• Ver.2.3.2 PL 16
• Ver.2.3.2 PL 15
• Ver.2.3.2 PL 13
• Ver.2.3.2 PL 12
• Ver.2.3.2 PL 8
• Ver.2.3.2 PL 7
• Ver.2.3.2 PL 4
• Ver.2.2.2 PL 11
• Ver.2.2.2 PL 10
• Ver.2.2.2 PL 9
• Ver.2.2.2 PL 8
• Ver.2.2.2 PL 6
• Ver.2.0.7 PL 4
• Ver.2.0.6 PL 3
• Ver.2.0.6 PL 0
• Ver.2.0.4 PL 0
• Ver.2.0.3 PL 0
• Ver.1.9.3 PL 3
• Ver.1.9.1 PL 1
• Ver.1.7.2 PL 6
• Ver.1.7.2 PL 3

次のような機能拡張(仕様変更)、改善が行われました。

機能拡張(仕様変更)

DVMRP

1. Internet Draftの「Appendix C」（古いDVMRP実装との相互運用性に関する項目）に対応しました。

機能改善

ログ

1. ログ転送先のSyslogサーバーが接続されているEthernetインターフェースがダウンしているとリブートすることがあるという事象を改善しました。

2. ログをメール送信するよう設定している場合、MAXQUEUESEVERITY以上のログレベルを持つメッセージが生成されても、ただちにメールを送信しないという事象を改善しました。

   フレームリレー

3. フレームリレー論理インターフェースを設定した場合、ケーブル未接続であるにもかかわらず「fr0: data link circuit 16 has come up」のような不適切なメッセージが表示されるという事象を改善しました。

   ブリッジング

4. スパニングツリープロトコルを有効にしている場合、ブリッジポートのリンクアップ時にListening → Learning → Forwardingの状態遷移を経ず、ただちにForwarding状態に移行するという事象を改善しました。

   IP全般

5. IP NATの設定において、多重にフラグメント化されたパケットを透過させるためのパラメーター「FRAGMENT=UDP」を指定したにもかかわらず、LAN側からWAN側へフラグメントパケットを転送しないという事象を改善しました。

6. Record Route/Source Routeオプション付きのIPパケットを受信した時に記録されるログメッセージ内のIPアドレスが正しくないという事象を改善しました。

7. フラグ0x03のTime Stampオプション（指定IPアドレスを持つホストへのタイムスタンプ記録要求）を正しく処理しないという事象を改善しました。

8. ICMP Echo Requestパケット転送時に1番目と2番目のパケットの順序が入れ替わることがあるという事象を改善しました。

9. SHOW IP FLOWコマンドにおいて、5文字以上のインターフェース名（例：ppp10）が正しく表示されないという事象を改善しました。

10. IP経路の切り替えが発生したとき、ICMPの通信が不通になることがあるという事象を改善しました。

11. DHCPクライアントとファイアウォールの併用時、本来ユニキャストで送信すべきDHCP requestをブロードキャストで送信するという事象を改善しました。

12. ネクストホップが自インターフェースアドレスと一致している経路をIPの経路表に登録してしまうという事象を改善しました。

    OSPF

13. 本製品がDRとして動作しているネットワークのリンクがダウンしても、ネットワークLSAの更新通知を送信しないという事象を改善しました。

    DNSリレー

14. Error/Answerを含まず、かつ、Authority/Additionalを含むDNS responseを受信するとメモリーリークが発生するという事象を改善しました。

    ファイアウォール

15. RTSPパケット受信時、パケットロスによりパケットの順序が入れ替わるとリブートすることがあるという事象を改善しました。

16. ダイナミックインターフェーステンプレート用のユーザーリストファイルにユーザー名が重複して記述されていた場合、ADD FIREWALL POLICY DYNAMICコマンドの実行後、リストファイルのロックが解除されなくなるという事象を改善しました。

    DHCPサーバー

17. DHCPレンジ内の一部のアドレスを特定のMACアドレスに固定で割り当てるよう設定した状態でルーターを再起動すると、リース中の他のアドレス（動的割り当て用）が解放されることがあるという事象を改善しました。

18. DHCPレンジ内の先頭アドレスを特定のMACアドレスに固定で割り当てるよう設定した状態でルーターを再起動すると、該当アドレスの状態が「reclaim」（回収中）のままとなり、同アドレスをリースできなくなるという事象を改善しました。

19. 不正なServer Idを持つDHCP requestを受信すると、リース中のアドレスの状態を「Unused」（未使用）に書き換えてしまい、結果的に他のクライアントにリースしてしまうという事象を改善しました。

    その他

20. SHOW DEBUGコマンドの実行中に[Q]キーを押してもコマンドを中断できないという事象を改善しました。

次のような機能改善が行われました。

機能改善

ファイアウォール

1. ファイアウォールポリシーの設定において「SHOW FIREWALL POLICY=COUNTER」で表示する「Number Hits」がカウントアップされないという事象を改善しました。

2. ARルーターのファイアウォールを介して、Windows Media Playerによるストリーミングデータを再生できないという事象を改善しました。

3. SET FIREWALL POLICY ATTACK コマンドにおいて、条件として攻撃の種類を設定した場合、設定された情報がコンフィグレーション・ファイルに正しく保存されないという事象を改善しました。

4. ARルーターでLAN側のクライアントからWAN側FTPサーバーへFTP接続を行うと、ARルーターからLAN側のクライアントに転送したTCPデータにチェックサムエラーが発生し、正常に通信できなくなるという事象を改善しました。

5. HTTPプロキシーを有効にした場合、TCPセッションのSYN/ACKパケットにおいて、MTU値が1500であるにもかかわらずMSS値を536として通知してしまうという事象を改善しました。

6. ADD FIREWALL POLICY HTTPFILTERコマンドでURLフィルターを設定した場合、URLフィルターファイルで指定した「allow」条件が適用されないことがあるという事象を改善しました。

   IPフィルター

7. CIDRアドレスのインターフェースが存在し、そのアドレスのナチュラルクラスに該当するディレクティドブロードキャストを受信した場合、そのパケットを正しくルーティングしないという事象を改善しました。

8. IGMPスヌーピングが無効のとき、LAN側クライアントがマルチキャストグループに参加しようとすると、2回目以降はDVMRPの転送表にポートが登録されないため、通信できないという事象を改善しました。

   IPsec・ISAKMP

9. IPsecのSAバンドルスペック設定においてEXPIRYKBYTESを設定した場合、Re-KEY発生によってメモリー枯渇が発生することがあるという事象を改善しました。

10. ISAKMPネゴシエーションのQUICKモードにおいて、HASHパケットがロストした場合、ARルーターは、有効期限が経過する前にまれにそのIPsec SAを削除してしまうことがあるという事象を改善しました。

11. ISAKMPネゴシエーション時にパケットロストが発生した場合、対向機器からのISAKMPネゴシエーションの再送パケットを認識することができず、その結果、フェーズ1またはフェーズ2のネゴシエーションが完了しないという事象を改善しました。

12. ISAKMP SAのRe-KEYによってメモリーが枯渇することがあるというという事象を改善しました。

13. ISAKMPヘッダー内のMinor version Fieldが不正な場合に、「Invalid major version」と表示されてしまう事象を改善しました。

14. ISAKMPのMainモードにおいて、ARルーターがイニシエーターとして動作している場合に、KEパケットを再送しないという事象を改善しました。

15. リプレイ防止機能が有効のとき、受信したESPパケットのシーケンス番号が、過去に受信したものより古かった場合、ARルーターがリブートするという事象を改善しました。

    ログ

16. 「DESTROY LOG OUTPUT=TEMPORARY」のコマンド入力後に、SHOW DEBUGコマンドを入力すると、ARルーターがリブートするという事象を改善しました。

