この度は、CentreCOM x310シリーズ・Secure HUB SH310シリーズをお買いあげいただき、誠にありがとうございます。このリリースノートは、取扱説明書、コマンドリファレンスの補足や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。
最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。
本リリースノートは、下記の製品を対象としています。
Secure HUB SH310シリーズをご使用の際は、最初に「Secure HUB SH310シリーズについて」をお読みになり、同セクションに記載されているマニュアルを適宜読み替えながらご参照くださいますようお願い申し上げます。
また、本リリースノートの内容につきましても、前記セクションに記載されている製品名の違いやサポート機能の差分を念頭に置きながらお読みください。
SH310シリーズは、CentreCOM x310シリーズと同様のハードウェア・アーキテクチャーを採用し、一部の機能を限定することで高いコストパフォーマンスを実現した製品です。
ご使用にあたっては、本リリースノートと以下に述べるx310シリーズ用のマニュアル(取扱説明書、コマンドリファレンス)をご参照ください。これらのマニュアルは、弊社ホームページに掲載されています。
SH310シリーズ各機種のハードウェアは、本体の製品名表示が異なる点を除きx310シリーズの下記機種と同様のハードウェア・アーキテクチャーを採用しています。
SH310シリーズ | x310シリーズ | 参照すべき取扱説明書 |
---|---|---|
AT-SH310-26FT | AT-x310-26FT | CentreCOM x310シリーズ 取扱説明書(613-001925 Rev.B) |
AT-SH310-50FT | AT-x310-50FT | |
AT-SH310-26FP | AT-x310-26FP | |
AT-SH310-50FP | AT-x310-50FP |
SH310シリーズ各機種の取り扱いについては、「参照すべき取扱説明書」欄に記載したx310シリーズ用の取扱説明書をご参照ください。その際、製品名をx310シリーズのものからSH310シリーズのものに読み替えてくださいますようお願い申し上げます。
SH310シリーズのファームウェアはSH310シリーズ専用であり、x310シリーズのファームウェアとは異なりますが、サポート機能に差分がある点を除き、ファームウェアの動作は基本的に同じです。
SH310シリーズ用ファームウェアの機能とコマンドについては、後述するサポート機能の差分を念頭に置きながら、下記のx310シリーズ用コマンドリファレンスをご参照ください。その際、適宜製品名をx310シリーズのものからSH310シリーズのものに読み替えてくださいますようお願い申し上げます。
参照すべきコマンドリファレンス |
---|
CentreCOM x310シリーズ コマンドリファレンス 5.4.5(ファームウェアバージョン5.4.5-2.1用)(613-001988 Rev.H) |
本リリースノートの内容につきましても、製品名の違いやサポート機能の差分を念頭に置きながらお読みください。
また、x310シリーズのみを対象にリリースされたバージョンでの変更点については、x310シリーズ各バージョンのリリースノートをご参照ください。
SH310シリーズのサポート機能を、前述のx310シリーズ用コマンドリファレンスに掲載されているサポート機能との差分として示します。
コマンドリファレンスに掲載されている下記の機能は、SH310シリーズではサポート対象外であるか、機能が制限されます。
「運用・管理」/「RADIUSサーバー」の全コマンドがサポート対象外です。
「運用・管理」/「NTP」の下記コマンドはサポート対象外です。
(NTPクライアント機能はサポート対象)
ntp access-group ntp broadcastdelay ntp master
「IPルーティング」/「経路制御(OSPF)」の全コマンドがサポート対象外です。
「IPルーティング」/「VRRP」の全コマンドがサポート対象外です。
IPv6ルーティングはスタティック、ダイナミックともサポート対象外です。
(IPv6ホスト機能はサポート対象)
「IPv6ルーティング」/「経路制御(RIPng)」の全コマンドがサポート対象外です。
「IPv6ルーティング」/「経路制御(OSPFv3)」の全コマンドがサポート対象外です。
「IPマルチキャスト」/「一般設定」の下記コマンドはサポート対象外です。
これら以外のコマンドはIGMP Snooping用としてサポートします。
clear ip mroute clear ip mroute statistics ip mroute ip multicast route ip multicast route-limit ip multicast-routing multicast show ip mroute show ip mvif show ip rpf
「IPマルチキャスト」/「PIM」の全コマンドがサポート対象外です。
「IPマルチキャスト」/「IGMP」の下記コマンドはサポート対象外です。
これら以外のIGMPコマンドはIGMP Snooping用としてサポートします。
clear ip igmp ip igmp ip igmp access-group ip igmp flood specific-query ip igmp immediate-leave ip igmp last-member-query-count ip igmp last-member-query-interval ip igmp limit(インターフェースモード) ip igmp limit(グローバルコンフィグモード) ip igmp mroute-proxy ip igmp proxy-service ip igmp querier-timeout ip igmp query-holdtime ip igmp query-interval ip igmp query-max-response-time ip igmp robustness-variable ip igmp source-address-check ip igmp ssm ip igmp ssm-map enable ip igmp ssm-map static
