NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net

[0001 anonymous 転載ダメ©2ch.net 2015/07/24(金) 15:36:48.24 ID:???]

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
　http://www.nec.co.jp/ixseries/ix2k3k/

関連スレ
・宅鯖に最適なルータは？ @ ウィキ
　http://www39.atwiki.jp/takurouter/
・ＮＥＣ系装置勉強会(MM-Node,IP45,ATOMIS　etc)
　http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは？　4セッション目　(dat落ち、次スレなし)
　http://pc11.2ch.net/test/read.cgi/mysv/1199977508/

前スレ：NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/

[0461 anonymous 2016/10/29(土) 09:25:07.02 ID:???]

間違えた

192.168.1.0 255.255.255.0
　↓
192.168.1.0/24

[0462 anonymous 2016/10/29(土) 17:06:54.38 ID:???]

>>460
アライドは最近のAT-xなんちゃら系はほぼCisco互換

[0463 anonymous 2016/10/29(土) 17:27:47.27 ID:???]

YAMAHAも準拠させるだの何だの言ってなかったっけ？
勘違いかもしれんが

[0464 anonymous 2016/11/15(火) 20:43:04.74 ID:???]

IX2105や2215搭載のスイッチング・ハブのLAN端子相互の通信速度ってどのくらい出るの？
2Gbpsくらい出ますか？
アライドとかのハブの方がLAN端子相互の速度は早いの？

[0465 anonymous 2016/11/18(金) 11:44:31.80 ID:???]

リンクアグリゲーションについて教えてください。
NICを搭載したWindows側でリンクアグリゲーション設定すれば、
IX側では複数ポートをリンクアグリゲーションする必要はありませんか？

[0466 anon 2016/11/18(金) 16:40:41.23 ID:???]

http://jpn.nec.com/univerge/ix/faq/ethernet.html#Q1-9

設定例
device GigaEthernet2
port 1 link-aggregation 1
port 2 link-aggregation 1
port 3 link-aggregation 1
port 4 link-aggregation 1

[0467 anonymous 2016/11/18(金) 17:14:49.12 ID:???]

リンクアグリゲーションって、複数ポートを1個として扱って帯域確保するっていう
Ciscoで言うところのポートトランキングだよな？
2枚以上のNIC搭載したWindowsマシンで設定できるの？って一瞬我が目を疑ったんだが？

[0468 anon 2016/11/18(金) 18:45:05.52 ID:???]

IXはフェイルセーフしかできない。

[0469 anonymous 2016/11/18(金) 22:34:32.67 ID:???]

Windows側はNICのチーミングのことです
NICのチーミングして、更にIXでリンクアグリゲーション設定をする必要があるのかと

[0470 anonymous 2016/11/18(金) 22:45:05.32 ID:???]

ないあるよ

[0471 anonymous 2016/11/19(土) 12:49:21.73 ID:???]

>470
ありがと
だったらNICでチーミングさえしとけば、ルータやハブがリンクアグリゲーションに対応していなくても大丈夫だな

[0472 anon 2016/11/19(土) 13:07:34.26 ID:FDGKfPDN]

今日はみんな厳しいな

LAGを使うときは両側の機器に設定する必要があるよ。
PC側はNICチーミング、ルータはスイッチポートでLAG。
IXの場合はLAGはスタティックのみで、ダイナミック(LACP)には対応してないから注意。

[0473 anonymous 2016/11/19(土) 21:35:44.22 ID:???]

>472
そうだったのか〜
PC側のNICチーミングだけで良いんだったら、ネット線の接続先をIXとハブとかに装置を分けて変則的な助長化しようと思ったんだが
フェイルセーフだけでもできれば、倍速化は無理でも助長化にはなるから助かるわ

[0474 あの 2016/11/25(金) 02:00:53.22 ID:???]

どうせハブの部分の出口は1Gbpsなんだから直接繋ぐならチーミングでいいよ
LAGっても無駄よ

[0475 anonymous 2016/11/25(金) 21:00:30.28 ID:???]

xxx.net = xxx.xxx.xxx.xxx
みたいな設定ありませんか？

[0476 436 2016/11/25(金) 22:23:40.81 ID:???]

>>457 きっと私のことだな。つまり一言でまとめると勉強不足ということがよくわかりました。

みなさま、その節はお世話になりました。あまり時間が取れなかったり早合点していたり単純なミスに気が付かなかったりして時間がすごくかかりましたが、今日ようやくすべての端末がうまくつながるようになりました。
DHCPくらい書けるわ！って思っていたらうまくいかず…何が悪かったかというとip dhcp enableとしていなかったりDNSサーバーを設定していないためだったり…

構成など
| PR-400NE | | PC |
| 192.168.1.1 | | 192.168.111.xxx |
. | |
. | |
| IX2015-FE0/0 | | IX2015-FE0/1 |
| 192.168.1.254 |------| 192.168.111.254 |
. |
. |
. | IX2015-FE1/0 |
. | 192.168.11.254 |
. |
. |
. | WZR-300HP |
. | 192.168.11.100 |

ここをこうした
PR-400NE　静的ルーティング（ネクストホップはこれだな）を設定
192.168.111.0/24 --> 192.168.1.254
WZR-300HP 経路を追加（ここもネクストホップなんだな）を設定
192.168.111.0/24 --> 192.168.11.254　メトリックは5にした
WZR-300HPにゲートウェイ192.168.11.254とDNS192.168.111.254を設定してやると後はAOSSで自動接続されました

[0477 436 2016/11/25(金) 22:43:10.93 ID:???]

構成図がひどいんだぜ…こういう感じでした

.-----------------　　　 .-----------------
| IX2015-FE0/0　　|　　　|　　PR-400NE　 　|
| 192.168.1.254　 |------| 192.168.1.1　 　|
.-----------------　　　 .-----------------
　　　　 |
.-----------------　　　 .-----------------
| IX2015-FE1/0　　|　　　|　　WZR-300HP　　|　　　| スマホ/ゲーム機 |
| 192.168.11.254　|------| 192.168.11.100　|------| 192.168.11.xxx　|
.-----------------　　　 .-----------------
　　　　 |
.-----------------　　　 .-----------------
| IX2015-FE0/1　　|　　　|　　　　PC　　　 |
| 192.168.111.254 |------| 192.168.111.xxx |
.-----------------　　　 .-----------------

[0478 anonymous 2016/11/28(月) 11:39:14.85 ID:???]

どっちにしてもひどいんだぜ

[0479 anonymous 2016/11/28(月) 14:23:35.65 ID:???]

WZR-300HPはアクセスポイントモードにすりゃいいんでね？

[0480 anonymous 2016/12/01(木) 08:12:41.35 ID:???]

リンクアグリゲーションやるほどお前ら何をそんなに高速通信すんだよ..........

[0481 anonymous 2016/12/01(木) 10:40:41.24 ID:???]

冗長させたいだけじゃね？
IXはそれしか対応してないし

[0482 anonymous 2016/12/01(木) 13:18:27.00 ID:???]

NECのサイトからダウンロードできるMIBの使い方が分からないんだけど、
どこか勉強になるサイトを教えてください

[0483 anonymous 2016/12/01(木) 14:03:22.81 ID:???]

MIBはSNMPブラウザに取り込んで使うもの
LinuxとかでNet-SNMPが入っていれば、MIBを取り込んだ上でsnmpgetコマンドを叩くとCPU利用率やトラフィック量が見えるようになる
SNMPでリソース監視をしようというのでなければ一切用事はない

[0484 anon 2016/12/01(木) 21:03:54.41 ID:Inou8vT+]

リソース監視ぐらいなら標準MIBだけでいけるから必要ないな

[0485 anonymous 2016/12/01(木) 23:14:43.54 ID:???]

>>483
ありがとう
Windows用のSNMPブラウザを探して試してみるわ

[0486 anonymous 2016/12/01(木) 23:49:39.98 ID:???]

TWSNMPが好き
開発止まってるぽいけど

[0487 anonymous 2016/12/03(土) 13:27:35.06 ID:???]

最近ヤフオクで2215が出品されてるな
来年になるとリース切れ品が多数出てくると思うけど、新発売の時どれくらい売れたのかな？
2105や2025が販売の主力で、2215はあまり売れなかったんだろうか？

[0488 ． 2016/12/04(日) 08:35:16.80 ID:???]

>>486
あれ、リソース喰うから他のマネージャでいいじゃん

[0489 anonymous 2016/12/04(日) 10:21:56.85 ID:???]

たとえば？

[0490 anonymous 2016/12/15(木) 16:05:22.02 ID:???]