    OSPF

17. L2TP と OSPF を併用した環境において、PPPインターフェースを手動でダウンさせてから経路変更を行った場合、LSUpdateパケットを送信しないという事象を改善しました。

18. LSAエージが3600であるLSUpdateパケットを送信中に、LSAエージが3600以外のLSAckパケットを受信した場合、該当する経路を削除してしまうという事象を改善しました。

    PPP

19. SET PPPコマンドで「COMPRESSION=LINK」を設定したときに「SHOW CONFIG=DYNAMIC」で設定内容を確認すると、設定されていないにもかかわらず「PREDCHECK=CRCCCITT」が表示されてしまうという事象を改善しました。

20. PPPを使用した環境において、ごくまれにAR740がリブートすることがあるという事象を改善しました。

    SSH

21. 「DISABLE SSH USER=xx」を入力したとき、「Info (1075003): Operation successful.」メッセージが2回表示されてしまうという事象がありましたが、1回だけ表示するように改善しました。

    VRRP

22. VRRPのマスタールーターにおいてインターフェースがリンクダウンした場合、MASTER(BACKUP)状態を維持し、再びインターフェースがリンクアップしたときもMASTER(BACKUP)状態から動作してしまい、その結果ARPが送信されなくなり、接続先の機器においてL3テーブルが更新されず通信ができなくなるという事象を改善しました。

23. RESET IPコマンドを実行すると、その後、マスタールーターがパケットを転送しなくなるという事象を改善しました。

    インターフェース

24. インターフェースにおいてリンクダウンが発生したとき、ごくまれにARルーターがリブートしてしまうという事象を改善しました。

次のような機能拡張(仕様変更)、改善が行われました。

機能拡張(仕様変更)

1. SMTPプロキシー機能の仕様を拡張しました。
   DIRECTIONパラメーターにおいて、「DIRECTION=OUT」を指定できるように仕様を拡張しました。ARルーターはLAN側からのSMTP要求を受け付け、適切な外部SMTPサーバーに転送します。これにより、内部から外部へのメール転送時、不正行為(spamメール、不正中継など)を防止することができます。なお、本機能はオプションであるため、ご使用にはフィーチャー（追加機能）ライセンスのご購入が必要です。

   使用例：

   IPおよびファイアウォールポリシーofficeの基本設定は完了しているものとします。

   1. LAN側クライアントに対してメールサーバーとして振る舞うためにARルーターが使用するDNSサーバーのアドレス x.x.x.xを設定します(たとえばISPのDNSサーバーを指定)。

      ADD IP DNS PRIMARY=x.x.x.x

   2. 他ドメインからのメール転送要求を拒否するために自ドメイン名 example.comを設定します。

      SET FIREWALL POLICY=office SMTPDOMAIN=example.com

   3. LAN側(内側)からWAN側(外側)へのSMTP通信に対してSMTPプロキシーを設定します。

      ADD FIREWALL POLICY=office PROXY=SMTP INTERFACE=eth0 GBLINTERFACE=ppp0 DIRECTION=OUT

   
   

2. ファイアウォール機能について、ICMPパケットの転送ルールに関する仕様を変更しました。
   ACTIONパラメーターにおいて「ACTION=NAT | NONAT」を指定した場合と「ACTION=ALLOW | DENY」を指定した場合のICMPパケットの転送ルールの設定方法が異なっていましたが、いずれの場合もENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGパラメーターで設定できるように仕様を変更しました。

機能改善

ログ

1. SET LOGコマンドで「OUTPUT=TEMPORARY」を指定して設定を行ったのち、ログを表示すると、表示内容が正しくないことがあるという事象を改善しました。

   PPP

2. PRIインターフェースの初期化中にPRIインターフェースからパケットを受信した場合、ごくまれにPRIインターフェースの受信処理が正しく動作しないことがあるという事象を改善しました。

3. ごく短い間隔でPPPインターフェースを削除する一連のコマンドを実行すると、まれにリブートすることがあるという事象を改善しました。

   OSPF

4. エージングでルートが削除される際、LSDBとルーティングテーブル間の同期がとれないことがあるという事象を改善しました。

5. ARルーターを再起動後、ルート交換を行わないことがあるという事象を改善しました。

6. ARルーターを再起動後、受信したLSA情報がルーティングテーブルに反映されないことがあるという事象を改善しました。

   BGP-4

7. スタティックルートに登録されたネクストホップルーターとBGPセッションを確立時、その経路情報を通知することがあるという事象を改善しました。

   ファイアウォール

8. ファイアウォール有効時にキープアライブパケットを通過させることがあるという事象を改善しました。

9. TCPセッション中に「TCP open fail」というログメッセージが記録され、通信できないことがあるという事象を改善しました。

10. コマンドラインからADD FIREWALL POLICY RULEコマンドでPORTパラメーターを指定後にSET FIREWALL POLICY RULEコマンドでREMOTEIPまたはGBLIPパラメーターを指定すると、SET FIREWALL POLICY RULEコマンドの内容が反映されないという事象を改善しました。

11. 特定の設定環境でPRIVATEインターフェースがdownしている場合、PUBLICインターフェース下のPCからARルーターのPRIVATEインターフェースに対してPingを行っても、ICMP Replyパケットで応答しないという事象を改善しました。

12. リバースNATルールの設定において、ADD FIREWALL POLICY RULEコマンドのGBLREMOTEIPパラメーターに、本来できないはずの範囲指定を行ってもエラーにならないという事象を改善しました。

13. スタティックNATとスタティックENATを併用した場合、PUBLICインターフェースからPRIVATEインターフェースに送信したUDPパケットに対してポートを変換しないという事象を改善しました。

    SMTPプロキシー

14. SMTPプロキシーにてメールの転送を自ドメインのみに制限した場合でも、WindowsプロンプトのTelnetでメールを送信すると自ドメイン以外のメールも転送することがあるという事象を改善しました。

15. SMTPプロキシーを有効にした場合に、LAN内のPCからTelnetでのアクセスができないことがあるという事象を改善しました。

16. SMTPプロキシーを有効にした場合に、PUBLICインターフェースにTCPの25番ポートからアクセスするとシステムがリブートすることがあるという事象を改善しました。

17. Smurf Amp e-mailアタックに対して、SYN ACKパケットで応答することがあるという事象を改善しました。

18. ブロードキャストアドレスを宛先にしたSmurf Amp e-mailアタックを受けた場合、システムがリブートすることがあるという事象を改善しました。

19. フラグメントされたSMTPパケットを転送しないことがあるという事象を改善しました。

20. ARルーターがファイアウォールのDeletion Timerを更新せず、SMTPサーバーとの接続がタイムアウトすることがあるという事象を改善しました。

21. ARルーターにセットされるファイアウォールのDeletion Timerの値が正しくないことがあるという事象を改善しました。

22. spamメールなどのアタックに対してトリガーメッセージを発行しないことがあるという事象を改善しました。

    VRRP

23. SHOW VRRPコマンドを実行すると、不要な情報をシステムログに記録するという事象を改善しました。

    DHCPサーバー

24. DHCPポリシーでMERITDUMPFILEを設定した場合に、バッファーのメモリーリークが発生するという事象を改善しました。

    DNS

25. DNSキャッシュ使用時、DNSクエリーパケットを受信するとバッファーのメモリーリークが発生することがあるという事象を改善しました。

    IPv6

26. ICMPv6 Address Unreachable または No Route To Destinationメッセージの送信に時間がかかることがあるという事象を改善しました。

27. ADD PING POLLコマンドにおいて、IPADDRESSパラメーターにIPv6アドレスを指定して再起動すると、システムがリブートすることがあるという事象を改善しました。

    L2TP

28. L2TPセッションが確立している場合に、LNSが再送したHelloパケットを受信しても、ARルーターがZLBパケットで応答しないことがあるという事象を改善しました。

    IPsec・ISAKMP

29. ISAKMPパケットを再送した場合にデバック情報を表示しても、再送したパケットの情報が表示されないことがあるという事象を改善しました。

30. PFSを有効にしたIPsec通信において、Re-KEYを繰り返すとIPsec通信が切断され、エラーが記録されることがあるという事象を改善しました。

31. AGGRESSIVEモードでSENDDELETES=TRUEを設定したIPsec通信において、Re-KEYを繰り返すとIPsec通信が切断されることがあるという事象を改善しました。

    PKI

32. CRLによって無効化されている証明書が、Re-KEY発生後に再び有効になることがあるという事象を改善しました。

33. シリアル番号が0のCA証明書とそれに対応するCRL(証明書失効リスト)を登録すると、証明書が失効され、無効になることがあるという事象を改善しました。

34. ISAKMPピアのルーターから受け取ったCA証明書の情報を表示するとtypeがINVALIDになることがあるという事象を改善しました。

    その他

35. CPUに割り込み処理が発生した場合にシステムがまれにリブートすることがあるという事象を改善しました。

36. ARルーターにAR022を搭載してAUIポートを使用すると通信に失敗することがあるという事象を改善しました。

37. IPヘッダーのオプションフィールドに正しくない値をセットすることがあるという事象を改善しました。

次のような機能追加、改善が行われました。

機能追加

1. Pingポーリング機能が追加されました。
   本機能は、ICMP Echoメッセージ（Pingパケット）を利用して監視対象機器をポーリングし、機器からの応答パケットを定期的に確認する機能です。応答が途絶えたとき、および、回復したときに、経路変更などのトリガースクリプトを実行可能です。

