Ciscoのスレッド 0/12 [無断転載禁止]
■ このスレッドは過去ログ倉庫に格納されています
>>154
現在のフレッツ網(NGN)はエンドユーザーにはIPv6しか使えない。そして標準的な提供状態はNGN内の通信しかできない仕様。
なおNTT東西は法律で所謂プロバイダはできない。
NGN網にIPv4は直接流せないからIPoEやPPPoEでインターネットできる所までトンネルする必要がある。
なお、NGNのIPv6はv6オプション有効後にプロバイダでIPv6の契約をするとVNEの持っているv6アドレスが振られ、NGNに接続されているVNEのGWを経由して直接インターネットに出られる様になる。
まあ、こんな感じ。 >>156
ご回答ありがとうございます
質問の仕方が悪かったのか上手く伝わっていませんでした
IPv4に直接流せないというのは技術的に不可能なのか、意図的に流せないようにしているのか、
これもNTT法か何かで決まっているのですか
PPPoEでトンネルをはらずにIPv4でNGN内をルーティングするのはダメなのですか? たぶんIPv4は古いし設計の自由度が下がるしどこかで移行させないとダメ等の理由でメリットが全く無いから設計段階からエンドユーザーがネイティブで使う事は考えていない。だから使えない。
ルーティングするには網内にエンドユーザーがアクセス可能なv4ネットワークが無いとダメだから無理ですよ。ルーティング先が無いでしょ? PPPoEしてるからプロバイダを自由に選べる
いつでも切り替えられるし同時併用もできる
IPoEは無理
利便性取るかパフォーマンス取るかだよ Cisco 800M シリーズルーター
背面のスロットに取り付けられる拡張カードとして高速シリアル WIM-1T の設定があったけど
いつの間にか、Dual SIM 3Gカード WIM-3G と Single SIM LTEカード WIM-LTE-AS なんての
も出てたのね。
WIM-LTE-AS は日本でも取り扱って欲しかったなぁ・・・ 日本だと841mはcisco startで出したから国内向けに出すとしたらGUIも作らなくちゃいけなくて面倒だったんじゃない? ONUからDHCP-PDでIPv6貰ってLAN側に付けたHGWに光でんわやらせるってできる?
891FJ使う予定 10年モノのフロア用アクセスSW 3750から異音がし始めたのでリプレースするんですが
FS.comってブランドの糞安いスイッチ使ったことある人いますか?
ttps://www.fs.com/jp/products/72946.html 1桁値段を間違えたぐらい安い 普段テレビなんぞ見ない俺が連休でちょっと見てみたら
なんでCiscoがTVCMなんかやってんだ
しかも渡辺直美とか意味が分からん
金余ってんのか >>166
90年代終わりからドットコムバブル弾けるまではちょいちょいCM出してたけどな >>166
小企業やSOHO向けに直販はじめたから知名度向上のため >>168
Ciscoって直販してるの?
代理店経由じゃないと買えないと思ってたわ 海外だと普通に電気屋でCisco売ってるけど、ようやく日本もそうなるのか ciscoもそろそろSOHO向けにガチらないとやばいと思うけどね
ubiquitiのedge routerとか50ドルでIPserviceと大差ない機能使えるしISRシリーズじゃとてもじゃないけど価格面で太刀打ちできないと思うわ
国内でもどっか大手のベンダーがソリューション売りすれば中小は一気に流れそう どうだろう。841Mとかで試してみて日本における小規模顧客の難しさを実感したんじゃないかな。
Linksysが存在していない市場での戦い方の手探り感というか。 保守と言えば C841M の EOS/EOL 出たねぇ。
販売終了が今年10月末、サポート終了が 2024年10月末 だって。5年後か・・・
置き換え先は、
C841M-8X-JAIS/K9 -> C1111-8P
C841M-4X-JAIS/K9 -> C921J-4PJSA
C841M-4X-JSEC/K9 -> C921J-4PJSEC
とのこと。ライセンスバンドル版の C921J は日本限定で、
900 ISR シリーズは日本ではこの C921J-4P のみの発売みたい。
ただこれ C841M が IPv4スループット 1.9Gbps、IPsec 350Mbps となってるところ
C921J は IPsec 250Mbps ってことなんで性能劣化してますね。
もうそろそろ SFP+/mGig 搭載した安価なハイパフォーマンス機が欲しいなぁ・・・
一方、C891FJ-K9 や C892FSP-K9 はまだアナウンス出てないので、しばらくは
安心して使い続けられますね。 https://internet.watch.impress.co.jp/docs/column/shimizu/1182024.html
> こう言っては失礼だが「Ciscoらしくない優しさ」だ。個人的には、もっとアラがあるのではないかと思っていたが、予想以上に普通に使える。 しょうもない評論家だな
外車に忖度しまくるヘボなジャーナリストと同レベル Buffaloなんか多分ど素人相手に長時間の電話サポートやってるよな
Ciscoにその覚悟があるとは思えん ISR 4000 シリーズとか
ASR 1000 シリーズとか
発売されてもうそろそろ4〜5年くらい経つけど そろそろ後継機種の噂とかないのん? 不定なアドレスが降ってくるDialerの特定ポートへの通信をvrf上の端末の特定ポートに流したいのですが
ip nat inside source static tcp 192.168.1.1 1111 100.100.100.1(Dialer) 2222 vrf vrf_name extendable
上記設定だとdialer側のアドレスが100.100.100.1から変わった時に追従できません、追従させるにはどうしたら良いでしょうか
ip nat inside source static tcp 192.168.1.1 1111 vrf vrf_nameA interface dialer 1 2222 vrf vrf_global extendable
のようなコマンドがあれば良いのですが >>182
vrfまたぎでルーティングしたいってこと? Cisco製品にハードウェア改ざんの脆弱性、「Secure Boot」実装のルーターやスイッチなど
多数に影響 2019年05月14日 12時30分 公開 [鈴木聖子,ITmedia]
https://www.itmedia.co.jp/enterprise/articles/1905/14/news083.html
Cisco Systems(以下、Cisco)のルーターやスイッチなど多数の製品に使われている独自
技術の「Secure Boot」にハードウェア改ざんの脆弱(ぜいじゃく)性が報告された(CVE-
2019-1649)。同社は2019年5月13日にセキュリティ情報を公開して、対応を説明した。
それによると、Secure Bootの実装に関連したハードウェアコンポーネントへのアクセス
コントロールを処理するロジックに、脆弱性が存在するとのこと。悪用されれば、認証を
受けたローカルの攻撃者が、改ざんしたファームウェアイメージを同コンポーネントに
書き込めてしまう恐れがある。
攻撃を受けたデバイスは、使用不能になってハードウェアの交換が必要になる可能性がある。
また、Secure Bootの認証プロセスが改ざんされれば、状況によっては攻撃者が悪質なソフト
ウェアイメージをインストールして起動できてしまう可能性も指摘されている。(中略)
Ciscoは脆弱性に対処するソフトウェアアップデートを開発中だが、ほとんどの場合、
アップデートに加え個別のプログラミングが必要になるとしている。(中略)
Ciscoは、今回の脆弱性を悪用するには管理者特権でデバイスにアクセスするなど、
幾つかの条件を満たす必要があると説明する。
一方Red Balloon Securityは、「Cisco IOS XE 16」に存在するリモートコマンド挿入の
脆弱性も指摘している。この脆弱性とThrangrycatを組み合わせることで、リモートの攻撃
者がSecure Bootの仕組みを迂回(うかい)して、TAmに対する以降のソフトウェアアップ
デートを締め出すことが可能だとしている。 IOS-XE機だけとは思うけど、結構普及してるから大変そう… この脆弱性を利用した攻撃が成功してしまう時点で、そもそも最低限の防御もできてないって事だと思うのだけれど。 ヤフオクの891FJ 1GbEなのになんで安いですか
訳ありですか? 単純にリプレースしたあとの放出品じゃないの
早いとこだとそろそろ891FJ→ISR1000 or 4000にリプレースしてるやろ >>187
当時 新品で6万円弱くらいで買えた機種だからね。
数が一気に出てきているのと、CISCO892J に型番が近いので低性能機だと思われて
いるのか、性能以上に安くなってる感じだね。
まぁ、GbE で IPスループット 1.9Gbps、IPsec 350Mbps ってことになっているけど、
PPPoE + NAT + ZBF(ゾーンベースファイヤーウォール)ショートパケットだと 300Mbps
くらいしか出ないよ?
