サザンクロスルータシステム 「AR415S」

ソフトウェア・リリースノート Ver.2.9.1-20
2.9.1-20
(2009/10/30)

下記のとおり機能追加、機能改善が行われました。

本バージョンで追加された機能

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の機能が追加されました。

  1. ダイナミックDNSクライアント機能

    固定のIPアドレスが割り当てられなくても特定のドメイン名を利用できる、ダイナミックDNSをサポートします。この機能は、ISPより割り当てられたIPアドレスに変更があった場合などに、インターネット上に存在するダイナミックDNSサーバーに対し通知し、DNSデータベースを更新します。この機能により、ダイナミックDNSサーバーが常に最新の情報を保持でき、またサーバーに登録されたドメインから接続したいルーターのIPアドレスを検索できるようになるため、固定IPアドレスを持たないルーターへのアクセスが可能です。これに伴い、CREATE/SET ISAKMP POLICYおよびCREATE/SET IPSEC POLICYコマンドのPEERパラメータをドメインで指定できるようになり、固定のIPアドレスが割り当てられていない拠点同士でのインターネット VPNが可能になります。

    本製品のダイナミックDNSクライアント機能は、Dynamic Network Services社が提供するダイナミックDNSサービス DynDNS.com(http://www.dyndns.com/)のDynamic DNS Freeサービスのみに対応しています。

  2. タグ付きフレームのブリッジ機能

    ブリッジ対象フレームに対し、VLANタグ(IEEE 802.1Q)を付けたまま送出できる機能が追加されました。L2TPを使用したリモートブリッジでも使用可能です。

  3. VIDに基づいたリモートブリッジ機能(タグVLAN-to-WANブリッジング)

    リモートブリッジ設定時にVLANタグ(IEEE 802.1Q)のVIDに基づいたブリッジングが可能になりました。 複数VLAN(または単一VLAN)設定時にVLAN タグ(IEEE 802.1Q)をチェックし、VIDやタグの有無によりパケットの通過または破棄を行うリモートブリッジ設定が可能です。

  4. ポート認証

    スイッチポート単位、Ethernetインターフェース(eth)でLAN上のユーザーや機器を認証する、ポート認証をサポートします。認証に成功したユーザー、機器の通信を許可します。また、認証に成功したユーザー、機器を特定のVLANにアサインすることも可能です。また、 Supplicant MAC機能に対応し、特定の送信元MACアドレスを持つ機器を常に認証済み/非認証のSupplicantとして登録することが可能です。 ポート認証方式として、IEEE 802.1X認証方式/MACアドレスベース認証方式をサポートします。

    • 802.1X認証
      802.1X認証は、EAP(Extensible Authentication Protocol)パケットを使用し、ユーザー単位の認証を行います。Authenticator、またはSupplicant として設定可能です。
      802.1X認証モジュールが現在サポートしているEAP 認証方式は以下のとおりです。
      • Authenticator:EAP-MD5、 EAP-TLS、EAP-TTLS、EAP-PEAP、EAPOTP(MD4/MD5)
      • Supplicant: EAP-MD5、EAP-OTP(MD4/MD5)
    • MACアドレスベース認証
      機器の送信元MACアドレスに基づいて機器単位で認証を行います。 Authenticator設定が可能です。
  5. IPv6マルチキャスト

    IPv6マルチキャストルーティング機能として以下の機能をサポートします。

    • MLDv1
      MLDv1(RFC2710、Multicast Listener Discovery(MLD)for IPv6)をサポートします。 MLD(Multicast Listener Discovery:マルチキャスト受信者探索)は、LAN上のIPv6ルーターがIPv6ノードとメッセージを交換しあい、LAN上にどのマルチキャストグループの受信希望者(メンバー)がいるかを把握するためのプロトコルです。MLDは、IPv4におけるIGMPv2(Internet Group Management Protocol v2)と同等の機能です。
    • PIM
      PIM(Protocol Independent Multicast PIM-SM: draft-ietf-pim-sm-v2-new-05、PIM-DM: draft-ietf-pim-dm-new-v2-01)をサポートします。PIM(ProtocolIndependent Multicast)は、ユニキャスト用のルーティングプロトコル(EIGRPやOSPFなど)から独立(Independent)した、マルチキャスト用のルーティングプロトコルです。 PIMにはPIM-DM(Protocol Independent Multicast - Dense Mode)とPIM-SM(Protocol Independent Multicast - Sparse Mode)があり、本製品は両方をサポートしています。PIMの基本動作はIPv4と同じです。
  6. MLDプロキシー

    本機能はホストからのMLDv1/v2パケットを上位のルーターに転送する機能です。

  7. SNMPv3

    セキュリティーと遠隔管理方法について拡張されたSNMPv3をサポートします。

  8. ファイアウォールセッション数の制限(リミットルール)