2. RIPユニキャスト機能が拡張され、RIP Version 2（以下RIP2）パケットのNext Hopフィールドに任意の値をセットできるようになりました。
   これにより、同一サブネット上にないRIP2ルーターとの間で、ユニキャストによるRIPパケットの送受信が可能になります。RIPユニキャストの設定は、ADD/SET IP RIPコマンドのIPパラメーター（ユニキャストの宛先）とNEXTHOPパラメーター（RIP2パケットのNext Hopフィールド）で行います。

3. ARPキャッシュログ機能が追加されました。
   本機能は、ARPキャッシュの変更（登録・削除）をシステムログに記録する機能です。デフォルトは無効ですが、ENABLE IP ARP LOGコマンドで有効になります。

4. AR021 V2をサポートしました。
   AR021 V2は、BRIポートを1つ持つポート・インターフェース・カード（PIC）です。AR720/AR740のPICベイに装着することで、ISDN（2B+D）、64K〜128Kbpsのデジタル専用線やフレームリレー網への接続が可能となります。従来品のAR021と機能的に互換性がありますので、AR021の代わりにそのまま差し替えて使用可能です。ただし、AR021 V2は本バージョン（2.3.2 PL12）以降でしか使用できませんのでご注意ください。なお、AR021 V2の取り扱いについては、AR021 V2付属のドキュメントをご参照ください。

機能改善

BGP-4

1. AR ルーターの起動直後に、BGP-4 よって送信される UPDATE メッセージに静的経路情報が反映されないことがあるという事象を改善しました。

2. BGP-4 とファイアウォールの併用時に、BGP データパケットの IP ヘッダーが不正になることがあるという事象を改善しました。

   ファイアウォール

3. PUBLIC インターフェースに対して、ルール NAT（エンハンスト）を適用すると、UDP パケットが遮断されるという事象を改善しました。

4. PUBLIC インターフェースに対して、ルール NAT（リバースまたはダブル）を適用すると、FTP による通信が行えないという事象を改善しました。

5. Windows Media Player において、ストリーミングプロトコルとして UDP が使用できないことがあるという事象を改善しました。

6. ADD/SET FIREWALL POLICY RULE コマンドにおいて、PORT パラメーターでポート番号を範囲指定し（例：PORT=23-100）、かつ REMOTEIP パラメーターに値を設定すると、REMOTEIP パラメーターの値がポリシーに反映されないという事象を改善しました。

7. SET FIREWALL POLICY RULE コマンドの PROTOCOL パラメーターに、本来指定できないはずの「ICMP」を指定してもエラーにならないという事象を改善しました。

8. 大量の FTP または RTSP トラフィックが発生すると、リブートすることがあるという事象を改善しました。

   HTTP プロキシー （フィーチャーライセンス AT-FL-05）

9. HTTP プロキシーをイネーブルに設定すると、CR、LF コードを含まない POST METHOD（HTTP リクエスト）に対する応答パケットが転送されないため、特定の Web ページが表示されないことがあるという事象を改善しました。

   DNS リレー

10. DNS リレー使用時にメモリーが枯渇することがあるという事象を改善しました。

11. DNS リレー使用時に ID=0 の DNS Query を受信するとリブートすることがあるという事象を改善しました。

    IPv6

12. 受信した RIPng Response パケットの内容が不正にもかかわらず、経路表に登録してしまうことがあるという事象を改善しました。

    RIP/OSPF

13. RIP と OSPF の併用時、経路情報の交換が正しく行われないことがあるという事象を改善しました。

    IPsec・ISAKMP

14. ISAKMP Transaction モード中に Vendor ID ペイロードを送出してしまうため、他社製 IPsec 機器との XAUTH ネゴシエーションに失敗してしまうことがあるという事象を改善しました。

    ISDN

15. SET LAPD コマンドにより TEI 値を NOAUTOMATIC に変更できるよう改善しました。

    PPP

16. Predictor 圧縮を使用していると、CCP（Compression Control Protocol）のリンクが切断され、通信が正しく行えないことがあるという事象を改善しました。

    SNMP

17. MIB-II の IfRouteEntry の内容が正しく表示されるよう改善しました。

18. スパニングツリープロトコル使用時、ルートブリッジの変更を検知したときに同じ newRoot トラップを 2 度送信するという事象を改善しました。

    その他

19. 起動時の不要なエラーメッセージ「FFSerror 20 opening file \temp.ins」「FFSerror 20 opening file \default.ins」がログに記録されないよう改善しました。

20. sysUpTime の値が 2,147,483,647 を超えた場合に、各種 SHOW コマンドにおいて、インターフェースの状態変化後の経過時間を示す ifLastChange が正しく表示されないという事象を改善しました。

21. SHOW DEBUG コマンドの出力の Permanent Log の内容が正しく表示されるよう改善しました。

次のような機能追加（仕様変更）、機能改善が行われました。

機能追加（仕様変更）

1. RIP 機能において、前バージョンまでは受信したすべての経路エントリーをルーター本体のルーティングテーブルに登録していましたが、本バージョンより下記の条件を満たす経路エントリーのみを登録するよう仕様変更しました。

   • RIP パケットの送信元 IP アドレス（S）、経路エントリーのネクストホップアドレス（N）の両方が、受信インターフェースのネットワークアドレス範囲に収まっている。
     → この場合、該当エントリーは「ネクストホップ＝N」としてルーティングテーブルに登録されます。

   • RIP パケットの送信元 IP アドレス（S）は受信インターフェースのネットワークアドレス範囲に収まっているが、経路エントリーのネクストホップアドレス（N）が受信インターフェースのネットワークアドレス範囲に収まっていない。
     → この場合、該当エントリーは「ネクストホップ＝S」としてルーティングテーブルに登録されます。

2. レンジ NAT（IP NAT）の TCP Session timeout を 24 時間から 60 分に変更しました。

3. 2003 年 5 月 1 日より、暗号アルゴリズム 3DES をサポートしました（ご利用には、暗号・圧縮ボード「AR011 V2（AR720）」または「AR061（AR740）」とライセンス「AT-FL-01」が必要です）。
   3DES は Ver.2.3.2 PL4 以降で使用できます。

4. PPPoE インターフェースにおいて、LCP Echo Reply パケットの PPPoE payload length フィールドと PPP length フィールドに矛盾があっても、有効な LCP Echo Reply であると認識するようにしました。

機能改善

1. ファイアウォール NAT イネーブル時、「DISABLE FIREWALL POLICY TCPSETUPPROXY」コマンドで TCPSETUPPROXY をディスエーブルにすると、Public または Private 側で受信した TCP パケットが、TCP チェックサムエラーを持つパケットに変換されるという事象を改善しました。

2. IPsec 通信において、センター側ルーターの PPP リンクが切断された後、拠点側ルーターの IPsec SA がまれに削除されないため IPsec 通信ができなくなるという事象を改善しました。

3. 「ENABLE PPP DEBUG」コマンドでデバッグオプション「PKT」を有効にしても、AR ルーターが送信する IP パケットデータの情報がコンソールに表示されないという事象を改善しました。

