Ciscoのスレッド 0/11 [無断転載禁止]©2ch.net

1anonymous2017/03/24(金) 19:08:18.13ID:???
Ciscoのスレッドです。

前スレ
Ciscoのスレッド 0/9
http://hayabusa6.2ch.net/test/read.cgi/network/1383801715/
Ciscoのスレッド 0/10
http://hayabusa6.2ch.net/test/read.cgi/network/1451241638/

○関連スレ
↓アンチはこちら
アンチCisco スレッド2
http://pc11.2ch.net/test/read.cgi/network/1181951737/

↓基本的な質問はこちら
物凄い勢いで誰かが質問するスレ Port 17
http://pc11.2ch.net/test/read.cgi/network/1226849430/

○Ciscoオフィシャル
USサイト
http://www.cisco.com/
Bug Tool Kit
http://tools.cisco.com/Support/BugToolKit/
IOS Documentation
http://www.cisco.com/univercd/cc/td/doc/product/software/
Security Advisories
http://www.cisco.com/en/US/products/products_security_advisories_listing.html
JPサイト
http://www.cisco.com/jp/
テクニカルサポート
http://www.cisco.com/JP/support/customer/
日本語マニュアル
http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/

2anonymous2017/03/24(金) 19:09:28.90ID:???
ってことでギリギリ間に合った.

3anonymous2017/03/24(金) 19:12:51.51ID:???
乙です。
前スレ1年以上持ったんだな。

4a2017/03/24(金) 19:12:52.96ID:???
乙シスコ

5anonymous@218-251-8-174f1.hyg1.eonet.ne.jp2017/03/24(金) 19:40:11.59ID:???
乙です

前スレの>>999さんありがとうございます。
サイトの方を見てみたのですが、恐らくこの方法だと拠点ルーターはVLANに所属出来ないのでは無いでしょうか?

6anonymous@218-251-8-174f1.hyg1.eonet.ne.jp2017/03/24(金) 19:57:13.35ID:???
前スレの997です

7anonymous@218-251-8-174f1.hyg1.eonet.ne.jp2017/03/24(金) 20:03:13.65ID:???
前スレの997です。連投失礼します。 ※>>6は投稿ミスです

進展(後退?)があったので質問内容を改めます。
891FJを2台使ってxconnectを使ったブリッジ接続を試みています。
各ルーターのGE8同士を接続し、R1のVLAN1とR2のVLAN1をブリッジしています。
xconnectを設定したVLANインターフェイスはIPアドレスが持てない為、R1とR2ががVLAN1に非参加の状態になっています。
IRBを織り交ぜて設定する事でBVIにてVLAN1に参加させる方法を考えましたが、xconnectを設定しているインターフェイスではIRBが動作しないらしくBVIが利用できませんでした。
R1とR2をVLAN1に参加させる方法をご享受下さい。
よろしくお願いします。

8anonymous@KD182251252019.au-net.ne.jp2017/03/24(金) 20:04:07.43ID:???
スレ立て 乙シスコ

9anonymous@ns.fsk.gr.jp2017/03/26(日) 22:45:03.09ID:???
凄い適当なこと言います。
VLAN 2どうしでブリッジ接続し、GE0 を VLAN2、GE1 を VLAN1 に割り当てて
GE0 と GE1 を短い線でループさせるとか?

昔 2811 に HWIC-4ESW 2枚挿す時に、両カード間を物理的に繋ぐ必要があったことを思い出しまして。

10anonymous2017/03/29(水) 22:51:08.19ID:???
2960L って CPU が PowerPC じゃないんだね。
いつから ARM になったんだろ?

11anonymous@sp1-72-2-14.msc.spmode.ne.jp2017/03/30(木) 07:42:39.23ID:???
安価で性能高いし新しい。Linuxをプラットホームに作りなおした頃からじゃないかな。
なお、3650内部トレースが有効になっているみたいで、ログにワーニング吐きまくるバグに当たった…。

アライドもxシリーズはLinuxなんだよな。

12anonymous@182-166-196-235f1.hyg1.eonet.ne.jp2017/03/30(木) 11:32:20.49ID:???
>>9
物理ループバック接続以外でお願いします。

13ano2017/03/30(木) 21:10:18.46ID:???
JuniperだけFreeBSDで独自路線だな
PaloとかもLinuxだし

14anonymous@om126200112110.15.openmobile.ne.jp2017/03/30(木) 22:40:48.31ID:???
telnetの脆弱性騒いでる?
うちの現場は調査したけど、幸いインターネットに晒しているL2なくて良かったわ

15anonymous2017/04/01(土) 03:03:01.41ID:???
スイッチの野晒しは無いけど、ルーターがなー

16anonymous2017/04/01(土) 19:45:28.15ID:???
>>15
え?telnet晒してるの?

