NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
レス数が1000を超えています。これ以上書き込みはできません。
ZOOT NATIVE固定の設定でipv6 interface-identifierでハマった。
00:00:00:00:00:00:fe:edで接続できた。
ちなみにIPv4インターネットにのみ接続する場合は、IX2025でも可。 >>993
Part10
のEO多機能ルーターの接続(IPV6)ですが、
IPV6機能を利用するためには(EO動作検証済み構成)、
EO多機能ルーターをブリッジには出来るが、光電話の利用は出来なくなる。
EO多機能ルーターのブリッジにすると、多機能ルーターのIPは半固定にて運用し、
配下のルーターにて、PPPOEセッションと、IPV6接続設定をする。
EO多機能ルーターをデフォルトのままですと、
EO多機能ルーター側にて、PPPOEセッションを張らない場合、PPPOEブリッジを有効に
なっていますので、配下ルーターにてPPPOEセッションを張る。
IPV6通信については、EO多機能ルーター側にて光電話機能を利用し、DHCPv6-PD
を利用するので、配下ルーターへはRAプレフィックスの配信をされる。
よって、配下のIXルーターのWAN側のIPV6アドレスの取得方法は、
PPPOEセッション(GE0.1)、IPV6ブリッジ若しくはND-Proxy(GE0.0)
が可能と思われますが、ND-Proxyですと、余計なセキュリティポリシーが動作するので、
出来ればブリッジの方がスムースかと。
EOサイトでは、多機能ルーターの併用をIPV6の利用条件になっている。 すでに51℃とかいってた
泣きながらUSBファン置いた
2215死ぬな >>5
IXは熱に強いイメージがあるけど、劣化しそうで心配だよね。 古い木造二階建ての二階、普段は人のいない部屋に設置してると
(クーラーかけないので冷えないから)夏場は簡単に45℃超えそうなんだよね
おかげで2215には常時USBファンの風をあてなきゃならん
2106買ったらマシになるかな IPsecVPN についての質問です。
(1) v6プラス+---GE0(ix2106)GE1---PC1
ix2106 (configの一部)
ip route 192.168.1.0/24 Tunnel1.0
interface GigaEthernet1.0
ip address 192.168.0.254/24
interface Tunnel1.0
ip unnumbered GigaEthernet1.0
(2) PPPoE+------GE0(ix2105)GE1---PC2
ix2105
ip route 192.168.0.0/24 Tunnel1.0
interface GigaEthernet1.0
ip address 192.168.1.254/24
interface Tunnel1.0
ip unnumbered GigaEthernet1.0
上記のような2拠点をIPsecVPNでつないでいます。
ike SA, IPsec SA, tunnel status などはチェック済みで
PC1から192.168.1.254にはpingが届きます
しかし、そこからPC2へのpingが通らずに困っています。
ix2105からPC2へのpingは通ります。
なにか見落としていることがあるのでしょうか 見落としてるとしたらここはVPNの質問スレではないって事かな
どうせ後出しで揉めるんだからコンフィグ全部張りなよ >>9のConfigです。すこし長くなりますが、まずはix2106(固定IP)側から
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip route 192.168.1.0/24 Tunnel1.0
ip dhcp enable
ip access-list web-http-acl permit ip src any dest 192.168.0.254/32
ip access-list web_vpnlist permit ip src any dest any
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list web-permit-list permit udp src any sport any dest any dport eq 546
ipv6 access-list web-permit-list permit udp src any sport any dest any dport eq 547
ipv6 access-list web-permit-list permit icmp src any dest any
ipv6 access-list web-permit-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access permit-list
ike nat-traversal
ike proposal web_vpn2ikeprop encryption aes-256 hash sha2-256 group 2048-bit
ike policy web_vpn2ikepolicy peer any key **************** mode aggressive web_vpn2ikeprop
ike remote-id web_vpn2ikepolicy fqdn satellite1
ipsec autokey-proposal web_vpn2secprop esp-aes-256 esp-sha2-256
ipsec dynamic-map web_vpn2secpolicy web_vpnlist web_vpn2secprop ike-binding web_vpn2ikepolicy
ipsec remote-id web_vpn2secpolicy 192.168.1.0/24
proxy-dns ip enable
proxy-dns ip request both
ddns enable ip dhcp profile lan100
assignable-range 192.168.1.2 192.168.1.250
default-gateway 192.168.1.254
dns-server 192.168.1.254
lease-time 7200
ip dhcp profile web-dhcp-gigaethernet1.0
dns-server 192.168.0.254
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
ddns profile v6plus-update
url http://***.******.ne.jp/
query user=**********&pass=********
transport ipv6
source-interface GigaEthernet1.0
update-interval 10
interface GigaEthernet0.0
no ip address
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 udp 4500
ipv6 enable
ipv6 autoselect enable
ipv6 autoselect ra-delay 0
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
ipv6 filter web-permit-list 51 in
ipv6 filter block-list 200 in
ipv6 filter web-permit-list 51 out
ipv6 filter dflt-list 200 out no shutdown
interface GigaEthernet1.0
ip address 192.168.0.254/24
ipv6 enable
ipv6 interface-identifier **:**:**:**:**:**:**:**
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination xxxx:xxxx:xxxx:xxxx::xx
tunnel source GigaEthernet1.0
ip address xxx.xxx.xxx.xxx/32
ip tcp adjust-mss auto
ip napt enable
ip napt static Tunnel0.0 50
ip napt static Tunnel0.0 udp 500
ip napt static Tunnel0.0 udp 4500
no shutdown
interface Tunnel1.0
description testVPN
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn2secpolicy out
no shutdown >>9次にix2105(動的IP)側
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.0.0/24 Tunnel0.0
ip dhcp enable
ip access-list web-http-acl permit ip src any dest 192.168.1.254/32
ip access-list web_vpnlist permit ip src any dest any
arp auto-refresh
ike nat-traversal
ike proposal web_vpn1ikeprop encryption aes-256 hash sha2-256 group 2048-bit
ike policy web_vpn1ikepolicy peer ***.***.***.*** key **************** mode aggressive web_vpn1ikeprop
ike keepalive web_vpn1ikepolicy 30 6
ike local-id web_vpn1ikepolicy fqdn satellite1
ike suppress-dangling web_vpn1ikepolicy
ipsec autokey-proposal web_vpn1secprop esp-aes-256 esp-sha2-256
ipsec autokey-map web_vpn1secpolicy web_vpnlist peer ***.***.***.*** web_vpn1secprop
ipsec local-id web_vpn1secpolicy 192.168.1.0/24
proxy-dns ip enable
proxy-dns interface GigaEthernet0.1 priority 254
ppp profile web-ppp-gigaethernet0.1
authentication myname ********@*************.ne.jp
authentication password ********@*************.ne.jp ********
ip dhcp profile lan100
assignable-range 192.168.1.2 192.168.1.250
default-gateway 192.168.1.254
dns-server 192.168.1.254
lease-time 7200
interface GigaEthernet0.0
no ip address
shutdown interface GigaEthernet1.0
description LAN1
ip address 192.168.1.254/24
ip dhcp binding lan100
linkmgr enable
no shutdown
interface GigaEthernet0.1
description WAN1
encapsulation pppoe
auto-connect
ppp binding web-ppp-gigaethernet0.1
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt hairpinning
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
no shutdown
interface Tunnel0.0
description testVPN
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn1secpolicy out
no shutdown 長くて失礼しました。
このような状況で、各ルーターのGE1に接続したPCからは対抗側ルーターへ
pingが通るのですが、PC→対抗側のPCや、ルーター→対抗側のPCへのpingは
タイムアウトになります
トンネル(testVPN) は「接続」状態となっています。
ix2106 のルーティングテーブルをみると、192.168.1.0/24 is directly connected,,Tunnel1.0
ix2105 のルーティングテーブルをみると、192.168.0.0/24 is directly connected,Tunnel0.0
という感じです。
参りました。見当がつく方いらっしゃいますか >>9の件、自己解決しましたので報告します
結局>>11のアドバイスが正解でした。
テストに使用した端末Windows,NASのファイアウォールでICMP遮断されてました…
両方のLAN側にラズパイやネットワークプリンタなどをぶら下げてフルメッシュで
PING打ちまくったところ、前回のテストに使用した端末「だけ」がFWで遮断されて
いたというとほほな結末
そういえば、昨今ロシア情勢の影響で、KasperskyをやめてWindowsファイアウォール
にしたので、OS純正のFWルールをつぶさに見たのは今回が初めてでした
Windowsファイアウォールに対抗側のLANサブネットのICMP受信許可でOKでした
NASも似たような感じ
お騒がせして申し訳ない >>19
IPSECトンネル・アグレッシブモード運用の件ですが、CLIコマンドを見ましたが、
IXルーターの場合ですが、SAの定期更新に見に行かないので、
ネットワークモニターなどの運用にて、SA更新等のモニタリングを設定された方が良いかと思いますが。
設定例(IX2105)
watch-group watch-VPN 10
event 10 ip unreach-host 192.168.0.254 Tunnel0.0 source GigaEthernet1.0
action 10 ipsec clear-sa Tunnel0.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor watch-VPN enable >>19
それと、IX2106側のGE1.0側にIPV6-IPOE用のFQDNアドレスが付帯されている
かと思いますが、IX2105側のGE0.0、若しくはGE1.0側にNTTの閉域網アドレス
(IPV6-FQDN)が取得出来る環境(フレッツV6オプション)でしたら、
IPV6-IPSECのメインモードの接続も可能かと思います。
その際には、Netmeister-DDNSの監視機能にて、
IX2106のGE1.0と、IX2105のGE0.0、若しくはGE1.0間にてNetmeister-DDNS同士の
接続も可能かと思います。 ありがとうございます
ご指摘を踏まえ、改善を進めたいと思います IX2215,2105等の新しいファームウェアアップデート来てるね
4. 不具合修正
-------------
[1] Biglobe IPv6オプション、OCNバーチャルコネクト(動的IP)回線接続時、IPv4
通信ができない場合がある問題を修正しました。本問題は払い出させれる
MAPルールに依存します。
本問題はVer10.2.16版以降で発生します。 IX2105からIX2215に機種変更してみたら
Speedtestで普通に880Mbpsくらい出るようになった。
2105は600Mbps辺りがハードの限界。 >>25
やっぱり性能に余裕がある方が早いんですね。
うちも替えるかな >>26
ヤフオクにて送料込み8000円くらいで購入できるので
お遊びで利用するにはとても面白いです。
LAN機器も多数つなげられるので、ゲーム機を多く持ってる人は全て有線化が出来る。
IX2105からのコマンド変更点もinterface GigaEthernet1.0から2.0に変えるくらいで動く。
ip napt translation max-entries 250000まで設定で切るのも(・∀・)イイ!
難点はIX2105から縦、横共に2倍くらい大きい、
FPSゲームでの体感は全く変わらない。
室温23度くらいの場所で稼働させておいても、あっという間に内部温度50度超えするので
問題なく動作はしてるのだけどちょっと心配ってのはある。 FQDNアドレスってなんぞ
DQNアドレスに空目した 自宅で楽天ひかり、IX2215を利用中。
ルーターを通るパケットの通信元・通信先・ポートを簡単に一覧で見る方法ないですか。
show ip napt translation の結果の画面が理想です。
これに、naptを使わないipv4や、ipv6も、udpも含めて見たいです。
show ip ufs-cache verbose と show ipv6 ufs-cache verbose だと、
見づらいので、ほかの方法ご存じの方、教えてください。 >>29
使ったことないけど、IX的にはそういうのはsFlow使えってことじゃないかな
ルータ単体では済ませられないけど map-e で、getting rule でエラーが続くことがあるけど、たまたま? 光が100Mの環境で、IX2025からIX2105にかえたら、気持ち速くなった。 IX2105 横置きで対して仕事させてないけど47度あるんだが
みんな対策してます? とりあえずゴム足が症もないものがついてたんで
ゴム足を背の高いものに変えるか考えます 仕様からみるに環境温度50℃まで対応なんだろうから、内部温度47とかヘーキヘーキ おま環かもしれないけど、
IX2215使ってNGN網VPNで2拠点を繋いでるんだけど、夏になって暑くなりだすといつの間にか勝手にリブートしてる
稼働時間見ると1日1回はリブートしてる(大体室温26℃で内部温度43℃位で使用してる環境)
ハードウェアの諸元見ると、使用条件温度:0℃〜45℃となってるんだけどね
試しに筐体の横から、自作PC用の12cm角の静音FAN×2台を当ててやるようにしたら、勝手に再起動はなくなったよ
おま環かもしれないけどね IX2207を空調のない拠点に設置したことがあったけど、内部温度65度になってもびくともせず夏を乗り越えてたな
状況はそれぞれだろうけど... 使用条件の45℃って周囲温度なので、内部温度は70℃くらいまでは大丈夫たろ。知らんけど。 >>36
我が家の2215も兄・姉の家とNGNVPN繋ぎで運用してるけど今内部温度見たら60℃になってたわ…
今の所問題なく動いてるけど流石に真剣に熱対策しなきゃと思ってる Azureの拠点間VPN接続を試してみたくてIX2105を買った!
コマンドラインはよくわからない...
GUI設定でPPPoE接続設定、AzureのVPN接続設定すればいけるよね?
設定の参考になる良いサイトなどあれば教えて欲しい。
お願いいたします。 何だかんだでNEC公式のドキュメント読むしかないよ
コマンドリファレンスと設定例のPDFだけで何とかはなるし、
これで何ともならんのなら扱うのおそらく無理 IS2215のローカル側に
・WindowsPC5台
・無線LANルーターをブリッジモードでぶら下げて
(そのWifiにスマホのAndroid端末が12台くらいとiphone1台、ipad1台がぶら下がっています。)
全ての端末には、IS2215のDHCPv4サーバ機能使ってIPを割り振っています。
起動して数日するとWindowsPCいがいの端末のうち数台が不定期でインターネットに接続できない状態になり、
・問題の端末を再起動してもダメ
・無線LANルーター(ブリッジモード)本体を再起動してもダメ
・ISを再起動すると繋がるようになります。
PCでは同じようにぶら下がっているWindowsPCでは一度も問題が出ていません。
調べましたが、IPのコンフリクトは起きていません。
数日おきに不定期で発生しますが、一体どんな原因が考えられるでしょうか?
もしくは、
IS2215の再起動でなおるので、定期的な再起動でも問題ないのですが指定時間や、指定間隔毎にISを再起動させる設定ってありますでしょうか? ↑
すみません。
ISじゃなく、IXの間違いです。 IPの払い出しの範囲が狭すぎて枯渇してるとかでは? >>43
記載された情報を整理すると、
※wifiルーター配下の機器のみに異常がでる
※wifiルーター再起動で改善せず
※ix2215再起動で改善
ということであれば、ハード面で考えられるのは
※ix2215 GE2のwifiルーター刺さってるポートにトラブルが発生してる可能性
GE2側を通常のsw-hubとして運用されてるのであればwifiルーター刺さってるのを別のポートに挿して様子をみてみる
改善しなければsh tecコマンドで原因見つけ出す
て流れになりますかね
そうなると>>45の可能性も十分考えられると思います >>46
かなりのど素人な私はNAPTテーブル枯渇かと思ったけど
2215もファームが古いと、デフォルトエントリー数が少ないし 試しにスマホのmacアドレスランダム化を解除してみては。
先に確定させたいなら、DHCP配布リストのmacとスマホが通信できなくなったタイミングでのランダム化macが一致している事の確認 arp auto-refresh してなかったらしてみれ。
あてずっぽうだけど。 >>47
NAPTテーブル溢れの線は薄いかなぁと
※初期の2215のNAPTテーブル保持数は65535(現ファームでは25万)なので、20台弱(うちPCが5台)の利用規模であれば古いファームでも十分捌けそう
※仮にテーブル溢れだとしたらスマホに限らずPC含め全体に症状が出ると考えるのが自然
※2215の機能で仮にスマホipadを指定してテーブル上限を厳しく指定していて溢れた場合も症状は全く繋がらないというのではなく、繋がったり繋がらなかったり、webサイトの表示がおかしかったりという症状になる
以上のことからハードウェア要因を除外すれば私もDHCP絡みの線からまずは調べていくと思います >>47
よく見てなかった申し訳ない
不定期に繋がらなくなるという症状なので、症状が出る数台というのが毎回同じ端末というのであれば端末ごとに上限テーブル数を設定してあってそれから溢れてるという線も残りますね >>43
モバイル側のプライベートWI-FIアドレスの問題ですと、
モバイル側にて、同機能を無効化、IPアドレストラッキング機能の無効化、
Safari側のトラッキング機能の無効化、
あと、無線ルーター側ですが、モバイル側の仕様変更にて、
従来型の暗号化レベルですと、DNSトラッキング機能を設けている状況ですので、
出来れば、WPA3-SAEの対応モードにされた方が良いかと思います。
MACアドレスがらみの問題のケースが濃厚ですが、IXルーターに限らず、
業務系ルーターは、MACアドレスにてIPアドレス制御をさせているので、
MACアドレス周りをご確認頂く形になります。
あと、端末台数が多い形にですと、MACアドレスでのDHCPサーバ制御の部分が
御座いますので、IXルーターから見てスイッチ系のカスケードが多い、またそのカスケードの
遅延の問題でIPアドレスのリクエスト処理に問題が有る場合には、
無線ルーター側をブリッジモードでは無く、ルーターモードにして、
無線ルーター側のDHCPを運用し、IXルーターへの接続は、WAN側固定IPの設定を
することで、DHCPの遅延は回避出来る部分が御座います。
例 IXルーター(192.168.1.1/24、DHCP192.168.1.2〜192.168.1.100)
無線ルーターWAN側IP(192.168.1.254/24、デフォルトゲート192.168.1.1、DNS192.168.1.1)
無線ルータープライべートIP(192.168.2.1/24、DHCP192.168.2.2〜192.168.2.100)
↑ IXルーターから、無線ルーターのLAN側に接続している機器へのアクセスを考慮する場合には、
IXルーター側にLAN側ルーティング設定を確認して頂ければ、おそらくは大丈夫かと。
例 ip route 192.168.2.0/24 192.168.1.254 ほぼ常時接続のWindowsは問題なくて、スマホだけでしょ
しかも最初は大丈夫で時間経てば…だから
個人的には十中八九はDHCPのIP払い出しの枯渇だと思うんだよな ランダムMACって一旦登録されたら
そんな頻繁に変わらん気がするんだけどなぁ
ウチはスマホ30台くらいでランダムMAC処理させてるけど特に問題出てないよ
実際 端末管理で接続状態見てみると分かる
コロコロ変わるならその都度項目増える筈
DHCPの範囲指定とリースタイムの設定くらいじゃない? 無線LANブリッジのDHCPがONになってたりして >>56
多分それだと無線LAN再起動した時点で一時的でも治るはず ヤフオク、IX2105安くなったね。送料別で3,000円前後で手に入れられる。
map-eにも対応しているしコスパいいかも。 2105はサポート期限(ファームウェアの保守期限)が分からんのが不安要因かな
正規代理店から購入していれば案内があるんかね
仮に製品販売終了(2019/9)後5年だと2024年、10年だと2029年までだけど、ネットワーク保守ライセンスの説明に以下の断り書きがあるのよね(なので5年かな)
まあ3000円で後2年間使えれば上出来とも言えるが
> なお、ネットワーク保守ライセンスの種別(サポート期間)、サポート対象機器のお客様ご購入日の如何にかかわらず、NECがその機種の新規受注を終了していた場合、NECの当該機種受注停止日から5年を超えて以降のサポートサービスは受けられません。 皆さま色々とご参考になるような情報を有難う御座います。
ファームは最新の10.6.64を使用しています。
全端末20台位に対して、DHCPv4のIPの払い出しの範囲は、100程度払い出す設定を行っています。
(本件とは関係ないですが参考までに、DHCP払い出しIPの範囲外のIPアドレスを固定でプリンタ数台で使用しています。)
また無線LANブリッジのDHCPサーバ機能は間違いなくOFFに設定しております。
ぶら下がってるスマホは、default設定のままなのでmacアドレスランダム化がほぼ有効な状態だと思われます。
ほとんどのwifiクライアント端末は、wifi圏内に入ったり、圏外に出たりと一日のうちに何度も繰り返しておりますので、
ご指摘通り端末側のmacアドレスランダム化により、IXはその都度異なるアドレスを払い出してしまっていて、IPが枯渇状況するという
状態になっているというのも、確かに一つの原因として考えられます。
しかしインターネットに接続できなくなるスマホの状態を端末側から確認すると、IX払い出しの範囲でIPをしっかり取得できているケースの方が多く、
それでもインターネットに繋がらないという場合も多いので、何か別の原因もあるのではないかとも推定されます。
(IXは、IPを払い出し先のmacアドレスを記憶していて、該当mac以外からは通信を遮断するなんてことはないと思われるので)
DHCPの範囲指定をもう少し広く、リースタイムの設定短く設定し、再現頻度を確かめてみたいと思います。 Androidスマホなら "Ping & Net" てアプリがGoogle Play Storeで公開されてるから(Ulf Dittmerさん作)、
自分のや数人協力者を募ってスマホに入れておいて、
繋がらなくなった時にスマホ自体のWi-FiインターフェイスのIPアドレスや、ルータ、Wi-Fi APへpingが通るかとか確認してみたら?
あとDHCPを疑うならIXのDHCPのログレベルを上げるとか(bufferサイズも調整が必要かも) 通信出来なくなる要因で他に思いついたのはtransixなんかのポート数不足もあるかもな
ポート数使いすぎて解放されるまでデータ流れなくなる(pppoeだとその制限は無い) >63
発生時 "Ping & Net"アプリを試してみたいと思います。
>64
おっしゃる通りIPoEならあり得そうですよね、しかし当方の環境はpppoeでした。
DHCP関連の問題以外にも、もしかしたら何らかの関係しているのかなと思う要素がふと思い浮かんだのですが、
ぶら下がってるスマホのうち推定2、3台がスマホゲームを頻度高くやっている可能性が想定されます。
(ゲームは疎くて全くわからなく、なんの根拠もないのですがただなんとなく。)
ただ全体に影響る訳ではなく、不特定のスマホに症状が出る事(PCに影響なし)を考えるとNAPTテーブル溢れも考えずらいですし、
やはりスマホゲームは、関係ないでしょうかね。 PrimeVideoがiPadで見れなくなって調べたらランダムMacが原因だった事が有るよ プロの方々、どうか教えて下さいませ。
夜なべしまくって何とかipsecのL2接続まで達成出来たんだが、A拠点側(固定IP)からインタ-ネット側へ出ていきたいです。
interface GigaEthernet0.1の「ip filter flt-list1 1 in」を削除したら、拠点A側と拠点B側からA側の固定IPを通してインタ-ネット側へ出ていけます。
この「ip filter flt-list1 1 in」は、設定事例集の18.2で書かれているコンフィグで、単純に削除するだけでイイでしょうか?? それかaccess-listの書き方が根本的に間違えていますか??
設定事例集の18.1と18.2と実機演習資料(初級編)の「演習3 PPPoE回線での レイヤ2VPN」を参考にしています。
【環境】 拠点A(固定IP)-----ipsec----拠点B(動的IP) です。
それと、動的IP---ipsec----動的IP な組み合わせは無理ですよね?? 安い固定IPだとインタ-リンクですが、なんせ回線速度が出ないイメ-ジしかないwww 安いけど ***********ix2215 拠点A(固定ip側) 1/2***********
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.101.0/24 Tunnel2.0
ip dhcp enable
ip access-list flt-list1 permit 50 src any dest 111.222.333.444/32
ip access-list flt-list1 permit udp src any sport eq 500 dest 111.222.333.444/32 dport anyip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha lifetime 3600
!
ike policy ike-policy peer any key 事前共有鍵 mode aggressive ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec dynamic-map ipsec-policy sec-list ipsec-prop ike ike-policy
ipsec local-id ipsec-policy 192.168.101.253
ipsec remote-id ipsec-policy 192.168.101.254
!
bridge irb enable
!
ppp profile プロバイダA(固定IP)
authentication myname プロバイダA@aaaa.bbbbb.ne.jp
authentication password プロバイダA@aaaa.bbbbb.ne.jp パスワ-ド
!
ip dhcp profile lan
assignable-range 192.168.101.1 192.168.101.254
default-gateway 192.168.101.253
dns-server 192.168.101.253
!
device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5 ***********ix2215 拠点A(固定ip側) 2/2***********
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding プロバイダA
ip address 111.222.333.444/32
ip tcp adjust-mss auto
ip nat enable
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in
no shutdown
interface GigaEthernet2:1.0
no ip address
ip proxy-arp
bridge-group 1
no shutdown
!
interface BVI1
ip address 192.168.101.253/24
ip dhcp binding lan
bridge-group 1
no shutdown
!
interface Tunnel2.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsec-policy with-id-payload
bridge-group 1
bridge ip tcp adjust-mss 1300
no shutdown ***********ix2215 拠点B(動的ip側) 1/2***********
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 111.222.333.444/32 GigaEthernet0.1
ip route 192.168.101.0/24 Tunnel2.0
ip dhcp enable
ip access-list flt-list1 permit udp src 111.222.333.444/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 111.222.333.444/32 dest any
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha lifetime 3600
!
ike policy ike-policy peer 1111.222.333.444 key 事前共有鍵 mode aggressive ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-policy sec-list peer 111.222.333.444 ipsec-prop
ipsec local-id ipsec-policy 192.168.101.254
ipsec remote-id ipsec-policy 192.168.101.253
!
bridge irb enable
!
ppp profile プロバイダB(動的IP)
authentication myname プロバイダB@ccc.dd.jp
authentication password プロバイダB@ccc.dd.jp パスワ-ド
!
device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5 ***********ix2215 拠点B(動的ip側) 1/2***********
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding plala
ip address ipcp
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in
no shutdown
!
interface GigaEthernet2:1.0
no ip address
ip proxy-arp
ip filter b 10 out
bridge-group 5
no shutdown
!
interface BVI5
ip address 192.168.101.254/24
bridge-group 5
no shutdown
!
interface Tunnel2.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsec-policy with-id-payload
bridge-group 5
bridge ip tcp adjust-mss 1300
no shutdown 連投スマソ...
数日ほぼ徹夜で・・・ もう疲れたよパトラッシュ....... >>68
動的IP---ipsec----動的IP
DDNSを使えば可能。 >>72
コンフィグを見ましたが、
B拠点のBVIグループエントリーがおかしい。
A拠点にあわせるのであれば、BVIエントリー5ではなく1にする形になるかと思いますが。
あと、アクセスリストの件ですが、
UDP500とESPパケットのみを許可するようになっていますが、
アクセスリスト以外の通信は拒否される形になるかと思いますので、WEBやメールなどのポート許可
動的フィルタの追加にて追加のアクセスリストのエントリーが無いと、他の通信は拒否されるかと思いますが。
Ether-IPの通信設定の場合、他にインターネット回線が不調若しくは一定の帯域確保が
難しいPPPOE接続などの場合には、A拠点のDHCPサーバからB拠点へのDHCPクライアント
へ配信されるようになっていますが、端末の台数が多かったりすると、IPアドレスの取得
の問題が予期されます。
A拠点、B拠点の方のインターネット回線をPPPOE接続のままに運用される場合には、
出来れば、A拠点、B拠点のDHCPサーバを分割して、B拠点のルーターのIPSECトンネルに
A拠点のDHCPサーバと重複しないようにDHCPサーバを持たせて、アクセスリストの設定にて、
IPSECトンネルにUDP67〜68の通信を拒否する設定を入れた方が良いかと思いますが。
A拠点の固定グローバルIP、B拠点の動的IP間の接続については、
DDNSの移行は可能かと思いますが、その際には、A拠点のルーターにIPSECのSA
更新の負担がかかること、IXルーターには、SA更新の実行は自動的にされないので、
ネットワークモニターなどにて、SA更新の監視をさせた方が良いかと思います。
DDNSの運用にされる場合には、双方DDNS(Netmeister等)にして、メインモードの
方が良いかもしれません。 >>74
あざます。
DDNSね? コマンドリファレンスを読み直してみます。
>>76
n-techさんかな??
貴重なヒント... とても助かります
DHCPの件、確かにこのままいくと障害の原因になりそうですね~
先日の連日の徹夜で体調不良が続いており一切IXを触っていなかったのですが、明日から何とかIX弄れそうです
設定完了後に、またご報告させて頂きます。
ありがとうござます >>77
拠点Bのコンフィグ修正箇所
interface GigaEthernet2:1.0
ip filter b 10 out
bridge-group 1
no shutdown
interface BVI5
bridge-group 1
no shutdown
interface Tunnel2.0
bridge-group 1
no shutdown
A拠点とB拠点のDHCPサーバ(プロトコル67〜68)、DHCPv6(プロトコル546〜547)
を分割する場合
ip access-list dhcp-sec deny udp src any sport range 67 68 dest any dport range 67 68
ip access-list dhcpv6-sec deny udp src any sport range 546 547 dest any dport range 546 547
ip access-list dhcp-pass permit ip src any dest any
interface Tunnel2.0
ip filter dhcp-sec 1 in
ip filter dhcpv6-sec 2 in
ip filter dhcp-pass 100 in
no shutdown
上記、DHCPサーバをA拠点とB拠点を分割するので、 >>77
>>78
A拠点
ip dhcp profile lan
assignable-range 192.168.101.1 192.168.101.127
default-gateway 192.168.101.253
dns-server 192.168.101.253
B拠点
ip dhcp profile lan2
assignable-range 192.168.101.128 192.168.101.254
default-gateway 192.168.101.253
dns-server 192.168.101.253
interface BVI5
ip dhcp binding lan2 >>79
任意の箇所については、あくまでも設定例ですので、ご自身で修正下さい。 >>80
知らせて頂いたコンフィグを参考にさせて貰いました。ありがとうございます
一度、上記の一例を参考にして、コンフィグ作ってみたのですが、A及びB拠点下の端末からインタ-ネット側へ出ていく時に、それぞれの拠点で契約しているプロバイダ-経由で出て行きます。
私としては、後日にA拠点側にFWを設置する予定なので全てA拠点を経由してインタ-ネット側へ出ていかせたいと思っています。単純に端末側ネットワ-ク設定で出来ると思っていましたが、B拠点の端末の個々でのネットワ-ク設定にて、DNSサ-バ-をA拠点
に振ってみましたが、LAN内でのAB拠点同士の疎通は確認出来ましたがインタ-ネット側へは出て行けません。なお、A拠点側の各端末については問題なくネットが使えます。
B拠点のコンフィグ誤りを指摘して頂ければ助かります。
あともうひとつ.....
別でL2TPにより外部からのアクセスも行いたいのですが、AとBそれぞれの拠点にてIpsecにて常時DDNSアドレスが使われているので、別途新しくIPを用意してL2TPアクセス用のDDNSアドレスを取得する必要はありますか?
どうぞご教示ください
コンフィグ作るのに悪戦苦闘で昨日はほぼ徹夜になりました....... もう疲れたよ..パトラッシュ
https://imgur.com/a/UkcOXa2
https://imgur.com/a/hMVwVIn >>81
以下のB拠点のコンフィグにて、
自局のPPPOE接続からでていく構成、IPアクセスリストにて、UDP500、ESPパケットのみ
の通信が出来る構成を採用されているようです。
ip route default GigaEthernet0.1
ip access-list flt-list1 permit udp src 111.222.333.444/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 111.222.333.444/32 dest any
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding plala
ip address ipcp
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in >>81
>>83
それと、気になったのですが、
interface GigaEthernet2:1.0
ip filter b 10 out ←
上記のIPフィルタのエントリーのアクセスリストが無いですが、
何か、別のアクセスリストを適用されていますでしょうか?
特になければ、削除された方が良いかと思います。 >>81
>>83
続きです。
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 8080
route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253
ip route default GigaEthernet0.1
ip route default 192.168.101.253 distance 50 >>81
>>83
通常は、上記のようなデフォルトゲートウェイの選択は不要な筈ですが、
念のためです。
通常のEtherIP方式のIPSECの接続、BVIグループとIPSECトンネルのエントリー
接続が確立していましたら、A拠点よりインターネット接続が出来る筈ですが。 >>81
>>83
続きです
interface BVI5
ip policy route-map r-map >>81
L2TP/IPSECの件ですが、DONS取得をされている状況でしたら、
既存のPPPOEセッション側に、UDP500、ESP、UDP4500、UDP1701をNAT解放、
L2TPのリモートアクセスの設定にて大丈夫かと思います。
アクセスリストへ、UDP4500、UDP1701の許可もご確認下さい。
ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500
ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701
interface GigaEthernet0.1
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 udp 1701
他、L2TPトンネル、ユーザープロファイルの設定をご確認下さい。 >>82
ありがとうございます。
L2TPで繋がらないのは別の問題やったんですね~
>>83
うぉー!
貴重なコンフィグ例ありがとうございます。
深夜なのに喜び過ぎて感無量ですハイ
昨晩、ほぼ寝てないハズなのにコチラを拝見した途端に眠気がぶっ飛びました
早速、着手してみます。
ほんと私も何か皆さんの手助け出来る様にならないと… IX2215のポートVLANについて質問です
IX2215でGE2の8ポートをVLANのアクセスポートとして使用出来ますか?
おそらく出来ないだろうとは思ってるのですが…… 既に同じこと聞いている人いるかもしれませんが、
ix2106を使用しております。
ocnバーチャルコネクトとL2TPを同時に使う場合pppoeを設定することになると思うのですが、
その場合どのように設定するのが一般的でしょうか?
また、コンフィグの基本的な書き方って何を見れば理解しやすいでしょうか?
ご教授いただけないでしょうか? NECのサイトに設定例ありまうす
二つの設定両方あるから、それを組み合わせるだけ
とにかく公式サイトはマニュアル含めてドキュメント豊富だから、
そうそう困ることはない >>93
ありがとうございます!!
試してみます。 >>90
アクセスポートは一応可能ですが、何か意味があるのですか? >>92
IPV6関連の接続とPPPOE接続を併用した場合には、
デフォルトゲートウェイの優先順ですが、PPPOEにプライオリティを付けないと、
ESPやUDP500、UDP4500、UDP1701をポリシールート変更が出来ないです。
よって、HTTP/HTTPS/Mail 等のポートをIPV6側に向ける様にしか出来ない。 >>95
返信ありがとうございます
GE1からスイッチに繋いでタグVLANを運用しているのですが、GE2のポートを使って余分なスイッチを減らしたいと思ってます
公式ページのポートVLANとタグVLANの併用の項を見てもアクセスポートにする方法を見つけられなかったためお聞きしました
アクセスポートについて書かれている箇所がありましたら、教えて頂けませんでしょうか? >>97
アクセスポート扱いのニュアンスを誤解しておりましたが、敢えて明示する項目は御座いません。
ご指定の運用方法ですと、
代替機能として、GE1とGE2をBVIインターフェイス併用でのブリッジポート接続でしたら、可能です。
VLANポートとのブリッジングも可能ですので、機能説明書の2.9.1.3 BVIインターフェイスの設定を
ご確認下さい。
BVIインターフェイスを併用しますと、
IPV6インターネット接続のIPV6ブリッジ対象インターフェイスにVLANグループとBVIインターフェイス
の紐付けも可能です。 >>86
無事にB拠点の端末がA拠点を経由してインタ-ネット側へ出ていく事に成功しました!
感謝感謝です
原因として・・・ 情けないお話しですが、コチラがかなり初歩的なミスをしておりました
A拠点 DHCPサ-バ- 192.168.101.1 ~ 192.168.101.150 GW 192.168.101.254 DNS 192.168.101.254
B拠点 DHCPサ-バ- 192.168.101.150 ~ 192.168.101.200 GW 192.168.101.253 DNS 192.168.101.254
完全な勘違いで、B拠点のGWを 101.254に変えたらA拠点からネットへ出て行くようになりました。 お恥ずかしい限りですw
あとまた質問で申し訳ございませんが、 ..>>83 に書かれてある、ip filter flt-list1 1 in は削除で宜しいでしょうか??
>>88 で書かれてある
ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500
ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701
interface GigaEthernet0.1
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 udp 1701
を入れても、interface GigaEthernet0.1 から ip filter flt-list1 1 in を削除しない限り、B拠点の端末はインタ-ネット側へ出ていけない様です。
それと >>85 で書かれてあるアクセスリストについてですが、このコンフィグはB拠点にぶら下がっている端末が ポ-ト番号80, 443 25 587 143 993 995 8080 以外を利用したアプリケーションがB拠点からA拠点へ出ていけないと言う認識で宜しいのでしょうか??
B拠点にぶら下がった端末からVPSへSSH(ポ-ト50000番台へ変更済)繋がってしまいます。
度々、質問ばかりですみません.... RTX1210とL3スイッチを仕様してネットワークを構築しています。
VLAN間ルーティングはL3スイッチにさせてRTXは各VLANにDHCPさせています。
今回IX2215に移行させよと思い勉強中なのですが、IXはインターフェースに複数のDHCPスコープ(別セグメントのIP)を適用する事は不可能なのでしょうか? >>100
現在のコンフィグの一部です。
IXはサブインターフェースを作成したら行けそうかなと思ったんですが、違いました。。
教えて頂けませんでしょうか?
RTX1210
ip route 10.1.10.0/23 gateway 10.1.1.1
ip route 10.1.12.0/23 gateway 10.1.1.1
ip route 10.1.20.0/23 gateway 10.1.1.1
ip route 10.1.30.0/23 gateway 10.1.1.1
ip lan1 address 10.1.1.254/23
dhcp scope 1 10.1.0.100-10.1.0.109/23
dhcp scope 2 10.1.11.1-10.1.11.99/23 gateway 10.1.11.254
dhcp scope 3 10.1.13.1-10.1.13.99/23 gateway 10.1.13.254
dhcp scope 4 10.1.21.1-10.1.21.99/23 gateway 10.1.21.254
dhcp scope 5 10.1.31.1-10.1.31.99/23 gateway 10.1.31.254
dhcp scope option 1 ntp_server=10.1.1.9
dhcp scope option 2 ntp_server=10.1.1.9
dhcp scope option 3 ntp_server=10.1.1.9
dhcp scope option 4 dns=94.140.14.14,94.140.15.15 ntp_server=10.1.1.9
dhcp scope option 5 dns=94.140.14.14,94.140.15.15 ntp_server=10.1.1.9 >>99
ip filter flt-list1 1 in のコマンドの件ですが、削除は構いませんが(出来ればそのままの方が良いかと思いますが)、そちらですと、
デフォルトでクローズしましたものをオープンのエントリーを追加することで、プロトコルの通信を許可するものです。
もし、B拠点などへL2TP/IPSECトンネルを接続しながら、他のポートを許可する為には、
最終のエントリー追加にて、
「ip access-list sec-list permit ip src any dest any」 のアクセスリストがあるようですので、
interface GigaEthernet0.1
ip filter sec-list 65000 in
ip filter sec-list 65000 out
を追加してみて下さい。
65000エントリーにて、全てのエントリーを許可する形になります。
なお、PPPOEセッション側より、不正なポート等のアクセス拒否等の設定を
されていないようですので、念のためですが、IDSフィルタリング設定を追加
しておいた方が良いかと思いますが。
ids ip type all action discard
ids ip type ip-header action detect
ids ip type icmp action detect
ids ip type udp action detect
ids ip type tcp action detect
ids ip type ftp action detect
ids logging-interval 10 >>99
>>102
続きです。
なお、
SSHからTCP50000番のアクセスですが、アクセスリストに追加にて、
A拠点宛へ通信は可能です。
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport 22 dest any dport eq 50000
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport 22 dest any dport eq 50000 >>100
>>101
IXルーターと配下のL3スイッチにてVLANを構成し、IXルーター側にてDHCP機能を
配信する場合には、
IXルーターのGE2.0-I/Fに物理IPアドレスを設定(10.1.1.254/23)
でしょうか、複合サブネットになっていますので、運用方法によりBVIの機能を併用する形になってしまいますが、
GE2.0-I/Fに物理IPアドレス配下にサブインターフェイスとして、タグVLANのインターフェイスを追加して、そのタグVLANのインターフェイスに
個別のDHCP機能を紐付ける形になりますが、宜しいでしょうか? 以下設定例です。
ip dhcp profile dhcp1
assignable-range 10.1.0.100 10.1.0.109
default-gateway 10.1.1.254
dns-server 10.1.1.254
ip dhcp profile dhcp2
assignable-range 10.1.11.1-10.1.11.99
default-gateway 10.1.11.254
dns-server 10.1.11.254
ip dhcp profile dhcp3
assignable-range 10.1.13.1-10.1.13.99
default-gateway 10.1.13.254
dns-server 10.1.13.254
ip dhcp profile dhcp4
assignable-range 10.1.21.1 10.1.21.99
default-gateway 10.1.21.254
dns-server 94.140.14.14 94.140.15.15
ip dhcp profile dhcp5
assignable-range 10.1.31.1 10.1.31.99
default-gateway 10.1.31.254
dns-server 94.140.14.14 94.140.15.15
interface GigaEthernet2.0
description LAN1
ip address 10.1.1.254/23
no shutdown >>100
>>104
続きです。
interface GigaEthernet2:1.0
description VLAN1
encapsulation dot1q vlan1
ip address 10.1.11.254/23
ip proxy-arp
ip dhcp binding dhcp1
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:2.0
description VLAN2
encapsulation dot1q vlan2
ip address 10.1.21.254/23
ip dhcp binding dhcp2
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown >>100
>>105
続きです。
interface GigaEthernet2:3.0
description VLAN3
encapsulation dot1q vlan3
ip address 10.1.13.254/23
ip dhcp binding dhcp3
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:4.0
description VLAN4
encapsulation dot1q vlan 4
ip address 10.1.21.254/23
ip dhcp binding dhcp4
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:5.0
description VLAN5
encapsulation dot1q vlan 5
ip address 10.1.31.254/23
ip dhcp binding dhcp5
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown >>100
>>106
続きです。
ntp ip enable
ntp server 10.1.1.9 priority 254
ntp master 10
ntp retry 3
ntp interval 3600
ip access-list all-forward permit ip src any dest any >>100
>>107
複合サブネットを利用されています点と、配下のL3スイッチ側のVLANグループの
調整が必要になります。
それぞれのVLANグループをタグVLANの追加と、トランクポート対象となるポートと
IXルーター間の物理ポートベースVLANの構成をご確認下さい。
その物理ポートベースVLANグループへ、それぞれのタグVLANの参加をさせる形になります。
それと、VLAN間のルーティング処理として、複合サブネットを利用されていますので、
IXルーター側にBVIインターフェイスを追加して、BVIに参加させるVLANグループの
設定を要す場合が御座います。 >>100
>>109
BVIインターフェイスとVLANグループ、物理インターフェイスの紐付けをさせて、
VLAN同士のルーティング、インターネット接続の共用などをさせる場合の件ですが、
それぞれのVLANグループ間のアクセス条件が必要になります。 >>104-107
>>108-110
ヒントだけではなく、コンフィグまでありがとうございます!!
やはりIXをタグVLANに参加させる必要があるのですね。
現在RTXはタグVLANに参加させておらず、dot1qを利用しておりません。
VLAN間ルーティングはL3スイッチに任せているのですが、IXは不可能な感じでしょうか?
以下がL3スイッチのコンフィグの一部になります。もう少し教えて頂けないでしょうか?
よろしくお願いします。 >>111
L3スイッチ
ip routing
interface Vlan2
ip address 10.1.1.1 255.255.254.0
ip helper-address 10.1.11.255
!
interface Vlan10
ip address 10.1.11.254 255.255.254.0
ip helper-address 10.1.1.254
ip directed-broadcast 101
!
interface Vlan12
ip address 10.1.13.254 255.255.254.0
ip access-group vlan12 in
ip helper-address 10.1.1.254
!
interface Vlan20
ip address 10.1.21.254 255.255.254.0
ip access-group vlan20 in
ip helper-address 10.1.1.254
!
interface Vlan30
ip address 10.1.31.254 255.255.254.0
ip access-group vlan30 in
ip helper-address 10.1.1.254 >>112
コマンドの設定を見ると、「Catalyst 3560」ですか?