4. Unnumbered IP インターフェース上で RIP を使用すると、該当インターフェースからデフォルトルートの情報が送信されないという事象を改善しました。

5. 「SET TELNET」コマンドで「LISTENPORT」パラメーターを繰り返し変更するとリブートすることがあるという事象を改善しました。

6. Listen していないポート宛ての IPv6 TCP SYN パケットを受信しても、RST + ACK を返信しないという事象を改善しました。

7. ファイアウォールポリシーからアクセスリストの登録を解除すると、ルールの設定がすべて削除されてしまうという事象を改善しました。

8. 大量のデータをコンソール（Telnetまたはシリアルコンソール）に送信すると、バッファー枯渇によりリブートすることがあるという事象を改善しました。

9. SNMP 経由または「SET SYSTEM NAME」コマンドで sysName に長い文字列を設定すると、「CREATE CONFIG」コマンドやコンソールが正常に動作しなくなるという事象を改善しました。

10. リンクアップ/ダウンが発生するタイミングで OSPF 機能が停止することがあるという事象を改善しました。

11. すでに他のインターフェースに設定されている IPv6 ネットワークアドレスをVIRT（IPv6-over-IPv4トンネル）インターフェースに設定した場合、設定内容の表示が異常になったり、リブートしてしまうという事象を改善しました。

12. IP フィルターのエントリー数を増やしていくとスループットが低下するという事象を改善しました。

次のような機能改善が行われました。また、本バージョンのファームウェアは、次のような制限事項があります。

制限事項

1. ファイアウォール NAT がイネーブルのとき、「DISABLE FIREWALL POLICY TCPSETUPPROXY」コマンドにより TCPSETUPPROXY をディスエーブルにすると、Public または Private 側で受信した TCP パケットが、TCP チェックサムエラーを持つパケットに変換されます。

機能改善

OSPF

1. インターフェースのリンクが UP になっているにも関わらず、OSPF インターフェースは DOWN と表示されることがあるという事象を改善しました。

2. 「SHOW OSPF NEIGHBOR」コマンドにより表示される隣接ルーターの Priority 項がリアルタイムに更新されない（表示上の事象のみ）という事象を改善しました。

3. 代表ルーター（DR）がダウンすると、関係のない Stub Network 情報の Link Update が必ず送信され、経路情報の書き換えが行われてしまうという事象を改善しました。

   インターフェース

4. Ethernet インターフェースが UP 状態になっており、通信も正常であるにも関わらず、「ifOperStatus」が DOWN と表示されることがあるという事象を改善しました。

5. PPP インターフェースが UP しているにも関わらず、PRI インターフェースの「ifOperStatus」が DOWN と表示されることがある事象を改善しました。

6. ルーター起動時に、Ethernet インターフェースのリンクが DOWN していることを IP モジュールが認識できないという事象を改善しました。

   ファイアウォール

7. ファイアウォールルールの設定において、ポート番号を「PORT=ALL」のように指定すると「PORT=85-65525」として扱われるという事象を改善しました。

8. マルチホーミングが設定されているインターフェースに対して ファイアウォールNAT を適用すると、IP アドレスによって NAT の動作に違いが生じるという事象を改善しました。

9. ファイアウォールがイネーブルのとき、RTSP パケットをルーティングするとリブートする場合があるという事象を改善しました。

10. ファイアウォールがイネーブルにされていると、AR ルーターのリアルタイムクロックが「AM 00:00:00」頃になるとき、TCP セッションが切断されることがあるという事象を改善しました。

11. フラグメントしてしまったメールヘッダーのみ（「To」「From」「X-Sender」など）のパケットに対して、SMTP プロキシーの動作が行われず、パケットがフォワードされないという事象を改善しました。

12. 外部 HTTP サーバーからの Cookie 設定要求を通過させるように設定するコマンドが実行できないという事象を改善しました（デフォルトでは通過させません）。

    ENABLE FIREWALL POLICY=name HTTPCOOKIES DISABLE FIREWALL POLICY=name HTTPCOOKIES

13. ファイアウォールにおいて、TCP/SYN および SYN/ACK パケットの TCP Window サイズを常に 1024 に変更していたため、無意味なフラグメントが発生していましたが、Window サイズを MSS（536）に合わせるようにしたことにより、この事象を改善しました。

    IPv6

14. IPv6 over IPv4 トンネリング環境において、IPv6 ルーティングテーブルに経路情報が登録されないという事象を改善しました。

15. 「SHOW IPV6 COUNTER」コマンドによって表示される、OutMsgs 値は OutRouterAdvert の値を含んでいないという事象を改善しました。

    その他

16. 到達点に対して複数の経路が存在している場合に、一部の経路が削除されると、AR ルーターの PING コマンドで正しい経路が選択されないという事象を改善しました。

17. Zmodem などでファイルをダウンロードした後に、「ACTIVATE FLASH COMPACTION」コマンドの実行が拒否されることがあるという事象を改善しました。

18. 「DISABLE BGP DEBUG」コマンドがデバッグメッセージを完全にディスエーブルにできないという事象を改善しました。

19. DHCP サーバー機能において、リレーエージェント経由で受信した DHCPREQUEST に対して DHCPNAK を返送するときに Broadcast ビットをセットしないという事象を改善しました。

20. ISDN callback を設定している場合、1 回の着信に対し 3 分間に 4 回以上リダイアルに失敗すると、それ以降の着信を全て拒否してしまうという事象を改善しました。

次のような機能追加（仕様変更）、機能改善が行われました。

機能追加（仕様変更）

1. IPv6（Internet Protocol Version 6）をサポートしました（ご利用には、ライセンス「AT-FL-07」が必要です。

   注：2003年1月下旬（予定）以降出荷のAR720、AR740には、「AT-FL-07」が無償添付されます。これ以前にご購入されたAR720、AR740 で IPv6 を使用する場合は、本ファームウェアをインストールするほか、別途ライセンス「AT-FL-07」のご購入が必要です。

2. BGP-4（Border Gateway Protocol 4）をサポートしました（ご利用には、ライセンス「AT-FL-08」が必要です。

3. アプリケーションゲートウェイ（HTTP プロキシー）をサポートしました（ご利用には、ライセンス「AT-FL-05」が必要です。

4. ドメインに応じて問い合わせ先のDNSサーバーを振り分ける機能を追加しました。本機能は DNS リレー機能使用時と、ARルーター自身が DNS サーバーに問い合わせるときの両方に適用されます。

   これにともない、DNSサーバーを指定するコマンド名を変更しました。
   「SET IP NAMESERVER」、「SET IP SECONDARYNAMESERVER」コマンドに代わり、「ADD IP DNS」、「SET IP DNS」コマンドで設定します。
   旧コマンドも使用できますが、設定ファイル保存時に「ADD IP DNS」、「SET IP DNS」に変換されます。

   ADD IP DNS [DOMAIN={ANY|domain-name}] {INTERFACE=interface|PRIMARY=ipadd [SECONDARY=ipadd]}

   （SET IP DNSの使用方法も同様です）

   • DOMAIN: 特定ドメインの名前解決に使用したいサーバーがある場合に本パラメーターを指定します。指定しない、もしくはANYの場合は、デフォルトのサーバーの指定になります。
   • INTERFACE: IPインターフェース名。
   • PRIMARY: プライマリーDNSサーバーのIPアドレス。
   • SECONDARY: セカンダリーDNSサーバーのIPアドレス。

5. DNSのリクエストをキャッシュし、2度目からはそのキャッシュを参照して応答する機能を追加しました。本機能は DNS リレー機能使用時と、ARルーター自身が DNS サーバーに問い合わせるときの両方に適用されます。

   この機能は「SET IP DNS CACHE」コマンドで設定します。

   SET IP DNS CACHE [SIZE=0..1000] [TIMEOUT=1..60]

