サザンクロスルータシステム 「AR415S」

取扱説明書・コマンドリファレンスの誤記訂正

取扱説明書（613-000666 Rev.B）・コマンドリファレンス（613-000667 Rev.C）の誤記訂正です。

1. VLAN 数の制限

   「コマンドリファレンス」/「VLAN」
   34番目と37番目に設定したVLANが正常に動作しません。このため、デフォルトVLANを含めたサポートVLAN数は16となります。

2. WAN ポート仕様

   「取扱説明書」135ページ
   取扱説明書に記載の製品仕様について、以下のように訂正してお詫びします。

   A.7 製品仕様/ハードウェア/インターフェース/WAN ポート
   • ［誤］10BASE-T/100BASE-TX × 1（オートネゴシエーション、Full Duplex/Half Duplex/10Mbps/100Mbps 手動設定、常にMDI/MDI-X 自動切替）
   • ［正］10BASE-T/100BASE-TX × 1（オートネゴシエーション時MDI/MDI-X 自動切替、Full Duplex/Half Duplex/10Mbps/100Mbps 手動設定時はMDI 固定）

本バージョンでの制限事項・注意事項

ファームウェアバージョン2.9.1-20には、以下の制限事項や注意事項があります。

1. 認証サーバー
   RADIUSサーバーを複数登録している場合、最初に登録したRADIUSサーバーに対してのみ、SET RADIUSコマンドのRETRANSMITCOUNTパラメーターが正しく動作しません。最初のRADIUSサーバーへの再送回数のみ、 RETRANSMITCOUNTの指定値よりも1回少なくなります。本現象は802.1x認証を使用した場合のみ発生します。
2. ポート認証
   • DISABLE PORTAUTHコマンドで、PORTAUTHパラメーターに8021xを指定すると、EAP Successパケットを送信してしまいます。
   • RESET ETHコマンドによってEthernetインターフェースを初期化しても、認証状態は初期化されません。
   • 802.1x認証済みのクライアントがログオフした場合、ログオフしたクライアントの MACアドレスがフォワーディングデータベース（FDB）に保持されたままになります。
   • ENABLE/SET PORTAUTH PORTコマンドのSERVERTIMEOUTパラメーターが正しく動作しません。これは、SET RADIUSコマンドのTIMEOUTパラメーターとRETRANSMITCOUNTパラメーターの設定が優先されているためです。SET RADIUSコマンドでTIMEOUT×（RETRANSMITCOUNT+1）の値をSERVERTIMEOUTより大きく設定した場合は、 SERVERTIMEOUTの設定が正しく機能します。
3. ブリッジング
   ポート1がタグ付きパケットのブリッジングの対象となるVLANに所属し、そのVLANにIPアドレスが設定されている場合、ポート1からVLANのIPアドレス宛の通信をしようとすると、 ルーターがARPに応答せず、通信ができません。これはポート1でのみ発生し、他のポートでは発生しません。
4. ダイナミックDNS
   • ダイナミックDNSのアップデートで、以下の2つのケースにおいて、アップデートは再送されません。
     • 本製品からのTCP SYNパケットに対して、ダイナミックDNSサーバーからのSYN ACKパケットが返って来ない場合
     • 本製品からのTCP SYNパケットに対して、ICMP Host Unreachableメッセージが返される場合
   • ダイナミックDNSのアップデート（HTTP GET）に対する応答として、ダイナミックDNS（HTTP）サーバーから特定のエラーコード（404 Not Found）を受信すると、SHOW DDNSコマンドのSuggested actionsの項目にHTMLタグの一部が表示されることがあります。
5. IPv6
   • RIPng経路を利用してIPv6マルチキャスト通信を行っている場合、経路が無効（メトリック値が16）になっても、しばらくその経路を利用して通信を行います。
   • ガーベージコレクションタイマーが動作中のRIPng経路は、新しいメトリック値を持つ経路情報を受信しても、タイマーが満了するまで経路情報を更新しません。
6. DHCPv6サーバー
   • DHCPv6サーバーで認証機能を使用した場合、ADD DHCP6 KEYコマンドのSTRICTパラメーターが動作しません。
   • ADD DHCP6 POLICYコマンドでDHCPv6サーバーの設定を変更しても、サーバーからReconfigureメッセージが送信されません。ADD DHCP6 POLICYコマンドの実行後、さらにSET DHCP6 POLICYコマンドを実行してください。これにより、Reconfigureメッセージが送信されます。