17anonymous@p1715039-omed01.osaka.ocn.ne.jp2017/04/05(水) 09:35:41.30ID:???
ASA、213日連続稼働させると止まるバグだってよ。またASAか…
http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64291.html

18anonymous2017/04/05(水) 20:41:54.15ID:???
>>17
んーありがと。ウチもヤバいとこだった。
週末に再起動します。

19YAMASA2017/04/11(火) 20:34:21.47ID:28uOJMN7
    +------------------サーバA(192.168.10.10)
    |
 [ ASA ](inside:192.168.10.1/24)
  |  
 (VPN) ※ 192.168.10.1と192.168.1.1でVPN
  |  
 [ RTX(1) ]
 | | | |(LAN1:192.168.1.1/24)
 | | | +--------------------パソコンA(192.168.1.10)
 | | |
 | | |(LAN2:192.168.2.1/24)
 | | +------------------------パソコンB(192.168.2.10)
 | | 
 |(VPN)
 | | 
 |[ RTX(2) ]
 |   |(LAN:192.168.5.1/24)
 |   |
 |   +------------------パソコンC(192.168.5.10)
(VPN)
 | 
 [ RTX(3) ]
 |(LAN:192.168.6.1/24)
 |
 +------------------パソコンD(192.168.6.10)

20YAMASA2017/04/11(火) 20:35:36.29ID:28uOJMN7
すみません、いきなりミス投稿してしまいました。

初Cisco(ASA)でヤマハとの違いに戸惑っています。
ヤマハでいう
ip route 192.168.1.0/24 gateway tunnel 1
に該当するコマンドって何でしょうか?

上記 >19 のような構成で各ネットワークは相互に通信できるようにしたいのです。


現状は
・通信可能
RTX(1)←→RTX(2) LAN1とLAN2両方
RTX(1)←→RTX(3) LAN1とLAN2両方
RTX(2)←→RTX(3)
RTX(1)←→ASA LAN1

・通信不可
RTX(1)←→ASA LAN2
RTX(2)←→ASA
RTX(3)←→ASA

ASAからRTX(1)LAN1に対してはVPNトンネルを張っているためか通信できます。
ASAでRTX(1)LAN2に対しては通信できず、TraceRouteを打つとインターネット側へ出て行ってしまうので
ASAのStaticRouteに192.168.2.0/24等へはVPNトンネルを使用するよう書けば良いのではと推測しているのですが・・・
根本的に間違っていたらすみません。

21混ぜるな危険2017/04/11(火) 22:21:59.37ID:???
>>20
必要なのはルーティングじゃなくて
crypt map map-name match address access-listコマンドと
access-listじゃない?

22anonymous2017/04/11(火) 23:14:53.21ID:???
ASAはルータとして使うのだと面倒くさい

23anonymous2017/04/12(水) 00:20:32.51ID:???
検証環境のACLとNAT設定で汚ねえASAを見ると鳥羽ものだな

24YAMASA2017/04/12(水) 04:33:28.72ID:acqoLg5+
>>21
ありがとうございます。crypto mapの方でしたか。

まだよくわかっていませんが調べて試してみます。

ありがとうございました。

25anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/12(水) 09:38:21.24ID:NZf8jO23
>>24
ipsecのみを使ったvpnの場合ならcrypt mapが原因の可能性もあるけど、ipsec over greなどでは関係ないだろうね。
vpnの方式も書いておいたほうが良かったね

26YAMASA2017/04/12(水) 18:52:55.48ID:iKgUZz4S
追加で質問です。

object-group network [DM_INLINE_NETWORK]
network-object object 192.168.1.0/24
network-object object 192.168.2.0/24

access-list [outside_cryptomap] extended permit ip 192.168.1.0 255.255.255.0 object-group [DM_INLINE_NETWORK]

crypto map [outside_map 1] match address [outside_cryptomap]

上記のように設定したところ、192.168.1.0/24と192.168.2.0/24のどちらか一方のみに繋がる状態となりました。
この「どちらか」に切り替わるタイミングが微妙で、VPNを切断した際など再接続時や、再接続でない時にも替わる場合があります。
同時に繋がる事はありません。
ただ、結局AccessList関連の記述がわからなかったためGUIを使用して設定したので不要な設定が入っている恐れはあります。
VPNはIPsecのみです。

27ospf2017/04/13(木) 00:19:57.64ID:???
>>26
Object group-based ACLs are not supported with IPsec.

http://www.cisco.com/c/en/us/td/docs/ios/sec_data_plane/configuration/guide/15_1/sec_data_plane_15_1_book/sec_object_group_acl.html#wp1132617

たぶんこれ。
現行バージョンでも引きずってるかは不明。

28YAMASA2017/04/13(木) 10:10:27.92ID:rpLwwSu9
>>27
グループ不可ってことは1本ずつVPNを張るとかってことですかね?
しかしながらVPN先のネットワークに更に別セグメントがある場合とか考えると何かしらルーティングする手段があると思ってしまうのですけど。
例えば下記機能で実現できるでしょうか?

トンネリングされたデフォルト ゲートウェイを使用した SSL VPN トラフィック ルーティングの設定例
http://www.cisco.com/cisco/web/support/JP/110/1108/1108681_ssl-tdg-config-example-00-j.html


route inside 0.0.0.0 0.0.0.0 192.168.1.1 tunneled
試しにコレを打ってみたいけど通信できなくなりそうで怖い。

29anon2017/04/13(木) 21:46:28.33ID:???
>>28
IPsecトンネルでIKEが何をやり取りしているかを考えれば
ルーティングで解決できる問題じゃないことがわかると思う

30ospf2017/04/14(金) 01:00:01.87ID:???
>>28
crypto map は seq 使って複数書ける(それが昔からの書き方)から、まずはそうしてみた上で、他にも問題があったらそれをシュートしてったほうが早い。
動かないってメーカが言ってることを実践して動かないって言ってても問題は解決しない。

31YAMASA2017/04/15(土) 12:09:17.66ID:???
承知しました。
まだseqは試せていないので月曜にやってみようと思います。

32YAMASA2017/04/18(火) 21:24:12.35ID:???
相変わらずハマっております...

まず、以下のようにaccess-list使用してみましたが繋がりませんでした。
access-list [outside_cryptomap] extended permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list [outside_cryptomap] extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0
crypto map [outside_map] 1 match address [vpn]
crypto map [outside_map] 1 set pfs
crypto map [outside_map] 1 set peer [RTX(1)のGlobal IP]
crypto map [outside_map] 1 set ikev1 transform-set [FirstSet]
crypto map [outside_map] 1 set reverse-route
crypto map [outside_map] interface [outside]
後はNAT Exemptionをそれぞれ設定しています。

この状態で「繋がらない状態のLAN2」からサーバAへPINGを打つと以下のログが出ます。
402116||IPSEC: Received an ESP packet (SPI= 0x506FBD9F, sequence number= 0x45B) from [RTX(1)のGlobal IP] (user= [RTX(1)のGlobal IP]) to [ASAのGlobal IP].
The decapsulated inner packet doesn't match the negotiated policy in the SA.
The packet specifies its destination as 192.168.10.10, its source as 192.168.2.10, and its protocol as icmp.
The SA specifies its local proxy as 192.168.10.0/255.255.255.0/ip/0 and its remote_proxy as 192.168.1.0/255.255.255.0/ip/0.

33YAMASA2017/04/18(火) 21:25:40.03ID:???
また、以下のようにseq変えて設定してもほぼ同じログが出ます。
access-list [outside_cryptomap_1] extended permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto map [outside_map] 1 match address [outside_cryptomap_1]
crypto map [outside_map] 1 set pfs
crypto map [outside_map] 1 set peer [RTX(1)のGlobal IP]
crypto map [outside_map] 1 set ikev1 transform-set [FirstSet]
crypto map [outside_map] 1 set reverse-route
crypto map [outside_map] interface [outside]

access-list [outside_cryptomap_2] extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0
crypto map [outside_map] 2 match address [outside_cryptomap_2]
crypto map [outside_map] 2 set pfs
crypto map [outside_map] 2 set peer [RTX(1)のGlobal IP]
crypto map [outside_map] 2 set ikev1 transform-set [FirstSet]
crypto map [outside_map] 2 set reverse-route
crypto map [outside_map] interface [outside]

402116||IPSEC: Received an ESP packet (SPI= 0x0C398269, sequence number= 0x36) from [RTX(1)のGlobal IP] (user= [RTX(1)のGlobal IP]) to [ASAのGlobal IP].
The decapsulated inner packet doesn't match the negotiated policy in the SA.
The packet specifies its destination as 192.168.10.10, its source as 192.168.2.10, and its protocol as icmp.
The SA specifies its local proxy as 192.168.10.0/255.255.255.0/ip/0 and its remote_proxy as 192.168.1.0/255.255.255.0/ip/0.

ログが言ってる事はなんとなく分かるのですが、それを解決する方法が検討も付きません...

34anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/19(水) 00:55:40.71ID:???
質問失礼します。
891FJと892Jでxconnectを行っております。
891FJのFa0と892JのFa8でのxconnectには成功するのですが。
891FJのVlan1と892JのFa8でのxconnectには失敗します。
設定もまったく同じでインターフェイスをFa0からVlan1に変えただけです。
原因がまったく思いつかず手詰まり状態です
ご助力お願いします。

35anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/19(水) 00:58:03.23ID:???
>>34の続き
■891FJのFa0と892JのFa8でのxconnectの設定■■■■■■■■■■■■■■■■■
--891FJ----------------------------------------
l2tp-class L2TP_CLASS-TEST

pseudowire-class PW_CLASS-TEST
encapsulation l2tpv3
protocol l2tpv3 L2TP_CLASS-TEST
ip local interface GigabitEthernet8

interface FastEthernet0
xconnect 10.0.0.2 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST
no shut

interface GigabitEthernet8
ip address 10.0.0.1 255.255.255.0
no shut

36anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/19(水) 00:58:28.81ID:???
>>35の続き
--892J-----------------------------------------
l2tp-class L2TP_CLASS-TEST

pseudowire-class PW_CLASS-TEST
encapsulation l2tpv3
protocol l2tpv3 L2TP_CLASS-TEST
ip local interface GigabitEthernet0

interface FastEthernet8
xconnect 10.0.0.1 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST
no shut

interface GigabitEthernet0
ip address 10.0.0.2 255.255.255.0
no shut

--sh l2tp tunnel allでのステータス--------------
891FJと892Jの両方で
Tunnel state is established, time since change **:**:**
と表示されます。

37anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/19(水) 00:59:26.16ID:???
>>36の続き
■891FJのVlan1と892JのFa8でのxconnectの設定■■■■■■■■■■■■■■■
--891FJ----------------------------------------
l2tp-class L2TP_CLASS-TEST

pseudowire-class PW_CLASS-TEST
encapsulation l2tpv3
protocol l2tpv3 L2TP_CLASS-TEST
ip local interface GigabitEthernet8

interface FastEthernet0
xconnect 10.0.0.2 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST
no shut

interface Vlan1
shut

interface GigabitEthernet8
ip address 10.0.0.1 255.255.255.0
no shut

38anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/19(水) 00:59:51.27ID:???
>>37の続き
--892J-----------------------------------------
l2tp-class L2TP_CLASS-TEST

pseudowire-class PW_CLASS-TEST
encapsulation l2tpv3
protocol l2tpv3 L2TP_CLASS-TEST
ip local interface GigabitEthernet0

interface FastEthernet8
shut

interface Vlan1
xconnect 10.0.0.1 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST
no shut

interface GigabitEthernet0
ip address 10.0.0.2 255.255.255.0
no shut

--sh l2tp tunnel allでのステータス--------------
891FJと892Jの両方で
Tunnel state is Est-No-User, time since change **:**:**
と表示されます。

39asa2017/04/19(水) 01:29:48.04ID:vXTtsBoZ
>>33
ASAとRTX(1)とACLが一致していない(完全ミラーになっていない)のではないでしょうか?
ASAではPhase2で192.168.10.0/24 と 192.168.1.0/24をProxyIDでネゴして出来たIPsec SAなのに
RTX(1)で192.168.2.0/24からの通信を暗号化してASAに送出してしまっているのでASAでエラーになっています。
RTX(1)でも192.168.1.0/24と192.168.2.0/24を分けてそれぞれで別々にSAが生成されるようになれば通信できるようになります。

40anonymous2017/04/19(水) 10:09:19.27ID:???
こんなとこで聞くよりciscoのforumで聞いた方がいんじゃね?