ZBF を使わずに SPIファイヤーウォールにすれば もうちょっとスピード出るけどね。
ついでに、C891FJ につられる感じで C892FSP が激安になってるね。まだ現行機種で
新品で買うと 12万円くらいするんだが、ヤフオクで 3,000円くらいになってたんでゲット
した。 >>188
まだ EOL どころか EOS にすらなってないから、「保守契約が結べなくなるから」って理由で
買い替えなきゃいけなくなった、ってことはないので、
まぁ、4年リースでリース期限切れたから有無を言わさず引き上げになったとかなんだろうね。
C1111 も(IOS-XE になったこと以外)性能はたいして変わんないからねぇ。もったいないけ
ど中古狙いの個人としては有難いところだね
C899G-LTE とか安く出てこないかな >>189
PPPoE + NAT + ZBFW + IPSだと80MbpsでCPUが100%に張り付いたよ
IPSを外しても90Mbpsで85%くらいだった
ちなみにspeedtest.netでスループット測定してるからショートパケットでもない なぜそんな速度出ないのに選ばれるのか大学生にわかるように教えてほしい
それこそ中小ならRTXとかIXで事足りると思うんだけど >>192
企業で使う場合はPPPoEを使わない事が多いからスループット出るよ
あと世界中で使われてるからファームウェアのバグが洗い出されてる
初物はバグが多いからアレだけど、発売から1,2年経てばある程度安定してる事が多い
世界中で使われてるからググれば大体の事は解決できる ショートパケットはyamaha よりも高速、
という話だった。 >>193
利用者が多いから情報が多いってのとバグが洗い出せるってのは理解できたけど、企業がPPPoE使わないでどうやってインターネット出るの? >>195
フレッツなんちゃら、とかじゃなくて、
光メディアコンバーターから直接 LC コネクタの光ファイバーなり、1000BASE-T なりの
インターフェイスが L2 レベルで出てるからね。だから単純に IP でルーティングするだけ。
もちろんもらえるグローバルIP は 8個〜32個くらいなので、NAT は必要。 >>195
あとね、YAMAHA とかは、単にショートパケットに弱い、っていうだけでなくて、
同時アクセス数(セッション数)が増えるとガクンと性能が落ちるって評価があったはず。
千人単位のユーザーが一斉にインターネットに群がるなんて環境でも性能が落ちにくい
から企業や大学等で重用される、ってのもあるんでないかい?
ベンチマークテストのレポートなんかでグラフなど見せられないと、スペック表だけ見てい
てもなかなか実感しにくいところだと思うけれど。 >>196
自分でなにも調べずに聞いて申し訳ない
でも興味あるから聞きたい
企業のネットワークはONUとかHGWとかなく、光ケーブルで直接L2のスイッチにSFPで入ってきてるってこと?
光ケーブル引き込んだだけじゃ使えないもんだとばかり思ってたけど、どうやって認証するんだろうなあ >>198
企業向けは光回線と加入者が1:1対応してるから認証なんかいらない。
フレッツは単にNGN網に接続してるだけで、
そこを通ってISPに接続するから認証が必要になる。 >>198
フレッツの場合もネクスト光回線を使ったIPv6 IPoEはユーザー側の認証なんて無いよ。フレッツネクストはフレッツサービスだけで使えるIPv6が流れているのは知っているよね?
そもそもフレッツは局内設備側で宅内のONU機器が管理されていて加入者は特定できる状態。
VNE(ISP)とIPoEの契約を結ぶのと合わせてフレッツのネームを使える様にすると…
網内の加入者同士のv6通信の許可とインターネットには接続されていなかったフレッツのIPv6がVNEと通信できる様にNTT側で変更されてIPv6でインターネットできる様になる。
v6プラスはこのv6上にv4載せる事でPPPoEを使わなくてもv4でインターネットができる仕組みだ。
自分の場合契約後1h位で使える様になったよ。
なお、v6 IPoEとPPPoEは併用できるから現在の契約1つで金額変わらず(ISPによる)VPNはPPPoE使ってそれ以外はv6プラスで高速みたいにマルチホーミングして便利に使えるよ。 >>198
そりゃ光って言ったって 1000BASE-SX とかじゃあないんで
ONU に相当する光メディアコンバーターは置いていくよ?
そこで長距離用の光ファイバー(たいていはシングル)を
SFP あるいは 1000BASE-T や 1000BASE-SX に直接変換されるなりして供給される
単なるメディアコンバーターみたいなものだけど、
いちおう局舎側からの疎通テスト出来る程度のインテリジェンスは持ってる場合が多い。
そんで、プロバイダーの対向ルーターのインターフェイスが見えている状態なので、企
業からは IPv4 (あるいは IPv6)で単にルーティングするだけなのが一般的。
(フレッツの v6 網なんかを利用する企業向けサービスもないこともないけど)
というわけで HGW みたいに PPPoE 喋ったり NAT したり F/W したりみたいなことは、
プロバイダーが持ち込む側の機器ではやらないよ。
(別契約でプロバイダーから VPNルーターとかファイヤーウォールを借りることはある
けど、それはまた別の話) OSPFとかRIPとか動かしたいんだけどルータ1個だと意味ない? RIPならクライアントでも聞く奴がいるかもね。しゃべる奴はいないだろうけど。 202です
資格勉強のために中古で1台買ってみたんだけどコンソール入れてもなんか実感がないんだよね しゃべる相手が欲しいだけだったら
いらないPCにQuaggaでも入れてみるとかはありかも? 使ったことがあるならともかく
資格目的なら買い足したほうがいいよ 不具合発生時の切り分けや
冗長構成にも対応できるように
同型2台はあった方が良いね 冗長化の勉強するならL2SW 4台追加しよう
あ、でも、どうせなら、対向も冗長化しよう まぁ、Windows PC あるなら、VMware 上に Linux 入れて、Vyatta なんか入れてみるのも面
白いかもしれないが・・・ 機器間ルーティングできて何が楽しいの? ってのもあるので
VLAN を扱える業務用の Wi-Fi 機器でも入れてみたら?
SSID ごとに異なる VLAN 使ってみたり、VLAN 間でルーティングしながら ACL で通信制限
掛けてみたり、特定の VLAN からは IP アドレスを NAT して変換みたり
その無線LANも WLC(コントローラー装置)付きの Aironet 一式だとか Aruba InstantOS 搭
載APだとかだと、さらにやれることが増えるので弄ってると楽しいが
コントローラー抜きの Aruba IAP(InstantOS 搭載AP)1台だけでも LTE 通信したり(要LTE
ドングル) PPPoE 喋ったり NAT したりファイヤーウォールくんだり 単体で Captive-Portal
や 802.1x PEAP 認証したり・・・ 「ぶっちゃけこれルーター要らなくね?」 状態に陥るw Reflexive ACLを使って、WANからLANへの通信を戻りのパケットに限定したい。
以下のconfigで本件実現できたが、ルーター自身のWANへのパケットの戻りが
拒否されてしまう。
LANのDNS Serverの指定をルーター(192.168.100.1)にしていることもあり
LANからのDNS問い合わせもできない。
どうすればよいかわかりますか?
interface GigabitEthernet0/4
ip address dhcp
ip access-group wan-to-lan in
ip access-group lan-to-wan out
ip nat outside
interface Vlan1
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip dns server
ip nat inside source list 1 interface GigabitEthernet0/4 overload
ip access-list extended lan-to-wan
permit ip any any reflect mirror timeout 300
ip access-list extended wan-to-lan
evaluate mirror
access-list 1 permit 192.168.100.0 0.0.0.255 わかる人いたら...
ace4710でshow resource usage実行した時の出力結果で、conc-connectionsがどういう接続を示しているか知りたい
レイヤ4や7ではないように思える... >>219
Thanks!
ビンゴです。後で試してみます。 >>218
aceなんて骨董品まだ使ってるのか
EoL迎えたプロダクト使うとかよっぽど製品知識に自信なければ止めておいた方がいいぞ
aceなんてどこのベンダーも大して詳しくないだろうから保守してくれないか、あってもハードウェア交換しかしてくれないパターンになると想像 >>218
Concurrent Connections (Max 4M/Ace module) : Concurrent Layer 4 (through the box traffic) connections. >>221
リプレースするのに、現状の使用リソース調べててね...
>>222
やっぱレイヤ4なのか。仕様が12万CPSなのに、90万近くcoc-connectionsで出てるのが気になってるんだよね... >>223
その製品のことは知らないけど、
CPSとConcurrent Connectionは別の値だよ。
前者はConnection per second、秒間新規コネクションのことで、
新規のコネクションをどれだけ素早く処理できるかの値。
後者はConcurrentだから現在値で、スペックとしては最大コネクション数で規定される。
多分コネクションテーブルに割り当てられたメモリ依存。 >>224
あーなるほど!
1000cpsのスペックの機器(フル稼働)で、各コネクションが10秒持続とすると、10秒後時点のconc-connectionsは10000になる...っていうイメージでいいのかな Firepower運用してる人いたら聞きたいんですがFMCってactive-standbyの2台構成でも導入した方がいいと思いますか?
導入検討中なんですが至極当然のように見積に入れられてるので要らなければ削りたいと思いまして
ベンダーは売りたいから良いことしか言わないので使ってる人の率直な意見を聞きたいです まずベンダーと信頼関係無いのに発注はダメだろ
なんかあった時に困るのは自分 Japan TAC
元々動きは遅かったけど
最近特に対応が悪くなってるね
実際にサービスが止まってるのに
放置プレイも当たり前
なので緊急案件はGlobalを選択しがち
あんな豪華なオフィスを構える余裕があるなら
日本法人はもっとサポートを手厚くすべきだと思うんだが
強力な競合他社の台頭を期待してる サービスレベルぎりぎりまで回答を出し渋ってるような気がする
過剰なサービスを要求するつもりはないが、そもそも根本的にポリシーが裏で変わったんかね >>230
パートナーアカウント持ってたら使えるTACツールつかって、TACに問い合わせしなくても対応できるようになって一流
TACに頼ってるやつは二流 同じCiscoでもMerakiの方はドキュメントに書いてある内容が薄いから
問い合わせて仕様の裏取らないとダメだな
TACの回答頼りにしてるやつが糞なのは同意だが 自分でTAC使うなんて面倒過ぎる
NOSに丸投げで十分 サービス品質は10年前の半分以下
製品の複雑さは10年前の3倍以上
サポートは人件費の安い国に移転中
世界共通なので>>230みたいにグローバル投げても一緒。すぐ応答できるエンジニアがつかまるまで裏で再アサインし続けるし一次連絡後も24/365体制なので返事だけは日本より早い。 それでも他に選択肢が無いのが困るんだよなぁ。
ウチはCiscoにとって数ある客の1つでしかないかもしれんが、こっちは他メーカーへの乗り換えなんて現実的じゃないし、そもそも他はもっと酷い。 アジアパシフィック市場で
日本の重要度が相対的に低下しているので仕方ない
そのくせ過剰な品質を求めるし わかるなぁ
スタックのスイッチの2系クラッシュしただけで通信断がーサービス影響がーとか騒いでるの見てるともう少し高い機器使えよとか思ったりする
メーカーからしたら保守料は大して入らないのに要求する品質だけは高いとかやってられないやろ 影響度を正確に分析できずに騒ぐ情シス部門、軌道修正出来ずに丸投げする代理店、勝手に影響度を定義して客の気持ちを理解しないメーカサポート。
結局営業が客と対話して本当の影響度が分かる。
大したことなかったねで済むこともあれば、実はやばい話だったということもある。
Ciscoに限らず日本でよくある話。 Cisco資格改定か
CCNP Securityだと、Coreともう一つ取りゃいいのかな
現行4科目あるけど firepowerはまだ聞くけどISEとかESAとか使ってるとこあるんか??
実務に必要な問題出さずにほぼ使われてないマイナー製品/技術出すから資格持ちは役に立たないとかいわれるんだよなぁ うち、ISEとWSAとESA使ってるですよ、
ファイアウォールはFortiだけど。
ISEはちゃんと設定できればマジ便利。 むしろシェア伸びずに一番苦戦してるのがfirepowerでは? PPPoEなんかはPPPoEサーバーで擬似的にテストできますが、ISDNのテストも簡単にできる方法ってありますか? わかる、ISEはちゃんと設定できればまじで便利
問題はちゃんと設定できるベンダがいねぇ 常駐先でISEのパラメータシート見たら
単なるRADIUSサーバとしか使ってなかった時の悲壮感 CiscoPressのISE本読んだけど
Phased Deploymentのコンフィグ多くて既存環境への実装とか面倒そう ラズパイのEthernetインターフェイスって
内部でUSB接続なんですけど… RADIUSサーバーくらいならUSBでも問題ないでしょ。 radiusをくらい、と言うなら入れなくても良さそう。
アレを扱うには愛が要る。 >>
そうですね。 Raspberry Pi 3 Model B+ で実効 300Mbps くらいらしいですね。
どうせストレージが SDIO だし、十分な性能だと思いますけどね。 ■ このスレッドは過去ログ倉庫に格納されています