本バージョンで修正された項目

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の項目が修正されました。

1. モジュールトリガーを作成する際に、SCRIPTパラメーターを複数設定しようとしてもエラーとなっていましたが、これを修正しました。
2. SSH機能を使用する場合、SSH通信にて受信した1584バイト以上の暗号化データを処理する際に、リブートが発生しておりましたが、これを修正しました。
3. Unnumbered PPPインターフェースで、TTL=1を持つICMPパケットを受信した場合、その応答パケットの送信元IPアドレスとして0.0.0.0 を使用していましたが、ローカルIPインターフェースが設定されている場合はそのIPアドレス、設定されていない場合は、ICMPパケットの転送先インターフェースのIPアドレスを使用するように修正しました。
4. ICMPv6 Packet Too Bigメッセージを受信した際、そのメッセージによって通知されたMTUの値を、メモリー上の設定に動的に反映していましたが、これを反映しないように修正しました。
5. ルーター通知（RA）パケットの送信が無効のときに、受信したルーター通知パケットのCur Hop Limitフィールドの値が本製品に設定されている値と異なる場合、本製品の設定内容を書き換えてしまっていましたが、書き換えないように修正しました。
6. データ長が1445Byteから1452Byteのフラグメント化されたIPv6 PINGパケットをVLANインターフェースで受信した時に応答できませんでしたが、これを修正しました。
7. IPv6フィルター機能において、フィルター対象をプロトコル番号で指定してもフィルターが正しく動作しないことがありましたが、これを修正しました。
8. PUBLIC側でマルチキャストパケットを破棄した場合、PRIVATE側での破棄としてファイアウォールのログに記録されていましたが、これを修正しました。
9. 異なるファイアウォールセッションで同一のTCPポートが使用されてしまう、または同一のファイアウォールセッションで異なるTCPポートが使用されてしまう場合がありましたが、これを修正しました。
10. DELETE FIREWALLコマンドでNAT=ENAPTの設定を削除することができませんでしたが、これを修正しました。
11. ファイアウォールにおいて、RSTパケットを受信してファイアウォールセッションを切断した後、RSTパケットを転送する際に、シーケンス番号またはACK番号を不正な値で送信する場合がありましたが、これを修正しました。
12. PPPインターフェースに動的にIPアドレスを割り当てる設定の場合、PPPインターフェースにIPアドレスが割り当てられる前にIPsecポリシーが作成されると、IPsecポリシーのローカルIPアドレスにLAN側IPアドレスが設定されていましたが、正しくWAN側のIPアドレスが設定されるように修正しました。
13. 動的にIPアドレスを割り当てるPPPインターフェースがリンクダウンし、IPsecモジュールとISAKMPモジュールが無効になった状態でPPPインターフェースのみ再度リンクアップすると、IPsecポリシーのローカルIPアドレスに不正なアドレス0.1.0.1が設定されていましたが、これを修正しました。
14. ISAKMPポリシーのPEERパラメータにIPv6のアドレスを設定する際に、本来であれば IPアドレスしか設定できないはずが、プレフィックスまで設定できてしまっていましたが、これを修正しました。
15. IPsecポリシーにてNAT-Traversal（NAT-T）を有効に設定した際、ESP パケットのTOS値がランダムな値に設定されていましたが、これを修正しました。
16. IPv6のIPsec VPNにて、セレクターにANYを指定すると、IKEフェーズ2（Quickモード）時に、ペイロードにIPV4_ADDR_SUBNETを含むパケットを送出していましたが、これをIPV6_ADDR_SUBNETに修正しました。

本バージョンで仕様変更された機能

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の仕様変更が行われました。

1. Ethernet/VLANインターフェースのリンクアップ・ダウン時のログ

   Ethernet/VLANインターフェースのリンクアップ・ダウン時のログが記録されるようになりました。

2. MSSクランプ（書き換え）機能の拡張

   MSS調整機能はPPPoE上でIP＋TCPのパケットに対してのみ行われていましたが、IPsec通信（PPPoE上ではIP＋ESP）に対しても MSS調整が行われるようになりました。

3. 経路選択時の優先度変更機能の追加

   経路制御プロトコルによって学習した経路の優先度（preference）の変更が可能になりました。

本バージョンで追加された機能

ファームウェアバージョン2.9.1-17 から2.9.1-20へのバージョンアップにおいて、以下の機能が追加されました。

1. ダイナミックDNSクライアント機能

   固定のIPアドレスが割り当てられなくても特定のドメイン名を利用できる、ダイナミックDNSをサポートします。この機能は、ISPより割り当てられたIPアドレスに変更があった場合などに、インターネット上に存在するダイナミックDNSサーバーに対し通知し、DNSデータベースを更新します。この機能により、ダイナミックDNSサーバーが常に最新の情報を保持でき、またサーバーに登録されたドメインから接続したいルーターのIPアドレスを検索できるようになるため、固定IPアドレスを持たないルーターへのアクセスが可能です。これに伴い、CREATE/SET ISAKMP POLICYおよびCREATE/SET IPSEC POLICYコマンドのPEERパラメータをドメインで指定できるようになり、固定のIPアドレスが割り当てられていない拠点同士でのインターネット VPNが可能になります。