   • SIZE: DNSキャッシュに保持するエントリーの最大数を指定する(0〜1000)。
   • TIMEOUT:DNSキャッシュエントリーの有効期限(1〜60分)。

6. BRI/PRIインターフェースのリンクアップ/ダウン検出方式を、「インターフェースの状態が変化してから、約2.5秒間その状態が継続した場合に検出」するよう変更しました。

7. IPsecポリシーにおいて、ルーターが送信するIPsecパケットの始点アドレスを指定できるようになりました。「CREATE/SET IPSEC POLICY」コマンドの「SRCINTERFACE」パラメーターにインターフェース名を指定すると、該当インターフェースのIPアドレスが IPsec パケットの始点アドレスとして使われます。

8. TCP/SYN パケットに対するファイアウォールの代理応答をディスエーブルできるようになりました。
   ファイアウォールのデフォルト設定では、PUBLIC・PRIVATEインターフェース間のTCPセッション確立時にTCP/SYNパケットの代理応答を行いますが、一部のアプリケーションではこの動作（代理応答）によって矛盾が生じることがあります。
   次のコマンドを使うことで、TCP/SYNパケットの代理応答を行わないよう設定することができます。デフォルトでは代理応答を行います。

   DISABLE FIREWALL POLICY=policy TCPSETUPPROXY

   いったん無効にした代理応答を再度イネーブルにするには、次のコマンドを使います。

   ENABLE FIREWALL POLICY=policy TCPSETUPPROXY

9. 「LOAD」コマンドと「ACTIVATE FLASH COMPACTION」コマンドを同時に実行できないようにしました。

10. ファイアウォールの基本ルールにおいて、前バージョンまでは AR ルーター宛ての SSH パケット（22/tcp）を許可していましたが、Ver.2.3.2 PL4 からは許可しないよう仕様変更しました。PUBLIC 側から AR ルーターに SSH でアクセスしたいときは、次のような許可ルールを明示的に追加してください。

    ADD FIREWALL POLICY=policy RULE=rule-id ACTION=ALLOW INT=interface PROTOCOL=TCP PORT=22 IP=ipadd

    • policy: ファイアウォールポリシー名
    • rule-id: ルール番号
    • interface: PUBLIC 側インターフェース名
    • ipadd: アクセスを許可する AR ルーターの IP アドレス

11. 暗号アルゴリズム 3DES をサポートしました（ご利用には、暗号・圧縮ボード「AR011 V2（AR720）」または「AR061（AR740）」とライセンス「AT-FL-01」が必要です）。
    （2003 年 5 月 1 日追記）

機能改善

1. PPPoE 使用時にフラグメント化されたTCPパケットを受信すると、ARルーターがリブートすることがあるという事象を改善しました。

2. VRRP のマスタールーターとして動作しているときに、バーチャルIPアドレス宛てにARP request を送信する事象を改善しました。

3. VRRP 使用時に、AR ルーターが送信する ICMP redirect メッセージの始点 IP アドレスが不正になる事象を改善しました。

4. ファイアウォール使用時に、「TRACE」コマンド（traceroute）の実行結果が不正になる事象を改善しました。

5. ファイアウォール使用時に、日時の変更によってセッションが切断されることがあるという事象を改善しました。

6. アプリケーションゲートウェイ（SMTPプロキシー）を有効にすると、AR ルーターに Telnet 接続できなくなる事象を改善しました。

7. ARルーターを LNS（L2TP Network Server）として運用しており、なおかつ、RADIUS サーバーを使用している場合、LAC（L2TP Access Concentrator）から送られてきたICCN（Incoming-Call-Connected）メッセージに Proxy Authen Name AVP が含まれていないと、LNS から RADIUS サーバーに Accounting-Request メッセージが送信されない事象を改善しました。

8. アップロードの中断などによってファイルがロックされたままになった場合に、「RESET LOADER」コマンドでロックを解除できるよう改善しました。

9. PPPパスワード（「CREATE/SET PPP」コマンドの「PASSWORD」パラメーター）に「%S」などの文字列を使った場合、PPPの認証に失敗する事象を改善しました。

10. ファイアウォールルールの設定において、TCP/UDPポート（「ADD/SET FIREWALL POLICY RULE」コマンドの「PORT」パラメーター）を範囲指定するとポート番号の変換が正しく行われない事象を改善しました。

11. PPPoE 使用時に TCP オプションの Length フィールドに 0 が格納されているパケットを受信すると、AR ルーターがリブートする事象を改善しました。

12. 特定の MIB 変数を取得すると ARルーターがリブートする事象を改善しました。

13. ファイアウォールルールの設定において、NONAT アクションを指定（「ADD FIREWALL POLICY RULE」コマンドで「ACTION=NONAT」を指定）した場合に、本来不要であるべき「GBLIP」パラメーターを要求される事象を改善しました。なお、既存の設定ファイル中に「ACTION=NONAT」と「GBLIP」の両方を指定したルールがあった場合は、読み込み時に「GBLIP」を無視します。

次のような仕様変更、機能改善が行われました。

仕様変更

1. IPsec の Heartbeat に関するログの記録条件を、Heartbeat Fail の場合のみに変更しました。

2. DHCP クライアントによって再送信された DHCP Discover に対して、DHCP Offer を送信するように仕様変更しました。

機能改善

1. 「MAIL」コマンドの「TO」パラメーターで指定した特定の宛先に対して、メールが正常に送信できないことがあるという事象を改善しました。

2. 「CREATE/SET IPSEC SASPECIFICATION」コマンドの「ANTIREPLAYENABLED」パラメーターを「TRUE」に設定すると、通信ができなくなるという事象を改善しました。

3. レンジ NAT（IP NAT）をイネーブルにすると、ICMP Redirect Message が送信されなくなるという事象を改善しました。

4. ファイアウォール、ファイアウォール NAT、レンジ NAT（IP NAT）がイネーブルにされていると、TCP の再送パケットが拒否されてしまうという事象を改善しました。

5. Telnet クライアントの改行コードが LF（0A）のみに設定されている場合、AR ルーターは LF を改行として認識しないという事象を改善しました。

6. 奇数のパケットサイズの PING に応答しないという事象を改善しました。

7. IPsec がイネーブルにされているとき、IPsec のポリシー対象となっていない通信のスループットが悪化してしまうという事象を改善しました。

8. マルチホーミングされたインターフェースに対して ファイアウォール を適用すると、PUBLIC 側のインターフェースで HTTP GET を受信したときに、AR ルーターがリブートすることがあるという事象を改善しました。

9. レンジ NAT（IP NAT）がイネーブルにされているとき、AR ルーターの ARP 要求に対する応答が返されなかった場合、AR ルーターがリブートしてしまうという事象を改善しました。

10. 隣接する OSPF ルーターに対して、正常な OSPF 経路情報が配布されないことがあるという事象を改善しました。

次のような機能追加（仕様変更）、機能改善が行われました。

機能追加（仕様変更）

1. ファイアウォール または IP NAT に対して、多重にフラグメント化された UDP パケットを透過させるようにするパラメーター「FRAGMENT=UDP」が追加されました。 FRAGMENT が取ることのできる値は UDP のみです。

   下記は、多重にフラグメント化されたUDPパケットを透過させます。

   ファイアウォール

   ENABLE FIREWALL POLICY=policy FRAGMENT=UDP

   IP NAT

   ENABLE IP NAT FRAGMENT=UDP

   下記は、多重にフラグメント化されたUDPパケットを透過しません（デフォルト）。 これは、従来と同様の仕様です（1773 バイト以上のフラグメントパケットを透過しません）。

   ファイアウォール

   DISABLE FIREWALL POLICY=policy FRAGMENT=UDP

   IP NAT

   DISABLE IP NAT FRAGMENT=UDP

2. ファイアウォール または NAT をイネーブルにした AR ルーターを経由して FTP を実行するとき、特定の FTP サーバーにログインすると、FTP クライアントに FTP Welcome Message が正しく表示されず、FTP が停止してしまうことがありましたが、これに対応いたしました。

3. ある特定のネットワーク端末が送信する SYN、SYN/ACK パケットの MSS（Max Segment Size）値の調整ができるようになりました。

機能改善

1. ISAKMP のネゴシエーションのリトライが行われなかっため、「SHOW ISAKMP EXCHANGE」の表示内容がクリアされないという事象を改善しました。

2. ファイアウォール NAT の IdentProxy 機能を Disable にしたとき、Ident パケットに対して返される TCP/RST パケットの ACK 番号が不正になることがあるという事象を改善しました。

3. ICMP パケットは ファイアウォール ルール適用の対象外ですが、ファイアウォール ルール適用の対象として取り扱われていたという事象を改善しました。

4. 特殊な ARP パケットを受信すると、ARP テーブルが更新されないという事象を改善しました。

5. ファイアウォール NAT をイネーブルにすると、AR ルーターの PING コマンドが送信するパケットの始点 IP アドレスが不正に書き変わってしまうという事象を改善しました。

次のような機能追加（仕様変更）、機能改善が行われました。

機能追加（仕様変更）

1. PPPoE インターフェースで受信した SYN、SYN/ACK パケットの MSS（Max Segment Size）値を、適切な値に調整することができるようになりました。

2. PUBLIC または PRIVATE インターフェースにおいて、RST パケットにより TCP セッションが強制終了されたとき、最大 300 秒（TCPTimeout に設定されている時間が 300 秒以上の場合）まで、該当の TCP セッションを ファイアウォール セッションテーブルに保持していましたが、約 6 秒後（固定値）に TCP セッションを削除するように変更しました。
   （関連コマンド：SET FIREWALL POLICY）

機能改善

1. SNMPv1 のセキュリティーに関する脆弱性の対策を施しました。

2. ファイアウォール のアクセスリストに複数のネットワークアドレスを記述する場合、下記のように 1 ネットワークごとに改行すると、アクセスリストが有効にならないという事象を改善しました。

   192.168.1.0 - 192.168.1.255 192.168.2.0 - 192.168.2.255 192.168.3.0 - 192.168.3.255

3. PERIODIC パラメーターを持つトリガーが実行されると、Periodic triggers activated today カウンター値（SHOW TRIGGER COUNTER コマンドで表示）が 2 ずつ増加してしまうという事象を改善しました。

4. フラッシュメモリーへのファイル書き込みに失敗し、該当のファイルが削除されることがあるという事象を改善しました。

次のような機能追加（仕様変更）、機能改善が行われました。

機能追加（仕様変更）

1. ファイアウォール セッションテーブルの管理方法が、以下のように変更されました。
   （関連コマンド：SET FIREWALL POLICY）

   • PUBLIC または PRIVATE インターフェースで TCP セッションがクローズされたとき、最大 300 秒（TCPTimeout に設定されている時間が 300 秒以上の場合）まで、該当の TCP セッションを ファイアウォール セッションテーブルに保持していましたが、TCP/FIN パケットを受け取った場合は約 6 秒後（固定値）に TCP セッションを削除するように変更しました。RST パケットによる強制終了の場合は、従来通り最大 300 秒です。

   • ICMP セッションは、600 秒間（固定値）セッションを保持していましたが、Othertimeout に設定した時間（デフォルト600秒）によって、ファイアウォール セッションテーブルから削除するように変更しました。

2. イーサネットのリンクステータス（リンクアップ、リンクダウン）によって、インターフェーストリガーが起動されるようになりました。

機能改善

1. VRRP のバックアップルーターに ファイアウォール NAT の設定を施すと、バックアップ用の回線が Link UP してしまうという事象を改善しました。

2. OSPF のメトリックが正常に IP Route に反映されないために通信できないという事象を改善しました。

3. AR040 の PIC ベイに Rev.A7 以降の AR020（PRI） を装着して使用すると、インターフェースタイプが E1（2M）として認識され、AR020 を経由する通信ができないという事象を改善しました。

4. ダイアルアップのような動的に IP アドレスが変更される環境において、ルーターから2ヶ所以上の IPsec トンネルを構築すると、再接続した後の IPsec 通信が失敗するという事象を改善しました。

次のような機能追加（仕様変更）、機能改善が行われました。

機能追加（仕様変更）

1. IP Security（IPsec）に関する次のような機能が追加されました。

   • ITU-T X.509 に基づく RSA Signature 認証をサポートしました。

   • ESP over UDP、UDP HeartBeat をサポートしました（AR ルーター独自機能）。
     これに伴い、「SET IPSEC UDPPORT=port」コマンド、CREATE IP SECPOLICY、SET IPSEC POLICY コマンドにパラメーター「UDPHEARTBEAT={TRUE|FALSE}」「UDPPORT=port」「UDPTUNNEL={TRUE|FALSE}」が追加されました。

     ESP over UDP によって NAT を経由する IPsec が簡単に実現できます（既存の NAT の環境に手を加える必要がありません）。UDP HeartBeat は、NAT の変換テーブルを維持するために使用します。

   • Oakley Group 1、2 だけでなく「0」をサポートしました。
     これに伴い、CREATE IP SECPOLICY、SET IPSEC POLICY、CREATE ISAKMP POLICY、SET ISAKMP POLICY コマンドのパラメーター「GROUP」の値が 0、1、2 に拡張されました。

   • ISAKMP HeartBeat をサポートしました（AR ルーター独自機能）。
     これに伴い、CREATE ISAKMP POLICY、SET ISAKMP POLICY コマンドにパラメーター「HEARTBEATMODE={BOTH|NONE|RECEIVE|SEND}」が追加されました。

   • Phase I における広範囲な ID ペイロードをサポートしました。
     これに伴い、CREATE ISAKMP POLICY、SET ISAKMP POLICY コマンドにパラメーター「LOCALID={ipadd|domainname|userdomainname|dist-name}」「REMOTEID={ipadd|domainname|userdomainname|dist-name}」が追加されました。

   • ダイアルアップ接続における Main Mode、Aggressive Mode をサポートしました。

2. Public Key Infrastructure（PKI）をサポートしました（ご利用には、ライセンス「AT-FL-06」の購入が必要です）。

3. IP マルチキャスト、IP マルチキャストルーティングをサポートしました。

4. NSM（Network Service Module）ベイ、PIC（Port Interface Card）ベイに識別名が付与され、これらのベイを装備したルーターで（AR740、AR720）、インターフェース名の絶対指定（Fully qualified interface names）が可能となりました。絶対指定により、同種類の PIC の装着数の変更にともなう、設定ファイルの保守管理が容易となります。

   AR740 では NSM ベイは識別名「NSM0」を持ち、AR040（4PIC ベイ拡張モジュール）の PIC ベイは識別名「BAY0〜3」を持ちます（BAY の番号は AR040 のパネルに記載されています）。AR740、AR720 本体の PIC ベイは識別名「BAY0〜1」を持ちます（BAY の番号は本体背面パネルに記載の PIC0、1 に一致します）。
   例えば、下記の図（AR740）において、コマンドで AR ルーター本体の PIC ベイ 1 に装着された Ethernet インターフェースを絶対指定する場合は、次のように入力します。
   

     ADD IP INTERFACE=BAY1.ETH0 IP=192.168.1.1
   

   次のように、従来の相対的な指定も可能ですが、コマンドの実行時に絶対指定の識別名に展開されるため、SHOW CONFIG DYN=IP で設定確認を行うと「INTERFACE=BAY1.ETH0」のように表示されます。
   そのため、Ver.2.0 以前のファームウェアを搭載した AR ルーターで作成した設定ファイルは Ver.2.2 の AR ルーターで動作可能です（CREATE CONFIG コマンドにより、絶対指定の識別名に展開された設定ファイルを別名で保存し、内容を確認した上で、SET CONFIG コマンドにより起動時に読み込まれるように指定してください）。逆に、Ver.2.2 の設定ファイルは Ver.2.0 以前の AR ルーターでは動作しません。

     ADD IP INTERFACE=ETH2 IP=192.168.1.1
   

   また、マルチホーミングを使用する場合、「INTERFACE=BAY1.ETH0-1」「INTERFACE=ETH2-1」のように指定します。
   標準装備のイーサネットインターフェース、非同期ポートでは、従来の相対指定による識別名と、絶対指定による識別名は同じものとなります。

   

5. CREATE PPP、ADD PPP、SET PPP、CREATE PPP TEMPLATE、SET PPP TEMPLATE コマンドにパラメーター「RECHALLENGE={ON|OFF|360..3600}」が追加されました。
   これにより、CHAP の再認証（RECHALLENGE）の抑止（OFF）、再認証を行う周期を設定できます。
   ON または数値を設定した場合、最少（300 秒固定）から最大（360〜3600 秒）のランダムな周期で再認証が行われます。
   デフォルト値は「ON」です（数値で 900 を設定した場合と同じ。300〜900 秒の範囲のランダムな周期で認証を行う）。
   

6. ADD USER、SET USER コマンドにパラメーター「LOGIN={TRUE|FALSE|ON|OFF|YES|NO}」が追加されました。
   これにより、PPP の認証のために登録されたユーザーの AR ルーターへのログインを禁止できます。
   

7. アプリケーションゲートウェイ（SMTP プロキシー）をサポートしました（ご利用にはライセンス「AT-FL-04」の購入が必要です）。

8. Virtual Router Redundancy Protocol（VRRP）に「ADD VRRP MONITOREDINTERFACE」「DELETE VRRP MONITOREDINTERFACE」コマンドが追加されました。

9. SNMP に次のような機能が追加されました。

   • coldStart TRAP をサポートしました。
   • trigger TRAP をサポートしました。

10. RIP/OSPF において、フレームリレーインターフェース（DLCI ごと）、PPP インターフェースの LINK UP/DOWN によって発生した経路情報の変更を即時に通知するように仕様変更しました。

11. イーサネット、フレームリレー、PPP、PPPoE の各インターフェースにおける MTU 長が変更できるようになりました。
    これに伴い「SET INTERFACE MTU」コマンドが追加されました。また、設定されている MTU 値は「SHOW INTERFACE」コマンドで確認できます。

機能改善

1. IPsec SA の Rekey（鍵の再生成）が 65535 回おこなわれると、それ以降 IPsec SA の Rekey に失敗してしまう事象を改善しました。

2. IKE のダイアルアップ接続時に IPCOMP と ESP を併用していると、ダイアルアップ切断後の再接続時にネゴシエーションに失敗してしまう事象を改善しました。

3. IKE で他ベンダーの機器とネゴシエーションする際、Aggressive モードを使用していると対向機器の機種によっては接続に失敗してしまう事象を改善しました。

4. DHCP クライアントが Windows XP である場合、Windows XP は AR ルーター（DHCP サーバー）から IP アドレスを取得できるが、ゲートウェイアドレス、サブネットマスクなどのオプションパラメーターは取得できないという事象を改善しました。

次のような機能追加、改善が行われました。

機能改善

• HTTP パケット（Code Red Warm など）の受信により、AR ルーターが動作を停止してしまうことがあるという事象を改善しました。

• メール送信に失敗するとメモリー枯渇が発生し、AR ルーターが動作を停止してしまうことがあるという事象を改善しました。

• ARP パケットを 7 回までしか送信しないという仕様を無制限に変更しました。

• DHCP クライアント機能がリースタイムの延長要求を行うように改善しました。

• PPPoE による接続で ENAT 機能を使用すると、AR ルーターがリブートすることがあるという事象を改善しました。

• NAT 機能が突然機能を停止することがあるという事象を改善しました。

• TCP 5025 番ポートで予期しないパケットを受信すると、AR ルーターがリブートしてしまう事象を改善しました。

• パケット長に関する矛盾を持つ UDP パケットを受信すると、AR ルーターがリブートしてしまう事象を改善しました。

• IP ルーティング処理において、DirectBroadcast パケットの扱いに矛盾が発生し、正しくルーティングされなかった事象を改善しました。

TRAP・PrivateMIB の追加（AR740 のみ）

AR740、AR740RPS（二重化電源装置）に関する次の TRAP が追加され、Private MIB に情報が追加されました。

• FAN Trap
  AR740 または AR740RPS に装備されている冷却ファンの故障により TRAP を発生します。

• RPS Trap
  電源の供給元が切り替わったときに TRAP を発生します（AR740RPS → AR740 に内蔵の電源、または AR740 に内蔵の電源 → AR740RPS）。

次のような機能追加、改善が行われました。

機能追加

• PPPoE による接続で Dynamic L2TP を使用できるようになりました。

機能改善

• IPsec の同時接続が 63 ユーザーまでであった事象を改善しました。

• ブリッジとして設定された AR ルーターにおいて、IP アドレスが割り当てられた Ethernet インターフェースを指定した IP 通信が失敗する事象を改善しました。

• IP フィルターの設定変更と同時に、その IP フィルターを適用したインターフェースがパケットを受信したとき、AR ルーターがリブートしてしまう事象を改善しました。

• OSPF Route Fiter 設定において「direction=send」が設定されている場合、「action=exclude」の設定が有効に働かない事象を改善しました。
  
  AR ルーターの仕様として、Route Filter 設定に無いネットワーク情報は、direction 設定に関係なく「action=exclude」として処理されるべきですが、「direction=send」が設定されている場合「action=exclude」の設定が有効に働かなかったため、OSPF ネットワーク情報が通知されていました。
  改善の結果、Route Filter 設定に無いネットワーク情報は全く通知されなくなります。ファームウェアのバージョンアップの際、通知すべきネットワーク情報のすべてを Route Filter 設定に施していただけますようお願い申し上げます。

• INS-1500 で PRI ケーブルを抜き差しした後、着呼不能となる事象を改善しました。

次のような機能改善が行われました。

機能改善

• ファイアウォール NAT の IdentProxy 機能を Disable にしたとき、メールサーバーからの AUTH パケットに対して RST パケットを返し、認証処理を受け付けないように改善しました。

次のような仕様変更、機能追加、改善が行われました。

DHCP クライアント

• AR ルーター（DHCP クライアント）が DHCP サーバーに送信する DHCP-Discover の Flags を Broadcast（=0x8000）から No broadcast（=0x0000）に変更し、 AR ルーターが DHCP-Offer を Unicast で受信できるようにしました。

• Gateway アドレス情報を含まない DHCP-Offer を受信しても、IP アドレスを 取得できるようになりました。
  （以前は DHCP サーバーからの DHCP-Offer に Gateway アドレス情報が含まれてい ない場合、AR ルーターは DHCP-Decline を返していたため、IP アドレスの取 得に失敗していました）

• Host Name Option
  AR ルーターに「set system name=XXXX」が設定されている場合、この文字列 （XXXX の部分）が DHCP の Discover/Request メッセージの HostName field に設定 されるように変更しました。

• Parameter Request List（その1）
  DHCP の Parameter Request List に「Subnet」「DomainName」を追加しまし た。
  この追加により、Parameter Request List は次のようになりました。

    Option 55: Parameter Request List
       1 = Subnet Mask
       3 = Router
       6 = Domain Name Server
      15 = Domain Name
  

• Parameter Request List（その2）
  「Parameter Request List」の内容が追加された DHCP-Request を送信するよ うに変更しました。
  これは DHCP-Discover で送信したものと同じ内容です。

PPPoE

• PPPoE において、接続先の PPPoE AC（Access Concentrater）の MRU 値が 1493 Byte 以上の場合（RFC2516 に準拠していない製品）、AR ルーター側の MTU 値を 1492 Byte にして接続するように仕様を変更しました。

OSPF

• 224.0.0.6 multicast で応答できるようになりました。

• 特定の OSPF ルーターに対して、AS-external/Network-link の LSA（Link State Advertisement）が正常にリフレッシュされない事象を改善しました。

機能改善

• AppleTalk において、2 つ以上の zone 情報を、ZIP Packet で交換で きない事象を改善しました。

• ネームサーバーが設定されている場合、ユーザ認証が失敗することが ある事象を改善しました。

• VRRP において、バックアップ・ルーター側のイーサネット・ケーブルを 切断すると、バックアップ・ルーターがマスター・ルーターに昇格してしまい、 相互のネットワークで通信ができなくなってしまう事象を改善しました。

AR740 における初期リリースバージョンです。
AR720 に関しては、次のような機能の追加変更が行われました。

ファイアウォール

• ファイアウォール が IPsec パケットに対応しました。
  これに伴い、ADD FIREWALL POLICY RULE、SET FIREWALL POLICY RULE に新たな値 ACTION=NONAT、新たなパラメータ ENCAPSULATION=NONE | IPSEC が追加されました。

• 攻撃（attack event）の頻度が設定したしきい値を越えたとき、トリガー（通知）を発生することができるようになりました。
  しきい値は、SET FIREWALL POLICY ATTACK の INTRIGGER、OUTTRIGGER、DETAIL、TIME で指定します。

• 攻撃に IPSPOOF、LAND、PINGOFDEATH、UDPATTACK の条件を追加しました。
  これらの条件は、SET FIREWALL POLICY ATTACK の ATTACK= で指定します。

• FTP アプリケーションの PUT または GET だけを許す設定ができるようになりました。
  ADD FIREWALL POLICY APPRULE の APPLICATION=FTP COMMAND={GET | PUT} で設定します。

• ファイアウォール セッションテーブル登録時間のタイムアウト値が変更できるようになりました（TCPで 1440 分、UDP/その他で 30 分の固定でした）。
  タイムアウト値は、SET FILEWALL POLICY の TCPTIMEOUT、UDPTIMEOUT、OTHERTIMEOUT で設定します。5 〜 42949767295（分）が可能です。それぞれのデフォルト値は、120、20、20（分）です。

Dynamic L2TP

• ダイヤルアップ接続で L2TP をサポートしました（Dynamic L2TP）。これにより、特定のサイトと L2TP トンネルを張りつつ、他のサイトの WEB を閲覧するといったことができます。

フレームリレー

• DLC Event Trigger の仕様が変更され、リブート時の FR DLC の DOWN 状態を検出するようになりました。

Trigger

• PRI、BRI、SYN のインターフェースに対して、直接 UP/DOWN の event を指定することが可能になりました。

• trigger event として、VRRP の UP/DOWN が追加されました。

VRRP

• VRRP（Virtual Router Redundancy Protocol）をサポートしました（RFC2338 準拠）。VRRP は、複数のルーターをグループ化し、あたかも 1 台のルーターであるかのように見せかけることで、IP ネットワークに冗長性を与えるプロトコルです。

AR720

• 10/100BASE-TX ポートの通信速度 100/10M、全二重/半二重、オートネゴシエーションを手動設定できるようになりました。これに伴い、次の新たなコマンドが追加されました。デフォルト値は AUTONEGOTIATE です。

  SET ETH=n SPEED={AUTONEGOTIATE | 10MHALF | 10MFULL | 100MHALF | 100MFULL}
  SHOW ETH[=n] STATE
  

次のような機能の追加・変更が行われました。

• DHCP クライアント機能をサポートしました。ルーターが起動するとき、DHCP クライアントに指定されたインターフェースから、DHCP Discover メッセージを送信し、動的にIP アドレスを取得できます（「add ip ...」の IP パラメータで「dhcp」を指定します。「add ip ...」の前に「enable ip remoteassign」を実行してください）。

  enable ip remoteassign
  add ip interface=eth0 ip=dhcp
  

• PPP の IPCP において、IP アドレスだけでなく、プライマリー DNS アドレス、セカンダリー DNS アドレスも取得できるようになりました。インタネット・サービス・プロバイダとの接続に、DNS リレー機能と組み合わせて使うと便利です。ただし、IPCP により DNS アドレスを取得するまで、DNS アドレスは不明であるため、DNS リクエストの転送先として「set ip dnsrelay」コマンドでインターフェース（interface=ppp0）を指定します。

  enable ip remoteassign
  add ip interface=ppp0 ip=0.0.0.0
  add ip route=0.0.0.0 mask=0.0.0.0 interface=ppp0 nexthop=0.0.0.0
  enable ip dnsrelay
  set ip dnsrelay interface=ppp0
  

• IPsec を使用するとき、IPcomp による接続拠点数の制限が無くなりました。したがって、IPcomp のセッション数は、ルーターの最大同時セッション数と同じになります。

• LNS（L2TP Network Server）に接続するとき、ユーザー名、パスワードに加えて発信元の電話番号によっても認証できるようになりました。

• 動的に作成された PPP インターフェース（Dynamic PPP インターフェース、PPP template）に対して ファイアウォール 機能が適用可能となりました。

• PPP PAP 認証のタイムアウトのデフォルト値を「3 秒」から「10 秒」に変更しました。

• 使用環境によって、10/100BASE-TX ポートが機能を停止してしまう事象を改善しました。

• ISDN における登録可能な呼（call）の数を「128」から「256」に拡張しました。

• RFC2516 に準拠した PPPoE（PPP over Ethernet）のクライアント機能をサポートしました。

次のような機能の追加・変更が行われました。

IP

• Static ENAT を適用できるプロトコルが TCP と UDP だけでなく、AR シリーズルーターが扱えるすべてのプロトコルに対応しました。これに伴い、「Protocol」パラメータで指定できる値は次のようになります。

  PROTOCOL={PROTOCOL|ALL|GRE|ICMP|OSPF|SA|TCP|UDP}
  

• IP アドレス・プール機能（Radius/TACACS/Routerデータベース/ACC を使用するとき、ダイナミックに IP を割り当てる機能）をサポートしました。

• DNS リレー機能をサポートしました。DNS リレーは、DNS クライアントからの DNS サーバーへの問い合わせを仲介する機能です。Macintosh や Windows などが参照する DNS サーバーとして本製品を指定しておくと、本製品は見かけ上 DNS サーバーとして振る舞います。

  enable ip dnsrelay
  set ip nameserver=172.30.130.5
  set ip secondarynameserver=172.30.130.205
  

VPN

• L2TP が弊社独自の仕様でしたが、RFC2661 に準拠いたしました。また、L2TP Internet Draft 13 以前の動作についてもサポートしています。

IPsec

• Ver.1.7.2 でサポートしていた手動鍵交換による IPsec だけでなく、IKE プロトコル（RFC2409/RFC2408/RFC2412）による自動鍵交換をサポートいたしました。これにより、同じ機能を有する他社製ルーターとの相互接続性を持ちます。

• ファームウエア Ver.1.7.2 で IPsec を使うように設定された AR720 の、ファームウエアを Ver.1.9.1 にアップグレードした場合、設定ファイルは手動鍵交換のまま動作が可能です。
  しかしながら、Ver.1.7.2 と Ver.1.9.1 の IPsec とは SA の管理方法が異なり、Ver.1.7.2 と Ver.1.9.1 の相互接続はできません。Ver.1.7.2 の設定ファイルから Ver.1.9.1 の設定ファイルに移行するためのコマンドが用意されておりますので、Ver.1.9.1 に移行することをお勧めいたします。

• Ver.1.7.2 から 1.9.1 へのバージョンアップにより、「CREATE ENCO KEY」コマンドの「ENCALG」パラメータが「TYPE」パラメータに変更されました。

次のような機能追加が行われました。

• AR012 をサポートしました。AR012 は、STAC LZS 圧縮をハードウェアによって行うためのオプションカードです。カードを使用することにより、ソフトウェアリソース（メモリー）を使用すること無く、STAC LZS 圧縮によるエンコード/デコード処理を実現します。
  本カードを使用しない場合、ソフトウェアによる STAC LZS 圧縮で最大 4 拠点の同時接続が可能ですが（STACチャネル=4）、同時接続拠点が 5 拠点以上の場合、AR012 を使用する必要があります。

• AR011 をサポートしました。AR011 は、暗号（AR010）と圧縮（AR012）の両機能を装備したオプションカードです。

AR720 における初期リリースバージョンです。

(c) 2001 - 2005 アライドテレシスホールディングス株式会社

PN: 613-000069 Rev.A 050119