IXルーター側へ、VLANグループの反映
interface GigaEthernet2:1.0
description VLAN2
encapsulation dot1q Vlan2
bridge-group 1
interface GigaEthernet2:2.0
description VLAN10
encapsulation dot1q Vlan10
bridge-group 1
interface GigaEthernet2:3.0
description VLAN12
encapsulation dot1q Vlan12
bridge-group 1
interface GigaEthernet2:4.0
description VLAN20
encapsulation dot1q Vlan20
bridge-group 1
interface GigaEthernet2:5.0
description VLAN5
encapsulation dot1q Vlan30
bridge-group 1
L3スイッチの変更(Vlan2をトランクポート、ポートベースVLANに指定)
L3スイッチの物理ポートのトランクポートを指定する
L3スイッチの物理ポートのアクセスポート・VLANの指定、VLAN参加のポートを指定する
VLAN間ルーティングをさせる場合ですが、
IXルーターのBVIインターフェイスの指定、VLANルーティング用
セカンダリIPアドレスの登録など >>112
>>113
続き
interface BVI1
ip address 10.1.1.254/23
ip address 10.1.11.252/23 secondary
ip address 10.1.11.252/23 secondary
ip address 10.1.13.252/23 secondary
ip address 10.1.21.252/23 secondary
ip address 10.1.31.252/23 secondary
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
bridge-group 1
no shutdown
GE2.0-I/Fは、ブリッジインターフェイスにするため、IPアドレスは削除
interface GigaEthernet2.0
no ip address 10.1.1.254/23
bridge-group 1
BVIインターフェイスの有効化
bridge irb enable
↑のようなイメージになりますが、
GE2.0-I/F → BVIインターフェイスの統合化、各タグVLANグループの
BVIインターフェイスの参加のため、
タグVLANグループのエントリーにブリッジエントリー追加
最終的に各VLANグループとGE2.0-I/Fを紐付けて、インターネット側へNATセッション
の疎通という形になりますね。 >>112
>>114
BVIインターフェイスにタグVLANをグループ追加しました場合に、
それぞれの詳細なIPアドレス同士のアクセスは、アクセスリストにて、
許可・拒否の設定をする形になるかと思います。 >>113-114
またまたコンフィグまで記載頂き、ありがとうございます!!
おっしゃる通りCatalyst3560を利用しています。配下に複数のL2スイッチがぶら下がっている状態です。
ブリッジインターフェースの理解が無いので、勉強を行おうと思います。
コンフィグ的にVLAN間ルーティングはIXでさせている理解でよろしいのでしょうか?
的外れな事を言っていたら申し訳ありません。 >>116
VLAN間ルーティングの件ですが、DHCPサーバをIXルーターにて実装する場合には、
タグVLANグループの設定とBVIインターフェイスの参加は必要になりますので、
複数サブネット(/23)での多数のクライアント端末が有る場合には、苦しいですね。
出来れば、IXルーターのDHCPサーバを利用せず、配下のL3スイッチ側のDHCPサーバ機能を
利用する様に設定し、IXルーター側との接続は、ポートベースVLAN・トランクポート接続、
そのトランクポート接続のLANグループに、タグVLANを参加させる方法がシンプルかと思いますが。
タグVLAN同士のルーティングですが、BVIインターフェイスの参加するセカンダリアドレス
の要件によって、IPセグメント同士のアクセスは可能です。
セカンダリアドレスは、15アドレスまで登録可能です。 >>116
>>117
ブリッジインターフェイスの機能の件ですが、
シスコのISRルーターなどにも採用されていますが、
iOSのバージョン(17.1以降、16以前)によって、CLIコマンドが違う仕様になっていたかと思います。
中々、シスコルーター系ですと、大変かもしれませんね。
クライアント端末の規模によっては、ISR4000、8000等になるケースも御座いますが、
ライセンスも含めて、バカ高いので、却ってIX2235、IX2310、IX3315等にて、
SD-WAN、SD-LANの構成の方がコストパフォーマンスが良いですね。 >>117-116
L3スイッチのDHCPサーバー機能を完全に忘却れておりました!おっしゃる通りその構成がシンプルですね!
今まで設定した事がありませんでしたので、勉強して検証環境で動作確認をしてみようと思います。
L3スイッチでDHCPサーバーを利用する場合、ルーター側にスタティックルートの設定を行うと思います。
各VLANのネットワークアドレスへの通信のゲートウェイがL3スイッチのIPアドレスに向くよう設定したら問題ないでしょうか?
まだまだ勉強が足りませんでした。教えていただき、ありがとうございます。 >>119
ご推察の対応にて大丈夫かと思います。
IXルーターから、L3スイッチのトランクポートのIPアドレス、その先のVLANセグメント
宛へのスタティックルート設定にて対応確認となるかと思います。 >>120
顔も名前も知らない人間に色々教えていただきありがとうございます!
非常に勉強になりました。理解しきれてない部分もありますが、これから勉強をして理解しようと思います。 >>102
>>103
お返事ありがとうございます。
ACLの掛け方に対して私の知識がかなり不足している様なので、これを機会に勉強してみます。
本日、早速コンフィグの入れ替えしてみます。
ありがとうございます >>121
「Catalyst 3560」 スイッチのDHCPサーバの件、承知致しました。
同スイッチの場合、IP-Servicesライセンスを必要とするかと思いますので、
そのライセンスをご確認下さい。
複合サブネットを運用されているとのことでしたので、シスコのL3スイッチになる
事は仕方なかったかもしれませんね。
ソフトウェアライセンスやサポートライセンス等のライセンスのイニシャルコストが
バカ高いので、ライセンスの状況によっては、他社のL3スイッチの方が良い場合も御座います。
L3スイッチ
ネットギア 「M4300」シリーズ、「M4500」シリーズ
NEC 「QX-S5628GT」、「QX-S5124GT」シリーズ
NEC系ですと、IXルーターのクラウドサービス連携で一元運用管理が出来る
ようになっています。 → Netmeister
>>123
本日検証環境で動作確認を行いました。想定通りの動作になりました!
IXが別のサブネットにDHCPサーバーとして稼働させる事が出来ないのは盲点でした。
しかし、ご教授頂いた手順で想定の動作にする事ができ、安心しました。
おっしゃる通りライセンスや保守費がバカになりませんので、考える必要がありますね。
ルーターをUNIVERGE に置き換えを行うので、スイッチも置き換えると一元管理が出来るのは便利ですね。
本当にありがとうございます。 >>125
良かったですね。
IXルーターのDHCPサーバ機能ですが、別セグメントの動作はタグVLANとBVIの制約
は付きますが、DHCPサーバーとして動作させて、配下のL3スイッチにてDHCPリレーエージェント
の動作や、配下のスイッチ側がNECのUNIVERGE QXのタイプでしたら、
DHCPサーバのVLANインターフェイスとBVIインターフェイスグループにDHCPプロファイル
の条件適用にて、動作させる方法はあるかと思いましたが、
そのような形ですと、IXルーターのリソースを若干かかる点、L3スイッチのメリットが
活かせなくなります。
IXルーターを用意される場合でしたら、配下のL3-L2スイッチをUNIVERGE QXのタイプを
用意して、IXルーターをNetmeisterの管理モードにて動作する設定、L3-L2スイッチを
Netmeisterのクライアントモードの運用、接続端末のデバイスマップ機能にて、
端末の部分も含めて一元化は可能です。
その際にですが、ゼロタッチ・プロビジョニングの運用にて、IXルーター等の故障時の
交換作業の簡略化も可能かと思います。 >>125
>>126
ネットワークの一元化が出来ましたら、次のフェーズは、
端末の台数が多いと見受けられましたので、簡単にはいかないかもしれませんが、
UTM等のセキュリティ関連の統合化も検討された方が良いかもしれません。
現状、シスコのFirePowerなどの運用をされていましたら、特別不要かと思いましたが、
シスコ系のUTMは非常に高く、現在利用されていない状況でしたら、
ParoaltoやFortigateあたりの方が良いかもしれません。 >>126-127
ルーターのリソースを減らす事とL3スイッチのメリットを活かす構成を考えると、
DHCPサーバーはL3スイッチになるのですね。
Netmeisterでの一元管理が可能な点、現状の管理の手間を考えると、配下のL3,L2スイッチの置き換えを考える必要があるかもしれません。
予算との兼ね合いですが、検討していこうと思います。
UTMはFortigate60Fをトランスペアレントモードで導入しています。L2の機能しか使えておりませんが、、
Ciscoコマンドに慣れているせいか、Fortiのコマンドとコンフィグの量に難儀しております。
詳しく教えていただき、非常に感謝しております。ありがとうございます。 >>128
Fortigate60Fですか。
Fortigateトランスペアレント・ブリッジでも、端末台数が20〜30台のNATセッション
でのセキュリティポリシーですと、フローモードがギリギリかもしれません。
Exploit-Proxyモードですと、15〜20台前後が精々かもしれません。
端末により、フローモード、Exploit-Proxyモードを分けて運用することは可能と存じます。
DNSフィルタ機能、スパムメール対策機能を併用すると、リソースの影響が大きいので、
DNSフィルタ機能を利用せずに、Cisco Umbrellaの併用、スパムメール対策は、
レンタルサーバ側のスパムメール対策機能を利用するようにされた方が良いかもしれません。 >>130
オクで5000円で仕入れてファームを最新にして15000円で売れてた頃が懐かしい なんかすげ-スレ伸びてんなwww
IX2015は既に捨てたよ
IX2215が格安で手に入るしね IX2207はまだ高いけど....
てかさ、このスレずっとROMってたんだけど
フレッツipv6の折り返し拠点接続使えば、ひかり電話の転送が無料で可能じゃね??
最近、テレアポ増えてて糞みたいな売り込みで携帯転送料金払わされるのがほんと馬鹿馬鹿しい >>132
北海道の事務所の電話、VPN使って東京で受けてるよ。 >>133
ここで言う、VPN利用は、Asphire UX、WX 利用ですか? pppoeでVPN接続したひかり電話って、音声の遅延が発生しそうで事業用では少し怖いな >>135
VPNネットワーク形態を利用するのであれば、
AsphireWX-Plus主装置と、IXルーター併用にて、NECのクラウドリンクにて、
スマホ内線を利用する 「UNIVERGEどこでも内線サービス」の方が良いんですけどね。 ヤフオクでIX2105値下がりしたね。
例の10台単位の出品が効いているね。 >>136
主装置のplusなしの型落ちなら2万円程度で手に入りますな。
ただ、どこでも内線サービスのサブスク費用はさすがNECですね~高い
確か、IXはsip-nat通らなかった記憶あるんだけど、今は通る様になったんだね 故障用のスペア部品としてIX2105買っとくかな?
オクで出品されてるのは一台あたり2-3千円は安いね >>140
現在のAsphireWX-PlusとIXルーターの連携ですが、
IXルーターのVOIPフォワーディング、QOSシェービング、優先帯域・カラーリングを併用して
音声帯域を確保するようになっています。
他社クラウドPBXでの運用構築も、その様になっていますので、
クラウドサービスを併用する場合には、そのサービスにて利用されています
ポート番号、RTSPポート、UDP5060-5091等の帯域割り当てにて対応は可能と存じます。 >>129
そうなんですよ。端末数が年々増えてきて厳しい状態になっています。
スパム対策を行っていたのですが、現在は無効にしています。
機材の再選定が必要かと考えています。
教えていただいた設定を検討していこうと考えています。ありがとうございます。 >>140
昔はSIP-NAT拡張ソフトウェアセットでSIP-NAT機能を追加出来たけど、今は無理でしょ
UNIVERGEどこでも内線サービスはVPNで繋ぐクラウド側にSIP-NAT機能があるのでは? >>144
SIP-NATはあくまでも、SIP対象のポートを特定のIP端末にNAPT転送するだけの
ものですので、他社のSIP-NATの仕様もそうですが、特定のSIP条件には制約が御座いますので、
実用上は、VOIPポートや特定のIPネットワークに一定の帯域割り当てをするのが本旨
になっております。
Asphire主装置でのシステム間接続も、それを趣旨にQOSやVOIP制御を仕様として
組まれていますので、敢えて特定のメーカーに限ってSIP-NATがキチンと動作するという
ことにはなっておりません。
Asphire主装置のシステム間接続も、IXルーターを併用したり、内蔵のルーターユニットとブリッジングさせて、
VOIP内線をするようになっております。 >>143
Fortigateの機種を1〜2ランク上の製品の選択、FortigateのSyslogデータをFortinet
のクラウドサーバへシスログ連携するようになっていますので、
そのシスログ制御の部分を、クラウド側ではなく、社内のシスログサーバへ保存する様に
変更するだけでも、一定のリソースの低減は可能かと思います。 >>145
SIP-NATはL7の話だよ
話ずれまくってますわ >>147
ここでの質問は、Asphire主装置とUNIVERGEどこでも内線サービスを使用しました際に、
SIP-NATが実装しており、必要であるかというアンサーになります。
L7層でのプロセスの話は、全く違う次元のお話になります。
主装置側の機能やクラウド側には、あえてそういった機能項目は無い言うことになりますが、
代替の機能にて対応するようになっております、
工事マニュアルにもそういった形になっております。 困ったね。
ここ最近までは普通に使えてたものが、
ここにきて使えない所が出てきた。
ドコモ10G+ぷらら(ocnバーチャルコネクト)でポート開放してるんだけど、
ぷらら(ocnバーチャルコネクト)の所からだけ繋がらなくなった。
ocn pppoe の所からだと今でも繋がるし、softbank モバイルルーターからも
スマフォ(docomo) からも繋がる。
合併してなにかこっそり変更したかねぇ。
syslog を debug で取ってもなしのつぶてなんだよねぇ。
つまり上流のルーターで弾いてるって事かねぇ。 >>149
ドコモさまですか。
別件にて、先日ドコモさまのトラブルも出ていたぐらいですので、光回線のトラブルとは
関係性は無いですが、OCNバーチャルコネクトをご利用とのことでしたので、
グローバル固定IP等の契約でしょうか?
CGN回線でしたら、ほぼ無理筋かと思いますが。 一般向けのOCNバーチャルコネクトってMAP-Eじゃなかったっけ?
ぷららってことは一般向けじゃないかと思うけど、MAP-Eで割り当てられたポートレンジが変わったりしてない? ああごめん、違うか
ぷらら側から接続してきてるのね... P2P型アプリケーションで接続元と接続先で割当範囲違うから同じポート番号が使えないせいで接続できないだけじゃないの バーチャルコネクトって事なら、回線はNGNだろうから網内折り返しのIPv6でtunnel掘れば良いのに。
東西跨いでるなら仕方ないけど。 >>102
interface GigaEthernet0.1 へ ip filter flt-list1 1 in を入れた状態でB拠点のLAN側端末がA拠点を通過してネットへ繋がる事が出来ました。 コンフィグ等のご教示頂いたお蔭です。
続けて質問で申し訳ありませんが・・ >>85 で示した頂いたコンフィグ(B拠点にのみ投入)で
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080
route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253
route-map r-map permit 10 自体を削除しても、ip filter flt-list1 1 in のコンフィグがある interface GigaEthernet0.1 へ
ip filter sec-list 65000 in
ip filter sec-list 65000 out
を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。
もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか??
また、A拠点IXのtelnetサーバ-;(23番ポート)にB拠点下部の端末から接続出来てしまいますね。
私の認識ではIXは書いていないアクセスリストについては全て拒否設定だと認識しております。
B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます??
一応、AとB拠点のコンフィグはコチラで、そして互いに接続出来ました
https://imgur.com/a/Oh2rqEa
https://imgur.com/a/TX7XlvD あと、AとBの両拠点のIXを再起動すると、B拠点のLAN側がA拠点とVPN接続完了まで、数分が掛かります。
これが以前に仰っていた両拠点DDNS同士の接続が負荷が掛かると言うことでしょうか??
すみません 質問ばかりで・・
別でご教示頂いたIDSフィルタリングはこの後のコンフィグを投入予定です。
あとココの皆さま度重なるスレ汚しごめんなさい。 >>155
>>156
そうですか、良かったですね。
「ip filter sec-list 65000 in
ip filter sec-list 65000 out
を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。
もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか??」
↑の件ですが、 A拠点、B拠点のPPPOEセッション側のIPフィルタ機能にて、
それぞれのPPPOEセッション側のWAN→LAN側、LAN→WAN側のポートの許可ですが、
最終エントリー(65000)にて全て許可をしている状態でしたが、その最終エントリーを
入れない状態ですと、ESPプロトコルとUDP500、UDP4500、UDP1701のみの許可なのですが、
PPPOE側からHTTP、HTTPS、他メールなどのポートは許可をされていない状況でしたので、
論理的には、A拠点のPPPOEセッション側には、最終エントリー65000は利用して、
B拠点側には、最終エントリー65000は利用しない形がベストと思いますが。
ルートマップの処理(ポリシールーティング処理)を削除して、PPPOE側のIPフィルタのエントリー
を削除する形ですと、それぞれの拠点のセキュリティの関係上、もう少し、
危険なポートとのアクセスを制限していく方向が必要かと思いましたが。 >>155
>>157
続きです。
「B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます?? 」
↑ の件ですが、IPSECトンネルのIPフィルタの処理にて、アウトバウンド側として、
拒否する様なアクセスリストが望ましいかと思います。
若しくは、A拠点側のIXルーターのtelnetサービスにログイン出来るIPアドレスを制限
する方法もあるかと思います。
該当箇所
ip access-list telnet permit ip src 192.168.101.0/24 dest any
telet-server ip access-list telnet
telnet-server ip enable
修正箇所
ip access-list telnet permit ip src 192.168.101.***/32 dest 192.168.101.0/24
no ip access-list telnet permit ip src 192.168.101.0/24 dest any
***に、アクセス許可するIPの第四オクテットを入れる
DDNSの更新については、IPSECアグレッシブモードの運用形態にて、仕方ないかもしれません。
それとコンフィグ内にて、IPSEC-SAの更新のためのネットワークモニターの機能が
未適用、DDNSでの名称解決のネームサーバの設定をされていないので、
任意のネームサーバを適用しないと、名称解決に時間がかかるケースも想定されます。
DDNSでしたが、MyDNSでないといけませんか?
Netmeisterの方が、性能面で良いかと思いました。
念のため、ネットワークモニターの設定例、ネームサーバの登録、Netmeister等の
登録例を転載致します。 >>155
>>158
ネームサーバの登録例(A拠点、B拠点それぞれ)
proxy-dns ip enable
proxy-dns server 8.8.8.8 priority 254
proxy-dns server 8.8.4.4 priority 254
ip name-server (契約プロバイダのプライマリDNSサーバ)
ip name-server (契約プロバイダのセカンダリDNSサーバ)
dns cache enable
dns cache max-records 1024
ネットワークモニターの設定例(B拠点側)
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.254 Tunnel2.0 source BVI1
action 10 ipsec clear-sa Tunnel2.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor etherip-ipsec enable
Netmeister-DDNSの登録例(A拠点、B拠点それぞれ、事前にNetmeister
のサイトにて、ユーザー登録を要します)
nm ip enable
nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード)
nm sitename (netmeisterの登録サイト名称)
nm ddns notify interface GigaEthernet0.1 protocol ip
なお、A拠点、B拠点にMyDNSやNetmeisterの登録をされるケースでしたが、
IPSECアグレッシブモードでは無く、DDNS同士のメインモードの方が、レスポンス的には
良いかと思います。
メインモードの設定例も転載致します。 >>155
>>159
既存のIPSECの設定としては、既に、IPSECメインモードの設定をMyDNSにて設定されていますので、
先述のネットワークモニターの設定は、A拠点、B拠点向けに設定をしておく形が良いかと思います。
ネットワークモニターの設定例(A拠点側)
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.253 Tunnel2.0 source BVI1
action 10 ipsec clear-sa Tunnel2.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor etherip-ipsec enable >>160
IPSECメインモードの接続のDDNS更新の部分でしたが、フレッツV6オプション(IPV6-POE)
のプロバイダにすることで、性能の底上げは可能と存じます。
Netmeister-DDNSは、IPV6-IPOEやフレッツV6オプションの閉域網のIPSECに
対応しております。 >>157-161
お返事遅くなりましたごめんなさい...
貴重なコンフィグ例まで頂いてありがとうございます。
凄い知識量ですね~ 私はこのコンフィグを見てまだ良く理解出来ていないので、まずは設定事例集とコンフィグリストを読みながら理解をしていきつつ進めていきたいと思います。
MyDNSよりNetmeister-DDNSの方が性能良いなんて初めて知りました。目からウロコです。
とても助かりました >>163
ネームサーバの登録の件ですが、PPPOEの動的IPの契約の場合ですが、
MyDNSやNetmeisterなどのDDNSに共通ですが、グローバルIPとDDNSの紐付けアクセスに、
プロバイダのネームサーバを参照し、DDNSの更新をする様になっていますので、
ご指定のコンフィグでは、Proxy-DNSとname-serverの設定を明示的に設定をされていませんでしたので、
グローバルIPの名称解決のために、name-serverの登録をして、グローバルIPとの
名称解決がスムースに出来るようにイメージしております。
あと、IPV6-IPOEやフレッツV6オプションの件ですが、
NTTギガ回線以上の回線の場合には、フレッツV6オプションが自動加入になっているかと思いますので、
そのフレッツV6オプションのサービスより、割り当てのIPV6グローバルアドレス
を利用して、IPV6-IPSEC・メインモードの接続にするイメージになります。
そのIPV6グローバルアドレスをNetmeister-DDNSにて名称解決させて、
Netmsiter-DDNS同士のIPSECに切替える形が良いかと思います。
以下設定例(IXルーターの上位にNTT光電話ルーターが有る場合)
ipv6 ufs-cache max-entries 65535
ipv6 ufs-cache enable
ipv6 cache-size 25300
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list sequence-mode 100
ipv6 access-list tunnel-list 100 permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
option-request ntp-servers >>163
>>164
続きです。
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
interface GigaEthernet0.0
description IPV6
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 mld upstream
ipv6 mld version 2 only
ipv6 traffic-class tos 0
ipv6 nd proxy BVI1
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown
interface BVI1
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag >>163
>>165
続きです。
Netmeiste-DDNSをIPV6アドレスを監視させる場合(LAN側インターフェイス、BVI1等)
nm ip enable
nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード)
nm sitename (netmeisterの登録サイト名称)
nm ddns notify interface BVI1 protocol ipv6
IPV6-IPSECに切替えるポリシー(A拠点側)
ike policy ike-policy peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) ipsec-prop
IPV6-IPSECに切替えるポリシー(B拠点側)
ike policy ike-policy peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) ipsec-prop
↑ のようなイメージになります。
IPV6アドレスは、LAN側にブリッジ動作のような形になります。 >>164-166
感謝感激です! ipv6の拠点接続なんて雲の上の様な存在です
もちろん、私の2拠点の光回線はフレッツでして当初はipv6通信の為にNTTを選んだ次第です。
この頂いたコンフィグ例は俗にいうフレッツipv6同士の折り返しですよね?
このスレでも700M近くの通信速度が出るとの書き込みを読んだ事があり、ぜひチャレンジしてみたい設定です。
ただ、現実はまだ脳みそが情報についてこれていない感じです。
いつも助けて頂いてありがとうございます。
ネ-ムサ-バ-のコンフィグの理解も初めて出来ました。IXがどんな挙動を示すかとても楽しみです。
pppoeの拠点接続の再設定については、また報告させて頂きます。ありがとうございます。 >>167
承知致しました。
フレッツV6オプションのIPV6閉域網接続の件ですが、
組み合わせとしてですが、
A拠点側のインターネット機能をV6プラス・固定IP等の回線に切替えをして、
B拠点は、プロバイダ無しの構成、またはPPPOE動的IPの回線、若しくはコラボ光
の回線で、V6プラス・固定IPのプロバイダも御座いますので、そちらの組み合わせ
にする方法もありかと思います。 >>168
ありがとうございます。
光電話の契約はA拠点のみですが、2拠点共にplala光のv6プラスオプションも利用していますので、pppoe拠点接続完了後にぜひやってみたいてすね~
なんせIPsecでv6折返しで1G近く速度が出るって単純にエグイです。
プロバイダー契約無しとは、光ライトですね。
両方共に戸建て契約なので、少しでも通信料金が下がるのは嬉しいです
ほんと感謝しかありません >>169
そうですか。
A拠点、B拠点共、ぷらら光のV6プラス・動的IPの場合、利用出来るポート数に制限(240ポート)があるため、
インターネットのポートを多用するアプリケーション等の制限を回避する形ですと、
V6プラス・固定IPの切替えは必要かと思います。
V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約
を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事)
が可能になります。
※ https://21ip.jp/
A拠点は、NTT光電話ルーター配下と言う事ですので、NTT光電話ルーターのIPV6-IPOEフィルタの
許可(双方向、ANY許可)、IXルーターはND-Proxyの設定になります。
B拠点は、ぷらら・V6プラスのみでも構いませんが、光電話機器・契約が無しということですので、
IXルーターは、ND-Proxyの設定になります。
ND-Proxyの設定ですと、A拠点のIPV6アドレスは、BVIインターフェイス側にブリッジング
される形になります。
B拠点は、ぷらら光・V6プラスなどの設定は無しと言う構成になりますね。
IPV6インターネット系のIPV6アドレスは、A拠点のIPV6インターネットのBVIブリッジング
動作という形になるかと存じます。 >>170
すごい知識量ですね~
私は全然脳みそが付いていけません...涙
教えて頂いた内容がまだ全て理解不足なのですが・・
>>V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約
を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事)
が可能になります。
※ https://21ip.jp/
この解釈ですと
A拠点 現在 plala光 + plala V6エクスプレス → 今後 plala光 + 21ip.jpの固定v6サービス
B拠点 現在も今後も同じ plala光 + plala V6エクスプレス
と言う事で宜しいでしょうか??
あと、ご紹介頂いた 21ip.jp社 の契約メニュ-ですが・・
V6プラス固定IP 2550円 のメニュ-で宜しいのでしょうか??
食わず嫌いで「ND-Proxy」を全く調べていなかったのですが、やっと理解出きました
ipv6のフィルタ-機能だったんですね
ありがとうございます。ココでいつもめちゃくちゃ勉強させて頂いています。 >>171
ご質問の件ですが、
A拠点 現在 plala光 + plala V6エクスプレス → ぷらら側にてIPV6-IPOEは利用しない契約、21ip.jpの固定v6サービス
B拠点 こちらは、plala光のみでもOKですが、NTTギガラインのみでもOK(ライト系は不可)
※ A拠点についてですが、ぷらら光の場合にはIPV6-IPOEが基本契約にセットされている契約ですので、
IPV6-IPOE(ぷららV6エクスプレス)を解除すると、契約変更になるかもしれません。
→ ぷららひかりメイト+NTTギガスマートタイプ
もし、契約変更でなければ、V6プラス・固定IPの契約が出来ない場合ですが、
BIGLOBE光などでもV6プラス・固定IPとの組み合わせは可能ですので、ぷらら光から
BIGLOBE光への事業者変更承諾番号をぷららへ連絡して取得、その事業者変更承諾番号を
BIGLOBEへ手続きしてBIGLOBEへ変更することでも可能です。
「あと、ご紹介頂いた 21ip.jp社 の契約メニュ−ですが・・
V6プラス固定IP 2550円 のメニュ−で宜しいのでしょうか??」
↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい) >>171
>>172
もし、ぷらら光からBIGLOBE光へ事業者変更申請をされる場合ですが、
ぷららのメールアカウントは、バリュープラン(月額250円前後)にて残す事は可能です。
BIGLOBE光の方の機能は、IPV6-IPOEとPPPOEを任意選択が出来るサービスになっています。
(IPV6-IPOEが前提とはなっていません)
よって、コラボ回線の回線コストを低減させながら、高帯域のV6プラス・固定IPの組み合わせが出来る様になっています。
ちなみに、アサヒネット光はIPV6-IPOEの解除は不可にて、解除するとフレッツプランに変更になります。
、 >>173
IIJMio光のサービスも、高帯域のv6プラス・固定IPの併用は出来るサービスになっています。
その際には、IIJMioのIPV6-IPOEは申込みはしない形にて、v6プラス・固定IPの申込みをする形になります。
ぷらら側の対応により、NTT光・ギガスマートタイプやギガラインへ変更になる場合には、
料金的な意味合いにて、ご検討下さい。 >>172
アドバイスありがとうございます
私はN西地域だったので、「NTTギガスマートタイプ」に馴染みがなくググってみたら...
半導体不足の影響で新規受け付け停止中なんですね~
一度、plala光へぷららV6エクスプレス解除の件問い合わせてみます。
もし事業者変更が必要であれば、今の回線は「光ネクストのファミリースーパーハイスピード隼」なのでコラボ光を止めてN西に戻ろうと思います。
度々質問して申し訳ないのですが・・
>> ↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい)
の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか?
ごめんなさい。。何回も。。汗 >>175
NTT西日本なのですね。
「の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか?
ごめんなさい。。何回も。。汗 」
↑ の件ですが、その解釈にてOKです。 >>175
確かに、NTTギガスマートタイプのHGW(PR600、RT600系)の生産基板が不足している状況でしたが、
回線の申込みは可能です。
暫定処置・他社製品になりますが、
・ NTT-HGWの代わりに、ヤマハ 「NVR510」を用意して、光電話収容設定(小型ONU運用)
の設定をして、DHCPv6-PD、LAN側にRAプレフィックス(Oフラグ)の配信設定をする。
・ NVR510配下にて、IXルーターのIPV6取得方法をIPV6ブリッジ設定、若しくはND-Proxy
の設定をして、V6プラス・固定IPの接続をする。
↑の方法にて、接続をされている方も居られます。 >>176
ご返信ありがとうございます
NVR510で光収容する件も夢がありますね。ただ、まだ高値止まりなので中古でも買えませんね
まずはまだ完了していないpppoeのIPsec接続を終わらせた後、ipv6の折り返しにチャレンジしたいと思います。
いつも色々教えて頂いてとても感謝を致します。 ご報告が遅くなりました。
実は・・ あれから原因不明のPPPOEエラ-がたまに発生し、IPSecのリンク切れが急に起こっていました。当初は設定ミスを疑っていたのですが、どうやらPR-500(ONU)とIXとの間に挟んでいたHUBがどうもきな臭い様で別途、新品(安物ですが)を発注したところです。
一体、このトラブルシュ-ティングで土日どころか、平日の深夜まで何日費やしたところか...
タチの悪い事に、再現性が全くなかったトラブルです。 新HUBが到着次第、またやってみます
もう疲れたよパトラッシュ.... >>179
NTT-HGW に スイッチングハブですか?
通常でしたら不要かと思いますが。
NTT-HGWのファームウェアは最新版へ更新をされていますでしょうか?
また、ひかりTV系のIPV6マルチキャスト系の通信をさせている場合には、
通常のスイッチングハブでは無くて、L2スイッチのMLDスヌーピング機能が搭載されている
タイプでなければ、無理かと思いますが。
通常の業務系・管理型L2スイッチにて、ポート毎にMLDスヌーピング制御させる形になりますが。 お返事ありがとうございます。
実はひかり電話をVPNで外部からの発信する為に
ONU背面蓋を開けてLANのメス側からLANケーブルを配線 → 安物の馬鹿HUB → IX2215とNVR500、そしてONUの後部蓋の中にあるもう一つのLANケーブル(オス)とLANアダプタ使用でLAN同士を接続
そして、NVR500のLAN側とONUのルータ機能側のLANを接続
ひかり電話はNVR500とMJケーブルで接続
自宅のNW構成はこれで運用をしておりました。
そして、今回のPPPOE利用でのIPSec接続で、新たに動的のIPv4回線を1回線を契約して、上記の馬鹿HUBにLAN接続し、下部にIX2215をぶら下げて試験をしております。
もしかして、この3セッションを利用している状態ですと、結構なお値段のMLDsnooping機能付きのスイッチが必要でしょうか?
それとひかりテレビは契約しておりません。
すみません…質問ばかりで >>181
えー。
NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、
NTT-HGW → スイッチングハブ@ → NVR500 の 光電話内線アナログ収容
NTT-HGW → スイッチングハブA → IX2215のPPPOEセッション・Ether-IP接続でしょうか?
最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね?
NVR500側にPPPOEセッションの確立をしておらず、
IX2215のみのPPPOEセッションでしたら、NTT光回線・1回線あたりのセッション数は、
2セッションまで可能な筈ですので、セッション不足では無いですね。
それよりもむしろ、NVR500側のルートと、IX2215側のルートに、IPV6アドレスが振られる形ですと、
問題ですね。
Ether-IPのIPSEC接続のブリッジ設定ですが、デフォルトにて、IPV6アドレスもブリッジングさせる
様になっていますので、IX2215側へはIPV6アドレスをブリッジングさせない形をしませんと、
IPV6アドレスのコンフリクトにて、それぞれの通信機器間の通信が不安定になる場合が想定されます。
以前のA拠点とB拠点のBVIインターフェイスの設定ですが、全ての通信がブリッジングする様になっていたかと思います。
bridge irb enable ← のみでは、IPV4とIPV6アドレスをブリッジングする様になっていましたので、
IPV6アドレスは抑止するようにしませんと、何らかの障害は出るかもしれません。
bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。
A拠点側に光電話契約をされている状況だったかと思いますが、IPV6アドレスのコンフリクトが想定されますので、
B拠点共、上記のコマンドの設定が必要になるかもしれません。
上記の設定ですが、PPPOEセッションの契約より、V6プラス固定IPの契約にすると、
IPV6アドレスの抑止をすると、BVI機能では、IPV6アドレスの通信が出来なくなりますので、
ND-Proxyの設定が必要になります。
RAプレフィックスの通信と、それ以外のDHCPv6-PDの通信は、厳密に分ける事は出来ないので、
v6プラス固定IPの回線にされる場合には、
NTT光電話回線と、IX2215のEther-IP-IPSECの回線は分けないと、無理が出てくる可能性が御座います。 >>181
>>182
先ほどの追記しました、語句ですが、一部誤入力でした。
(誤)bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。
(正)no bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。 あ…
ごめんなさい…
私の認識は光プレミアム時代で止まってまして、1光回線辺り5セッションの認識でしたw
お恥ずかしい…
実は1光回線の環境でテストしており
NVR500用の固定ipv4が一回線、それとIPsec用(テスト用回線も含めて)の動的IPv4が2回線…
セッションが既に3回線なので、そら勝手にPPPOEが切断されるよなw
ほんと申し訳無い
>>182
NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、
NTT-HGW → スイッチングハブ① → NVR500 の 光電話内線アナログ収容
NTT-HGW → スイッチングハブ② → IX2215のPPPOEセッション・Ether-IP接続でしょうか?
最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね?
IX2215とNVR500は完全に上位馬鹿HUBにて並行設置になってますので、カスケード接続等はしておりません。
IXのスイッチポートからカスケード接続出来るなんて初めて知りました。
少し調べてみます
いつもご教示ありがとうございます >>184
ファミリー・スーパーハイスピードタイプ 隼 ですが、標準2セッションで、最大5セッションの
接続サービスになりますので、PPPOEセッションが3セッション有る場合には、
フレッツセッションプラスの申込みが必要になります。
※ https://flets-w.com/opt/session_plus/
あと、光電話の内線の件ですが、NVR500に出先よりスマホのSIP内線がVPN経由にて出来る機能
が有ったかどうかは定かでは御座いませんが、NTT-HGWに直収でしたら、SIP内線は
出来る機能が有ったと思いましたが、
IX2215のBVIインターフェイスにカスケード接続する場合には、
IX2215へのリモートアクセス接続し、IX2215のBVIインターフェイスに収容している
VLANポートとカスケード接続しているHGW宛にSIP認証する形になるかと思われます。
実際には、検証が必要ですが、
例 NTT-HGW(192.168.0.1/24) → NVR500(192.168.1.0/24)にしている場合
IX2215のGE2.0-I/Fを、更にHGW用のVLANグループを追加して(既存のVLANですと、
GigaEthertnet2.2:0〜GigaEthertnet2.3:0が利用されていないようですので、
Device GigaEthernet2
vlan-group 2 port 5 6 ← と言う風に変更
no vlan-group 3 port 6 ← 削除する
interface Gigaethernet0.0
no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、
起動する
interface Gigaethernet2.0
no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、
起動する
interface Gigaethernet2:2.0
ip proxy-arp
bridge-group 1 ← ポート5〜6をHGW側の接続ポートとして、BVIグループに追加する
no interface Gigaethernet2:3.0 ← 削除
interface BVI1
ip address 192.168.1.254/24 secondary ← 光電話の内線収容の場合のBVI・VLANグループに割り当てするIPアドレス >>184
>>185
続きです。
↑ のような形になるかと存じます。
先述のお話の通り、GE0.0-I/Fには、NTT-HGWとDHCPv6-PDのアドレスが奪い合いのようなイメージにて、
IPV6アドレスが振られる場合が御座いますので、IX2215側には、IPV6アドレスはBVI側には配信しないようにする形に
なるかと思います。
NTT-HGW系とIX2215のBVIインターフェイス間のカスケード接続での光電話認証をする場合には、
検証が必要になるかと思います。
GE2.0-I/Fのポート5〜6をHGW系のルートとしてイメージしていますので、
ポート5番からHGW系に接続、ポート6は、社内の無線LANアクセスポイント経由にて、
スマホ内線などをする場合のポートをイメージする形になるかと存じます。
よって、無線LANアクセスポイント側にて、通常のインターネットと音声内線用のVLANを
構成出来るタイプ、ESS-IDをVLAN毎に分ける形になるかと思います。 >>185-186
ご返事ありがとうございます
頂いた貴重なアドバイスから察すると、検証は必要との事ですがNVR500を撤去してIX2215のGE2.0側から直接NTT-HGWと接続するイメ-ジで宜しいでしょうか??
まだ私の知識が付いていけてないので、ご教示頂ければ幸いです。
NVRを撤去出来るのであれば、機器のコンセントや置き場所に余裕が出るので嬉しいですね~
NVR500はNTT-HGWのSIPクライアントとして利用していました。もちろんひかり電話はNTT-HGWに直収しています。
NVR500を設置した経緯として、IX2215がSIP-NATが無いとの情報を見た事があったからです(本来は性能が良いIXをSIPクライアントにしたかったのですが・・)
>>182
を読ませて頂いたのですが、「bridge 1 bridge ipv6」のコンフィグをググってみると、とても良い勉強になりました
ありがとうございます >>187
NTT-HGWとの接続の件ですが、IX2215のブリッジインターフェイスの一部機能、
プルーター機能を併用する形になりますね。
ポート5〜6番が利用中ということでしたら、GigaEthernet1.0のインターフェイスも空いている様ですので、
GigaEthernet1.0のインターフェイス、BVIインターフェイスにNTT-HGWと同一セグメントの
IPアドレスをセカンダリ登録として設定することで、BVIインターフェイスからNTT-HGWへのLAN-IP
アドレスへ通信は出来るかと思います。
例 NTT-HGW(192.168.0.1/24)の場合
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
interface BVI1
ip address 192.168.0.254/24
bridge-group 1
no shutdown
↑のような形ですと、NTT-HGWのLANポートより、IX2215のGigaEthernet1.0のポートに
追加増線して、BVIインターフェイスと紐付ける形のイメージになります。 >>187
NVR500を撤去する形の件ですが、NVR500のTELポートにFAX複合機や電話機を接続している場合には、
NTT-HGW側のTELポートを利用する形になりますね。 >>187
既存のNTT光電話有りのA拠点の件ですが、V6プラス・固定IP等の高帯域回線を利用する場合の件ですが、
光電話側の回線は、電話のみの光NEXTライトのコースで大丈夫かと思います。
V6プラス・固定IPの追加申込みの回線側を、光電話無しのデータ通信のみの回線の申込み
が良いかと思います。
IX2215の光収容の設定により、
以下例
GE0.0-I/F(DHCPv6-PD) → VNEトンネル1(V6プラス・固定IP)
、BVI1-I/F側にIPV6アドレスをND-Proxyにて配信する形
GE1.0-I/F(NTT-HGWからの配線) → BVI1-I/FとブリッジングIPとする アドバイスありがとうございます。
ぜひ、このPPPOEでの接続が一段落すれば、次にipv6での折返し接続にチャレンジしたいと思います。
PPPOEの方は本日、NVR500の固定ipのセッションを外して、HUBも変えて再チャレンジしたいと思います。
お盆休みまでに終われるかなぁ~ >>191
そうですか。
光電話のVPNスマホ内線もされるようですから、国際電話などの通信含めて、不正ログインや
不正アクセス対策、アプリケーション制限やWebフィルタリング、サンドボックス対策、
他脆弱性対策のためですが、UTM等の装置を入れた方が良いかと思いますが。
※ Fortigate61F、Fortigate80F、SonicWALL TZ670 等 >>192
すみません・・
もう少しアドバイス頂けたら助かります
最終的にリンクで貼った配線図を目指しています
調子が悪い馬鹿HUBも安物ですが新品交換を行い、3セッションになっていた環境を2セッションに戻しました。
AとB拠点のIX2215のみ設置の状況だと無事にIPSecで接続出来ました(VLANの設定は無し)
ところが、ABの各拠点の下にL2スイッチ(WS-C2960CG-8TC-L)をそれぞれ設置を行い、IX2215のAとB拠点にて、VLAN10-VLAN30のコンフィグを入力したところ、スイッチ側のVLAN10アクセスポートではB拠点からA拠点を経由してインタ-ネットへ出ていけますが、VLAN20とVLAN30はB拠点からAへ出ていくどころかB拠点IX2215からDHCPも落ちてきません。
設定事例集等を確認はしたのですが、どうももうお手上げ状態です。
何かコンフィグで変な部分ありますでしょうか??
スレチになるかもしれませんが、念のためスイッチのコンフィグも貼らせて頂きます。
VLAN10~VLAN30は互いにアクセス出来ない様にしたいと思っております
https://imgur.com/a/O5Nd9kR
https://imgur.com/a/wXXxvtS
https://imgur.com/a/WT3MYAD
https://imgur.com/a/tjlGPqf
https://imgur.com/a/bkbwnAV それと・・
以前のご教示頂いた
route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.254 Tunnel1.0 source BVI1
action 10 ipsec clear-sa Tunnel1.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
のコンフィグは一旦、仮で削除をしています。
それとアドバイス頂いたUTM導入についても、ココは勉強の機会と言うことで一度調べてみます。paloaltoのライセンス切れ古いのは持ってるのですが・・
私の知識不足で質問ばかりで大変申し訳ございませんが、ご教示頂ければ幸いです >>193
あー、やっぱりシスコのL2スイッチの構成ですか。
IX2215からトランクポートの接続となりますと、その間はポートベースVLANでなければ
無理かと思いますが。
トランクリンクポートとして設定しましたグループへ、他のVLAN10〜30を参加する様に設定変更は出来ませんか?
もし、IX2215のタグVLAN若しくはタグ無しVLANの構成をされた場合ですが、
トランクポートとIX2215間のタグ要件を分けないと、うまく通信が出来ない可能性が御座います。
ご指摘の図で言いますと、トランクポートのVLAN30とIX2215の間のVLANをポートベースVLAN
間にて接続して、L2スイッチ側・トランクポートの管理IPアドレスを、192.168.101.***/24(A拠点、B拠点にて空いていて、
L2スイッチに割り当て出来るIPアドレス)、デフォルトゲートウェイ192.168.101.254、プライマリDNS192.168.101.254
と設定し、VLAN20(仮に192.168.102.0/24)、VLAN30(仮に192.168.103.0/24)と
設定は可能でしょうか?
VLANで分けるのであれば、IX2215側のIPと分割させないと、うまくいかないかと思います。
その場合には、IX2215側の静的ルーティング経路として、
ip route 192.168.102.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP)
ip route 192.168.103.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP)
それと、IX2215のBVI2、BVI3のブリッジグループがおかしいので、全て1に変更可能でしょうか?
bridge 1 group >>193
>>195
続きです。
ご指定のタグVLANの構成の場合ですと、タグVLANのグループエントリー10がトランクポート扱いになります。
対象インターフェイスは、GigaEthernet2:1.1 になります。
こちらのインターフェイスのタググループと、GigaEthernet2:1.2〜GigaEthernet2:1.3
が同一グループになるように、BVIインターフェイスの追加をしてみて下さい。
あと、VLAN間のルーティングをさせる場合にですが、
BVI1のインターフェイスに、セカンダリIPアドレスを設定しませんとVLAN間ルーティングが
うまくいかない場合が御座います。(IX2215のタグVLANとカタリストのタグVLANの互換性の関連)
それと、Ether-IP-IPSECのトンネルを複数作成されているようですが、
こちらは意味が無い構成です。
恐らく、Tunnel2.0〜Tunnel3.0の宛先トンネルですが、Tunnel1.0のエントリーにて、
A拠点とB拠点のIPSEC接続は確立をしていますので、
BVIインターフェイスを同一のブリッジグループにするぐらいでしょうか。 >>193
>>196
方法として整理すると、
ポートベースVLANとタグVLANを併用する場合
(1) IX2215と2960間のトランクポート接続をポートベースVLANで接続して、
そのポートベースVLANグループに、VLAN20〜30を参加させる。
(2) ポートベースVLANの場合には、静的ルーティング経路として、
192.168.102.0/24、192.168.103.0/24宛のルーティングをL2スイッチに向ける。
(3) この場合には、B拠点のVLAN20〜30を別のIPセグメントにしないとうまくいかない。
例 VLAN20(192.168.104.0/24)、VLAN30(192.168.105.0/24)
(4) A拠点からB拠点のVLAN20〜VLAN30の静的経路をTunnel1.0に向ける
全てタグVLANにて構成する場合
(1) IX2215と2960間のトランクポート接続をタグVLANエントリー10で接続して、
そのグループに、VLAN20〜30を参加させる。
(2) タグVLANのBVIインターフェイスが、IX2215で言うトランクポートの扱いになりますので、
BVIインターフェイスのグループを共通にする。 >>197
アドバイスとても助かります
仰せのお話ですと…
1. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANID無し
2. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANIDあり
3. IX2215とシスコスイッチ間の接続が、タグVLAN&タグVLANIDあり
な感じでしょうか。
私の知識がまだ不足しているので、間違えていればごめんなさい…
一番シンプルなコンフィグ構成が3ですね。
1はIXとスイッチ間のLANケーブルが増えそうですね。少し比較検討しながら再チャレンジしてみます。まだ知識不足で良く理解出来ていなのですが、2のパターンでやってみたいと思います。
3のパターンですと、VLAN10-30は全ての同じBVIグループになるので、VLAN間のアクセス許可の設定必要そうですね。
いつもありがとうございます。
スレチになるかも知れませんが、ciscoの無線コントローラーとAPが思わないところから手に入り、どうしても使ってみたくて複雑な構成になってしまいました。
土日利用して再度、チャレンジしてみます >>198
IX2215のタグVLANの機能と、シスコ2960のタグVLANの仕様が若干互換性の差が御座いますので、
一度、IX2215のVLANグループをピュアな方法からやり直してみる形が良いかと思います。
Device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5
vlan-group 3 port 6
interface GigaEthernet2:1.1〜2:1.4 と物理ポート1番の配下にサブインターフェイス
を作成して、タグ付きVLANを設定されているようですので、
一度、トランクポート・ポートベースVLANのグループの設定を分けて、タグVLANの物理ポートを、
トランクポートと同一グループの設定を、2960側にて確認をすると良いかと思います。
端末台数が多い環境ですと、IX2215にタグ制御の設定までしてしまうと、若干負荷が高くなりますので、
IX2215配下にて、L3スイッチでのVLANルーティングの方が良いかと思います。
あと、WLCコントローラーと管理APですが、デフォルトにて、ネィティブVLANが優先する様になっていますので、
明示的にタグVLANのグループに属するエントリーにするか、若しくはトランクポート
と共通のポートベースVLANのポートに属するかをご確認された方が良いかと思います。
シスコ系の無線LANですが、ネイティブVLANとタグVLAN、ポートベースVLANですが、
同一の物理インターフェイスの配下にサブインターフェイスとして想定すると、比較的
誤動作が有ったかと思います。
機能的には、タグVLANとネイティブVLANを共用出来ると公表しているのですが、
タグVLANとネイティブVLANを併用すると、エントリー番号が若番より優先されるようになっているのですが、
iOS-XEのバージョンの問題、若しくは不具合が比較的多いです。
以外と、シスコ系のコントローラーやAPは、他社製品との落とし穴が御座います。
IX2215と組み合わせる場合には、UNIVERGE-QXのL2若しくはL3スイッチ、
無線LANは、「QX-W1130」 等の方が良いかと思います。 >>198
>>199
シスコ系のL2スイッチ、L3スイッチに共通ですが、タグ付きVLAN、タグ無しVLANの通信
のiOS-XE等の制御・仕様ですが、他社製品のタグを解釈出来ない重大な問題が御座います。
何故か、VLAN多重化をしました際に、タグ付きVLANでタグの制御が出来ず、ネイティブVLANの構成にされた際に、
タグまで出力してしまうとか、かなりおかしい仕様が有ったかと思います。
L2スイッチ、L3スイッチ系にてメーカー相違でも互換性が高いラインナップですが、
NEC以外に、アライドテレシス、ネットギア、Buffalo系が、素直な動作をしました。
アライドテレシスは、ルーター系は良くないですが・・・。 >>198
>>200
シスコのL2、L3スイッチに共通でしたが、VLAN-ID1番のエントリーですが、ネイティブVLAN
(タグ無しVLAN)が固定になっています。他のIXルーター等の他のネットワーク、WLCコントローラーAP
含めて、VLAN-IDエントリー1番を設定すると、他のVLAN-IDより優先する様になっており、
VLAN-IDを利用しIXルーターのトランクポートとのタグVLANを構成する場合には、
トランクポートの対象のVLAN-ID1番エントリーを利用するかどうかで、トランクポート対象の
VLANモードが変ります。
よって、IXルーター間のトランクポート間の接続をタグVLAN系で想定する場合には、
トランクポート間は、ネイティブVLANで想定し、他のVLANグループ20〜30をタグ有りで構成し、
VLAN20〜30のアクセスポートをトランクポート・ネイティブVLANに参加させる方法を採らないと、
うまく通信が出来ない状況も想定されます。
IX2215とのトランクリンクの相性も御座いますが、トランクポートを
ポートベースVLANにするか、ネイティブVLANにして、エントリ番号を若番にしないと、
他のタグVLANのトランクリンクが出来ない可能性が御座います。 >>195-197
いつも色々な知識教えて頂いてありがとうございます。
先日に教えて頂いた「ポートベースVLANとタグVLANを併用する場合」のパタ-ンでコンフィグ書いてみたのですが、こんなイメ-ジで宜しいでしょうか??
ただ、スレチで申し訳ないのですが、Ciscoスイッチ側でご教示頂いた管理IPを投入する事が出来ません。(※印で書かせて頂いた様な症状です)
私がまだ勘違いしている部分ありますでしょうか??
一応、コンフィグは抜粋した部分のみとなります
少しどツボに嵌ってます....涙 **IX2215-A拠点1/2**
ip route default GigaEthernet0.1
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
ip route 192.168.102.0/24 Tunnel1.0
ip route 192.168.103.0/24 Tunnel1.0
!
ip dhcp profile vlan10
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3 **IX2215-A拠点2/2**
interface GigaEthernet2:1.1
ip address 192.168.101.254/24
encapsulation dot1q 10 tpid 8100
ip dhcp binding vlan10
bridge-group 1
!
interface GigaEthernet2:2.1
ip address 192.168.102.254/24
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
!
interface GigaEthernet2:3.1
ip address 192.168.103.254/24
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1
!
interface BVI1
bridge-group 1 **C2960-A拠点1/2**
ip default-gateway 192.168.101.254
ip name-server 192.168.101.254(プライマリDNSを投入するコマンドは無かったので、コチラで投入)
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk allowed vlan 10
switchport mode trunk
!
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk allowed vlan 20
switchport mode trunk
!
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk allowed vlan 30
switchport mode trunk
!
interface GigaEthernet0/4
switchport access vlan 10
switchport mode access
!
interface GigaEthernet0/5
switchport access vlan 10
switchport mode access
!
interface GigaEthernet0/5(Cisco 無線コントロ-ラ-へ)
switchport trunk allowed vlan 10-30
switchport mode trunk **C2960-A拠点2/2**
!
interface Vlan10
ip address 192.168.101.252 255.255.255.0
!
interface Vlan20
ip address 192.168.102.252 255.255.255.0
!
interface Vlan30
ip address 192.168.103.252 255.255.255.0
※A拠点の(C2960catalyst)へL2スイッチ側・トランクポートの管理IPアドレスとして、192.168.101.***/24(A拠点、B拠点にて空いていて、L2スイッチに割り当て出来るIPアドレス)の投入を試してみましたが、「interface Vlan10・Vlan20・Vlan30」へ互いに同一セグメントの管理IPの投入(192.168.101.***/24)は不可でした(エラ-として・・% 192.168.101.0 overlaps with Vlan10)
また、interface GigaEthernet0/*へ直接の管理IPアドレス投入も同様に不可能でした **IX2215-B拠点1/2**
ip route default GigaEthernet0.1
ip route 192.168.104.0/24 192.168.101.251
ip route 192.168.105.0/24 192.168.101.251
ip route 192.168.104.0/24 Tunnel1.0
ip route 192.168.105.0/24 Tunnel1.0
!
ip dhcp profile vlan10
assignable-range 192.168.101.151 192.168.101.200
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan20
assignable-range 192.168.104.1 192.168.104.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan30
assignable-range 192.168.105.1 192.168.105.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3 **IX2215-B拠点2/2**
!
interface GigaEthernet2:1.1
ip address 192.168.101.253/24
encapsulation dot1q 10 tpid 8100
ip dhcp binding vlan10
bridge-group 1
!
interface GigaEthernet2:2.1
ip address 192.168.104.253/24
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
!
interface GigaEthernet2:3.1
ip address 192.168.105.253/24
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1
!
interface BVI1
bridge-group 1 **C2960-B拠点1/2**
ip default-gateway 192.168.101.254
ip name-server 192.168.101.254(プライマリDNSを投入するコマンドは無かったので、コチラで投入)
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk allowed vlan 10
switchport mode trunk
!
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk allowed vlan 20
switchport mode trunk
!
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk allowed vlan 30
switchport mode trunk
!
interface GigaEthernet0/4
switchport access vlan 10
switchport mode access
!
interface GigaEthernet0/5
switchport access vlan 10
switchport mode access **C2960-B拠点2/2**
!
interface Vlan10
ip address 192.168.101.251 255.255.255.0
!
interface Vlan20
ip address 192.168.104.251 255.255.255.0
!
interface Vlan30
ip address 192.168.105.251 255.255.255.0
※B拠点の(C2960catalyst)へL2スイッチ側・トランクポートの管理IPアドレスとして、192.168.101.***/24(A拠点、B拠点にて空いていて、L2スイッチに割り当て出来るIPアドレス)の投入を試してみましたが、「interface Vlan10・Vlan20・Vlan30」へ互いに同一セグメントの管理IPの投入(192.168.101.***/24)は不可でした(エラ-として・・% 192.168.101.0 overlaps with Vlan10)
また、interface GigaEthernet0/*へ直接の管理IPアドレス投入も同様に不可能でした
みなさま連投&スレ汚しお許しを..... >>202-206
A拠点の静的経路情報
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
は不要ですね
interface GigaEthernet2:1.1〜interface GigaEthernet2:3.1
IPアドレス192.168.101.254/24〜192.168.103.254/24
にて、タグVLANのグループを別ポートにて切っており、ポートベースVLANとタグVLANの併用モードになっています。
BVIインターフェイスのブリッジグループに統合していますので、同一のBVIグループにて、
EtherIP-IPSECトンネルに通す形になるかと存じます。
なりますね。
お持ちのC2960スイッチの機能・ライセンスですが、ポートVLANの設定をしました際
にそのポートをスイッチポートのトランキングが、タグVLANとISLしかグループの指定が
出来ない様ですので、C2960側のトランクポートをネイティブグループに追加をして頂く形になるかと思います。
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk native vlan 10
switchport trunk allowed vlan 10
switchport mode trunk
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk native vlan 20
switchport trunk allowed vlan 20
switchport mode trunk
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk native vlan 30
switchport trunk allowed vlan 30
switchport mode trunk
上記の設定にて、トランクポート対象のポートをポートVLAN・トランクモードの扱い
になるかと存じます。 >>202-206
続きです。
別の方法・基本的には、単一のポートに複数のポートVLANとVLANグループの追加は出来る筈なのですが、
要確認になります。
例
interface GigabitEthernet0/*** (IX2215間のトランクポート・ポートベースVLANを指定
switchport trunk native vlan 10-30
switchport trunk allowed vlan 10-30
switchport mode trunk
spanning-tree portfast trunk
あと、無線LANコントローラーのVLAN参加ですが、
トランクポートでは無く、アクセスポートになるかと存じます。
interface GigaEthernet0/5(Cisco 無線コントロ−ラ−へ)
switchport trunk allowed vlan 10-30
switchport mode access
C2960の他のポートについては、アクセスポートの設定がOKかと思います。 >>202-206
続きです。
EtherIP-IPSECトンネルのDDNS同士の接続、同一トンネルに複数のタグVLANを通す場合ですが、
ipsec local-id ipsec-policy1 192.168.101.254
ipsec remote-id ipsec-policy1 192.168.101.253
は不要かと思います。
あくまでも、どちらかのIPSECトンネルにVLAN10〜30までを通す場合になりますが。 >>207-211
B拠点の静的経路の件ですが、
ip route 192.168.104.0/24 192.168.101.251
ip route 192.168.105.0/24 192.168.101.251
ip route 192.168.104.0/24 Tunnel1.0
ip route 192.168.105.0/24 Tunnel1.0
は不要です。
代わりに、
ip route 192.168.102.0/24 Tunnel1.0
ip route 192.168.103.0/24 Tunnel1.0
VLANのIP関連ですが、既存のC2960のスイッチの機能・ライセンスの大凡野状況が解りましたので、
IPを分ける必要は無いかと思います。(下記へ変更)
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
interface GigaEthernet2:2.1
ip address 192.168.102.253/24
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
interface GigaEthernet2:3.1
ip address 192.168.103.253/24
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1 >>207-211
続きです。
C2960の件(B拠点)
VLANのトランクモードのポートVLANの状態の追加については、A拠点と同じです。
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk native vlan 10
switchport trunk allowed vlan 10
switchport mode trunk
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk native vlan 20
switchport trunk allowed vlan 20
switchport mode trunk
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk native vlan 30
switchport trunk allowed vlan 30
switchport mode trunk
他のポートについては、アクセスポートでOKです。
シスコの無線LANの接続もあるようでしたら、アクセスポートでOKかと思います。
B拠点のIX2215のEtherIP-IPSECの設定もですが、同一のIPSECトンネルに、複数のタグVLAN
を通す場合(DDNS運用)でしたら、
ipsec local-id ipsec-policy1 192.168.101.253
ipsec remote-id ipsec-policy1 192.168.101.254
は不要かと思います。 ヤフオクで、2105と2215が大量出品されていると嬉しいけど、ちょっと微妙。
お金ある人は新品買ってね。 >>202-211
シスコL2スイッチ、L3スイッチの場合ですが、あくまでもシスコのISRやASAなどのゲートウェイや
UTMなどに揃えた場合の機能になっています。
他社のルーターやセキュリティ関連のVLAN接続の相性、親和性の差が、iOS、iOS-XEのバージョン・モデルによって変わります。
他社製品が混在になっている場合については、シスコ側もサポートしていない部分もあるので、出来れば、他社製品でGUIなどから
設定が出来るタイプで、互換性があるとこ炉の製品を選択された方が良いかと思います。
シスコのネイティブVLAN・トランクモードと、VLANにIPアドレスを割り当てました場合について、
ネイティブVLANのシスコ仕様にて、VLAN-IDの優先順位が若番より優先される仕様になっていますことと、
シスコの無線LAN側のVLAN設定もネイティブVLAN-IDの設定を揃える、VLAN-IDを増やす場合には、
VLAN-ID毎にESS-IDを紐付ける設定になります。 >>218
いつもご教示ありがとうございます
色々と試してみたのですが・・・
IX2215(A・B)へコレを入れ
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3
ip dhcp profile vlan10
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150(※B拠点 102.151-102.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150(※B拠点 103.151-103.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254 interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
encapsulation dot1q 10 tpid 8100
ip dhcp binding vlan10
bridge-group 1
!
interface GigaEthernet2:2.1
ip address 192.168.102.254/24(※B拠点 253/24)
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
!
interface GigaEthernet2:3.1
ip address 192.168.103.254/24(※B拠点 253/24)
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1
!
interface BVI1
bridge-group 1
Catalyst 2960 へ
interface GigabitEthernet0/8(※ここでご教示頂いたswitchport trunk native vlan**は投入不可でした)
switchport trunk allowed vlan 10-30
switchport mode trunk
このケースだと、私のC2960では他のアクセスポートへLANを挿してもリンクUP出来ないみたいです。
但し、この次のパタ-ンだとIX2215とC2960は疎通出来ます interface GigaEthernet2:1.1
encapsulation dot1q 10 tpid 8100
auto-connect
no ip address
ip proxy-arp
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
no ip address
ip proxy-arp
bridge-group 2
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
no ip address
ip proxy-arp
bridge-group 3
no shutdown
!
interface BVI1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan10
bridge-group 1
no shutdown
! interface BVI2
ip address 192.168.102.254/24(※B拠点 253/24)
ip dhcp binding vlan20
bridge-group 2
no shutdown
!
interface BVI3
ip address 192.168.103.254/24(※B拠点 253/24)
ip dhcp binding vlan30
bridge-group 3
no shutdown
ただ、これだと同一拠点内で疎通可能ですが、下図のTunnel部分から別拠点に向けて抜けれないですね
IX2215側のTunnel1.0でマルチbridge-group は不可能な様です
interface Tunnel1.0
tunnel mode ether-ip ipsec
no ip address
ip filter dhcp-sec 1 in
ip filter dhcpv6-sec 2 in
ip filter dhcp-pass 100 in
ipsec policy transport ipsec-policy1 with-id-payload
bridge-group 1(※bridge-group 1のみ投入可)
bridge ip tcp adjust-mss 1300
no shutdown IX2215のAとB間はPPPOEを利用して、Vlan10のみ疎通出来ています。
Vlan20とvlan30をTunnel1.0へ通す方法がネックですね~
ココでご指摘を受けた通り、IXとciscoスイッチの親和性の問題もあるかも知れませんね
明日も色々とやってみます
とりあえずのご報告とさせて頂きます
本日もスレ汚し&連投ゴメンナサイ....
ちなみに私は・・ オクで多数出品されているIX2207狙いですかね~ IX2105はUSBでデ-タやり取り出来ないからメンテするのがメンドクサイな~
安いけどw >>219-222
そうですか。
「switchport trunk native vlan」コマンドの投入出来ない時点で、ネイティブVLANに対応
出来ないライセンス・機能のスイッチですか、あり得ないですね。
確認ですが、シスコのL2スイッチのiOS-XE、iOSのバージョンはいくつですか?
iOS-XEのバージョンの場合ですが、17.3.X などのバージョンにて同CLIコマンドを
受け付ける様になっていたかと思います。
iOSのバージョンの場合には、15.2.6以降のバージョンの場合には、受付可能となっております。
モデルナンバーにより、dot1qのみの対応のL2スイッチであることが濃厚です。
失敗しましたね。
購入元に、2960スイッチの末尾型式・モデルナンバーを確認し、ネイティブVLAN機能
とISLが利用出来ないモデルであったことを確認された方が賢明です。
IX2215側の問題では無く、IX2215のBVI(シスコで言うSVI)のEtherIP-IPSECの設定もですが、
には、タグVLANのマルチセグメントの通信は出来ますが、IPSEC内部にて、インターフェイスの識別が
独自の識別を採用しているため、IPSEC側に透過出来ない状況かと存じます。 >>219-222
続きです。
L2スイッチを買い直しされた方が良いかと思います。
ちなみに、シスコAironetの無線LANの規格ですが、POE給電をしているタイプかと思いますが、
POEの給電方式もシスコ独自のCDP方式を採用、ネイティブVLANがデフォルトで、
タグVLANを追加することで、お持ちの2960側のタグ参加が出来るタイプかと存じます。
ネットギア製のL2スイッチには、CDP方式の通信を可能とするISDP規格の設定が出来るので、
ISDP規格のモードの設定をして、シスコのAironetのネイティブVLANグループとタグVLANグループの連携が出来る様になっています。
お持ちの2960スイッチですが、ネイティブVLANの追加がVLAN毎に出来ないタイプであること
の件ですが、モデルによりネイティブVLANのエントリー番号が1番のみエントリー出来るものもある
様ですので、確認頂いた方が良いかと思います。
要は、ネイティブVLAN(ポートVLANも併用可)のVLANエントリーが1番のみしか対応出来ないモデルか、
若しくは、全てのエントリーにてネイティブVLANが利用出来ないモデルで有ることが想定されるかと存じます。
もし、私の創造通りですと、
IX2215側(A拠点)
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan1
bridge-group 1
2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1
switchport mode trunk
interface GigaEthernet2:2.1〜interface GigaEthernet2:3.1 までのBVIグループを1番を指定
interface BVI1 〜 interface BVI3 までのBVIグループも1番を指定
interface Tunnel1.0 のEtherIP-IPSECトンネルのBVIグループも1番を指定
してみてもダメですと、2960スイッチ側のモデルの問題となります。 >>219-222
補足です
先ほどの設定の確認をして、ネイティブVLANがVLAN1に追加が出来たと言う条件ですが、
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
にして、ネイティブVLAN1番のVLANインターフェイスにVLANグループを許可を追加
してみて下さい >>219-222
補足です
ネイティブVLANエントリー1番の追加が出来た条件下ですが、
シスコの無線LAN、AironetのVLANエントリーもVLAN1にて利用出来る様にする必要があるかと思われます。
VLAN1配下にて、タグVLAN毎にESS-IDを設定されたい場合には、個別に追加と言うことになるかと思います。
EtherIP-IPSECトンネルには、複数のタグは通すことは出来る様になっていますが、
BVIグループは単一になっていますので、ブリッジグループは1番のみにして、
VLAN1、VLAN20〜30については、同一のブリッジグループにしてみて下さい。 >>219-222
シスコの2960スイッチのモデルによって、先ほどのVLAN10→VLAN1への変更が出来ず、
ネイティブVLANの設定も出来ないタイプとなりますと、先ほどのネットギアのL2スイッチにして、
ネットギアの無線LAN「WAX630」あたりにされた方が良いかと思います。
若しくは、NEC UNIVERGE-QXスイッチとQX-Q1130無線LANあたりになります。
NEC系のスイッチ・無線LANですと、IX2215にて利用設定されました、Netmeister-DDNS機能
と併せての機能にて、Netmeister機能でのクラウド連携管理が利用出来るようになります。 >>219-222
補足ですが、もしBuffalo-L2スイッチに変更するとなりますと、WEB-GUIから簡易的に
トランクポートVLAN(マルチプルVLANと言っていますが)の設定に、タグとネイティブVLAN
のエントリーが出来る様になっていますが、Aironetの無線LAN規格のCDP方式の給電方式に対応しておらず、
Airstation-Proへの買い直しが必須条件になります。
BuffaloのPOEの方式ですが、LLDP方式を採用しており、無線LAN装置もLLDP方式になります。
NECのUNIVERGE-QXは、CDP方式の設定は出来ること、ポートベースVLANの設定とタグVLAN、ネイティブVLANの設定は出来る様になっています。
他にそのインターフェイスについて、タグとネイティブを併存出来るハイブリッドモードの設定が出来る様になっています。
あと、別件のIX2207の件ですが、IPSEC-VPNの速度が遅いタイプになりますので、
ほぼ同額のIX2215の方が良いかと思いますが。 >>219-222
VLAN1をネイティブVLAN・トランクポートに出来そうでしたら、
VLAN1のアドレスは192.168.1.254/24(BVI1、ブリッジグループ1)、シスコ側で言う、
独自のポートVLANの機能になることと、そのネイティブVLANのVLAN1に、VLAN20〜VLAN30をグループ化
させる方法になります。
IX2215側では、既存のコンフィグですと、VLAN1もVLAN20、VLAN30もタグ扱いになりますが、
シスコのL2、L3スイッチのVLAN制御が独自の部分が御座いますため、NECやネットギアで言う、
ハイブリッドモードのVLANの運用までいかない可能性が御座いますが、
IX2215側のVLAN1のモードをタグが無いVLAN(ポートベースVLAN)にして頂く形になるかもしれません。
ポートベースVLAN+タグVLANの併用イメージになりますが、
その際には、2960のVLAN1側のIPアドレスを分けて決めて頂く形になるかと思われます。 >>230
続きです。
2960(A拠点側)
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
interface Vlan1
ip address 192.168.101.252 255.255.255.0
※ vlan10はそのまま、vlan1へ移管するイメージ
IX2215側のVLAN1側へのルーティング処理が必要になるかもしれませんね。
→シスコのVLAN制御・ネイティブVLANの仕様が独自のため
IX2215(A拠点側)
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
サブネットレベルが/24宛てのアクセスを、192.168.101.252のL2スイッチ側へ向けていますので、
B拠点側の同一セグメントを利用しサブネットの分割も必要になるかもしれません。
/24 → 192.168.102.1〜192.168.102.254
/25 → 192.168.102.1〜192.168.102.126、192.168.102.129〜192.168.102.254
サブネットの分割をして、A拠点とB拠点宛ての静的経路も分ける場合には、
IX2215(A拠点)
ip route 192.168.102.0/25 192.168.101.252
ip route 192.168.103.0/25 192.168.101.252
IX2215(B拠点)
ip route 192.168.102.128/25 192.168.101.***(***には、B拠点用のVLAN20のIPを設定、128〜254まで)
ip route 192.168.103.128/25 192.168.101.*** (***には、B拠点用のVLAN30のIPを設定、128〜254まで) >>224-231
たくさんご教示頂いてありがとうございます
スレ違いで申し訳ないのですが、AとB拠点のIX2215から下にぶら下がるCiscoスイッチは、C2960CGとなりファンレスタイプのコンパクトタイプのスイッチです。
他のスイッチも検討したのですが、自宅ユ-スではあまりにもファンの騒音が激しくてコチラにしました。
ただ...凄い熱持ちますね>>224
これw
show versionの結果を貼っておきます。 IOS-XEはコチラに存在せず、あくまでもIOSのみになります。
A拠点-2960
Switch#show version
Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2)E1, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Tue 18-Nov-14 16:29 by prod_rel_team
ROM: Bootstrap program is C2960C boot loader
BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFTWARE (fc1)
Switch uptime is 16 minutes
System returned to ROM by power-on
System restarted at 01:27:21 UTC Wed Mar 30 2011
System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-universalk9-mz.152-2.E1.bin"
Last reload reason: Unknown reason
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERSALK9-M ちなみにB拠点のスイッチはコチラです
B拠点-2960
Switch#sh version
Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Tue 18-Nov-14 16:29 by prod_rel_team
ROM: Bootstrap program is C2960C boot loader
BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFT
Switch uptime is 8 minutes
System returned to ROM by power-on
System restarted at 01:27:21 UTC Wed Mar 30 2011
System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-uni
Last reload reason: Unknown reason
witch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERS
アドバイス頂いた件で、いまからチャレンジしてみます。
ありがとうございます >>232-233
シスコのC2960CGスイッチだったのですね。
C2960XR系でしたら、どのポートにネイティブVLANに設定しても、タグVLANとネイティブVLAN
の併用にて動作する趣旨のCLIリファレンスが有ったのですが、C2960CGタイプですと、
デフォルトVLANでのネイティブVLANモードがVLAN1に限定されているモデルが有るようです。
同一のC2960Cモデルでも沢山御座いますので、ハズレの機種をご用意されたのが濃厚です。
iOSのバージョンが、15.2(2)ですので、比較的古いですね。
C2960C系でしたら、15.2(6)〜(7)が利用出来るモデルが有るのですが、
C2960C〜C2960Plus系でしたら、適用するiOSが比較的新しいものが利用可能なリリースが有るようです。 >>232-233
A拠点とB拠点の静的経路を/25サブネットで分けてルーティングさせる場合の件ですが、
A拠点のVLAN毎のIPアドレスも/25サブネット範囲に合致するように設定を変更しないといけませんので、
ご確認下さい。
例1 192.168.102.0/25、192.168.102.128/25 → VLAN20のL2スイッチのIPアドレス、DHCPサーバ範囲
例2 192.168.103.0/25、192.168.103.128/25 → VLAN30のL2スイッチのIPアドレス、DHCPサーバ範囲 >>225でアドバイス頂いた・・
>>
IX2215側(A拠点)
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan1
bridge-group 1
2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1
switchport mode trunk
interface GigaEthernet2:2.1~interface GigaEthernet2:3.1 までのBVIグループを1番を指定
interface BVI1 ~ interface BVI3 までのBVIグループも1番を指定
interface Tunnel1.0 のEtherIP-IPSECトンネルのBVIグループも1番を指定
してみてもダメですと、2960スイッチ側のモデルの問題となります。
の件で、IX2215側のBVIにipアドレスやdhcp profileのナンバ-を振っていかないと、Catalyst側では通信を受付けしない様です。他のセグメント(102.0/24と103.0/24)があるので、マルチになる関係でIXのBVIにipアドレスを投入出来ないですね~ そもそも、エラ-でIXから叱られますが。。
念の為に・・、ノ-トPCのLANドライバ-にてVLANの設定をして、本来であればC2960へ向かうLANケ-ブルを、直接ノ-トPCに挿すとIXとPCの疎通が出来ました。これはcatalyst 2960側の問題となりますね~ 素直にcatalystを挟むのを止めてIXのみで配線図を作ってみようと思います。
ただ、Ciscoの無線コントロ-ラ-をA拠点に置いてB拠点にてAironetのAPを遠隔利用しますので、IXと直接に疎通が出来るか問題になりそうですね
たくさんのアドバイスありがとうございます >>236
2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
にして、VLAN1・ネイティブVLANに、VLAN20〜30を紐付けて、
VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、
VLAN20〜VLAN30・BVI1に紐付ける方法はしましたか?
GigabitEthernet0/8 のみのトランクポートにして、VLAN1、VLAN20、VLAN30を
接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。
A拠点は、
VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、
VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、
DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか?
B拠点は、
VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、
VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、
DHCPプロファイルのルールも/25のルールにて分割
A拠点よりB拠点のVLAN20〜30宛ての静的ルーティングは、
ip route 192.168.102.128/25 Tunnel1.0
ip route 192.168.103.128/25 Tunnel1.0
B拠点よりA拠点のVLAN20〜30宛ての静的ルーティングは、
ip route 192.168.102.0/25 Tunnel1.0
ip route 192.168.103.0/25 Tunnel1.0
というイメージになるかと思いますが、お試し頂くと如何でしょうか? >>236
シスコのAironetの無線LANの件ですが、仕様的にデフォルトにて、
VLAN1のネイティブVLANを利用刷るようになっているかと思いますが、
そのネイティブVLANとIX2215のVLAN1のリンク次第となりますね。
サブネット/24の件ですが、/25のサブネットに変更して、A拠点とB拠点のVLANのIPアドレスと
DHCPサーバを分けるイメージですが、そちらも確認された方が良いかと思いました。 >>237
私の為にお時間頂きありがとうございます
やはり下記のコンフィグではIX2215とC2960間は通信不可能ですね。C2960の interface GigabitEthernet0/1 アクセスポ-トへ接続したノ-トPCはリンクupしないです
C2960側では switchport trunk native vlan 1 は仕様なのかコンフィグいれてもShow Run・・では表示されないみたいです
>>2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
にして、VLAN1・ネイティブVLANに、VLAN20~30を紐付けて、VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、VLAN20~VLAN30・BVI1に紐付ける方法はしましたか?
IX2215側
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150
default-gateway 192.168.101.254
dns-server 192.168.101.254 interface GigaEthernet2:1.1
encapsulation dot1q 1 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.102.254/24
ip proxy-arp
ip dhcp binding vlan20
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
ip address 192.168.103.254/24
ip proxy-arp
ip dhcp binding vlan30
bridge-group 1
no shutdown
!
interface BVI1
no ip address
bridge-group 1
no shutdown C2960側
interface GigabitEthernet0/1
switchport mode access
!
interface GigabitEthernet0/2
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/3
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/8
switchport trunk allowed vlan 1-30
switchport mode trunk
!
interface Vlan1
ip address 192.168.101.252 255.255.255.0
!
interface Vlan10
no ip address
!
interface Vlan20
ip address 192.168.102.252 255.255.255.0
!
interface Vlan30
ip address 192.168.103.252 255.255.255.0 >>237
GigabitEthernet0/8 のみのトランクポートにして、VLAN1、VLAN20、VLAN30を
接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。
A拠点は、
VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、
VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、
DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか?
B拠点は、
VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、
VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、
DHCPプロファイルのルールも/25のルールにて分割
A拠点よりB拠点のVLAN20~30宛ての静的ルーティングは、
ip route 192.168.102.128/25 Tunnel1.0
ip route 192.168.103.128/25 Tunnel1.0
B拠点よりA拠点のVLAN20~30宛ての静的ルーティングは、
ip route 192.168.102.0/25 Tunnel1.0
ip route 192.168.103.0/25 Tunnel1.0
というイメージになるかと思いますが、お試し頂くと如何でしょうか?
ココでご指導頂いたいる内容ですが・・
コチラはIX2215とC2960の通信が確立した後で行うコンフィグ と言う認識で宜しいでしょうか??
何回もすみません・・
また、連投とスレ汚しゴメンナサイ >>239-242
interface GigaEthernet2:1.1
encapsulation dot1q 1 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge-group 1
no shutdown
↑のコマンドの内ですが、VLAN1のタグを外してみると如何でしょうか?
no encapsulation dot1q 1 tpid 8100
シスコのネイティブVLANですが、一般的な社外L2やL3スイッチのニュアンスと違う
部分が御座いますので、一般の社外ネットワーク装置とVLANリンクをする場合ですが、
ポートベースVLANとリンクが出来る場合があるとのことですが。
ただし、VLAN1のタグを外す形ですと、
IX2215側にて、静的ルーティング設定として、VLAN1側のIPアドレスへ、VLAN20とVLAN30側へのルーティング設定を
入れないと、VLAN20、VLAN30側へアクセスが出来ない形になるかと思いますが。
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
「ココでご指導頂いたいる内容ですが・・
コチラはIX2215とC2960の通信が確立した後で行うコンフィグ と言う認識で宜しいでしょうか?? 」
↑ その解釈でOKです。 >>243
ありがとうございます!!
何とかIX2215とC2960の通信が出来ました!!
C2960側のログを確認してみると・・・
Mar 30 01:28:17.374: %SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent peer vlan id 20 on GigabitEthernet0/8 VLAN30.
Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_PEER: Blocking GigabitEthernet0/8 on VLAN0020. Inconsistent peer vlan.
Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/8 on VLAN0030. Inconsistent local vlan.
のログがあったので、そのエラ-ログをググってみると情報があり、C2960のinterface GigabitEthernet0/8へ 「spanning-tree bpdufilter enable」 のコンフィグを入れると、無事にIX2215とC2960の通信が確立しました
ただ、ここでひとつ問題が起こりまして、VLAN10-30はC2960からIX2215まで通信出来るのですが、IX2215からネットへ出ていけない様です。interface GigaEthernet2:1.1-3に「bridge-group 1」が其々ありますが、利用していないinterfaceの「bridge-group 1」を削除するとインタ-ネット側へ出ていけます。
例えば・・
C2960側で
interface GigabitEthernet0/1
switchport access vlan 10
switchport mode access
へLANケ-ブルでPCに挿すと、PCにはVlan10(192.168.101.0/24)のアドレスがIXから下りてきますが、ネットへ接続出来ない状況となります。
そこで、IX2215側の
interface GigaEthernet2:1.2
interface GigaEthernet2:1.3
にある「「bridge-group 1」を削除すると、インタ-ネット(pppoe側)へ出て行ける状況です。
一度、C2960を撤去し、IXの下部へNetgear GS-108Ev3を挟んでvlan設定を行い様子を見ましたが、C2960と結果は同じですね。 何か私が間違っているところはございますでしょうか?? IX2215のこの部分ですね
ココの「bridge-group 1」を利用していないinterfaceから削除するとインタ-ネット側へ出ていけます。ただ、このBVIグル-プを削除or他番号を使うとTunnel1.0からB拠点側へ出ていけないという事になりますよね??
ただ、A拠点単独でC2960を挟んだ状態でテストしただけなので、B拠点を設置してIPSecを確立しての試験はまだしておりません
質問ばかりで申し訳ございませんが、アドバイスを頂けたら幸いです
IX2215(A拠点)
interface GigaEthernet2:1.1
encapsulation dot1q 10 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip dhcp binding vlan10
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.102.254/24
ip proxy-arp
ip dhcp binding vlan20
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
ip address 192.168.103.254/24
ip proxy-arp
ip dhcp binding vlan30
bridge-group 1
no shutdown >>244-245
A拠点のIX2215のブリッジインターフェイスのモードの追加をしませんと、NTT-HGWを経由している関係で
ネイティブVLANとタグVLANの制御がうまくいっていない状況、各DHCPサーバのネイティブVLAN、タグVLANのIPセグメントの
DNSサーバ、ネームサーバの名称解決が出来ていない状況が想定されます。
改めて、現時点のA拠点のIX2215のコンフィグ全体は明示可能でしょうか? >>244-245
補足ですが通常は考えにくいですが、PPPOE-NATセッションのNATインサイドのプライベートIPアドレスの部分ですが、
通常は、BVI・ブリッジインターフェイス側のアドレスを自動的に見に行く設定になっていますが、
明示的にNATインサイドの内側アドレスをアクセスリスト設定に追加しませんと、NATルート変換出来ていないかもしれません。 >>244-245
一応、念のためですが、IX2215のファームウェアバージョンがいくつかお教え下さい。
最新版は、10.6.64 になります。
確か、過去のファームウェアにてVLANやBVIの追加修正を行っていた時期が有ったかと思います。 >>244-245
あと、2960CGスイッチのトランクポートにネイティブVLANとタグVLANを併用するように
され、192.168.101.0/24からのアクセスはブリッジインターフェイスを外すとインターネットが出来たとのことですが、
通常の社外L2スイッチでは、
トランクポートとハイブリッドポートの機能の違いですが、
トランクポートのモードですが、イーサーネットフレーム単位でタグとネイティブを分割し、
ネイティブVLANのVLAN-IDを任意に設定が出来るのですが、ネイティブVLANとタグのVLANの優先順位として、
ネイティブVLANが優先され、タグVLANは排他制御となる機能になっている状況です。
ハイブリッドポートのモードですが、複数のタグなしVLANとタグ付きVLANを同時に使用できるモードで、プロトコルVLANで使用します。複数のタグなしVLANのうち、1つだけネイティブVLANとして登録出来る。
ポートベースVLANとタグVLAN、タグ無しVLANを単一のインターフェイスにて、
個別のものとして制御して制御するようになっています。
こちらのタグ無しとタグ有りの制御に問題が有るように見受けられます。
タグ無しとタグ有りの制御に問題があるL2スイッチとなります(ハイブリッドモードが利用出来ない)と、
ブリッジグループを分ける方法とEtherIP-IPSECのトンネルもブリッジ毎に分けないと
うまくいかない可能性が大きいですね。
IX2215のNATインサイドのアドレスのタグ、タグ無しの認識の問題が御座いますが、
ちなみに、お持ちのネットギアのVLAN制御の場合ですが、アンマネージタイプのスイッチでしたので、
ハイブリッドモードの運用については、全ての機能を利用出来ないタイプだったようです。
ただし、ネットギアのProPlus-WebGUIからの設定ですと、基本VLANの設定(ポートベースVLAN)では無く、
拡張VLANの設定(タグVLAN、タグ無しVLAN)の設定の同一グループの設定、VLANの優先順位の設定ですが、
PVIDのエントリーナンバーによって、若番より優先される設定になっています。
こちらの機能に制約があって、マネージタイプのスイッチですと、そちらを平行して処理出来る機能になっている
とのことです。 >>244-245
EtherIP-IPSECのVLAN、BVIとVLANのNATの件ですが、
PPPOE-NATインバウンドアドレスの認識がうまくいかないケースだった場合の件ですが、
NATのインバウンドアドレスの設定が可能ですので、原因の切り分けという形になるかと思いますが、
ご確認頂けると良いかと思われます。
設定例
VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合
ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
ip access-list vlan-in permit ip src 192.168.103.0/24 dest any
interface GigaEthernet0.1
ip napt inside list vlan-in
上記の設定にて、NAPTインバウンドアドレスを静的に指定が出来るかと存じます。
A拠点とB拠点のサブネットを分割して、/24より/25へ同一セグメント・IPアドレスを分ける
場合には、NAPTインバウンドアドレスのアクセスリストを変更する必要が有るかもしれません。 >>244-245
念のため、気になりましたので、私の所有していますテストルーター(IX2235)環境下で
下記のスイッチを所有しておりましたので、確認をしてみました。
・ UNIVERGE QX 「QX-S5124GT-4X」
L3スイッチでしたが、トランクポートにPVIDの設定を任意に設定が出来る。
デフォルトPVIDは、gigabitethernet 1/0/24でしたが、そちらのポートにトランクポート
ネイティブVLAN、タグVLAN、ポートベースVLANの併用は出来る、PVIDの変更は他のインターフェイスへ変更は出来る)
他のポートに、ネイティブVLANと、タグVLANの複数VLANの併用設定、ハイブリッドモードの運用は出来る。
→ 1/0/24(トランクポート、VLAN10、20、30のグループ連結)、1/0/1〜1/0/10までVLAN10のタグVLAN、1/0/10〜1/0/20までVLAN20のタグVLAN、1/0/21〜1/0/23までVLAN30のタグVLAN
の設定にて、IX2235のポートベースVLAN・BVIのトランクリンク、静的経路にてVLAN10〜30までの経路にてDHCPとインターネット接続のNATセッションは出来る >>244-245
続きです
・ FortiSwitch FS-124E-POE
こちらは、上位にFortigateの仮想コントローラー制御のモードの運用と、自走スイッチ制御のコントローラーモードの設定が出来る。
IX2235に直接接続されるモードですと、自走コントローラモードにて確認をしました。
自走にて仕様的にトランクポート対象のポートは、ポートベース、タグ付加の選択が出来る。
タグ付加の場合ですと、IX2235側のBVIとタグインターフェイスの連結が必要となるため、
ポートベースのみにしてトランクポート接続、その他のポートはアクセスポートになる部分は確認しました。
アクセスポートの設定側にて、タグ付加、ポートベースの選択はスイッチ側にて出来る。
VLAN20、30にタグを付けてVLAN10はIX2235のIPアドレスと共通のためポートベースのままにした。
IX2235側より静的経路にて、VLAN20、30宛てのルーティング処理として、スイッチのトランクポートに割り当てしました、
IPアドレスへルーティング経路を切り、VLAN20、30宛てにDHCPサーバのアドレスが振られることを確認しました。
先日のSTP機能(スパニングツリー)の部分については、IP衝突やブロードキャスト通信障害のための機能でしたが、
スイッチ側、IX2235側にてSTP機能をあえて明示すること無くIPアドレスの通信が出来る事を確認しました。
POE給電通信の機能ですが、双方ともシスコの通信方式(CDP方式)だけではなく、LLDP方式も設定にて対応出来る事を確認しました。 >>244-245
NEC UNIVERGE QXスイッチですが、NEC様の方にてH3C製のメーカーのOEMカスタム品になっています。
H3CのカスタムOSですが、日本HP系のスイッチのOSとほぼ操作性はイコールかと存じます。
慣れるまで多少時間はかかるかもしれません(WEB-GUIは利用可、Netmeisterのクラウド運用管理は可能)
Fortinet系のスイッチは、FortiOSのスイッチ版になっていますので、Fortigateの設定をされたことが御座いましたら、
そんなに苦労はしないかと思います。 >>251-253
すみません… お返事遅れました。
私の為に検証までして下さってとても感謝をしております。
先日お知らせご教示頂いた、NAPTインバウンドアドレスを投入もしながら、私のコンフィグでおかしな部分として少し思い当たる節もありました。
私の知識不足もあり、中々理解に時間が掛かる関係でお返事が遅れておりとても恐縮しております。
本日もう一度チャレンジしてみようと思っております。 後ほど、結果を報告させて頂きたいと思います。
いつもありがとうございます >>254
既存のIX2215のコンフィグの部分ですが、現時点のコンフィグを念のため、明示頂ければ、
確認は可能かと思います。 >>250
いつもありがとうございます。
>>設定例
VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合
ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
ip access-list vlan-in permit ip src 192.168.103.0/24 dest any
interface GigaEthernet0.1
ip napt inside list vlan-in
でご教示頂いた
設定例をA拠点IX2215に投入してみましたが、IX2215とC2960の通信OK C2960下部の端末からインタ-ネットへ出て行けない状況でした。
それとA・B拠点のIX2215は、最新ファ-ムウェアの10.6.64となります。
B拠点のコンフィグは誤って消してしまったので、A拠点のコンフィグのみとなりますが貼っておきます。
https://imgur.com/a/nP4Kx4m それと、色々試してみた結果 「BVI」 がネックになってるかと思い、A・B拠点共にコンフィグを書き直してみました。
結果、A・B拠点共にIX2215側とC2960.側で通信は出来るのですが、A拠点とB拠点のIPSecが通らなくなります。
恐らくIX2215側の仕様なのかと思っております。 サブインタ-フェイスを切って、bridge-group が同じのサブインタ-フェイスを複数作ったら挙動がおかしくなるのかな?
