Ciscoのスレッド 0/11 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
>>28 IPsecトンネルでIKEが何をやり取りしているかを考えれば ルーティングで解決できる問題じゃないことがわかると思う >>28 crypto map は seq 使って複数書ける(それが昔からの書き方)から、まずはそうしてみた上で、他にも問題があったらそれをシュートしてったほうが早い。 動かないってメーカが言ってることを実践して動かないって言ってても問題は解決しない。 承知しました。 まだseqは試せていないので月曜にやってみようと思います。 相変わらずハマっております... まず、以下のようにaccess-list使用してみましたが繋がりませんでした。 access-list [outside_cryptomap] extended permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0 access-list [outside_cryptomap] extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0 crypto map [outside_map] 1 match address [vpn] crypto map [outside_map] 1 set pfs crypto map [outside_map] 1 set peer [RTX(1)のGlobal IP] crypto map [outside_map] 1 set ikev1 transform-set [FirstSet] crypto map [outside_map] 1 set reverse-route crypto map [outside_map] interface [outside] 後はNAT Exemptionをそれぞれ設定しています。 この状態で「繋がらない状態のLAN2」からサーバAへPINGを打つと以下のログが出ます。 402116||IPSEC: Received an ESP packet (SPI= 0x506FBD9F, sequence number= 0x45B) from [RTX(1)のGlobal IP] (user= [RTX(1)のGlobal IP]) to [ASAのGlobal IP]. The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as 192.168.10.10, its source as 192.168.2.10, and its protocol as icmp. The SA specifies its local proxy as 192.168.10.0/255.255.255.0/ip/0 and its remote_proxy as 192.168.1.0/255.255.255.0/ip/0. また、以下のようにseq変えて設定してもほぼ同じログが出ます。 access-list [outside_cryptomap_1] extended permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0 crypto map [outside_map] 1 match address [outside_cryptomap_1] crypto map [outside_map] 1 set pfs crypto map [outside_map] 1 set peer [RTX(1)のGlobal IP] crypto map [outside_map] 1 set ikev1 transform-set [FirstSet] crypto map [outside_map] 1 set reverse-route crypto map [outside_map] interface [outside] access-list [outside_cryptomap_2] extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0 crypto map [outside_map] 2 match address [outside_cryptomap_2] crypto map [outside_map] 2 set pfs crypto map [outside_map] 2 set peer [RTX(1)のGlobal IP] crypto map [outside_map] 2 set ikev1 transform-set [FirstSet] crypto map [outside_map] 2 set reverse-route crypto map [outside_map] interface [outside] 402116||IPSEC: Received an ESP packet (SPI= 0x0C398269, sequence number= 0x36) from [RTX(1)のGlobal IP] (user= [RTX(1)のGlobal IP]) to [ASAのGlobal IP]. The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as 192.168.10.10, its source as 192.168.2.10, and its protocol as icmp. The SA specifies its local proxy as 192.168.10.0/255.255.255.0/ip/0 and its remote_proxy as 192.168.1.0/255.255.255.0/ip/0. ログが言ってる事はなんとなく分かるのですが、それを解決する方法が検討も付きません... 質問失礼します。 891FJと892Jでxconnectを行っております。 891FJのFa0と892JのFa8でのxconnectには成功するのですが。 891FJのVlan1と892JのFa8でのxconnectには失敗します。 設定もまったく同じでインターフェイスをFa0からVlan1に変えただけです。 原因がまったく思いつかず手詰まり状態です ご助力お願いします。 >>34 の続き ■891FJのFa0と892JのFa8でのxconnectの設定■■■■■■■■■■■■■■■■■ --891FJ---------------------------------------- l2tp-class L2TP_CLASS-TEST pseudowire-class PW_CLASS-TEST encapsulation l2tpv3 protocol l2tpv3 L2TP_CLASS-TEST ip local interface GigabitEthernet8 interface FastEthernet0 xconnect 10.0.0.2 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST no shut interface GigabitEthernet8 ip address 10.0.0.1 255.255.255.0 no shut >>35 の続き --892J----------------------------------------- l2tp-class L2TP_CLASS-TEST pseudowire-class PW_CLASS-TEST encapsulation l2tpv3 protocol l2tpv3 L2TP_CLASS-TEST ip local interface GigabitEthernet0 interface FastEthernet8 xconnect 10.0.0.1 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST no shut interface GigabitEthernet0 ip address 10.0.0.2 255.255.255.0 no shut --sh l2tp tunnel allでのステータス-------------- 891FJと892Jの両方で Tunnel state is established, time since change **:**:** と表示されます。 >>36 の続き ■891FJのVlan1と892JのFa8でのxconnectの設定■■■■■■■■■■■■■■■ --891FJ---------------------------------------- l2tp-class L2TP_CLASS-TEST pseudowire-class PW_CLASS-TEST encapsulation l2tpv3 protocol l2tpv3 L2TP_CLASS-TEST ip local interface GigabitEthernet8 interface FastEthernet0 xconnect 10.0.0.2 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST no shut interface Vlan1 shut interface GigabitEthernet8 ip address 10.0.0.1 255.255.255.0 no shut >>37 の続き --892J----------------------------------------- l2tp-class L2TP_CLASS-TEST pseudowire-class PW_CLASS-TEST encapsulation l2tpv3 protocol l2tpv3 L2TP_CLASS-TEST ip local interface GigabitEthernet0 interface FastEthernet8 shut interface Vlan1 xconnect 10.0.0.1 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST no shut interface GigabitEthernet0 ip address 10.0.0.2 255.255.255.0 no shut --sh l2tp tunnel allでのステータス-------------- 891FJと892Jの両方で Tunnel state is Est-No-User, time since change **:**:** と表示されます。 >>33 ASAとRTX(1)とACLが一致していない(完全ミラーになっていない)のではないでしょうか? ASAではPhase2で192.168.10.0/24 と 192.168.1.0/24をProxyIDでネゴして出来たIPsec SAなのに RTX(1)で192.168.2.0/24からの通信を暗号化してASAに送出してしまっているのでASAでエラーになっています。 RTX(1)でも192.168.1.0/24と192.168.2.0/24を分けてそれぞれで別々にSAが生成されるようになれば通信できるようになります。 こんなとこで聞くよりciscoのforumで聞いた方がいんじゃね? >>39 まず、現状をまとめると >>19-20 に加えて >>26 のRTX(1)LAN1・RTX(1)LAN2のどちらか一方のみに繋がる状態です。同時には通信できません。その切り替わりのタイミングは未だ不明です。 RTX(2)・RTX(3)・RTX(1)LAN1・RTX(1)LAN2 は相互通信可能です。 RTX(2)とRTX(3)は直接VPNを通していませんが、それでもRTX(1)を経由して相互に通信出来ています。 RTX(1)でそれぞれ別々にSAが生成...