NTT西日本 情報機器ナビゲーション
HOME コンシューマ向け製品 ビジネス向け製品 サポート情報 ダウンロード サイトマップ オンラインショップ
ダウンロード
HOME > サポート情報 > ダウンロード > ビジネスシステム > サザンクロスルータシステム 「AR415S」
サザンクロスルータシステム 「AR415S」

ソフトウェア・リリースノート Ver.2.9.1-20


下記のとおり機能追加、機能改善が行われました。


本バージョンで追加された機能

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の機能が追加されました。

  1. ダイナミックDNSクライアント機能


    2. 固定のIPアドレスが割り当てられなくても特定のドメイン名を利用できる、ダイナミックDNSをサポートします。この機能は、ISPより割り当てられたIPアドレスに変更があった場合などに、インターネット上に存在するダイナミックDNSサーバーに対し通知し、DNSデータベースを更新します。 この機能により、ダイナミックDNSサーバーが常に最新の情報を保持でき、またサーバーに登録されたドメインから接続したいルーターのIPアドレスを検索できるようになるため、固定IPアドレスを持たないルーターへのアクセスが可能です。 これに伴い、CREATE/SET ISAKMP POLICYおよびCREATE/SET IPSEC POLICYコマンドのPEERパラメータをドメインで指定できるようになり、固定のIPアドレスが割り当てられていない拠点同士でのインターネットVPNが可能になります。

    本製品のダイナミックDNSクライアント機能は、Dynamic Network Services社が提供するダイナミックDNSサービス DynDNS.com(http://www.dyndns.com/)のDynamic DNS Freeサービスのみに対応しています。


  2. タグ付きフレームのブリッジ機能


    3. ブリッジ対象フレームに対し、VLANタグ(IEEE 802.1Q)を付けたまま送出できる機能が追加されました。L2TPを使用したリモートブリッジでも使用可能です。
  3. VIDに基づいたリモートブリッジ機能(タグVLAN-to-WANブリッジング)


    4. リモートブリッジ設定時にVLANタグ(IEEE 802.1Q)のVIDに基づいたブリッジングが可能になりました。
    複数VLAN(または単一VLAN)設定時にVLAN タグ(IEEE 802.1Q)をチェックし、VIDやタグの有無によりパケットの通過または破棄を行うリモートブリッジ設定が可能です。


  4. ポート認証


    5. スイッチポート単位、Ethernetインターフェース(eth)でLAN上のユーザーや機器を認証する、ポート認証をサポートします。認証に成功したユーザー、機器の通信を許可します。また、認証に成功したユーザー、機器を特定のVLANにアサインすることも可能です。また、Supplicant MAC機能に対応し、特定の送信元MACアドレスを持つ機器を常に認証済み/非認証のSupplicantとして登録することが可能です。
    ポート認証方式として、IEEE 802.1X認証方式/MACアドレスベース認証方式をサポートします。
    802.1X認証
      802.1X認証は、EAP(Extensible Authentication Protocol)パケットを使用し、ユーザー単位の認証を行います。Authenticator、またはSupplicant として設定可能です。
    802.1X認証モジュールが現在サポートしているEAP 認証方式は以下のとおりです。
    Authenticator:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP、EAPOTP(MD4/MD5)
    Supplicant: EAP-MD5、EAP-OTP(MD4/MD5)

    MACアドレスベース認証
      機器の送信元MACアドレスに基づいて機器単位で認証を行います。Authenticator設定が可能です。


  5. IPv6マルチキャスト


    6. IPv6マルチキャストルーティング機能として以下の機能をサポートします。
    MLDv1
      MLDv1(RFC2710、Multicast Listener Discovery(MLD)for IPv6)をサポートします。
    MLD(Multicast Listener Discovery:マルチキャスト受信者探索)は、LAN上のIPv6ルーターがIPv6ノードとメッセージを交換しあい、LAN上にどのマルチキャストグループの受信希望者(メンバー)がいるかを把握するためのプロトコルです。MLDは、IPv4におけるIGMPv2(Internet Group Management Protocol v2)と同等の機能です。

    PIM
      PIM(Protocol Independent Multicast PIM-SM: draft-ietf-pim-sm-v2-new-05、PIM-DM: draft-ietf-pim-dm-new-v2-01)をサポートします。PIM(ProtocolIndependent Multicast)は、ユニキャスト用のルーティングプロトコル(EIGRPやOSPFなど)から独立(Independent)した、マルチキャスト用のルーティングプロトコルです。
    PIMにはPIM-DM(Protocol Independent Multicast - Dense Mode)とPIM-SM(Protocol Independent Multicast - Sparse Mode)があり、本製品は両方をサポートしています。PIMの基本動作はIPv4と同じです。


  6. MLDプロキシー


    7. 本機能はホストからのMLDv1/v2パケットを上位のルーターに転送する機能です。
  7. SNMPv3


    8. セキュリティーと遠隔管理方法について拡張されたSNMPv3をサポートします。
  8. ファイアウォールセッション数の制限(リミットルール)