41YAMASA2017/04/19(水) 19:53:58.75ID:???
>>39
まず、現状をまとめると >>19-20 に加えて >>26 のRTX(1)LAN1・RTX(1)LAN2のどちらか一方のみに繋がる状態です。同時には通信できません。その切り替わりのタイミングは未だ不明です。
RTX(2)・RTX(3)・RTX(1)LAN1・RTX(1)LAN2 は相互通信可能です。
RTX(2)とRTX(3)は直接VPNを通していませんが、それでもRTX(1)を経由して相互に通信出来ています。

RTX(1)でそれぞれ別々にSAが生成...となると、ASAからRTX(1) LAN1、ASAからRTX(1) LAN2に加えて
ASAからRTX(2)、ASAからRTX(3)、と全てのVPNルータを繋げる必要があるメッシュ型なイメージでしょうか?
実際にはRTX(x)は他にもあるのでRTX(1)を中心としたスター型にしたいのですけど。
なんか調べれば調べるほどaccess-listに通信可能としたいIPを書いておけばOK みたいに見えるのですが...難しいですね

42ななし2017/04/20(木) 15:18:51.32ID:???
>>34
vlan1がupしてないとか?

43anonymous2017/04/21(金) 19:09:36.66ID:???
>>34
>891FJのVlan1
>>37 を見ると 891FJ の Vlan1 は shut って書いてあるね

>892JのFa8で
>>38 を見ると 892J の Fa8 にも shut って書いてあるね

さて

891FJ の Fa0 も Gi8 もルーターポート。
892J の Fa8 も Gi0 もルーターポート。

でもって、>>38 を見ると、Vlan1 を明示的に指定している物理ポートが無いが
相手ルーターとは Fa0〜Fa7 のスイッチポートのどれかで繋いでるの?
まさか shutdown 中の Fa8 に繋いでるんじゃないよね?

44anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/21(金) 22:06:54.23ID:???
>>42,43
ご指摘ありがとうございます。 どうやらテキスト編集の際にミスが有ったようです
>>37,38は誤りです、正しくは以下となります
■891FJのVlan1と892JのFa8でのxconnectの設定■■■■■■■■■■■■■■■
--891FJ----------------------------------------
l2tp-class L2TP_CLASS-TEST

pseudowire-class PW_CLASS-TEST
encapsulation l2tpv3
protocol l2tpv3 L2TP_CLASS-TEST
ip local interface GigabitEthernet8

interface FastEthernet0
shut

interface Vlan1
xconnect 10.0.0.2 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST
no shut

interface GigabitEthernet8
ip address 10.0.0.1 255.255.255.0
no shut

45anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/21(金) 22:08:27.01ID:???
>>44の続き
--892J-----------------------------------------
l2tp-class L2TP_CLASS-TEST

pseudowire-class PW_CLASS-TEST
encapsulation l2tpv3
protocol l2tpv3 L2TP_CLASS-TEST
ip local interface GigabitEthernet0

interface FastEthernet8
xconnect 10.0.0.1 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST
no shut

interface GigabitEthernet0
ip address 10.0.0.2 255.255.255.0
no shut

--sh l2tp tunnel allでのステータス--------------
891FJと892Jの両方で
Tunnel state is Est-No-User, time since change **:**:**
と表示されます。

46anonymous2017/04/21(金) 22:32:16.26ID:???
編集ミスにしちゃえらい違うようだが、気を取り直して

でもって、>>44 を見ると、Vlan1 を明示的に指定している物理ポートが無いが
相手ルーターとは Gi0〜Gi7 のスイッチポートのどれかで繋いでるの?
まさか shutdown 中の Fa0 に繋いでるんじゃないよね?

47anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/21(金) 22:50:23.89ID:???
>>46
失礼しました、端折り方が下手くそでした、補足情報です。

接続は以下のように行いました
PC1----(Gi0,VLAN1)891FJ(Gi8)----(Gi0)892J(Fa8)-----PC2

※891FJのGi0はスイッチポート。Gi8はルーテッドポートです。

891FJのVLAN1が正常にUPするように、Gi0をVLAN1に所属させ、PC1と接続しています。

48anonymous2017/04/22(土) 00:43:36.61ID:???
ルーターポートに設定した場合にしか機能しないんじゃない?
891FJ のデフォルト Vlan を 1 以外に再定義して、
サブインターフェイスGi8.1 を設けてそこに設定してみたら?

49anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/22(土) 07:05:51.61ID:IgmuDGuk
>>48
VLANでしかxconnectが機能しないということはありませんでした。
891FJを2台つなげてVLANに設定したxconnectが正常につながることを確認しています。
892Jのルーターポートと891FJのVLANによるxconnectでのみ接続できない状態です。

50anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/22(土) 07:08:57.93ID:IgmuDGuk
>>49
一部訂正です。

誤 : VLANでしかxconnectが機能しないということはありませんでした。

訂 : ルーターポートでしかxconnectが機能しないということはありませんでした。

51anonymous@ngn6-ppp460.tokyo.sannet.ne.jp2017/04/22(土) 10:17:38.05ID:x+YfdwnT
CISCO 891FJとnetscreen 25でIP-VPNつなげる事になったんだけどうまくいかない・・・
https://okwave.jp/qa/q6261430.html
↑に書いてある通りSSG側はルートベースじゃなくてポリシーベースで設定しないといけないのって
本当?

52anonymous2017/04/22(土) 10:49:35.40ID:???
手元に機材があるなら試せばいいんじゃね。

53anonymous2017/04/23(日) 01:02:07.54ID:???
>>50
あなた >>35-36 でルーターポート同士の接続ではうまくいって
>>37-38 で片方に Vlan を噛ませるとうまくいかないからって質問してるんじゃないの?

>訂 : ルーターポートでしかxconnectが機能しないということはありませんでした。
じゃあそのちゃんと機能した時の config はどうだったのよ
そうやってアドバイス受けるたびに重要な情報を小出しにしたり、あげくに全然違う
情報を出してきて今までの前提を覆したりしてると 誰も相手してくれなくなるよ

54anonymous@182-166-196-234f1.hyg1.eonet.ne.jp2017/04/23(日) 06:05:24.24ID:Z+iAJuKF
>>53
質問の内容はルーターポートに設定したxconnectとVLANに設定したxconnectで接続がうまく行かなくなる。
(ルーターポート同士、VLANポート同士ならうまく行く)
という物です。

訂正が混ざって読みづらくはなっていますが現状だせる情報は全て出しておりますし。

また、後半のご指摘に関してですが、>>48で出していただいたxconnect自身がVLANに設定しても動作しないのではないか、と言う意見に対して、>>49-50で動作確認済みとの返事を行なったものです。
特におかしな事は無いと思いますが。

55ななし2017/04/23(日) 09:38:43.55ID:???
>>51
ciscoがidだけを明示的に書けないんでうまくACLで乗せてやる感じ。

56anonymous2017/04/23(日) 10:17:52.33ID:???
Catalyst の IOS 、これまで使ったことなかったから興味本位でGUI使ってみたんだけど、
どのブラウザ使っても正常表示されず。サポート情報みてたらVistaまでって。

L2SWでGUI使う必要性もあんまりないけど、ちょっとした設定とか負荷状況みるだけなら
GUIがサポートされててもいいと思うんだけど、現行OSバージョンでも開発止まってるのは残念だな。

ちなみに使ってるのは IOS 15.2(2)E6 。

57anonymous2017/04/23(日) 18:55:37.30ID:???
GUIはerr-disableをすぐ見つけたい時くらいしか使わん。
ASAもAironetも含めCiscoのGUIはクソ。
Merakiは良いけど。

58anonymous2017/04/24(月) 01:20:24.58ID:???
>>56
SNMP叩けばいいじゃん
負荷見るだけなら

59anonymous2017/04/25(火) 00:12:54.59ID:???
>>58
まあそうなんだけど、ぱっとOIDでてこないときもあるしね。

60anonymous2017/04/28(金) 13:20:08.08ID:gdl6XY9w
Cisco8.3以前しか使ってなかったけど、久しぶりに触ったら構文変わってんのね。

ちょい質問なんですけど、下のnatの設定をしたいんだが、
8.3以降だとなんかobject-network?みたいなやつやらなあかんのですか?
※アクセスリスト以外を許可する設定。
----------------------------------------------
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
----------------------------------------------

61anonymous2017/04/28(金) 21:09:04.10ID:???
昔の構文で入力すればおk。
内部で変換して今様な形式にしてくれる。

62anonymous2017/04/29(土) 23:10:25.91ID:???
>>60
PIX とか ASA の奴? ルーターと流儀違うのでよくわかんないや

63anonymous2017/05/04(木) 18:39:27.75ID:???
ものすごい今更なんだが↓みたいな構成で

PC---0/1 Catalyst 0/2---サーバ

PCからサーバにあるデータをダウンロードしたとき、show interface の結果は
0/1 の input が増えて 0/2 の output が増えるものと思っていたんだけど、逆なんだな。
(受信が input で 送出が output だと思ってた)

ouput は外からのパケット受信、input は内側からのパケット受信って理解すればいいのか。

64anonymous2017/05/04(木) 19:02:19.99ID:dS3v/mN1
>>63
いや、普通に各ポート視点でパケットが受信されてるのか送信してるのかで
考えればいいだけじゃないん

65anonymous2017/05/04(木) 19:50:21.56ID:???
>>63
catalystの気持ちになって考えれば至極当然の結果

66またベンダ2017/05/04(木) 20:04:18.90ID:???
(いや、データの元先がごっちゃになってないか?)
ちなみにパケット数は余り変わらないはず。

67anonymous2017/05/04(木) 20:21:30.07ID:???
>>63
むしろお前のような解釈する奴がいることに驚く。

68anonymous2017/05/04(木) 20:32:38.97ID:???
>>63
なんでみんなレスしてるんだろうと思ったら
最後まで間違っとるやんけw

69anonymous2017/05/04(木) 23:32:59.93ID:???
>>65
これわかりやすい言い方だね

70anonymous2017/05/05(金) 00:04:05.86ID:???
>>69
>>64と同じこと言ってるだけだが

71anonymous@218-251-55-249f1.hyg1.eonet.ne.jp2017/05/06(土) 00:10:09.47ID:aMVNU4mP
>>63
最後まで間違えてて可愛い

72anonymous2017/05/06(土) 11:15:22.22ID:???
63です。

皆さんの書き込みを見て、壮大な勘違いをしてたことに気付きました。
(Catalyst でなく完全にPC、サーバ視点で考えてた)

言われているように、Catalyst視点で考えれば当たり前の結果でした。
スッキリ。

73またベンダ2017/05/06(土) 12:35:02.20ID:???
ここまでではないにせよ、一人とかトレーニーと一緒に検証やってると、
たまにログの読み方が間違いで、何時間って無駄にすることはある。
一人で考え込むとよくある話?

74anonymous2017/05/06(土) 13:14:01.03ID:???
よくある人にはよくある。

75anonymous@tyoidc5-dmz-wsa-2.cisco.com2017/05/23(火) 17:18:45.05ID:Xg8eDv4f
test

76anonymous2017/06/04(日) 01:56:10.95ID:???
中の人降臨? おつ

77anonymous2017/06/04(日) 09:18:27.71ID:???
dmzだから?ゲストエリアとかあるのかな?

78anonymous2017/06/04(日) 10:09:09.13ID:???
>>77
DMZにWSAおいてるんでしょ。

79a2017/06/04(日) 11:47:57.48ID:???
シスコ行くとMerakiのゲストネットワーク用意されてるよ

80anonymous@p1145144-omed01.tokyo.ocn.ne.jp2017/06/06(火) 15:39:47.77ID:???
秋葉原 美の邸
ここのゲストwi-fiがメラキだった

81anonymous@fusianasan2017/07/14(金) 01:33:48.32ID:???
>>56
GUIって「ありますよ(一応)」って言うためだけに実装してるのが実情
なんか問題有っても「未対応なんでCLIでお願いします」って言うのがテンプレ
そもそもCiscoのGUIで扱いやすいものって基本的に無い(作る気もない)

82anonymous2017/07/14(金) 10:01:10.23ID:???
ASAだとわりとGUI使わせたがったりして。

83anonymous2017/07/14(金) 15:40:58.73ID:???
>>81
やっぱりそういうものか。
GUI使って設定してる人も見たことないし。

しょっちゅう使ってればいいんだけど、
久々に触ろうかっていうときにCLIはわかりにくいから、
GUIにも力入れてくれればいいんだけど、少数派だろうか。

他の機器でも、込み入った設定するならCLIで、
ちょっとした設定変更ぐらいならGUIが楽だから。

84anonymous@fusianasan2017/07/15(土) 02:08:24.12ID:???
C社のNW機器でGUIが扱いやすいものって殆ど無いんじゃないかな、ACI含め
買収したとこのUC系製品は多少あるかもだけど

85anonymous2017/07/18(火) 18:52:42.39ID:???
ASAのASDMはマジでクソだよ。。
メラキのSEがCisco全般のGUI担当して欲しいよ。

86onanymous2017/07/19(水) 22:47:31.89ID:???
>>83
すでにある人的資産のこと考えると、GUIに力入れても使ってもらえないケースが多いんだから
そんなところにリソースを割かないのは正常なんじゃないのかな?

競合他社がcisco倒すためにGUIで勝負するなら、それはそれで有りだと思うが

87anonymous2017/08/25(金) 16:11:06.45ID:???
お買い得? 情報
C841M-4X-JSEC/K9 半年保障の中古 10,000円(税別/送料別)
http://www.itproduct.jp/info_C841M-4X-JSEC

88anonymous2017/08/26(土) 03:53:19.04ID:???
>>87
それより新品のこっちの方がいい
https://nttxstore.jp/_II_QZX0014250

それにしても841Mの後継機種なかなか出ないな

89anonymous@fusianasan2017/08/27(日) 15:52:14.44ID:+wpxMcVO
841Mが売れてないから??

90anonymous@fusianasan2017/08/29(火) 18:05:33.48ID:???
SM9FCSC4M001というIOSが入っている旨のPCカード見つけたんですが
PCカードを挿せるCISCO実機がなく、古いノートPCで見ようと
ドライバを探すもネット上に落ちていませんでした。
どなたかご存じないでしょうか?

91anonymous@fusianasan2017/08/30(水) 09:28:48.86ID:???
>>90
今更見ても意味無いゴミと思うんだけど。
AMDフラッシュカードAm29F016でいけるみたいだよ。
Linuxのlive CDとかで読んでみるのも良いかも。

92anonymous@fusianasan2017/08/31(木) 21:16:33.08ID:/6i7KHnG
>>89 知名度はあっても、国内の10万円以下ルーターは圧倒的な大差でYamahaが売れてるからだと思う

93anonymous2017/09/01(金) 01:18:48.37ID:???
Yamahaはファームウェアも落とし放題だしなぁ

94anonymous@fusianasan2017/09/01(金) 01:28:22.99ID:???
エンプラ向け10万以下だと、俺の回りはixの方が多いんだけどな。
ヤマハってどこで使われてるん?

95anonymous@fusianasan2017/09/01(金) 06:42:06.10ID:???
>>94
一般的な民間やコンビニじゃない?
自分の知る限り、上水は比較的に多い気がする。安価だから。
IXはどうだろう、特定の業者しか選択しない様な。

96anonymous2017/09/01(金) 10:27:57.12ID:yqHwO2+F
19インチラックへの収まりが悪いのも有るんじゃね
YamahaとかNECって、ラックサイズの1/2とか1/3にして
横2台・3台ぴったり収まるじゃん

奥行小さくする前に横幅なんとかしろと・・・

97くぱぁ2017/09/01(金) 19:21:59.22ID:???
>>95
NEC関係者はファーストチョイスだろうけど
零細小企業だと「とりあえずYamaha」なイメージはあるな
さすがに「おめーらバッファローでも使ってろ」とは口に出せないし

98anonymous@fusianasan2017/09/01(金) 20:38:06.82ID:???
>>97
でも、値段は変わらなくて性能がIXのがいいんだよな
もったいない

99anonymous2017/09/01(金) 21:57:00.83ID:rGC8TcId
このクラス(Yamaha/NEC/Cisco)で性能って気にするもんなのか?
接続先のVPNが癖のあるFWだとそれに合わせられるルーターが必要ってのはたまに聞くが
やれスループットがどうたら、NATPセッション数がどうたら なんての要求されるか?

100anonymous2017/09/01(金) 22:03:38.78ID:???
せっかく線が1GbpsだからNW装置でボトルネックになるともったいないよね。
みたいな貧乏性。

新着レスの表示
レスを投稿する