   本製品のダイナミックDNSクライアント機能は、Dynamic Network Services社が提供するダイナミックDNSサービス DynDNS.com（http://www.dyndns.com/）のDynamic DNS Freeサービスのみに対応しています。

2. タグ付きフレームのブリッジ機能

   ブリッジ対象フレームに対し、VLANタグ（IEEE 802.1Q）を付けたまま送出できる機能が追加されました。L2TPを使用したリモートブリッジでも使用可能です。

3. VIDに基づいたリモートブリッジ機能（タグVLAN-to-WANブリッジング）

   リモートブリッジ設定時にVLANタグ（IEEE 802.1Q）のVIDに基づいたブリッジングが可能になりました。 複数VLAN（または単一VLAN）設定時にVLAN タグ（IEEE 802.1Q）をチェックし、VIDやタグの有無によりパケットの通過または破棄を行うリモートブリッジ設定が可能です。

4. ポート認証

   スイッチポート単位、Ethernetインターフェース（eth）でLAN上のユーザーや機器を認証する、ポート認証をサポートします。認証に成功したユーザー、機器の通信を許可します。また、認証に成功したユーザー、機器を特定のVLANにアサインすることも可能です。また、 Supplicant MAC機能に対応し、特定の送信元MACアドレスを持つ機器を常に認証済み/非認証のSupplicantとして登録することが可能です。 ポート認証方式として、IEEE 802.1X認証方式/MACアドレスベース認証方式をサポートします。

   • 802.1X認証
     802.1X認証は、EAP（Extensible Authentication Protocol）パケットを使用し、ユーザー単位の認証を行います。Authenticator、またはSupplicant として設定可能です。
     802.1X認証モジュールが現在サポートしているEAP 認証方式は以下のとおりです。
     • Authenticator：EAP-MD5、 EAP-TLS、EAP-TTLS、EAP-PEAP、EAPOTP（MD4/MD5）
     • Supplicant： EAP-MD5、EAP-OTP（MD4/MD5）
   • MACアドレスベース認証
     機器の送信元MACアドレスに基づいて機器単位で認証を行います。 Authenticator設定が可能です。
5. IPv6マルチキャスト

   IPv6マルチキャストルーティング機能として以下の機能をサポートします。

   • MLDv1
     MLDv1（RFC2710、Multicast Listener Discovery（MLD）for IPv6）をサポートします。 MLD（Multicast Listener Discovery：マルチキャスト受信者探索）は、LAN上のIPv6ルーターがIPv6ノードとメッセージを交換しあい、LAN上にどのマルチキャストグループの受信希望者（メンバー）がいるかを把握するためのプロトコルです。MLDは、IPv4におけるIGMPv2（Internet Group Management Protocol v2）と同等の機能です。
   • PIM
     PIM（Protocol Independent Multicast PIM-SM: draft-ietf-pim-sm-v2-new-05、PIM-DM: draft-ietf-pim-dm-new-v2-01）をサポートします。PIM（ProtocolIndependent Multicast）は、ユニキャスト用のルーティングプロトコル（EIGRPやOSPFなど）から独立（Independent）した、マルチキャスト用のルーティングプロトコルです。 PIMにはPIM-DM（Protocol Independent Multicast - Dense Mode）とPIM-SM（Protocol Independent Multicast - Sparse Mode）があり、本製品は両方をサポートしています。PIMの基本動作はIPv4と同じです。
6. MLDプロキシー

   本機能はホストからのMLDv1/v2パケットを上位のルーターに転送する機能です。

7. SNMPv3
   

   セキュリティーと遠隔管理方法について拡張されたSNMPv3をサポートします。

8. ファイアウォールセッション数の制限（リミットルール）

   ファイアウォールセッション数の制限が可能です。 本製品はファイアウォールセッションを作成する際、すべてのリミットルールをチェックし、もし、対象となる通信を行う端末のセッション数が超過する場合、新たなセッションを作成しません。

9. LAC（L2TP Access Concentrator）機能

   LAC（L2TP Access Concentrator）としての動作をサポートします。

10. 新規サポートコマンドの追加

    以下の機能に新規コマンドを追加しました。詳細はコマンドリファレンス（アライドテレシス社：http://www.allied-telesis.co.jp/support/list/router/ar415s/docs/index.html）を参照してください。

    • 運用・管理/記憶装置とファイルシステム
    • 運用・管理/ログ
    • 運用・管理/ターミナルサービス
    • インターフェース/ スイッチポート
    • PPP/PPPoE AC
    • IP
    • IPv6
    • IPマルチキャスト/IGMP
    • IPマルチキャスト/PIM
    • ファイアウォール
    • ファイアウォール/UPnP
    • VRRP
    • DHCPサーバー
    • L2TP
    • IPsec

下記のとおり機能追加、機能改善が行われました。