    9. ファイアウォールセッション数の制限が可能です。
    本製品はファイアウォールセッションを作成する際、すべてのリミットルールをチェックし、もし、対象となる通信を行う端末のセッション数が超過する場合、新たなセッションを作成しません。
  9. LAC(L2TP Access Concentrator)機能


    10. LAC(L2TP Access Concentrator)としての動作をサポートします。
  10. 新規サポートコマンドの追加


    11. 以下の機能に新規コマンドを追加しました。詳細はコマンドリファレンス(アライドテレシス社:http://www.allied-telesis.co.jp/support/list/router/ar415s/docs/index.html)を参照してください。
    運用・管理/記憶装置とファイルシステム
    運用・管理/ログ
    運用・管理/ターミナルサービス
    インターフェース/ スイッチポート
    PPP/PPPoE AC
    IP
    IPv6
    IPマルチキャスト/IGMP
    IPマルチキャスト/PIM
    ファイアウォール
    ファイアウォール/UPnP
    VRRP
    DHCPサーバー
    L2TP
    IPsec


本バージョンで仕様変更された機能

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の仕様変更が行われました。

  1. Ethernet/VLANインターフェースのリンクアップ・ダウン時のログ


    2. Ethernet/VLANインターフェースのリンクアップ・ダウン時のログが記録されるようになりました。
  2. MSSクランプ(書き換え)機能の拡張


    3. MSS調整機能はPPPoE上でIP+TCPのパケットに対してのみ行われていましたが、IPsec通信(PPPoE上ではIP+ESP)に対してもMSS調整が行われるようになりました。
  3. 経路選択時の優先度変更機能の追加


    4. 経路制御プロトコルによって学習した経路の優先度(preference)の変更が可能になりました。

本バージョンで修正された項目

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の項目が修正されました。

  1. モジュールトリガーを作成する際に、SCRIPTパラメーターを複数設定しようとしてもエラーとなっていましたが、これを修正しました。


  2. SSH機能を使用する場合、SSH通信にて受信した1584バイト以上の暗号化データを処理する際に、リブートが発生しておりましたが、これを修正しました。


  3. Unnumbered PPPインターフェースで、TTL=1を持つICMPパケットを受信した場合、その応答パケットの送信元IPアドレスとして0.0.0.0 を使用していましたが、ローカルIPインターフェースが設定されている場合はそのIPアドレス、設定されていない場合は、ICMPパケットの転送先インターフェースのIPアドレスを使用するように修正しました。


  4. ICMPv6 Packet Too Bigメッセージを受信した際、そのメッセージによって通知されたMTUの値を、メモリー上の設定に動的に反映していましたが、これを反映しないように修正しました。


  5. ルーター通知(RA)パケットの送信が無効のときに、受信したルーター通知パケットのCur Hop Limitフィールドの値が本製品に設定されている値と異なる場合、本製品の設定内容を書き換えてしまっていましたが、書き換えないように修正しました。


  6. データ長が1445Byteから1452Byteのフラグメント化されたIPv6 PINGパケットをVLANインターフェースで受信した時に応答できませんでしたが、これを修正しました。


  7. IPv6フィルター機能において、フィルター対象をプロトコル番号で指定してもフィルターが正しく動作しないことがありましたが、これを修正しました。


  8. PUBLIC側でマルチキャストパケットを破棄した場合、PRIVATE側での破棄としてファイアウォールのログに記録されていましたが、これを修正しました。


  9. 異なるファイアウォールセッションで同一のTCPポートが使用されてしまう、または同一のファイアウォールセッションで異なるTCPポートが使用されてしまう場合がありましたが、これを修正しました。


  10. DELETE FIREWALLコマンドでNAT=ENAPTの設定を削除することができませんでしたが、これを修正しました。


  11. ファイアウォールにおいて、RSTパケットを受信してファイアウォールセッションを切断した後、RSTパケットを転送する際に、シーケンス番号またはACK番号を不正な値で送信する場合がありましたが、これを修正しました。


  12. PPPインターフェースに動的にIPアドレスを割り当てる設定の場合、PPPインターフェースにIPアドレスが割り当てられる前にIPsecポリシーが作成されると、IPsecポリシーのローカルIPアドレスにLAN側IPアドレスが設定されていましたが、正しくWAN側のIPアドレスが設定されるように修正しました。


  13. 動的にIPアドレスを割り当てるPPPインターフェースがリンクダウンし、IPsecモジュールとISAKMPモジュールが無効になった状態でPPPインターフェースのみ再度リンクアップすると、IPsecポリシーのローカルIPアドレスに不正なアドレス0.1.0.1が設定されていましたが、これを修正しました。


  14. ISAKMPポリシーのPEERパラメータにIPv6のアドレスを設定する際に、本来であればIPアドレスしか設定できないはずが、プレフィックスまで設定できてしまっていましたが、これを修正しました。


  15. IPsecポリシーにてNAT-Traversal(NAT-T)を有効に設定した際、ESPパケットのTOS値がランダムな値に設定されていましたが、これを修正しました。


  16. IPv6のIPsec VPNにて、セレクターにANYを指定すると、IKEフェーズ2(Quickモード)時に、ペイロードにIPV4_ADDR_SUBNETを含むパケットを送出していましたが、これをIPV6_ADDR_SUBNETに修正しました。
    17.

本バージョンでの制限事項・注意事項

ファームウェアバージョン2.9.1-20には、以下の制限事項や注意事項があります。

  1. 認証サーバー


    2. RADIUSサーバーを複数登録している場合、最初に登録したRADIUSサーバーに対してのみ、SET RADIUSコマンドのRETRANSMITCOUNTパラメーターが正しく動作しません。最初のRADIUSサーバーへの再送回数のみ、RETRANSMITCOUNTの指定値よりも1回少なくなります。本現象は802.1x認証を使用した場合のみ発生します。
  2. ポート認証


    3.
    DISABLE PORTAUTHコマンドで、PORTAUTHパラメーターに8021xを指定すると、EAP Successパケットを送信してしまいます。
    RESET ETHコマンドによってEthernetインターフェースを初期化しても、認証状態は初期化されません。
    802.1x認証済みのクライアントがログオフした場合、ログオフしたクライアントのMACアドレスがフォワーディングデータベース(FDB)に保持されたままになります。
    ENABLE/SET PORTAUTH PORTコマンドのSERVERTIMEOUTパラメーターが正しく動作しません。これは、SET RADIUSコマンドのTIMEOUTパラメーターとRETRANSMITCOUNTパラメーターの設定が優先されているためです。SET RADIUSコマンドでTIMEOUT×(RETRANSMITCOUNT+1)の値をSERVERTIMEOUTより大きく設定した場合は、SERVERTIMEOUTの設定が正しく機能します。


  3. ブリッジング


    4. ポート1がタグ付きパケットのブリッジングの対象となるVLANに所属し、そのVLANにIPアドレスが設定されている場合、ポート1からVLANのIPアドレス宛の通信をしようとすると、 ルーターがARPに応答せず、通信ができません。これはポート1でのみ発生し、他のポートでは発生しません。
  4. ダイナミックDNS


    5.
    ダイナミックDNSのアップデートで、以下の2つのケースにおいて、アップデートは再送されません。
       
    本製品からのTCP SYNパケットに対して、ダイナミックDNSサーバーからのSYN ACKパケットが返って来ない場合
    本製品からのTCP SYNパケットに対して、ICMP Host Unreachableメッセージが返される場合

    ダイナミックDNSのアップデート(HTTP GET)に対する応答として、ダイナミックDNS(HTTP)サーバーから特定のエラーコード(404 Not Found)を受信すると、SHOW DDNSコマンドのSuggested actionsの項目にHTMLタグの一部が表示されることがあります。


  5. IPv6


    6.
    RIPng経路を利用してIPv6マルチキャスト通信を行っている場合、経路が無効(メトリック値が16)になっても、しばらくその経路を利用して通信を行います。

    ガーベージコレクションタイマーが動作中のRIPng経路は、新しいメトリック値を持つ経路情報を受信しても、タイマーが満了するまで経路情報を更新しません。


  6. DHCPv6サーバー


    7.
    DHCPv6サーバーで認証機能を使用した場合、ADD DHCP6 KEYコマンドのSTRICTパラメーターが動作しません。

    ADD DHCP6 POLICYコマンドでDHCPv6サーバーの設定を変更しても、サーバーからReconfigureメッセージが送信されません。ADD DHCP6 POLICYコマンドの実行 後、さらにSET DHCP6 POLICYコマンドを実行してください。これにより、Reconfigureメッセージが送信されます。


取扱説明書・コマンドリファレンスの誤記訂正

取扱説明書(613-000666 Rev.B)・コマンドリファレンス(613-000667 Rev.C)の誤記訂正です。

  1. VLAN 数の制限


    2. 「コマンドリファレンス」/「VLAN」
    34番目と37番目に設定したVLANが正常に動作しません。このため、デフォルトVLANを含めたサポートVLAN数は16となります。


  2. WAN ポート仕様


    3. 「取扱説明書」135ページ
    取扱説明書に記載の製品仕様について、以下のように訂正してお詫びします。


    A.7 製品仕様/ハードウェア/インターフェース/WAN ポート

    [誤]10BASE-T/100BASE-TX × 1(オートネゴシエーション、Full Duplex/Half Duplex/10Mbps/100Mbps 手動設定、常にMDI/MDI-X 自動切替)

    [正]10BASE-T/100BASE-TX × 1(オートネゴシエーション時MDI/MDI-X 自動切替、Full Duplex/Half Duplex/10Mbps/100Mbps 手動設定時はMDI 固定)

TOP

Copyright (C) 西日本電信電話株式会社
ご意見・お問い合わせ プライバシーポリシー Copyright (C) 西日本電信電話株式会社