    ファイアウォールセッション数の制限が可能です。 本製品はファイアウォールセッションを作成する際、すべてのリミットルールをチェックし、もし、対象となる通信を行う端末のセッション数が超過する場合、新たなセッションを作成しません。

  9. LAC(L2TP Access Concentrator)機能

    LAC(L2TP Access Concentrator)としての動作をサポートします。

  10. 新規サポートコマンドの追加

    以下の機能に新規コマンドを追加しました。詳細はコマンドリファレンス(アライドテレシス社:http://www.allied-telesis.co.jp/support/list/router/ar415s/docs/index.html)を参照してください。

    • 運用・管理/記憶装置とファイルシステム
    • 運用・管理/ログ
    • 運用・管理/ターミナルサービス
    • インターフェース/ スイッチポート
    • PPP/PPPoE AC
    • IP
    • IPv6
    • IPマルチキャスト/IGMP
    • IPマルチキャスト/PIM
    • ファイアウォール
    • ファイアウォール/UPnP
    • VRRP
    • DHCPサーバー
    • L2TP
    • IPsec

本バージョンで仕様変更された機能

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の仕様変更が行われました。

  1. Ethernet/VLANインターフェースのリンクアップ・ダウン時のログ

    Ethernet/VLANインターフェースのリンクアップ・ダウン時のログが記録されるようになりました。

  2. MSSクランプ(書き換え)機能の拡張

    MSS調整機能はPPPoE上でIP+TCPのパケットに対してのみ行われていましたが、IPsec通信(PPPoE上ではIP+ESP)に対しても MSS調整が行われるようになりました。

  3. 経路選択時の優先度変更機能の追加

    経路制御プロトコルによって学習した経路の優先度(preference)の変更が可能になりました。

本バージョンで修正された項目

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の項目が修正されました。

  1. モジュールトリガーを作成する際に、SCRIPTパラメーターを複数設定しようとしてもエラーとなっていましたが、これを修正しました。
  2. SSH機能を使用する場合、SSH通信にて受信した1584バイト以上の暗号化データを処理する際に、リブートが発生しておりましたが、これを修正しました。
  3. Unnumbered PPPインターフェースで、TTL=1を持つICMPパケットを受信した場合、その応答パケットの送信元IPアドレスとして0.0.0.0 を使用していましたが、ローカルIPインターフェースが設定されている場合はそのIPアドレス、設定されていない場合は、ICMPパケットの転送先インターフェースのIPアドレスを使用するように修正しました。
  4. ICMPv6 Packet Too Bigメッセージを受信した際、そのメッセージによって通知されたMTUの値を、メモリー上の設定に動的に反映していましたが、これを反映しないように修正しました。
  5. ルーター通知(RA)パケットの送信が無効のときに、受信したルーター通知パケットのCur Hop Limitフィールドの値が本製品に設定されている値と異なる場合、本製品の設定内容を書き換えてしまっていましたが、書き換えないように修正しました。
  6. データ長が1445Byteから1452Byteのフラグメント化されたIPv6 PINGパケットをVLANインターフェースで受信した時に応答できませんでしたが、これを修正しました。
  7. IPv6フィルター機能において、フィルター対象をプロトコル番号で指定してもフィルターが正しく動作しないことがありましたが、これを修正しました。
  8. PUBLIC側でマルチキャストパケットを破棄した場合、PRIVATE側での破棄としてファイアウォールのログに記録されていましたが、これを修正しました。
  9. 異なるファイアウォールセッションで同一のTCPポートが使用されてしまう、または同一のファイアウォールセッションで異なるTCPポートが使用されてしまう場合がありましたが、これを修正しました。
  10. DELETE FIREWALLコマンドでNAT=ENAPTの設定を削除することができませんでしたが、これを修正しました。
  11. ファイアウォールにおいて、RSTパケットを受信してファイアウォールセッションを切断した後、RSTパケットを転送する際に、シーケンス番号またはACK番号を不正な値で送信する場合がありましたが、これを修正しました。
  12. PPPインターフェースに動的にIPアドレスを割り当てる設定の場合、PPPインターフェースにIPアドレスが割り当てられる前にIPsecポリシーが作成されると、IPsecポリシーのローカルIPアドレスにLAN側IPアドレスが設定されていましたが、正しくWAN側のIPアドレスが設定されるように修正しました。
  13. 動的にIPアドレスを割り当てるPPPインターフェースがリンクダウンし、IPsecモジュールとISAKMPモジュールが無効になった状態でPPPインターフェースのみ再度リンクアップすると、IPsecポリシーのローカルIPアドレスに不正なアドレス0.1.0.1が設定されていましたが、これを修正しました。
  14. ISAKMPポリシーのPEERパラメータにIPv6のアドレスを設定する際に、本来であれば IPアドレスしか設定できないはずが、プレフィックスまで設定できてしまっていましたが、これを修正しました。
  15. IPsecポリシーにてNAT-Traversal(NAT-T)を有効に設定した際、ESP パケットのTOS値がランダムな値に設定されていましたが、これを修正しました。
  16. IPv6のIPsec VPNにて、セレクターにANYを指定すると、IKEフェーズ2(Quickモード)時に、ペイロードにIPV4_ADDR_SUBNETを含むパケットを送出していましたが、これをIPV6_ADDR_SUBNETに修正しました。

