YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
色々と考えさせられます。
やはり近年は、様々なネットサービスの多くはセッション数を大量に
消費するようになってきているのでしょうか。
今日、色々とアプリを起動したり、ブラウザのタブを開いたりしてみたのですが、
ブラウザのタブをたくさん開くと、やはりセッション数が増大します。 >やはりセッション数が増大します
あたりめーだろw >>260
torrent使うとWebどころかTelnetすら応答しなくなってきてびびった >>261
まああれだな
なぜそれぞれのタブに正しくパケットが届くのか知ってれば自ずと理解されよう 社員のほとんどが呪文を唱えた「Office365!」
RTX1000は即死した
RTX1100は即死した
RTX1200は動きが遅くなった
RTX810はなんとか耐えている
FWX120は余裕を見せている office365使ったことないのでわからないですが、セッション大量につかうんですか?
>>262
タブに関しては、以前に開いてあったタブをタップしても増大するという意味です
Safariがカスなのか、Chromeが優秀なのかソフトウェア固有の事情はよくわかりませんでした セッション数に上限つけたらアプリがおかしくならんの?
普通、fin後にすぐNATテーブル解放させて負荷軽くするもんじゃね? office365は、outlookのスケジューラがなぁ…。
「なに考えてるんだMS!」っていうセッションの使い方だよな。 >>268 ならんよw
そこまで絞ってるわけでもないし
あとoutlook(office365)の人の意見は無視していい
盛大な勘違いで赤っ恥状態だから無視してあげるのが親切 >>268
NATテーブルの解放のタイミングっていつなんでしょうね。
以前開いてあったタブをクリックして、show nat descriptor addressをすぐすると、増大しました。
そして、5秒後ぐらいでも、まだでていましたが、10秒ぐらいすると、減っていきます。
show nat descriptor addressの結果がリアルタイムかどうかも気になるところです。 入力形式: nat descriptor timer NATディスクリプタ番号 秒
nat descriptor timer NATディスクリプタ番号 tcpfin 秒
nat descriptor timer NATディスクリプタ番号 protocol=プロトコル
[port=ポート範囲] 秒
NATディスクリプタ番号 = 1-, 秒 = 30-21474836 または
1-21474836(tcpfinのみ)
説明: 動的なNATの組を消去するためのタイマを設定します
デフォルト値: 900, 60(tcpfin) ip filter 〜 の番号の採番ってどうしてますか。
すぐに、大昔のBASICで使ってた行番号みたいなスパゲティになっちゃうんですが。。。
この番号は、あちこちに使われますよね
しかも in と out と向きまである
・lan/pp/tunnelに対するフィルタ
・ダイナミックフィルタを手動で作るとき
・フィルタ型ルーティング
・ パケット転送フィルター
等々・・・ office365てかWindows10のアップデートがP2P仕様になったからだと思うけど違うの? >>274
ブランチキャッシュのこと言ってるのかもしれんが
それなら逆にFWの負荷下がるはず。 >>276
それは同一LAN内だけを選択した場合じゃね?
インターネット側も選択してたら提供される側提供する側両方になるとおもったけど そんな選択肢あったっけっていうか
外部に接続にいったらNW負荷軽減という目的がかなわないじゃん MSにとっては目的はパッチの早期適用なんで負荷軽減なんて次の次 CiscoさんのQoSって重くならないのかな?少し機になってる >>279
企業としての活動だから、セキュリティーをいい加減にしたというバッシングを避けようとしているのだろうな。
でも、その自動更新活動は、Windows10で過剰になって、ユーザーからのバッシングが高まっただろう。 VistaのUACみたいなもんならともかくなぁ
Googleあたりが見つけた脆弱性を公開する方針を変更しないと餌食になりまくってる気がする
スレチだけど 分離された192.168.100.0/24(ネットワークA)と192.168.200.0/24(ネットワークB)の2つのネットワークがあって、
ネットワークAに192.168.100.10でWebサーバーがあるんだが、2つ目のネットワークからこのWebサーバーが見たい。
RTXを2つのネットワークに所属するように設置し、プロキシサーバー的につかうことはできる?
(キャッシュするのではなく、Twice NAT的に使う) LAN1を100.0/24にしてLAN2を200.0/24にして
デフォゲにするかデフォゲの経路をちゃんと書けば余裕でしょ ネットワークAとネットワークBはルーター、PC含めて一切設定をいじらない前提です。 二つのネットワークのデフォゲってなによ
それぞれ別なルーター2台ある状態なのか?
プロキシサーバー的につかうの意味がわからん ネットワークAのデフォルトゲートウェイは192.168.100.1
ネットワークBのデフォルトゲートウェイは192.168.200.1
です。
ネットワークBのPCからブラウザでhttp://192.168.200.10を表示したら、
ネットワークAの内で192.168.100.10のWebサーバーにアクセスしたときと
同じ結果を得たいと考えています。
RTXのLAN2を192.168.100.254、LAN3を192.168.200.10に設定し、
RTXのルーティングでなんとかしたいです。
例)
ネットワークBのPC 192.168.200.150からアクセス
(1) 192.168.200.150:xxxxx→192.168.200.10:80のパケット送信
(2) RTXがLAN3のインタフェースから上記パケット受信
(3) 受信したパケットのSourceアドレスとDestアドレスを書き換えて
(3) LAN2のインターフェースから192.168.100.254:yyyyy→192.168.100.10:80のパケット送信
(IPマスカレード必要)
という感じで、戻りもキチンと考える必要があります。 ちなみに、Edgerouter使ったら簡単にできた。
ネットワークBからのルータを宛先とするPort80のInboundに対してDestination NATで宛先をネットワークAのWebサーバーに変更
ネットワークAへのOutboundに対してIP Masquerade。
会社でRTX 1100とCisco 1841が余っているから、これを使ってなんとかしたい。 LAN3に静的IPマスカレードを設定してLAN2にIPマスカレードを設定したら出来るんじゃね? >>289
でできそうだな
既存に影響与えないんだしRTX 1100で試してみたら? 監視サービス系のせいでnetvolanteの名前解決がコケるってアナウンスたったけど
そもそも、TTLが物凄く短く切ってあって
監視サービスじゃなくてもアクセスするたびに名前解決いくようなもんだから仕方ないような・・・ >>292 カタカナ用語が多いので短縮する癖が付くんだよ WPA2に脆弱性が発見されたそうだ。
もう原始時代に戻るしかないな。 企業ネットワークでAP設置しているところは多いと思うけど、
見直した方が良いんだろうね。
侵入されたときに備えて、セグメント分ける必要があるかも。 無線LANを使用中止にすれば、とりあえず安全だけど
無線LANオンリーにしてるところはどうするんだろ?
意識高い系のオフィスだと有線使ってないだろうし TKIPが入ってないアップデートが来ておしまいじゃね。 WPA/WPA2のハイブリッドモードにしていなければ桶? >>300
配線がごっちゃごっちゃになるから、
一時期完全な無線化も考えたことがあったが、
どうも公共の電波つかいながらの認証方式は信用できなくて、しなくてよかったわ。 NetvolanteDNSサービスはもうすこし柔軟になってもいいと思うの >>307
それができたら、netvolanteDNSの存在意義が変わってしまうし まぁ既存のDDNSサービスを簡単に使えるようにすればいいだけだけどな 話題になっている無線LANの脆弱性ってAP側じゃなくてクライアント側じゃん RTX830はUSBでコンソールつかえるらしいがteraTermからじゃ無理? USBでCOMポート割り当ててるんじゃね?
たぶんできると思うけど USBコンソールってどうなんだろうね。趣味以外の分野ではあと10年はRS-232C経由の指示が出そう
そろそろボーレートあげてほしい ATコマンドみたいに自動でDTE速度決める設計にしてほしかった そういえば、いまだにYamaha印のコンソールケーブル売ってないの?
シスコ製は持ってるので別に良いんだけど 管理インタフェース作ればシリアルとかいらんのにな。
頭固いCEの為に残してるって感じだな。 RTX1100のリプレイスの時に当時の箱開けて気づいたけど、昔はRS-232Cケーブル付属してたんだよなぁ
シスコさまもつけてるんだし、最初の機種ぐらい付属してくれてもいいのにね シスコさんは付属してないシリーズを推しているから
まあどうかな。 >>322
でも891FとかRTX1210と張り合う機種はついてるじゃん。
まー、イラネーヨってぐらい余ってるけどね。5年後ぐらいにはヤマハのメスコネクタ持って来るのわすれた!とかやらかしそう すいません、RTX1200でL2TPのリモートアクセスをRADIUS認証していて
とりあえす3ユーザの同時接続はできたんですが限界数の100までは
tunnelを残り97個記述しないとダメですか?
なんかえらい冗長な設定だなぁ、、、と。 >>324
そもそもRTX1200でL2TPなんて1人でもスピード出ないんじゃね? なのでRTX1210ではマルチポイントトンネルが実装された次第 この時間でも30M/bitほど出てますね。
実際にはスマートフォンのテザリング経由がメインなんで
一人1M/bitも出れば十分なんです。
実際の同時接続数も30ぐらいかもしれんのですが設定途中まで
やってこれ全部tunnel作らないといけないのか?ってなりまして。 >>326
なるほど〜。やりたかったのはコレですね。
しょうがない全部記述するか。 マルチポイントはL2TP非対応なので、結局はRTX1200と変わらないんだよな… >>330
これで十分ですわ。ありがとう。
>>331
IPsec XAUTHってどうなんでしょ?Windwso10で接続できるんかな? >>328
そこまで人数いるならYAMAHAは運用コスト高くなりがちでお勧めしない
可能であればFortigateあたり追加したほうが・・・
予算無ければ適当なサーバにpfSenseとかの方がまだマシ 運用コスト重視でいくとVPNのためだけにFortigateをベースモデルで買うのももったいない話だがなw >>332
Radiusはもうあるなら、実験するのは簡単なんだから
テスト用に1個作ってみればええやん
Windows、MAC、iphone、Android・・・
端末のテストがやってられないけどw >>335
まあ、だから実績のあるYAMAHAのL2tpでやってるんですけどね(-_-;) ひまだから>>330のやつやってみたけど「ip tunnel tcp mss limit auto」はコピーされないっぽいな。
確かに識別番号とか無いコマンドだからしょうがないんだろうけど「l2tp tunnel disconnect time 600」なんかはコピーされてるし
tunnel select 3
tunnel template 4
って入れるだけでtunnel4にコピーされてて不思議な感じ。pre-shared-key一緒だとほんとこれだけ。
sh con tunnel 4 expand
ってやると展開された結果が見えるけど、普通にsh conだと何もないから不気味だし
保守性落ちるからコメント必須だろうな ループ処理するスクリプト書いてconfig生成すりゃいいじゃん
今時簡単なコード書けないやつは直ぐ食いっぱぐれるぜ >>338
もう10年くらい前からコード書けないと駄目人間扱いされるわ
俺は配線工事できるから、そっちで食いっぱぐれないけど この先生きのこるために、無線案件こなしてかなきゃな
手離れ悪いから正直やりたくない
配線工事兼務なんて基本じゃ 全部中途半端なんだろうけど、
ネットワーク関係(小規模のネットワーク構築、ルーター設定)
IP電話(ASTERISK)
プログラミング(C#で業務ソフトウェア構築)
サーバ構築(Linuxで、postfixメール、sambaファイルサーバ、)
一通りするよ。 ヤマハルータ扱ってるとこは電話屋がVoIPに乗った時にやってるイメージ
で、社内にパソコンに強い奴がいたらサーバとかもやるようになってそいつが辞めて大変なことに・・ IPv6 MAP-E 対応は予定ないらしい。
マッピング解釈なんてしなくてイイから、NATポート範囲15ブロック許容して欲しいんだが。 フィルター番号を横にずらずら書くの何とかしてくれないかな
リストしても見づらい、コピペも大変。
ip pp secure filter out 20010-20090
と書くことができればよいのだが。
あるいは日電みたいにまとめて名前付けるとか SRT100,FWX120のフィルタはみてるだけで発狂しそう >>345
同意だけど自分の環境では範囲指定4つでも困ってないな vpn構築してテレビ会議を導入したいのですが、配信and録画もできて、アーカイブ残せるソリューションでいいところありますか? skype for businessがコスパ最高なんじゃないかな。
専用ソリューションならソニー、NECだろうけど。 インターネット越しのサーバが処理するような配信、録画できるソリューションと、
VPN構築してP2Pでできるソリューションなら、圧倒的にVPN構築したほうがやすいですよねぇ テレビ会議ならwebrtcでええんでねえの?
vpnいらないと思うが録画ができたか知らない スレ違い失礼しました。
RTX3500をもっているのですが、上長がインターネット越しのサービスを使おう
といってきたので、せっかくRTX3500もってるのなら、
もっと安価に構築できないかと思っていたのです
webRTCも検討に入れてますが、アーカイブをどう残していくのかが課題となりそうです >>359
技術的にはキャプチャでも可能ですが、
誰が使っても扱いやすいようなものにしたいというのが要望なようです
個人的には、webRTC使って開発してみたいですけどね ■ このスレッドは過去ログ倉庫に格納されています