接続として・・ IX2215 GE2:1.1-3 →→→→ C2960 port8(トランクモ-ド vlan1-30)
IX2215 GE2:2.1-3 →→→→ C2960 port7(トランクモ-ド vlan1-30)
C2960 port1(アクセスモ-ド vlan10) →→ PC
な感じでしております。
少しお手上げ状態ですねコレ.. 素直にNECのスイッチを買うべきかもしれませんね
IX2215のA・B拠点コンフィグを貼っておきます
https://imgur.com/a/pGjbFNG
https://imgur.com/a/iQSwUff
はあ~ もう疲れたぽ... >>256-258
コンフィグの確認を致しました。
単一のEtherIP-IPSECに複数のタグを通す部分、NetmeisterDDNSのメインモード接続のケースですが、
IPSECのローカルID、リモートIDは、複数のタグを通す関係上、不要になるかと存じます。
不要な項目(A拠点)
ipsec local-id ipsec-policy1 192.168.101.254
ipsec remote-id ipsec-policy1 192.168.101.253
不要な項目(B拠点)
ipsec local-id ipsec-policy1 192.168.101.253
ipsec remote-id ipsec-policy1 192.168.101.254
各コンフィグは確認致します。 >>258
トランクモードでのトランクリンクの要件(下記)
IX2215 GE2:1.1-3 →→→→ C2960 port8(トランクモ−ド vlan1-30)
IX2215 GE2:2.1-3 →→→→ C2960 port7(トランクモ−ド vlan1-30)
でしたが、
シスコのデフォルトVLAN(NEC、ネットギアなどにてPVIDと言っていますが)、IX2215間のBVIインターフェイス間のタグ処理が出来ない場合に
VLAN1の方のネイティブVLANのリンク(IX2215間のリンクをVLAN1にする必要があるかもしれませんが)
VLAN1のデフォルトVLANの部分を利用して、そのデフォルトVLANのセグメントにタグ10、タグ20、タグ30を通す形のイメージになるのですが。
IX2215のトランクリンク間のBVIインターフェイスの条件ですが、
interface BVI1
ip address 192.168.101.254/24
ip dhcp binding vlan1 (VLAN10は利用しません)
bridge-group 5
IX2215間のトランクリンク・インターフェイスのネイティブVLAN間のリンクですが、
VLAN10のアドレス192.168.101.0/24をBVIインターフェイスと紐付けていますので、
その間のみのトランクリンク自体は、タグ無しでなければいけない状況になるかと存じます。
IX2215とのネイティブVLAN間の接続(シスコで言う対向側がタグに対応出来ないVLAN)との接続を
行うためには、IX2215側はポートベースでなければいけない形になります。
GE2.0-I/FのポートベースVLANで利用するポートの指定
設定例(物理ポート1〜3番をポートVLANで利用する設定例)
Device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-geoup 1 port 3
ご指定の利用では、C2960との接続のポートのみの指定で良いかと思います。
(port 2〜3の指定は不要かもしれません、IX2215で言うVLAN1の確保)
ポートベースVLANの設定切替(シスコのネイティブVLAN、VLAN1とのトランクリンクの接続、192.168.101.254/24の割り当てをする
ポートの指定)
interface GigaEthernet2:1.0
auto-connect
bridge-group 5
no shutdown >>258-260
続きです。
タグVLANグループの設定を限定する(タグ、VLAN10の設定、インターフェイス関係は利用しない、削除する)
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
no ip address
bridge-group 5
no shutdown
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
no ip address
bridge-group 5
no shutdown
BVI2〜BVI3のタグのブリッジグループの変更
interface BVI2
ip address 192.168.102.254/24
ip dhcp binding vlan20
bridge-group 5
interface BVI3
ip address 192.168.103.254/24
ip dhcp binding vlan30
bridge-group 5
IX2215 → C2960のトランクリンク・VLAN1間をポートベースVLANで切る形になりますが、
IX2215から、VLAN20、VLAN30へのルーティング処理を要求する形になりますので、
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
※ C2960側のトランクポートに割り当てするIPアドレスが、192.168.101.252であることを確認する。
タグVLAN間のセッション接続に問題が有る場合のトランクリンクにタグを同居させる場合の設定例になります。 >>260
補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、
IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、
IPアドレス(192.168.101.254/24の割り当て)をして、タグVLANのブリッジグループと同一グループにする形になりますが、
IX2215のインターフェイスの設定ですが、
interface GigaEthernet2.Z.0 (Zの欄がVLANグループの番号になります) >>260
普段の運用管理として、ポートベースVLANとタグVLANの混合モードになりますので、
他社のL3、L2スイッチの部分ですと、ハイブリッドモードに相当する形になりますね。
シスコのアクセスポートの設定にしている、ポートのIPアドレス制御の機能に依存する部分になるかと思います。
やはり、NECのUNIVERGE QXのL3スイッチ、L2スイッチあたりにされた方が良いかと思いますね。
端末数によっては、今後の管理がシスコスイッチ系ですと、大変になりそうです。
シスコのAironetの無線LANのPOE給電仕様ですが、CDP機能での通信機能になりますので、
UNIVERGE QXのPOE給電モードをCDPモードにする形になるかと存じます。
出来れば、UNIVERGE QX-Wの無線LANにされた方が良いかと思いますが。 >>258-261
A拠点のポートベースVLANのVLAN1のDHCPサーバのプロファイルですが、VLAN10から移行をして下さい。
ip dhcp prtofile vlan1
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254 >>258-261
B拠点のコンフィグの件ですが、基本のVLANがポートベースになりますので、
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
ブリッジインターフェイスとVLAN1用のDHCPプロファイルですが、
interface BVI1
ip address 192.168.101.253/24
ip dhcp binding vlan1
bridge-group 5
にして、VLAN10のDHCPプロファイルは削除して下さい。(VLAN1用のDHCPプロファイル追加)
no ip dhcp-profile vlan10
ip dhcp prtofile vlan1
assignable-range 192.168.101.150 192.168.101.200
default-gateway 192.168.101.254
dns-server 192.168.101.254
それと、GE2.0-I/Fにブリッジインターフェイスの設定が無い(A拠点、B拠点とも)
interface GigaEthernet2.0
bridge-group 5
としてください。
B拠点のポートベースVLAN(VLAN1)の設定移行
interface GigaEthernet2:1.0
auto-connect
bridge-group 5
no shutdown
タグVLAN10のインターフェイスは削除
no interface GigaEthernet2:1.1
タグVLAN20、30のインターフェイスはそのままでOK >>258-265
続きです。
BVI2〜BVI3のインターフェイスのブリッジグループの変更
interface BVI2
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
interface BVI3
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
EtherIP-IPSECのトンネルのブリッジレベルですが、bridge-group 5 になっていましたので、
全てbridge-group 5 にする形になります。
インターネット接続が出来なくなる件ですが、恐らくですが、IX2215の物理インターフェイス
GE2.0-I/Fの配下にてBVIグループを組んでいますので、GE2.0-I/Fに bridge-group 5 の
エントリーが外れてしまっていたのが一因かと思います。(以下にて)
PPPOEセッションにてNATのインバウンドアドレスを参照するのは、あくまでもGE2.0-I/F配下の
ブリッジインターフェイスとタグインターフェイスになります。
昨日のインバウンドアドレスの設定は解除で良いかと思います。
no ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
no ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
no ip access-list vlan-in permit ip src 192.168.103.0/24 dest any
interface GigaEthernet0.1
no ip napt inside list vlan-in >>266
シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。
VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。 >>259-267
IX2215からのトランクポート(ポートベースVLAN1、2960はネイティブVLAN参加)
トランクポートに参加するタグVLANはVLAN20〜VLAN30
BVIのブリッジグループは、エントリー5を指定されていましたので、IPSECの部分も含めてエントリー5で統一
物理インターフェイス(GE2.0-I/F)もエントリー5を追加
PPPOE-NATセッションが参照先のNATインバウンドアドレスは、BVIグループ(GE2.0-I/F、VLAN1、VLAN20、VLAN30)
IX2215側にて、シスコのC2960のトランクポートを認識出来るモードがポートベースVLAN(VLAN1)
シスコの無線LANのVLAN参加は、ネイティブVLAN(VLAN1)になる。 >>259-268
貴重なお時間を頂きとてもありがとうございます。
今から再チャレンジします。
補足で頂いたアドバイスの中で、2点ほどご質問させて下さい
AとB拠点のIXでポ-トVLANを作成する時に
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
コチラでご教示を頂いていますが、全て同じ 「vlan-group 1 」 にすると言う事で宜しいでしょうか??
>>シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。
VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。
>>シスコの無線LANのVLAN参加は、ネイティブVLAN(VLAN1)になる。
それとコチラのアドバイスの内容は
※C2960から「無線コントロ-ラ-」または「Aironet」の接続は、アクセスモ-ドでVlan1として接続
上記の内容で宜しいでしょうか??
確か・・ Vlan1同士で無線コントロ-ラ-とApが接続さえすれば、capwapトンネル で、無線コントロ-ラ-よりAPから吹く電波のセグメント(101.0/24~103.0/24)は指定出来たモノと認識しております。
もし、私の認識が誤っていればご教示頂ければ幸いです >>269
「AとB拠点のIXでポ−トVLANを作成する時に
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
コチラでご教示を頂いていますが、全て同じ 「vlan-group 1 」 にすると言う事で宜しいでしょうか??」
↑ の件ですが、シスコのネイティブVLAN(デフォルトVLAN、VLAN1)に合わせる形ですと、
IX2215では、ポートベースVLANの物理VLANのグループのエントリーになります。
よって、GigaEthernet2 に設定されたVLANグループのエントリーナンバー1が紐付ける形になります。
当然、そのVLAN1のグループが、シスコで言うトランクポートの優先エントリーになります。
シスコのAironetの無線LANの設定項目に、ネイティブVLANのグループエントリーが有るかと思いますが、
そのエントリーになります。そのデフォルトエントリーとは別に、タグVLAN側にESS-IDと紐付けるVLANが有りましたら、
VLAN20、VLAN30のエントリーとESS-IDを追加登録します。
ネイティブVLAN(VLAN1)は、IX2215のポートベースVLANの vlan-group 1のエントリーのDHCP範囲内のIP体系になりますので、
192.168.101.***/24になります。
追加にて、VLAN20とVLAN30のエントリーを作成して、そのESS-ID宛てに接続すると、タグVLAN側での接続になりますので、
タグ側では、192.168.102.***/24、192.168.103.***/24のIPアドレスが割り当てになるイメージになるかと思います。
AirnetのデフォルトVLANセグメントのネットワーク同士の管理コントローラー側とサブコントローラー側の接続になるかと存じます。
よって、管理コントローラー側にて、タグ側エントリーの追加とESS-IDの追加をすると、
有線LANバックホール接続のイメージにて、サブコントローラーへその設定が反映する形になるかと思います。 >>270
タグVLAN20とタグVLAN側のIPアドレス等の設定、DHCPの設定関係ですが、
シスコの仕様がまだ不確定要素が有るかもしれません。
ケースにより、BVI2〜BVI3のブリッジインターフェイスを作成するのでは無く、
タグインターフェイスに直接IPアドレスとDHCPのプロファイルの紐付けをする形になるかもしれません。
設定例
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
no shuitdown
↑ の様なイメージとなりますと、VLAN1のセグメントにて接続して、その配下にて、
VLAN20、VLAN30のプロファイルがぶら下がる形になるかと存じます。
※ この形ですと、BVI2とBVI3の設定が不要になるかもしれません。 >>270-271
シスコのスイッチの独自のライセンス契約・機能の兼ね合いが御座いますため、
IXルーター側の公開マニュアルの内容には未掲載のカスタマイズになる可能性があるかもしれないと言うことになります。 >>270
ご返信ありがとうございます。
今からやってみます。
たくさんのアドバイスとても感謝致します >>270-272
IPネットワークの構成イメージですが(念のため)
IX2215のGigaEthernet2.0インターフェイス(BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け)
→ GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ
→ C2960のトランクポートは1系統のみの接続
→ GigaEthernet2:1.2(タグVLAN20、bridge-group5、192.168.102.253/24)
→ GigaEthernet2:1.3(タグVLAN30、bridge-group5、192168.103.253/24)
→ EtherIP-IPSEC(Tunnel1.0、bridge-group5、ローカルID、リモートID無し)
→ 静的ルーティング経路設定( ip route 192.168.102.0/24 192.168.101.252、ip route 192.168.103.0/24 192.168.101.252、ネイティブVLANのトランクポートに割り当てしましたC2960のIPアドレス宛)
と言うイメージになるかと思います。 >>270-274
補足ですが、このようなポートベースVLANとタグVLANを併用するような設定になりますと、
セキュリティ面にて、何らかのファクターが出るかもしれませんね。
IX2215とC2960の間にFortigate等の装置を入れる場合には、
FortigateのWAN側とLAN側にポートベースとタグを通過出来るようにインターフェイスの設定を入れて、
ポートベースとタグ毎のセキュリティポリシーの設定が必要になるかもしれません。
→ Fortigateのトランスペアレントブリッジモードの設定イメージ。 >>274
「IX2215のGigaEthernet2.0インターフェイス(BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け)
→ GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ」
GigaEthernet2:1.0〜GigaEthernet2:3.0 にも bridge-group 5 の割り当てをして下さいね。 >>266
何回も質問ごめんなさい。
>>
BVI2~BVI3のインターフェイスのブリッジグループの変更
interface BVI2
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
interface BVI3
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
の部分なのですが、IXの仕様なのか、BVI1に既に 「bridge-group 5」 を投入しているので他のBVIに 「bridge-group 5」 を投入出来ない様です。
% BVI is already assigned to group 5
のエラ-コ-ドで弾かれてしまいます。
何か他に良い策ってございますでしょうか?? >>277
BVIインターフェイスには、性質上ですが、ブリッジグループの条件は単一ですので、
複数のBVIインターフェイスには別のブリッジグループの設定しか出来ません。
それは、富士通のSi-Rルーターや、アライドテレシスのルーター、シスコのISR、ASAも同じです。
よって対案としては、
BVI1のエントリーに、セカンダリIPアドレスの追加をする。
※ 192.168.102.253/24、192.168.103.253/24 等
→ これは、今回の環境の構成には、マッチング出来ないかと思います。
もう一つの方法は、BVI2〜BVI3を削除して、タグVLANのインターフェイスに直接
IPアドレス、DHCPサーバ、ブリッジグループ5のエントリーを追加する方法になります。
設定例
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
no shutdown
という方法になります。
こちらの方法になります。 >>278
いつもアドバイスとお返事ありがとうございます
278 で頂いた方法とは違うのですが...
>>262 にて頂いたアドバイスの中で
補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、
IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、
IPアドレス(192.168.101.254/24の割り当て)をして、タグVLANのブリッジグループと同一グループにする形になりますが、
IX2215のインターフェイスの設定ですが、
interface GigaEthernet2.Z.0 (Zの欄がVLANグループの番号になります)
上記の一文が気に掛かかっていたので、少し 「bridge-group 5」 を 設定した GE2.0-I/F を少し弄ると
A拠点(IX2215+C2960) と B拠点(IX2215+C2960) の間でIPSecが通り、同一セグメント間において拠点跨ぎで通信出来ました
ありがとうございました。 ひとまずお礼を申し上げます
後ほど、ご報告も兼ねてコンフィグを貼らせて頂きます(正しいコンフィグがどうかは怪しいですが....) >>278
コチラでご紹介頂いた方法も後ほど試させて頂きたいと思います。
とても感謝です >>279-280
278の設定例ですが、B拠点用の設定例になります。(271でも記載をしていましたが)
A拠点用は、下記になります。(事前に、BVI2〜BVI3を削除下さい)
設定例(A拠点用)
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.254/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.254/24
ip dhcp binding vlan30
bridge-group 5
no shutdown >>279-281
基本的な接続方法でしたが、
A拠点IX2215+C2960(ポートベースVLAN+タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる)
→ EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる
B拠点IX2215+C2960(ポートベースVLAN+タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる)
→ EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる
ポートベースVLANの接続がデフォルトIPSEC接続になりますので、性格上物理インターフェイス(GigaEthernet2.0)経由でのブリッジグループを設定し、
ポートベース間の192.168.101.0/24の接続をして、その同一ポートインターフェイスに、
タグVLANのインターフェイスをぶら下げて、EtherIP-IPSECトンネルにタグを複数接続させるイメージになります。 >>281-282
度々のアドバイスとても助かっています。
後ほど、コチラのコンフィグでも試してみようと思います。
とても勉強になり感謝しております
下記のコンフィグにて一応、A拠点とB拠点の通信が確立出来ました。 もちろん、CiscoスイッチをIX2215にぶら下げた状態です。
これが正しいかどうかは良くわかりませんが報告も兼ねて貼っておきます。これが正しいのか全くわかりませんが...
ただ、まだ課題が残りまして・・
①同一拠点内 (AまたはBで) 異なるセグメント同士が通信可能になっているので、アクセスフィルタ-の投入
②B拠点の端末がインタ-ネットへ出ていけない状態
a:B拠点のIX2215で.「ip dhcp prtofile」 の default-gateway と dns-server の値を 192.168.101(102,103).253とすればネットへ出ていけるが、 default-gateway と dns-serve が 192.168.101(102,103).254であればネットに繋がらない
b:A拠点を経由してインタ-ネットへ出て欲しいが、IPSecは繋がって同一セグメント同士で拠点跨ぎの機器同士の通信が可能ですが、B拠点下部端末からはインタ-ネットへ出て行けない
③同一拠点内であれば異なるセグメント同士でも通信できますが、なぜかラズパイにぶらさげたNASは同一拠点の異なるセグメントからとなれば通信出来ない状態
とりあえず後ほど、また課題の解決してみます
色々と助けて頂いてありがとうございました。
やっと寝れる~ ただ、お盆休み中には終らなさそう...涙
https://imgur.com/a/WL3nsil
https://imgur.com/a/O7d1Zzh それと・・・
前回にご指摘頂いたポ-トVLANの設定で
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
上記については、私のコンフィグでは同じ「vlan-group」にすれば、A拠点の端末はインタ-ネットへ出ていけなかったので
最初の
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3
へ戻しました
アドバイスありがとうございました >>284
A拠点のコンフィグを見ましたが、GigaEthernet2.0のインターフェイスがシャットダウンされていますよ。
こちらではアクセスは出来ないかと存じます。(下記にて起動をご確認下さい)
interface GigaEthernet2.0
no shutdown
ポートベースVLANの物理インターフェイスにIPアドレスの設定(192.168.101.254/24)
が設定されていない状況でしたので、こちらではうまく動作はしないかと存じます。
こちらのポートベースVLANですが、Device GigaEthernet2のポート1(VLAN1)と同期をしており、
上記のinterface GigaEthernet2.0 の動作状態とも同期をしていますので、
GigaEthernet2.0が shutdown 状態では、うまく動作は致しませんが。
interface GigaEthernet2:1.0
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan10
bridge-group 5
no shutdown
タグの部分については、タグとポートベースは個別に想定しないといけない要素になりますので、 >>283-284
続きです。
interface GigaEthernet2:2.2〜GigaEthernet2:2.3
の部分ですが、IX2215の物理ポート2番のインターフェイス配下にタグをつける様にしている状況です。
こちらもGigaEthernet2.0のインターフェイスが shutdownされているので、うまく動作はしないかと思います。
こちらのIX2215のGigaEthernet2.0の物理ポート2番を利用する形ですと、
C2960の方に、タグ専用のトランクポートを設定しないとうまく動作はしないかと思います。
何故か、GigaEthernet2.0の物理インターフェイスが都度、シャットダウンさせている状況でしたので、
no shutdown にて起動しているかご確認下さい。
以下のポート設定は、あくまでもポートベースVLANと紐付ける設定ですので、
C2960のVLAN1のトランクポート(ネイティブVLAN、タグ有り、タグ無し)のポートのみでOKです。
device GigaEthernet2
vlan-group 1 port 1 → C2960のネイティブVLAN、VLAN1を利用してポートベースVLANとタグVLAN20、タグVLAN30を利用する場合のポート
vlan-group 2 port 2 → タグのポートで利用する場合には、削除で構いません
vlan-group 3 port 3 → タグのポートで利用する場合には、削除で構いません
先述の
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3 >>284
ですが、C2960のトランクポート間の接続が、どちらのポートに接続されているは不明でしたので、
物理ポート1〜3番をあえて明示をしていました。
ポートベースVLANとタグを併用するトランクポートのみの接続にてOKな筈ですが。
C2960側のトランクポートを分けて、C2960側でうまく動作をしているのであれば、別なのですが、
どうもうまく動作を仕切れていない状況でしたので、
C2960側のトランクポートの設定にて、
IX2215 GE2:1.1-3 →→→→ C2960 port8(トランクモ−ド vlan1-30) → こちらのポートの設定をご確認下さい。
IX2215 GE2:2.1-3 →→→→ C2960 port7(トランクモ−ド vlan1-30) → こちらのポートは、削除で良いかと思います。
C2960側のスイッチ機能として、ネイティブVLANのPVIDを別のポートへ優先するような設定は無いようですので、
どちらのポートのみにて、確認する形になるかと存じます。
→ どうもこのトランク接続の機能ですが、お持ちのC2960スイッチではマルチトランクの動作に問題があるようですので、
単一のトランクポートにして、再度ご確認頂く形になるかと存じます。
このマルチポートトランクの機能ですが、NECやネットギアのL3スイッチ、L2スイッチのマネージタイプにて、
搭載されています、「ハイブリッドモード」の機能に相当します。
お持ちのC2960のトランクポートの制御ですが、タグの制御の動作がうまくないタイプのようですので、
BVIのインターフェイスが、bridge-group 5 → EtherIP-IPSEC(Tunnel1.0)が bridge-group 5に紐付いていますのでそちらはOKです。
C2960側から見て、ネイティブVLANのポート(IX2215のGigaEthernet2.0の物理ポート1番に、C2960のトランクポート指定のポートを接続し、
そのトランクポートでは、タグとタグ無しVLANが透過が出来る仕様になっているようですので、
interface GigaEthernet2:2.2〜GigaEthernet2:2.3 → interface GigaEthernet2:1.2〜GigaEthernet2:1.3
に移管して、VLAN20〜VLAN30のIPアドレス周りとDHCPサーバ周りを移管しないと、
うまく動作はしないかと思います。 >>278
なるほど。
BVIではなく直接GE2.0のサブインターフェイスにIPやvlanタグを入れてしまえばBVI使わなくて済みますね。
一度やってみます >>285
>>タグの部分については、タグとポートベースは個別に想定しないといけない要素になりますので、
最初からお話しされていた、この文面の意味が今になってやっと解ってきました。
タグVLANとポートVLANのインターフェイスは確実に分けないと動作しないのですね。
それと指摘されていたGE2.0が、まだshutdownになったままだったんですね!?
すみません… すぐno shutdownに変更します >>283-287
ご指定の現時点でのコンフィグ(A拠点、B拠点)のおかしいところを修正ました。
ご確認下さい。
ギガファイル便にて送付しましたので、ご確認下さい。
A拠点IX2215
https://43.gigafile.nu/0821-c18496f55e43381715b70722b8431c5f9
B拠点IX2215
https://43.gigafile.nu/0821-bfa41bc07b0e9c8fcacc954cda2c8dd89
ダウンロード期限 2022年8月21日(日)
↑ やはり、C2960スイッチのマルチポートのトランクポート扱いに制約が御座いますので、
シングルのトランクポートのみにて、ポートベースVLAN、タグVLANをご確認下さい。
IX2215側のトランクポートは、単一のポート(A拠点、B拠点ともC2960のport8、VLAN1想定)
静的ルーティングをしていますので、A拠点とB拠点のタグVLANの方のサブネットを/25の範囲に分けて、
ルーティングを修正しませんと、キチンとルーティングがされないかと思われます。
NASのアクセスもそのような形が想定されます。 >>288-289
ご指定のコンフィグのパラメーターが、間違ったパラメーターや誤入力などもあるようでしたので、
再度、IX2215とC2960(A拠点、B拠点)のコンフィグのパラメーター、誤入力を確認された方が良いかと思います。 >>288-289
補足ですが、実際の稼働時には、パラメーターのミスなどはよくあることでしたので、
業務運用の場合には、ポートベースやタグなどのVLAN周り、WAN接続、アクセスリストなどの
一元化・見える化にて、ワンタッチ管理が出来る、NECのUNIVERGE QXのL3スイッチ、L2スイッチでの
ハイブリッドモードとトランクモードの連携接続を想定された方が良いかと思います。
UNIVERGE QXスイッチにされた条件下でも、シスコのAironetの無線LANのPOE給電は動作するかと思いますが、
NECの 「Netmeisterクラウド管理機能」からは、無線LAN周りの動作の管理までは出来ないので、
NEC QX-W無線LANにされた方が良いかと思います。 >>288-289
既存のA拠点とB拠点のIPアドレスサブネットを/24から/25に分けた場合の件ですが、
/24の場合には(255.255.255.0)、
192.168.101.1-192.168.101.254(255はブロードキャストアドレス)
192.168.102.1-192.168.102.254(255はブロードキャストアドレス)
192.168.103.1-192.168.103.254(255はブロードキャストアドレス)
になりますが、
/25の場合には(255.255.255.128)、
192.168.101.1-192.168.101.127(128はブロードキャストアドレス)
192.168.101.129-192.168.101.254(255はブロードキャストアドレス)
192.168.102.1-192.168.102.127(128はブロードキャストアドレス)
192.168.102.129-192.168.102.254(255はブロードキャストアドレス)
192.168.103.1-192.168.103.127(128はブロードキャストアドレス)
192.168.103.129-192.168.103.254(255はブロードキャストアドレス)
と言う範囲になりますので、IPSEC-VPN先とLAN側のC2960宛のルーティングを
分けるようにルールを設定出来るIPアドレスに変更しませんと、
NASやFAX複合機などのアクセスに影響が出てくる可能性が御座います。 >>288-289
IPサブネットの関係ですが、業種・利用の使途により、分割サブネットではなく、複合サブネットにて、
EtherIP-IPSECの拠点間IPネットワークを結んでいるユーザーさまも居られます。
例 /23 サブネット(255.255.255.240、192.168.102.0〜192.168.103.255)
/23サブネットでIPSECのルーティングや、LAN側ルーティングを切る場合には、
今回のサブネットレベルでVLAN20とVLAN30用のサブネットを一括でルーティングが出来る場合が御座います。
その場合には、VLAN20のみにて、/23のサブネットで、192.168.102.1-192.168.103.254まで通信が出来ます。
ただし、その場合ですと、A拠点とB拠点のIPアドレスの振り分けや、IPSECトンネル宛ての静的ルーティングのルールを別途設ける形になりますね。
例えば、A拠点にNASやFAX複合機が有って、B拠点よりA拠点の固定IPのNASや複合機へのアクセスを、
/32のサブネットにて、トンネル先へルーティング追加するようなイメージになるかと思いますが。
>>288-289
固定IPサブネット/32 と /24サブネットのルーティング経路選択、優先順位の選択は出来るかと思います。
例 NASのIPが192.168.102.200/24の場合(A拠点にある)、B拠点からアクセス
B拠点の静的経路として、C2960のトランクポート192.168.101.200
に192.168.102.0/24のルーティングをさせている
ip route 192.168.102.0/24 192.168.101.200 ← B拠点のC2960のトランクポート宛てのルーティング
ip route 192.168.102.200 Tunnel1.0 ← B拠点からA拠点のIPSEC先のトンネルルーティング
↑ のような設定ですと、NAS宛ての通信としてB拠点のC2960の側に通信がされてしまうケース
distance値によって優先順位の選択は出来るかと思われます。
ip route 192.168.102.0/24 192.168.101.200 distance 50
ip route 192.168.102.200 Tunnel1.0 distance 5
distance値が小さい方が優先され、そちらの経路選択外のサブネットはC2960側へルーティングする >>287-295
C2960スイッチ側のトランクポート(ネイティブVLAN、タグVLAN併用のポート)の件ですが、
他のポートは、タグVLAN用のアクセスポートになります。
ネイティブVLAN(VLAN1かと思いますが)、VLAN1のネイティブ・グループにシスコの無線LAN
を参加させるイメージになります。
ネイティブVLANが優先される仕様に、C2960がなっているかと思いますので、
VLAN1のIPネットワークにて接続される基本ネットワークと、タグVLAN側とESS-IDを作成しました側で接続するネットワーク
を作成する形になります。 >>296
寝落からの起床でこのスレ開いたら…
ありがとうございます!
私の為にコンフィグまで書いて下さって… 感謝感激です。早速、ダウンロードさせて頂きました
もう、半分ダメかとも思っていましたが、なんとかなりそうな希望が見えてきた。
有り難い事に早急に、ご教示を頂いたところなのですが、所用で本日はIXを触れなさそうです。ほんと申し訳ないです。遅くても明日には再チャレンジしてみます。本日はスレをもう一度読み返して、更に知見を深めてみます。 大変感謝致します🙏 >>297
どういたしまして。
ちなみに、IX2215配下のスイッチを更新する理想は、NEC QX-L3スイッチなのですが、
単独の運用で宜しければ、ネットギア、BuffaloのL3スイッチでもOKかと思います。
シスコのAironetの無線LANのPOE給電仕様ですが、先般お話はしておりましたが、
デフォルトはCDPデータ通信方式なのですが、Aironet側のiOSのバージョン・ライセンス、機能によっては、
一般汎用のLLDP方式の設定が出来る様ですので、既存の無線LANの仕様を確認頂いた方が良いかと思います。
Aironet側にて変更が出来ない場合、スイッチ側にてAironetのPOEデータ通信方式の設定が出来るタイプ
の選定が必要(CDP方式)になりますが、CDP方式にもリビジョンが御座いますので、検証が必要になります。
現状、NECのUNIVERGE QXのL3スイッチ、NETGEARのL3スイッチにて対応の項目は有るようですが、
NETGEAR の場合には、ISDPと言う設定項目になり、接続のポートの設定も必要になります。 >>297-298
補足ですが、Buffalo系は、基本がLLDP方式のみになっているようですので、無線LAN親機側にて、LLDP方式の対応が出来るかどうか
を確認する必要があるかと思います。
→ 恐らく、Buffaloの無線LANに変更した方が良いかもしれません。
シスコ系スイッチに、Buffalo無線LANを接続する部分については、広報されていますが。
※ https://www.buffalo.jp/support/faq/detail/124145243.html >>297
私の修正・作成しましたコンフィグですが、一部受領していましたデータが、壊れているフォントが御座いましたので、
修正版を送付致します。
PPPOE認証周りや、Netmeisterの認証周りは、任意に変更下さい。
A拠点IX2215
https://7.gigafile.nu/0822-d3d7017fe43b6a1b10c65617aaf42f307
B拠点IX2215
https://7.gigafile.nu/0822-d0e75555a3ed8ecd8cf5dbf17216977d4 >>300
修正版のデ-タまで頂きありがとうございました。
早速、IXのコンフィグを見直して「修正版」の通りコンフィグ設定してみたのですが・・
AとB拠点のIX2215同士はIPSecにて通信が出来るのですが(ping試験にて確認)、AとB拠点の両方にてIX2215下部のあるC2960へは通信が確立出来ません。
DHCPサ-バ-からIPアドレスが降ってこない状況です。
IX2215とC2960(AとB拠点ともに)の通信が確立さえすれば、完了となりそうなのですが・・・
もうこれは、どうもCiscoスイッチ側の問題ですね~
もう少し弄ってみてそれでもダメなら、素直にNEC univergeの スイッチへの変更もありかも知れないですね~
色々と教えて頂きありがとうございます。 もう少しだけ足掻いてみます >>301
おかしいですね。
IX2215側としては、コンフィグはマッチングしているのですが。
配下のC2960スイッチの設定としては、
IX2215の提示しましたコンフィグから反映しますと、
C2960の設定イメージとしては、
トランクポート → VLAN1(デフォルトVLAN、ネイティブVLAN、タグ併用、物理ポート8を利用、タググループ追加、VLAN20〜VLAN30)
)
アクセスポート → VLAN20(dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.254/24、DHCP有)
アクセスポート → VLAN30(dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.254/24、DHCP有)
という形にするだけですが。
C2960の物理ポート8をトランクポートにしていますが、上位のIX2215より、C2960のトランクポートの割り当てIPアドレス(192.168.101.252でしょうか)
宛てに192.168.102.0/24のルーティング経路の設定を切っていれば、DHCP周りもルーティングされる形で、
IPアドレスの自動割り当てが効くはずですが。
A拠点のC2960のトランクポートに割り当てしました、IPアドレスは192.168.101.252、
ルーティング経路選択は、先のコンフィグも記載しましたが、
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
B拠点のC2960のトランクポートに割り当てしました、IPアドレスは192.168.101.2**
** はA拠点とは別のIPを設定されていますよね?
B拠点のルーティング経路は、
ip route 192.168.102.0/24 192.168.101.2**
ip route 192.168.103.0/24 192.168.101.2**
それぞれのC2960には、デフォルトゲートウェイの設定、プロクシDNSの設定はされていますよね?
iOSのバージョンによって違う部分は有るかもしれませんが。
トランクポートのインターフェイス(VLAN1)に、
ip default-gateway 192.168.101.254
DNSサーバの設定は、スイッチのグローバルコンフィグモードにて、
ip name-server 192.168.101.254
等になるかと存じます。 >>301-302
先ほどの誤入力の項目が御座いましたので、修正します。
(誤)
アクセスポート → VLAN20(dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.254/24、DHCP有)
アクセスポート → VLAN30(dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.254/24、DHCP有)
(正)
アクセスポート → VLAN20(dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.0/24、DHCP有)
アクセスポート → VLAN30(dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.0/24、DHCP有) >>301-303
最終的に、NECのUNIVERGE QXのL3スイッチ、L2スイッチを購入される場合には、
既存のIX2215の設定コンフィグを明示し、配下のL3スイッチのコンフィグややりたいことを、
NECのサポートセンターへお問合せしますと、対応コンフィグの明示はして下さるかと思います。 >>302
お返事ありがとうございます
私の誤りもあったので色々と試してみたのですが・・・
結果的に、各拠点C2960の下にぶらさげた端末に対して、DHCPサ-バ-からのアドレスが下りてきました。
ただ、端末から各拠点のIX2215やC2960へのpingはほぼ通らない状況です(端末側のファイヤ-ウォ-ルはオフにした状態で)
しかし、謎な事にIX2215のコンフィグやC2960のコンフィグを弄ると、A拠点とB拠点のC2960にぶら下げたPCのネットワークアダプタはインタ-ネット側と繋がり、そのままインタ-ネットへ出ていく事が出来ます。もちろんIX2215のAB拠点間接続は維持されたままの状態となります。
それでもPCから各拠点のIX2215やC2960、または対向側のPCへのpingは通らず(安定しない)、PC側のネットワークアダプタ-を、無効にしてから有効に戻す をすると、DHCPからのIPは変わりなく下りてきていますが、インタ-ネットへ出ていく事が出来なくなります。
ル-プが発生しているのか... それともパケットが出口を見つけられないのか....
あと、ほんともう少しで終るところまで来ているのですが・・・
なんか良い策はございますでしょうか??
すみません・・ 質問ばかりで・・
一応、IXとC2960のコンフィグを貼っておきます。 お忙しいところ恐縮ですが、ご教示頂ければ幸いです
IX2215とC2960の接続としましては
IX2215(GE2.0 port 1) ⇔ C2960(GE port8)
となります。AとB拠点ともに同じとなります。PCはC2960の port 1 へ挿しております
https://imgur.com/a/2l55PR4
https://imgur.com/a/yrg9nTC
https://imgur.com/a/je6nn1F
https://imgur.com/a/QnsX02v >>305
IX2215とC2960のtechinfo ファイルを見ていませんので、なんとも言えませんが、
コンフィグデータは確認を致しました。
通常は考えにくいのですが、
GigaEthernet2.0=BVI1(bridge-group5)=GigaEthernet2:1.0 のポートベースVLAN(VLAN1、192.168.101.0/24、DHCP有)割り当てのIPアドレス、
GigaEthernet2:1.2=BVI(bridge-group5)=タグVLANの割り当てIPアドレス(VLAN20、192.168.102.0/24、DHCP有)
GigaEthernet2:1.3=BVI(bridge-group5)=タグVLANの割り当てIPアドレス(VLAN30、192.168.103.0/24、DHCP有)
↑ の条件下ですが、通常はブリッジグループを組んでいても、インターフェイス自身でIPアドレス設定・DHCP機能を設定していると、
IPアドレス及びDHCPが優先されるのは、インターフェイス自身にIPアドレスとDHCPを設定されている方が優先されるはずですので、
IPアドレスの割り振りにてかち合うというのは考えにくいのですが。
IPアドレスのかち合いの条件が発生しているのが原因となると、
GigaEthernet2:1.2〜GigaEthernet2:1.3 のインターフェイスに、192.168.101.0/24とプロトコル番号67〜68番の通信を
インターフェイス側に制限をしてみるなどの方法がになるかと思います。(原因の切り分けとなりますが)
設定例(IX2215-A拠点側)
ip access-list vlan-dhcp-sec deny udp src 192.168.101.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec2 deny udp src 192.168.102.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec3 deny udp src 192.168.103.0/24 sport range 67 68 dent any dport range 67 68
interface GigaEthernet2:1.2
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec3 2 in
interface GigaEthernet2:1.3
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec2 2 in
BVI側のインターフェイスに192.168.102.0/24、192.168.103.0/24からのDHCP-IPアドレスのプロトコルの通信を拒否する場合
interface BVI1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in >>305-306
続きです
あと、B拠点のC2960のVLAN1のトランクポートに割り当てされています、IPアドレスが192.168.101.251/24
でしたが、B拠点のC2960向けの静的ルーティング設定が反映しているかご確認下さい。
B拠点IX2215コンフィグ修正箇所(下記)
ip route 192.168.102.0/24 192.168.101.251
ip route 192.168.103.0/24 192.168.101.251
ip access-list vlan-dhcp-sec deny udp src 192.168.101.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec2 deny udp src 192.168.102.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec3 deny udp src 192.168.103.0/24 sport range 67 68 dent any dport range 67 68
interface GigaEthernet2:1.2
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec3 2 in
interface GigaEthernet2:1.3
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec2 2 in
interface BVI1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in >>305-307
他のコンフィグの部分については、確認を致します。(時間がかかるかもしれません) >>305-308
A拠点とB拠点のIX2215、C2960の確認をしました。
修正・追加の項目ですが、下記のようなイメージになるかと思います。
BVI1・VLAN1のインターフェイスのDHCP取得(192.168.102.0/24、192.168.103.0/2から取得拒否、他は許可)
VLAN20のインターフェイスのDHCP取得(192.168.101.0/24、192.168.103.0/24からは拒否、他は許可)
VLAN30のインターフェイスのDHCP取得(192.168.101.0/24、192.168.102.0/24からは拒否、他は許可)
C2960スイッチ(A拠点)のVLANおアクセスポートの変更、トランクポートの変更
トランクポート → Port8のみ
アクセスポート → VLAN1のみ(Port1〜2、無線LANが複数有った場合も想定)
→ VLAN20(Port3〜5、9)、VLAN30(Port6〜7、10)
C2960スイッチ(B拠点)のVLANおアクセスポートの変更、トランクポートの変更
トランクポート → Port8のみ
アクセスポート → VLAN1のみ(Port1〜2、無線LANが複数有った場合も想定)
→ VLAN20(Port3〜4、9)、VLAN30(Port5〜7、10)
ギガファイル便にて送付します。
※ https://63.gigafile.nu/0823-d757121dbea8a8e6d6d019a1784ef029 >>309
たくさんのアドバイスとコンフィグパターンありがとうございます。
今から再チャレンジさせて頂きます。
あともう少し…汗 >>310
NECのL3スイッチ等でしたら、DHCP周りの制御が楽になるんですけどね。
※ ハイブリッドモード・VLAN、トランクモード併用、DHCPサーバ機能は、L3スイッチ側に対応させるなど。
IX2215は、DHCP機能は補完せず、インターネット接続、EtherIP-IPSEC接続周りのみ >>309
ありがとうございます
ご教示頂いたコンフィグの内容にて色々と試してみました
>>
interface BVI1
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in
bridge ip filter dhcp-pass 100 in
bridge-group 5
no shutdown
上記の部分なのですが、bridge ip filter というコンフィグはエラ-で入らなかったので、 ①ip filter vlan-dhcp-sec2 1 in ②ip filter vlan-dhcp-sec3 2 in ③ip filter dhcp-pass 100 in
としてBVI1のコンフィグを入れました
結果としてなのですが・・
やはり前回と同じく接続が安定しない様です。 今、B拠点のC2960へぶらさげたPC-Bにてカキコミをしているのですが、A拠点側のC2960下部にあるPC-Aはネットには出ていけない状況です。
もちろん機器同士のpingもほぼ通らない状況です。(PC-BはA拠点側のIXへ今pingは通っている状況です)
show tech-support のコマンドでIX2215A・Bにて出力させてみたのですが、GE2.0で Block されているステ-タスが少し気になります。
ギガファイル便にて頂いたコンフィグについては、間違いなく機器に投入しております。
何かおかしなところは有りますでしょうか?? すみません 質問続きで・・ >>309
ありがとうございます
ご教示頂いたコンフィグの内容にて色々と試してみました
>>
interface BVI1
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in
bridge ip filter dhcp-pass 100 in
bridge-group 5
no shutdown
上記の部分なのですが、bridge ip filter というコンフィグはエラ-で入らなかったので、 ①ip filter vlan-dhcp-sec2 1 in ②ip filter vlan-dhcp-sec3 2 in ③ip filter dhcp-pass 100 in
としてBVI1のコンフィグを入れました
結果としてなのですが・・
やはり前回と同じく接続が安定しない様です。 今、B拠点のC2960へぶらさげたPC-Bにてカキコミをしているのですが、A拠点側のC2960下部にあるPC-Aはネットには出ていけない状況です。
もちろん機器同士のpingもほぼ通らない状況です。(PC-BはA拠点側のIXへ今pingは通っている状況です)
show tech-support のコマンドでIX2215A・Bにて出力させてみたのですが、GE2.0で Block されているステ-タスが少し気になります。
ギガファイル便にて頂いたコンフィグについては、間違いなく機器に投入しております。
何かおかしなところは有りますでしょうか?? すみません 質問続きで・・ -------------------- show bridge --------------------
IRB Group 5 Forwarding Cache - 11 entries, 4085 frees, 9645 flybys, 0 overflows
Codes: P - permanent, B - BVI
BG Address Interface Timeout RX count TX count
5 00:1b:d3:87:20:cd GigaEthernet2:1.2 299 1155 663
B 5 00:60:b9:e2:65:ce BVI1 - 527399 323612
5 00:60:b9:fd:94:28 Tunnel1.0 299 598 19
5 34:23:87:0b:44:d5 Tunnel1.0 296 19 20
5 34:76:c5:ec:c0:38 Tunnel1.0 297 75 19
5 34:76:c5:ec:c0:3a Tunnel1.0 298 207 0
5 5c:fc:66:99:a5:88 Tunnel1.0 285 135 25
5 b6:5d:4d:37:0d:0b Tunnel1.0 286 485 140
5 d0:50:99:62:6d:07 Tunnel1.0 300 327263 525401
5 dc:a6:32:e5:2e:f7 Tunnel1.0 300 37 9
5 e0:d1:73:82:f3:88 GigaEthernet2:1.0 298 200 20
IRB Group 5:
Interface Status Address RX count TX count RX drops
BVI1 forward 00:60:b9:e2:65:ce 527399 332675 0
GigaEthernet2.0 blocked 00:60:b9:e2:65:ae 0 0 0
GigaEthernet2:1.0 forward 00:60:b9:e2:65:ae 2480 8335 0
GigaEthernet2:1.2 forward 00:60:b9:e2:65:ae 924 8867 0
GigaEthernet2:1.3 forward 00:60:b9:e2:65:ae 133 9380 0
Tunnel1.0 forward --:--:--:--:--:-- 330023 529482 0
GigaEthernet2.0 のステ-タスがblock になってるのが気になります・・・ >>311
univergeのL3スイッチの新品は結構いい値段しますね~
ほぼ個人ユースなので、ヤフオク頼みですがたまに出品あるみたいですね。
ただ… ファン有りですよねコレ? 自宅置きなのでファン騒音で悶絶しそうですが、やはりIXと相性が良いとなると、こちらの導入も検討すべきですね。
>>IX2215は、DHCP機能は補完せず、インターネット接続、EtherIP-IPSEC接続周りのみ
この文章を深く読み取ると、ひとつの拠点にIXを二台設置して、それぞれの役割を分けると言う考え方もありかもしれないと言う事ですね~ 少し検討してみます。
ありがとうございます >>313-315
ブリッジグループの設定で、ブロックステータスですか。
特段、GigEthernet2.0の方には、アクセスリストの設定などでの拒否設定はされていないのですが。
「00:60:b9:e2:65:ae」 のMACアドレスは、クライアントPCなどのMACアドレスですか?