オクで2105安くなったなー

[0491 anonymous 2016/12/16(金) 23:59:14.40 ID:???]

去年２１０５中古を買った値段で、最近は２２１５を買える時代になった
性能はYAMAHAよりｍ良いのに価値が下がっていくのは寂しいな

[0492 Anonymous 2016/12/17(土) 01:10:41.89 ID:???]

新品で買わないとファーム手に入らない
ヤマハと比べて設定難しい
ヤマハ同価格帯と比べてハードウェアスペック低い
そろそろ次世代出てくる？
NEC自体が企業と国を狙った商売しかしてないから
高性能ルーターとしてはヤマハより知名度低い

[0493 nec 2016/12/17(土) 09:52:15.96 ID:???]

高性能のイメージだとciscoが断トツでnecもyamahaより自分の中では知名度ある感じ
個人で使いやすいのはサポート含めyamaha断トツ

[0494 anonymous 2016/12/17(土) 10:11:05.71 ID:???]

俺の中では性能が高いのがNECのIXだなあ

Ciscoは性能はそこそこで、ブランド力と多機能が売りではないかな

YAMAHAのRTXはカタログスペックが詐称ギリギリなのがちょっと．．．
例えば上限値を、IXは実機検証した上での動作可能値を記しているが、RTXは単に設定可能値を記している
極端に比喩すると、100km/hしかスピードがでない車に、300km/hまでのメーターを付けて最高速度：300km/hと謳っているようなもんだ

[0495 anonymous 2016/12/17(土) 14:11:12.99 ID:???]

制限時速60kmの道しか走らないならそれで充分。
300km出たとしても使える能力が無ければ無駄で、公道に出れば迷惑なだけ。

[0496 anonymous 2016/12/17(土) 14:27:11.99 ID:???]

便宜上クルマの「性能」に関する例え話をしただけで、真面目に道路事情の話をされても困るな．．．

[0497 anonymous 2016/12/17(土) 14:32:52.36 ID:???]

ルータの話に戻せば、必要とされる能力以上の性能を持っていることは余裕だと歓迎はされるが「迷惑」にはならないよね．．．

[0498 nec 2016/12/17(土) 17:42:45.35 ID:???]

正直、エッジの個人、中小に取っては無料サポート、文献多いし、保守せずファームアップあるし一番と思う。
そんなに性能使い切ること無いしw

[0499 anonymous 2016/12/17(土) 19:50:24.74 ID:???]

まあ人それぞれ好みだね
Cisco信者なんかは何が何でもCiscoが一番だし

俺は性能・安定性・信頼性からIXが好きだ

[0500 anony 2016/12/18(日) 04:16:12.62 ID:???]

ixの良いところは値段が同じならCiscoより性能いいところじゃないかな

上を目指せば目指すほど、Ciscoしか選択肢がなくなるが、
ixと同じ値段のエントリーモデルはソフトウェア価格の割合が大きい

[0501 anonymous 2016/12/18(日) 13:15:38.76 ID:???]

>>497
その『歓迎』も『迷惑』も大体は内部の事情に過ぎないしな
外からのアクセスに対する評価は、ちゃんと反応が返ってくるか、タイムアウトするかの2つだけ
外からは相手の性能なんて見えないから

[0502 Anonymous 2016/12/18(日) 13:27:50.18 ID:???]

UNIVERGE IXはアホみたいな高耐久性がいいね
正式なFW入手手段さえあればIX3110とかのゴッツイのも普通に使える
スマホとかタブとかは適当にAPか無線LANルーターをAPにして使えばいいし
ほんまUNIVERGEは優秀な子やで

[0503 anonymous 2016/12/19(月) 10:58:03.28 ID:???]

NECに聞いても代理店に聞けマニュアル読め紹介はしないって返事だし
性能はいいみたいだけど次はYAMAHAにするわ

[0504 オナニーマスター 2016/12/19(月) 20:30:08.86 ID:???]

ぶっちゃけNEC関連会社じゃなければ、これを勧める方がどうかしてる
性能は確かに良い

[0505 anonymous 2016/12/19(月) 21:54:44.55 ID:???]

日本語で書いてあるマニュアル読んでも理解できないアホは相手にしない
性能悪いヤマハでも使ってろ

[0506 anonymous 2016/12/20(火) 00:19:26.97 ID:???]

マニュアルは良くできてるけどな。機能説明書とコマンドリファレンス読めば分かるだろ。

[0507 anony 2016/12/22(木) 07:55:53.87 ID:???]

このスレの存在意義否定されとるぞｗ

[0508 anonymous@42-147-224-129.rev.home.ne.jp 2016/12/23(金) 15:10:54.30 ID:cCVk4Oyv]

個人の自宅用だけど IX2105 を買ってみた。付き合いのある代理店さんに訊いたら、もちろんヤマハも扱ってるけど NEC もありますよ、と紹介された。

アルテリアネットワークスの回線だけど、その程度なら GUI で設定できる範囲なので、そのへんはヤマハと大して変わんない。

正面のランプを見れば、いまどういう状態なのかだいたい把握できるとか、そういうプロっぽいところがたまらないね。すごく気に入った。

[0509 anonymous@fp76f170d9.stmb218.ap.nuro.jp 2016/12/23(金) 18:07:44.54 ID:???]

アルテリアって個人にやってたっけ？

[0510 anonymous@68.23.30.125.dy.iij4u.or.jp 2016/12/23(金) 23:59:24.96 ID:???]

GMOとくとくBBの固定IP使っててVECTANTなのでアルテリアと言えなくもないんだけど、
ISPのせいなのか、パケロスしまくるし下りが遅いしでつらい。

http://www.speedtest.net/my-result/5905498041
これはまだ調子の良いパターンかな。

[0511 anony 2016/12/24(土) 00:52:33.45 ID:???]

個人向けvectantはなんかP2P規制の影響でも大きいのか
そうじゃない通信までフィルタリングすることがある気がする
(個人的な感想です)

[0512 anonymous@122x216x117x146.ap122.ftth.ucom.ne.jp 2016/12/24(土) 06:08:37.82 ID:OoBDmS4b]

説明不足ですまん。自営業なので会社の名義で引いてる。
一番安い 1IP の契約。

[0513 anonymous 2016/12/25(日) 02:55:18.00 ID:???]

IX2025⇔2025で構築したEtherIPと比較して
IX3110⇔2025で構築したときはダウンロード方向（3110側→2025側）の転送速度が明らかに遅い。
何か知見ないですか？

[0514 anonymous 2016/12/25(日) 19:17:03.05 ID:???]

気のせい

[0515 anonymous 2016/12/26(月) 21:22:32.57 ID:???]

おや新ふぁーむが来てるようだ

[0516 anon 2016/12/27(火) 16:00:42.97 ID:???]

すまそん
皆様教えて下せえ

GE1とGE2のセグメントを同一にしたいのですが、IX2215側でコマンド受け付けてくれません
GE1側の先はTVレコ−ダがついていて、GE2側の先はPC数台とTVを接続しています
下記の様にコマンド流したいのですが
% 192.168.60.1 is assigned as primary address on GigaEthernet2.3
と出て不可能です
皆様、解決方法をどうぞご教授を

interface GigaEthernet1.0
ip address 192.168.60.1/24
no shutdown

interface GigaEthernet2.3
encapsulation dot1q 60 tpid 8100
auto-connect
ip address 192.168.60.1/24
ip dhcp binding vlan60
no shutdown

[0517 anonymous 2016/12/27(火) 16:38:06.13 ID:???]

>>516
同一セグメントにしたいインタフェースを同一ブリッジグループに設定
IPアドレスはブリッジ用仮想インタフェースに振る

bridge irb enable

interface GigaEthernet1.0
bridge-group 1
no shutdown

interface GigaEthernet2.3
encapsulation dot1q 60 tpid 8100
auto-connect
ip dhcp binding vlan60
bridge-group 1
no shutdown

interface BVI0
ip address 192.168.60.1/24
bridge-group 1
no shutdown

[0518 anonymous 2016/12/27(火) 18:19:28.61 ID:???]

ゴメン　>>517を修正
ip dhcp binding vlan60 もBVI0インタフェースの方に設定ね

[0519 516 2016/12/27(火) 18:22:17.32 ID:???]

>>517

ありがとうございます
無事にレコ−ダ−とTVが繋がりました
しかし、まさかブリッジのコマンドがあるなんて露とも知らず....
ここのスゴ腕の皆さんは、一体どこで勉強したり知識を蓄積させてるの？
マニュアルみても中々解決できないですわ自分
IXはネット上の情報も少ないしね

[0520 ななしさん 2016/12/27(火) 21:35:49.92 ID:???]

>>519
ここかな

ttp://jpn.nec.com/univerge/ix/Manual/FD/IX1-3K-FD-9.4.pdf

ttp://jpn.nec.com/univerge/ix/Manual/EX/IX1-3K-EX-9.4.pdf

[0521 anon 2016/12/28(水) 00:50:18.34 ID:???]

>>520

ありがとうございます
上の欄のPDF資料は初めてみました
年末の休みを利用してじっくり読んでみます
TVの件はずっと解決出来なくて諦めかけてたのですが、今回解決できて感謝感謝です

[0522 anon 2016/12/30(金) 01:40:13.23 ID:???]

度々すいません

すご腕に皆様、ぜひご教授を
マニュアル見てるんですが、解決できませぬ

IX2215を3つのセグメントで運用していますが、telnetを使えばどのセグメントからも
管理画面に到達してしまいます
ログイン名とパスワ−ドが分からなければ問題ないですが、可能であれば管理用PCが括りついている
セグメントからのみのアクセスと出来ないものでしょうか？？

interface GigaEthernet2.1
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.1.1/24
ip dhcp binding vlan2
no shutdown
!
interface GigaEthernet2.2
encapsulation dot1q 10 tpid 8100
auto-connect
ip address 192.168.100.1/24
ip proxy-arp
ip dhcp binding lan
no shutdown
!
interface GigaEthernet2.3
encapsulation dot1q 60 tpid 8100
auto-connect
no ip address
ip dhcp binding vlan60
bridge-group 1
no shutdown

[0523 anon 2016/12/30(金) 01:48:15.23 ID:???]

上の続き

上記のセグメントの192.168.100.1/24からのみtelnetで管理画面へアクセスしたいです
何か良い方法はありませんか？？
あと、以前にアクセスリストによるアクセス制限を教えてもらい設定したのですが、異なるセグメント同士
にpingがお互いに届いてしまいます。　これは物理的にル−タを切り分けないと届いてしまうモノなんでしょうか？

ip access-list a deny ip src 192.168.100.0/24 dest 192.168.1.0/24
ip access-list a permit ip src any dest any
ip access-list b deny ip src 192.168.1.0/24 dest 192.168.100.0/24
ip access-list b permit ip src any dest any

連投となりましたが、スゴ腕の皆様ご教授おねがいします

[0524 anonymous 2016/12/30(金) 02:34:23.20 ID:???]

ACL割り当てろカス

[0525 anonymous 2016/12/30(金) 09:37:55.45 ID:???]

確かに>>524氏が全てを語っているが．．．

>>520氏が紹介したのに加えて
http://jpn.nec.com/univerge/ix/Manual/CO/CRM-ver9.4-1.pdf
のコマンドリファレンスもよく読んでみて

telnet制限は
セグメント指定なら
ip access-list telnet permit ip src 192.168.100.0/24 dest any

管理用PC限定なら
ip access-list telnet permit ip src 192.168.100.1/32 dest any
のどちらか

そんで
telnet-server ip access-list telnet

[0526 anonymous 2016/12/30(金) 09:39:40.95 ID:???]

セグメント間通信禁止は
ip access-list a deny ip src 192.168.100.0/24 dest 192.168.1.0/24
ip access-list a deny ip src 192.168.60.0/24 dest 192.168.1.0/24
ip access-list a permit ip src any dest any
ip access-list b deny ip src 192.168.1.0/24 dest 192.168.100.0/24
ip access-list b deny ip src 192.168.60.0/24 dest 192.168.100.0/24
ip access-list b permit ip src any dest any
ip access-list c deny ip src 192.168.1.0/24 dest 192.168.60.0/24
ip access-list c deny ip src 192.168.100.0/24 dest 192.168.60.0/24
ip access-list c permit ip src any dest any

[0527 anonymous 2016/12/30(金) 09:39:49.25 ID:???]

続き
interface GigaEthernet2.1
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.1.1/24
ip dhcp binding vlan2
ip filter a 10 in
no shutdown

interface GigaEthernet2.2
encapsulation dot1q 10 tpid 8100
auto-connect
ip address 192.168.100.1/24
ip proxy-arp
ip dhcp binding lan
ip filter b 10 in
no shutdown

interface BVI0
ip address 192.168.60.1/24
ip dhcp binding vlan60
ip filter c 10 in
bridge-group 1
no shutdown

>>518でも書いたけど
DHCPのバインドもBVIインタフェースにね

[0528 anonymous 2016/12/30(金) 09:48:36.03 ID:???]

