NEC UNIVERGE IX2000/IX3000 運用構築スレ Part9
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです 【公式サイト】 UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC https://jpn.nec.com/univerge/ix/ 関連スレ ・宅鯖に最適なルータは? @ ウィキ https://www39.atwiki.jp/takurouter/ ・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc) https://mao.5ch.net/test/read.cgi/network/1013516441 ・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし) https://pc11.5ch.net/test/read.cgi/mysv/1199977508 前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8 https://mao.5ch.net/test/read.cgi/network/1437719808 中の人では御座いません。 ご指摘のIphoneのIKEv2トンネル構築の件ですが、UNIVERGE系でIKEv2の対応状況としては、 事前共有キーと証明書キーには対応、トンネルモードとしてはNAT-Tには対応しております。 Iphone側のIKEv2の機能としては、ユーザーアカウント認証と証明書キーには対応しておりますが、 事前共有キーには対応しておりません。 Iphone側のユーザー認証に対応させるためには、UNIVERGE側にてRADIUSサーバ構築しませんと、 ユーザー認証出来ません。 IKEv2トンネル構築をされたいとのことですが、面倒くさい証明書キーの投入もされるのでしょうか? 詳しくは、UNIVERGEサイトの機能説明書(2.38IKEv2/IPsecの設定)、設定事例集(825ページ〜)を 参照ください。 >>100 中の人では御座いません。 ご指摘のIphoneのIKEv2トンネル構築の件ですが、UNIVERGE系でIKEv2の対応状況としては、 事前共有キーと証明書キーには対応、トンネルモードとしてはNAT-Tには対応しております。 Iphone側のIKEv2の機能としては、ユーザーアカウント認証と証明書キーには対応しておりますが、 事前共有キーには対応しておりません。 Iphone側のユーザー認証に対応させるためには、UNIVERGE側にてRADIUSサーバ構築しませんと、 ユーザー認証出来ません。 IKEv2トンネル構築をされたいとのことですが、面倒くさい証明書キーの投入もされるのでしょうか? 詳しくは、UNIVERGEサイトの機能説明書(2.38IKEv2/IPsecの設定)、設定事例集(825ページ〜)を 参照ください。 >>101 >>102 補足です。 デジタル署名認証ですが、機能説明書の「2.38.8その他の認証方式」、EAP-MD5認証を参考にして下さい。 RADIUS認証連携については、昨日説明書の「2.42AAAの設定」、 2.42.2.1認証の動作(a) RADIUSサーバへの問い合わせ のページを参考にして下さい。 univergeはradius鯖になれないから、自分でradius鯖建てるしかないね。 l2tpでの接続はうちでもやってるけど、どうせならvpn経由でix2105の下にあるファイアウォールを通してネットのフィルタリングしたいんだよね。 でもvpn接続だとファイアウォール経由のルーティングを指定してもix2105から直接ネットに出て行ってしまう。 v6プラスは拠点のアクセスラインとするには、いまいち踏ん切りがつかん OCNバーチャルアクセス対応の方が業務用途には、まだ向いてるのではないかねえ >>41 RA は、変わったというか nd proxy 'も' 使えるようになったってことだよね。 うちは nd proxy に変えてみたら、IPv6 アドレスはちゃんともらえてるんだけど、 なぜか、ひかりTVが映らなくなってしまったんで、仕方なく bridge に戻した。 nd proxy の方が美しいんだけどなぁ。 >>104 IX2105へのIPSECトンネル若しくは、L2TP/IPSECトンネル経由でインターネット接続 されたい場合には、IX2105のLAN回線ルートにUTM機能が無いと経路通過しません。 IX2105の場合、WAN回線が1回路しか無い為、LAN側ど同一セグメント(IX2105の場合ルーターの DHCP機能無効化)として、UTM機能が無いと出来ません。 私の利用イメージですが、 IX2215を利用(DHCP有効)→Fortigate-50E(GE0-I/F)、PPPOE-NAT・セキュリティ設定。 IX2215→PPPOE-NAT(GE1-I/F、固定IP)、IPSECトンネルとL2TPトンネル接続 GE0-I/FとGE1-I/Fのポリシールーティングとして、ルートマップ設定してあります。 デフォルトゲートウェイの選択については、distance値で経路優先させてあり、念のため、 イコールコスト・マルチパス設定してあります。 IX2105の場合、下記になるかと思います。 IX2105→PPPOE-NAT(GE0-I/F、固定IP若しくはNetmeister-DDNS利用)、DHCP無効化 IX2105→UTM機器(GE1-I/F、DHCP有効化、PPPOE-NAT・セキュリティ有) IX2105のLAN側へUTM機器を設定する形になりますので、IX2105のポリシールーティングにて、 GE0-I/F宛てについては、IPSECやL2TPトンネルのポートの通信を向ける。 デフォルトゲートウェイについては、GE0-I/Fの選択のdistance値を下げて、GE1-I/FのUTM のIPアドレス指定で優先させる。 