IX2215の配下に、ブルータの役目にて、IX2215を接続するということですか。
EtherIPのBVIのフィルタの部分ですが、確認を致します。 >>315
「この文章を深く読み取ると、ひとつの拠点にIXを二台設置して、それぞれの役割を分けると言う考え方もありかもしれないと言う事ですね〜 少し検討してみます。
ありがとうございます 」
↑ の件ですが、IX2215配下にIX2215をブルーター機能設定にて運用された場合にですが、
無線LANのPOE給電は、どのようにお考えでしょうか?
残念ながら、POE給電スイッチの選択をしない場合には、シスコ無線LAN、他無線LAN装置にPOEインジェクターを用意しないといけない部分が御座いますので、
却ってL3スイッチ(POE給電機能)が有るタイプの選択が望ましいかと思いますが。
L3スイッチ・POE付きにて、無線LANも併せて、ネットギアのフルマネージタイプの
L3スイッチと、クラウドWI-FIのタイプの選択の方がコストパフォーマンスが良いかと思いますが。
ネットギア 「M4300-16X」、「WAX630」 >>316
お返事ありがとうございます
「00:60:b9:e2:65:ae」 はIX2215のA側I/FのMacアドレスとなります
IX2215のA・B拠点の show tech-support の一部を貼ってみます。 見たところ、GigaEthernet2.0が blocked になってるだけで、特段変なところが無いですね
一応、対向端末のMacアドレスを拾っているみたいです。
https://imgur.com/a/aGPKLTR
>>EtherIPのBVIのフィルタの部分ですが、確認を致します。
すみません。。とても助かります
しかし、もうこれはIX2215とC2960のVlan相性の問題なんですかね~
普通にタグVlanでIX2215とC2960を接続する分には何とも問題がなかったのですが
>>317
そうですね。仰る通りPOE給電を考えると給電対応のスイッチが必要ですね
ネットギア 「M4300-16X」、「WAX630」 かなり良さげですが・・ 中々素晴らしいお値段ですね...汗 >>318
ふと考えていたのですが、
NTT西日本の スーパーハイスピード隼なのですよね?
双方のPPPOEセッションのMTU数値の設定が未投入でしたが、EtherIP-IPSECのMSSが
1300の割り当てをしているようですので、何らかの形にてフラグメントパケット扱いになっている可能性もあるのですが、
1300の設定をしました証跡は、どのような意図にて設定をされていますでしょうか?
IX2215ルーターの場合には、IPSECトンネルのIKE及びSA認証レベルによって、
可変的にMTUとMSSの設定をするようになっています。
最近のNTT西日本の光回線のMTU設定値は、1454に変わったかと思いますが、
PPPOEの設定値が無いので、MTUの上限値を超える様な通信をIPSECトンネル内にしてしまうと、
パケットロスなどの現象、他通信障害が想定されます。
ESP・IKE認証(Phase1)がAES-SHA1、IPSEC-SA(Phase2)がAES-SHA1にされている状況ですと、
IX2215のPPPOEセッションのMTUの設定値が無いので、上限無しに通信をしてしまうケースが想定されます。
IX2215のデフォルト値では、PPPOE(MTU:1454、MSS:1414)→ IPSECトンネルのMTUは1454-60=1390、MSSは1390-40=1350
になっております。
EtherIP-IPSECのMSS設定値が、1300の割り当てをしていますので、逆算すると、IPSECトンネルのMTUが1340、PPPOEの1404、MSSが1364になります。
一度、A拠点のPPPOEセッションのMTUを固定にて1454、MSSを1414、IPSECトンネルの敷居値のMTUをチューニングしながら、
通信出来る範囲の精査をすると良いかと思います。
interface GigaEthernet0.1
ip mtu 1454
ip tcp adjust-mss 1414
interface Tunnel1.0
ip mtu 1390
ip tcp adjust-mss 1350
上記の設定値は、契約プロバイダによって、性能上のボトルネックが有る場合が御座いますので、
上限値から下げていって、通信を見てみる形になるかと思います。 >>318-319
それと、直接的な因果関係は無いかと思いますが、既存のA拠点の環境が、NTT-HGWの配下での
接続の構成ですが、HGWよりIPアドレスがIX2215のGE0.0-I/Fに割り当てになるように、
HGWのDHCPサーバ機能が有効な形になっているかと思いますので、今回のBVIグループには、
GE0.0-I/Fには設定されていませんが、念のため、GE0.0-I/Fには、アクセスリストにて、
HGWからのIPアドレスは拒否するようにした方が良いかもしれません。
設定例
access-list hgw-list permit src any dest any type ipv6
access-list hgw-list deny src any dest any type ip
interface GigaEthernet0.0
ip filter hgw-list 1 in
ipv6 filter hgw-list 1 in 314-320
念のため、再度、IX2215のコマンドリファレンス、機能説明書を確認しました。
IXルーターの基本仕様として、EtherIPとブリッジグループ、VLAN1、VLAN20、VLAN30の同一ブリッジグループを想定しました際にですが、その参加しました物理インターフェイス及びVLANインターフェイスには、IPアドレスの設定がが出来ない仕様でしたため、アクセスリストにて、それぞれのVLANセグメントにDHCPサーバからのIPアドレス配布に制限をかけるイメージを想定したのですが、どうも、それでもその制約を違える事が出来ない様です。
ブリッジインターフェイス・ブリッジグループに物理インターフェイスとVLANインターフェイスの参加をしました場合には、それぞれのインターフェイスには、IPアドレスの設定をせずに、BVIインターフェイスにIPアドレスの設定をするのが基本仕様とのことです。
よってA拠点は
interface BVI1
ip address 192.168.101.254/24
ip address 192.168.102.254/24 secondary
ip address 192.168.103.254/24 secondary
ip proxy-arp
ip dhcp binding vlan1
bridge-group 5
no shutdown
interface GigaEthernet2:1.2
encapsulation dotlq 20 tpid 8100
auto-connect
ip proxy-arp
ip dhcp binding vlan20
bridge-group 5
no shutdown
interface GigaEthernet2:1.3
encapsulation dotlq 30 tpid 8100
auto-connect
ip proxy-arp
ip dhcp binding vlan30
bridge-group 5
no shutdown
と言う形西無いとBVIグループのIPアドレス制御が、アクセスリストのルールを設けたとしても動作しないようです。 >>314-321
続きです。B拠点のIX2215ルーターには、
interface BVI1
ip address 192.168.101.253/24
ip address 192.168.102.253/24 secondary
ip address 192.168.103.253/24 secondary
ip proxy—arp
ip dhcp binding vlan1
bridge—group 5
no shutdown
interface GigaEthernet2:1.2
encapsulation dotlq 20 tpid 8100
auto—connect
ip proxy—arp
ip dhcp binding vlan20
bridge—group 5
no shutdown
interface GigaEthernet2:1.3
encapsulation dotlq 30 tpid 8100
auto—connect
ip proxy—arp
ip dhcp binding vlan30
bridge—group 5
no shutdown
と言う形になるようです。 >>314-322
IXルーターのブリッジインターフェイスの機能説明書の記載でしたが、
「X2000/IX3000シリーズのブリッジ機能ではスパニングツリーはサポートしていませんので、パ
ケットのループを検出できません。ループする可能性のある構成では、使用しないでください」
「IPパケットをブリッジ対象から除外している場合には、そのインタフェースにIPアドレスを設定することが可能です。」 >>314-323
続きです。
IX2215のBVIインターフェイスグループには、STP機能の設定が出来ないので、ブロードキャストストームなどの対応や、
ループが起きる構成については、デフォルトにて利用出来ず、何らかのアクセスリスト若しくは、サブネット分割の必要性が出てくるとの趣旨になります。
それと、IPパケットをブリッジ対象から除外している場合には、対象のインターフェイス(ここで言う、タグインターフェイスなど)に、IPアドレスの設定が出来る
と言う趣旨をみて判断をしました。
総体的にですが、IX2215(A拠点、B拠点)、C2960とのトランクポート接続を併用する場合ですが、
サブネット分割しました設定にて検証をするしか無い状況のようです。
※ 293-296の投稿にて記載しています。
例 A拠点のIP体系 192.168.101.0/25、192.168.102.0/25、192.168.103.0/25
B拠点のIP体系 192.168.101.128/25、192.168.102.128/25、192.168.103.128/25
A拠点のIX2215ルーターのIPアドレス192.168.101.126/25、VLAN20のIPアドレス192.168.102.126/25、VLAN30のIPアドレス192.168.103.126/25
B拠点のIX2215ルーターのIPアドレス192.168.101.254/25、VLAN20のIPアドレス192.168.102.254/25、VLAN30のIPアドレス192.168.103.254/25
A拠点のVLAN1のDHCPサーバ範囲(192.168.101.1-192.168.101.125)
A拠点のVLAN20のDHCPサーバ範囲(192.168.102.1-192.168.102.125)
A拠点のVLAN20のDHCPサーバ範囲(192.168.103.1-192.168.103.125)
B拠点のVLAN1のDHCPサーバ範囲(192.168.101.128-192.168.101.253)
B拠点のVLAN20のDHCPサーバ範囲(192.168.102.128-192.168.102.253)
B拠点のVLAN20のDHCPサーバ範囲(192.168.103.128-192.168.103.253)
↑の様な形にて、ARP衝突やSTPの誤動作などを緩和する要件へ変更しないと、どうもうまく動作しないネットワーク環境のようです。 >>319-324
お返事が遅くなりました
貴重なアドバイスありがとうございます。
>>319
interface GigaEthernet0.1
ip mtu 1454
ip tcp adjust-mss 1414
interface Tunnel1.0
ip mtu 1390
ip tcp adjust-mss 1350
コチラの方は、A拠点へコンフィグ投入を致しましたが・・ やはり結果は同じみたいです。
一応、両拠点の interface Tunnel1.0 内の bridge ip tcp adjust-mss 1300 の削除を行いましたが、結果は同じですね...汗
320-324にてご教示頂いたコンフィグについては、再度明日にチャレンジしてみます。
せっかく、アドバイスを頂いたのに本日は余りIXを触れなく大変心苦しいです
いつもありがとうございます >>325
サブネット分割(/25)とBVIインターフェイス(BVI1)のIPアドレス割り当ての変更のサンプルコンフィグを
送付します、ご確認下さい。
ギガファイル便にて。
https://44.gigafile.nu/0825-428b9d7276edd5df4ff743c9075a18bd >>325-326
サブネット分割(/25)のIPアドレス体系にされる場合には、
それぞれの拠点のNASや複合機などのIPアドレスもその範囲に合致出来る様に、IPアドレスの設定を
ご確認下さい。
それぞれの機器ですが、VLANに対応しているかどうかによってですが、BVIのデフォルトVLAN(VLAN1)の範囲にて、設定する形になるかと存じます。 >>325-326
BVIインターフェイスに、セカンダリIPアドレスを投入するのは、DHCPサーバ周りの取得にて、
うまくブリッジングされないかもしれません。
ブリッジグループにタグを通す事は対応しているのですが、セカンダリIPアドレスとのブリッジング仕様にて、
セカンダリIPアドレス=BVI=タグVLANインターフェイスの紐付けが、コマンドマニュアルや機能説明書に記載が無いので、
タグVLANのインターフェイスに、IPアドレスの設定をして、/25サブネットの分割にて、
A拠点とB拠点のアクセス検証するしかないかもしれません。
L3スイッチの場合には、L3スイッチ側にて、タグVLANグループに対して、DHCPサーバを効かせて、
上位のIX2215との接続をポートベースVLAN間のトランクリンクをさせる形がシンプルかと存じます。 >>328
お返事遅くなりました
また、コンフィグを送って頂いてとても感謝しております。
今、やっと色々と検証した後なのですが・・
やはり頂いたコンフィグでも、私なりに試した結果でも状況は同じですね
私の為に多大なお時間を頂戴し色々とアドバイスを頂いていたのですが、仰るとおりもうL2スイッチは諦めてL3スイッチへ交換した方が早いかも知れないですね。
もうこれ以上、流石にお時間を頂戴するのも大変心苦しいので、この辺りで諦めようと思います。
ただ、以前に頂いたコンフィグの中で・・ 「ike initial-contact always」 「ike suppress-dangling」 「ipsec rekey unconditional-rekeying」 のコンフィグを初めてみたので
とても勉強になりました。
どうもたくさんのアドバイスありがとうございました。 >>329
そうですか、動作のフローを診ますと、
・ IX2215ルーターのEtherIP-IPSECに複数のタグを通す事は出来るが、IPアドレスグループ・サブネットがまたがる様な通信は、
MACアドレス及びループ遅延が生じる部分があるので、サブネットレベルで分けた方が良い。
・ IX2215とC2960のタグ制御に微妙な機能差があり、またC2960のブリッジング機能に差があるようでしたが、タグとブリッジングの新和性
を確保するため、その対策が必要になる。
・ IX2215とのトランクリンク接続に、C2960の機種との組み合わせにて、ポートベースVLAN間の接続にて、DHCP取得するところまで至ったが、
それ以降の接続として、タグVLAN同士のグループを別に組んで(VLAN20とVLAN30)、EtherIP-IPSECの別トンネルの接続をすることで
接続の可能性はあるが、検証をしないと安定性は不確定要素がある。
→ ただし、IX2215とC2960間のトランクリンク接続は、ポートベースVLAN単一の接続が通信安定性がある構成のようですので、
タグVLANのみを別BVIグループエントリーをして、EtherIP-IPSECの別トンネル接続をしても、あまり意味が無い事。
上記の要素があるため、L3スイッチの構成にて、
IX2215はインターネット接続と、EtherIP-IPSECトンネル接続、DHCPサーバ機能は利用しない。
配下のL3スイッチにて、VLAN20〜VLAN30のIPアドレス設定とDHCPサーバ機能を利用、VLANルーティング設定を、
IX2215のトランクポートへ向けて、IX2215のルーティング設定にて、
192.168.102.0/25、192.168.103.0/25は、A拠点のLAN側L3スイッチのトランクポートのIPへ向けて、
192.168.102.128/25、192.168.103.128/25は、EtherIP-IPSECの対向先へルーティングを向ける。
B拠点も同様に、L3スイッチのLAN側とEtherIP-IPSEC宛ての/25サブネット向けにルーティングを切る。
上記のような形になるかと存じます。 >>329-330
ちなみに、/25サブネットにするということですが、端末側の固定IP等の設定をする場合には、
255.255.255.128 にする必要が御座います。 >>331
知りませんでした。ありがとうございます。 >>329
「ただ、以前に頂いたコンフィグの中で・・ 「ike initial-contact always」 「ike suppress-dangling」 「ipsec rekey unconditional-rekeying」 のコンフィグを初めてみたので
とても勉強になりました。」
上記の件ですが、IKEのキープアライブのプロセス、IKEのダングリングSAの設定で、IKEの更新時にSAが即時更新されるとは限らないので、そのタイミングの設定、
「ipsec rekey unconditional-rekeying」は、IPSEC-SAの再接続のコマンドですが、
IXルーターの場合には、ソフトウェアプロセスにてSA更新時に再接続されない仕様が有ったかと思いますので、
その為の設定です。
IPSEC-SAの再接続ですが、突発的な電源断などの場合には、こちらのコマンドでは、再接続がされないケースが御座いますので、
IXルーターの仕様上、ネットワークモニター機能にて、IPSECのPhase1、Phase2の監視をさせて、キープアライブさせる方法になります。 >>330
Cisco辺りのL3スイッチだと、3750辺りがヤフオクで安く買えそうですね
この辺りを仕入れて、再度チャレンジしてみたいと思います。 IXの仕様もありL2スイッチでは少し無謀な事をしていたかも知れませんね
>>333
とても勉強になりました。
設定事例集では詳しく書かれていないコンフィグもあったので、今後はぜひ活用させて頂きたいと思います。
この度は、たくさんのアドバイスを頂きとても感謝をしております。 ありがとうございました。 >>334
ヤフオク等にて調達をされるのでしたら、シスコのサポートライセンスが出来ない形のモデルより、
アライドテレシスやNECの方が、ファームウェアの入手がしやすいので、そちらの方が良いのではないでしょうか? >>335
仰る通りCiscoは中古市場で玉数多くて、値段も安くて良いのですが… ライセンス周りがダメですね~
中古で3万位まででオススメのL3スイッチご存知ですか?
ヤフオクだと3750Xは4千円位から手に入りますね~ >>336
個人的な経験則ですが、シスコのサポートライセンス無しのiOS-XE等の修正も出来ない
機種の購入でしたら、いくら安くてもシスコの選択は無しですね。
実際に稼働すると、却ってNECやアライドテレシスの方ですが、ファームの更新も出来ますし、
ある程度の設定例の公開もされていますので、そちらの方が良いかと思います。
シスコ系がお好きな様ですので、アライドテレシスの最近モデル、中古品でもAlliedWare Plus
の運用が出来るタイプですので、シスコのiOSのCLIがそのまま実行出来たりします。
アライドテレシスのルーター系は、クソルーターが大概ですが、スイッチ系は良いですよ。
無線LAN系もイマイチですが。
Buffalo系は、最近OEMに注力し富士通やNECのOEM仕入をしてきています。
今まで自社開発・生産をしていましたが、スイッチやルーター系はクソレベルでしたが、Buffalo系のメリットは、
無線LAN周りがコストパフォーマンスが良いタイプが御座います。
>>336
ヤフオク中心ですと、
アライドテレシス 「AT-x510-28GTX」 あたりが良いかと思いますが。
ハードウェア状態については、出品者へ確認下さい。
>>338
ありがとうございます。
流石、本職の方はとても詳しいですね
私はあくまでも個人の趣味範囲なので、玉数が多くて値段が安い、Ciscoを購入したのがキッカケです。
アライドのご紹介頂いたスイッチは、2万円以下で出品されているので、少ない小遣いで何とかなりそうですw
ただ、ファン騒音に関しては業務用は諦めないといけませんね >>339
ファンの騒音に関しては、スクリプトで回転数を落とせますので
問題にはならないと思いますよ。横から失礼しました。 >>339
現時点にて、アライド系では、「AT-x610-24/48Ts-X」などが出ている様ですが、
こちらは、保守契約前提の製品ですので、選択はされない方が良いかと思います。
10GBASE-ER/LR/SRのインターフェイス内蔵(2ポート)ですが、正常稼働品・サポート付きでしたら、
こちらの方がレスポンスは良いかと思いますが、上位のルーターがIX2310の方が良いでしょうね。
「AT-x510-28GTX」でも、10GBASE-T/ER/LR-SRのSFPモジュールを追加しましたら、対応出来なくもないです。 >>340
おお~ なるほど!
あの精神にダメ-ジを与える騒音さえなくなれば、あとは場所の問題になりますね
ただ、ひとつお聞きしたいのですが・・・
スイッチのコンフィグ上でスクリプトを実行する方法ってあったのでしょうか??
ググってみたのですが... もし、何か方法があれば教えて頂いても宜しいでしょうか??
あの騒音なくなるだけで、すごく助かります
>>341
ありがとうございます。
アライドは初めて触るメ-カ-ですが、ぜひ検討してみます。
L3の概要を見ていたら、私がやりたかった事が全て解決できそうですね >>342
周辺の通機系の放熱・耐久動作が気になりますが。
下記のスクリプトにて変更は出来るかと思いますが、本流としては、ルーター、UTM、スイッチが十分に
動作上の問題がない様に冷却が出来る外気が有ることが条件となりますが。
下記設定例
# edit fan.sh
---- 中身:ここから ----
#!/bin/sh
echo 1000 > /sys/class/hwmon/hwmon0/fan1_min
echo 66 > /sys/class/hwmon/hwmon0/pwm1_auto_point1_pwm
echo 66 > /sys/class/hwmon/hwmon0/pwm1_auto_point2_pwm
configure terminal
trigger ****
type reboot
script **** fan.sh
active
ただし、L3スイッチのコントローラーは、それなりに放熱をしますので、庫内温度は
かなり気をつけた方が良いかと思いますが。
庫内廃熱クーラーの役目ですが、内蔵のコントローラーなどの冷却が主なところですので、
コントローラーに、冷却用のヒートシンクを設置(熱伝導テープ若しくはシリコングリス等)することである程度は、緩衝材になるかと思われます。
コントローラーCPUの寸法ですが、ほぼ40mm×40mm のタイプになるかと存じます。
↑のような形になりますが、 >>342-343
AT-x510系の庫内仕様、クーラーの関係ですが、
吸排気クーラーのPWMコネクター1系統御座いますので、こちらのコネクターへ、
PWM分岐ケーブルを追加して、内蔵の廃熱ファンを交換、別途追加にて、コントローラー用のブリッジクーラーを増設
する形の対応が可能と思いますが。(AINEX CA-100A)
廃熱ファンですが、高回転数のPWMタイプのようですので、30db以下のファンにすることでも
静音化は可能かと思います。(Silberstone、FTF5010)
40mm×40mmのコントローラー用ヒートシンククーラーは、お探しください。 >>342-344
給廃熱ファン、冷却ヒートシンク・クーラーの交換ですが、あくまでも自己責任の範囲にて
ご確認ください。 >>343-345
お返事が遅くなりごめんなさい。。
ちょうど自宅にライセンス切れのpalo転がっているので試してみます。
あの精神的にダメ-ジを与えてくる騒音が軽減されるのであれば、とても助かります。
ありがとうございました >>346
L3スイッチの背面の吸排気クーラーをPWM制御の静音型のクーラーへ変更することと、
PWM4ピンコネクターを分岐するケーブルを用意され、L3スイッチ制御のコントローラーを
直接冷却する40mm×40mmのヒートシンク型ファンクーラーをご用意頂いた方が良いかと思います。
コントローラーチップ用のクーラーかと存じます。
CLIスクリプトを安易にカスタマイズするのは、却って良くないかと思います。 >>330-334
拠点間のEtherIP-IPSECの件ですが、もう一つの方法がなくも無いですが、
それぞれのIPSECトンネルにて、双方向NAT(Twice-NAT)を利用する方法もあるかと思いますが、
IPSECの双方向NATを利用する場合にですが、BVIインターフェイスとIPSECトンネル、配下のL3スイッチ
の間のタグ通信が出来るかどうかは、要確認になります。
IX2215ルーターですが、双方向NATには対応出来る様です。 >>352
双方向NAT・IPSECにて構築をする場合には、性格上、
始点と終点、端点同士のNATエントリーを入替えながら通信する仕組みですので、
そのIPSECトンネルに、タグVLANのIPアドレス同士を通信させる場合には、
恐らく、IPSECトンネルの静的NATエントリーに、タグVLANのNATエントリーも追加して、
NAT同士の折り返し通信をする形になるかと思われますので、
やってみないと解りません。 PPPoEとIPoEを併用をIXルーター1台で実現できてNECさん有難うございます、 IX2215でV6プラスで公式の設定入れてもv4のトンネルの方だけ繋がらん >>355
単に、クライアント側のOSの制約にて、IPV6-DNSの優先順の選択をされているだけではないですか?
特定のサイトは、IPV6サイトを用意されておらず、IPV4サイトのみのところがあるので、
そちらは、V6プラスのBRゲートウェイ側にてIPV6とIPV4の切替えをされる機能になっているかと思いますが、
IXルーターのProxyDNSの設定にて、GE0.0-I/Fから取得されるDNSの他に、IPV4-DNSサーバの登録をして、
そちらのIPV4-DNSサーバの選択にプライオリティをつけて先に選択させる方法、RDNSSの設定をする方法もあるかと思います。
Windows10、11の場合、WindowsのIPV6の選択順がデフォルトにて適用されていますので、そちらの優先順を下げる等の方法になるかと存じます。
その際には、IPV4-DNSの参照が出来ない場合に、IPV6-DNSの参照をするようになるかと存じます。 ix2105から2215に乗り換えるのですが、
Configはそのまま取り込めますか?
ファームウェアはそれぞれ最新の想定です >>356
情報ありがとうございます
頂いた情報の詳細についての検証は後日行います
ちなみにメインはMacを使用してまして、Windows10も含めて同じ症状でしたので、
ルーターの設定が悪いと思ってました >>357
インターフェイス(GigaEthernet)の数が変わるから、そこは手当てする必要がある
あとはそのままで行けるはず >>359
ありがとうございます。GEの指定変更でいけました >>358
念のため
IXルーターのProxy-DNSの設定例、IPV4-DNSとIPV6-DNSの選択順でしたが、
GE0.0-I/Fが、V6プラス回線の接続インターフェイスと仮定すると、
proxy-dns interface GigaEthernet0.0 priority 253
proxy-dns server 8.8.8.8 priority 254
proxy-dns server 8.8.4.4 priority 254
↑ のような形になります。
別途
クライアントOS側のDNSの選択順のレジストリ調整は必要になります。 n-techですかね?
いつもありがとうございます RTX1200からIX2215に乗り換えたIX新参だけど、こっちのが明らかに使いやすいね
設定がわかりやすい ダイナミックVPNって
バーチャルコネクトでも使えるんかな BIGLOBEのipv6オプションで使うには、v6プラスと同じ設定でよいでしょうか? >>366
市場シェアはYAMAHAが独走してるんだってね >>373
NECが真面目に競争する気無いからな。
ただ基本性能は昔からこっちの方がしっかりしてたが。
YAMAHAが好きならそっち使ってりゃ良いんじゃないの、おれはあの文法にぶち切れたけど。 Nに限らんけど系列のSI事業がある限りある程度の採用は安泰だろうし、
逆に他系列(Fとか)の案件だとどう頑張っても採用してもらえないだろうし、
まっとうな競争環境に無いってのもどうかと思うな 2215安くなってるらしいけど3110とどっちが良い?
値段そんなに変わらないや ファンがうるさいのが嫌なら2215
IPsec対地数たくさん欲しいなら3110 ヤフオク2215 私が買った9月の上旬は1台3000円くらいだったのに、半額になってますね IX2215ってSIP-NATに対応してたっけ?してたら買いたいな IX2215安いな。
家庭で使うにはちょっとデカすぎるが。 >>383
SIP-NATは未実装ですが、代わりにSIPフォワーディング機能と、QOSカラーリングにてポート指定での
優先制御を設定するようになっていたかと思いますが。
IXルーターの設定例有り。
クラウドPBXやオンプレミスPBXのSIPの利用ポートは決まっているかと思いますので、
その利用ポートについて、QOSカラーリングの設定、若しくはSIPとインターネット系をSD-WAN
にて分ける方法も有りかと思いますが。 >>385
なるほどちょっと調べてみます。
ありがとうございました。 この大量出品って元は1つの業者なんだろうか。
3つセット買ったら全部普通に使えてるけどファームだけは古かったので自分で上げた。
コンソール上で起動時ログ取得レベルの簡単な動作確認と、
最新ファームにしてバラで売れたらもっと高く売れるだろうにとも思ってしまう 何処かの倒産品かリプレース品やろうけど
これだけの規模だと廃棄品管理もしてるやろうし
倒産品なんやろうか、店舗数で考えると
飲食のチェーン店なんかね 10.7.17がリリースされたね
個人的に目玉となるようなものはないようだけど... 2105と2215の在庫一斉処分の流れで、10Gの口コミ持ってる3315なんて放出されんかな? IX2107が出たんだね
IX2106との違いがよく判らないがIX2106は短命だったな ああ、IX2107にはMODEスイッチが付いたんだね
よくも狭いところにねじ込んだな PDFのカタログからは2207も落ちたな
価格改定リストには載ってるから在庫限りって感じか IX2107はIX2106のゼロタッチプロビジョニング対応モデルってだけなのかな?
なんでIX2105-ZみたいにIX2106-Zじゃ無いんだろうね 物理的なスイッチが付いてソフトウェアだけでなくハードウェアが異なるからじゃないかな
一瞬SoCが2235と同じ1GHzになってるかもと思ったけど、カタログのスループットが2106と変わってないからSoCも一緒(800MHz)だろうね IXを数年使ってきたので、今回HUBはQXを買ったけど、別物だね。ま、vlan使う程度だけど
中古
S5226P メモリは増えてるのか>2107
でもソフトウェア諸元(ルーティングテーブルのサイズとか)は変わってないね
どうでも良いような話だけど、10.7のコマンドリファレンス(CRM)、目次クリックでジャンプしても表示倍率が変更されないようになった!
これは良い改良w 持ってないからどうでいいけどIX3315の10.7.17のファームがリンク切れになってる
ついでに10.7.17と10.6.67のリリースノートも リリース情報はないっぽいけどカタログとマニュアルに載ってる 最近、自宅用にIX2215を入手して、androidからのVPN接続を構成しようとしたところ、Androidの最新バージョン(13)ではL2TP/Ipsecが利用できなくなっていました。
IX2215でIKEv2のVPNを構成しようと思っていますが、参考になりそうな設定例などありましたらご教示いただけないでしょうか。 ヤフオク2105暴落したね。大量在庫抱えているやついるだろうな。 ルータ―の物理的寿命ってどれぐらいなんだろ?
5年超えたら不安なってくるけど >>408
オクの2015を20台以上を使っているが、消耗品として割り切っている。
環境(主に温度)に影響されるだろうが、10年以上大丈夫な気がする。
ちなみに、2025も5台現役。 IXってclan グループ毎にMacテーブルが共通になるのか?
Tagでvlan別れててもMac被ると動作おかしくなるわ
ルータに馬鹿ハブがくっついているイメージなんかね 仮想マックが生成される系はかぶる事あるのよ
例えばVRRP使ってるとね
普通のスイッチだったらvlan毎にMacテーブル作るから同セグじゃなければ
問題にならないんだけどね VRRPならID変えればMACアドレスも変わるよね
MAC被るのきらい ヤフオク で ix2215 の2つパックを購入してみた。届いたのは2015年製造と2016年製造のものだった。
昔購入した手元の中古2015年10月の製造品よりどちらも新しかった。
落雷とかで壊れたときの予備に1台ほしかったんだけども、なんで2台パックなんだろうなあ。
前の投稿で書かれていたが最新ファームにして、動作の画面出せば、一台ずつ高価に売れるというのはその通りかと。
だけど、手間を考えると微妙か。
入っていたファームは発売当時(?)の8.x で、一瞬 ファームウェアの更新用にtftpd いるかと思ったら、その時代でもウェブインターフェイスから更新できることに気づいた。
設定ファイル置き換えて外と内部の動作を一通り確認して、その接続で書いてます。(個人の利用なんでそんなに複雑なことをしてない。V6plus)
どこから出たのか?:ちゃんと CONTROL-C cc y でクリアしてある。分かってる人が初期化してから梱包してるのだろう。
USBポートの上に小さな丸いシールが貼ってあったので、USBなんて言っても分からないような現場の人にそこに差し込みなさいみたいな運営していたのかな。
あと、2台ともBRIポート設定スイッチ(4ピン)の一番左のスイッチがS方向に立っていた。
自分が使ってるのよりきれいだったのには正直おどろいた。
出荷前にクリーニングした際の掃除をしたあとなのか、はてまた上に置いてあったものの形状なのか、天板にうっすらと丸い模様がみえる。
そういう使い方をしていたところから大量にでたのかな? 興味津々。
昔使っていた中古のIX2015は郵政省の民間移行に伴いでてきたと聞いた。 昔大量に出てたIX2015は郵便(テプラ付いたままのも有った、うちに来たのは沖縄品)とマック(油っぽかった)辺りだったと思った。 >>414
俺も買った
思ったよりキレイでラッキー!と思ったが、2台ともNVRAMが飛んでてエラー
ボタン電池じゃないから部品調達が面倒くさい… 俺もix2215をオクで購入したんだが、OCNバーチャルコネクトに接続できない。NECの設定例をほぼそのままでLANインターフェースのみ変更でいけると思うんだが、違うのか? >>417
ファームウェアあげた?
「本設定例をご利用いただくには ver.10.2.20以降のソフトウェアが必要です。」 >>418
ファームは最新の10.7に上げてある。telnetでコピペしたんだけど、一気にやるとダメな事があるんだろうか? ひかり電話有無でconfig違うはずだけど大丈夫? >>420
ONU直結でひかり電話無しなので、設定例1でやってます。2105とはLANの指定が違うだけとの認識なんですけど。
ほかに何かあるでしょうか? >>417
家はぷららやけど設定のままいけたで
sh intかwebでトンネルupしてるか見てみたら? >>417
tunnel mode map-e ocn した? >>417
417ですが、少しずつコマンドを入力していき、show tunnel status すると接続されているように見えるけど、インターネットアクセスは不可。
write memory後、再起動すると、そもそも接続すらされない。 エスパーすると、従前のフレッツ・ジョイント接続のまま契約が変更されていないと思う >>417
ip napt enable 入ってる? >> 419
過去にシリアルラインで PC から 大量にコマンド業をコピーすると駄目。
どこかで文字を落とす。なので、teraterm で各文字、各行を送信の後に微妙に遅れを入れることでその問題はなくなった。
驚いたのは telnet でも同じ問題を起こした。自分でプログラム書いてコマンド送り付けるようなことしてたら一行単位で落としたりする。
CLIは人間と対話するものだということを思い知った。ちゃんとプロンプトマツなどして同期すれば問題なくなった。
そんな経験してたので、web インターフェイスでまともに大きな config をアップロードできるのかとおもったら、
そっちはしっかり作ってあるらしくってというか、いちいちコマンドを読み込みつつじっこうするわけではなくて、最後にまとめて実行するのか問題ない。(シリアルとかtelnet の文字I/Oのルーチンはおそらくだが、2015 渡河の時代に作った
ファームウェアから変わってないんじゃないのかな。)
だけど
>> 424
みるとその問題ではなさそうですね。 >>427
とりあえず初心に帰ってコマンドを最小単位で確認しながら入力し直してみました。結果、無事に接続できるようになりました。アドバイスありがとうございました。
ix2215、初期化のたびにコンソールケーブル接続からのコマンド設定しないといけないのが少し辛い。 OpenSSLに致命的なな欠陥が見つかったらしい。 CVE-2022-3602 は "potentially remote code execution" とか言ってるし、mitigation で多少は大丈夫なはずとか言われても嫌な感じね
https://www.openssl.org/news/vulnerabilities.html
X.509の証明書の検証まわりみたいだから、もしかしてSSL or TLSは勿論IPsec (IKE)使ってても影響(DoS的な)あるのかな
うぇぇ メモリが倍になったix2107出たんだな
メモリ増えたら何か変わるの? 機能説明書のソフトウェア諸元によれば基本的には変わらん
2106でメモリがかつかつ、みたいな使い方していれば、ログバッファのサイズを大きくするのに躊躇しなくてもよいかもとかあるかしらんけど
多分、メモリチップの調達上の都合で増えただけかと
(より大容量のメモリチップの方が安くなった、とかで) >> 428
> x2215、初期化のたびにコンソールケーブル接続からのコマンド設定しないといけないのが少し辛い。
必要最小限GE2.0 をLANにつなげるような設定にし、web admin ページが開くようにして、そのあとは
config をウェブから設定すれば比較的面倒でないかもしれない。
必要最小限はどこかのファイルに書いておいて、コピー&ペーストで teraterm みたいなものから書き込むと。
teraterm は最後ペースト終了前に編集できるウィンドウが開くから、アドレス変えてみたりちょっとした変更は手軽にできる。
私はNEC-IX2215-SuperReset を検索して見つかるページのコマンドをウェブサーバー立ち上げるところまでコピー&ペースト。 >>433
確かにこれなら、スムースにできました。ありがとうございました。 >>432
なるほど
ファームウェアもショップ経由じゃなく機器購入しなくても
個人で直申請してダウンロードできるようになったとか
少しずつ個人販売もする気になってきてたんだ >>435
申請書に記入、押印したものをスキャンしてNECにメールしたら、30分くらいで返信があり、即ダウンロードできるようになりましたよ。 >>433
先週設定ミスって自宅のPC全部ネット繋がらなくなったので、初期化からWeb接続まで、スマホで検索しながらやった
2度としたくない
因みに、ホスト名とNTPは設定しなくても、行けた 情報弱者が手を出すものじゃないんだよなあ、ましてや中古なんて。
日本語ドキュメントであんだけ揃ってるの珍しいくらいなのに。 みんな誰でもはじめは初心者
IX歴20年以上の自分もはじめはよく分からなくて悩んだものだよ
機能説明書がバイブルだった...今でもそうだな コマンドリファレンス1000ページ、設定事例集1000ページ読んだら
なんとかネットに繋げられた >>438
さすがに情弱はこの機種やこのスレには辿り着かないと思うぞ。 10.7.18リリース
Ver10.7.17使用時にNetMeisterに接続できない場合がある問題を修正しました。 レンタルルータは使い物にならないし他のメーカーはほぼ新しいの買えよだから、ocnのバーチャルコネクトに対応してくれたのは有難いわ ヴァーチャルコネクトって
MAP-Eだからv6プラスに対応してたらいけるんじゃないの? >>444
なんか若干違うんじゃなかったっけ...
Cisco とかもOCNヴァーチャルコネクトは行けるけどその他は無理みたいなのがあった気がする こんなのあるけど、
> 特に新規 VNE 事業者に対して当該標準方式の採用を期待するものである。
> 尚、既にサービス提供中の VNE 事業者においては、国内標準方式へ移行する上での得失を考慮した上で判断いただければ幸いである。
だからね
正直、NDAを結んでとか言ってないで各VNEは仕様を公開しろよって思うけど
IPv6マイグレーション技術の国内標準プロビジョニング方式 【第1.1版】
https://github.com/v6pc/v6mig-prov/blob/1.1/spec.md 前スレで、IX2215の4セグメントにipv6アドレスを配布したいと言った者です
ipv6 interface-identifieって何を参考に設定すれば良いか分からない(T_T)
仕事の合間に、何度もコマンドリファレンス集、設定例集、googleで調べても、自分が理解できる資料に行き当らない
適当に指定したらIX2215動かなくなって初期化するハメになったし、かといってコンフィグ作成依頼出来そうな業者も見つからん
誰か、少しで良いので助けてく下さい。 普通はv4セグメントにv6アドレスは広報できないから、
v6 over v4のトンネルという技術を使うことになる。
慣れると滅茶苦茶簡単だけど、
素人にはどうかな。 参考サイトでは、BVI1を使わずに、GE1.0を利用してIPv6をGR2.0のセグメント分離に使用しているのですが、
pv6 interface-identifieの値が、何故そうなるのか?理由が出来ず、似せてコンフィグ作成したけど、セグメント1つ分しかIPv6配布出来なかった
https://y2lab.org/blog/inet/ipv6-nw-segmentation-on-nuro-service-8769/ >>447
ここの問い合わせから相談したら?
製品一覧 : VPN構築ルータ UNIVERGE IXシリーズ : LAN/ネットワーク機器 : 製品 | NECプラットフォームズ
https://www.necplatforms.co.jp/product/ix/product/index.html >>450
教えて頂いて、有難うございます。
問い合わせメール送ってみました。只、問い合わせフォームを見ると企業限定みたい。 >>449
そのページだけを読んだ限りだと、単純に VLAN200, 202, 206 と決めてて、
200 = 0xC8, 202 = 0xCA
だから、IPv4もIPv6もVLAN IDと同じ値をネットワークアドレスの一部に用いるルールにしている
それで、対応するインターフェイス識別子にも 0xC8, 0xCA を(分かりやすくするために)付加してるだけじゃないかな (:feはルータは.254スタイルの人なんでしょ)
前スレの質問とか分からないけど、ISPから/56でプレフィクス受け取れてないと無理だよ(一応念為 >>452
有難う御座います
10進数と16進数の変換かけているとは思いませんでした >>453
追記:同じNURO光で同じONU+Routerなので、行けるかもしれません
頑張ってみます お助けください。
IX2106を中古で購入して、Web設定画面で「IPv6 IPoE 接続」に設定しようとしました。
「接続種別を変更する場合には、設定の初期化が必要となります。 」と記載されていたので、
設定の初期化を実行したところ、Web設定画面に接続できなくなりました。
(https://192.168.1.254に接続できなくなりました)
おそれいりますが、対応方法をご存じでしたら教えていただけますでしょうか。
コンソールでCUIの投入方法すら知らない初心者でございます。 >>455
初心者には無理なので手放してAterm買うといいよ >>456
Atermを使っていたのですが、v6プラスを利用するとIPv4サイトに接続できない事象が
頻繁に発生したため、v6プラスに安定して接続できるIX2106を購入した次第です。 >>457
サポートが欲しいなら新品を買い直すといいよ >>455
2106に繋いでる機器をすべて外す
2106の電源を再投入
しばらく待つ
直接PC1台だけをLANケーブルで2106のGE1(LAN側)に接続(そのPCは2106だけに接続する(Wi-Fi等はoff))
でWWWコンソールに繋がるはずだけど
ダメならコンソールケーブル(シリアルケーブル)が必要な事態 >>455
コンソールケーブル(USB→RJ45のFTDIチップ搭載のもの)が必要ですが、CLIで初期化&Web管理ONを行ってからWeb設定をIPv6 IPoE 接続の設定を行うしか無いのでは?
初期化の参考HP
https://nwengblog.com/uni-ix-basis/ >>459,460
ありがとうございます!
459に教えていただいた方法を何度か試みましたが接続できませんでした。
コンソールケーブルを注文いたしました。 コンソールでもすぐに詰みそう
ケーブル届くまでしっかり予習しといた方がいいよ 2106ならシリアルコンソールで
default-console web
してからスーパーリセットしたら良いだけじゃね?(以後はWeb-GUI)
#default-console command-line してあった中古でも掴んだんでしょ >>462
ありがとうございます。予習しておきます。
>>464
設定を初期化するまでWeb設定画面に接続できていましたので、
#default-console command-line されていたのではないと思います。 http://192.168.1.254/自体が開かずにエラーが帰ってくるならコンソールケーブルを待つ
開くならユーザー名、パスワード共に空白でログイン出来ない?
ユーザー名、パスワード決定後保存再起動で設定可能になると思う クライアントが192.168.1.0のネットワークじゃなかったりしてね
まさかね…… >>447です
無事4セグメントにipv6を分離配布出来ました
分離した値から、F660Aから/56でipv6は降ってきていました
特に、>>452の説明で、ipv6 interface-identifierの部分が理解できたのが大きかったです
有藤御座います
只、IX2215自体にipv4 dnsを覚えさせようと
proxy-dns ip request both
proxy-dns ip max-sessions 1024
proxy-dns ip access-list dns-list
proxy-dns server XXX.XXX.XXX.XXX priority 240
proxy-dns server YYY.YYY.YYY.YYY priority 250
の部分が
IX2215(config)# show proxy-dns ip
Proxy DNS for IPv4 information
Max sessions 254, Free sessions 254
DNS server(s):
118.238.201.33, dynamic (DHCP), GigaEthernet1.0, priority 100
152.165.245.17, dynamic (DHCP), GigaEthernet1.0, priority 100
となってしまい、意図した動作とプライオリティが変わってしまいます
只、正しくWAN側にipv4 DNSが設定されているので、ネット接続自体は問題ありません。
Version 10.7.18なので
ip name-server [DNS アドレス1] :Ver9.7 以降のみ、DNS アドレス固定設定時
ip name-server [DNS アドレス2] :Ver9.7 以降のみ、DNS アドレス固定設定時
の表記でないとマズのでしょうか? >>466
ありがとうございます。
http://192.168.1.254/自体が開かずにエラーになりますので、
コンソールケーブルが届くのを待ちたいと思います。 >>468
試したことないからエスパーだけど、proxy-dns ip enable をインターフェイス定義部分でやってない?
もしそうならそれをグローバルに移せば? >>465
default-console command-line 状態でも、startup-config に http-server ip enable 云々設定されていればWeb-GUIは機能するんすよ
なので、そういう風に中途半端に初期化された中古品をゲットしたんじゃないか、って話
#2215をメインに扱ってたいい加減業者ならやるかもぐらいの話だけど
まあシリアルコンソールでログインすれば確認できるけど、
default-console web になっている状態で初期化してWeb-GUIに繋がらないなら、むしろその方が大事のはず 初心者だけど最初に見てコンソールの使い方勉強するなら以下pdfがわかりやすいよ、検索すれば出てくると思う
実機演習資料(初級編)IX2215 ix2105 2215共にオクで値落ちしてきたから入手して使ってるけどこれかなり素晴らしいね
1km離れた兄貴の家とNGN網内折返しv4overv6IPoEダイナミックVPN張って
兄貴の家(拠点ix2105 excite光fit)--俺の家(センターix2215 ソフトバンク光)---internet
て感じで接続してるけど兄貴の家からでも速度3桁Mで安定してる
exciteの通信量も消費しないから数ヶ月で元取れそう コンソールケーブルが届き、>>460 で教えていただいたように、
CLIで初期化&Web管理をONにして、ファームウェアを10.7.18に
バージョンアップしてからWeb設定でIPv6 IPoE 接続の設定をしました。
無事にIPv6 IPoEで接続することができました。
コンソールケーブルを接続して、IX2601のスイッチをオンにすると
Tera Termに文字が表示されたときは感動いたしました!
ご助言いただきました皆様 まことにありがとうございました!
深くお礼申し上げます。 ix2215配下にあるWindowsPCから
別拠点にあるNTTルータにL2TP/IPsecで
VPN張ろうとしたんだけど繋がらなくて難儀してます
何かix2215側に設定する項目等はありますか? >>477
ありがとうございます!
皆様からご助言いただきましたおかげでございます。 >>478
IX配下のスマホからとかはサクッと繋がってない?
WindowsのL2TP/IPsecクライアントはデフォルトではNAT-Tが無効になってるので、レジストリを設定して有効にする必要がある
すでに設定済みならすまんが分らん(でもIX側は設定不要のはず(IPsec passthroughには対応していて、設定は特になかったはず))
NAT-T デバイスの背後に L2TP/IPsec サーバーを構成する
https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/configure-l2tp-ipsec-server-behind-nat-t-device >>480
ご指摘ありがとうございます
NAT-Tの設定はしてあるのにパケットが全く通らなかったので色々と調べていたらIDSの設定がされていて通り道塞いでました^^;
IDS外したら無事繋がるようになりました
ありがとうございました X2215を使って、IPOE接続でインターネットに接続しています。リモートアクセスするためにPPPoE接続を有効にしてL2TP/IPsecを使用したいと考えています。プロバイダはOCNです。ONU直下にix2215は接続しています。
まずは IX2105でIPoEとPPPoEを同時に使用する というブログの記事を参考に PPPoE設定を追加しました。
その後、web管理画面からL2TPを追加しテストしたのですが、サーバーから応答がない、と接続不可となります。
設定方法のヒントだけでも教えてもらえると助かります。 ヘルプしたいが情報が少なすぎ。
DDNSとかつかっているの? >>483
パスワードとIPアドレスちょめちょめしてconfigだせば >>483
そこのとおりルートマップ切ってデフォルトルートをpppoeにすれば、map-e(ocn)と両立できているが。。。
そもそも論でpppoeのみの場合にl2tpつながるのかい? >>483 です。
configを晒します。
この状態で、
・IPoEによるインターネット接続は可能
・PPPoEでの接続は管理画面からはOKで、グローバルIPが表示されている
・上記のグローバルIPに対してiPhoneでアクセスするが応答なし
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default GigaEthernet0.1 distance 250
ip route default Tunnel0.0
ip dhcp enable
ip access-list web_vpnlist permit ip src any dest any
!
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
!
ike nat-traversal
!
ike proposal web_l2tp_ikeprop1 encryption aes-256 hash sha group 1024-bit
ike proposal web_l2tp_ikeprop2 encryption aes hash sha group 2048-bit
ike proposal web_l2tp_ikeprop3 encryption aes hash sha group 1024-bit
ike proposal web_l2tp_ikeprop4 encryption 3des hash sha group 1024-bit !
ike policy web_l2tp_ikepolicy peer any key ******** web_l2tp_ikeprop1,web_l2tp_ikeprop2,web_l2tp_ikeprop3,web_l2tp_ikeprop4
!
ipsec autokey-proposal web_l2tp_secprop1 esp-aes-256 esp-sha
ipsec autokey-proposal web_l2tp_secprop2 esp-aes esp-sha
ipsec autokey-proposal web_l2tp_secprop3 esp-3des esp-sha
!
ipsec dynamic-map web_l2tp_secpolicy web_vpnlist web_l2tp_secprop1,web_l2tp_secprop2,web_l2tp_secprop3
!
proxy-dns ip enable
proxy-dns ip request both
!
http-server username +++++++
!
nm ip enable
nm account ******** password secret ********
nm sitename **********
nm logging enable
!
ppp profile ppp_ocn
authentication myname ********@one.ocn.ne.jp
authentication password ********@one.ocn.ne.jp ?????????
!
ppp profile web-ppp-l2tp
authentication request chap
authentication password ???????? @@@@@@@@
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-ip-address range 192.168.10.201 192.168.10.201
ipcp provide-static-ip-address ???????? 192.168.10.201 ip dhcp profile gigaethernet2.0
!
ip dhcp profile dhcpv4-sv
assignable-range 192.168.10.129 192.168.10.196
dns-server 192.168.10.254
!
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
!
device GigaEthernet0
!
device GigaEthernet1
!
device GigaEthernet2
!
device BRI0
isdn switch-type hsd128k
!
device USB0
shutdown
!
interface GigaEthernet0.0
no ip address
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 udp 4500
ipv6 enable ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet2.0
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0
ip address 192.168.10.254/24
ip proxy-arp
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
telnet-server ip enable
http-server ip enable
no shutdown
!
interface BRI0.0
encapsulation ppp
no auto-connect no ip address
shutdown
!
interface USB-Serial0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding ppp_ocn
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode map-e ocn
ip address map-e
ip tcp adjust-mss auto ip napt enable
no shutdown
!
interface Tunnel126.0
description L2TP_#1
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
**********(config)$ 基本的には >>487 が書いてる通り、
IPsecでencapsulateされたパケットがデフォルトルートのTunnel0.0から出ていってるんじゃないかしら(iPhone側から見ると返事が返ってこない)
Tunnel0.0 を ip route default から外してもいいけど、ファームウェアが 10.7 以上なら
interface Tunnel126.0
tunnel outgoing-interface GigaEthernet0.1
してみたら?(10.7からの新機能らしい。使ったこと無いが)
あと interface GE0.0 の ip napt static GE0.0 ... の3行は不要じゃないかと
#さらにそもそもそのiPhoneでL2TP/IPsecが繋がるかは確認済みのものとする(回線的な意味で) あるいは
interface Tunnel126.0
tunnel source GigaEthernet0.1
でも良いかも(これなら多少古いファームでもOKのはず) 何度もごめん
tunnel source 0.1だと、さらにポリシールーティングでsrc address routing使ってinterface GE0.1に振ってやらないとダメかも
#srcがGE0.1のアドレスならGE0.1から出てくれたような気がするけど、どうだったかな... >>492,495
アドバイスありがとうございます。早速やってみたのですが、
interface Tunnel126.0
tunnel outgoing-interface GigaEthernet0.1
と入力したところ、
% Cannot set outgoing-interface
というメッセージが出ます。
interface Tunnel126.0
tunnel source GigaEthernet0.1
についても同様のメッセージが出ました。
指定の仕方がおかしいのでしょうか?
ファームウェアは10.7.18になります。 >>497
ごめん、いらない期待を持たせたかも
多分 tunnel outgoing-interface はL2TPでは使えないってことかと(仕様として)
あと、tunnel source は明確に間違い(ごめんなさい)
interface Tunnel126.0
ipsec source-address web_l2tp_secpolicy GigaEthernet0.1
は出来ないです?
これもL2TP/IPsecでは無理かもだけど
少なくともこれが通ればL2TP/IPsecのパケットのsrcアドレスはGE0.1のアドレス(PPPoEで割り当てられたアドレス)になるので
(仮に自動でGE0.1から出ていかなくてもソースアドレスルーティングでGE0.1に振れるはず) 現在、eo光を利用しており、L3スイッチを用いたネットワークを構築しようと思っているのですが、
IPV6に対する知識が乏しい為に通信が成功しません。
[インターネット]---[IX2215]---(VLAN2)---[L3スイッチ(3560CG)]---(VLAN10~30)---[クライアント]
この構成でVLAN10〜30各セグメントよりインターネットへ出たいです。
IXからはPING6コマンドでV6通信が確認出来ているのですが、VLANからは出来ていない状況です。
IXにルート設定をする必要があると思うのですが、V6グローバルアドレス、リンクローカルアドレス等
いまいち理解できていない状態です。
どなかたか知恵を頂ければ幸いです。 >>499
>IXからはPING6コマンドでV6通信が確認出来ている
って、IX2215からWAN側ですよね?
IX2215のLAN側にPC直結して、IPv6アドレスが割り振られているか?、PCからWAN側へ通信可能か?については確認出来てます?
IX2215で、ipv6アドレスを各VLAN別に分割出来ています?
IX2215と3560CGのルーティングの設定方法は、下記HPとyoutube動画が、参考になると思います
https://changineer.info/network/nec_ix/nec_ix_vlan_tag.html
https://genchan.net/it/network/cisco/1115/
https://www.youtube.com/watch?v=3YZbejC696g&t=549s >>500
コメントありがとうございます。
LAN側へ直結であればIPv6アドレスが割り振られます。確認サイトでも確認できました。
>IX2215で、ipv6アドレスを各VLAN別に分割出来ています?
L3スイッチ以降でVLANを作成していましたので、IXにはVLANの設定を入れていませんでした。
各VLANへv6アドレスの割り振りはIXにも設定する必要があると言う事でしょうか?
現在、IPv4でのVLAN間ルーティングは問題なく出来ていますが、v6アドレスが各VLANに割り振られなくて悩んでおります。(v6ではインターネットに出られない)
よろしくお願いします。 >>498
interface Tunnel126.0
ipsec source-address web_l2tp_secpolicy GigaEthernet0.1
については通りました。でも状況は変わらず接続不可でした。
また、ログを見てもIX2215に接続できていない状況のようです。
あとiPhoneのL2TPについては、4G回線を使ってアクセスしています。
同じiPhoneで別のVPNには接続可能です。 >>502
一度GE0.0 shutdownしてpppoeのみで
まず繋がるか切り分けて行ったほうがいいんじゃないかな >>503
早速やってみました。GE0.0をshutdownして、GE0.1のPPPoEのみとするとiPhoneから無事にアクセスできました。
ただLAN内には接続可能ですが、インターネット接続は不可でした。インターネット接続するには、どのコマンド
を追記すればよいのでしょうか? >>505
教えてもらったブログを見て
ipcp provide-remote-dns 192.168.10.254
を追加したところ、無事に接続可能となりました。
これでIPoE設定を復活させて、両立できればというところです。
すみませんが、アドバイスを宜しくお願い致します。 ipsec source-address ... した状態で、
ip access-list routemap-pppoe-accl permit ip src %GE0.1のIPアドレス%/32 dest any
route-map routemap-pppoe permit
match ip address access-list routemap-pppoe-accl
set interface GigaEthernet0.1
!
! global設定
ip local policy route-map routemap-pppoe
でダメかな
うまく行けば、access-listのIPアドレスはPPPoEで受けたアドレスをwhoisにかけて割当範囲を確認して範囲指定したら良い
多分 /20 とかそんなので指定できるはず
ダメなら>>487のようにdefault routeを逆転させてroute-mapでIPoEへ振るしかないかも(no idea) >>508
やってみたのですが、まず
ip access-list routemap-pppoe-accl permit ip src %GE0.1のIPアドレス%/32 dest any
これが通りませんでした。
%GE0.1のIPアドレス%/32の部分は、
153.xxx.xxx.xxx/32 (グローバルIPアドレス)
を指定したのですが、これでよいのでしょうか? 分かる方、教えてください。
ttps://jpn.nec.com/univerge/ix/Support/ipv6/native/ipv6-vpn_d.html
ttps://jpn.nec.com/univerge/ix/Support/ipv6/native/ipv6-vpn_r.html
上記ページのサンプルで、
DHCPv6-PDの場合は、GigaEthernet1.0にIPv6アドレスを設定、
RAの場合は、GigaEthernet0.0にIPv6アドレスを設定なのかなと思いました。
だとしたらなんで違いが?
なんとなく、下記のようにDHCPv6-PDの場合を変更して実装しようと思うのですが、
----------
nm ddns notify interface GigaEthernet1.0 protocol ipv6
ipv6 dhcp client-profile dhcpv6_cl
ia-pd subscriber GigaEthernet1.0
interface GigaEthernet1.0
ip address 192.168.10.254/24
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:02
----------
↓
----------
nm ddns notify interface GigaEthernet0.0 protocol ipv6
ipv6 dhcp client-profile dhcpv6_cl
ia-pd subscriber GigaEthernet0.0
interface GigaEthernet1.0
ip address 192.168.10.254/24
! ipv6 enable
! ipv6 interface-identifier 00:00:00:00:00:00:00:02
----------
どうでしょうか? >>509
ああごめんなさい
access-listの名前は15文字以下なのを忘れてた
routemap-pppoe-accl を rmap-pppoe-acl にでも変えてください(2箇所とも)
アドレス指定はそれで良いです >>510
GE0.0ってuplinkやないの?
そこにIPv4も降りたい??
PDで移譲されたGUAをどのinterfaceに振っても通信できそうだけど、拠点のLAN側にIPv6通したくなくてTunnelのsource interface作りたいとかならloopback作るとかのがキレイな気はする >>511
ip access-list rmap-pppoe-acl permit ip src xxx.xxx.xxx.xxx/32 dest any
route-map routemap-pppoe permit
match ip address access-list rmap-pppoe-acl
set interface GigaEthernet0.1
!
! global設定
ip local policy route-map routemap-pppoe
記述は通りましたが、やはりVPNアクセス不可でした。
>ダメなら>>487のようにdefault routeを逆転させてroute-mapでIPoEへ振るしかないかも(no idea)
これはどうやったらできるのでしょうか?いろいろとお手数をお掛けしてすみません。 ヤフオクでIX2215がお腹いっぱいになってきたね。 >>512
GE0.0 にはIPv4アドレスは振らないです……
単に、RAの場合は、GigaEthernet0.0にGUAを設定しているのにな、
拠点のLAN側にIPv6通さないなら、DHCPv6-PDの場合もGigaEthernet1.0ではなくて、
GigaEthernet0.0にアドレス設定すればいいんじゃないかな、
と思っただけです。そうしていない(できない)理由とかあれば知りたいなと。 はじめまして。
ご存じの方いましたら教えていただきたいです。
現在光クロスのv6プラス固定IPオプションを契約して、NECのUNIVERGE 2215で通信しています。
LANからインターネットへは出られるのですが、インターネットからLANへの通信がすべてアクセス不可となってしまいます。
「WAN1: GigaEthernet0.0」にIPv6のアドレスが振られており、「WAN2: Tunnel0.0」にプロバイダから提供されたv4の固定IPが振られています。
またインターネットから見たときに自分のIPはTunnnel0.0のものとなっていました。
WAN設定にてNAPTとパケットフィルタは設定しています。また、DNSの名前解決も問題ありません。
その他、必要な情報がございましたら追記しますので、知恵を貸していただけると幸いです。 >インターネットからLANへの通信がすべてアクセス不可
具体的に何がやりたいのか
具体的に何を試したのか >>518
具体的にはHTTP/HTTPSの通信をNAPTでLAN内のWebサーバに疎通させたいです。
試したこととしてはGUIで静的NAPTとパケットフィルタを設定しました。
静的NAPTではhttpとhttps通信を対象サーバのローカルIPアドレス宛てに許可しています。
WANパケットフィルタはGigaEthernet0.0とTunnel0.0ですべての通信を透過させています。 >>520
琵琶湖のサイトいいね。
知らなかった。 プロバイダー変更により、
OCNバーチャルコネクトからv6プラスに変更になる場合は、
tunnel mode map-e ocn
↓
tunnel mode map-e
のみでよいでしょうか? IX2215でPPPOEとIPOEの併用する設定がわからん。
YamahaだとIPフィルターでやるっぽいんだけど、NECのIXはポリシールーティングでやるっぽいけどわからん。
やってる人いる? >>525
ルートマップ用のアクセスリストを作成して、
ルートマップ対象のインターフェイスに登録、アクセス情報を監視させて、
通信を振り分ける形になりますが。 >>513
ヒントですが、Phase1(IKE)、Phase2(SA-IPSEC)の通信は、ルーとマップで曲げる事は
IXルーターの仕様上出来ません。
もしPPPOEとIPV6回線を併用して、PBRをさせる場合には、
デフォルトゲートウェイをPPPOEセッション(distance優先)、IPV6回線のデフォルトゲートウェイ
(distance値を下げる)
PPPOE側のNAPTにて、IKE、UDP500、UDP4500、UDP1701等をポート開放して、
WEB、メール関係のウェルノウンポートをIPV6側に曲げる事は可能かと思います。 >>513-528
例です
ip access-list rmap-v6Plus-acl permit ip src (WEBやメールアクセスする端末IP/32) dest any
route-map routemap-v6plus-acl permit
match ip address access-list rmap-v6plus-acl
set interface Tunnel0.0
ip route default GigaEthernet0.1
ip route default Tunnel0.0 distance 50
interface GigaEthernet2.0
ip policy route-map routemap-v6plus-acl >>526
GE2をポートVLANで分割してソースによって
PPPOEにでたり、IPOEにでたりしたいです
あとは、当たり前だけど、
VPNか外部にポート開いて外からやってきた通信はそのままPPPOEに戻してあげたい(間違ってIPOE側に流したりしないようにしたい)
>>527
勉強になります >>531
まとめるとこんな感じだけどどうでしょうか。
@VLAN1はIPOEにルート
AVLAN2はPPPoEに流れていく(セグメントによってルートを変えたい)
BVPNなど外からの通信はそのままPPPOEに戻してあげる。(VPN使ったりサーバー公開したりしたい)
回線は楽天ひかり(DS-LITE)(公式では併用できないっていってるけど併用ができるっていう事例も検索すると少し出てくる) >>532
VLAN1 → V6プラス・MAP-E回線のソースインターフェイスに指定する
VLAN2 → PPPOEのNAPTセッション側に指定する
VLAN1、VLAN2のNAPTのインサイドアドレスをそれぞれ指定する
V6プラス・MAP-E(Tunnel0.0等)のNAPT → VLAN1インサイドアドレス設定
PPPOE・NAPT → VLAN2インサイドアドレス指定
VLAN1、VLAN2間のルーティングをさせる場合には、
BVIインターフェイスを併用する
上記のような形かと思いますが。 ギガ対応のL3スイッチ探していたのですが、IX2215があまりにも安かったので買ってしまいました。
IX2215のディップスイッチの説明はどこかに落ちてないでしょうか?
また、これはローカルルーターとして使えますか?
上流から同じセグメントでGE0とGE1に2本入り、各ポートVLAN設定入れてポート毎にセグメント分けしたいのですが、問題ないでしょうか?
--GE0
+GE3.1 VLAN1
+GE3.2 VLAN2
+GE3.3 VLAN3
+GE3.4 VLAN4
--GE1
+GE3.5 VLAN5
+GE3.6 VLAN6
+GE3.7 VLAN7
+GE3.8 VLAN8 NECのサイトにマニュアルが公開されてるからダウンロードして読むべし
2215のディップスイッチはBRIポートの設定用のはずだから無視で良いはず
ローカルルータとしては使える
目的が分からんけど、そもそもL3スイッチとしては性能出ないとおもうよ
内部的には8portのL2スイッチが1Gbのアップリンクでルータ(L3機能)に繋がってるような構成のはずだから >>534
ローカルルーター方式のNAPT → VLANのルーティングで大丈夫かと思いますが、
ルーティング制御は、あくまでもソフトウェア制御になりますこと、
NAPT・インサイドアドレスの設定と、ルートマップの条件設定が必要になります。
比較的、リソースの消費が大きい場合も御座いますので、L3スイッチの選択の方が良いかと思います。 目的がよく分からんな
何をしようとしてるんだか
L3S必要ならIXルーターなんて出る幕ではない >>535
使えるようで安心しました
またディップスイッチは無視して良いとわかったので安心しました
>>536
情報ありがとう御座います
設定の方向性が見えました
>>537
各階8部屋づつで、各部屋のLANコンセントからのCAT6ケーブルがパイプスペースボックス内のスイッチ(マルチプル)に繋がり、各階のスイッチから2本づつ(トランク)1階のL3スイッチに集約されています
1階のL3を触らず、ある階の各部屋をセグメント分けしたいのですが、各階の集約場所(PS)のボックスが小さくラックサイズが入りません
アライドのX320-10かX330-10あたりを探していたところ、あまりにも安価なルータを見つけてしまい購入してしまった、ということです
アライドの小型L3はもともと安価なので新品買えって話でしょうけれどね…貧乏性ですみません
>>538
ある意味正解です ルーターで済むなら別にルーターでええやん
L3じゃないと捌けないレベルって話でもなさそうだし IX2215でshow versionをすると
ROM: System Bootstrap, Version 22.1
System Diagnostic, Version 22.1
Initialization Program, Version 12.3
と出てくる
ssh+tftpでアップデートしてもInitialization Programだけ変わらない
これで正常なの? 中古で購入した2215のコンソールポートにSerialケーブル繋いでもテラタームが反応しませんなぜでしょうか、ヤマハで試したら設定出来るのでケーブルの問題ではないのですが ヤマハは9600,8,n,1,X
IXは9600,8,n,1,N
フローコントロールの設定間違ってない? フロー制御間違っていませんでした、ほんとにはずれなのか usbに設定カキカキして電源オンでWEBで設定できるようになったりできませんかね コンソールケーブル繋いでから電源入れなおした?
コンソールポートだけ壊れるなんてこと滅多にないと思うけど、ZTPモデル掴んだとかかね、知らんけど
まあ(ZTPモデルじゃなければ)USBメモリから設定投入できるから、ユーザマニュアル読みなされ ああすまん
ゼロタッチモデルでもブートモニタには入れるんやね
ならコンソール繋いだ状態で電源入れて反応がなければ何かしらお亡くなりだね ごめん、俺がコンソールポートにPOEHUBからの
LANケーブルぶっ刺した
ってことがあったら機械壊れるんやろか active PoE (802.3af,at,bt,...)なら多分大丈夫じゃね
passive PoEなら何が起こるかわからん
でもRS232Cってかなり信号電圧が高いから、20Vぐらいまでならそうそう壊れないんじゃないかな ヤマハでいけるってことはクロスケーブルってことかな ああ、もしかして
クロスケーブル(DB9メス-DB9メス)に只のジェンダーチェンジャを付けて、そこにコンソールケーブル(DB9メス-RJ45)を繋いでるって可能性か
さすがにそれは思いつかんかった ヤフオクIX2215の2台セットを買ってしまった。
今のIX2105置き換えても回線速度が遅いから小さいハブ一つ減らせるくらいしか今は利点無いけど。 安いからいいけど当たり外れあるんだよなー
通電okなだけのジャンク品で売ってるから仕方ないけど
梱包材少なくて箱の中でガチャガチャ踊ってた 稀にSNAPHAT逝ってる事あるから
そうなると面倒なんよな… バッテリが寿命でダメになるらしいね
普通のコインバッテリーソケットをつける改造してるコンピューターもあるし
これもそういうのできるのかな あれ水晶振動子とか憑いてるから
部品バラして電池だけを交換出来る改造すりゃイイんだけど
手間より部品代のほうが安いからなあ
問題は現在在庫なしなんだよね 交換したののバッテリーが切れる頃にはお役御免な気もするしね ふと思い出して押入の奥にあった2007年製IX2005に火を入れてみたら案の定そのバッテリー死んでた
それでも一応動作するようだが今さらFastEtherルータの出番はないので使えそうな部品を外して捨てるとするか >>557
動作良好記載で梱包材もまあまあ入ってました。
2つセットで1つNVRAM failだったけど連絡取ったら交換してくれるようです。
出品者は送料考えると儲けほぼ無くなっちゃったかな。 >>564
実体験?それとも「~ようです」と書いてるから聞いた話?
交換してくれるなら連絡してみる
ちなみにうちに届いてたのは、新聞紙を丸めたのを突っ込んで梱包されてた
プチプチのクッション材は無かった >>565
交換してほしいと連絡したら返送してくれと連絡が来て土曜に送る予定だからまだその後どうなるのかわからない状態なのよ。 2215 2台購入したときには2台まとめてプチプチでくるんだままのが箱に入ってきた。なんとなく、運用場所でリセットして回収したものをそのまま業者に送ったのかなんて気がしたんだけども。
2台とも動作したので運がよかったのかな。
シリアルケーブルは必須だとは思う。昔CICSO用と銘打って安く売ってたのを2本購入してあるのが今になって重宝してる。
だけど、RS232C ポートがあるのは古いサーバー(TX100s3p) しかないことに気づいた。 USB-RS232Cのケーブル、メルカリあたりで探すとボチボチ安く見つかるよ
送料込みで500~1000円ぐらい(型番はしっかり確認したほうが良い
ヤフオクよりメルカリの方が安目かな(多分あまり売れないから) RS232C&RJ45のケーブルは結構安いのがオクで出てるよね
USB&RS232Cの奴はちょっと高めな感じ USBコンソールケーブルはFTDIチップ搭載が無難と聞いてそれしか使ってないけど、そうじゃないと不具合あるのかな?
単純に興味本位だけど 私はアマゾンで「【CISCO互換ケーブル】FTDI chipset USB RJ45 コンソールケーブル 」を679円で購入しました。
問題なく使えました。
いまは619円で販売されています。 USB-D-Sub9PinはBuffaloのBSUSRC06、D-Sub9Pin-RJ45はなんかの付属品のを使ってるな。 ちと質問
パケットフィルタで特定の条件のパケットを拒否する場合に、そのパケットを単純に破棄するのではなく
TCPに対してはRSTを返したり、UPDやICMPに対してはICMPのdestination unreachableを返したりするように
設定することって可能? >>564
連絡して数日経つけど完全スルー状態
2台セットで大量に売ってる所ですよね? IPsec/IKEv2とNAT併用して上手くいってる方いますか?
設定事例集の5.6の「IPsecとNATを同時に使用する」をIKEv2でやりたいのですが、
tunnelは張れるものの、対向先からpingを打った時に返りのICMPがこちらから出ていかないんですよね… >>576
私が買ったところはタイトルに動作良好記載ありのところでした。
土曜こちらから発送日曜着で連絡はなかったけど日曜発送月曜着で交換品が届いた感じですね。
追加連絡はなかったけど対応速度は良かったですね。 >> 572
「【CISCO互換ケーブル】FTDI chipset USB RJ45 コンソールケーブル 」を購入して使えることを確認しました。(大量のデータをやり取りしてるわけではないけど、windows 10 のteraterm でログインできるところまでは確認した。
こんなほかに使い道のないケーブルがあるとはしらなかったので教えてもらったありがとう。 >>579
おそれいります。
お役に立ってよかったです。 >>578
★動作良好★初期化済とかタイトルに書いて出品してる所ですよね?
けど説明文には、通電OK品、あくまでジャンク品と書いてる >>581
そうだけどダメ元で起動時のコンソールのFailとAlarmLED点灯で交換希望と伝えたら対応してくれたのよ。まあラッキーなだけかもしれないが。
ソフトは8.10でめちゃ古なので今度アプデしなきゃなー。 ttps://jpn.nec.com/univerge/ix/Support/custom-gui/NetMeisterDDNS_NGNIPv6-VPN.pdf
今、このやり方で、東地域でセンタ設定・拠点設定の各1ずつの2事業所間でVPN接続は成功しているんですが、
西の2事業所を加えて、計4事業所間をVPN接続したいのです。
(東西とも、1事業所はISP接続、もう1事業所はISP接続なしとして)
※NTT東日本とNTT西日本のエリアを跨いでVPN構築する場合は、各々のエリア内で1拠点づつISP契約が別途必要です。
とあるのですが、
西の事業所の設定はセンタ(ISP接続)1・拠点1の設定、もしくは両方とも拠点の設定でしょうか。
どのようなconfigを投入すべきでしょうか? >>583
ヒント:東西間のフレッツ網は接続されていない。そのためISPが必要。
とりあえず東西間はISPを使ってVPNを構築することをオススメする。 下がりすぎたので上げておく。
ヤフオク2105の時代は終わったね。 >>577
IKEV2/IPSECとNATの併用ですが、普通に出来ますよ。
IPSECトンネル内にて、ソースアドレス若しくはFQDN、エンドポイントアドレス若しくはFQDNの
指定、対向側までのネットワークにCGNが入っている様な回線では、NAT-Tのキープアライブ
を効かせる形になるかと思いますが。
他社との組み合わせにて、多少クセは御座いますが。 VPNワイドの東西接続オプション…って思ったけど結構高いな 3000円セットのIX2215で遊んでるけど
PPPoEのNAT箱としてワイヤーレート付近まで出せるのは普通に優秀だな
2012年発売時点でその辺は枯れてたんだろうけど
一般家庭用途なら2万出してRTX1210入れるよりこっちで足りてるのではって感じする 単に○千円で出回ってるのが異常なだけじゃないのかな
あと自宅に置くのにはでかい 中古で買って電池交換が必要な個体に当たったことが無いが…… auひかりのHGW下に、二重ルーター状態で使っている方おられますか?
どこか参考になるサイトなどありますでしょうか? >>592
二重ルーターってwww
世の中のルーターが何重になってると思ってるんだ 今更だけど、フレッツライトが終了するということだけど、使っている方いませんか?
結構、困るなと思っていて。
https://www.watch.impress.co.jp/docs/news/1460074.html IX2215の電池交換て、
M4T28-BR12SH1 M4T28 DIP-4
エンジニア 基板コネクター抜き SS-10
でOKですか? 電池交換にマイナスドライバー使ったけど不器用な人はやめた方が良いかと >>600
イケメンならok…なのか?w
冗談はともかく、抜け防止の返し爪固定足が4本
その内側にCPUの足みたいなピン端子が4本ある
マイナスドライバーを一方だけで突っ込んで外そうとすると
固定足や端子の折れや曲がりが起きる IX2215のログで
DH6[012]: IA PD option not found
て出るんだけど、どういう意味ですか? >>602
これうちも出てた。
フレッツのIPoEで、サンプル通りWAN側I/Fでipv6 nd proxy してるだけなんだけどね。
動作的には問題は無いけど気持ち悪い。 スイッチの全ポートをそれぞれ別セグメントにしたい場合下記のような設定はどう使い分ければ良いですか?
タグ不要の場合Aパターンで問題ないですか?
Aパターン
interface GigaEthernet2.1
ip address 192.168.1.1/24
ip dhcp binding 1
no shutdown
interface GigaEthernet2.2
ip address 192.168.2.1/24
ip dhcp binding 2
no shutdown
Bパターン
interface GigaEthernet2:1.0
! encapsulation dot1q 1
ip address 192.168.1.1/24
ip dhcp binding 1
no shutdown
interface GigaEthernet2:2.0
! encapsulation dot1q 2
ip address 192.168.2.1/24
ip dhcp binding 2
no shutdown タグVLANなしでポートVLANだけならこうじゃね?
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3
interface GigaEthernet2:1.0
ip address 192.168.1.254/24
no shutdown
interface GigaEthernet2:2.0
ip address 192.168.2.254/24
no shutdown
interface GigaEthernet2:3.0
ip address 192.168.3.254/24
no shutdown つまり、1セグメント1ポートでもvlanグループ設定と指定が必要でサブインターフェースのみではセグメント分けは何らかの落とし穴があるということですか?
Aパターンで設定しても各ポートにIPは設定出来るしポート下にDHCPで広告も出来る
つまりポート毎のセグメント分けは出来ているのでシンプルで良いかと思ったのですが、自動的に encapsulation PPPoE の設定が入ってしまうのが気持ち悪いのでやめました
素直にBタイプで設定します
ところで、各サブインターフェース(VLAN)に設定したIPをローカルとして自動的にルーティングテーブルに持たないのですが、これは仕様ですか?
もちろん各ポート下に何か接続すればDHCPでIPとGW振られテーブルは更新されるので実用上は問題ないのですが、気持ち悪いです 私の理解が間違っているかもしれませんけど、
パターンAの場合、本当にGE2のスイッチの各ポートが分離できています?
要するにスイッチポートに刺さっているケーブルを入れ替えても変わらずに動作してしまいません? サブインターフェースへのVLAN設定もVLANに対するポート指定もないAパターンでも動作は問題無かったですよ
VLANグループとしていくつかのポートを纏める必要がなければVLANは必要ないと考えて設定したのですが、意図しない設定が入ることがわかりやめました
分離=セグメントで分ける事ならば、回答は「できています」になります
ケーブルを入れ替えても…の部分は、ポート1からポート2に差し替えてもポート1側の情報を持つのではないか?という内容ですか?
そうであればDHCPで各ポートに接続した時点で別セグメントのIPとGWが自動的に振られますのでポート1側の情報を引き継ぐことは無かったです
クラスAレベルのキャストで各ポート間のアクセスが出来るのではないか?ということであれば「試してません」となります
実機で試すのは手間なので暇が出来たらPacket Tracerで見ておきます Packet TracerってCiscoですよね?機材はIXですか?
以下私の理解では、ですが、
IXではインターフェイスの末尾の".N"は(主としてトンネル系をハンドルするための)論理的なサブインターフェイスの区別でしかありません
(例えばIX2215で)GE2.1で内蔵sw-hubの#1ポートを示すのであれば(恐らく)アンドキュメンテッドな動作で、
例えばGE2側でPPPoEサーバとして待ち受けるような設定をする際に期待しない動作を引き起こすと思います
動作しているということは何かしら私が見落としてるか理解できていないのでしょうけど
何がなんやら... すみません。コマンドリファレンス見てもよくわからなかったので質問させてください。
IX2106でNATのセッション消費数をIPごとに確認したいのですが、
YAMAHAの「show nat descriptor address」みたいなコマンドはありますか? >>610
show ip napt recordで良いんじゃないのん IX2215でpolicy-mapでshape kbps 256を設定してるのですが、ちゃんと設定値で制限されないっぽくて困ってます。
768にしても512にしても256にしても端末からspeedtestすると700kbpsくらいでるのですが、こんなもんなんでしょうか? IX2215 or IX2235のUTM使用すると、どの程度通信速度低下します? IXて、BGPでstatic routeのデフォルトルート経路広告する時にredistributeで
再配送してあげれば、default-originateって必要無いんだね
Ciscoの感覚だと必須に感じてしまって違和感がある
ただ、機能説明書見てると redistribute で再配送した上でdefault-originateも書いている
不思議 フルマニュアルなルータ(IX2105)をセットアップするのは初めてなんでちょっと不安
ttps://uploader.purinka.work/src/21923.png
調べながらこんな感じのコンフィグを書いてみたけど、ここはヤバイとか
もっといい書き方があるとかあれば指摘してもらえると嬉しく・・・
特定の時刻にSNTPを同期させるにはこんな方法しか思いつかなかった IX2105を使ってOCN光(ひかり電話なし)にアクセスする設定を考えてみたんですが、こんな感じでよいでしょうか?
web検索して、先人の知恵とNECサイトの設定例をつぎはぎしてみました。
通常はMAP-E接続で、だめなときはPPPOEに逃げる。
良ければ、ヤフオクで購入して使ってみたいと思っています。
ip route default GigaEthernet0.0 distance 250
ppp profile ppp_ocn
authentication myname *************
authentication password ************* ******
ip dhcp profile dhcpv4-sv
dns-server 192.168.1.256
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
ipv6 dhcp server-profile dhcpv6-sv
dns-server autoconfig
ip ufs-cache max-entries 20000
ip ufs-cache enable
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
ipv6 dhcp enable interface GigaEthernet0.0
no ip address
encapsulation pppoe
auto-connect
ppp binding ppp_ocn
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
no shutdown
interface GigaEthernet1.0
ip address 192.168.1.256/24
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
interface Tunnel0.0
tunnel mode map-e ocn
ip address map-e
ip tcp adjust-mss auto
ip napt enable
no shutdown
次にNECのサイトに上がっているIPv6パケットフィルタの設定を追記 256ワロタ
そこはともかく、後は
ip route default GigaEthernet0.1
or
ip route default Tunnel0.0
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
no shutdown
interface GigaEthernet0.1
auto-connect
ppp binding ppp_ocn
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
no shutdown auひかり(BL1000HW)にix2207をvpn用に使用。
DHCPはBL1000側で、dmzには置きたく無かったので、ポートマッピングして、ixはge0で接続。
ixの配下には何も繋いでない状況です。
ge0のnaptはaclでtct,udpをany/anyに設定。
で、ixのdhcpは切ってDHCPリレーを有効にして、arpテーブル溢れの線も疑って、Proxy ARPをlocalにしても、BL1000配下の機器になぜかipが振られなくなる症状に悩まされてます。 IXの電源を落とした状態でBL1000HWを再起動してもだめならBL1000HWの問題
そうでなくてIXの電源を入れるとおかしくなるならconfigさらせば?
VPNでどこにどうやって繋いでるか分からないけど、VPN接続先のDHCPサーバが(VPN経由で)邪魔してる可能性とかあるかも >>622後者なので、、、IX落としてすぐIP取得できるようになるので、、、
ip ufs-cache enable
ip route default GigaEthernet0.0
ip dhcp-relay enable
ip access-list web-http-acl permit ip src any dest any
ip access-list web_vpnlist permit ip src any dest any
!
ike nat-traversal
!
ike proposal web_l2tp_ikeprop1 encryption aes-256 hash sha group 1024-bit
ike proposal web_l2tp_ikeprop2 encryption aes hash sha group 2048-bit
ike proposal web_l2tp_ikeprop3 encryption aes hash sha group 1024-bit
ike proposal web_l2tp_ikeprop4 encryption 3des hash sha group 1024-bit
!
ike policy web_l2tp_ikepolicy peer any key hogehoge web_l2tp_ikeprop1,web_l2tp_ikeprop2,web_l2tp_ikeprop3,web_l2tp_ikeprop4
!
ipsec autokey-proposal web_l2tp_secprop1 esp-aes-256 esp-sha
ipsec autokey-proposal web_l2tp_secprop2 esp-aes esp-sha
ipsec autokey-proposal web_l2tp_secprop3 esp-3des esp-sha
!
ipsec dynamic-map web_l2tp_secpolicy web_vpnlist web_l2tp_secprop1,web_l2tp_secprop2,web_l2tp_secprop3
!
bridge irb enable
!
ip name-server 192.168.0.1
ipv6 name-server fe80::fab7:97ff:fefc:b928
!
http-server authentication-method digest
http-server username admin secret-password hogehoge
http-server ip access-list web-http-acl
http-server ip enable ppp profile web-ppp-l2tp
authentication request chap
authentication password hoge hoge
authentication password hoge hoge
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-remote-dns 192.168.0.1
ipcp provide-ip-address range 192.168.0.66 192.168.0.67
ipcp provide-static-ip-address hoge 192.168.0.67
ipcp provide-static-ip-address hoge 192.168.0.66
!
device GigaEthernet0
!
device GigaEthernet1
!
device GigaEthernet2
!
device USB0
shutdown
!
device USB1
shutdown
!
interface GigaEthernet0.0
description WAN1
ip address dhcp receive-default
ip local-proxy-arp
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 udp 4500
ip dhcp-relay server 192.168.0.1 ssh-server ip enable
http-server ip enable
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0
description LAN1
no ip address
ip proxy-arp
shutdown
interface USB-Serial0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface USB-Serial1.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
! interface Tunnel125.0
description L2TP_#1
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet0.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
interface Tunnel126.0
description L2TP_#2
ppp binding web-ppp-l2tp
tunnel mode l2tp-lns ipsec
ip unnumbered GigaEthernet0.0
ip tcp adjust-mss auto
ipsec policy transport web_l2tp_secpolicy
no shutdown
!
system information lan 1 GigaEthernet2.0
system information wan 1 GigaEthernet0.0
!
web-console system information
です。
192,168.0.1はBL1000HWです。 VPNってIXをリモートアクセス用の単機能VPNサーバにしたいって話ね
そんな構成試したこと無いけど、気づいた点だけ
グローバルの
ip dhcp-relay enable
は不要
ppp profile web-ppp-l2tp の
ipcp provide-ip-address range 192.168.0.66 192.168.0.67
は ipcp provide-static-ip-address で指定するなら不要
逆にユーザごとにアドレスが固定でなくて良いなら provide-static-ip-address は不要
interface GigaEthernet0.0 の
ip dhcp-relay server 192.168.0.1
も不要
interface GigaEthernet2.0 の
ip proxy-arp
も不要 見落としてたけど GigaEthernet0.0 の ip local-proxy-arp は普通に
interface GigaEthernet0.0
ip proxy-arp
で良いはず >>627 そうなんですよ。逆にそんなことだけやってる人いなくて、、、。
ちょっと反映したコンフィグ試してみます。 >>627 割り当てられなくなる事も無く、うまく行ったようです。
dhcp-relayかlocal-proxy arpが悪さしてたんですかね。 そろそろRTX1300の対抗となるような10Gポート×2+αのお手頃価格の製品は出ないのかな?
IX2310はちとお高いので 出来ればIX2207/IX2235の筐体で出してほしいけど現状の1Gポートでも爆熱なのでFAN追加しても10Gは無理だろうな もしかしてIXのBGPってv6非対応なん?
3110でトンネル張ってるんだが
予備に2台買ってあった奴で組めれば壮観だなぁと
駄目なら検証用の891fjを使う予定なんだが
ネットマイスターとかで管理できるなら
それに越したことないじゃん? 初歩的な質問で申し訳ないのですが、IX2215 10.xは、IPSECパススルーに対応していますでしょうか。もし対応している場合、どのような設定が必要でしょうか。
家庭用ルータとしてrtx1200からのリプレイスを検討しています。 >>635 設定事例の3-14をipsecに書き換えたら? 正常にMAP-E接続出来ていた機種を変更したら繋がらなくなった(コンフィグは同じ)
局内のMACアドレス学習し直しされるまで時間かかるとかあるのかな?
デバッグログでは以下の繰り返し
2023/03/22 15:03:36 MAPE.022: MAP-E status changed from waiting to checking HGW, interface Tunnel0.0
2023/03/22 15:03:36 MAPE.011: Check MAP-E HGW, interface Tunnel0.0
2023/03/22 15:03:37 MAPE.013: Not detected MAP-E HGW, continue MAP-E, interface Tunnel0.0
2023/03/22 15:03:37 MAPE.022: MAP-E status changed from checking HGW to getting rule, interface Tunnel0.0
2023/03/22 15:03:37 MAPE.014: Request MAP-E rule information, interface Tunnel0.0
2023/03/22 15:04:37 MAPE.016: Failure get MAP-E rule information, interface Tunnel0.0(temporary failure)
2023/03/22 15:04:37 MAPE.022: MAP-E status changed from getting rule to waiting, interface Tunnel0.0
2023/03/22 15:04:37 MAPE.004: Next get MAP-E rule information after 564 seconds, interface Tunnel0.0 そんなことが起こるとしたらルーター変更できなくない?
ルーターはレンタルのみとかのプロバイダならわからないでもないけど >>639
ONU配下です
構成も全く変えていません
だいぶ前に光コラボの事業者変更したときも同様なことが起きたような気もするけど
対処法を覚えていないということは、放置していたら繋がったということだったかも
年寄りなので記憶があやふやで... ix2215買ったは良いが…
ge0でpppoe接続してge1とge2で別のLANにわけてge1からge2へは通信可、逆は遮断ってどうやるの?v6はないです >>641
パケットフィルタ(ダイナミックフィルタ)を使う
簡単なのはGE1でdynamic filterで許可されたinパケットのみ通過させる
雑にだとこんな感じ
ip access-list deny-all deny ip src any dest any
ip access-list allow-all permit ip src any dest any
ip access-list dynamic dyn-access access allow-all
interface GigaEthernet1.0
ip filter deny-all 100 in
ip filter dyn-access 100 out deny-allのルールはsrc指定をGE2のネットワークアドレスにしても良い
あとGE2側でGE1宛てをブロックして、GE1からのパケットを契機にダイナミックフィルタでGE1宛てoutを許可する、でも良い >>638
嘘みたいな話だけどNURO bizとかだと動的IPはDHCPで振ってて、
最大24時間ARPテーブル開放しないから、ルーター変更してもすぐには繋がらないね。
ちゃんとnuroの保守マニュアルに書いてあるんだけど、
そこだけ確認してなくて乗り換えの時マジで焦った。 スマン、GE1.0のip filterのin, outが逆 >>644
へえ
気をつけないといけないプロバイダもあるんだね
ありがとう ONUとか言ってるけどHGWでフレッツジョイント使ってた環境なだけじゃないかな >>649
違いますよ
網側からルータ機能を無効化されたPR-500KI直下なので
>>644さんの例と同様で約24時間後に勝手に繋がってました 違うのは良いんだけど、そのVNE(or ISP)は秘密なの? >>651
別に秘密にしてたわけじゃないけどJPNEですよ >>644
ルータ交換するときに最大24時間繋がらないなら、ビジネス用途での使用は難しいですね。 >>653
業務用や主回線としては使いたくないですね
私の場合は個人用途かつ第3優先のサブ回線なので気長に待てましたけど スループットに引かれてix2215を買ってみたのですが、asusのルーターにあるvpnクライアント機能の用な、ルーター自体をvpnクライアントにする設定はできないのでしょうか。 >>656
vpnにも色々あるけど
想像してる様なvpnは出来なと思う
IPSec等でトンネル掘って中をルーティングさせる必要がある IX2215を家庭用ルーターとして利用し始めたものです。
LEDの光は常に光ってなくてもいいなと思いましてコマンドリファレンスマニュアルをLEDや消灯で検索してみたのですがそれらしいコマンドを見つけることができませんでした。
ご存じの方いらっしゃったら教えてください。 IX2310購入した
覚悟はしていたけどファンの音がかなりうるさくい
カタログスペックで騒音レベル50dB以下とあるけど、簡易音圧計でファン付近を計ると70dB以上を示した
一般家庭で人のいる部屋にはとてもじゃないけど置けないレベル
4cm程の小径ファン2個が常時約9000回転で回っているのだから風切り音だけでなくモーター音も響くのは無理もない
ウチには機械室があるから気にならないけど
その代わり冷却性能はすばらしく、同じ場所にあるIX2207が約50℃を示す中でIX2310は35℃ほど
もちろんルータとしての性能は十分でNURO光10Gの回線でONU直結時と変わらず実測で約8Gbpsのスループットが出た
使い方的にはオーバースペックの製品で、RTX1300相当品があれば最適だったとは思う
まあ近い内に出るのだろうから、そうしたら試してみたいと思う >>660 2105のサイズ感で小型ONU,10G対応出ないかな。って妄想してる。 まあ、あと5年くらいは出なさそう
冷却まわりがぜんぜん追いついてない >>658
黒いビニールテープを小さく切ってLEDのとこに貼ってる。
HGWとかも全部覆ってやった。 とあるYoutube動画で
こないだの警視庁のWiFiルーターの警告に関する動画を見てたんだけど、
Web管理画面で
>1.ブラウザ標準の認証機能を使用しているような古いルーターは買い替え
を推奨していた。
Web-GUIの管理者メニューの認証方式を確認しようと思ってFirefoxで見てみたんだけどよくわからない。
ヘッダを見たところDigestってあったからDigest認証ってことでいいのでしょうか。
CSRF攻撃じゃBasic認証もDigest認証もおなじく弱いと思うのですが。 そもそもWANから管理画面にアクセスさせないようにすれば良いだけ
どのルーターもそうだと思うが >>667
CSRF攻撃はWANから管理画面にアクセスしてとっかかりを作ってるわけじゃないから
君の心持ちだと引っかかるね 多分その動画見たけど、VPNは危険なので無効にしましょう。とかその程度のレベルだった様な。。。 >>667
IX側で、ssh、telnet、httprに接続出来るローカルIP指定すれば問題無いと思うけど >>667,670
CSRF攻撃を理解してから書いて...
参考
ttps://www.ipa.go.jp/security/vuln/websecurity/csrf.html
>>666
CSRF対策は認証方法で決まるわけじゃないから、そのとあるYoutube動画とやらが的外れ Youtubeとか自称専門家(毛が生えた素人)の巣窟じゃん >>671
Basic認証であれば
一度認証すればそのあとはブラウザを閉じるまでブラウザが自動で送信するからそれが問題になるんじゃないんですか?
ブラウザが自動で送信しないようにするようにする機能をつけるってことですか? >>671
分かり易い参考サイトありがとう
自分の環境では、普段使うPCからはIXを含めネットワーク機器にログイン出来ない様にしてある
IX、SW類、サーバーへは、専用の管理PC用意してる
これなら大丈夫? >>673
HTTP認証でログアウト機能が無いって話ね?
それはCSRF対策では本筋ではないの(枝葉
>>671のリンク先に書いてあるような方法でまっとうに対策すればHTTP認証でも(CSRF対策としては)問題ない
#まっとうに対策しないとcookieでsession管理をしても(ログアウト可能でも)問題がある 補足
> まっとうに対策すれば
ってのはWWWアプリケーション開発側が、IXで言えばNECがまっとうに実装すれば、って話ね
(利用者側の話では無いです) >>675
ありがとう
リファ確認とか前ページでトークンなど作って確認とかを実装で
正しいパスなどを送ってきても「正規ルートで入ってきてね」と返しておけばいいって感じで理解しました
動画で認証方式が言われてたのは
フォーム認証だと大抵なにかの有名なフレームワークを使うのが合理的で
それだとその辺の考慮がされているので無難っていうのがあるのかもと思いました IPv6のVRFルートリークってもしかしてできない?
PPPoEとDS-Liteの両方のデフォルトルートを作りたいんだが 自己解決しました現状では無理そうです
FD-ver10.7-1.2.pdf から
> VRF 間ルーティング(ルート漏洩) ×
> 非 IPsec Tunnel Outer 対応(トンネル外を VRF 化) ×
>
> IPv6 はルーティング機能を含めて VRF 未対応です。 稼働率が99%になっててこれが出てきたんだけどどこかでループが起きているってこと?
# show utilization
System utilization 98 (description: violent storm)
ONUとスイッチングハブを接続してその配下にFortiGateとUnivergeをPPPoEとIPoEでそれぞれインターネット接続している
GateはUnivergeの配下にトラぺで置いてるVDOMとFortiGuard接続用のPPPoEで接続するVDOMに分けているからループだとスイッチングハブ辺りかと思っている
当たりだとしたらPPPoEとIPoEでそれぞれセッション張るにはどうすればいいんだ...
Gate1台で完結するとか言わないでねw >>680
fortigate ipoe sd-wanで検索すれば一台で完結しない? ファームウェア申請したけど何とは言わないけどあれ使い回しだよね…
これだったら最初から公開してもいいのでは? >>683
1台目を購入した時にファームウェア申請したら、2台目以降は新品で別機種買ってもそのまま使ってOK
NECプラットフォームズに確認した。
1台目IX2215で2台目はIX2235を新品購入して、そのまま使ってる。テクニカルサポートも受けられる。 10.7.18リリースから6ヶ月経ったのでそろそろバージョンアップ来ないかな
最近RTXも対応したIKEv2リモートアクセス機能が欲しいな(Android12以降用に)
あと10GbpsのWAN回線もエリア拡がってきたので新機種でRTX1300相当品も出てほしい
今のNECプラットフォームズにそんな開発リソースあるのかな... IX2215用のバッテリー、在庫がDigi-Keyで復活してたんで交換しました。
マザーボード外して交換したけど、ブート領域・configとも保持。
POSTでNVRAM Test: Failedとなるけれど、一回電源切って再度立ち上げたらPassになりました。
買ったのが年式古かったんでこれで安心。 >>686
IX2215のNVRAMの型番教えて貰えませんか? SnapHatは M4T32-BR12SH1でも使える(内部の容量が違うだけ)
ALMランプ消えない時は時計ズレてたりするから手動で設定するかNTPで取得すると消える >>688
有難う、Digi-Key見にいったけど、売り切れてた。
Amazonにもあったけど、M4T32-BR12SH1の後ろの部分の型番が色々あって、どれ使えるのか分からなかった >>687
NVRAMってSNAPHAT BATTがのっかっているICのことでいいですよね?
それならば、型式は【M48T37V-10MH1】です。
今回使用したSNAPHAT BATTの型式は【M4T28-BR12SH1】です。 >>690
有難う御座います。M4T28-BR12SH1を2つDigi-Keyで購入出来ました
IX2215をずっと使っているので、交換用のSNAPHAT BATTを入手出来て助かりました。
これを基盤から引き抜くのは、手でもいけますか?それともペンチとか使いました? >>691
専用工具なんて持って無いので、ダイソーの先の尖ったステンレスピンセットを使いました。
(電子部品なんで否定意見あると思いますが)
SNAPHAT BATTはカエシのついた樹脂の足4点でICにひっかけてあります。
その足にピンセットの先をかまして、テコの原理イメージして、こじって浮かせていきます。
一気にやろうとせず、片側2点をちょっとずつやるのがポイントかと。そうしていくうちに特に無理することなく2点が外れると思います。
あとは手で引っこ抜けばよいかと。
マザーボード単体に分解して、たてて上から覗くようにすると、かえしのひっかけ構造がよくわかると思います。 >>692
細かい作業方法教えて頂き、有難う御座います >>660
レビューサンクス
10G接続当たり前になってきたから、IX2310考えていたけど、DCかサーバールーム設置を考えないといかんね アリエクで
USB Extension RJ45 Console Cable FTDI USB to RJ45 FT232R Chip+RS232 Level Shifter For Cisco H3C HP Mobile Router
$2.44(337円)送料無料
買ってみた。写真を見る限りでは日本アマゾンで売っているのと同じ様に見える。
まず動くのだろうか?FTDI chipなんだろうか?CH340偽装品か?
届くのが楽しみで仕方ないw
刺したらIX壊れたりしないよね?w 200%模造品だね
蟻でFTDI買って本物来たこと無いよ 9600bpsならCH340でも問題ないべ
むしろ FTDIやProlificの偽物よりマシじゃろ(さすがにCH340の偽物はまだ無いと思うw あ、最近はCH340よりさらに安い無名チップもあるみたいだけど、RS232Cレベルの製品が出回っているかは知らない ヤフオクでIX2215,2台セット3980円が大量に出品されているけどこれって冗長化されてたので2台セットなのかな?
大体何年使ったものなんだろう。偉い人業界の慣例だと何年ぐらいでお役御免になるのか教えてください。 >>699
ネットワーク機器の減価償却は10年なので
通常は10年使ってるんじゃね
LAN設備全体を一括償却の場合は6年だけど
償却済んだからってすぐ総取っ替えするとは限らないし >>695
monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB
Amazonで約1600円で販売しているけど、これでも高いのか?
「※出荷前にCiscoルーターと接続して製品検査(動作確認)を行っております。」の表記もあったし
実際に買ってIX2215に使ったけど、ドライバー無しで問題無く使えている 使える物を探してる訳でなく安物買い遊びみたいなものじゃないかな
多分、
Lontion Industrial CISCO互換ケーブル FTDI chipset USB RJ45 コンソールケーブル
-13% \525 (@amazon)
あたりと同じ様な物だろうけど、たまにIXの設定を対話的に弄るだけならコレでも大丈夫じゃないかな
(おみくじだろうしオススメはしないけど 1台1500円で入手したIX2215に1600円のコンソールケーブル使うのは悔しいのでw
最初はアマゾンでIX2215で動いたとレビューのある
Lontion Industrial 【CISCO互換ケーブル】FTDI chipset USB RJ45 コンソールケーブル
540円
にしようと思ったのですがたまたまアリエクで見つけちゃったのでチャレンジしました。
動かすまでも遊びということでお許し下さい。仕事ならちゃんとやりますとも。w
もしちゃんと動いたら報告させて頂きますので何かの参考になると幸いです。 IX2107を勢い余って買ったのですが、
SoftEtherやFWX120・他のVPN鯖に接続しようとした場合
GUIではなく、CUIでの設定が必須なのでしょうか?
(ネット接続等はGUIで確認しました。)
Linux鯖は少しできるのですが、
本格的なネットワークルータは触るのが初めてです。
教えていただけますでしょうか。 >>705
プロトコルによってはGUIでも拠点間VPNできたと思う。
業務用NW機器は基本CUI使わないとフル機能は使えないので勉強すればいい。 ONU:1.1 主装置:6.1 ix2215:100.254 map-e
の状況でNECサイトのRA自動の方を投入してみましたが、IPv6サイトへはつながるのですが、IPv4系サイトにつながりません
何を投入したらつながるようになりますか? >>705
IX-IX(or IX-WA)でもなければ基本的にCLIでの設定
SoftEtherはSoftEtherのサイトに設定例があったはず
ヤマハとはIKEv2 IPsecで繋がるかしらんけど、まあ頑張って niftyだとv6プラスかバーチャルコネクトか分からんから両方の設定試してみたら? >>711
バッファローのルータによるとV6プラスなのです
IPアドレス取得方法 v6プラスを使用する
接続方法 v6プラス
とルーターのシステムに表示されています
またniftyのサイトでの照会でも株式会社JPIX(v6プラス)となっております >>706,709
教えていただき、ありがとうございます。
USBコンソールを購入して頑張ってみます。
個人的にやりたいのは、IX2107を海外のVPN鯖等につないで、
(家庭用ルータでVPN接続を許可してるところ)
GE0でVPNの確立、GE1でNATを使い、
GE1に接続した機器を海外からのアクセスと見させたいと思っています。
(某ゲームで海外勢との対戦など)
頑張ってみます。 >>713
USBコンソールは買わなくても良いよ、あった方が何かの時便利だけど
IX2107は、最初からGUIに接続出来る
ログインして、保守管理>任意コマンドの実行に入って
コマンド入力欄に「show config」と打ち込んで>コマンド実行
すると下に現在のrunning-configが表示されるので、それをコピペしてテキストファイルに保存
必要な変更を全て書き換えたテキストファイルが出来たら
設定データの管理>ファイル選択で書き換えたテキストファイルを選択>アップロード開始
その後、再起動を指示されるので、再起動する
再起動後、保守管理>任意コマンドに進んで、コマンド入力欄に
「show config」>コマンド実行で設定が反映されてるのを確認したら
「write memory」>コマンド実行で設定が保存される
IX2107のLAN側IPやGUIのユーザー名やログインパスワードを変えた時は、
再起動後、指定したIPへ接続して、ユーザー名やパスワード入力して再度ログインする必要有り
シリアル繋いで1行ずつ入力するより、早いよ >>713
なんか色々勘違いしてそうだけど、
多分OpenWrtベースの高性能ブロードバンドルータにでも買い替える方が良いと思うよ
あなたが言ってる海外のVPN事業者というのは多分NordVPNとかそういうヤツでしょ?
IXにはその手のVPN接続サービスに繋ぐ機能は無いから
その手のサービスが一般的に提供しているL2TP/IPsec(クライアント接続)もOpenVPNもWireGuardもIXは未対応
ついでにSoftEtherってのもVPNGateの事だったりするんじゃなくて?
こちらも機能的に接続できないよ ああ別に、そんなことにIXを使うな、的なことを言いたい訳じゃないんよ
単純にIXはそういう用途には向いてない
どうしてもそのまま使うなら、ラズパイ的なSBCでも1台導入してVPN接続はそれに任せるとかした方が良い ふと、もしかして
interface Tunnel1.0
ppp binding ppp-vpncli
tunnel mode l2tp-lac ipsec
….
とか出来たりするかねと思ったけど、やっぱり
tunnel mode l2tp-lac ipsec
がエラーになる
l2tp-lacの時はDELIVERY_PROTOCOLはipしか受け付けないのね >>715に記載されているVPNってルータで無く、PC側で設定して使うだけと思ってた
OpenWrtベース利用可能なルーターで設定すると、配下のPC全部設定無しで利用出来る環境構築出来るんだ
とても勉強になった >>714,715,716
教えていただきありがとうございます。
しばらく触っていたころからダメそうだな―・・とは思っていました。
おとなしくNASでやることにします。
IX君はbuffaloの無線ルータから代替わりさせて使いますw
ところでおすすめのOpenWrtルータってあります? 性能重視ならラズパイの新しいやつとか
灯台下暗しだけどPC使う
技適重視ならGl-inetしかない
openwrtフォーラムでよく見かけて評判よさそうなのはE8450だけどjpはどうだか Firewall Micro Appliance,Fanless Mini PC with Intel Celeron J4125 Quad Core,4 Intel I225 Gigabit Lan,VGA/HDMI/USB,AES-NI,Barebone No Ram No SSD
にOpenWrtで構成する方が、既存のルーターにOpenWrtを入れるより早くなるかな?
只、2.5GNICだけどIntel I225-Vチップってトラブル抱えていたような 技適的にはあれだけど、公式でOpenWRTのイメージも公開されてるんで Orange Pi 5 Plusが気になってる。 IXの下に有線で繋いでるNintendo Switchが結構な頻度で「2618-0519」のエラー出すんですが同じような人いますか?
通信テストのNATタイプはBです。 >>723
wan側のifにeim-mode設定
ip napt eim-mode eim-mode指定するならudp-only付けとけだし、
副作用もあるから機能説明書も読んどけ 構成を載せ忘れてました
NuroなのでDMZにIX置いてその配下にN Switchぶら下げてます
eim-mode入れてエラーコードこそ出なくなりましたが、エラーコードの出ない「通信エラーが発生しました」が出るようになった気がします
https://y2lab.org/blog/inet/reviewing-multi-homed-internet-environment-nuro-9416/ >>695
物が届きました。
CH340でした。windows 10 22H2 のノートパソコンに繋いだら何もしないでもcom3で認識してix2155と9600でつながりました。
FTDIじゃ無い詐欺商品だけど十分使えるのでよしとします。何たって337円だものw
お勧めはしないけど買ってもいいんじゃない?と言う気もします。
ご参考になると幸いです。 中国出張があるので、費用会社負担でExpressVPNを中国に持っていくノートに導入した
試しに自宅で利用してみたが、IPアドレスチェックするとIPアドレス自体変更されて、全く違う住所表示なる、隠ぺい能力高いね
中国出張の際に、ホテルの回線使って日本の会社ネットワークとVPN接続することが出来たり出来なかったりするそうで
対策としてこのVPNを起動した状態で会社とVPN接続するらしい、そこそこ速度も出ると帰国組からは聞いた
一部のVPNルーターでは、ExpressVPNと直接接続出来るらしいが、NEC IXシリーズは無理っぽい、残念だ ここでプロトコルでは無くサービスの話されても知らんがなとしか言えんが 色々トーシロなんだろ
話の前ふりが長いやつ
本質が分からないやつって居るよね
要は何なんだよ!
って怒鳴りたくなる ix2215を縦置きにしたいのですが側面のネジに合うアジャスターでいいのが有りましたらご教示ください。
正規品は買い方も分からないし多分高価だろうから考えていません。
アジャスターとは丸型などのゴム足みたいなもののつもりです。言葉が間違っていたらすみません。
ノートPCなどを立て掛ける本立てみたいなのでも良いです。
よろしくお願いします。 >>732
おすすめのものを紹介はできないけど公式のやつは定価2000円みたい
https://market.nw-meister.jp/item/BI000005.html
ネジサイズは取説p.2−88参照
自分なら
1.昔からある普通のブックスタンド2個で挟み込む。出っ張りが邪魔なら金鋸で切って仕上げ。
2.L型金具使って足にする。
3.有孔ボードもしくはワイヤーネットとL型金具組み合わせて固定or引っ掛けられるようにする。
ホムセンとか100均でワクワクしてたのしめそう うちは2207だけどまさにブックエンドを使って縦置きしてるよ(あり物なので0円
下(本来のルータの側面)側に1cm角ぐらいの短い角材を2本挟んで浮かせてる
下側の穴を塞いでしまうと通気が悪くなるから注意 >>732
皆様、アドバイス、ご教示有難うございます。
純正品が2200円(送料込み)だったので惹かれたのですが、IX2215は送料込みで2500円ほどで入手したものですからたかが台座に2200円出すのは悔しいと言うか抵抗があります。w
別に慌ててないのでアマゾンやアリエク、ホームセンターなどでのんびり探してみることにします。
目標金額は500円位でw
引き続き情報がございましたらご教示よろしくお願いします。
失礼します。 IX2215を使っているのですがWebの装置情報で「内部温度」が53−55度になっています。少し高温すぎる様な気がするのですが皆様の値を教えて頂けないでしょうか?
どうぞよろしくお願いします。 ウチの場合も空調有りの環境で同じくらいですよ
以前空調無しの無人拠点に数年設置していたことがあって夏場に60度を示しても全く問題なしでした >>736
自分のIX2215は、内部温度44℃だった
自宅の一部屋をサーバールームとして、24H365日19℃30%RHにしているのが大きく影響していると思う さすがに60℃とかの内部温度が定常的だと
電解コンデンサは急激に劣化してしまう
もちろん機器の設計時に劣化を想定して重文なマージンが取られてるはずだけど
10年近く使われた中古品だとヤバいかも >>736
皆様、情報有難うございます。どうやら私のIX2215は暖かめであることがわかりました。
IX2215のカタログには動作保証温度を45度に拡大(従来機種は40度)と記述してあるので内部温度55度前後に不安を覚えていました。
実は運用を始めてまだ数日でして、とりあえず10.7.18にバージョンアップしてTransixで動かしたばかりです。
現在のところ正常動作している様ですのでしばらく様子見です。
何かありましたら報告させて頂きます。
蛇足ですが、使っていないポートなどをshutdownしたら1−2度下がった様な気がします。w
この度は有難うございました。 マニュアルを読みましょうよ
動作保証温度は周囲温度で、内部温度はそれより+25度ほど高くなります(IX2215,2207の場合)
要するに2310以外のIX2000シリーズ現行機種の場合、内部温度で70度以下が目安です
もちろんマニュアルにもあるように
「動作保証温度範囲内であっても、高い温度環境でご使用いただくと、一般的に故障率は増加します。」
「故障予防の観点から、できるだけ20℃〜25℃でのご使用をお勧めします。」
なので周囲温度を下げる努力は無駄では無いです あと以前にも書きましたけど、2207の場合、縦置きするだけで4〜5度ほど内部温度は下がります
(内部温度が周囲温度+20度ほどになるという意味)
パッシブでの冷却効率を気にするなら2215でも無駄では無いでしょう
さらに、自宅やSOHO等で24時間空調を入れられない場合、設置場所を低めにするだけでも効果があります
空調なしの場合、天井近くと床近くで1〜2度以上温度が異なるのは珍しく無いです
Wi-Fi AP等とまとめて設置するために棚の上に置かれていたりすることがありますが、ルータだけでも下に置くと大分違います 縦置きにしても2207は右が上か左が上かだけでも温度変わるよな 試してないけど2207は電源ユニットがUSBポート側にあるから変わるだろうね
うちはUSBポートが上になる配置(NEC様ご指定)で、多分この配置で内部温度は低めになるんじゃないかな
もっとも、ダメになりがちなのは電解コンデンサ=電源周りだからUSB側を下にした方が(コンデンサは)冷えて良いかも知れないけど
ただ使い勝手を考えるとUSBポートが上に来る方が(ACインレットが下になるのを含め)良いので結局そのままです >>733
公式で買えるの知らなかった。紹介サンキュー。
今IX2215横置きで温度見たら高めだったから縦置きスタンドセット注文した。 ファームアップ出たね。リリースノートが文字化けしているけど。 同じ場所に2台重ねしてあるOX2215があります。
同じconfigで片方ずつ動作させるとAはBより内部温度が5度ほど低いです。
ちなみに
A=2013年製
B=2014年製
上下を入れ替えても同じです。
個体差があってこんなものなのか、AあるいはBになんらかの異常?経年劣化?が起きている?
皆様のご意見をうかがえると幸いです。 >>747
テキストエンコーディングって拡張を入れてUTF-8 設定にしたら読めた。 IX2105はもうファームアップなしか。十分古いからな。 IX2215 ってまだ現役で販売しているんですよね?で5年無償保証って書いてあるからまだ少なくとも5年間はサポート、ファームのバージョンアップが見込めるってことなんですかね?
なんかIX2215すごいお得感があるなぁ 2207もNetMiesterには出てこないな
リリースノートの文字化けで一旦取り下げられたんかな >>753
両方とも開けてエアーで掃除しました。因みに内部温度が低い方のAの方がうっすらと基板がホコリで汚れていて、Bは基板にほとんどホコリがなくきれいです。 2105はもうすぐサポートが終わるOpenSSL 1.1.1系統を使ってるけど
メモリ少ないからか3.0に移行しないできないのが関係あるのかな ・IPv4 over IPv6 国内標準プロビジョニング対応 ってなに? ISPが仕様を共通化したのでそれに対応すれば
ルーター側で自動でIPv6の方式設定をできるようになる話じゃないのかな >>756
多分>>446じゃないかな
これまで、v6プラスetc.で個別に対応が必要だったものを標準化しましょうって話
(IPトンネルの対向側のアドレスやポートレンジの割り当て等の取得方法がサービスごとに異なる) IX2215ばかりでIPV6NGN網VPN構築しているんだけど、
1拠点だけIPV6アドレスを取得できない。
ただし拠点側でインターネット接続があるからなのかVPN通信はできている。
もちろんNetMeisterには出てこない。
NTT西日本、光電話無し、IPV6オプションON確認済。
何か情報ございませんか? IPv6アドレスを取得できないってのは、どのように確認しました? >>760
ログイン後のトップページのWAN情報のところが IPv6アドレス: なし になってます。
他の拠点はちゃんと表示されています。
NetMeister DDNSにも登録が上がらないのでIPv6アドレスがとれて無いと思っています。 ひかり電話なしということは、多分ND proxyでGE2.0にIPv6アドレスを割り振る設定にしていると思うので、
show ipv6 address GE2.0
や、単に
show ipv6 address
show ipv6 interface
してみてください
多分IPv6アドレスそのものは割り当てられてるんじゃないかと予想(エスパーですけど、VPNは機能しているんですよね?)
(webコンソールのWAN情報はsystem informationやweb-console o wan1...あたりの設定が間違っていると正しく表示されないはずなので)
それで、もしIPv6アドレスは割り当たっているなら、
ファームウェアver.10.7.17, 10.7.18でのIPv6経由でのNetMeister接続の問題にヒットしたりしません?
Ver.10.7.17, 10.7.18のリリースノート
機能説明書の
13章バージョンアップにおける諸注意
■13.27 Ver.10.7.17 コンフィグ
■13.28 Ver.10.7.18 コンフィグ
あたりを参照 >>762
u(config)# show ipv6 address
Interface GigaEthernet0.0 is up, line protocol is up
Link-local address(es):
fe80::260:****:feff:5495 prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:ff00:0
ff02::1:ffff:5495
Interface GigaEthernet2.0 is up, line protocol is up
Global address(es):
2400:****:c760:cc00:260:b9ff:feff:54d5 prefixlen 64
2400:****:c760:cc00:: prefixlen 64 anycast
Link-local address(es):
fe80::260:****:feff:54d5 prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:2
ff02::1:ff00:0
ff02::1:ffff:54d5 >>762
Interface GigaEthernet0.1 is dormant, line protocol is down
Link-local address(es):
fe80::266:****:feff:5495 prefixlen 64 dormant
fe80:: prefixlen 64 anycast dormant
Multicast address(es):
ff02::1
ff02::2
ff02::1:ff00:0
ff02::1:ffff:5495
Interface Loopback0.0 is up, line protocol is up
Orphan address(es):
::1 prefixlen 128
Interface Loopback1.0 is up, line protocol is up
Interface Null0.0 is up, line protocol is up
Interface Null1.0 is up, line protocol is up
u(config)# >>762
長ったらしい書き込みご容赦です。
以上が出力です。
ちゃんと動いているようには見えるので気にしないことにするのがよさそうですね。 ああやっぱりIPv6そのものは機能してますね
ファームの不具合云々書きましたけど、不具合でなくてもIPv6経由のNetMeister接続が導入されたころにもワチャワチャしてた記憶があるので、
NetMeister周りの設定
nm hogehoge ...
を全面的に見直せばDDNS含めて治ると思いますよ
Webコンソールの表示はまあ表示だけですしね >>766
何度もすみません。
nm ipv6 enable ngn-private auto mqtt force
nm account m******* password secret B*************
nm sitename m******-hooge
nm ddns notify interface GigaEthernet0.0 protocol ipv6
nm logging enable
nm関係はこんな状態なのですが何か間違ってますか?
nm outgoing-interface [インタフェース指定] [nexthop 指定] protocol ipv6
というのも無いのですが必要ですか? >>767
それで大丈夫だと思いますね
show nm information
にはエラーが表示されたりしていませんか?
nm outgoing-interface は通常は無くても大丈夫のはずです ああごめんなさい
/64でGE2.0にIPv6割り当ててるんですよね
nm ddns notify interface GigaEthernet2.0 protocol ipv6
のはずです
これだけでダメなら
nm outgoing-interface GigaEthernet0.0 auto protocol ipv6
nm source-address GigaEthernet2.0 protocol ipv6
も追加(ver10.7以上)、ですけど指定しなくても動作するはず >>770
ひかり電話なしだから
/64でなく/56じゃなかった? >>769
>>770
大変ありがとうございます。
すぐにはできないかもなのでこんどやってみます。
いずれにせよ表示上だけの問題であろうということで一安心です。
助かりました。 >>771
光電話なしが/64じゃありませんでしたっけ? 2105は今回ファームウェア更新ないし更新が終了した可能性もなくはないので
今から買うなら2207にしたふがいいかも >>775
そこは今ならIX2105の後継はIX2106じゃない?
IX2207は初出古かった気がするからIX2106より販売終了早くくるんでない? >>775
新しいバージョンが出なかったのは、恐らくHW的に新しいもの載せられないからだと思われる。
とはいえ、NECのEoLは販売停止(出荷停止)から5年だった気がするので、IX2105は後1年位で完全にサポート切れかな(販売終了が2019年)
後IX2207は今年の3月に販売停止になった用なので、EoLは2028年だな もう終了してる
後継はそうだが2016は新しいので2207ほど安くはない
発売年
2105 2010
2207 2014
2106 2017 2207もあと5年、2028/3までメンテされるなら十分じゃね
さすがに後5年もしたら10Gbへの切り替えを検討してるはず ヘアピンnat って昨日始めて知った。w こんな便利なの知らなかったのが恥ずかしい。 だれか助けてください。
GE0.0 WAN 動的IP DGW
GE1.0 管理用IP 192.168.1.1/24 (LAN内のNativeVLANのIPアドレス)
GE1.1 インターネットアクセス用@ 192.168.2.1/24 タグVLAN2 DHCP払い出し
GE1.2 インターネットアクセス用A 192.168.3.1/24 タグVLAN3 DHCP払い出し
上記設定で以下の通信を実現したいのですが、試行錯誤してACLを作成してみてはいるのですが、うまくいかず・・・。
どのようなACLになるかどなたか教えてくれませんか・・・。
@GE1.0は管理ポートとして特定のNW(192.168.1.0/24)からのみアクセス可能で、かつ、特定IPのみ(192.168.1.10)インターネットにアクセス可能
AVLAN間ルーティングは禁止
BVLAN2と3はインターネットアクセスのみ可能
IX2207で試行錯誤しているのですが、上手く稼働するACLが書けない。。。 適当な拡張ACLをそれぞれのIFによしなに設定するだけでないん? ip access-listで良くない?
自分はVLAN1~4のポートベースVAN設定、各VLAN間の通信遮断、そしてIX2215へアクセス出来るPCをIP固定で許可する設定しているけど
ACLは使っていないし、ACL制御は理解していない 初歩的な質問かもしれませんが、ご教示頂きたく…
IX2215のGE2.0(192.168.250.xxx)に接続しているVPNサーバのメンテナンス用としてGE1.0(192.168.9.xxx)をVPNサーバのLAN側ポートと接続し、GE2.0配下のPCからVPNサーバにログイン出来るようにしたいのですがどのような設定をすればよいでしょうか? >>787
正直要件がよく分からんですけど、
GE1.0(192.168.9.0/24)とGE2.0(192.168.250.0/24)間を基本的に通信不可にして、
GE2.0以下の特定のアドレスからGE1.0以下の特定のアドレスへのみ繋がるようにするなら(かなりエスパー)、
基本的な考え方はこういう感じ
- GE1.0, GE2.0 以下のネットワークからインターネットへは出て行ける
- GE1.0, GE2.0 以下のネットワークへは進入不可
- ただし GE2.0 以下の特定のホストから GE1.0 以下の特定のホストへのみは接続を許可する
(プロトコルとか分からんので以下の例ではIPアドレスで許可してます)
テストしてないから動作するか知らんですし(あとIPv6も知らんです)、既存のフィルタとの整合性とかは上手いことやってください
まあマルチポートの単体VPNサーバを使うような環境なら業者に頼んだほうが良いんじゃねって思うけど
(よくある保守されていないVPNサーバの脆弱性を突かれて云々にならないようにお気をつけください...) # dynamic filter に頼った手抜き例
ip ufs-cache enable
ip access-list allow-anything permit ip src any dest any
ip access-list block-anything deny ip src any dest any
ip access-list dynamic dyn-allow-any access allow-anything
! 管理用PCが 192.168.250.123, .250.124、VPNサーバ管理I/F?が 192.168.9.234 の場合
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.123/32 dest 192.168.9.234/32
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.124/32 dest 192.168.9.234/32
ip access-list dynamic dyn-allow-mgmt access acl-mgmt-vpnsrv
interface GigaEthernet1.0
description management-network
ip address 192.168.9.254/24
ip filter dyn-allow-mgmt 10 out
ip filter block-anything 100 out
ip filter dyn-allow-any 100 in
no shutdown !続き
interface GigaEthernet2.0
description office-network
ip address 192.168.250.254/24
ip filter block-anything 100 out
!無くても dyn-allow-any で許可されるが他のフィルタルールとの兼ね合いがあるなら明示的に許可
!ip filter dyn-allow-mgmt 10 in
!必要なら他のルール
ip filter dyn-allow-any 100 in
no shutdown #動作の理解/他のフィルタルールと合わせやすい用に、もう少し細かく明示的に指定する例
ip ufs-cache enable
ip access-list block-frm-ge2.0 deny ip src 192.168.250.0/24
ip access-list block-to-ge2.0 deny ip src any dest 192.168.250.0/24
ip access-list block-frm-ge1.0 deny ip src 192.168.9.0/24
ip access-list block-to-ge1.0 deny ip src any dest 192.168.9.0/24
ip access-list allow-anything permit ip src any dest any
ip access-list block-anything deny ip src any dest any
ip access-list dynamic dyn-allow-any access allow-anything
! 管理用PCが 192.168.250.123, .250.124、VPNサーバ管理I/F?が 192.168.9.234 の場合
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.123/32 dest 192.168.9.234/32
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.124/32 dest 192.168.9.234/32
ip access-list dynamic dyn-allow-mgmt access acl-mgmt-vpnsrv
!続く !続き
interface GigaEthernet1.0
description management-network
ip address 192.168.9.254/24
ip filter dyn-allow-mgmt 10 out
ip filter block-frm-ge2.0 50 out
!暗黙に残りは全てblockされる
ip filter block-to-ge2.0 50 in
ip filter dyn-allow-any 100 in
no shutdown
interface GigaEthernet2.0
description office-network
ip address 192.168.250.254/24
ip filter block-frm-ge1.0 50 out
!暗黙に残りは全てblockされる
ip filter dyn-allow-mgmt 10 in
ip filter block-to-ge1.0 50 in
ip filter dyn-allow-any 100 in
no shutdown
当然上記の設定だけを投入しても動作しないので、環境に合わせて変更して入れてください
あくまでも説明用です
(あと少しアルコール入ってます) ああなんかワヤクチャだ
大事なことを書き忘れてるから後で訂正します
あと>>793-794は要らんね(全然わかり易くない...) そもそも>>787は意味不明
親切心でエスパーすると本人のためにならない >>787みたいな説明しかできない知識力や国語力の奴に
下手にエスパーして長文解説してもどうせ理解できないんだからやめとけ まあ言いたいことは分かるけど途中まで書いちゃったからな
で訂正というか書き足しというか
>>791-792 だとWANからGE2.0への(恐らく)メイントラフィックがdynamic filterで処理されるので、これを避けるとこんな感じに
(+他セグメント宛のパケットがルーティング処理に侵入しないように)
#GE2.0へは基本許可(指定パターンのみ拒否)になるので注意
#192.168.10.0/24は他にもセグメントが存在するならの例、説明用、無視して良い
ip ufs-cache enable
ip access-list allow-anything permit ip src any dest any
ip access-list block-anything deny ip src any dest any
ip access-list dynamic dyn-allow-any access allow-anything
! GE1.0から他セグメントへのパケットをブロックする
ip access-list block-dst-ge1.0 deny ip src any dest 192.168.10.0/24
ip access-list block-dst-ge1.0 deny ip src any dest 192.168.250.0/24
! 他セグメントからGE2.0へのパケットをブロックする
ip access-list block-src-ge2.0 deny ip src 192.168.9.0/24 dest any
ip access-list block-src-ge2.0 deny ip src 192.168.10.0/24 dest any
! GE2.0から他セグメントへのパケットをブロックする
ip access-list block-dst-ge2.0 deny ip src any dest 192.168.9.0/24
ip access-list block-dst-ge2.0 deny ip src any dest 192.168.10.0/24
! 管理用PCが 192.168.250.123, .250.124、VPNサーバ管理I/F?が 192.168.9.234 の場合
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.123/32 dest 192.168.9.234/32
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.124/32 dest 192.168.9.234/32
ip access-list dynamic dyn-allow-mgmt access acl-mgmt-vpnsrv interface GigaEthernet1.0
description management-network
ip address 192.168.9.254/24
ip filter dyn-allow-mgmt 10 out
ip filter block-anything 100 out
ip filter block-dst-ge1.0 100 in
ip filter dyn-allow-any 110 in
no shutdown
interface GigaEthernet2.0
description office-network
ip address 192.168.250.254/24
ip filter block-src-ge2.0 100 out
ip filter allow-anything 110 out
ip filter dyn-allow-mgmt 10 in
ip filter block-dst-ge2.0 100 in
ip filter allow-anything 110 in
no shutdown >>800-801
スレ汚しやめろ
おまえのやってる行為はオナニーでしかない
自分のためにやってる ACLとか自由に名前付けて良いところはあえてNECの用例の通りにしておくべきと思う
自分勝手に命名すると他の人には分かりにくくなるし自分でも時間経つと分からなくなる REVELATION/ IN THE SAME BOAT
グラノード広島(granode hiroshima)
大和ハウス工業(daiwa house group)
シーレックス(seerex)
テイケイ西日本(teikei west japan)
裏社会(underworld)
広島県警察(hiroshima prefectural police)
公安警察(security police)
広島地方検察庁(hiroshima district public prosecutors office)
草津病院(kusatsu hospital)
岡田外科医院(okada surgical clinic) >>806
俺流ネーミングはそん時は良いんだけど
3年後に意味不明で、自分でも困るよね お分かりになればお教下さい
NTT西地区でIX2215にてNGN網VPNを構築しているのですが、
今回、NTT東地区にも支店ができたので、NTT東地区に拠点を追加したいのですが、
IXのNGN網VPNの説明で、東西間の通信をしたければ両方にプロバイダの契約が必要とあったので、
西地区にあるセンター、東地区の拠点ともにプロバイダ契約はあるのですが、
実際に設置してみるとNetmeisterの登録はできているのですがVPNが繋がりません。
なにか特別な設定が必要なのでしょうか?
それとも東西間の通信において根本的に勘違いしていますでしょうか? 閉域網で繋ぎたいならフレッツVPNワイドの東西接続サービス使うしか無いのでは?
インターネット通していいなら東西間だけインターネットVPNにするとかなんだろうが 東西間のNGNの折り返しVPNは出来ないので、プロバイダ契約してインターネット経由のVPN接続してくださいと言う意味だろうよ。
プロバイダ契約したからって東西間のNGNの折り返しVPNが出来るわけじゃないと思うが・・・ >>810
IPoE対応 プロバイダにするといいことあるかもよ >>810
VPN設定はNetmeisterにやらしているの?
それともコマンドで? NECの資料
NetMeisterダイナミックDNSサービスを
利用しIPv6のNGN網を活用したVPN構築手順
https://jpn.nec.com/univerge/ix/Support/custom-gui/NetMeisterDDNS_NGNIPv6-VPN.pdf
に、
※NTT東日本とNTT西日本のエリアを跨いでVPN構築する場合は、
各々のエリア内で1拠点づつISP契約が別途必要です。
の一文があるので、できるものと考えました。
>>813
IPoEプロバイダにすればできそうでしょうか?双方ですよね?