本バージョンでの制限事項・注意事項

ファームウェアバージョン2.9.1-20には、以下の制限事項や注意事項があります。

  1. 認証サーバー

    RADIUSサーバーを複数登録している場合、最初に登録したRADIUSサーバーに対してのみ、SET RADIUSコマンドのRETRANSMITCOUNTパラメーターが正しく動作しません。最初のRADIUSサーバーへの再送回数のみ、 RETRANSMITCOUNTの指定値よりも1回少なくなります。本現象は802.1x認証を使用した場合のみ発生します。

  2. ポート認証
    • DISABLE PORTAUTHコマンドで、PORTAUTHパラメーターに8021xを指定すると、EAP Successパケットを送信してしまいます。
    • RESET ETHコマンドによってEthernetインターフェースを初期化しても、認証状態は初期化されません。
    • 802.1x認証済みのクライアントがログオフした場合、ログオフしたクライアントの MACアドレスがフォワーディングデータベース(FDB)に保持されたままになります。
    • ENABLE/SET PORTAUTH PORTコマンドのSERVERTIMEOUTパラメーターが正しく動作しません。これは、SET RADIUSコマンドのTIMEOUTパラメーターとRETRANSMITCOUNTパラメーターの設定が優先されているためです。SET RADIUSコマンドでTIMEOUT×(RETRANSMITCOUNT+1)の値をSERVERTIMEOUTより大きく設定した場合は、 SERVERTIMEOUTの設定が正しく機能します。
  3. ブリッジング

    ポート1がタグ付きパケットのブリッジングの対象となるVLANに所属し、そのVLANにIPアドレスが設定されている場合、ポート1からVLANのIPアドレス宛の通信をしようとすると、 ルーターがARPに応答せず、通信ができません。これはポート1でのみ発生し、他のポートでは発生しません。

  4. ダイナミックDNS
    • ダイナミックDNSのアップデートで、以下の2つのケースにおいて、アップデートは再送されません。
      • 本製品からのTCP SYNパケットに対して、ダイナミックDNSサーバーからのSYN ACKパケットが返って来ない場合
      • 本製品からのTCP SYNパケットに対して、ICMP Host Unreachableメッセージが返される場合
    • ダイナミックDNSのアップデート(HTTP GET)に対する応答として、ダイナミックDNS(HTTP)サーバーから特定のエラーコード(404 Not Found)を受信すると、SHOW DDNSコマンドのSuggested actionsの項目にHTMLタグの一部が表示されることがあります。
  5. IPv6
    • RIPng経路を利用してIPv6マルチキャスト通信を行っている場合、経路が無効(メトリック値が16)になっても、しばらくその経路を利用して通信を行います。
    • ガーベージコレクションタイマーが動作中のRIPng経路は、新しいメトリック値を持つ経路情報を受信しても、タイマーが満了するまで経路情報を更新しません。
  6. DHCPv6サーバー
    • DHCPv6サーバーで認証機能を使用した場合、ADD DHCP6 KEYコマンドのSTRICTパラメーターが動作しません。
    • ADD DHCP6 POLICYコマンドでDHCPv6サーバーの設定を変更しても、サーバーからReconfigureメッセージが送信されません。ADD DHCP6 POLICYコマンドの実行後、さらにSET DHCP6 POLICYコマンドを実行してください。これにより、Reconfigureメッセージが送信されます。

取扱説明書・コマンドリファレンスの誤記訂正

取扱説明書(613-000666 Rev.B)・コマンドリファレンス(613-000667 Rev.C)の誤記訂正です。

  1. VLAN 数の制限

    「コマンドリファレンス」/「VLAN」
    34番目と37番目に設定したVLANが正常に動作しません。このため、デフォルトVLANを含めたサポートVLAN数は16となります。

  2. WAN ポート仕様

    「取扱説明書」135ページ
    取扱説明書に記載の製品仕様について、以下のように訂正してお詫びします。

    A.7 製品仕様/ハードウェア/インターフェース/WAN ポート
    • [誤]10BASE-T/100BASE-TX × 1(オートネゴシエーション、Full Duplex/Half Duplex/10Mbps/100Mbps 手動設定、常にMDI/MDI-X 自動切替)
    • [正]10BASE-T/100BASE-TX × 1(オートネゴシエーション時MDI/MDI-X 自動切替、Full Duplex/Half Duplex/10Mbps/100Mbps 手動設定時はMDI 固定)

ビジネス商品カテゴリー