NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
http://www.nec.co.jp/ixseries/ix2k3k/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
http://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
http://pc11.2ch.net/test/read.cgi/mysv/1199977508/
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ NECのサイトからダウンロードできるMIBの使い方が分からないんだけど、
どこか勉強になるサイトを教えてください MIBはSNMPブラウザに取り込んで使うもの
LinuxとかでNet-SNMPが入っていれば、MIBを取り込んだ上でsnmpgetコマンドを叩くとCPU利用率やトラフィック量が見えるようになる
SNMPでリソース監視をしようというのでなければ一切用事はない リソース監視ぐらいなら標準MIBだけでいけるから必要ないな >>483
ありがとう
Windows用のSNMPブラウザを探して試してみるわ 最近ヤフオクで2215が出品されてるな
来年になるとリース切れ品が多数出てくると思うけど、新発売の時どれくらい売れたのかな?
2105や2025が販売の主力で、2215はあまり売れなかったんだろうか? >>486
あれ、リソース喰うから他のマネージャでいいじゃん 去年2105中古を買った値段で、最近は2215を買える時代になった
性能はYAMAHAよりm良いのに価値が下がっていくのは寂しいな 新品で買わないとファーム手に入らない
ヤマハと比べて設定難しい
ヤマハ同価格帯と比べてハードウェアスペック低い
そろそろ次世代出てくる?
NEC自体が企業と国を狙った商売しかしてないから
高性能ルーターとしてはヤマハより知名度低い 高性能のイメージだとciscoが断トツでnecもyamahaより自分の中では知名度ある感じ
個人で使いやすいのはサポート含めyamaha断トツ 俺の中では性能が高いのがNECのIXだなあ
Ciscoは性能はそこそこで、ブランド力と多機能が売りではないかな
YAMAHAのRTXはカタログスペックが詐称ギリギリなのがちょっと...
例えば上限値を、IXは実機検証した上での動作可能値を記しているが、RTXは単に設定可能値を記している
極端に比喩すると、100km/hしかスピードがでない車に、300km/hまでのメーターを付けて最高速度:300km/hと謳っているようなもんだ 制限時速60kmの道しか走らないならそれで充分。
300km出たとしても使える能力が無ければ無駄で、公道に出れば迷惑なだけ。 便宜上クルマの「性能」に関する例え話をしただけで、真面目に道路事情の話をされても困るな... ルータの話に戻せば、必要とされる能力以上の性能を持っていることは余裕だと歓迎はされるが「迷惑」にはならないよね... 正直、エッジの個人、中小に取っては無料サポート、文献多いし、保守せずファームアップあるし一番と思う。
そんなに性能使い切ること無いしw まあ人それぞれ好みだね
Cisco信者なんかは何が何でもCiscoが一番だし
俺は性能・安定性・信頼性からIXが好きだ ixの良いところは値段が同じならCiscoより性能いいところじゃないかな
上を目指せば目指すほど、Ciscoしか選択肢がなくなるが、
ixと同じ値段のエントリーモデルはソフトウェア価格の割合が大きい >>497
その『歓迎』も『迷惑』も大体は内部の事情に過ぎないしな
外からのアクセスに対する評価は、ちゃんと反応が返ってくるか、タイムアウトするかの2つだけ
外からは相手の性能なんて見えないから UNIVERGE IXはアホみたいな高耐久性がいいね
正式なFW入手手段さえあればIX3110とかのゴッツイのも普通に使える
スマホとかタブとかは適当にAPか無線LANルーターをAPにして使えばいいし
ほんまUNIVERGEは優秀な子やで NECに聞いても代理店に聞けマニュアル読め紹介はしないって返事だし
性能はいいみたいだけど次はYAMAHAにするわ ぶっちゃけNEC関連会社じゃなければ、これを勧める方がどうかしてる
性能は確かに良い 日本語で書いてあるマニュアル読んでも理解できないアホは相手にしない
性能悪いヤマハでも使ってろ マニュアルは良くできてるけどな。機能説明書とコマンドリファレンス読めば分かるだろ。 個人の自宅用だけど IX2105 を買ってみた。付き合いのある代理店さんに訊いたら、もちろんヤマハも扱ってるけど NEC もありますよ、と紹介された。
アルテリアネットワークスの回線だけど、その程度なら GUI で設定できる範囲なので、そのへんはヤマハと大して変わんない。
正面のランプを見れば、いまどういう状態なのかだいたい把握できるとか、そういうプロっぽいところがたまらないね。すごく気に入った。 GMOとくとくBBの固定IP使っててVECTANTなのでアルテリアと言えなくもないんだけど、
ISPのせいなのか、パケロスしまくるし下りが遅いしでつらい。
http://www.speedtest.net/my-result/5905498041
これはまだ調子の良いパターンかな。 個人向けvectantはなんかP2P規制の影響でも大きいのか
そうじゃない通信までフィルタリングすることがある気がする
(個人的な感想です) 説明不足ですまん。自営業なので会社の名義で引いてる。
一番安い 1IP の契約。 IX2025⇔2025で構築したEtherIPと比較して
IX3110⇔2025で構築したときはダウンロード方向(3110側→2025側)の転送速度が明らかに遅い。
何か知見ないですか? すまそん
皆様教えて下せえ
GE1とGE2のセグメントを同一にしたいのですが、IX2215側でコマンド受け付けてくれません
GE1側の先はTVレコ−ダがついていて、GE2側の先はPC数台とTVを接続しています
下記の様にコマンド流したいのですが
% 192.168.60.1 is assigned as primary address on GigaEthernet2.3
と出て不可能です
皆様、解決方法をどうぞご教授を
interface GigaEthernet1.0
ip address 192.168.60.1/24
no shutdown
interface GigaEthernet2.3
encapsulation dot1q 60 tpid 8100
auto-connect
ip address 192.168.60.1/24
ip dhcp binding vlan60
no shutdown >>516
同一セグメントにしたいインタフェースを同一ブリッジグループに設定
IPアドレスはブリッジ用仮想インタフェースに振る
bridge irb enable
interface GigaEthernet1.0
bridge-group 1
no shutdown
interface GigaEthernet2.3
encapsulation dot1q 60 tpid 8100
auto-connect
ip dhcp binding vlan60
bridge-group 1
no shutdown
interface BVI0
ip address 192.168.60.1/24
bridge-group 1
no shutdown ゴメン >>517を修正
ip dhcp binding vlan60 もBVI0インタフェースの方に設定ね >>517
ありがとうございます
無事にレコ−ダ−とTVが繋がりました
しかし、まさかブリッジのコマンドがあるなんて露とも知らず....
ここのスゴ腕の皆さんは、一体どこで勉強したり知識を蓄積させてるの?
マニュアルみても中々解決できないですわ自分
IXはネット上の情報も少ないしね >>519
ここかな
ttp://jpn.nec.com/univerge/ix/Manual/FD/IX1-3K-FD-9.4.pdf
ttp://jpn.nec.com/univerge/ix/Manual/EX/IX1-3K-EX-9.4.pdf >>520
ありがとうございます
上の欄のPDF資料は初めてみました
年末の休みを利用してじっくり読んでみます
TVの件はずっと解決出来なくて諦めかけてたのですが、今回解決できて感謝感謝です 度々すいません
すご腕に皆様、ぜひご教授を
マニュアル見てるんですが、解決できませぬ
IX2215を3つのセグメントで運用していますが、telnetを使えばどのセグメントからも
管理画面に到達してしまいます
ログイン名とパスワ−ドが分からなければ問題ないですが、可能であれば管理用PCが括りついている
セグメントからのみのアクセスと出来ないものでしょうか??
interface GigaEthernet2.1
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.1.1/24
ip dhcp binding vlan2
no shutdown
!
interface GigaEthernet2.2
encapsulation dot1q 10 tpid 8100
auto-connect
ip address 192.168.100.1/24
ip proxy-arp
ip dhcp binding lan
no shutdown
!
interface GigaEthernet2.3
encapsulation dot1q 60 tpid 8100
auto-connect
no ip address
ip dhcp binding vlan60
bridge-group 1
no shutdown 上の続き
上記のセグメントの192.168.100.1/24からのみtelnetで管理画面へアクセスしたいです
何か良い方法はありませんか??
あと、以前にアクセスリストによるアクセス制限を教えてもらい設定したのですが、異なるセグメント同士
にpingがお互いに届いてしまいます。 これは物理的にル−タを切り分けないと届いてしまうモノなんでしょうか?
ip access-list a deny ip src 192.168.100.0/24 dest 192.168.1.0/24
ip access-list a permit ip src any dest any
ip access-list b deny ip src 192.168.1.0/24 dest 192.168.100.0/24
ip access-list b permit ip src any dest any
連投となりましたが、スゴ腕の皆様ご教授おねがいします 確かに>>524氏が全てを語っているが...
>>520氏が紹介したのに加えて
http://jpn.nec.com/univerge/ix/Manual/CO/CRM-ver9.4-1.pdf
のコマンドリファレンスもよく読んでみて
telnet制限は
セグメント指定なら
ip access-list telnet permit ip src 192.168.100.0/24 dest any
管理用PC限定なら
ip access-list telnet permit ip src 192.168.100.1/32 dest any
のどちらか
そんで
telnet-server ip access-list telnet セグメント間通信禁止は
ip access-list a deny ip src 192.168.100.0/24 dest 192.168.1.0/24
ip access-list a deny ip src 192.168.60.0/24 dest 192.168.1.0/24
ip access-list a permit ip src any dest any
ip access-list b deny ip src 192.168.1.0/24 dest 192.168.100.0/24
ip access-list b deny ip src 192.168.60.0/24 dest 192.168.100.0/24
ip access-list b permit ip src any dest any
ip access-list c deny ip src 192.168.1.0/24 dest 192.168.60.0/24
ip access-list c deny ip src 192.168.100.0/24 dest 192.168.60.0/24
ip access-list c permit ip src any dest any 続き
interface GigaEthernet2.1
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.1.1/24
ip dhcp binding vlan2
ip filter a 10 in
no shutdown
interface GigaEthernet2.2
encapsulation dot1q 10 tpid 8100
auto-connect
ip address 192.168.100.1/24
ip proxy-arp
ip dhcp binding lan
ip filter b 10 in
no shutdown
interface BVI0
ip address 192.168.60.1/24
ip dhcp binding vlan60
ip filter c 10 in
bridge-group 1
no shutdown
>>518でも書いたけど
DHCPのバインドもBVIインタフェースにね >>527でフィルタのinとoutの方向間違った....
死んできます この方がスッキリしていい
ip access-list a deny ip src any dest 192.168.100.0/24
ip access-list a deny ip src any dest 192.168.60.0/24
ip access-list a permit ip src any dest any
ip access-list b deny ip src any dest 192.168.1.0/24
ip access-list b deny ip src any dest 192.168.60.0/24
ip access-list b permit ip src any dest any
ip access-list c deny ip src any dest 192.168.1.0/24
ip access-list c deny ip src any dest 192.168.100.0/24
ip access-list c permit ip src any dest any
interface GigaEthernet2.1
ip filter a 10 in
interface GigaEthernet2.2
ip filter b 10 in
interface BVI0
ip filter c 10 in >>525-529
ありがとうございます!!
今まさに深夜ですが、やっと解決出来ました
皆様に感謝感謝です
INとOUTの考え方でかなり苦戦しましたが、下記のサイトも参考にして勉強してみました
http://www.infraexpert.com/study/study33.html
あと、一つトラブった箇所あるのですが、アクセスリストの"c"を投入しようとしてもIX側で弾かれてしまい
最終的には"c"を適当な数字に置き換えることでコマンドを投入できました
何か原因があるのでしょうか??
度々、質問ばかりで申し訳ない
ip access-list c deny ip src 192.168.1.0/24 dest 192.168.60.0/24
ip access-list c deny ip src 192.168.100.0/24 dest 192.168.60.0/24
ip access-list c permit ip src any dest any あ〜
アクセスリスト名に「c」は使えなかった(ip access-list cacheという別コマンドになる)
実機で試してなくてゴメンね
適当にc-listとかに変えてちょうだい >>531
お返事が遅れて申し訳ない。。
マニュアルを読んだのですが、まさかこんな落とし穴があっととは..汗
この辺りが、私の様な初心者のハマりどころですね
もっと場数を踏まないとw
何度もアドバイスありがとうございます
ほんと助かりました^^ Ver.9.4.17 (2016.12.09)
4. 仕様改善/変更
----------------
[1] OpenSSLのバージョンをOpenSSL-1.0.2jへアップデートしました。
参照:
「OpenSSLに複数の脆弱性(JVNVU#98667810)」に関する御報告
http://jpn.nec.com/univerge/ix/Support/Security-Info/JVNVU98667810.html
[2] ダイナミックVPN(IKEv2)とIKEv1の同時接続可能となる機能追加を行いました。
5. 不具合修正
-------------
[1] OSPFでRIBの最大エントリ数を超えており、かつLSA作成に失敗している状態で、
clear ospf processコマンドを実行するとメモリリークが発生する場合がある
問題を修正しました。
本問題は過去全てのバージョンで発生します。
[2] Webコンソール機能で、特殊なパケット(HTTPヘッダなしの空行で始まるパケッ
ト)を受信した場合にリブートが発生する可能性がある問題を修正しました。
本問題はVer9.2.20版以降で発生します。
[3] SSHでログインし大量のログデータなどを表示させると、SSHのセッションが切断
される場合がある問題を修正しました。
本問題は過去全てのバージョンで発生します。 現在設定事例集をそのまま当てはめて構築してます。
IPSECとNATを同時に使用する。(ちなみにページ5-23ですが)
トンネルができてません。
中間にあるルーターにはIPアドレス振ったポート二つと双方向に通信する
単純なルーティングしか入れてません。
PINGは中間ルーターの近いほうのポート(反対側は飛びません)までは
どちら側の末端にしてもPINGの返答は帰ってきました。
ルーターにも何かIPSECの設定とか必要なのでしょうか?
どうぞよろしくお願いします。 失礼しました。
■設定
[本装置(A)の設定]
Router# enable-config
Router(config)# ip route 192.168.1.0/24 Tunnel0.0
Router(config)# ip route 20.20.20.0/24 10.10.10.1
Router(config)# ip ufs-cache enable
Router(config)# ip access-list sec-list permit ip src 172.16.0.0/24 dest 192.168.1.0/24
Router(config)# ip access-list nat-list permit ip src 172.16.0.0/24 dest any
Router(config)# ip nat pool pool1 192.168.0.1 192.168.0.254
Router(config)# ike proposal ike-prop encryption aes hash sha
Router(config)# ike policy ike-policy peer 20.20.20.20 key himitsu ike-prop
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes esp-sha
Router(config)# ipsec autokey-map ipsec-policy sec-list peer 20.20.20.20 ipsec-prop
Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 10.10.10.10/24
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 172.16.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy out
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# ip nat dynamic list nat-list pool pool1
Router(config-Tunnel0.0)# ip nat enable
Router(config-Tunnel0.0)# ip tcp adjust-mss auto
Router(config-Tunnel0.0)# no shutdown RouterB
Router# enable-config
Router(config)# ip route 192.168.0.0/24 Tunnel0.0
Router(config)# ip route 10.10.10.0/24 20.20.20.1
Router(config)# ip ufs-cache enable
Router(config)# ip access-list sec-list permit ip src 192.168.1.0/24 dest 192.168.0.0/24
Router(config)# ike proposal ike-prop encryption aes hash sha
Router(config)# ike policy ike-policy peer 10.10.10.10 key himitsu ike-prop
Router(config)# ipsec autokey-proposal ipsec-prop esp-aes esp-sha
Router(config)# ipsec autokey-map ipsec-policy sec-list peer 10.10.10.10 ipsec-prop
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 20.20.20.20/24
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.1.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# interface Tunnel0.0
Router(config-Tunnel0.0)# tunnel mode ipsec
Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-policy out
Router(config-Tunnel0.0)# ip unnumbered GigaEthernet2.0
Router(config-Tunnel0.0)# no shutdown
設定事例集には中間にあるルーターの記載がありませんでした。
連投失礼しました。 Router(config)# ipsec local-id ipsec-policy 192.168.0.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec local-id ipsec-policy 192.168.1.0/24
Router(config)# ipsec remote-id ipsec-policy 192.168.0.0/24
これおかしくね? >>539-540
設定事例集をそのままここに貼り付けただけに見えるけど、実機にもちゃんとその通り設定されてる?
中間のルータには両端にIPアドレスを振るだけで、ルーティングも他の設定も一切不要だよ
show ike sa と show ipsec sa で IKE phase-1, phase-2 のどこまで進んでるのか確認してみて
まさか、双方のPCでデフォゲはちゃんとGigaEthernet2.0のアドレスになってるよね?
>>542
そこは対になっているから、それでいいんじゃね? あ、違うローカルIPが間違ってるのか
A装置の172.16.0を192.16.0にしないとだな それから、A装置、B装置のどちらも GigaEthernet2.0 にPCか何かつないでるよね?
トンネルインタフェースのIPアドレス unnumbered で GigaEthernet2.0 を指定しているから、
GigaEthernet2.0 がリンクアップしていないと、トンネルインタフェースもアップしないよ anonymousさんその他の皆様ありがとうございます。
設定事例集そのまま張り付けただけです。
(実は事例のコマンドに当てはめてやってましたが当然うまくいかず
切り分けのためそのまましたのですが、でもダメでした。)
実機もその通りです。ぶっちゃけこぴっただけです。
中間のルーターは両端のIP振った以外にルーティング入れてましたが
ご指摘通り外しました。
ですがやっぱりつながりませんでした。
コマンド結果は以下です。
RouterA(config)# sh ike sa
ISAKMP SA - 1 configured, 0 created
RouterA(config)# sh ipsec sa
IPsec SA - 1 configured, 0 created
Interface is Tunnel0.0
Key policy map name is ipsec-policy
Tunnel mode, 4-over-4, autokey-map
Local address is unknown
Remote address is unknown
Outgoing interface is GigaEthernet0.0
Interface MTU is 1500, path MTU is 1500
Inbound:
<NONE>
Outbound:
<NONE>
Perfect forward secrecy is off >>548
全然SA出来てないね
とりあえず、実機の show running-config 貼ってみて 因みに、装置A側でNATしているので、装置A配下の端末からのpingしか通らないからね
→簡易FierWallになっている >>550
× FierWall
○ FireWall 装置A側でNAT云々以前にPhase1で上手くいってないんだからそこからだわな IKEのモード省略ってmainモードになるんだっけ? 念のため>>539-540の設定事例集のコンフィグを実機に入れて試したけど当然ながら問題なかったから
質問者の実機のコンフィグでは、なにかしら間違ってるんだよね
間違っていないとすると>>546が怪しいんだよな 548です。
anonymousさんありがとうございます。
設定集のそのままでできるんですね。
A側からだけなのですね?
週明け職場で確認してみます。
A,BともにPCつなげてみたんですが、1分程度で認識は
されるものなのですよね? >>558
何度も言うけど、ダメな場合は実機の running-config を貼ってね
PCをつなぐ件は、リンクアップさえすればいいので時間を意識する必要はないよ
それから、トンネル(SA)を生成するにはトリガとなるパケットが必要なのね
今回の構成だと、A側PCからB側PCへのpingでOKなのであまり意識しなくてもいいかもだけど
1発目はトンネル(SA)生成のトリがに使われるので不達となって、2発目から通るようになるよ
因みに、正常にトンネル(SA)が生成された場合の>>543のコマンド結果は次のようになるよ
ここで、*****の部分はランダムな値が入るけど、装置Aと装置Bとで対となる値となるので
要確認ね RouterA(config)# sh ike sa
ISAKMP SA - 1 configured, 1 created
Local address is 10.10.10.10, port is 500
Remote address is 20.20.20.20, port is 500
IKE policy name is ike-policy
Direction is initiator
Initiator's cookie is 0x****************
Responder's cookie is 0x****************
Exchange type is main mode
State is established >>560の続き
Authentication method is pre-shared
Encryption algorithm is aes-128
Hash algorithm is sha1
DH group is modp768, lifetime is 28782 seconds
#ph1 success: 1, #ph1 failure: 0
#ph1 hash err: 0, #ph1 timeout: 0, #ph1 resend: 0
#ph2 success: 1, #ph2 failure: 0
#ph2 hash err: 0, #ph2 timeout: 0, #ph2 resend: 0 RouterA(config)# sh ipsec sa
IPsec SA - 1 configured, 2 created
Interface is Tunnel0.0
Key policy map name is ipsec-policy
Tunnel mode, 4-over-4, autokey-map
Local address is 10.10.10.10
Remote address is 20.20.20.20
Outgoing interface is GigaEthernet0.0
Interface MTU is 1438, path MTU is 1500
Inbound:
ESP, SPI is 0x********(**********)
Transform is ESP-AES-128-HMAC-SHA-96
Remaining lifetime is 28778 seconds
Replay detection support is on
Outbound:
ESP, SPI is 0x********(**********)
Transform is ESP-AES-128-HMAC-SHA-96
Remaining lifetime is 28778 seconds
Replay detection support is on
Perfect forward secrecy is off いやほんとありがたいよ
自分も何度か助けて貰ってるし、このスレには感謝してます anonymaousさん
取得してきました。
RouterA(config)# sh conf
hostname RouterA
timezone +09 00
ip ufs-cache enable
ip route 20.20.20.0/24 10.10.10.1
ip route 192.168.1.0/24 Tunnel0.0
ip nat pool pool1 192.168.0.1 192.168.0.254
ip access-list list1 permit ip src 172.16.0.0/24 dest 192.168.1.0/24
ip access-list list2 permit ip src 172.16.0.0/24 dest any
ike policy ike-policy peer 20.20.20.20 key himitsukagi default
ipsec autokey-map ipsec-policy list1 peer 20.20.20.20 default
ipsec local-id ipsec-policy 192.168.0.0/24
ipsec remote-id ipsec-policy 192.168.1.0/24
device GigaEthernet0
device GigaEthernet1
device GigaEthernet2
device BRI0
isdn switch-type hsd128k
device USB0
shutdown interface GigaEthernet0.0
ip address 10.10.10.10/24
no shutdown
interface GigaEthernet1.0
no ip address
shutdown
interface GigaEthernet2.0
ip address 172.16.0.254/24
no shutdown
interface BRI0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
interface USB-Serial0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
interface Loopback0.0
no ip address
interface Null0.0
no ip address
interface Tunnel0.0
tunnel mode ipsec
no ip address
ip nat enable
ip nat dynamic list list2 pool pool1
ipsec policy tunnel ipsec-policy out
no shutdown
RouterA(config)# RouterB(config)# sh conf
Using 1538 out of 524288 bytes
hostname RouterBtimezone +09 00
logging buffered 131072
logging subsystem all warn
logging timestamp datetime
ip ufs-cache enable
ip route 10.10.10.0/24 20.20.20.1
ip route 192.168.0.0/24 Tunnel0.0
ip dhcp enable
ip access-list list1 permit ip src 192.168.1.0/24 dest 192.168.0.0/24
ip access-list web-http-acl permit ip src any dest 192.168.1.254/32
ike policy ike-policy peer 10.10.10.10 key himitsukagi default
ipsec autokey-map ipsec-policy list1 peer 10.10.10.10 default
ipsec local-id ipsec-policy 192.168.1.0/24
ipsec remote-id ipsec-policy 192.168.0.0/24
http-server ip access-list web-http-acl
http-server ip enable web-console interface lan1 GigaEthernet1.0
ip dhcp profile web-dhcp-gigaethernet1.0
dns-server 192.168.1.254
device GigaEthernet0
device GigaEthernet1
interface GigaEthernet0.0
ip address 20.20.20.20/24
no shutdown
interface GigaEthernet1.0
ip address 192.168.1.254/24
ip dhcp binding web-dhcp-gigaethernet1.0
no shutdown
interface Loopback0.0
no ip address
interface Null0.0
no ip address
interface Tunnel0.0
tunnel mode ipsec
no ip address
ipsec policy tunnel ipsec-policy out
no shutdown
RouterB(config)#
以上です。よろしくお願いします。 すいません追加です。
Bのルーターと中間のルーターはGE0.0とGE1.0(4ポート)、AはGE0.0、GE1.0
GE2.0(8ポート)の機種でした、その辺もありますでしょうか? >>566-569
AB両方ともトンネルインタフェースにIPアドレスの設定が抜けているね
設定事例集のポリシーにあわせると、
装置A
interface Tunnel0.0
ip unnumbered GigaEthernet2.0
装置B
interface Tunnel0.0
ip unnumbered GigaEthernet1.0
をそれぞれ追加するだけでOKだよ
ここで、>>546でも書いたようにリンクアップさせることを忘れずにね
自分的にはこれが面倒なので、Loopback0.0に適当なアドレスを振って指定インタフェースにするけどね
(Loopbackは常にリンクアップ状態なので)
それから、通信に関係ない細かいことだけど、装置Bのホスト名設定で次のコマンドと繋がっちゃっておかしくなってるよ
>>570
矛盾なく設定してあるので大丈夫だよ あ、ホスト名の件は、ここに貼るときにリターンが抜けただけだね
ゴメン >>573
Ciscoと違ってIXには no keepalive というコマンドはないんだよ >>573
Deviceの方にno keepalive あったね
スマソ NECもネットではサポートするようになったってことでいいのかな。
初めて使う人には心強いね。 ?
別に今までと変わってないが。
コマンドマニュアルも、設定事例集も昔からある。 570です。
皆様ありがとうございました。
解決しました。 ヤフオクの2215が25,000円レベルになってきたね。
ファーム入手出来る人じゃないとキツいのかもしれないけど。 ip access-listの範囲指定ってどう書けばいいでしょ?
192.168.1.10-192.168.1.20ってだめ? >>581
直接的に範囲指定は出来ないけど、ワイルドカードビット指定で似たようなことが出来るよ
例えば
ip access-list aaaa permit ip src 192.168.1.8 0.0.0.7 dest any
とすれば、192.168.1.8〜192.168.1.15 をソースアドレスの範囲として指定したことになる ■ このスレッドは過去ログ倉庫に格納されています