IX2105に接続しました直接LAN接続しました端末は、UTM側のDHCP機能にてIPをプールさせる。 L2TPリモート接続の端末は、L2TP接続プロファイルにて、デフォルトゲートウェイとして、 UTMのIPを指定する。 >>106 IX2105にて、V6プラスと光TVを併用させたいケースですが、難しいかもしれません。 IX2215ですと、GE0-I/FとGE1-I/F、LAN側としてGE2-I/Fが有りますが、可能かと思います。 (実地検証済み) IX2215のGE2-I/FをポートベースVLANで分割(VLAN1、VLAN2) V6プラスのNDプロクシの通信をVLAN1へNATさせ、IPV6ブリッジ通信をVLAN2へ確保。 GE0-I/F→VLAN1へのNAT(V6プラスインターネット接続) GE1-I/F→VLAN2へのNAT(IPV6のみブリッジ動作) VLAN1とVLAN2には、それぞれのDHCPサーバを有効化。 IX2215の上位のONUが、単独ONU(GE-PON)の場合には、スイッチングハブが必要。 IX2215の上位のONUが、光電話ルーターなどの場合には上記の設定は不要。 ※ 光電話ルーターが有る場合には、光電話ルーターへ光TVチューナーを接続すれば良い。 >>106 補足です。 ご利用のIX2105の上位にNTT光電話ルーターが有れば、光TVチューナーはそちらへ接続すればOK。 これだったら、構成上出来るはず。 ネットワークの勉強がてら、IX2105とVPSでVPN張ってみようと勉強してます。 IX2105の設定で躓きました・・・マニュアル見ながら試行錯誤してるんですが解決せず。 何かアドバイスを頂けると助かります。 EtherIPでトンネル張る予定なんですが、それ以前の所で躓いてます。 HGW(RS-500KI) V6プラス/ひかり電話 192.168.1.1 | IX2105 192.168.1.254 IPv6 RAで取得 <--(EtherIP)--> VPS こんな構成で考えてたんですが、IX2105のGE0にIPv6グローバルアドレスが割り当てられません。 というよりも、起動食後はIPv6グローバルアドレスも割り当てられてるんですが、1〜2分するとリンクローカルアドレスのみになっちゃいます。 ひかり電話契約ありですが、HGW配下で自動取得するのでRAで広告されると思い interface GigaEthernet0.0 ip address dhcp receive-default ipv6 enable ipv6 address autoconfig bridge-group 1 no shutdown としていましたが、1〜2分でIPv6グローバルアドレスが消えてしまいます。 DHCPv6-PDでやってみようと以下のようなパターンにもしてみましたが、挙動は全く同じでした。 しかもHGWのDHCPv6サーバーの配布状況には反映すらされず。 ipv6 dhcp client-profile dhcp-cl information-request option-request dns-servers interface GigaEthernet0.0 ip address dhcp receive-default ipv6 enable ipv6 address autoconfig receive-default ipv6 dhcp client dhcpv6-cl bridge-group 1 no shutdown IX22105のファームは8.6.22です。 IX2215の上位にNTT-HGWが有る場合、誤解されやすいですが。 ご指定のConfigを見ると、一度IPV6関連の設定を削除し、 下記設定例を参考に変更下さい。 ipv6 ufs-cache enable ip dhcp enable proxy-dns ip enable ipv6 dhcp enable ip dhcp profile dhcpv4-sv dns-server 192.168.1.1 ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber GigaEthernet2.0 ipv6 dhcp server-profile dhcpv6-sv dns-server dhcp interface GigaEthernet0.0 ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 tcp adjust-mss auto no shutdown interface GigaEthernet2.0 ip address 192.168.1.1/24 ip dhcp binding dhcpv4-sv ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown IPV4-PPPOE設定は、別途任意にて設定下さい。ファームウェアがVer8.8以降の対応コマンドになっていますので、ご利用のファームウェア(Ver8.6.22)をVer8.8以降へバージョンアップをして下さい。(10.0系ですとVer10.0.18、10.1系ですとVer10.1.16) >>111 IX2215の上位にNTT-HGWが有る場合、誤解されやすいですが。 ご指定のConfigを見ると、一度IPV6関連の設定を削除し、 下記設定例を参考に変更下さい。 ipv6 ufs-cache enable ip dhcp enable proxy-dns ip enable ipv6 dhcp enable ip dhcp profile dhcpv4-sv dns-server 192.168.1.1 ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber GigaEthernet2.0 ipv6 dhcp server-profile dhcpv6-sv dns-server dhcp interface GigaEthernet0.0 ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 tcp adjust-mss auto no shutdown interface GigaEthernet2.0 ip address 192.168.1.1/24 ip dhcp binding dhcpv4-sv ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag no shutdown IPV4-PPPOE設定は、別途任意にて設定下さい。