NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです 【公式サイト】 UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC http://www.nec.co.jp/ixseries/ix2k3k/ 関連スレ ・宅鯖に最適なルータは? @ ウィキ http://www39.atwiki.jp/takurouter/ ・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc) http://engawa.2ch.net/test/read.cgi/network/1013516441/ ・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし) http://pc11.2ch.net/test/read.cgi/mysv/1199977508/ 前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7 http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ >>216 いやほんと継ぎ接ぎして書いたconfigなので、その指摘で正しいです。私が貼ったフィルタ名で検索すると出典元が出てきそう。 フィルタだけ有って設定してないものも何箇所か散見されますね。コメントアウトするか削除すべきでしょう。 ご指摘ありがとうございます。 いろいろなサイト様と設定事例集と見比べつつ比較して見るんですが、みなさん個々のポリシー持って組まれてるんで、 だんだんワケがわからなくなるんですよねえ。本来は、ネットワーク設計があって、それを実現するためのconfigを書けばいいわけなんですが 元々家庭用ルータがあり、それの置き換え(早く動かしたい)という感じで使用開始したため、結局コピペコンフィグに。 とりあえず暗黙のdenyとNAPTが果たす簡易FW(副次的作用のFWか?)で、ひとまずの危険は回避しているという認識ですが、 LAN→WANへのお漏らし徹底という意味でも、まともなフィルタ設定を書く必要有りですね。 >>208 過去スレの再掲っていう意見も出てるっぽいけど、わざわざ有り難う。 サーバー公開用のフィルタこちらで追加すればいいからそこは問題なさそうだ。 >>スレの先輩方へ 静的フィルタでいちいちポート指定しててもいいけど、設定行も増えるし、動的フィルタを用いてLAN→WANを全許可しつつ、個々にまずそうと思われるポートは静的フィルタで、 LAN→WAN、WAN→LAN方向双方ともに塞ぐというのがベストなのかな。理解が乏しくて申し訳ないけど、ご教示ください。 うちもVPN使っているけど、利便性と速度考えてSoftEther使ってます。オープンソース版だと鍵認証できないから本来はセグメント分けたり対策が要りそうだけど特にやってない。 結果として同じように設定出来るの技を持っているのであれば、あとは好みの問題だわな 使用しているソフトウェア(OSを含む)がどんな種類のプロトコルと何番のポートを使って通信するかを正確に把握した上で、 その都度パケットフィルタの追加・削除をきちんと管理出来ますと言うのであれば静的フィルタでも良いだろうけど、それを 面倒だと感じるなら動的フィルタって感じ 俺は別にネットワーク機器やサーバーのマニアじゃないし、報酬もらって仕事でやるならともかく自宅でまで面倒なことしたくない から動的フィルタ使ってる プロトコルやポート毎じゃなくてソフトウェア毎に個別に許可する/しないをやりたいのなら、それはIXじゃなくて パーソナルファイアウォールの仕事 >>222 参考になります。 とりあえず公開サーバー系は別に考えるとして、それ以外はLAN→WANを動的フィルタで全許可。それ以外は暗黙のdenyで拒否という設定に改めようと思う。 また分からんくなったらきます。ありがとう >>222 >>213 の書き込みは俺ではないよ。昨日はクタクタで変なレスが付いてるなあと思ったんだけど。酉つけとけばよかったな。 文体も全く違うし、気づいてもらえてると思うけど一応。 公開するサーバーの使用ポートがsrv-passグループのやつで間違いないっていうなら あとは ip napt static 〜 ってやってLAN内のサーバーと紐付けてやればNAPT越しにサーバ公開できる VPN以外はHTTP(S)とDBとVNCとSSHってところか ほう 至高はどこなの?YAMAHAが好きだが、やっぱりししゅこたん? >>225 ありがとう。とりあえずフィルタはpermitのみ記述、公開ポートはNAPTで転送という形に変更したよ。 つぎはぎで無駄になってたフィルタもごそっと削除。 ところで、中国系のDOS攻撃排除を目的に、下記の様なフィルタを作成したんだが ip filter nochina 5 inを追加するとネット不通になる。(out側でフィルタしても同様) これはなぜだろうか。度々申し訳ないがご教示のほどお願いします。 フィルタ部分 !全許可 ip access-list all-forward permit ip src any dest any !ググッて出てきた中国系IPを一括して列挙(多すぎるので1件だけ) ip access-list nochina deny ip src 1.0.16.0/20 dest any !XP等非サポートOSをインターネットに出さない ip access-list noxp deny ip src 192.168.50.110/32 dest any WAN側IFにoutで適用 interface FastEthernet0/1.1 encapsulation pppoe auto-connect ppp binding interlink ip address ipcp ip napt enable ip napt service (略) ip filter nochina 5 in ip filter noxp 10 out ip filter all-forward 65000 out no shutdown >>230 静的フィルタってやってんのかな? nochinaグループのいずれかに含まれるIPにアクセスしているけど、 相手から折り返してくる通信をinで弾いているから、PCまで返ってきてないんじゃないの? 1.0.16.0/20 これ日本のアドレス空間みたいだけど? >>231 ありがとう。あちゃー。日本のIPか…。googleにアクセスした時点でタイムアウトするから、全く使い物にならんよ。 元ネタはipv4.fetus.jp/krfilterからcn,kr,kpのアドレス一覧をもらってきて、エクセル;秀丸で整形して流し込んだ感じ。 公開しているWEB類は、保守の手間とか考えてさくらのレンタルサーバに逃がしてるんだけど、テスト用のページとか、owncloudとか立ててるもんだから そのへんからのアクセスを弾きたくて設定してる感じ。 >>281 のコメントを参考にする限り、中・韓・北朝鮮のIPだと思っていたリストに日本のIPが多数混入している感じだね。 見なおしてみるよ。 >>232 ドメインの末尾が.jpで終わるホストからのみのアクセスにしたいと言うのであれば、 ip access-list srv-pass permit tcp src src-domain *.jp sport any dest [サーバーのIP] dport eq 80 こんな書き方も出来るけどね 詳細はコマンドリファレンスを見てくれ >>231 別のサイト、filtering.web.fc2.com/iptables_cnkr.shからブロック対象一覧を持ってきて、 interface FastEthernet0/1.1 (途中略) ip filter nochina 5 in ip filter noxp 10 out ip filter all-forward 65000 out と設定してみた。その後、8.8.8.8(Google)へpingを打ったところ通らなかったな ブロックリストには8.8.8.8が含まれていないのは確認済み。 リストが悪さしているのは理解できるが、じゃあどうすれば?というところで躓いてしいました。 >>233 リロードしておらず見落としてました。ありがとう。 話とは関係ないんだけど酉が頻繁に変わるのなんでだろうな…入れてる文字は変わらないんだけど タイプミスなのかどっかに空白が入ってるのか…。 >>233 ごめん 正しくは ip access-list srv-pass permit tcp src src-domain .jp sport any dest [サーバーのIP] dport eq 80 で、アスタリスク入れたらダメかも >>234 >>234 静的フィルタだから、恐らくin側フィルタに戻りの通信(established)を通す設定をしてやらんとパケットが返ってこないよ 全部暗黙のdeny anyで弾かれてる pingが返らないのも同じ理由 ip access-list [適当な名前] permit icmp src any dest any ip access-list [適当な名前] permit tcp established src any dest any か ip access-list [適当な名前] permit icmp src any dest [プライベートアドレス空間] ip access-list [適当な名前] permit tcp established src any dest [プライベートアドレス空間] で定義して ip filter [適当な名前] 65000 in 暗黙のdenyって何回も捕捉で説明されてるのにまだ忘れてて草 そもそもNAPTのテーブルにまず載らないものを執拗にフィルタリングしようとしてるけど意味あるの? 実環境でカウンタが上がることがあるのか試してここに書いてほしいね。 Atermとかの家庭用ルーターのパケットフィルタだと『暗黙のダイナミックフィルター』になってて 何もする必要うないから違いにとまどってるのかなぁ >>239 NAPTテーブルに存在しない物は結局でdenyされるのでそれは良いのですが、公開サーバーの海外からのIP弾くにはどうしたら良いのかなと思った次第です。 apacheの.htaccessにdenyを書くというのも一つの解決策でしょうが、別ポートでやられると面倒です。 OS側のFWでipfilterを書いても良いのですが、面倒…内側からは好きに使いたいというのもあり、そういうことはルーターで一括でセッティングしてやりたいなと思った感じです >>237 ありがとう。教わった設定を投入してみたんだけどやっぱりダメだなあ… 昨晩遅くの事なのでターミナルログも残っておらず具体的な説明が出来なくて残念なんだけど。 今週は原因追求の時間が取れないので、残りは週末の宿題になりそう。 海外からのip弾くのはやっぱアクセスリストかかないとなー でもそんなんじゃ気休めにもならないなー だって攻撃してくるipは無数にあるし、常時変わるわけだから >>242 >>236 はFQDNで対応するし、サーバーで使用するポートについて1行書けば済むから楽だよ まあ人それぞれ気に入ったスタイルがあるだろうから、それ以上は何とも言えないけど ドメインで書くってことは都度(?)逆引きするってことだし、 逆引きするってことは example.jp を返されて騙されることもあるし、まぁ一長一短でしょう。 逆引きの結果ってしばらくキャッシュしてるのかな。試したことないな。 dns cache enableってやってなければIXではキャッシュしないでその都度問い合わせだろう コマンドされてないのに勝手キャッシュしたとしたらファームウェアの欠陥 >>237 3ウェイハンドシェイクを考慮すると、establishedの前にackフラッグも受けるようにしないと駄目かもな 正直、書き方はもう提示されたんだから素直にdynamic filterにしとけと言いたいが 昨日説明書の2.21.3.2 DNSアドレスデータベースを見るんだ! NECとか大手メーカー製のいいところは仕様がちゃんと書いてあるところ FQDN指定のアクセスリストはポリシールーティングにしか使えないよ 数日来れなかっただけで結構レスついてて嬉しいわ。週末にコマンド投入してみます。 >>243 ,>>236 アクセスリスト大量に突っ込んだらコンソールの動きがちょっとカクつくレベルになってしまった。 確かに、許可するFQDN絞ってホワイトリスト方式で設定したほうが楽かも。設定行数も短くなるし。 質問あります。 BGPで経路を制御したいのですがiPセグメントごとに経路って制御できますか?例えば奇数のセグメントはルータA、偶数のセグメントはルータBとかです。同じAS内なのでルートマップとローカルプロフェンスで重みづけすればできると想定しているのですがうまくいきません。 ご教授の程、宜しくお願いします。 ローカルプレフで重み付けすれば、 自asから出ていく経路は制御できるけど、 たしか戻りを経路制御するにはmedをつけないといけなかった気がする。 bgpの特性で同一asの経路制御って難しいよ。 act-standbyのルータセット毎に 別々のプライベートas割り振って 無理やりやってたなー V9.3.11 Web設定画面でログインしてもコンソールにゴミが出なくなった。 常時接続VPN (IPSec, IPv4 over IPv6 tunneling) が安定した。 V9.2.XX まではなんとなく不安定だったけど、今回は今のところいい感じ。 ↓これはウソだった・・・ Web設定画面でログインしてもコンソールにゴミが出なくなった。 ゴミって言うか、何時何分に誰かがログインしたぞって通知じゃないの? むしろ、それを表示させなくするっていうのがあり得ないだろ 書き方が正確じゃなかったが、ゴミは本当。 Web設定画面にアクセスするだけで、コンフィグモードのコンソールに V9の初めの頃は、まさにゴミ(意味不明な文字列)がコンソールに出力されてた。 最近のファームでは、何らかの不可視コードが出力される。 V8までは起こらなかった。実害は全くない。 一度設定してしまえばtelnet/ssh/webのいずれかばかりになってconsoleなんて滅多に使わんからな ・・・・・・ とか言いつつ、万が一に備えてスーパーリセットとファームのアップデートの時には使うな 9.3.11でヘアピンNAT対応か。 かなり前にYAMAHAルーターとの比較でたびたび話題になったことがあったと思ったが内容を忘れた。 NAPT関係の強化が多いな。 キャッシュサイズのデフォルトを4096から65535へ変更ってのは大胆なことで。 PPTPのマルチ対応は何気に嬉しい奴がいるだろうな。 内蔵のOpenSSLが更新されているので企業ユーザは更新必須だろうな。 早速9.3.11にアップしてみた PPTPマルチはうれしいな でも、トップページの右上に前回ログイン日時が表示されないのはオレだけか? 最初に無がああった 無は有を生んだ これが全ての真理 9.3.11が出たというのに書きこみが少ないな もうIXはあまり使われていないのだろうか RTXのほうが使いやすいのかね そらRTXだろうなぁー中古で手に入れてもFWで苦労しないし 最近は自社APやハブと連携したり、可視化を推進してるしな おまえらはよくセッション処理云々で叩くが、 1210出た今それでもNECじゃなきゃ無理ってのは少数派だろ まあファームウェアをバージョンアップしたところで劇的なスピードアップとかがあるわけでもなし 新機能にしたって、それを使う環境でなければコメントのしようがないしな かくいう俺は普通のBBルーターとしてしか使ってないから、アレすると再起動コレすると再起動ってのが 修正されていればいい その勝手に再起動の場面にすら出くわしたこと無いけど NEC UNIVERGE IX2105でフレッツ光NGN(IPv6)の疎通不可、PING通らず フレッツ光ネクストのNGNにipsecトンネルを通したかったのですが、全く疎通できませんでした。そこでもっと簡単なコンフィグ【2】を用意したのですがping6すら通りません。 フレッツ光のサイトにはアクセス出来、IPv6のアドレスを確認したりネームを設定することは出来ています。NGNで通信する際に、他に必要な設定などはありますでしょうか?また以下のコンフィグに誤りや不足などありますでしょうか? ■前提 NNNN:NNNN:AAAA:aaaa::2 拠点AのIPv6グローバルアドレス NNNN:NNNN:BBBB:bbbb::2 拠点BのIPv6グローバルアドレス ※show ipv6 interfaceで確認済み ■コンフィグ【2】(拠点Aのみ) ip ufs-cache enable ipv6 ufs-cache enable ! ipv6 route NNNN:NNNN:BBBB:bbbb::/64 GigaEthernet0.0 ! ipv6 access-list flt-list permit ip src NNNN:NNNN:BBBB:bbbb::2/64 dest NNNN:NNNN:AAAA:aaaa::2/64 ipv6 access-list flt-list permit icmp router-advertisement src any dest any ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any ! interface GigaEthernet0.0 ipv6 enable ip ngn enable ipv6 interface-identifier 00:00:00:00:00:00:00:02 ipv6 address autoconfig receive-default ipv6 filter flt-list 1 in no shutdown ! interface GigaEthernet1.0 ip address 192.168.10.254/24 no shutdown pingすら通らないってのはどうなんだろ v6オプションは入ってる? ipv6 route NNNN:NNNN:BBBB:bbbb::/64 GigaEthernet0.0 receive-defaultだし、これ消したらどうすか >>270 v6オプションは入っています >>271 今から試してみます。 宜しくお願いします。 ぴろたん >>271 ipv6 route 〜 を消しました。 PINGの結果は以下のとおりです。 Router(config)# ping6 NNNN:NNNN:BBBB:bbbb::2 PING NNNN:NNNN:AAAA:aaaa::2 > NNNN:NNNN:BBBB:bbbb::2 56 data bytes ICMP destination unreachable from NNNN:NNNN:AAAA:aaaa::2 code = 3 --- NNNN:NNNN:BBBB:bbbb::2 ping statistics --- 5 packets transmitted, 0 packets received, 100% packet loss 1 unreachables code = 3 なので経路が分からないようです。 NGNの経路情報提供サーバーからprefixを取得するなどの必要があるのでしょうか? 宜しくお願い致します。 ぽぱたん >>273 実際経路はあるんですよね?アドレス付いてるんだからあるはずですが… あとは、対向も同じ設定だとすると、フィルタでping6落ちてる気がします >>274 ID:???様 双方のルータにそれぞれ ipv6 access-list flt-list permit ip src NNNN:NNNN:AAAA:aaaa::2/64 dest NNNN:NNNN:BBBB:bbbb::2/64 ipv6 access-list flt-list permit ip src NNNN:NNNN:BBBB:bbbb::2/64 dest NNNN:NNNN:AAAA:aaaa::2/64 を加えましたらPINGが通りました!☆ ありがとうございました。 WebGUIに拡張ページが追加になったんだが、なんか便利な使い方あるかな? logging timestamp datetime logging subsystem flt warn 入れてping打つと 弾かれてるんかそもそも来てないのか分かるね NGN網内でipsec張れたらどれくらい速度出るか参考までに聞きたいです IPv4のIPSec VPNに一緒にIPv6も通そうと思ったんだけどうまくいかず。方法ないですかね? ip access-list sec-list permit ip src any dest any ipv6 access-list sec-list permit ip src any dest any とv4とv6で同じACL名作ってautokey-mapに指定してみたけどv6が通らず ipv6 access-list sec-list6 permit ip src any dest any とか、v4と違う名前にしてautokey-mapでsec-list6指定するとv6は通るけどv4は通らなくなる 片側が動的IPなのでグローバルIPで6-over-4が使えず、IPSec内で一緒に通せればと思ったんだけど… 今はIPSec内でプライベートIPで6-over-4してるけど、何か無駄だなーと 設定事例集5-27に書いてあるやり方を応用するのではいかんの? >>281 これだとv6のACL指定するので、v6しか通らなくなってしまうのです 具体的な応用案って何かあります? autokey-mapで指定するACLが v6のACLの時はTunnnelのモードがipsec (6-over-4)になり、 v4のACLの時はTunnnelのモードがipsec (4-over-4)になってた ちなみにv4v6同じACL名にしたときは4-over-4でした 46-over4みたいなモードがあればやりたいことが出来るんだと思うんだけど >>282 その発想はなかったわ で、とりあえず2本作って通せたっぽい ike policyは同じIPアドレスで2個書けない?みたいなので ipsecだけv4用とv6用で2個書いたら一応動いてるみたい ただ、やっぱ無駄感はあるけど… GREかEther IPでトンネル作って2個通すのが素直なんだろうか 時間あったらやってみよう とりあえずお二方ありがとうございました 特定セグメントをタグVLANで同一セグメントとして拠点間通信できますかね? wan間をタグで通せると思っていたのですが上手くいきません。 wan側はBGP.LAN側をスイッチをはさんでospfで回してるのが影響しているのかもしれませんが、 ご教授お願い致します http://jpn.nec.com/security-info/secinfo/nv15-019.html 影響の有無 影響あり Web コンソールを有効にしている場合、Web コンソールにログイン済みのユーザが、 細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があります。 対象となる製品のバージョン Ver.9.1.11 以前の全バージョン 知らんかった。Impressの WP1x00 シリーズのfirmware updateのニュース見て気づいた。 慌ててここ読みにきたんだが、中古で買ってfirmwareの更新可能性がなくて、ほとんどwebguiつかわない私には関係ないね。 ところで、記事さかのぼって読んできづいたんだが、 >>192 >>191 > それでも家庭用ルータなら同時接続できてる理由はよくわからないですねー > もしかしてUPnPで後から接続しようとした端末が優先されてるような状態なんじゃないですか? IX2xxx seriesはUPnPサポートしてないから、海外の拠点の内部での各PCへのNAPT経路が正しく設定されないのでは? (つまり、海外拠点のPCのクライアントはUPnPで、家庭用ルータに対して、自分が使いたいポート勝手に開けてるが、 IX2xxx シリーズ(あるいはもっと別のSOHO用ルータ?)ではUPnPが無いか、disableしてあるので動作しないとか。 次のようなものもあり、昔skypeで動作を確認した。 http://upnpproxy.sourceforge.net/ IXシリーズはupnp機能は無いね ip napt service とか ip napt static とかのコマンドで内部IPアドレスと紐付けてやるしかない でも、むしろそれが良いと思う 考えが古いかもしれないが、面倒なルーターの操作という手間を出来るだけ省こうとする家庭用ならともかく、 業務用でupnpはセキュリティホールに思えてならない configを見れば、どのマシンが何をやってるのかが推測できるのが良い 業務用的なのでUPnPがちゃんと乗ってるの少ないでしょ アライドやヤマハにはついてるけど、一応ついてるってだけで UPnPの動作や機能に関しては民生機の方がいいし >>284 言ってる構成がよくわからないけど、EtherIPを使うかWAN回線を広域イーサにしないとだめなんじゃない watch-groupでipv6監視、というかトンネル維持用のping設定しようとしたんだけどうまくいかず watch-group host 10 event 10 ipv6 unreach-host 2001:db8:1::1 Tunnel0.0 source 2001:db8:2::1 probe-timer restorer 60 probe-timer variance 60 network-monitor host enable しばらくするとstandになり、その後最終的にpacket buffer無くなって全通信ができなくなる コマンドで ping6 2001:db8:1::1 interface Tunnel0.0 source 2001:db8:2::1 すると通るので、指定するIPとかは間違ってないと思うんだけど なんか今朝CRASHしたんだけど(´・ω・`) 2016/05/25 08:30:34 +0900 CRASH: IX Series IX2010 (magellan-sec) Software, Version 8.3.49, RELEASE SOFTWARE 2016/05/25 08:30:34 +0900 CRASH: Compiled Nov 25-Fri-2011 10:29:23 JST #1 by sw-build, coregen-8.3(49) 2016/05/25 08:30:34 +0900 CRASH: Number of the crash 1 2016/05/25 08:30:34 +0900 CRASH: Exception Type, program 1 2016/05/25 08:30:34 +0900 CRASH: Number of the bughlt 1 2016/05/25 08:30:34 +0900 CRASH: Bughlt, Couldn't get memory in nls_ce_snd() 2016/05/25 08:30:34 +0900 CRASH: ******** C R A S H I N F O ******** Crash date: 2016/05/25 08:30:34 +0900 System uptime is 673 weeks 2 days 15 hours 19 minutes CPU is MPC8270A: PVR = 0x80822014, IMMR[16:31] = 0x0a10 2011年に作られたソフトウェアで13年も動作するわけないね そのカウンタもクラッシュしてそう UNIX時間的にまだ何かあるわけでもなしカウントできないことはなくね? YAMAHAは最近NVR700W/NVR510を発売したりして元気が良いのに、NECは元気が無いな IX2105でGE1のポート1配下にGS108Eをぶら下げてタグVLANを使っています IX2105とGS108Eは少し離れているところにあり、 IX2105のGE1の別ポートでもパソコンを接続したいと考えています VLANの知識がまだ浅いところもありますが、 このようなことは可能でしょうか 以下のようにポートVLANで分けて、bridgeさせてみるようにしてみましたが、 うまく動作しません bridge irb enable device GigaEthernet1 vlan-group 1 port 1 vlan-group 2 port 4 ! interface GigaEthernet1:1.1 encapsulation dot1q 11 tpid 8100 auto-connect ip address 10.0.0.254/24 no shutdown ! interface GigaEthernet1:1.2 encapsulation dot1q 22 tpid 8100 auto-connect ip address 172.16.2.254/24 bridge-group 1 no shutdown ! interface GigaEthernet1:2.0 no ip address bridge-group 1 no shutdown ! GE1のSW1番ポートにGS108E、4番ポートにPC PCは GE1のSW1番ポートにGS108E、4番ポートにPC、PCは"172.16.2.0/24"のセグメントでいいのかな? bridge irb enable ! device GigaEthernet1 vlan-group 1 port 1 vlan-group 2 port 4 ! interface GigaEthernet1:1.1 encapsulation dot1q 11 tpid 8100 auto-connect ip address 10.0.0.254/24 no shutdown ! interface GigaEthernet1:1.2 encapsulation dot1q 22 tpid 8100 auto-connect no ip address bridge-group 1 no shutdown ! interface GigaEthernet1:2.0 no ip address bridge-group 1 no shutdown ! interface BVI0 ip address 172.16.2.254/24 bridge-group 1 no shutdown ! これだとどう? 構成はその通りです おかげさまで動作いたしました。ありがとうございます。 ネットワークモニタとアクションリストで、サーバが落ちたらWoLで再起動を試み続ける設定を 下記のようにしていたんだけど、いつの間にかうまく働かなくなっていた。 以前はeventがstandしたら probe-timer restorer の秒数×(probe-counter restorer の回数+2)の間隔で アクションリストが実行されていたはず(CRM-ver9.3-1.pdf pp.469)なんだけど、 現状だと初めてEvent statusがstandになった瞬間に一回だけアクションリストが実行されるだけで、 それ以降アクションリストが繰り返し実行されない。 今回の例で言うと、初めてping応答が無かったときに一回だけしかWoLが実行されない。 