>>814
NGN網VPNですので各IX2215でGUI設定しています。 >>816
どうしてもNGN網内で完結したいというわけではないですけれど、
一括管理等の部分においてNetMeister〜DM-VPNで設定できればと考えています。
提示させていただいた資料の4ページ中央付近の青文字注釈についてはどう思われますか? >>810
GUIだけだと、できないような気がします。
西1 LAN192.168.1.254 Tunnel169.254.255.1 IPoEあり センタールーター
西2 LAN192.168.2.254 Tunnel169.254.255.2
西3 LAN192.168.3.254 Tunnel169.254.255.3
東9 LAN192.168.4.254 Tunnel169.254.255.9 IPoEあり
の4拠点でダイナミックVPNを構築するとします。
西1と東1は、ISP契約が必要で、これはIPoE/IPv6がおすすめです。
PPPoE/IPv4の固定IPアドレスサービスでもできますが、コスト/速度から選ぶ必要はないと思います。
(東西接続サービスは、NTTのフレッツVPNを利用する場合に限るので、今回は関係ありません。)
西2から西3に通信するときは、まずは西2が西1に問い合わせて、西3のNGN-IPv6アドレスを取得します。
次に、西2から西3にGREパケットを送って、オンデマンドVPNを構築するので、通信ができるようになります。
西2・西3とも同じNGN内なので、IPv6で直接通信できます。
GUIでダイナミックVPNを構築して、西2から東9へ通信をした場合。
これまで同様に西2から西1へ問い合わせて、東9のIPv6アドレスを尋ねます。
西2から東9のIPv6アドレスに接続しようとしても、東西が分断されているので通信できません。
しかしながら、西1と東9は、お互いにIPv6グローバルアドレスを持っているので、通信できます。
そこで、西1ルーターからBGPで、西2・西3へ経路を配信します。
「192.168.4.0/24宛ての通信は、西1で受けるので169.254.255.1へ」
と。
知らんけど。 IX1-3K-EX-10.8.pdf
設定事例集 38.4 NTT 東西間 NGN 閉域網の拠点間接続と MAP-E によるインターネット接続
事例では、ルーターa,b,cが東日本、ルーターdが西日本。
東西をまたいだ拠点が一つだけの例。これだと、経路配信とか考えなくても動くと思う。
ルーターa(東日本、センター、IPoE契約あり)
・Tunnel0.0 MAP-Eでインターネット出し。
・Tunnel1.0 IPoE経由で西日本VPN接続用。
・Tunnel2.0 NGNで東日本の複数拠点のVPNを収容。
ルーターb,c(東日本、拠点)
・Tunnel0.0 ルーターaのTunnel2.0へ接続
ルーターd(西日本、IPoE契約あり)
・Tunnel0.0 ルーターaのTunnel1.0へ接続
東拠点か、インターネット出しか気にせず、すべてTunnel0.0に流し込む。 >>818
>>819
ありがとうございます。
読み込んで理解、実験してみたいと思います。 わかる方いましたらお助けください。
私は光クロスのXpass固定1を契約しています。
Xpass固定1に対応していない高性能ルーターを使いたいので、IXルーターでXpassを喋らせて、
NATで下位ルーターに接続しています。(ACLも設定済みでIPv4に関しては全パケットが下位ルーターに流れるようにしています)
この設定でIXルーターにIPv6がDHCPv6で降りてきており、IXルーターにPCを接続するとPCにIPv6が割り振られます。
しかし、下位ルーター以下の機器にはIPv6通信ができません。(下位ルーターのRAでアドレスだけは配布されています)
下位ルーターのWAN側設定はDHCPv6 プレフィックス64で設定、LAN側はプレフィックス委任、RA有効、DHCPv6 開始::2 停止::7d1
となっております。
原因と解決策がわかりましたら教えてください。
IXのコンフィグは長すぎて怒られたので必要箇所を指示いただけたら乗っけます。 >>820
経費を気にせず、全部の拠点にIPoE/IPv6契約をすれば、
NetMeister DM-VPNの設定で動くと思う。
ただし、IPv4/PPPoEが使えないプロバイダ契約もあるので、インターネット出しを、
PPPoEの interface GigaEthernet0.1 じゃなくて
IPv4 ove IPv6 を使う interface Tunnel1.0 にする必要がある。
かんたん設定でも、IPv6 IPoE接続を選ぶとできるのかな。 >>821
下位ルータがDHCPv6 PDクライアントにしてPCにRA吐くのは下位ルータにしたいのか、RAはIXが吐いて下位ルータはRA透過させたいのか。
IXはRA吐いてるのに下位ルータはDHCPv6クライアントしようとしてるとかにも聞こえる i.open.ad.jp/config/nec.aspx
NEC UNIVERGE IX ルータでの使用方法 (IPsec 暗号化なし) を参考に、
速度優先・処理負荷軽減のため、IPSecなしでVPNを張ろうとしています。
コンフィグ見ると、
interface Tunnel0.0
tunnel mode 4-over-6
の中に、事前共有鍵が見当たりません。
これだと、NTTフレッツ契約者で、ddnsホスト名がわかれば、
接続は試みられてしまうということでしょうか。
NGN内での盗聴の心配はしていないので通信は平文でよいのですが、
最初の接続時に相手が正しいかどうかは確認する必要があると思います。 IPv4インターネット出しは、XPassで Tunnel0.0から、
予備としてPPPoEで GigaEthernet0.1を使っています。
NetMeisterとurl-offloadを使って、
指定URLの場合はGigaEthernet0.1となるよう設定しています。
Tunnel0.0だと「このホストはBBx規制中です」で書き込みできないので、
*.5ch.net を指定して、GigaEthernet0.1に迂回するようしているのですが、
XPass側のIPが表示されて書き込みできません。
書き込み前にjavascriptなどが動いて、別ホストから生IPを抜かれているのでしょうか。
5ch.net/test/bbs.cgiがurl-offloadできない原因と対処方法、わかる方、教えてください。
show url-offload database
には、
*.5ch.net(UserDefined)
が含まれています。
NetMeisterのURLオフロードでwww.ugtop.com を指定しておくと、PPPoE側のIPになること確認しました。
この書き込みは、interface Tunnel0.0でshutdownして、書き込みしています。 >>824
IPIPにはそもそも認証の仕組みが無いよ。
プロトコルの話だからIXとか機器によらない。
「接続を試みられる」がどんなイメージしてるのかわこらないけどヘッダ付けてカプセル化してるだけ。 >>0821
単純に、下部ルーターの方の設定を、RAプレフィックスではなく、
IPV6ブリッジ設定で良いのでは? >>0824
IPSECの暗号化・復号化のリソースを気にされている状況でしたら、そちらは大した事は無いかと
IPSECの接続方式を、IKEv2を想定された方が良いのでは? >>828
IKEv2だと、データ本体の暗号化の負荷が低くなるのでしょうか。
i.open.ad.jpサイトトップに、700Mbps、遅延2msの例が出ています。
フレッツ光ギガライン同士のIKEv2ダイナミックVPNだと、今使っている環境で、
200Mbps程度になり、スピードテスト中はCPU負荷も上がってしまいます。
実用上は困っていないけれども、IPIPで速度が上がって、
認証の問題が解決するなら、試してみたいです。
>>826
認証の仕組み、無いんですね。
確かにDS-LiteのTunnel接続先もdgw.xpass.jpとかで、id/pwないですね。
VNEの場合は付与したIPv6アドレスが送信元か確認すれば足りる。
セキュリティのためには事前に接続元IPv6アドレスを登録しておけばよいが、
フレッツ光はIPv6アドレス半固定で、収容局機材故障時に別アドレスに変わるため、
送信元アドレス指定による接続許可は使えないです。
oreore.i.open.ad.jp のようなFQDN用意して、
NTT東のフレッツ内で、IPIP vpnを張るときに、
第三者がFQDNだけわかれば、接続を試してしまうことは可能と考えます。
これは、鍵がかかっていない家のドア前を、第三者が通ったときに、
敷地外からドアノブを回してみるまではセーフ、開けて中に入ればアウト。
入った人が悪いけれども、鍵をかけない人にも責任がある、
という感覚です。
それぞれの拠点のixで、 tunnel destination fqdnにお互いのfqdnを指定しているので、
これが接続元IPv6アドレスの制限として機能しているのでしょうか。
わかる方、教えてください。 Android13からルーターに接続する「IKEv2 リモートアクセスVPN」
YAMAHA RTX830は2023年1月ファームで対応。
NEC IX2106は対応待ち。
現状IXで使えるのは、L2TP/IPsecのみ。Android13標準機能からは接続不可。
で、おk?
>>406
IXのikev2のコンフィグ例見ても、相手のIPアドレスかFQDNが必要ということは、
現状は拠点間VPNのみ、ということでは。
教えて、えらい人。 >>828
鍵交換の時に、IKEv1はパケット9つ、IKEv2だとパケット4つと、負荷は減っている。
ということ?
本文の暗号化・復号化は、AESならハードウェア処理でも結構負荷がかかると思うけれども。
通信速度に差が出るくらいは。 >>828
ttps://jpn.nec.com/univerge/ix/Performance/index.html
に、IKEv2,AES128/SHA256のIPsec性能のグラフがあるけれど、
フレームサイズ128byteのときは、スループットが2倍くらいに開いてるよ。
IKEv2でも、IPIPに比べれば暗号化・復号化のリソースは喰っている。 >>829
セキュリティのために、と言うならちゃんとTCP/IP学んだほうが良いよ。
認証と暗号化とカプセル化、ACL、DNS全部理解が曖昧で妄想が悪魔合体してる >>0829
>>0831
暗号化・復号化の処理の部分と速度的な恩恵を受けたい場合には、
L2の上のL3レベルのGRE/IPSEC(IKEv2、トランスポート運用)にて、トンネルモードから離れたら? IX2105のL2TP/IPsec VPNでiPhoneだとインターネットに繋がらないのですが、解決策が載ってると思われるサイトがサ終していて見れないのですがどのような内容がわかる人いますか DNSとゲートウェイの設定されてないだけじゃないの? provide-remote-dns いつも忘れてしまう >>834
トンネルモードは使っていない認識でした。
現用コンフィグは、ダイナミックVPNの設定例そのままで、
interface Tunnel1.0
description DM-VPN
tunnel mode mgre ipsec-ikev2
ikev2 ipsec-mode transport
です。
トランスポートモードでも、ペイロードが暗号化され、CPU時間を消費します。
IX2000で、ikev2のプロファイルを変更していない場合は、
sa-proposal enc が 使えるもののなかで最もセキュリティが高い
AES-256が選ばれると思います。(FD-ver10.8.pdf 2-510)
IKEv2/IPSecでペイロードをAES-256暗号化・復号化するよりも、
NGN内をIPIPで接続したほうが、速くくなるのでは、と期待しています。
AESはハードウェア処理されると思いますが、それでも未処理のIPIPのほうが速いと思います。
そのうえで、IPIPのために低下するセキュリティが、
社会的に受け入れられるのであれば、試してみたいです。 >>833 一生懸命、TCP/IP学んできましたぁ!!!
DNS Domain Name System
FQDNからIPアドレスを返すサービス。
ACL Access Contol List
接続元のIPアドレスから、接続の可否を判断するためのリスト。
カプセル化
IPパケットの外にIPパケットを加えて、別ネットワークへ転送するための技術。
暗号化
データが第三者に盗聴されないこと、到着したデータが改ざんされていないことを
確認することを目的として、IPパケットのペイロードを加工すること。
認証
通信しようとしている相手が、本当に正しいかを確認すること。
手段の例として、事前に鍵を共有しておく、ACLで接続元のIPアドレスを制限する、など。
DS-Liteは、自プロバイダ契約のあるIPアドレスのACLがあるので、
パスワード認証がなくても、接続元IPアドレスから認証して、
IPIP接続を受け付けることができる。
IPSecには、第三者が知らないであろう鍵を事前に共有しておくことで
お互いのルーターを認証する PSKという仕組みがある。
これで合っていますかぁ??? IXルーターをNGNに接続して、外部からローカルネットワークへの通信を許可するならば、ACLや事前共有鍵などをつかって、通信相手を認証をする必要がある。
IKEv2/IPSecだと認証はできるが、ハードウェア処理があるにせよペイロード暗号化の負荷があるので速度が落ちる。NGN内での盗聴や改ざんは心配していないので、暗号化はいらない。
暗号化をせずルーターの負荷を下げて拠点間通信を行いたいので、IPIPによるL3-VPNを利用したい。
IPIPにはパスワード認証の仕組みがないが、ACLをつかって自分が管理しているルーターのみ接続できるようにしたい。
フレッツ光のIPv6アドレスは半固定のため、接続元IPv6アドレスを固定で指定することは避けたい。
i.open.ad.jp/config/nec.aspx にあるコンフィグ例だと、お互いに接続先をFQDNで指定している。
拠点 1 tunnel destination fqdn sample2.i.open.ad.jp
拠点 2 tunnel destination fqdn sample1.i.open.ad.jp
このFQDN指定が、接続元のIPアドレスを制限するACLとして機能するのか。
別のIXルーターがsample1.i.open.ad.jpあてにIPIPパケットを送ると、ローカルネットワークにルーティングしてしまうので、認証がない状態になるのか。
RFC読んだり、実機で実験したりして確認すればよいのだが、楽したいから、知っている人いたら教えて。という書き込みでした。 今さっき mao.5ch.net/.../l50 にアクセスしたら、
Request Method: GET
Status Code: 200 OK
Remote Address: [2606:4700:10::6816:16d]:443で、IPv6接続になっていた。
もうXpassの共有IPv4アドレスではなく、占有しているIPv6からの書き込みなので、規制されなくなった。
url-offloadの挙動関係なく解決してしまったよ。
>>825 フレッツ光VPNのバックアップで、LTE使っている人いる?
拠点のONUのACアダプタ故障で、時々VPN落ちるので、LTEバックアップ追加したいんだけれど。
EA01Lがいいのか。IX2235にUSBドングルがいいのか。どこのLTE通信契約しているか。
実際に使っている人の構成とか、使い勝手を聞きたい。 logging subsystem urlo info して調べる方法に、今気が付いた。
クライアントPCから、IPv6でブラウザで5chにアクセスしているうちは何の変化もないけれど、
curl -I -4 menu.5ch.net して、やっとログに
2023/09/23 17:30:58 URLO.016: Create session-cache, *.5ch.net(UserDefined), prot tcp 192.168.nnn.nnn:52264 > 172.67.5.194:443, application UserDefined
2023/09/23 17:30:59 URLO.017: Update session-cache, *.5ch.net(UserDefined), prot tcp 192.168.nnn.nnn:52264 > 172.67.5.194:443, application UserDefined
が出てきた。
もっと早く気づいていれば、ログ取れたのに。なぜダメだったか、不明。
クライアントPCのDNSとして 2606:4700:4700::1002と、IXの192.168.nnn.nnnを指定していた。
5ch.netのIPを引くのに、IPv6のDNSを優先してつかったので、IXのproxy-dnsを引かなかったので、url-offloadが発動しなかったのかな。 >>0838
そうですか。
GRE-IPSECを利用されているんですね。
拠点数が多い、通信の負担が多い状況ですと、
丁度、GRE-IPSECを運用されている様ですので、ダイナミックVPN等も調べてみると良いのでは?
トンネル名称が、「DM-VPN」ですので、既に利用済み?
ダイナミックVPNの場合には、IPV6トンネル網(DDNS)などにて対応をすると、LAN側にIPV6アドレスが
利用出来なくなりますが。
※ IPV6インターネット関係 >>840
> このFQDN指定が、接続元のIPアドレスを制限するACLとして機能するのか。
configの記法でdestinationって書いてある通りで、IPIPのカプセル化する際の宛先を指定してるだけ。
> 別のIXルーターがsample1.i.open.ad.jpあてにIPIPパケットを送ると、ローカルネットワークにルーティングしてしまうので、認証がない状態になるのか。
IPIPはただのカプセル化なので、IPv6で宛先指定されたパケットはやってくるしヘッダ外されてinnerのIPv4の宛先に向かって通信しようとする。
ただinnerでIPv4宛先指定って狙えるんだっけ?戻りのパケット結局どうなる?とか考えられるTCP/IPの理解があればこんな質問にならない。RFC読む以前、実機動かすまでもない話ですよ^^ 緊急ですみません。
先日までダイナミックVPN(NGN網VPN)で繋がっていた拠点が急に昨日の夕方より切断になってしまいました。
何か確認するべき所などお教えいただけませんでしょうか?
6拠点あり、5拠点は問題なく接続しています。
ipsecログに
IKE negotiation failed
というが記録されています。 >>0846
IPV6-DDNSトンネルID周りの名称解決が出来ない状況ではないですか?
DDNSのアップデート周りを確認下さい。 >>847
ありがとうございます。
NetMeisterのDDNS状態は問題ない状態だと思います。表示も正常です。
NetMeisterDDNSの更新も行えていますし、NetMeisterからhttpsの遠隔操作も入れる状態です。
なにか追加アドバイスがあればよろしくお願いいたします。 >>0848
GRE-IPSECトンネルの死活監視の部分は、どうなっていますでしょうか?
また、メーカー設定例ですと、IKEプロファイル、若しくはIPSECトンネルにdpdトリガー方式の死活監視のSA更新
のエントリーを追加していますが、
個人的な経験では、ネットワークモニターを併用した方がその周りのトラブルが無かったかと思いましたが。
それと、時々、Netmeisterのサービスが不安定になっているときがあるようですので、
切り分けとして、他社サービス(Open-IPV6-DDNS)などを一時的に設定してみる等の方法が有るかと思いますが。
あと、IXルーターに収容している回線ですが、単一でしょうか?
複数有る場合には、IPSECトンネルの送信先インターフェイスを、IKEプロファイル、若しくはIPSECトンネルに固定的に
設定しないと、IKE送信先不挙動にて不安定になる場合もあるかと思いますが。 ■01: EOL製品に対するNetMeisterサポート方針
1-1)NetMeister対応製品のEOL(End Of Life)に合わせて、NetMeisterのサポート(動作保証、問合せ対応)も終了いたします。
1-2)EOLからさらに1年経過後の製品については、NetMeisterとの接続も終了いたします。
最近2105が値下がりしているのはこれも関係しているな。 EOLは販売終了の5年後だっけ?
てことはIX2105のEOLは2024年9月であってる? へえ
自宅で使ってるから大したデメリットはないけど
複数の拠点で設定しようと思ってたりしたら大きいのかな ありがとう
EOLはどこで公開されてる?
検索しても見つけられない 勉強がてらIX2215を買って自宅で利用してて[ONU]-[IX2215]-[LAN]の構成になってます。
IPS機能のないルーターをファイアウォール機器の無い自宅のネットワークに使うのは危険だから
自宅で使うなら家庭向きルーターのほうが良いという意見を目にしたんですが
家庭でご利用の皆さんはファイアウォールを別で設置したりと対策を取られてるのでしょうか?
OpenVPN用のUDP1194ポートのみ開放している状態です。 勉強がてらIX2215を買って自宅で利用してて[ONU]-[IX2215]-[LAN]の構成になってます。
IPS機能のないルーターをファイアウォール機器の無い自宅のネットワークに使うのは危険だから
自宅で使うなら家庭向きルーターのほうが良いという意見を目にしたんですが
家庭でご利用の皆さんはファイアウォールを別で設置したりと対策を取られてるのでしょうか?
OpenVPN用のUDP1194ポートのみ開放している状態です。 >>855
>>856
心配ならFortiGate使っとけ。 しっかりとACL制御してるルータは家庭用ホーム用ルータよりはまともだとおもう。
>> 856
> IPS機能のないルーターをファイアウォール機器の無い自宅のネットワークに使うのは危険だから
> 自宅で使うなら家庭向きルーターのほうが良いという意見を目にしたんですが
まっとうなログ機能がない家庭向けルータつかうより、
ちゃんとログ機能のある IX2xxx使ってログをモニタした方がうんといいとおもうけど、
その「意見」なるものはどこかに書かれているのでしょうか?
心配で IDS (Intrusion Detection System)入れたいなら, linux にそれなりのツールを入れて動作したらどうかなとおもうけど、
14年近くIX2xxx をつかってるけど、そこまでの必要を感じたことがない。
まあ、しっかりACLルール設定して、一応モニターしてるけど、ssh プローブとか山ほど来てるのは分かるけど、そもそもサービス動かしてなければ問題ないし。 >>858
無理にix使う必要なし。
ヤフオクに放流してくれ。 皆さんありがとうございます。家庭にはまず不要ということですね。
>>859
> その「意見」なるものはどこかに書かれているのでしょうか?
すいません、5chのどこかのスレで見かけただけで、どこのスレかは紛失してしまいました
たしかに最近の家庭向けルーターにはIDS/IPS機能のついたモデルもあるしそういう考え方もあるなと思った次第です…
ログのモニタリングは大事ですね、今までバッファさせてただけですがpapertailにでも転送してモニタリングしてみます
ありがとうございます ipoe接続のconfig紹介してるページで
SMBとかのwin定番ポートフィルタ書いてないけど
ipv6だとノーガード戦法ok? 公式の設定ガイドに載ってる設定では外側からのパケットはDHCPv6とICMPv6と内側からのパケットに対する応答以外はブロックするようになってるでしょ IXいいですね
以前aterm使ってて定期的に通信できなくなる問題に見舞われてウンザリ(ログも見れないし)してましたがIXにしてからそのような事象は無い IX2105の中古をポチってLEDはそれっぽく点灯してる
だけどGE1にPCつないでもDHCPが来てない
手動でPCのネットワーク設定しても192.168.1.254が応答なく無反応
これは設定初期化されてない線が濃厚だよね?
コンソールケーブル買わなきゃダメか IX2105の時期によるのかもだけど、私の最近扱ったほとんどが初期化後、初期IPは設定されていなかった。
コンソールケーブルは必須 ああ、そうだったのか!
貴重な情報をありがとう
売主にゴラァしなくて良かった
IX2105当時の説明書がネットから消されてて分からなかった
IX2106とは初期状態が違うんだね 早速コンソールケーブルをポチらなきゃ
IX2105が激しく値崩れしてるんで下手するとコンソールケーブルの方が高いw
古いPC動員してシリアルで済ますならアマゾンの B005F7LN4K
USBなら B00JPFOTOY あたり?
(リンクはNG扱いで書けなかった) >>872
IXあるいは新しめの機器の相手しかしないなら後者で良いけれど、
個人的には前者と秋月電子のVE488のようなUSBシリアルアダプタを使うほうが好み
ネットワーク機器のシリアルポートが必ずRJ45になっているとは限らんので(Dsub9ピンがあり得る) >>872
IXあるいは新しめの機器の相手しかしないなら後者で良いけれど、
個人的には前者と秋月電子のVE488のようなUSBシリアルアダプタを使うほうが好み
ネットワーク機器のシリアルポートが必ずRJ45になっているとは限らんので(Dsub9ピンがあり得る) USBコンソールケーブルって今はドライバー要らないのとかあるのかな?
今使ってるやつWindows11でもドライバーが必須みたいで買い直そうかなと・・・ $ minicom -t /dev/ttyACM0
で行けそう >>872
アマゾンでコンソールケーブルを検索すると勝手にコンソールテーブルに置き換えられてしまいテーブルがずらずら出てくる
親切のつもりなんだろうけどアマゾンは浅はかと言うか低能だなー IX2215は室温24℃の環境で、横置きだと内部温度表示が55℃のところ、縦置き(底側は5mmほど浮かす)するだけで45℃以下になるね。
温度差があるから煙突効果が大きいね。 >> 878
> アマゾンでコンソールケーブルを検索すると勝手にコンソールテーブルに置き換えられてしまいテーブルがずらずら出てくる
そんなあほな、と思って調べたら確かに。
検索対象を パソコン周辺機器にしぼると コンソールケーブル USB という候補が浮かぶので、それ選んだら
無事でてくる。
ここで、一考した。コンソールテーブル と書いても USB 付けたらシリアルケーブルでてくるんじゃないかなと。
なんとグッドアイデアと思ったら 電源付きの細長いテーブルが沢山でてきた。
それはさておき私は自宅で使ってるIX2215 他の機器用に
Lontion Industrial 【CISCO互換ケーブル】FTDI chipset USB RJ45 コンソールケーブル
というのを昨年来購入して使ってることを購入履歴で確認した。
win10 からは特にドライバ必要なしで teraterm で使ってる。 そういえば久々にTeraTermProがメジャーバージョンアップして5.0になったね >>878 >>880
amazonは利用者が真っ当に使えることよりも自己利益が第一だから
テーブルの利益がケーブルよりずっと大きいということなんだろう
双方を両立させる能力はないw >>863
ix自体の[かんたん設定]の「通信セキュリティの設定」項目でレベル2を選ぶと
135と137〜139に445のwin関連ポートとループバックなどipv4定番フィルタを
自動的に書いてくれるよん >>863
ix自体の[かんたん設定]の「通信セキュリティの設定」項目でレベル2を選ぶと
135と137〜139に445のwin関連ポートとループバックなどipv4定番フィルタを
自動的に書いてくれるよん >> 879
> IX2215は室温24℃の環境で、横置きだと内部温度表示が55℃のところ、縦置き(底側は5mmほど浮かす)するだけで45℃以下になるね。
温度差があるから煙突効果が大きいね。
そんなに違うかと思って私も試しにちょっとした支え、といってもM.2 SSDの入ってたケースを下敷きにして、ディスプレイの後ろにたてかけるみたいな横着な立て方をしてみた。
それが数日前。前の方をケースで上げて、後ろはそのまま下につけるというとてつもない手抜き。これは人にはすすめられない。
今日温度みたら、これまで51度前後がずっとつづいてたのがなんと46度まで下がっていてビックリ。
結構寿命を左右しそうな違いだ。
参考になりました。ありがとう。 IX2106も横置きは47℃でしたが、縦置きにしたら41℃に下がりました。
横位置に排出口があるので、横置きにするとよろしくないのかと思っておりましたが、杞憂でした。 IX2106も横置きは47℃でしたが、縦置きにしたら41℃に下がりました。
横位置に排出口があるので、横置きにするとよろしくないのかと思っておりましたが、杞憂でした。 IX2106も横置きは47℃でしたが、縦置きにしたら41℃に下がりました。
横位置に排出口があるので、横置きにするとよろしくないのかと思っておりましたが、杞憂でした。 >>886
反響があって嬉しいです。
縦置きスタンドは公式ではもう終売なので、
Amazonの「ブランド: RHINOCATS
強力磁石 ネオジム磁石 強力マグネット 穴あき 超強力 ネジ付き 直径25mm 4個セット」
などを皿ネジ 3Φ×長さ10mmで脚にすると良いですよ。下駄代わりになるし、鉄板にガッチリ固定されます。
今日は天板にホールソーで80mmの穴を開け、内部にファン、外にファンガードを取り付けましたw
2215は電源から5Vを出力しているので、ファンの電源はそこから取れます。12Vの静音ファン(厚さ15mm)を5Vで回すので、ほぼ無音です。
内部温度は36℃になりました。自己満足ですね。 縦置きスタンドなら普通に買えるけど
ttps://market.nw-meister.jp/item/BI000005.html 2106のスタンドも別売りして欲しいわー
標準付属だから別には売ってないんだよなぁ
その割には中古でリースアップ品買うとほぼ100%付いてない…… 機能説明書の
2.38.8.1 デジタル署名認証 において
センタルータと拠点ルータ両方IXシリーズで通信成功した人いませんか?
拠点側で「Invalid AUTH signature.」が出て困っています。
証明書の作り方が悪いのかな…
strongSwanと通信した時は、strongSwan側で秘密鍵指定してたけど
そもそもIXでセンタルータやる時って、どうやって秘密鍵を指定するかも分からないし
機能説明書には、拠点側のコンフィグ例しかないし説明する気が感じられない… >> 887
> この時期だと室温も影響してない?
当然少しは影響があり、今日は44度まで下がった。
以前より48-51度前後でずいぶんあったかいなとおもってたから明らかに冷えてる。
中古で買ったし、あと何年使うか分からないけど、コンデンサーみたいな部品の事を考えると5度近く低いのは気分的に安心。 それ温度計の位置関係で誤差が大きくなってるだけなんじゃ
温度計の温度が下がっただけで通信部分の温度は下がってないかも >>895
ですが、自己解決しました。
pkcs12っていう便利なのがあるのね。
試してないけど pki private-key importで別途秘密鍵インポートしたら
自動で判別してくれるのかな >>897
その温度差の形成が空冷の基本原理ですよ。 縦置きにしたら煙突効果が生じるのは分かってるんだけどファンレスだからホコリがこんもり溜まってしまうんじゃ無いかと思い横置きにしてる >> 897
> それ温度計の位置関係で誤差が大きくなってるだけなんじゃ
温度計の温度が下がっただけで通信部分の温度は下がってないかも
ここ数日 横おきにした時に右側に相当する側を下にしておいて今朝寒いせいもあるのか43度だった。
で試しに、左側を下にして今10分くらいたったところなんだけどもびっくり。
温度が 56度になってる。正面からみて左側にコネクタ入れるところが集中してるから、そこでの発熱かな?
慌てて右側を下になるように戻してみた。あれえ、すぐに温度が戻らない。
ひょっとすると中に綿埃でもたまっていたのが温度センサー付近に移動したのかな?
現在仕事で利用中でちょっと蓋を開けるわけにはいかない。
ここ見てもどっちを下にしろというのは書かれてないようにおもうのだけども。
https://jpn.nec.com/univerge/ix/download_IX2215_STD_JNT_S.html >>901
取扱説明書にはその写真通り左側にスタンドを取り付けるように記されているよ >> 902
> 取扱説明書にはその写真通り左側にスタンドを取り付けるように記されているよ
その記述に気が付きませんでした。
横着して、前の方だけ台入れて後ろは下に付いたままというのが良くなかった模様。
ちゃんと後ろにも台いれて、2cm弱浮かせるようにしたら左を下にして今42度まで下がってます。
汗って、エアダスターで吹いてみたりしたけど、2分くらいしないと対流が安定しないみたい。一度流れが起きると後は調子よく冷えるようです。 始めて使うIX2105格闘メモ
Core i3 第2世代の古いPCをサーバにしてたんでシリアルポートが標準装備
これを使わないのはもったいないと >>872 のシリアルコンソールケーブルを購入
ようやく届いて接続
最初無反応で焦ったがminicomの初期状態がハードウェアフロー制御ありになってのが原因だった
# minicom -s で、9600 8N1 フロー制御なしに設定変更
設定保存して
$ minicom -D /dev/ttyS0
これでやっと
Router#
が出た
続く >>869 は正しかった
中古購入はコンソールケーブル必要
説明書は工場出荷状態でIP接続可と書いてあるが、スーパーリセットで設定が全部消えるようだ
IPアドレスとか消えて工場出荷状態とは異なっていた まずはコンソールからコマンドでLAN側のIPアドレス設定しwebアクセス許可
この辺もだいぶ試行錯誤したがネット公開されてる800ページのコマンドリファレンスマニュアルのどっかに書いてある
これでやっとブラウザから設定できるようになった 中古購入したIX2105があまりに古くてファーム 8.10.11B
これでは話にならないのでバージョンアップしなきゃならない
ネット情報通りに手続きして新ファームを入手
しかし「掲載終了」の不穏な文字が
IX2105はEOLまで1年切ってファーム入手もできなくなりそう
IX2105を活用したい人は今のうちだ急げ IX2105のファームは 10.2.42 が最終らしい
1年前から更新されていない
掲載終了直前の滑り込みでぎりぎり入手できた
web設定画面から早速アップデート
無事成功してやれやれ助かった
これでIX2105を活用できそう >>907
default-console web IXってスタティックルートでネクストホップにFQDN指定出来ないのか…
netmeisterのddnsのfqdn向けにスタティックルート書きたいんだけど
tunnel以外で方法ないのかな コンソールからバージョン確認
Router(config)# sh fl
Codes: M - Main-side, B - Backup-side, N - Newfile, R - Runnable
A - Active-file, + - Next-boot, * - Bootmode-entry
Length Name Status
4335525 ix2105-ms-8.10.11.b.ldc B
6545803 ix2105-ms-10.2.42.ldc MA
[11002656 bytes used, 3143506 available, 14146162 total]
13824 Kbytes of processor board System flash (Read/Write)
Router(config)# >>913
route-mapでのネクストホップ指定って
set ipv6 next-hop
ですよね?
fqdnでの指定が出来ないですが、他に方法があるという事ですか? たしかに、ip access-listでこんな感じでドメイン指定できた気がするよ
ip access-list list1 permit ip src any dest-domain 5ch.net >>916
>>917
すいません自分の書き方が悪かったと思うのですが
提案いただいている方法はネクストホップの指定では無いですよね?
宛先のマッチとして ではなくてネクストホップにfqdnが指定したかったのです ネクストホップの指定って直接接続されてる相手しか意味ないけどそれをDDNSのFQDNで指定したいってどんな状況?
>>916からするとIPv6の話のようだけど、プレフィックスが変わったときへの対応ならリンクローカルアドレスで指定すればよいのでは? 人に聞いておいて提案してもらったことについて何故エラそうな雰囲気で反論しているの?
勝手に自分で調べろや! NexthopをDNS解決するような状況が想像出来ない…
ipsecやtunnelの対向なら分かるけど >>918です
自分の書き方のせいで不快な思いをさせてしまった様で申し訳ありません…
状況としては、NGN内の拠点から他のNGN拠点に対してtunnelではなく直接パケットを転送できないかと考えています。
NGNによって配布されたipv6は半固定であり、ネーム機能やNetMesterのダイナミック等のDDNSを用いて皆さんipsec等を
貼ってらっしゃるかと思います。
今回tunnel等張らずに直接パケットを転送したいので、宛先として他拠点のNGNから配布されたグローバルipv6を指定したいのですが
それに、fqdnが使えないかなと思った次第です。
NGNならL2での到達性があるはずなので、ネクストホップとして他のNGN拠点のアドレスを指定できると思っていたのですが
そもそも、その考えが間違っているかもしれません。 その他拠点に対して本当に1ホップで到達できるのか、tracerouteくらいはしてみた? >>923
NGNはL2到達性があるってどこ情報?その前提が誤り。そもそもなんでtunnel使いたくないの?状況がわからん… >>923
IPv6での自然なL3ルーティングでNGN網内加入者同士到達可能、という話を、L2到達性あり、と取り違えしているのでは…? NGNは全加入者L2フラット。。。
/64でも各家庭に平均ホスト10台で2000万回線で足りるか。。。
2億個のNDP扱える機器しゅごい。。。 直接パケットを転送したい
の意味が良く分からんけどトンネルを使わず他拠点とNGN経由で通信したいということ? 突っ込みすぎるとイジメになるが、
トンネルだって皮側は直接パケットの転送が必要だぞ。 >>923です
色々と誤った認識をしており、勉強不足でした。
基本的な事から、整理して1つずつ進めていこうと思います。
皆さんご指摘頂いてありがとうございます。精進します。 何だ、ちゃんと答えず逃亡しやがったか
トンネル使わず単純にNGN経由で通信すれば解決かな なにをしたかったのかもう少し具体的に書いて欲しかった…
モヤモヤして眠れないよぉ… >>930
元投稿からすると「直接」の意味はルーター介さずということなんじゃ? フレッツv6オプションの話とかソフトイーサが配ってる広域イーサネクストとかその辺の話を読んでおくとよいと思う。
NEC IXとは関係無しに。フレッツ光ネクストで実現出来る事に関しておそらく誤解がある。 知らないことを知らないパターンだな。
だれもが通り過ぎる道だから気にすんな。 >>883
自動で書いてくれるフィルタールール、貼り付けてくれないかな。
見てみたいんだけど、今動いているIXで[かんたん設定]すると、
既存のコンフィグ壊れるんじゃないかと思って。 >>883
自動で書いてくれるフィルタールール、貼り付けてくれないかな。
見てみたいんだけど、今動いているIXで[かんたん設定]すると、
既存のコンフィグ壊れるんじゃないかと思って。 現在コミュファ光をIX2215を用いて自宅で使っています
Web上の記事などを参考にシングルセッション・デュアルスタック接続を試していますがIPv6接続がうまく行きません
元々NetMeisterに惹かれて使い始めたのでv6については詳しく無く
コミュファ光でシングルセッション・デュアルスタック接続を利用されている方がいらしたら
コンフィグなどご教示お願いいたします >>937
保守管理→設定データの管理で保存しときゃ元に戻せる
>>939
自分のを晒さなきゃレス付かないと思うぞ >>939
qiitaにYAMAHA RTXの事例とアライドテレシスARでの事例を乗せてる人がいます(URLは自分でググって)
この記事の事例の趣旨をよく読んだ上で、IX用に設定事例集のIPv6 PPPoE事例とIPv4 PPPoE(端末型)事例を混ぜて設定を書いたらいいのでは。
コミュファ配布のホームゲートウェイの設定でIPv6チェックボックスを外しておく必要があるというのを見落とさないようにしましょう。 ファーム更新が止まっているような気がするけど、ixは終わりなのか? ネットマイスターDDNSもV6で認証取れてるのにどうしてもNGN網VPNが繋がらない
設定もほかのグループと何ら変わらない
拠点側から別のセンターにはつながるのにどうしても今回のセンターには繋がらない
センター側の問題だと思うけどどうしてもわからない
回線の相性?なんかでNGN網VPNが繋がらないとかあるの? 結局人手で設定された機器をいくつも経由して通信してるわけだから特定の拠点間の経路で問題が発生する可能性はないとは言えないんじゃないか
個人回線での話だけどNURO光でNURO拠点の設定がおかしくて家庭回線に異常が発生してただかって話を聞いたことがある
NURO Bizだったりする?
話が逸れたけどその拠点間で通信が届くのかpingやtracerouteは試してみました?
コンフィグは同じとのことだけどネットワーク構成も同じなの?UTMとか挟んでたりする? >>944
NGNだとtraceroute応答くれませんので雰囲気エアプはROMってることを推奨致します 同じ県内でONU直IXですのでUTM等もありません。 >>941
939です
レスくださりありがとうございました
もうちょっと試行錯誤してみます >>943
そのセンター側は今回新規構築だけれどフレッツ回線そのものは既設のものを使いまわしたとかいうことはありませんか。
いまフレッツ光ネクストを新規敷設すると標準設定で加入者間通信が可能ですが、フレッツ光ネクスト開始当初はそうではありませんでした。この場合フレッツ網内のサービス情報サイトで設定を有効にする(無料)あるいはNTT東西に申し込む(有料)必要があります。
詳しくは「フレッツv6オプション」で検索してください。開通時の通知資料が必要です。
これは網側の設定なので、IXの選定をいくら眺めてもわかりません。 >>953
v6アドレスはもらえていてNetMeisterのDDNSもv6で認証できているのですが
それでもv6オプションが外れていることはあるんでしょうか?
ちょっと遠方なのですぐに次の行動がとれないのですが考えられることがあればまとめておきたいです。 >>955
フレッツIPv6オプションの事情についてはIIJのてくろぐの以下の記事が参考になります。
【試してみた】IPv6「ネイティブ接続」 https://techlog.iij.ad.jp/archives/210
これ以外の資料を見ましても、フレッツ網側から降ってくるIPv6アドレスの3バイト目が2ならばフレッツIPv6オプション有効化済、
0ならば無効状態、と見てよいようです。
今回当該回線で3バイト目が2であるようなら>>953の内容は空振りということで、どうか御放念ください。 ほー、知らんかった
そうだったのか
手元の回線は02になってた IX2025の使い道ある?
DS-Liteには対応しているが。 前からきになってたんだけど、WEB UI で最初に出てくるインターフェイスの状態表示で送信量が0%と表示されてる。
config で何か特別なコマンド入れておかないと転送量とか表示されないのかな?
それともこれは、直前の単位時間の流量の話しで、個人でウェブ見たりしてるくらいだと0%にしかならないものなのか?
検索して見つかる トレーニング資料でもここのところ 0 になってるのでそういうものなのかとおもったが、ずいぶん広く面積つかってるところだから
意味ある数値(たとえば過去の転送量総量とか)を表示してみたいなと。 >>961
回線使用率の測定間隔のデフォルト値が60秒になっているのでもっと短く設定しておいてスピードテストサイトにでもアクセスしてみては?
utilization DEVICE-NAME int INTERVAL
DEVICE-NAME...デバイス名
INTERVAL...測定間隔(秒)
. 範囲: 1~65535 >> 962
ビンゴでした。
5秒間隔にして つないでるPCの一つで fast.com にアクセスしたら
65%とかでてました。
普段の1分では 0%意外を見たことがありませんでした。
Firefox で fast.comの表示したら1Gbps 超えるはずがないのに、2.1 Gbps とか出てるから、Firefox のJavaScript エンジンのバグかな? すみません質問させてください
IX2106を使用していますがスーパーリセットされてもいいようにデフォルトコンフィグに現在の設定を書き込むことはできるのでしょうか? >>872
コンソールケーブルの代わりにコンソールロールオーバーアダプタというのもあるらしい
https://www.startech.com/ja-jp/cables/rollover
かさばらず便利そうだけどどういう仕組みなんだろ
コンソールのシリアルをイーサネット上のIPに変換するってことだよね?
IPアドレスとかポートとかどうなってんの? >>967
TCP/IP使えるなんてどこにも書いてないんだが
単純にピン配置をEthernetケーブルから変換してるだけだと思う >>967
それきしめん持たなくてもLanケーブルで事済ます変換コネクタ PC側もLANケーブル使える変換アダプタが必要になる気がする シリアル(DSUB9)→DSUB9、RJ45変換→LANケーブル→上記のコネクタの繋ぎ
普通LANケーブル以降をロールオーバー使う 誰かixへの外部L2TP接続をFreeradiusで認証させた事ある人居ませんか?
FreeRadius側のログでは認証OKのログ吐くんだけど、肝心なリモート端末からのIXへのL2TP接続が成功しない… >>975
IX側のパラメーターとfreeradius側のパラメーターもくれないと
エスパー能力だけでは、ちょっと PPPoE接続しているルータで、firewallにpermit any from private to privateを書かないとLAN内の端末同士及び、端末からルータ宛(telnet等)の通信できなくなる認識であってますか?
エロ詳しいひと教えてください。 >> 978
ブロックしたいもののルールを多数つくって、外側インターフェイスはセキュリティ的に丁寧にブロックして
(ipv6の場合)
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic timer tcp-idle-timeout 900
ipv6 access-list dynamic timer udp-idle-timeout 300
ipv6 access-list dynamic dflt-list access permit-list
とかして、
で、内側インターフェイスに
ipv6 enable
ipv6 nd ra enable
ipv6 nd ra other-config-flag
ipv6 filter denyudp1900 1 in
ipv6 filter dflt-list 100 in
とかしてるなあ。IPv4 も同様。ベースはもう10年以上前に作ったものに手を入れて来てる(当時はIPv6なんてなかった)ので詳細は忘れた。 >> 980
> おいおい、IPv6は前世紀からあるぞ。
そうでした。言葉足らず。私の家に来る回線でIPv6が使えるのは当時はなかったと。
ようやく数年前からNifty 経由で IPv4 over IPv6 のサービスつかっています。
IPv4のポート番号が外側ではすべてを使えなくなってちょっと面倒なことになってますが、それは外側にサービス出している物だけの話。
それ以外は快適に使えてます。
fast.com の速度測定も時間帯によりますが、750Mbps とか出てるし。
元の人はどこのインターフェイスにつないでいるかに寄りますが、そこに適宜ブロックしたいルールを入れて、
通したいものを許すルールを最後に指定するみたいな枠組みで行くはずかと。
どのモデル使ってるのかと、どのインターフェイスに内側LANつないでるかを説明してもらえればもう少し詳しいフォローあるかも。
この当たりの詳しい話はマニュアル読めになってしまいますが、
設定事例集見たりすれば参考になるかな?
https://www.support.nec.co.jp/View.aspx?id=3170102600
だけど、今気づいたけど簡単な設定だと「firewallにpermit any from private to private を書かないとLAN内の端末同士及び、端末からルータ宛(telnet等)の通信できなくなる認識」は間違っていて通信できちゃんじゃないかな。
どこのインターフェイスにつないでるかに寄るのでそのあたりを書いてくれないとコメントつかないとおもうけども。
作業上必要なので私の場合LANの中のPCから別のPCやあるいは ルータには telnet や ssh はできるようになってますね。
それは ipv6 access-list permit-list permit ip src any dest any が最後にあるので前の方のルールでブロックしてないものはつないでねということなので。
そんなわけで、どういうつなぎ方をしたくて、どういうルールを定義してるかを開示してくれないと一般論ではこたえられないのではないかと。 内側はハブモードになってるから通信のブロックはしてないでしょ? ファームの更新が止まっているような気がするけど、撤退ですか? 半年ぐらいなら運用に困るようなバグは無いって事だろ
一年放置されたら気になるな IX2105で設定事例集10.8の2-4ページと同様のBGP設定したら、フルルート喰ってメモリ不足で死んでしまう。
今のところ出口が1つだけなので受信した経路を全部捨てて、自分の経路広告だけ送信したい。
どうすりゃいいの?
設定事例集Ver10.8 2-4ページ
Router# enable-config
Router(config)# router bgp 65500
Router(config-bgp)# neighbor 10.10.10.2 remote-as 65501
Router(config-bgp)# address-family ipv4 unicast
Router(config-bgp-af4)# network 192.168.1.0/24
Router(config-bgp-af4)# exit
Router(config-bgp)# exit この辺見れ
ttps://jpn.nec.com/univerge/ix/faq/bgp4.html#Q1-3 おお、ありがとう。
deny anyにしてinだけ適用すればできそう。
マニュアルばかり見ててFAQに気づけんかった。 >>985
バグとは違うけどBGPのIPv6対応(BGP4+)したんだっけ? 機能説明書 Ver 10.8
BGP4 関連
・BGP4+には対応しておりません。
・4 バイト AS には対応しておりません。 ixを買い替えたとき、ダウンロードサイトに関する誓約ってしなおすんでしょうか。 >>994
回答ありがとうございます。
Netmeisterの使用期限が来ると警告があり、機材もくたびれてて色々買い替えなきゃと焦ってましたので助かりました。 1000ならバージョンアップで BGP4+ と 4バイトAS に対応 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 586日 16時間 1分 53秒 5ちゃんねるの運営はUPLIFT会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《UPLIFT会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
4 USD/mon. から匿名でご購入いただけます。
▼ UPLIFT会員登録はこちら ▼
https://uplift.5ch.net/
▼ UPLIFTログインはこちら ▼
https://uplift.5ch.net/login レス数が1000を超えています。これ以上書き込みはできません。