ファームウェアがVer8.8以降の対応コマンドになっていますので、ご利用のファームウェア(Ver8.6.22)をVer8.8以降へバージョンアップをして下さい。(10.0系ですとVer10.0.18、10.1系ですとVer10.1.16) >>111 先ほどの補足ですが、設定例の他に、IPV4-PPPOEの設定とIPV6アクセスリストなども考慮下さい。 ip route default GigaEthernet0.1 ip ufs-cache enable ipv6 dhcp enable ipv6 access-list block-list deny ip src any dest any ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any interface GigaEthernet0.0 ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter dflt-list 100 out ipv6 tcp adjust-mss auto no shutdown interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding flets-v4 ip address ipcp ip napt enable ip tcp adjust-mss auto no shutdown ppp profile flets-v4 authentication myname [IPv4プロバイダ接続用ユーザID] authentication password [IPv4プロバイダ接続用ユーザID] [パスワード] >>110 NTT-HGWにて、V6プラス・光電話有りの契約になっているケースですが、 一度、NTT-HGWのV6プラスの設定解除が必要になるかと思いますが。 NTT-HGWのV6プラスの解除ですが、下記のアドレスから変更出来るかと思います。 http://192.168.1.1:8888/t/ http://ntt.setup:8888/t/ http://192.168.1.1/t/ IPV4設定を有効化して下さい。 IPV6のファイアーウォール設定にて、LAN側へANY許可設定も確認下さい。 その後、IX2105の設定にて、V6プラスの設定を確認下さい。 IX2105のV6プラス(MAP-E)の設定については、下記設定例を参考にして下さい。 ※ https://jpn.nec.com/univerge/ix/Support/ipv6/v6plus-mape/index.html VPS機能とのVPN接続を要望される場合、V6プラスに対して固定IP有りのサービスにする必要な可能性も有ります。 ※ https://jpn.nec.com/univerge/ix/Support/ipv6/v6plus-staic/index.html ※ https://21-domain.com/html/hikari-ip.html >>110 先ほどの補足ですが、IX2105ルーターへV6プラス関連の設定をされる場合、 最新ファームウェアの適用も事前に確認して下さい。 Ver10.0.18 若しくは Ver10.1.16 >>108 ありがとう。 でも、従来通りの bridge 接続なら ひかりTV は問題なく視聴できて、 新しい ’nd proxy’ だと見えなくなったという話なのだ。 現状、ひかり電話も使ってるからIXの上流にNTT光電話ルーターが あるんだけど、どこでもドアホンが V6プラス に非対応だったんで 外からまともにアクセスできなかった名残で、ハブかませて IX 2台 使ってる。 IX3110にIPv6oEとV6プラス通して、IX2105はPPPoEでドアホン+α用。 ルーターが風呂場の屋根裏なんで設置が面倒くさくて1年半くらい放置してた のをやっと設定したら、翌日にドアホンがV6プラスに対応しやがったw (ネタじゃなく本当に翌日・・・) 当時、IX3110 だけで何とかしようとしたけどうまくいかなかったんだよね。 サブネット分けるだけじゃなく、VLAN も設定すれば良かったのか・・・ >>117 では、下記構成になっているということでしょうか。 NTT-HGW → IX3110 (V6プラス+IPV6-IPOE) NTT-HGW → IX2105 (IPV4-PPPOE+ドアホン、他) NTT-HGWでのV6プラス機能を無効化 (IPV4-PPPOE機能を有効化・認証未設定)、 IPV6ファイアーウォール機能でのANY許可設定を再確認。 IX3110では無く、IX2215でしたら出来そうだったんですけどね。(GE01回路しかない) IX2215でしたら、GE0-I/F → VLAN1(V6プラス+IPV6-IPOE)、GE1-I/F → VLAN2(IPV4-PPPOE、IPV6ブリッジ) 光TVチューナーは、VLAN2側へ接続する。 ドアホンは、VLAN2側へ接続する。 >>117 補足ですが、IX3110を利用する様な、端末台数や負荷が有るのでしょうか? 端末台数などの負荷、WAN性能を重視するのであれば、IX3110では無くIX3315でないと無理かも。 若しくは、IX3110のSFP-I/Fに、社外品の1000BASE-TのSFPユニットを接続し、 WAN経路を設ける形でしょうか? NEC純正の部品では無い様ですので、下記のものを用意する形でしょうか。