pingが通らない間はWoLを送り続ける設定にしたいんだけど、何か設定間違っているだろうか? ! IX Series IX2105 (magellan-sec) Software, Version 9.3.11, RELEASE SOFTWARE ! Compiled Mar 09-Wed-2016 11:29:26 JST #2 ! wol terminal myserver mac aa:bb:cc:dd:ee:ff ip 192.168.0.32 interface GigaEthernet1.0 ! command-action list wol-myserver command 10 wol send terminal myserver ! watch-group alive-myserver 10 event 10 ip unreach-host 192.168.0.32 GigaEthernet1.0 action 10 command-action-list variance wol-myserver probe-counter watch 2 probe-counter variance 1 probe-timer restorer 4 probe-timer variance 20 probe-size 4 ! network-monitor alive-myserver enable IX2207を触る機会があったんだけど、底部がかなり熱くなるんだね。 まぁそれで運用しても問題ないことはNECも確認してるんだろうけど。 >>303 マニュアルに下記の注意書きがあるのでNECも確認済みですね IX2207の使用中や使用直後は、装置 底面が高温になる場合があり、やけ どのおそれがありますのでご注意く ださい。 >>304 ぁっ、そんな記述があったのね。PC1台つないでネットちょっとやっただけで熱かったから あれは縦置きで使ったほうが良いと思う。または逆さまで? >>305 普通に空調の効いているところなら特別設置方法を気にするほどじゃないですよ ただ、直接2台重ねるとかは良くないのでオプションのジョイントキットを使った方がいい ウチではIX2207を3台重ねているので、ホムセンで金具を買ってきてそれぞれが ジョイントキット使用時相当に間が開くようにしています http://imgur.com/a/N3D4o これで1年以上運用してますが問題は起きていません >>306 参考になりました。筐体の下に空間が欲しい気がしたけど、一番下の使い方でも問題ないということね。 >>307 そうです 因みに>>306 の3台で内部温度に差はありません もちろん同じCPU使用率での比較です >>308 内部温度が変わらなかったら寿命もそれほど変わらないね、基本的には。 そもそもUSB使わなかったら11W以下なのに、あれだけ熱くなるのが謎だけど。 5WのUSBで、缶コーヒーウォーマーだって出来るくらいですから IX2215との差別化のために敢えて欠点を入れた可能性が。 IX2015でフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, EtherIP) を構築するを行いたいのですが。 下記のURLの設定例で障害になるコマンドは、 ダイナミックDNS周りだけでしょうか? ttps://i.open.ad.jp/config/nec.aspx そして、ダイナミックDNS周りを解決する手法として、 下記のURLで解決する事が可能でしょうか? ttps://i.open.ad.jp/config/misc.aspx IX2015でフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, EtherIP) の実験の為に、 下記のサイトのコンフィグを投入した所、 DDNS以外にも、トンネル設定部分でエラーが出てしまいました。 IX2015は対向のアドレス記述をドメイン(FQDN)で出来ない様なので、 IPv6アドレスを直接記入するか、機種交換が必要と自己解決しました。 すいません、下記のサイトはコレです。 ttps://i.open.ad.jp/config/nec.aspx IX2015の使用は諦めて、IX2025.IX3010を中古で買いました。 PDと洒落で待ち構えてるので、神様、私に現在のファームをチョーダイナ。 ファーム乞食は久々だなあ 最新は ix2025-boot-15.1-gate-ms-9.3.11.rap ix3000-boot-29.3-gate-ms-9.1.14.rap まあ頑張れや 俺は流さないけどね 新品買うか、知り合いの会社に薦めて買わせるしかないね。 オレは後者の方法でファーム入手して、2015から2025に替えた。 2025はCPUが変わってるためか、体感で明らかに速くなって満足。 IX2215とstrongswan使って、IKEv2でTunnel接続しようとしたけど、 strongswan側で、以下のエラーが出て繋がらない。 generating IKE_AUTH response 1 [ N(AUTH_FAILED) ] 認証でこけてるのはわかったけど、IKEv2って認証回りがかなり変わってて四苦八苦してる。 IX間では、普通にIKEv2で繋がってるが、そっちは設定事例からの改変だったので特に苦労せず。 IX2215とstrongswan使って、IKEv2で上手く出来てるよって人いる? DNS.036: Received error status: No such name 前にも聞いたけど、リファレンス見ても何がエラーはいてるのか分らないし これどうしたらいいの?>< ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる