NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
http://www.nec.co.jp/ixseries/ix2k3k/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
http://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
http://pc11.2ch.net/test/read.cgi/mysv/1199977508/
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ sshを使ってteratermからログインしたいのですけど、private鍵を使ったconfig例ってネット上でも見当たりませんね。
teraterm側で作った鍵をimportしようとしたらフォーマットが違うと怒られてしまいました。
うまくいった人っていますか?
plain textだと当然入れますが。 http://jpn.nec.com/univerge/ix/faq/ssh.html
Q.1-1 SSHv2サーバ機能について教えてください。
クライアント認証はパスワード認証と無認証に対応。
マジかよ… >> 761
>> 762
>> 763
ああ、「無認証」ってのはパスワード入れないで、鍵のマッチングだけでやるのかと思ってたんだけど。
鍵のマッチング:
たとえばホスト側に私の公開鍵Pを登録して、私は秘密鍵をもっていて、それにもとづいてノンスを
暗号化したデータでログインを試みる。わたしの公開鍵で暗号化されたデータを解読して、
チェックをして、OKであれば「私からの正規なログイン」と判断する。
基本的に管理のためのログインだから複数のクライアントのサポートは必要ないとおもうんだけど、
「認証無し」って、上のように鍵を登録しておくことで、パスワード必要ないということだとおもったんだけども。違ったのか????
自分のopenssh serverへのルグインはパスワード認証を無くして(「無認証」)、秘密鍵をもっている
クライアントからはすぐにつながるようにしている。 人によって使ってる言葉(用語)が違うからこんなことになるんだよな
NECの言ってる無認証ってのは、パスワード未設定ってことだろうよ
つまり、
Password:
って聞いてきたらただのEnterで入れるってこと >>764
それは無認証とは言わんな。
世間一般じゃ、鍵認証って言われるもの。
無認証ってのは字の如く、認証が無いものよ。 9.6.12Aと9.5.13Aが出てる。
[1] ブリッジ機能利用時にGE0インタフェースでの通信ができなくなる場合がある
問題を修正しました。
本問題はVer9.5.13,Ver9.6.12版で発生します。 さっそくFW更新した
新VerではGUIが少し変更になってるね
再アップしたということは、最初アップしたのが間違いがあった、てことだな IX2106が10月から発売されてんね
IX2215の最大NAPTがいつのまにか 65,535→250,000セッションになってた。
Ver.9.6以降からだってさ YAMAHA製ルーターでMAP-E方式のv6プラスを動かした報告があがありますが、NECのIXシリーズでやってみた方はいませんかね? 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
NYJYMP1ZU9 >>769 気づくのが遅すぎる。10/25の時点で判明してる。>>744 初歩的な質問だと思うのですが、詳しい方教えてください。
フレッツ環境でDS-Liteを使う目的でIX2105を入手して公式の設定を元になんとか導入できたのですが、
家がひかり電話を利用している関係で、GigaEthernet1.0のLAN(192.168.2.1/24)から、
GigaEthernet0.0につながっているHGW(RT400NE)にアクセスしたいと思っています。
HGWのLAN側IPを192.168.1.1に設定して、GigaEthernet0.0のIPを 192.168.1.2/24 にすればうまく
いくと単純に考えていたのですが、うまくいきません。
show ip route で見ると
C 192.168.1.0/24 is directly connected, GigaEthernet0.0, ....
C 192.168.2.0/24 is directly connected, GigaEthernet1.0, ....
と表示されるのに、192.168.2.X の機器から 192.168.1.2にはpingが通るのに
192.168.1.1にはpingが通らずHTTPとかでもアクセスもできないのは、なんの設定が足りない
のでしょうか。
よろしくお願いします。 HGWのLAN側静的ルーティング設定で 192.168.2.0/24 あてのパケットを 192.168.1.2 に向ける >776
なるほど HGWで 192.168.2.0/24 がどこにあるかわからないからなのですね。
言われてみれば確かにそうですが、全然気づきませんでした。
ありがとうございます。 hgw使ってるのにds-liteってなんだかな。
IPv6でPPPoE, IPoE及び DS-lite対応の2105がほぼ死に体のような気がする。 >778
光コラボの罠にはまって、電話番号そのままでひかり電話から撤退できないんです。
確かにIX2105の性能は活かせてないとは思いますが、それなりにWebアクセスは速く
なったし、DS-LiteとPPPoEを共存させて外部からアクセスできるサーバを残せたし、
個人的には買ってすごく満足しています。
設定はすごく難しくて、いまでも疑問だらけですが。 IX2105を中古で買おうと思うけどURLフィルタって>>614にあるように
9.5から追加された機能?
IX2105はhttpsのフィルタリングにも対応と聞いたけど実際のところ対応してる? 新品じゃないとファーム手に入らないし
マニュアルさえ読まないお前には使いこなせないからやめとけ RTX1200のリプレースメントとして、IX2215を選ぶつもりなのですが、
YAHAMA CLIとアライド CLIしか知識が無い状態では、設定するの難しいでしょうか? ネットワークの知識があるなら文法以外に大きな違いがあるわけでもないから、マニュアルとコマンドリファレンス読めばいけると思う。 互換性は全然ないけど出来なくはないな。
オレもアライドからYAMAHA行って最後にNECに来たけど、普通にできたし。 >>783,784
回答どうもです
NECに問い合わせたら、
個人でも、新品購入ならファームウェア等の更新契約可能&簡単なサポートも受けられると回答は貰っているので、
検証用に自宅で導入して色々試してみます >>785
へぇ、簡単なサポートってやってもらえのか。
YAMAHAほどにはガッチリ設定のデバッグをやってはくれないだろうけど、多少はデバッグに付き合ってくれるのだろうか。 2215にしかない機能(ポート数が足りない、ISDNw等)を使わないなら
最近出た2106の方が性能は良い模様 転送性能(IPv4)最大2Gbps
転送性能(IPv4-IPsec)最大1.2Gbps
メモリ(DRAM)256MB
NAPTセッション数最大250,000セッション
2106つよい UNIVERGE IX2106 NXP(Freescale) QorIQ (800MHz)
UNIVERGE IX2105 NXP(Freescale) PowerQUICC II (400MHz)
UNIVERGE IX2025 NXP(Freescale) PowerQUICC II (300MHz)
UNIVERGE IX2215 NXP(Freescale) QorIQ (800MHz)
CPUが、2215と同じになっとるね
貧弱な2105に比べてこっちなら普通に使えるな 6年の周期的には今年2215の後継機でるはずなんで、CPU1.6GHzキボンヌ。 2xxxがいつ1Gになったか思い出せ。
2215からだぞ。
10Gまで2世代はかかるぞw 10Gはまだポートあたりの値段がこなれてないのとフレッツが提供していないので次では見送りでしょ 個人的には、次の機種にはSFP付けて欲しいな。
SFPタイプのONUが使えるように。
富士通とかYAMAHAの一部だとついてるのよね。 簡単なサポート・・・マニュアルのリンク案内ぐらいだな UNIVERGE IX2215のGE2に防犯カメラ(Onvif)を2台ぶら下げているのですが、IX−カメラ間の通信が頻繁に固まってしまいます。
どちらかというとチープなカメラなので多分カメラのNICが固まっていると思われます。
固まった時は、LANケーブルを抜き差ししてやると復活するので、定期的にカメラのIPを死活監視して、応答がない場合、リンクダウン→リンクアップさせてやれないものかと考えているのですが、IX側でそのような事は可能でしょうか?
どうぞご教示頂ければ助かります。 別PCで監視して条件満たしたらtelnetでコマンド送り込むとか >>797
IXルータでは直接的にリンクダウン/アップさせるコマンドはなさそうなので、「duplexを変更して戻す」で代用してみた
具体的にはこんな感じ↓だけど、いかが?
command-action list link-down/up-1
command 10 device GigaEthernet2
command 20 port 1 duplex half
command 30 port 1 duplex auto
!
!
watch-group watch-camera-1 10
event 10 ip unreach-host X.X.X.X GigaEthernet2.0
action 10 command-action-list variance link-down/up-1
!
network-monitor watch-camera-1 enable >>800
正に求めていた解です、有難うございます。
しかしながらリンクダウン→リンクアップでカメラは復活しませんでした・・・
結果的にカメラのコンセントの抜き差しも必要なようでダメでした。
後はカメラ個体の問題なので、スレチ外につき失礼致します。 >>802
検証用にPPPoEサーバ機能は嬉しい
今までその為だけにCiscoルータ使ってた 1つのインターフェースに
複数のIPをもたせて
1.0.0.11:80→192.168.11.1:80
1.0.0.12:80→192.168.11.2:80
としたいのですが
イメージのコンフィグは以下ですが
interface GigaEthernet0.0
ip address 1.0.0.10
ip napt enable
ip napt address 1.0.0.11
ip napt service A80 192.168.11.1 none tcp 80
ip napt address 1.0.0.12
ip napt service B80 192.168.11.2 none tcp 80
ip napt addressは1つのみなので出来ません
他の方法はないでしょうか? すみません
1つのインターフェースに
複数のIPをもたせて
1.0.0.11:8000→192.168.11.1:80
1.0.0.12:8000→192.168.11.2:80
Portの変換までしたい
でした 自前で無料VPNサービス始めたのか。
いつの間にか無線LAN対応のWAシリーズも簡単に買えるようになったんだね。
値段も手頃だし試してみようかな〜 早速うちの2215に 9.7.15 を入れた
DDNS「NetMeister」にも登録してみた
tunnel mode l2tp ipsec -> tunnel mode l2tp-lns ipsec の変更は自動的にされるんだね
速度的には変わってないな MAP-Eには対応できないのかな?
YAMAHAみたいにBRアドレスとか諸々直打ちでいけそうな気がするけど 全拠点9.7.15にバージョンアップ完了!
NetMeister設定簡単すぎて拍子抜け >>807
失礼 (>_<)
なんで間違えたんだろw >>809
NAPTで使用するポート範囲をIXシリーズは点在させられないから繋がっても実用上問題有りそう ウチのセキュリティログにショートパケットボムとsshポート、winboxポートへのちょっかいが散見される。
気持ち悪いのはグローバルIP変えて1分という経たずにやって来る事。
botnetの本領が発揮されてるのかも知れないけど、何だかなーって思う。
相手のabuseに文句言ってもIP偽装してそうで意味なさげ。 RTX1210 Rev.14.01.26
■仕様変更
[14] nat descriptor masquerade port rangeコマンドで設定できるポート範囲の個数を16に増やした。
IXも対応してくれないかなあ >>811
MetMeisterのサイトで文字を読まずに絵だけ見るとVPNサービスにも見えなくもない 早々に9.7.16が出たね
L2TPにバグがあったようだ ウチに帰らないと確認できないな。
L2TPは時々失敗するけどそのせいなんだろうか。
勿論MTUは自動計算にしてる。 IXでバックアップリチウム電池が干上がるようなヘボい設計はしていませんとか、
堂々とQ8に書いてあったけど
久々に引っ張り出したIX2010が干上がって、NVRAM TEST:Failが出たんで一応チラ裏
標準で積んでる電池がBR1225(CR1225)、何故かもうRSとかDigikeyで入手できなくなってて詰んだので
割ってCR2032x2積んだ。
それはいいとして交換してもFailが出続ける。
解決策はDIP SW1でテスト走らせるとNVRAM(RTC?)が初期化されるのか
その後普通に起動させるとPass出るようになる。
交換しても動かないとかPPPoE張れないとか嘆かないように。
長文すまそん 中古でも2105は14800円で買える。
BR1225もCR1225も尼でも売ってる。 >>820
いま多く出回っているのは2005年以降発売のUNIVERGE付きの物だと思うがそれでもまあ古いわな fortigateを買って思うのだけど、univergeももう少しなんとかならんかなと思うわ。
目的が違うから対等な比較は出来ないけど、通信の可視化というかDPIは欲しいと思う。
妙なセッションを即座に切れるのは凄く良い。 https://jpn.nec.com/univerge/ix/Support/ipv6/v6plus-staic/index.html
この例の通りにV6プラス固定IPサービス設定しようとしたら上手くいかなくて
何が悪いのかと思ったらUPDATE-SERVER-URLのところが
http://xxx.xxxxxxx.ne.jp/
じゃ駄目で
http://xxx.xxxxxxx.ne.jp
にすればいいだけだった
同じようなミスする人いるかもしれないんで書いておく オクに出てる新品IX2106はファームウェア申請出せるみたいだ・・・
悩みどころ 質問で答えているだけで本当かどうかは解らない
あと1万で NTT-Xで買えるぞ >>824
その設定例だとstatic naptってどう記述すればいいんだろ?
普通にpppoeでしか使ってないからいまいち良くわからない >>827
普通にTunnel0.0がWAN側だと思えばいいんでないかい? ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
D4EIP >>828
NECに聞いてみた
----------------
回 答
----------------
https://jpn.nec.com/univerge/ix/Support/ipv6/v6plus-staic/index.html
上記リンクのV6プラス固定IPサービス用設定において
社内IPv4端末に向けてNAPT設定を追加することは可能でしょうか?
実現不可と考えています。
NAPTを設定したインタフェースでパケットを
受信した場合、廃棄する動作になります。
お問合せの内容を実現する場合、GigaEthernet1.0に設定
することになると思いますが、その設定によりIPv4端末からの
インターネット(IPv4)への通信を廃棄してしまいます。
以上になります。 >>830
質問と回答の意図しているNAPT設定ってのがちょっと理解できてないな・・・ >>821
BR1225もCR1225も尼でも売ってるってあるけど、SNAPHATなバッテリーってあるの?
裸のバッテリーが欲しいのではなくて、乗っかるバッテリーが無いから割った、ついでにCR1225じゃ容量少ないからCR2032x2をはんだ付けしただけ。
今頃亀レスだけど・・・・ ix2105の設定事例でv6プラス固定IPサービスってあったので、固定IPではないv6プラスにも対応してるのかと思ったら、そうではない?
DMM光v6プラスには使用できないですかね?
770,809読む限り、無理なのかなあ >>834
IXにそんな機能はないんじゃないか?
プロキシDNSだけじゃね?と思う。 >>836
早速うちのIX2215を上げてみた
でも、今回は大きな変更は無いな >>839
いつも「リリース日」って本当にその日にリリースしてたのか疑問だったけど、今回はっきりしたわ。
少なくともIX2105に関しては、後になってから更新だったな。 リリース日は営業が客にリリース日だからな
WEB提供は後回しですわ fortigateと拠点間トンネル掘りたいのですが、
何か注意点やコツ等ありますでしょうか。。 IX2005使ってether-ip ipv6でトンネル張って、対向にインターネットへのルーティングしてもらってv4通信してるんですが、NAPTの設定がうまくできず、IX2005を二段にして外側IXと内側IXがグローバルIPで通信してる状況(固定グローバル/29で割り当てもらっでます)
これ、なんとか解消したい(特に、グローバルを無駄に使ってる部分)んですが、どうしたらいいんですかね・・・
以下外側IXの設定関連部分抜粋(no shut、v6DHCP設定など一部省略)、内側はFE0にグローバルv4、FE1にローカルv4で普通にNAPT設定
ip route default <DEST_V6_ADDR>
ip dhcp enable
!
bridge irb enable
!
interface FastEthernet0.0
no ip address
ipv6 enable
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6_client
bridge-group 1
!
interface FastEthernet1.0
ip address <GLOBAL1_ADDR>/29
!
interface BVI0
ip address <P2P_LINK_ADDR>/30
bridge-group 1
!
interface Tunnel0.0
tunnel mode ether-ip ipv6
tunnel destination <DEST_V6_ADDR>
tunnel source <FE0_V6_ADDR>
no ip address
bridge-group 1
bridge ip tcp adjust-mss 1404
! YAMAHA RTX1200のコンフィグをNEC IX2215用に有償で書き換えてくれるサービスってありませんか?
法人なら容易なのでしょうが、個人では受けてくれるところ全く見つからなくて困ってます。
コンフィグ書き換え費用+1年分保守現金先払い+次年度以降も1年単位で先払いでも受けてくれる会社を見つけられませんでした。
RTX1200でかなり詰めた設定にしてしまったこともあり、自分で1からIX221用のコンフィグ自分で構築しきれる自信がありません。
どなたか対応可能な会社ご存知でしたら教えて頂けませんか?
※IX2215は、新品購入&申請書取り交わしているので最新FWとマニュアル入手は可能になってます >>845
IXはRTXと比べて性能や安定性が優れているが機能は少な目といったことをはじめ、互換性が全くないので完全翻訳は無理。
「かなり詰めた」設定なら尚更。
外部に依頼するにしても、要件をしっかりまとめて一から作成してもらうのが後々良いと思うよ。 >>830
>>831
NAPTをポートフォワーディングとして捉えるなら、社内サーバは結局v6プラスの固定IPでは外部に公開できないって事になるな
それならDS-Liteとなんも変わらんからDS-Liteで十分って事になるな 静的NATはOKでNAPTは無理ってことは、IPv6 IPoEのv6プラスで固定v4アドレス1に対して社内のサーバは1サーバ(1アドレス)のみ外部に公開できるって事か
830の文章読むとIX2105でNATして4サーバくらいプライベートIPで稼働してて、それらをそれぞれ別々のポートで外から繋ぐのは無理って文章に見える ネットマイスターいいね。
ixかwaシリーズ欲しいな。 rtxからixのConfig変換でも
Configの正当性を確認するため
検証とかいいだして、たぶん
最低でも50万以上はかかるんじない?
俺なら自分でやるな。 >>844
■ipv4経路
ipv4インターネット-対向-bvi0-外側ix-fe1-fe0_napt-内ix-fe1
なのかな?p2p用/30と/29グローバルが
別レンジ?
■アドレス空間
(ipv4グローバル)fe0_napt内側ix(ipv4プライベート)
↓外側IXのbvi0で、naptって有効にできたっけ?
(ipv4グローバル)bvi0_napt外側ix(ipv4プライベート) >>853
あ、もしかして、p2p用/30は、
プライベートipv4アドレスですか? 内側IXは構成変更で
なくす事ができるんじゃないかな。
グローバルipは、少なくすることは
出来て、外(インターネット)に
出ていくようのnaptアドレスとして、
/30から1個割当ればいいと思います。
0にするには、vpnの対向側でnapt
してもらわないと、無くせない。 ix2215使い続けて5年近くになるけど、全くハングアップする気配がないね
そこそこの規模の事業所では、輻輳してハングアップしてるのかな??
自分の環境だと再起動が必要になった事はixが原因となった事は一度もない 企業向けだからだな。ハングアップしてたら
necは激烈に怒られ、もう他社に
しろってなっちゃう。
YAMAHAとCISCOと
競争しているわけだから。 オレの経験では、NECとアライドは全くハングアップしなかったな。
ヤマハはRTX810だけしか使ったことないけど、しょっちゅうハングして再起動が必要だった。
お客さんに納品した810も酷くて、選定したオレに責任があるんだけど、謝ってNECに買い換えてもらったわ。 >>853
/30と/29は別レンジです・・・
>>855
/30はp2p用のアドレスで、これとは別の/29をグローバルアドレスとして使わなければならずなのです univergeがTLS1.3対応って話はあるんでしたっけ? ■ このスレッドは過去ログ倉庫に格納されています