(動作上、保証しません) Cisco製SFP-GE-T互換 1000BASE-T準拠RJ45銅製トランシーバ(SFPC1110) NETGEAR SFPモジュール1000BASE-T(AGM734) 上位のNTT-HGWとは、光電話2ch用の機器でしょうか? それとも、3ch以上のオフィスタイプのアダプタでしょうか? ※ NTT OG410Xa/Xi、OG810Xa/Xi など IX2216はいつ頃出るのかな? MIBファイルには昨年10月にID追加されてるんだけど... まだ、物理的に2GB以上のスループット回線が出でいないのに、 ix2216の発売に期待してるの? ix2215 の中古などで対応すれば? >>121 単に興味本位なだけなんだけど、なんで関係のないあなたにキレられちゃったんだろう?(^^;) よく判らないけど気分を害したならゴメンね 因みに僕、IXルータのコレクターで、全くの別物だけど昔IX5005を所有していたこともあるんだ 10Gのアクセスラインが普及率したら、それに対応するアクセスルータはIX3305とかIX3505とかになるのかな...今から楽しみだ あれ? 名前が変わっちゃったけど、>>120 と>>122 は同一人物です >>122 特別キレているわけでは無いですが。 特定のユーザーだけ10Gbpsになっても、意味が無いと思っているだけです。 都市圏、地方までの通信遅延、関東及び関西圏のエリア毎のキャリア側の設備が追いついていないと、 宅内のルーターだけ良くしても意味が無い。 10Gbpsのルーターには、興味が無い訳では無いですが。 >>115 ありがとうございます。 コメント頂いた内容だと、IPv6グローバルアドレスをDHCPv6-PDで取得、IPv4はPPPoEで確立するというパターンですよね。 今回は既存のV6プラス環境を崩したくないので、既存HGWのV6プラス接続は活かしたいと思ってます。 なので、やりたいこととしては ・IPv4 HGWのDHCPサーバから自動取得(プライベート) ・IPv6 HGWのRAで自動設定(グローバル) というパターンを目指しています。 現段階ではまず、GE0にIPv4、IPv6アドレスを割り当てて通信を確立することろまでをやってるところです。 なので、IPv4は ip address dhcp receive-default IPv6はひかり電話契約/V6プラスだと通常DHCPv6-PDですがこれはHGWで受けるので、HGWから配下へはRAで配布されるため ipv6 address autoconfig receive-default としていました。 RAってICMPを許可しないとですね・・・IPv6アクセスリストを忘れてました。 VPN接続については、ある程度設定できてから考えるつもりなのですが、最終的にはワンアーム構成として、ただのVPNゲートウェイにするつもりです。 そもそも可能かどうかを考えながら設定しているので、現実的かどうかは別ですが。 >>115 ものすごい勘違いしてたかもです・・・ RAにしろDHCPv6にしろ、IPv6グローバルアドレスを受けるときって、よく考えたらGE0にグローバルアドレスって不要ですよね。 NDプロキシでGE1のユーザー側に割り当ててやればいいんですよね。合ってるかな・・・ v4のルーターと同じ感覚でいたので、結構な間違いをしてたかも。 あれ?そうなるとGE0にIPv6グローバルアドレスが一旦割り当てられて、そのあと消えるのってなんでですかね。 勉強不足ですね・・・ NTT-HGWのV6プラス設定を解除するのは、簡単ですが。 私が構成したとすれば、NTT-HGWのV6プラス設定解除 → IX2215でV6プラスのNAT接続設定とIPV4-PPPOE-NAT設定、 ポートベースVLAN(VLAN1、VLAN2)分割イメージでしますが。 この設定ですと、デフォルトゲートウェイの選択も、V6プラス側とIPV4-PPPOEの側の選択、ルートマップの設定は利用しますが。 >>126 ご指定のConfigを当初確認して、疑問に思っていましたので、DHCPv6-PDプレフィックス設定を削除して貰う趣旨を 明示しましたが。(>>114 ) 私の提供サンプルConfigは、RAプレフィックスになっていたかと思います。 IPV6アドレス取得がされていて消える点ですが、恐らく、上位のNTT-HGWでの光電話網のIPV6アドレス取得に、 DHCPv6-PD網から自己IPV6アドレスを取得するので、配下のIXルーターのWAN側のアドレスの奪い合いが発生する為かと思います。 >>126 補足ですが、 「ipv6 nd ra other-config-flag」で、RA広告を受信する設定になります。 IXルーターを、完全なRAプレフィックス設定(RAプロクシ)の動作ですと、 ipv6 ufs-cache enable ipv6 dhcp enable ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ipv6 dhcp server-profile dhcpv6-sv dns-server dhcp interface GigaEthernet0.0 ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 nd proxy GigaEthernet2.0 interface GigaEthernet2.0 ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag ↑の様なイメージになるかと思いますが 「 ipv6 address autoconfig receive-default」は任意に投入下さい。 インターネットプロバイダ及びIPV6機能によります。 >>126 補足(2)です。 IX2105ルーター側のIPV6アドレス取得(IPV6-IPOE、RAプレフィックス)の他に、 光TVなどのIPV6マルチキャスト通信を許容する場合には、ルーター1台だけでしたら、 IPV6ブリッジ設定でOKですが、IX3110も利用していますので、IPV6マルチキャスト設定が必要 になるかもしれません。 