「IPv6マルチキャスト」/「一般設定」の全コマンドがサポート対象外です。
「IPv6マルチキャスト」/「PIM」の全コマンドがサポート対象外です。
「IPv6マルチキャスト」/「MLD」の下記コマンドはサポート対象外です。
これら以外のMLDコマンドはMLD Snooping用としてサポートします。
ipv6 mld ipv6 mld immediate-leave ipv6 mld last-member-query-count ipv6 mld last-member-query-interval ipv6 mld querier-timeout ipv6 mld query-interval ipv6 mld query-max-response-time ipv6 mld robustness-variable ipv6 mld ssm-map enable ipv6 mld ssm-map static ipv6 mld static-group ipv6 mld version show ipv6 mld groups show ipv6 mld interface
「IP付加機能」/「DHCPリレー」の全コマンドがサポート対象外です。
本製品のAMFメンバー機能はエッジノード向けの限定版であり、通常のAMFメンバーと比べて下記の制限があります。
これにともない、「アライドテレシスマネージメントフレームワーク(AMF)」/「コマンド」の下記コマンドはサポート対象外になります。
(これら以外にマスター、コントローラー用のコマンドもサポート対象外です)
atmf virtual-link show atmf virtual-links switchport atmf-crosslink
SH310シリーズをAMFメンバーとして管理するには、AMFマスターにバージョン5.4.5-2.x以降のファームウェアが必要です。
コマンドリファレンスに掲載されている下記の機能は、x310シリーズとSH310シリーズで仕様やサポート条件が異なります。
show systemコマンドのBoard Name欄にはSH310シリーズの製品名が表示されます。また、sysObjectIDにもSH310シリーズ固有の値がセットされます。
UDLDは、x310シリーズではフィーチャーライセンスが必要ですが、SH310シリーズではフィーチャーライセンスなしで使用できます。
RIPは、x310シリーズではフィーチャーライセンスが必要ですが、SH310シリーズではフィーチャーライセンスなしで使用できます。
ただし、サポート対象のルート数は16件までに限定されます。
AMFにおいてSH310シリーズとx310シリーズは別機種として扱われますので、リカバリー時にx310シリーズの代替機としてSH310シリーズを使う、あるいは、SH310シリーズの代替機としてx310シリーズを使うことはできません。また、ワーキングセットにおいて、すべてのSH310シリーズを表す予約済みグループ名はsh310となります。
下記のSH310シリーズ全機種を自由に組み合わせてVCSグループを構成できます。x310シリーズとはVCSグループを構成できません。
なお、switch provisionコマンドで指定する事前設定機種名もx310シリーズとは異なり、上記製品名の後にかっこ書きした名前となります。
ファームウェアバージョン 5.4.5-0.1 より AMFパケットフォーマットが変更されました。5.4.5-0.1以降のバージョンで、AMFとアクセスリストを併用する場合、AMFマネージメントサブネット(atmf management subnet ※)内の通信を許可するようにしてください。
※初期値は172.31.0.0/16
ログ出力先ごとに、特定のログメッセージを出力させない設定が可能になりました。
ログ出力の抑制は新しく追加された下記のコマンドで行います。
[no] log DESTINATION exclude {level LEVEL & facility FACILITY & program PROGRAM & msgtext TEXTLINE}
指定したログ出力先において、条件に一致したログメッセージを出力しないよう設定する。
no形式で実行した場合は、出力抑制の条件を削除する。
受信したARP Replyの宛先MACアドレスがブロードキャストであっても、ARPエントリーの登録を行えるようになりました。
初期状態ではこの動作は無効ですが、インターフェースごとに下記の新コマンドを実行することで有効化できます。
[no] arp-reply-bc-dmac
特定のIPアドレスに対してのみARPの代理応答を行うリミテッドローカルプロキシーARPをサポートしました。
既存のローカルプロキシーARP(ip local-proxy-arpコマンド)では、同一サブネット内のすべてのIPアドレスに対して本製品が自身のMACアドレスで代理応答しますが、リミテッドローカルプロキシーARPでは明示的に指定したIPアドレス範囲に対してのみ代理応答を行います。
リミテッドローカルプロキシーARPの設定は、新しく追加された下記のコマンドで行います。
[no] ip limited-local-proxy-arp
対象インターフェースでリミテッドローカルプロキシーARPを有効化する。
no形式で実行した場合はリミテッドローカルプロキシーARPを無効化する。
初期設定は無効。
リミテッドローカルプロキシーARPが有効なインターフェースでは、local-proxy-arpコマンド(グローバルコンフィグモード)で設定した範囲内のIPアドレスに対するARP要求にのみ、本製品が代理応答する。
[no] local-proxy-arp A.B.C.D/M
リミテッドローカルプロキシーARPで代理応答するIPアドレス範囲を追加する。
no形式で実行した場合は指定したIPアドレス範囲をリミテッドローカルプロキシーARPでの代理応答対象から外す。
初期状態では未設定。
IPアドレス範囲は複数設定することができる。
IPマルチキャストルーティング使用時、フラグメントされたマルチキャストパケットをハードウェアテーブルに登録するには、すべてのフラグメントパケットを受信し再構成する必要がありましたが、下記の新コマンドにより、1パケット目の受信で登録できるようになりました。
[no] ip multicast allow-register-fragments
レジリエンシーリンクとして設定したスイッチポートにおいて、宛先/送信元 MACアドレスがヘルスチェックメッセージのものではないパケットを受信した場合、ログに記録を残すよう機能拡張しました。
SecureHUBシリーズにおいても、Webブラウザーを利用したグラフィカル・ユーザー・インターフェース(GUI)をサポートしました。Webブラウザーから本製品にアクセスして、設定の変更や参照を行うことが可能です。なお、Web GUI機能を使用するためには、ファームウェアファイルとは別にGUI用Javaアプレットファイルを本製品にインストールする必要があります。詳細はコマンドリファレンスをご覧ください。
switch provisionコマンドのreprovisionオプションが削除されました。
ファームウェアバージョン 5.4.5-2.1 から 5.4.5-3.4 へのバージョンアップにおいて、以下の項目が修正されました。
show system pluggable diagnostics
で確認できる Tx Power と Rx Power の閾値の表示が逆転していましたが、これを修正しました。
ファームウェアバージョン 5.4.5-3.4 には、以下の制限事項があります。
enable-local 15
という不要な文字列が表示されます。
dir usb:/
のように、USBメモリーにアクセスする操作をもう一度行ってください。
機器に装着しているUSBメモリーまたはSDカードを抜き、再度機器に装着した時、以下のログが出ます。
抜いた時
kernel: FAT-fs (sda1): unable to read boot sector to mark fs as dirty
装着した時
kernel: FAT-fs (sda1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
また、機器に装着しているUSBメモリーまたはSDカードを抜き、PCに装着すると、PC上で「スキャンして修復しますか?」というメッセージが出ますが、ログのみの問題で、ファイルの破損はありません。
You don't exist, go away!
Successful operation
と表示されます。
user.warning awplus NSM[XXXX]: 601 log messages were dropped - exceeded the log rate limitこれは短時間に大量のログメッセージが生成されたため一部のログ出力を抑制したことを示すものです。ログを抑制せずに出力させたい場合は、log-rate-limit nsmコマンドで単位時間あたりのログ出力上限設定を変更してください。
x310: Error log message“Only AT-StackXS and AT-StackOP supported in this port“ when in fact only AT-StackXS supported
% Invalid input detected at '^' marker.
のエラーメッセージが出力されるべきですが、エラーメッセージが出力されないため、スクリプトファイルが正常に終了したかのように見えてしまいますが、通信には影響はありません。
トリガー設定時、scriptコマンドで指定したスクリプトファイルが存在しない場合、コンソールに出力されるメッセージ内のスクリプトファイルのパスが誤っています。
誤:% Script /flash/script-3.scp does not exist. Please ensure it is created before
正:% Script flash:/script-3.scp does not exist. Please ensure it is created before
また、スクリプトファイルが存在しないにもかかわらず前述のコマンドは入力できてしまうため、コンフィグに反映され、show triggerコマンドのスクリプト情報にもこのスクリプトファイルが表示されます。
sn enable trap
などと入力を省略した場合、入力したコマンドがホスト名欄に表示されコマンドが認識されない、または、コンソールの表示が乱れることがあります。コマンドはtab補完などを利用し省略せずに入力してください。
ioctl 35123 returned -1
のようなログが出力されることがありますが、通信には影響ありません。
no sflow collector
ではなく sflow collector port 6343
を実行してください。
Clock is synchronized, stratum 0, actual frequency is 0.000PPM, presicion is 2
ntpd_intres[4295]: host name not found:
本製品から他の機器にTelnetで接続しているとき、次のようなメッセージが表示されます。
No entry for terminal type "network"; using vt100 terminal settings.
本製品のSSHサーバーに対して、次に示すような非対話式SSH接続(コマンド実行)をしないでください。
※本製品のIPアドレスを192.168.10.1と仮定しています。
clientHost> ssh manager@192.168.10.1 "show system"
SSHログイン時、ログアウトするときに以下のログが表示されますが、動作に影響はありません。
sshd[2592]: error: Received disconnect from xxx.xxx.xxx.xxx: disconnected by server request
user.warning awplus HSL[491]: Thrash: Loop Protection has disabled learning on sa1 by 0000.cd37.09bf on VLAN 400 user.warning awplus HSL[491]: Thrash: Loop Protection has re-enabled learning on sa1 user.warning awplus HSL[491]: Thrash: Loop Protection has re-enabled learning on port2.0.1
Interface portx.x.x: set STP state to BLOCKING
認証ポートの所属VLANを手動で変更した場合は、変更内容がランニングコンフィグ(show running-config
)に反映されないため、実際の所属確認はshow vlan all
で行ってください。
また、認証ポートの所属VLAN変更をコンフィグに保存したいときは、次の(A) (B) いずれかの方法をご使用ください。
(A) スタートアップコンフィグを直接編集する
(B) 認証機能を無効にした状態で所属VLANを変更し、その後認証機能を再度有効化して設定を保存する。
この方法の場合、具体的には次の手順が必要です。
1ポートに適用するVLANクラシファイアグループは2グループまでにしてください。
同じVLANクラシファイアグループ内に複数のルールを定義した場合、設定順ではなく番号順に反映されます。
user.err awplus HSL[1078]: HSL: ERROR: Could not create L3 interface in hardware for interface vlan534 834 ret(-6)また、そのVLANにはIPを設定することができません。
インターフェースにプライベートVLANの設定をしたままプライベートVLANを削除することはできません。プライベートVLANを削除する場合は次の手順でVLANを削除するようにしてください。
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
Gateway of last resort is not set
と表示される場合がありますが、表示だけの問題で通信には影響ありません。
Multicast membership on IPv6 interface IFNAME
のステータスがJOINEDと表示されますが、表示上の問題だけでありVRRPの動作に影響はありません。
no redistribute connected
を実行してから、redistribute connected
を入力してください。
Neighbor discovery has timed out on link eth1->5
のログメッセージが不要に表示されることがあります。これは表示上の問題であり通信には影響はありません。
% Maximum number of pim-dm interfaces reached
% No such Group-Rec found
というエラーメッセージが表示されることがありますが、コマンドの動作には問題ありません。
clear ipv6 mld group *
ですべてのグループを削除した場合、ルーターポートのエントリーも削除されてしまいます。clear ipv6 mld group ff1e::1
のように特定のグループを指定した場合は削除されないため、グループを指定し削除してください。また、削除されてしまった場合もMLD Queryを受信すれば再登録されます。
no ipv6 mld snooping report-suppression
でReport抑制機能を無効化してください。
ARPやIGMPなどCPUで処理されるパケットに対してイングレスフィルターが正しく動作しません。
ARPに関しては、以下の設定でフィルターすることが可能です。
mls qos enable access-list 4000 deny any any vlan 100 class-map class1 match access-group 4000 policy-map policy1 class default class class1 interface port2.0.24 service-policy input policy1
no match dscp
と入力するとエラーとなります。no match ip-dscpコマンドを入力することで、設定を削除できます。
AMFリンクとして使用しているスタティックチャンネルグループの設定や構成を変更する場合は、次に示す手順A・Bのいずれかにしたがってください。
[手順A]
[手順B]
オートリカバリーが成功したにもかかわらず、リカバリー後に正しく通信できない場合は、代替機の接続先が交換前と同じポートかどうかを確認してください。誤って交換前とは異なるポートに代替機を接続してしまった場合は、オートリカバリーが動作したとしても、交換前とネットワーク構成が異なるため、正しく通信できない可能性がありますのでご注意ください。
LACPとAMFを併用している場合、LACPチャンネルグループのメンバーポートがリンクダウンすると、次のようなエラーログが出力されますが、これはログのみの問題で、AMFや通信には影響ありません。
kern.err XXXX kernel: Unexpected parent vlan4092 found for [IFNAME] kern.err XXXX kernel: Parent interface vlan4092 found while deleting [IFNAME]
atmf management subnetコマンドでは、指定されたIPアドレスに16ビットのサブネットマスク(255.255.0.0)を自動的に適用してAMFマネージメントサブネットのIPアドレス空間を決定しますが、同コマンドでクラスAのIPアドレスを指定した場合は、内部的に8ビットのマスクで経路を登録してしまいます。
たとえば、同コマンドで10.0.0.0を指定した場合、AMFマネージメントサブネットの範囲は10.0.0.0/16(10.0.0.0〜10.0.255.255)ですが、これに対して10.0.0.0/8(10.0.0.0〜10.255.255.255)を経路表に登録してしまいます。そのため、この範囲内のアドレス(たとえば10.10.0.0/16)を運用ネットワーク(データプレーン)で使用していた場合、これらのアドレスを使用した通信ができなくなります。
これを回避するには、運用ネットワークで使用するアドレス範囲に対して、より具体的な(マスクの長い)経路をスタティックに登録してください。たとえば、さきほどの例では、10.10.0.0/16への経路を登録することで本現象を回避できます。
なお、本件はatmf management subnetコマンドでクラスAのIPアドレス(0.0.0.0 〜 127.255.255.255)を指定したときにだけ発生する現象であり、クラスB、クラスCのIPアドレスを指定した場合は問題ありません。
VCSスレーブを交換する際、マスターとスタックケーブルで接続して電源をオンにした後、通常、スタックIDを変更し、AMFを有効に設定するため、2回の再起動が必要になりますが、AMFネットワークに所属後、コンフィグの同期に時間がかかり、コンフィグの同期後に以下のようなエラーメッセージが表示され、もう一度再起動を要求されます。
Post startup check found the following errors: Processes not ready: authd bgpd epsrd irdpd lacpd lldpd mstpd ospf6d ospfd pdmd pim6d pimd ripd ripngd rmond sflowd vrrpd Timed out after 300 seconds Bootup failed, rebooting in 3 seconds. Do you wish to cancel the reboot? (y) :
Failed to delete 'manager'
というメッセージが表示されることがあります。これは表示だけの問題で動作には影響しません。
Resiliency link healthchecks have failed, but master(member-xx) is still online
各種ドキュメントの補足事項および誤記訂正です。
本製品がサポートするSFPモジュールの最新情報については、弊社ホームページをご覧ください。
x310シリーズ | SH310シリーズ | |
---|---|---|
パフォーマンス | ||
VLAN登録数 | 4094 | 1024 |
MACアドレス(FDB)登録数 ※1 | 16K | 16K |
IPv4ホスト(ARP)登録数 ※1 | 512 | 512 |
IPv4ルート登録数 | 64 ※2 | 16 ※2 |
リンクアグリゲーション | ||
グループ数(筐体あたり) | 128 ※3 | 128 ※3 |
ポート数(グループあたり) | 8 | 8 |
ハードウェアパケットフィルター | ||
登録数 | 118 ※4 ※5 ※6 | 118 ※4 ※5 ※6 |
認証端末数 | ||
認証端末数(ポートあたり) | 1K | 1K |
認証端末数(装置あたり) | 1K | 1K |
マルチプルダイナミックVLAN(ポートあたり) | 1K | 1K |
マルチプルダイナミックVLAN(装置あたり) | 1K | 1K |
ローカルRADIUSサーバー | ||
ユーザー登録数 | 3 | - |
RADIUSクライアント(NAS)登録数 | 1 ※7 | - |
その他 | ||
VRF-Liteインスタンス数 | - | - |
IPv4マルチキャストルーティングインターフェース数 | 31 ※8 | - |
最新のコマンドリファレンスに記載されていない機能、コマンドはサポート対象外ですので、あらかじめご了承ください。最新マニュアルの入手先については、次節「最新マニュアルについて」をご覧ください。
x310シリーズに関する最新の取扱説明書「CentreCOM x310 シリーズ 取扱説明書」(613-001925 Rev.B)、コマンドリファレンス「CentreCOM x310 シリーズ コマンドリファレンス」(613-001988 Rev.H)は弊社ホームページに掲載されています。
また、SH310シリーズのご使用にあたっては、「SecureHUB SH310シリーズについて」に記載されている各マニュアルを弊社ホームページにてご参照ください。
なお、VCS の設定、運用に関する情報は、コマンドリファレンスに合わせて掲載しております。
本リリースノートは、これらの最新マニュアルに対応した内容になっていますので、お手持ちのマニュアルが上記のものでない場合は、弊社ホームページで最新の情報をご覧ください。
http://www.allied-telesis.co.jp/