>>527でフィルタのinとoutの方向間違った．．．．
死んできます

[0529 anonymous 2016/12/30(金) 10:23:19.13 ID:???]

この方がスッキリしていい
ip access-list a deny ip src any dest 192.168.100.0/24
ip access-list a deny ip src any dest 192.168.60.0/24
ip access-list a permit ip src any dest any
ip access-list b deny ip src any dest 192.168.1.0/24
ip access-list b deny ip src any dest 192.168.60.0/24
ip access-list b permit ip src any dest any
ip access-list c deny ip src any dest 192.168.1.0/24
ip access-list c deny ip src any dest 192.168.100.0/24
ip access-list c permit ip src any dest any

interface GigaEthernet2.1
ip filter a 10 in

interface GigaEthernet2.2
ip filter b 10 in

interface BVI0
ip filter c 10 in

[0530 anon 2016/12/31(土) 02:12:52.63 ID:???]

>>525-529

ありがとうございます！！
今まさに深夜ですが、やっと解決出来ました
皆様に感謝感謝です
INとOUTの考え方でかなり苦戦しましたが、下記のサイトも参考にして勉強してみました
http://www.infraexpert.com/study/study33.html

あと、一つトラブった箇所あるのですが、アクセスリストの"c"を投入しようとしてもIX側で弾かれてしまい
最終的には"c"を適当な数字に置き換えることでコマンドを投入できました
何か原因があるのでしょうか？？
度々、質問ばかりで申し訳ない

ip access-list c deny ip src 192.168.1.0/24 dest 192.168.60.0/24
ip access-list c deny ip src 192.168.100.0/24 dest 192.168.60.0/24
ip access-list c permit ip src any dest any

[0531 anonymous 2016/12/31(土) 11:10:05.94 ID:???]

あ〜
アクセスリスト名に「c」は使えなかった（ip access-list cacheという別コマンドになる）
実機で試してなくてゴメンね

適当にc-listとかに変えてちょうだい

[0532 【大吉】 !nanja 【東電 76.4 %】 【7.8m】 【39円】 2017/01/01(日) 00:32:46.34 ID:szBjMQ4H]

test

[0533 anonymous 2017/01/01(日) 00:50:42.95 ID:???]

>>530
マニュアル読めクズ

[0534 530 2017/01/01(日) 04:33:05.21 ID:???]

>>531

お返事が遅れて申し訳ない。。
マニュアルを読んだのですが、まさかこんな落とし穴があっととは..汗
この辺りが、私の様な初心者のハマりどころですね
もっと場数を踏まないとw
何度もアドバイスありがとうございます
ほんと助かりました^^

[0535 anonymous@nttkyo645079.tkyo.nt.ngn.ppp.infoweb.ne.jp 2017/01/11(水) 16:41:14.06 ID:???]

Ver.9.4.17 (2016.12.09)

4. 仕様改善/変更
----------------

[1] OpenSSLのバージョンをOpenSSL-1.0.2jへアップデートしました。

参照：
「OpenSSLに複数の脆弱性（JVNVU#98667810）」に関する御報告
http://jpn.nec.com/univerge/ix/Support/Security-Info/JVNVU98667810.html

[2] ダイナミックVPN(IKEv2)とIKEv1の同時接続可能となる機能追加を行いました。


5. 不具合修正
-------------

[1] OSPFでRIBの最大エントリ数を超えており、かつLSA作成に失敗している状態で、
clear ospf processコマンドを実行するとメモリリークが発生する場合がある
問題を修正しました。
本問題は過去全てのバージョンで発生します。

[2] Webコンソール機能で、特殊なパケット(HTTPヘッダなしの空行で始まるパケッ
ト)を受信した場合にリブートが発生する可能性がある問題を修正しました。
本問題はVer9.2.20版以降で発生します。

[3] SSHでログインし大量のログデータなどを表示させると、SSHのセッションが切断
される場合がある問題を修正しました。
本問題は過去全てのバージョンで発生します。

[0536 anonymous@ai126201135244.63.access-internet.ne.jp 2017/01/12(木) 22:07:49.91 ID:oELtbzCy]

現在設定事例集をそのまま当てはめて構築してます。
IPSECとNATを同時に使用する。(ちなみにページ5-23ですが)
トンネルができてません。

中間にあるルーターにはIPアドレス振ったポート二つと双方向に通信する
単純なルーティングしか入れてません。

PINGは中間ルーターの近いほうのポート(反対側は飛びません）までは
どちら側の末端にしてもPINGの返答は帰ってきました。

ルーターにも何かIPSECの設定とか必要なのでしょうか？
どうぞよろしくお願いします。

[0537 anonymous 2017/01/12(木) 23:20:07.15 ID:???]

conf貼ったほうが早いよ

[0538 【滑っちゃったぁ】 !nanja 【東電 62.5 %】 【14.1m】 2017/01/13(金) 01:44:23.05 ID:cJKXbHlg]

test

[0539 anonymous@ai126201135244.63.access-internet.ne.jp 2017/01/13(金) 06:48:22.14 ID:CVq6aPxL]

失礼しました。

■設定
[本装置(A)の設定]
Router# enable-config
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ip route 20.20.20.0/24 10.10.10.1
Router(config)# ip ufs-cache enable
Router(config)# ip access-list sec-list permit ip src 172.16.0.0/24 dest 192.168.1.0/24
Router(config)# ip access-list nat-list permit ip src 172.16.0.0/24 dest any
Router(config)# ip nat pool pool1 192.168.0.1 192.168.0.254
Router(config)# ike proposal ike-prop encryption aes hash sha
Router(config)# ike policy ike-policy peer 20.20.20.20 key himitsu ike-prop
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes esp-sha
Router(config)# ipsec autokey-map ipsec-policy sec-list peer 20.20.20.20 ipsec-prop
Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 10.10.10.10/24
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 172.16.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy out
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip nat dynamic list nat-list pool pool1
Router(config-Tunnel0.0)# ip nat enable
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# no shutdown

[0540 anonymous@ai126201135244.63.access-internet.ne.jp 2017/01/13(金) 06:48:53.60 ID:CVq6aPxL]

RouterB

Router# enable-config
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ip route 10.10.10.0/24 20.20.20.1
Router(config)# ip ufs-cache enable
Router(config)# ip access-list sec-list permit ip src 192.168.1.0/24 dest 192.168.0.0/24
Router(config)# ike proposal ike-prop encryption aes hash sha
Router(config)# ike policy ike-policy peer 10.10.10.10 key himitsu ike-prop
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes esp-sha
Router(config)# ipsec autokey-map ipsec-policy sec-list peer 10.10.10.10 ipsec-prop
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 20.20.20.20/24
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy out
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown

設定事例集には中間にあるルーターの記載がありませんでした。

連投失礼しました。

[0541 anonymous@ai126201135244.63.access-internet.ne.jp 2017/01/13(金) 07:26:20.55 ID:CVq6aPxL]

すいませんID変わってました

536です。

[0542 anony 2017/01/13(金) 11:11:33.75 ID:???]

Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24

Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24

これおかしくね？

[0543 anonymous 2017/01/13(金) 11:24:29.52 ID:???]

>>539-540
設定事例集をそのままここに貼り付けただけに見えるけど、実機にもちゃんとその通り設定されてる？
中間のルータには両端にIPアドレスを振るだけで、ルーティングも他の設定も一切不要だよ

show ike sa と show ipsec sa で　IKE phase-1, phase-2 のどこまで進んでるのか確認してみて

まさか、双方のPCでデフォゲはちゃんとGigaEthernet2.0のアドレスになってるよね？

>>542
そこは対になっているから、それでいいんじゃね？

[0544 542 2017/01/13(金) 11:28:38.15 ID:???]

あ、違うローカルIPが間違ってるのか
Ａ装置の172.16.0を192.16.0にしないとだな

[0545 anonymous 2017/01/13(金) 11:34:07.81 ID:???]

>>544
NATしてるんだからそれでいいんだよ

[0546 anonymous 2017/01/13(金) 11:45:13.37 ID:???]

それから、A装置、B装置のどちらも GigaEthernet2.0 にPCか何かつないでるよね？
トンネルインタフェースのIPアドレス unnumbered で GigaEthernet2.0 を指定しているから、
GigaEthernet2.0 がリンクアップしていないと、トンネルインタフェースもアップしないよ

[0547 542 2017/01/13(金) 11:45:31.68 ID:???]

ほんとだ。全然読んでないな。すまそ。

[0548 anonymous@ai126201135244.63.access-internet.ne.jp 2017/01/13(金) 22:01:51.89 ID:CVq6aPxL]

anonymousさんその他の皆様ありがとうございます。

設定事例集そのまま張り付けただけです。
(実は事例のコマンドに当てはめてやってましたが当然うまくいかず
切り分けのためそのまましたのですが、でもダメでした。）

実機もその通りです。ぶっちゃけこぴっただけです。

中間のルーターは両端のIP振った以外にルーティング入れてましたが
ご指摘通り外しました。

ですがやっぱりつながりませんでした。


コマンド結果は以下です。
RouterA(config)# sh ike sa
ISAKMP SA - 1 configured, 0 created
RouterA(config)# sh ipsec sa
IPsec SA - 1 configured, 0 created
Interface is Tunnel0.0
Key policy map name is ipsec-policy
Tunnel mode, 4-over-4, autokey-map
Local address is unknown
Remote address is unknown
Outgoing interface is GigaEthernet0.0
Interface MTU is 1500, path MTU is 1500
Inbound:
<NONE>
Outbound:
<NONE>
Perfect forward secrecy is off

[0549 anonymous 2017/01/13(金) 23:10:57.99 ID:???]

>>548
全然SA出来てないね

とりあえず、実機の show running-config 貼ってみて

[0550 anonymous 2017/01/13(金) 23:23:32.78 ID:???]

因みに、装置A側でNATしているので、装置A配下の端末からのpingしか通らないからね
→簡易FierWallになっている

[0551 anonymous 2017/01/13(金) 23:25:04.68 ID:???]

>>550
× FierWall
○ FireWall

[0552 anonymous 2017/01/14(土) 03:58:09.78 ID:???]

装置A側でNAT云々以前にPhase1で上手くいってないんだからそこからだわな

[0553 anonymous 2017/01/14(土) 04:01:34.13 ID:???]

IKEのモード省略ってmainモードになるんだっけ？

[0554 anonymous 2017/01/14(土) 08:34:08.91 ID:???]

>>553
そうだよ

[0555 anonymous 2017/01/14(土) 08:41:58.44 ID:???]

念のため>>539-540の設定事例集のコンフィグを実機に入れて試したけど当然ながら問題なかったから
質問者の実機のコンフィグでは、なにかしら間違ってるんだよね

間違っていないとすると>>546が怪しいんだよな

[0556 anonymous@om126200116043.15.openmobile.ne.jp 2017/01/14(土) 11:10:38.83 ID:fKWgJhZU]

https://youtu.be/quIHgwuF6r4

[0557 【吉】 !nanja 【東電 75.4 %】 【4.8m】 !dama 2017/01/15(日) 00:59:39.31 ID:vKfsf1v3]

test

[0558 anonymous@ai126202162244.64.access-internet.ne.jp 2017/01/15(日) 07:48:51.17 ID:um9RPBG+]

548です。
anonymousさんありがとうございます。

設定集のそのままでできるんですね。
A側からだけなのですね？
週明け職場で確認してみます。

A,BともにPCつなげてみたんですが、1分程度で認識は
されるものなのですよね？

[0559 anonymous 2017/01/15(日) 10:22:28.97 ID:???]

>>558

何度も言うけど、ダメな場合は実機の running-config を貼ってね

PCをつなぐ件は、リンクアップさえすればいいので時間を意識する必要はないよ

それから、トンネル（SA）を生成するにはトリガとなるパケットが必要なのね

今回の構成だと、A側PCからB側PCへのpingでOKなのであまり意識しなくてもいいかもだけど
1発目はトンネル（SA）生成のトリがに使われるので不達となって、2発目から通るようになるよ

因みに、正常にトンネル（SA）が生成された場合の>>543のコマンド結果は次のようになるよ

ここで、*****の部分はランダムな値が入るけど、装置Aと装置Bとで対となる値となるので
要確認ね

[0560 anonymous 2017/01/15(日) 10:23:08.94 ID:???]

RouterA(config)# sh ike sa
ISAKMP SA - 1 configured, 1 created
Local address is 10.10.10.10, port is 500
Remote address is 20.20.20.20, port is 500
IKE policy name is ike-policy
Direction is initiator
Initiator's cookie is 0x****************
Responder's cookie is 0x****************
Exchange type is main mode
State is established