ipv6 multicast-routing interface GigaEthernet0.0 ipv6 mld downstream ipv6 mld version 2 only interface GigaEthernet2.0 ipv6 mld upstream ipv6 mld version 2 only >>107 レスどもです。 UTMは60Eを持ってて、2105とどっちをネットへのゲートウェイにするか考えあぐねていました。 今帰省中なので、戻ったら試してみます。 v6プラス用のフレッツジョイントが配信されたHGWが有る場合、マップルールサーバーにアクセス出来ないって制限が有ったはずだけどIXのmap-e接続だと問題無く繋がるのかね? >>131 IX2105のLAN側I/F(GE1-I/F)にFortigate60Eを設置する場合ですが、 ご存じかと思いますが、FortigateをNATモードにてインターネット接続+DHCPサーバ設定する形になるかと思います。 想定ですが、IX2105(192.168.10.1/24、DHCP無効)→GE0-I/F(GE0.1-I/F、PPPOE-NAT、グローバルIP有・若しくはNetmeister-DDNS有) Fortigate60EをIX2105のGE1-I/Fへ接続(192.168.10.254/24、DHCP有効・192.168.10.2-192.168.10.200/24等) IX2105のProxyDNSにて、Fortigateの取得DNSとIX2105の取得DNSを双方設定するイメージになります。 IX2105のL2TP設定プロファイルに、 ipcp provide-remote-dns 192.168.10.254 と言った具合に設定する形になるかと思いますが。 >>132 確かに、NTT様のAUTO-Configサービス(フレッツジョイント)系の カスタム・ファーム適用のHGWが設置されている要件の場合には、 HGWの設定を解除して、デフォルト値に変更しないと、配下IXルーターよりのV6プラスの接続設定が出来ない 点は対応した事が有ります。 HGWのV6プラス有効化の設定機能ですと、IPV4-PPPOE接続設定やNAT設定、静的NATなどの設定が一切出来なくなっている 点が有りますが、 http://192.168.1.1:8888/t/ http://ntt.setup:8888/t/ http://192.168.1.1/t/ からHGWのIPV4アクセスとNAT関連の復帰が出来たかと思います。 上記のHGWのデフォルト値の復帰後に、IX2105のMAP-Eの設定と、 任意にてIPV4-PPPOEの設定にて、ポリシールーティングやIPSECなどのトンネル設定も 出来たかと思いますが。 勿論、IX2105でのV6プラス接続用のプロバイダ、IPV4-PPPOE用プロバイダは別途設ける形になるかと思います。 >>132 補足です。 「勿論、IX2105でのV6プラス接続用のプロバイダ、IPV4-PPPOE用プロバイダは別途設ける形になるかと思います。」 V6プラスのデフォルトゲートのみでしたらIX2105でOKですが、IPV4-PPPOE接続も併用する形でしたら、 IX2207若しくはIX2215 でないと無理かと思います。 久しぶりにこのスレ見たら、本物のプロも混じってスゴい盛り上がってますな。 結局、自分の構成は ONU→HUB→ix2215→PC →BBユニット→NVR500→電話機 に落ち着きましたわ。 ipv6は結局、ix2215で利用していません。勿体無いけど 将来的には、別の事務所とNVRのカスケード接続も検討したいんだが、このBBユニットが曲者で、こいつを契約すると新たにipv4とv6のアドレス貰えるけど、pppoeのパススルー等の設定出来ないのなorz スレ違いだかスマソ 連投ゴメンナサイ ixの下部にciscoのスイッチぶら下げて、タグvlan出来てる人居る?? 自分の環境では、ix2215とcisco2960のトランクモードでの通信は全く出来ない。 機器による相性みたいなのってやっぱりある? >>136 ある一面、すごい設定ですね。 Softbank光契約ですと解約の際、厄介でSoftbank光電話番号にMNP移行しました番号が、 損失する場合が想定されます。 Softbank光電話ですと、複数チャンネル契約する際の制約条件が有るので、個人的にはあまりお勧めしませんが。 >>137 ごく普通に出来るかと。 IXルーターを利用するのであれば、QX-L2スイッチの方が良いのでは? ※ Netmeister機能の関連。 >>138 マジですか?? どっか設定おかしいのかな?? >>139 本物のプロですな そうなんですよ〜 おっしゃるとおりソフバンの光電話は1番号のみ等の制約が多いですね ただ、ipv4コンテテンツでも接続可能なipv6ハイブリットがどうしても欲しくて仕方なく ソフバン使っておりますww ただ、BBユニットはver2.3でもpppoeパススル−設定が変更出来ないのは盲点でしたわ...涙 これどっか間違えてます?? スレチお許しを...汗 cisco2960側 vtp mode transparent ! vlan internal allocation policy ascending ! vlan 10 name main ! vlan 20 name sub ! interface GigabitEthernet1/0/1 switchport access vlan 10 switchport mode access ! interface GigabitEthernet1/0/10 switchport access vlan 20 switchport mode access ! interface GigabitEthernet1/0/15 switchport trunk native vlan 10 switchport trunk allowed vlan 10-100 switchport mode trunk switchport nonegotiate speed 1000 duplex full ! interface Vlan10 ip address 192.168.100.246 255.255.255.0 ! interface Vlan20 ip address 192.168.1.246 255.255.255.0 あと、これがix2215側です どっかおかしいとこありますか?? ip dhcp enable bridge irb enable ! ip dhcp profile lan assignable-range 192.168.100.1 192.168.100.254 default-gateway 192.168.100.1 dns-server 192.168.100.1 ! ip dhcp profile vlan2 assignable-range 192.168.1.1 192.168.1.200 default-gateway 192.168.1.1 dns-server 192.168.1.1 domain-name LAN2 ! device GigaEthernet0 ! device GigaEthernet1 speed 1000 duplex full ! interface GigaEthernet1.1 encapsulation dot1q 20 tpid 8100 auto-connect no ip address ip dhcp binding vlan2 ip filter a 10 out no shutdown interface GigaEthernet1.2 encapsulation dot1q 10 tpid 8100 auto-connect no ip address bridge-group 2 no shutdown !! interface BVI1 ip address 192.168.100.1/24 ip proxy-arp ip dhcp binding lan ip filter b 10 out bridge-group 2 no shutdown 連投スマソ.... IX2215のタグ付きI/Fの設定、おかしくないですか? interface GigaEthernet1.1 → interface GigaEthernet2.1 interface GigaEthernet1.2 → interface GigaEthernet2.2 interface BVI1 → interface GigaEthernet2.3(例えば) ブリッジポートに設定しているI/Fのグループがinterface GigaEthernet2.A〜2.H と言う具合に物理I/Fに対してスイッチのトランクポートとブリッジさせるのでしたら、 理解出来ますが。 interface GigaEthernet2.2 〜2.3をブリッジインターフェイスに変更してみては如何でしょうか? bviが片方しかない、各々必要 DHCPのassignaddressとデフォゲのaddressが被ってる >>145 お返事あざます 行数制限でカキコミ出来なかったので削除していますが、実はinterface Gigaethernet2.0側では、ブリッジの設定をしております。 ix2215のinterface Gigaethernet1.0側でタグvlanを設定し、ここからcisco2960のinterface GigabitEthernet1/0/15に接続しております。 上位ルータをciscoルータ891jにすれば、問題なく繋がります(泣) 反対にIXの下部をネットギアのvlanスイッチに交換すれば通信できます(泣) うーん、どこがおかしいのか迷宮入りですわ interface GigabitEthernet1/0/15 switchport trunk native vlan 10 ←ナンデヤネン GE2-I/F側がブリッジ設定のみの運用、BVI-I/Fを利用、GigaEthernet1.2 →encapsulation dot1q 10 tpid 8100 と言うことは、タグVLANとネィティブVLAN(タグ無し)が確認出来ますが。 タグVLANの設定をL2スイッチ側での設定では無く、ルーターのスイッチ側でのタグの設定をするしか無いのでは? タグVLANの設定をルーター側へ設定すると言うことは、ルーターの物理ポートでVLANグループの設定をするしか無いですが。 >>148 いろいろと試行錯誤してやってたら、もうめちゃくちゃになってきたよw >>149 なるほど ご返信ありがとうございます。 私の環境は、IXから下部側は建物の構造の問題で、Lanケーブルが一本しか張れなかったんです。 最初はnetgeerのvlanスイッチぶら下げて、そこから2つのセグメントを分岐させていたのですが、どーもこのスイッチが動作不安定なので、ciscoを導入しました。 もう一度、このカキコミを参考に試行錯誤してみます。 それか、QX-L2スイッチを検討してみます。 ありがとう 何ができていて、何ができていないか 検証して力になってあげたいが、c2960を用意するのがハードル高い 経験上、あなたが思いもよらないところで、躓いてかもね タグvlan以外のところでミスってるとか >>152 う〜ん 確かに言う通りですな…orz たまたまc2960が手に入ってしまったのねん… たちが悪いのが、IXをciscoのルータに交換したら、ルータ側でトランクモード設定して、スイッチ側でトランクモードで受信出来ると言う… ありがとうございます。 ほか人は出来てるとの意見あるので、細かいとこ見直ししてみます IX2215側のネイティブVLANの併用ですが、「encapsulation dot1q 10 tpid 8100」 ではなく、「encapsulation dot1q 10」 では? 確かに!設定事例集にこう書いてあった。 しかも、再起動が必要らしい。(エ?) interface GigaEthernet1.1 encapsulation dot1q 10 サブインタフェース“GigaEthernet1.1”で VLAN タギングを有効化します。設定した値 10がVLANタグIDとして使用されます。有効化にはリスタートが必要です。 native vlan 10のところは気持ち悪い設定だな 少し難しくてわかりにくいけど、 ネイティブvlanでタグなしのフレームの扱い 普通は1から動かさない 設定が二重になっていて、動きはするけど動作が不安定になりそうだから消したい vlan 10 でix C2960で統一するか vlan 10は消して、c2960側のif をswitch port access vlan の設定は入れずに 要はネイティブvlan1で通信させたい vlan 1と 10 と 20 で通信してるけど、 ネイティブvlan 1か、 vlan10のどちらかだけで 通信すればいいんじゃない? ループして、ブロードキャストストームするような設定になっているよ。 サンプルコンフィギュレーションも 用意するね、 訂正 vlan 1 10 20 → vlan 10 20 もしくは、vlan 1 20 シスコ独自のプライベートVLANが、当初のやりたい事だったかと思います。 単一の物理ポートに対して、プライマリとセカンダリのVLAN割り当てですが、VLANの割り当てエントリーをどちらかに揃えるか、 若しくは、ポートベースVLANにてix2215 のGE1ポートとリンクさせて、ix2215 のアクセスリストにて通信制御させる、WAN回線によりルートマップ設定も必要かもしれません。 残念ながら、ix2215 側のGE1ポートは、タグvlan若しくはポートベースVLANのみしか、受付されないかと思います。 buffaloやNETGEARのL2スイッチですと、 特定のポートを物理トランクポートに限定して、他のVLANグループから共有ポートに出来たかと思いますが、あくまでもPVID、ポートベースVLANと同じレベルのポートリンクだったかと思います。 スイッチルートのマッピング機能や、スループットの事を考えると、L3スイッチをix2215 のGE1ポートに接続する方が、個人的には良いかと思います。 中々、低価格のL3スイッチは無い中で、価格だけで言うと、NEC QXスイッチ、若しくはヤマハのSWX3100-10Gなどを仲介する方法も有るかと思います。 1ポートで2つのVLANをタグで通したい、ってのとブリッジ組んで(←これが謎、意味不明)同じVLANをGiga2に通したい、ってんなら、IXもそうだし、Cat2960もコンフィグがただ間違ってるだけだなぁ Ciscoスイッチをどうしても利用されたい場合には、全てポートベースVLANで構築してみては如何でしょうか? ポートベースVLANで切って、後はIX2215のアクセスリストにてルーティング処理をする。 ポートベースVLAN同士の場合、ブリッジで処理するのでは無く、アクセスリストにて処理します。 WANルートを選択させる場合、ルートマップで処理します。 デフォルトゲートの選択も、複数有る場合、イコールコストマルチパス設定にするか、 distance設定にて、優先、副の設定をする。 ip multipath per-flow ip route default ******* ip route default ********* distance 100 仮にポートベースVLANで接続出来たとしても、ルーター配下からのVLAN処理はソフトウェア制御ですので、 情報の共有や転送自体は、あまり良くないかと思いますが。 接続端末台数によって、GE1-I/Fに L3スイッチを接続された方が良いかと思いますが。 確かにL2とL3で階が違うから、ケーブルは一本が良いって言っていた気がする。 あとプライベートvlanってどこから話が出てきたのかね なんかも関係ないはずの話も出てきて、カオス スタティックに重みつけてるのに、マルチパスにはならないよ? wanルートを選択するのは、ルートマップって、なんのこと? ルートマップのset next hopのことしか頭をよぎらないが、不要だろ。 デフォゲが2つあるって誰か言ったの?何のことですか。 まあ テック先生の言ってることは間違ってないけど、関係ない話をゴチャゴチャ書いても、言われる方はしんどくないかなってことです。以上。 目の前の問題を解決してから ごちゃごちゃ言え。 当事者は余計に混乱する ですね。 cpu memory Resourceで問題が 出ているとは、言ってないユーザーに L3に置き換えさせてメリットあるの? auひかりのHGWにIXぶら下げて使ってる人多いみたいだけど、IXの長所であるテーブル数って活かせてるの? AUのルーターはNAT切れないんじゃなかったっけ? IPv6でNDプロキシ使うなら多少は効果有るんじゃないの 今更だが 142-143を可能な限り尊重して、VLAN10とVLAN20が通信できるだけのコンフィグ https://i.imgur.com/HzL5fua.png コンフィグ違和感なくなった。 IXでリスタートでコンフィグ反映 L3スイッチのメリットですが、 今回含めて、無理なVLANセグメント設定やルーティング処理、プライベートVLANの 意味合いと酷似した運用などへの考慮すると、L3スイッチの方が良いと判断しただけです。 ブリッジ設定を入れているところから見て、同一セグメントと同様の運用を接続端末 よりさせたいと言う事だったかと思います。 気になるため教えて頂きたいm(_ _)m 質問者からの投稿内容のどの箇所で、プライベートvlan的な運用をしていると読み取りましたか? プライベートvlan的な運用をされているように思えなかったので、此方の知識不足だと思い、単に教えてほしいです。 あと、ブリッジ設定により、同一セグメントと同様の運用とは、どういう事ですか?? ブリッジ設定により、vlan10とvlan20に接続する端末同士が、同一セグメントになるような運用をしていると思った、という事でしょうか。 プライベートvlanって初めて聞いて、こういう機能を知れたことだけで、良かったな。 >>180 ご質問の件ですが、 「ブリッジ設定により、vlan10とvlan20に接続する端末同士が、同一セグメントになるような運用をしていると思った、という事でしょうか。」 端的に言うと、経験則から上記の文言が一因かと思います。 プライベートVLANの場合、 基本となるプライベートVLANの基本VLANの設定ポリシーに、 セカンダリVLAN(隔離VLAN)を併用するイメージでしょうか。 ここで言う GigaEthernet1.1 のVLANを隔離VLAN網へ、GigaEthernet1.2を混合VLAN、 プライマリVLANをIX2215のGE2-I/Fとトランク接続させるイメージでしょうか。 残念ながら、IX2215のI/Fには、プライベートVLANのグループ設定コマンドは利用出来ないので、 配下L3スイッチのトランクポート経路で、実LAN接続等の方法が良いかと思いました。 >>175 なにもをしてもぶらさげてる元のルーターよりよくなることはないよ IPv6なら別だけど 30です。 色々、案を出して貰ってるのに、全く返信してなくてほんと申し訳ない…汗 16日まで出張でルータ等の設定が全く出来ない為に、戻り次第ここで出して頂いている案を試してみます。 また、結果も報告させて頂きます。 n-tecさんや、他にも案を出して頂いている方、本当にありがとう。 >>175 その昔IXをHGWの代わりにしようとMACアドレス偽装とか色々やったけど、ひかり電話契約しているとダメだとわかり諦めた スループット的にHGWがネックになっていないようだし、まあいいかなっと... 因みに今計ってみたらこんな感じ https://i.imgur.com/5arJPrD.jpg プライベートVLANはビジネスホテルの 客室LANとかで使うわね wiresharkしてるといろいろ飛んでくるしw >>185 はやすぎませんか? 素人だからわかりませんがIX3000リシーズ使ってそうですね >>188 設置スペース(奥行き)の制限でIX2207使ってます >>185 この数値ですが、AU光の5ギガ とかではないですか? AUのHGWのDMZを効かせる形で、HGWのNAT機能でのIP変換を固定化させているかと思いますが、ご利用の住所によるものかと思いますが。 HGWとIXの間がDMZでグローバルとプライベートの1対1(NAT)ならぶら下がってるIXの性能活かせるってこと? >>190-191 auひかりは普通の1Gだよ 確かにDMZホスト機能使ってるけど、HGWであるAtermBL900HWもなかなか優秀なんだと思う たまたま恵まれたラストワンマイル環境を宅内設備で犠牲にしなくて良かった >>191 論理的には、DMZホスト登録IPアドレスと、ix2215 のstatic ip接続設定しましたら、生かせるかと思います。 以前、同じような構成で、ipsec 接続していた時期が有ります。 >>192 先程の補足ですが、KDDIのHGWのIPV6モードですが、光電話の認証にdhcpv6 アドレス網を利用してますので、配下にリンクローカルアドレスを振る機能になってます。 ixルーターは、RAプレフィックスモード接続になります。 光電話契約の柔軟性や固定IP周りの制約が強く、biglobe光と光電話、map-e回線、固定IP有りに変更しました。 >>194 ウチの環境を整理したらちょっと似てるかも 1.auひかり(IPv4メイン1+IPsecセンタ1) 2.ビッグローブ光(IPv4メイン2+IPsecセンタ2)+JPNE(IPv4メイン3+IPv6) 3.フレッツ光ライト(ひかり電話、TV用+IPv4メイン全てが死んだときのバックアップ) (auひかりの電話契約はキャッシュバックを得るためだけで、IPv6も含めて使用していない) 物理的に光ケーブルを3本引いてて、各アクセス用にIXを4台設置してVRRPで端末毎に負荷分散、OSPFで経路選択させてる 因みに数年前に建てた宅内は10Gを見越して全部屋にCat.6AのSTPケーブルを埋設してある (当時Cat.7は施工業者で取り扱いが無かった) 所謂ルータ&ネットワークヲタクなんです... >>194 ウチの環境を整理したらちょっと似てるかも 1.auひかり(IPv4メイン1+IPsecセンタ1) 2.ビッグローブ光(IPv4メイン2+IPsecセンタ2)+JPNE(IPv4メイン3+IPv6) 3.フレッツ光ライト(ひかり電話、TV用+IPv4メイン全てが死んだときのバックアップ) (auひかりの電話契約はキャッシュバックを得るためだけで、IPv6も含めて使用していない) 物理的に光ケーブルを3本引いてて、各アクセス用にIXを4台設置してVRRPで端末毎に負荷分散、OSPFで経路選択させてる 因みに数年前に建てた宅内は10Gを見越して全部屋にCat.6AのSTPケーブルを埋設してある (当時Cat.7は施工業者で取り扱いが無かった) 所謂ルータ&ネットワークヲタクなんです... NURO biz(1Gbps) ONUにIX2215直結で速度こんな感じ https://i.imgur.com/7JRf0Hu.png >>195 4台で構成しているんですか? まず1のAU光は回線の性質上、HGWよりIPV6リンクローカルアドレスが振られるので、 配下のIX2215のGE0-I/F→GE2.1-I/FのポートベースVLAN側(1〜4)にて通信 2のBIGLOBE光は、MAP-E用の固定IP取得で、同じくIX2106若しくはIX2105でOK。 3のフレッツ光ライトは、1のIX2215のGE1-I/F→VLAN2(5〜8)にて、通信 ↑の要素を考えると、2台でいけるのでは? DHCPサーバなどの冗長構成も考慮されているんですか? 通信用のポートを監視して、動的に開閉動作も必要では? ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる