer
shutdown
し、その後 no shutdown
してください。
AMFリンクとして使用しているスタティックチャンネルグループの設定や構成を変更する場合は、次に示す手順A・Bのいずれかにしたがってください。
[手順A]
[手順B]
オートリカバリーが成功したにもかかわらず、リカバリー後に正しく通信できない場合は、代替機の接続先が交換前と同じポートかどうかを確認してください。誤って交換前とは異なるポートに代替機を接続してしまった場合は、オートリカバリーが動作したとしても、交換前とネットワーク構成が異なるため、正しく通信できない可能性がありますのでご注意ください。
LACPとAMFを併用している場合、LACPチャンネルグループのメンバーポートがリンクダウンすると、次のようなエラーログが出力されますが、これはログのみの問題で、AMFや通信には影響ありません。
kern.err XXXX kernel: Unexpected parent vlan4092 found for [IFNAME] kern.err XXXX kernel: Parent interface vlan4092 found while deleting [IFNAME]
shutdownコマンドがいずれかのインターフェースに設定されている AMFマスターをリカバリーすると以下のログが出力されますが、通信に影響はありません。
NSM[1091]: port1.0.31 enabling failed :-45
--More--
から、キー操作をしても続きが表示されなくなる場合があります。本現象が発生した場合は Ctrl/C
を入力することで復旧できます。
LACPインターフェースでAMFリンクの設定を行っている構成で対向機器が再起動すると、起動後に以下のログが出力されることがありますが、ログのみの問題でAMFの動作には影響ありません。
2016 Jan 21 16:09:46 user.notice awplus ATMF[523]: Incarnation is not possible with the data received port1.0.28 (ifindex 5028)
log host
で設定したすべてのsyslogサーバーに送信されます。
show atmf links guest detail
では表示されない項目があります。当該項目を確認するには、show lldp neighbors detail
を使用してください。
Number of nodes permitted by AMF-MASTER license exceeded.
show atmf guests detail
で表示される Device Type の項目が空欄となります。
AMFマスターに接続されたAMFノード数が最大値を超えても、コンソール上に警告ログが出ない場合があります。AMFノード数が上限に達しているかどうかを確認する場合は、show atmfコマンド、またはshow atmf nodeコマンドをご使用ください。
なお、ログフィルターで出力するログの最小レベルを informational に設定することにより、AMFノード数が最大値を超えたことを示す以下のログを出力することが可能です。
ATMF[890]: ATMF link (vlink1): Number of nodes permitted by AMF-MASTER license exceeded.
AMFゲストノードがAMFネットワークに初めて参加したとき、下記の状況においてゲストノードのファームウェアバージョン情報が表示されない場合があります。
show atmf guests detail
を実行した場合
show atmf links guest detail
を実行した場合
その場合は、次のいずれかを実行してください。
前記手順で復旧すると、それ以降本事象は発生しません。
各種ドキュメントの補足事項および誤記訂正です。
サポートするUSB型データ通信端末につきましては、弊社ホームページでご確認ください。
サブスクリプションライセンスはファームウェアバージョン5.4.5-1.1以降でのみご使用いただけます。
本バージョンでは、OpenVPNクライアントとして下記OS/アプリケーションの組み合わせをサポートします。
OS | アプリケーション |
---|---|
Windows7 (32bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows7 (64bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows8.1 (64bit) | OpenVPN GUI v5 (2.3.6) |
OpenVPN GUI v7 (2.3.7) | |
OpenVPN GUI v7 (2.3.8) | |
vpnux Client (ver.1.3.0.0) | |
Windows10 (64bit) | OpenVPN GUI v7 (2.3.8) |
vpnux Client (ver.1.3.0.0) | |
MAC OS X | Tunnelblick 3.4.3 |
Tunnelblick 3.6 beta10 | |
Android 4.4.x | OpenVPN for Android 0.6.29 |
OpenVPN for Android 0.6.35 | |
iOS 8 | OpenVPN Connect 1.0.5 |
AT-AR2050V | AT-AR3050S | AT-AR4050S | |
---|---|---|---|
パフォーマンス | |||
VLAN登録数 | 1024 | 4094 | 4094 |
MACアドレス(FDB)登録数 | 1024 | 1024 | 1024 |
IPv4ホスト(ARP)登録数 | 1024 | 1024 | 1024 |
IPv4ルート | |||
IPv4スタティックルート登録数 | 1000 | 1000 | 1000 |
RIPv1/v2ルート登録数 | 1500 | 1500 | 1500 |
OSPFv2ルート登録数 | 1000 | 1000 | 1000 |
BGP4ルート登録数 | 10000 | 10000 | 10000 |
IPv6ルート | |||
IPv6スタティックルート登録数 | 1000 | 1000 | 1000 |
RIPngルート登録数 | 1000 | 1000 | 1000 |
OSPFv3ルート登録数 | 1000 | 1000 | 1000 |
BGP4+ルート登録数 | 10000 | 10000 | 10000 |
リンクアグリゲーション | |||
グループ数(筐体あたり) | 2 ※1 | 2 ※1 | 2 ※1 |
ポート数(グループあたり) | 4 ※2 | 4 ※2 | 4 ※2 |
VPN | |||
IKEv1同時接続可能セッション数 | 100 ※3 | 100 ※3 | 256 ※3 |
IKEv2同時接続可能セッション数 | 100 ※3 | 100 ※3 | 256 ※3 |
IPsecトンネル内 同時接続可能セッション数 | 30 | 30 | 30 |
L2TPv2同時接続可能セッション数 | 20 ※4 | 20 ※4 | 20 ※4 |
L2TPv3同時接続可能セッション数 | 100 ※3 | 256 ※3 ※5 | 256 ※3 |
OpenVPN同時接続可能セッション数 | 100 ※3 | 100 ※3 | 100 ※3 |
PPPoE | |||
PPPoE同時接続可能セッション数 | 20 ※4 ※6 | 20 ※4 ※6 | 20 ※4 ※6 |
ローカルRADIUSサーバー ※7 | |||
ユーザー登録数 | 3000 | 3000 | 4000 |
RADIUSクライアント(NAS)登録数 | 1000 | 1000 | 1000 |
ファイアウォール | |||
セッション数 | 65535 | 65535 | 300000 |
ルール数 | 500 ※8 | 500 ※8 | 500 ※8 |
最新のコマンドリファレンスに記載されていない機能、コマンドはサポート対象外ですので、あらかじめご了承ください。最新マニュアルの入手先については、次節「最新マニュアルについて」をご覧ください。
最新の取扱説明書「AT-AR4050S/AT-AR3050S/AT-AR2050V 取扱説明書」(613-002124 Rev.B)とコマンドリファレンス「AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス」(613-002107 Rev.K)は弊社ホームページに掲載されています。
本リリースノートは、これらの最新マニュアルに対応した内容になっていますので、お手持ちのマニュアルが上記のものでない場合は、弊社ホームページで最新の情報をご覧ください。
http://www.allied-telesis.co.jp/