となると、ASAからRTX(1) LAN1、ASAからRTX(1) LAN2に加えて ASAからRTX(2)、ASAからRTX(3)、と全てのVPNルータを繋げる必要があるメッシュ型なイメージでしょうか? 実際にはRTX(x)は他にもあるのでRTX(1)を中心としたスター型にしたいのですけど。 なんか調べれば調べるほどaccess-listに通信可能としたいIPを書いておけばOK みたいに見えるのですが...難しいですね >>34 >891FJのVlan1 >>37 を見ると 891FJ の Vlan1 は shut って書いてあるね >892JのFa8で >>38 を見ると 892J の Fa8 にも shut って書いてあるね さて 891FJ の Fa0 も Gi8 もルーターポート。 892J の Fa8 も Gi0 もルーターポート。 でもって、>>38 を見ると、Vlan1 を明示的に指定している物理ポートが無いが 相手ルーターとは Fa0〜Fa7 のスイッチポートのどれかで繋いでるの? まさか shutdown 中の Fa8 に繋いでるんじゃないよね? >>42 ,43 ご指摘ありがとうございます。 どうやらテキスト編集の際にミスが有ったようです >>37 ,38は誤りです、正しくは以下となります ■891FJのVlan1と892JのFa8でのxconnectの設定■■■■■■■■■■■■■■■ --891FJ---------------------------------------- l2tp-class L2TP_CLASS-TEST pseudowire-class PW_CLASS-TEST encapsulation l2tpv3 protocol l2tpv3 L2TP_CLASS-TEST ip local interface GigabitEthernet8 interface FastEthernet0 shut interface Vlan1 xconnect 10.0.0.2 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST no shut interface GigabitEthernet8 ip address 10.0.0.1 255.255.255.0 no shut >>44 の続き --892J----------------------------------------- l2tp-class L2TP_CLASS-TEST pseudowire-class PW_CLASS-TEST encapsulation l2tpv3 protocol l2tpv3 L2TP_CLASS-TEST ip local interface GigabitEthernet0 interface FastEthernet8 xconnect 10.0.0.1 1 encapsulation l2tpv3 pw-class PW_CLASS-TEST no shut interface GigabitEthernet0 ip address 10.0.0.2 255.255.255.0 no shut --sh l2tp tunnel allでのステータス-------------- 891FJと892Jの両方で Tunnel state is Est-No-User, time since change **:**:** と表示されます。 編集ミスにしちゃえらい違うようだが、気を取り直して でもって、>>44 を見ると、Vlan1 を明示的に指定している物理ポートが無いが 相手ルーターとは Gi0〜Gi7 のスイッチポートのどれかで繋いでるの? まさか shutdown 中の Fa0 に繋いでるんじゃないよね? >>46 失礼しました、端折り方が下手くそでした、補足情報です。 接続は以下のように行いました PC1----(Gi0,VLAN1)891FJ(Gi8)----(Gi0)892J(Fa8)-----PC2 ※891FJのGi0はスイッチポート。Gi8はルーテッドポートです。 891FJのVLAN1が正常にUPするように、Gi0をVLAN1に所属させ、PC1と接続しています。 ルーターポートに設定した場合にしか機能しないんじゃない? 891FJ のデフォルト Vlan を 1 以外に再定義して、 サブインターフェイスGi8.1 を設けてそこに設定してみたら? >>48 VLANでしかxconnectが機能しないということはありませんでした。 891FJを2台つなげてVLANに設定したxconnectが正常につながることを確認しています。 892Jのルーターポートと891FJのVLANによるxconnectでのみ接続できない状態です。 >>49 一部訂正です。 誤 : VLANでしかxconnectが機能しないということはありませんでした。 訂 : ルーターポートでしかxconnectが機能しないということはありませんでした。 CISCO 891FJとnetscreen 25でIP-VPNつなげる事になったんだけどうまくいかない・・・ https://okwave.jp/qa/q6261430.html ↑に書いてある通りSSG側はルートベースじゃなくてポリシーベースで設定しないといけないのって 本当? >>50 あなた >>35-36 でルーターポート同士の接続ではうまくいって >>37-38 で片方に Vlan を噛ませるとうまくいかないからって質問してるんじゃないの? >訂 : ルーターポートでしかxconnectが機能しないということはありませんでした。 じゃあそのちゃんと機能した時の config はどうだったのよ そうやってアドバイス受けるたびに重要な情報を小出しにしたり、あげくに全然違う 情報を出してきて今までの前提を覆したりしてると 誰も相手してくれなくなるよ >>53 質問の内容はルーターポートに設定したxconnectとVLANに設定したxconnectで接続がうまく行かなくなる。 (ルーターポート同士、VLANポート同士ならうまく行く) という物です。 訂正が混ざって読みづらくはなっていますが現状だせる情報は全て出しておりますし。 また、後半のご指摘に関してですが、>>48 で出していただいたxconnect自身がVLANに設定しても動作しないのではないか、と言う意見に対して、>>49-50 で動作確認済みとの返事を行なったものです。 特におかしな事は無いと思いますが。 >>51 ciscoがidだけを明示的に書けないんでうまくACLで乗せてやる感じ。 Catalyst の IOS 、これまで使ったことなかったから興味本位でGUI使ってみたんだけど、 どのブラウザ使っても正常表示されず。サポート情報みてたらVistaまでって。 L2SWでGUI使う必要性もあんまりないけど、ちょっとした設定とか負荷状況みるだけなら GUIがサポートされててもいいと思うんだけど、現行OSバージョンでも開発止まってるのは残念だな。 ちなみに使ってるのは IOS 15.2(2)E6 。 GUIはerr-disableをすぐ見つけたい時くらいしか使わん。 ASAもAironetも含めCiscoのGUIはクソ。 Merakiは良いけど。 >>56 SNMP叩けばいいじゃん 負荷見るだけなら >>58 まあそうなんだけど、ぱっとOIDでてこないときもあるしね。 Cisco8.3以前しか使ってなかったけど、久しぶりに触ったら構文変わってんのね。 ちょい質問なんですけど、下のnatの設定をしたいんだが、 8.3以降だとなんかobject-network?みたいなやつやらなあかんのですか? ※アクセスリスト以外を許可する設定。 ---------------------------------------------- global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 ---------------------------------------------- 昔の構文で入力すればおk。 内部で変換して今様な形式にしてくれる。 >>60 PIX とか ASA の奴? ルーターと流儀違うのでよくわかんないや ものすごい今更なんだが↓みたいな構成で PC---0/1 Catalyst 0/2---サーバ PCからサーバにあるデータをダウンロードしたとき、show interface の結果は 0/1 の input が増えて 0/2 の output が増えるものと思っていたんだけど、逆なんだな。 (受信が input で 送出が output だと思ってた) ouput は外からのパケット受信、input は内側からのパケット受信って理解すればいいのか。 >>63 いや、普通に各ポート視点でパケットが受信されてるのか送信してるのかで 考えればいいだけじゃないん >>63 catalystの気持ちになって考えれば至極当然の結果 (いや、データの元先がごっちゃになってないか?) ちなみにパケット数は余り変わらないはず。 >>63 むしろお前のような解釈する奴がいることに驚く。 >>63 なんでみんなレスしてるんだろうと思ったら 最後まで間違っとるやんけw 63です。 皆さんの書き込みを見て、壮大な勘違いをしてたことに気付きました。 (Catalyst でなく完全にPC、サーバ視点で考えてた) 言われているように、Catalyst視点で考えれば当たり前の結果でした。 スッキリ。 ここまでではないにせよ、一人とかトレーニーと一緒に検証やってると、 たまにログの読み方が間違いで、何時間って無駄にすることはある。 一人で考え込むとよくある話? シスコ行くとMerakiのゲストネットワーク用意されてるよ 秋葉原 美の邸 ここのゲストwi-fiがメラキだった >>56 GUIって「ありますよ(一応)」って言うためだけに実装してるのが実情 なんか問題有っても「未対応なんでCLIでお願いします」って言うのがテンプレ そもそもCiscoのGUIで扱いやすいものって基本的に無い(作る気もない) >>81 やっぱりそういうものか。 GUI使って設定してる人も見たことないし。 しょっちゅう使ってればいいんだけど、 久々に触ろうかっていうときにCLIはわかりにくいから、 GUIにも力入れてくれればいいんだけど、少数派だろうか。 他の機器でも、込み入った設定するならCLIで、 ちょっとした設定変更ぐらいならGUIが楽だから。 C社のNW機器でGUIが扱いやすいものって殆ど無いんじゃないかな、ACI含め 買収したとこのUC系製品は多少あるかもだけど ASAのASDMはマジでクソだよ。。 メラキのSEがCisco全般のGUI担当して欲しいよ。 >>83 すでにある人的資産のこと考えると、GUIに力入れても使ってもらえないケースが多いんだから そんなところにリソースを割かないのは正常なんじゃないのかな? 競合他社がcisco倒すためにGUIで勝負するなら、それはそれで有りだと思うが お買い得? 情報 C841M-4X-JSEC/K9 半年保障の中古 10,000円(税別/送料別) http://www.itproduct.jp/info_C841M-4X-JSEC >>87 それより新品のこっちの方がいい https://nttxstore.jp/_II_QZX0014250 それにしても841Mの後継機種なかなか出ないな SM9FCSC4M001というIOSが入っている旨のPCカード見つけたんですが PCカードを挿せるCISCO実機がなく、古いノートPCで見ようと ドライバを探すもネット上に落ちていませんでした。 どなたかご存じないでしょうか? >>90 今更見ても意味無いゴミと思うんだけど。 AMDフラッシュカードAm29F016でいけるみたいだよ。 Linuxのlive CDとかで読んでみるのも良いかも。 >>89 知名度はあっても、国内の10万円以下ルーターは圧倒的な大差でYamahaが売れてるからだと思う エンプラ向け10万以下だと、俺の回りはixの方が多いんだけどな。 ヤマハってどこで使われてるん? >>94 一般的な民間やコンビニじゃない? 自分の知る限り、上水は比較的に多い気がする。安価だから。 IXはどうだろう、特定の業者しか選択しない様な。 19インチラックへの収まりが悪いのも有るんじゃね YamahaとかNECって、ラックサイズの1/2とか1/3にして 横2台・3台ぴったり収まるじゃん 奥行小さくする前に横幅なんとかしろと・・・ >>95 NEC関係者はファーストチョイスだろうけど 零細小企業だと「とりあえずYamaha」なイメージはあるな さすがに「おめーらバッファローでも使ってろ」とは口に出せないし >>97 でも、値段は変わらなくて性能がIXのがいいんだよな もったいない このクラス(Yamaha/NEC/Cisco)で性能って気にするもんなのか? 接続先のVPNが癖のあるFWだとそれに合わせられるルーターが必要ってのはたまに聞くが やれスループットがどうたら、NATPセッション数がどうたら なんての要求されるか? せっかく線が1GbpsだからNW装置でボトルネックになるともったいないよね。 みたいな貧乏性。 ボトルネックが気になるほど外側速いんか? NUROBiz@新宿区がRTX1200で920Mbps位コンスタンに出てるが それ以外の回線でボトルネックとか考えるもんかね・・・ そんくらい家庭用のブロードバンドルータでも出るでしょ。 差がつくのはppsと思うが。 >>99 使用拠点に依る、としか言いようがない。 想定より利用者が多かったとか専用アプリがセッション使いまくってて NATテーブル溢れたなんていうのはよくある話。 NATテーブル対策なんてYAMAHA入れるなら当たり前にするだろ C841Mはオクも含めてたくさん出てるけどC841M-4X-JSEC/K9 ばかり JSEC/K9は Featureが Advanced-Security 固定で、 データシート見るとPPPoEは対応していないようにみえるけど、実際のところどうなん? https://www.cisco.com/c/ja_jp/products/collateral/routers/800m-integrated-services-router-isr/datasheet-c78-732678.html >>105 価格がJSEC15K、JAIS26Kなんで勉強するならJSEC 運用で使うならJAISって感じじゃね JSEC2台分と思うか、+11KならJAISと思うかは人によるっしょ PPPoEは一般的なプロパイダは全て接続できるよ PPPoE接続時のAIP絡みの事はそら出来ないとは思うけど当たり前だし IXは販売店経由のものを扱ったことがないから何とも言えないけど、サポート契約周りが面倒臭いイメージだな。 Ciscoも同様なんかね。 >>99 特定の計測通信機器をVPNで多数接続するから、寧ろNATテーブルを 気にしてというのはあった。 JSEC/K9をゴニョゴニョしてJAIS/K9にできたりしないん? >>105 フレッツ光 とかに繋げるレベルの話なら、 PPPoE 対応してなかったら SOHO だの家庭用だのの用途全滅でしょ。 Advanced IP Services、Advanced Security はもちろん、 IP Base でも PPPoE には対応していますよ。NAT(IPマスカレード)も使えます。 ただ、IP Base で使えるファイヤーウォール機能が ip inspect コマンドを用いるいわゆる CBAC(Context-Based Access Control)に限定されて、ZFW(Zone-Based Policy Firewall) を使いたければ、最低 Advanced Security を用意する必要がありますが、 まぁ基本的なことは(極端に古いものでなければ)どれでもできます。 >>108 FeatureSet のアップグレードは出来なかったはず。 確かそれでまるごと買いなおした話が Blog にあった。 最近の機器では、IOS のイメージは FeatureSet 別じゃなく Universal になっている。 スイッチや 1921 以上のルーターでは FeatureSet ライセンスを購入してアクチベーション することで(ファームウェアの書き換えなしに)アップグレードができる。 だが、C841M-JSEC 向けのライセンスが販売されていない以上どうにもならん。 逆に、「C841M-JAIS のIOSイメージさえ入手すれば うへへへへ」 なんてのは、甘い。 >>109 やはり対応してるか… JSEC/K9がPPPoEに対応してないはずないと思いつつも、 データシート信じてJAIS/K9 かっちった 家庭用途ならJSECで十分だったなぁ そういや、みかかの箱蹴り職人のところで C2960L シリーズが安くなっていますね。 まさか IOS搭載の24ポートモデルが2万円でお釣りが来ようとは... 16ポートと24ポートのを2つづつ買っても5万円で収まる。 2960Lは扱いが適当なのか MDなくてEDのみのリリースか > 在庫:△ 在庫僅少ございます。 > お願い: この商品はお一人様99台までとさせて頂きます。 草不可避 箱蹴り職人頑張れ まあでも今でも99台カートに入るから在庫僅少表記の基準が高いのかな?みたいな。 2960L って Featureが LAN Lite じゃないですか >>119 そうだね まぁ IP Services とかはあり得ないしね 2960X も安いのは LAN Lite だね スペック足らなけりゃ2960Xの-Lなり買ってくれってことなんだろ 変なスマートスイッチとか買うよりは LAN Liteでも全然いいかなとは思う >>126 といいつつ 2960Xの-LL 発注してしまってドツボ踏む、とかw ・・・やりそうで怖い < オレ 自宅用に2960L、16ポートモデル買ってみた。 もともと8ポートのアンマネスイッチ入れてた所の置き換えに。 ポートvlanができて、LAGGできて、エラーカウンタ拾えれば十分な用途なのでいい買い物でした。 >>127 そう思う。 Netgear のアンマネプラスかマネージド買おうと思ってたところにここの書き込み見つけて幸いだった。 netflow 喋れないのだけは残念。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる