NEC UNIVERGE IX2000/IX3000 運用構築スレ Part9
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
https://jpn.nec.com/univerge/ix/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
https://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
https://mao.5ch.net/test/read.cgi/network/1013516441
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
https://pc11.5ch.net/test/read.cgi/mysv/1199977508
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8
https://mao.5ch.net/test/read.cgi/network/1437719808 中の人早く気付いて欲しいね
NEC社内網から5chはアクセスできないけど プロバイダ、二つ契約してて、5060ポートを使うときは、こっちのプロバイダを使うって事、できる? >>752
route-mapでポリシールート書けば行けるはず >>0752
>>0755
補足ですが、アクセスリストのプロトコル指定TCP、送信元IPとポートany、送信先IPはany、ポート5600でOKかと。
そのアクセスリストのエントリーをルートマップかけて、ネクストホップさせれば、OK >>0756
誤入力でした。
5600ポートでは無く、5060でした。
5060という事は、VOIP関連でしょうか?
VOIP関連でしたら、TCPでは無くUDPです。
アクセスリスト例を差し替えてください。 >>0742
>>0744
ファームウェアの作りにミスがあったとの事にて、今はダウンロード停止になっている様です。
バージョンアップすると、特定のモデルにてUSBドングルの認識不良が起きるとの事です。 ヤフオクに恐らく台風で水没したであろう泥付きIX2207出てるね
水洗いすれば使えそうだけど...やっぱり面倒だからやめとこ >>0762
見切り発車のファームだったのでは?
気長に待つしか無いかと思いますが。 NGN網内のix2106がNet Meisterでファーム更新が出来ないです。
Net Meisterでは認識していて、DDNSでセンターとipv6のVPNも張れています。
センター経由でインターネットも使えている状態。
Net Meisterで接続状態がオンラインにならない。
Net MeisterのDDNS情報はキチンと日時が更新されているのに。
センター側のix2106はオンラインになっているのだが。
ファームは、最新の10.2.20
nm ipv6 enable ngn-private east mqtt force
nm account [NM_ID] password plain [NM_PASSWORD]
nm sitename [MM_SITENAME1]
nm ddns notify interface GigaEthernet1.0 protocol ipv6
他の方はうまく解消したのでしょうか? さすがにそういうのはNECのサポに聞いた方が良いでしょ 確か、DDNS以外の機能はipv4でインターネット接続する必要があったはずだか…
当然してるよね? >>764
俺もハマった。
766の通りipv4でインターネットに出られるか確認してみて。 >>766
事故検証だと、対象機が直接ipv6でインターネットにつながっててもいい。
vpn経由だとダメっぽい インターネットVPNであれば、VPN経由でのインターネット経路では無く、自局インターネット側へFQDNアクセスリストでのルーティング処理をする形で確認したら良いかと思います。
FQDNドメインについては、NEC様へnetmeisterのアップデートURLを確認下さい。 >>770
これだ
02/29 08:30頃 〜 03/02 17:02 頃にかけて IXシリーズ, WAシリーズ, AGシリーズを
新規接続(再起動も含みます)した場合に通信できない問題が発生しておりました。
ご迷惑をおかけして大変申し訳ございません。
現在問題は解消しており、順次復帰していると思われますが、
もし復旧しない場合は、お手数をおかけしますが再起動していただけますようお願い致します。 IXルーターのUSBドングルの不具合解消ファーム、まだだろうか?
妙に時間がかかっているような気がする。 一時、IX2216ルーター発売の話が盛り上がったが、どうなったのだろうか? eo光が5Gbps/10Gbpsのサービスエリアを拡大してるから、IX2216にはぜひ対応してほしいっす
家庭用ルータのように1ポートだけでなく、8ポート全部な IX2216でも10Gbpsのワイヤスピードでfirewallが維持出来るかどうか疑問。
Fortigate 60Fでも厳しいけど、あちらはそもそも10Gbpsのポートが無い。 ソフトウェアダウンロードサイトのアカウント申請内容に
会社名の記入欄があるけど、オークションの個人利用でも申請できるかな 個人でも申請出来たとtwitterで書いてる奴居たぞ 正規流通特約店でしたら、特約店経由にて登録申請は可能です。
勤め先名義にて、確認してみたら? オークション利用者がどうやって申請書類入手したのか興味深いところではあるが、その入手先に聞くのが良いと思う >>782
調べればPDFで出てくるやつじゃない? さすが皆さん裏ルート(と言うほどではないが)に詳しいね
でもその窓口のメールアドレス、もう変わってるよ まぁ>>778が申し込んでみれば誰が嘘をついてるかはわかるだろう NetMeister Ver5.0がリリースされるね。
追加機能はなんだろう。 正確には、正規流通特約店の購入商品に限定して、ダウンロードライセンス申請は可能です。
NTT-Xストアやぷらっとオンラインなどは、ストア経由にて申請は可能。 RTX810でIPv6環境構築して、ぷらっとで6のつく日にIX2215を買ったのを思い出した。
あれから7年も経つのか・・・ IX2207にてクライアント側のデフォルトゲートウェイ設定に応じて使う回線を切り替えたいです。
例えばPC1のデフォルトゲートウェイは192.168.1.1で回線1を使う、PC2のデフォルトゲートウェイは192.168.1.2で回線2を使うようにしたいのですがどう設定すればよいでしょうか?
ポートVLANとルートマップで設定できないかと思い下記のような設定を加えて試してみましたが駄目でした。
ip access-list test permit ip src any dest any
route-map test-map permit 100
match ip address access-list test
set interface GigaEthernet1.1
interface GigaEthernet2:2.0
ip policy route-map test-map
GE0 回線1 IPoE
GE1 回線2 PPPoE
GE2:1 ポートVLAN 192.168.1.1
GE2:2 ポートVLAN 192.168.1.2 >793
設定例のポリシールーティングを見てみて、それがやりたいことと同じか考えてみなはれ アクセスリストのソースIP指定が無い。
ソースIPに、192.168.1.1と192.168.1.2の指定して、それぞれルートマップを切る。 がいしゅつだけど、うちはnttxから買った2105を個人でnecと秘密保持規約結んでファームウェアダウンロードしてる。
オークションは流石に正規の商流じゃないから、ダメと言われるだろうけど。 通常登録するルートは正規流通特約店経由だから書類には書く場所が無いのだろう
PDF送る時にメール本文に何処で買ったか書いてみれば?
オクで買ったは通らんと思うがw >>793 >>795
よく考えたら、単純にポリシールーティングでは無く、VLAN毎のNATを考えるだけでは?
下記の様な構成になるかと思いますが。
access-list ipv6-list permit src any dest any type ipv6
access-list ipv6-list permit src any dest any type ip
ip route default GigaEthernet0.1
bridge irb enable
no bridge 1 bridge ip
proxy-dns ip enable
ppp profile ipv4-pppoe
authentication myname プロバイダ接続ID
authentication password プロバイダ接続ID 接続パスワード
interface GigaEthernet0.0
filter ipv6-list 1 in
bridge-group 1
no shutdown
interface GigaEthernet2:1.0
filter ipv6-list 1 in
ip address 192.168.1.1/24
bridge-group 1
no shutdown
interface GigaEthernet2:2.0
ip address 192.168.1.2/24
no shutdown
interface GigaEthernet1.1
encapsulation ipv4-pppoe
auto-connect
ppp binding ipv4-pppoe
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
no shutdown >>793 >>800
補足です。
VLAN1とVLAN2の分割、他の追加要件が有れば、下記になるかと思います。
device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5 6 7 8
VLAN毎のDHCPについては、下記になるかと。
ip dhcp profile dhcp1
assignable-range 192.168.1.3 192.168.1.127
default-gateway 192.168.1.1
dns-server 192.168.1.1
ip dhcp profile dhcp2
assignable-range 192.168.1.128 192.168.1.254
default-gateway 192.168.1.2
dns-server 192.168.1.2
interface GigaEthernet2:1.0
ip dhcp binding dhcp1
interface GigaEthernet2:2.0
ip dhcp binding dhcp2 ルートマップは、
ip access-list ppp permit ip src 192.168.1.128/32 dest any
route-map rmap permit 10
match ip address access-list ppp
set interface GigaEthernet1.1
などにすればvlan2のセグメント側のIPからは、GE1.1から出て行く形になるかと思います。 >>793 >>800
ご承知の事と思いますが、
ルートマップの適用先のVLANは、VLAN2側です。
interface GigaEthernet2:2.0
ip policy route-map rmap
VLAN1側については、GE0.0と紐付けてIPV6ブリッジさせていますので、
接続先のプロバイダ側にて、IPV6オプションなどの適用と、
上位に光電話ルーターなどの利用にて、DHCPv6網を利用している条件となります。
※ RAプレフィックス >>794-795
>>800-803
アドバイス有難うございます。
私の書き方が悪く誤解を与えてしまいました。ポートVLANは必須ではないです。
恥ずかしながらポートVLANで分割すれば独立したインターフェースのように扱えると勘違いしておりました・・・
PCは全て同一セグメント、PCのIPアドレスは固定、PCのデフォルトゲートウェイ設定を変えるだけで使う回線を切り替えたいです。
今は下記設定で、pppoe接続したい時にはPCのIPアドレスを変更しています。
VLANやVRF-Liteでインターフェースを分割してもMACアドレスの重複が避けられないので、
同一セグメントでこのような設定をしたい場合は独立したポートを持ったモデルでないと不可能でしょうか?
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip dhcp enable
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
proxy-dns ip enable
proxy-dns ip request both
ip dhcp profile dhcpv4-sv
assignable-range 192.168.1.40 192.168.1.99
dns-server 192.168.1.1
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
ppp profile pppoe1
authentication myname *
authentication password * *
(続く) interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet2.0
no shutdown
interface GigaEthernet1.1
encapsulation pppoe
auto-connect
ppp binding pppoe1
ip address ipcp
ip napt enable
no shutdown
ip access-list pppoe permit ip src 192.168.1.128/29 dest any
route-map rmap permit 100
match ip address access-list pppoe
set interface GigaEthernet1.1
interface GigaEthernet2.0
ip address 192.168.1.1/24
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
ip policy route-map rmap
no shutdown
interface Tunnel0.0
tunnel mode map-e ocn-fixed
ip address map-e
ip tcp adjust-mss auto
ip napt enable
no shutdown ポートVLANしてるならポートは独立してるのでは?(困惑) この方が本当にやりたいことはポリシールーティングじゃ不足なの??
端末のIPによってネクストホップ変えるだけだよね? >>806
IX2207の下にはハブを入れてそこに機器を繋げています。
ポートVLANしたIX2207のポートを全て同じハブに接続したらループ状態になりませんか?
ポートVLANすればMACアドレスも違う完全に独立したポートのように振る舞うのかと思っていたのですが、
下記の設定ではどちらのIPも同じMACアドレスになっており通信も不安定になりました・・・
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3
vlan-group 4 port 4
interface GigaEthernet2:1.0
ip address 192.168.1.1/24
no shutdown
interface GigaEthernet2:2.0
ip address 192.168.1.2/24
no shutdown
>>807
端末のIPは変えず端末側のデフォルトゲートウェイ設定の変更のみで切り替えを行いたいです。
加えてそれぞれの端末が使う回線を切り替えるときルーターの設定はいじりたくないです。
ポリシールーティングでは端末のIPを変えるかポリシールーティングの設定自体を変更しないと切り替えは不可能ではないでしょうか? >>808
ポートVLAN配下のスイッチは、同一スイッチでしょうか?
同一スイッチに接続すると、接続方法によりブロードキャストストーム状態になるかと思いますが。
物理ポートを4系統に分けた意味は、どうしてですか? ルータ2台にすればシンプルに実現出来るよね
さらにVRRP組めば冗長性も持たせられるし >>804
>>806
ポートVLANで分割しましたポート配下のスイッチも、それぞれ独立スイッチでないといけませんよ。
同一スイッチで構成する場合には、配下のスイッチポートもグループで分割しておかないとダメかと存じます。
必然的にL2管理型スイッチでないと、グループで分けれないかと。
VLANで分けて、IPアドレスセグメントは第3オークテッドまで同一ですので、端末側IPも重複しないと言う条件になります。 >>809
>>811
VLAN配下のスイッチは同一のスイッチです。
やはりループ状態に陥ってしまいますよね。物理ポートを4系統に分けた意味は特にないです。特に意味もなく4分割していた設定をそのままコピペしてしまいました。
VLANインターフェースのMACアドレスを任意の物へ変更できるルーターもあるようですが、IXシリーズにそのような機能は無いですよね・・・
>>810
仰る通りルーター2台で構成するべきでした。
WAN2回線接続できれば後は設定でどうにかなると思っていたのが甘かったです。 IX2105でOCNバーチャルコネクトしてますが
ポートマップで使用できるポート調べる方法ありますでしょうか >>808
横だけどループする理由がわからん詳しく
1.1から1.2にパケットリレーするの? >>804
V6プラスの回線ですか?
V6プラスのデフォルトゲートウェイのみですが、IPV4-PPPOE接続も考慮される場合、
ip route default GigaEthernet1.1 が必要ですが。
IPV4-PPPOEとの動的切り替えや優先順の設定も考慮しないといけないかと思います。
ip route default GigaEthernet1.1 distance 100
proxy-dns ip enable
ppp profile ipv4-pppoe
authentication myname プロバイダ接続ID
authentication password プロバイダ接続ID 接続パスワード
interface GigaEthernet1.1
encapsulation ipv4-pppoe
auto-connect
ppp binding ipv4-pppoe
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
no shutdown
V6プラスのNATとIPV4-PPPOEのNAT内部のルールは、VLAN無しでOKかと思いますが。
更に、ポリシールーティングにて、ソースフィルタリングをさせる形でしょうか。
ip access-list pppoe permit ip src 192.168.1.128/29 dest any
route-map rmap permit 100
match ip address access-list pppoe
interface GigaEthernet2.0
ip address 192.168.1.1/24
ip dhcp binding dhcpv4-sv
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
ip policy route-map rmap
no shutdown >>804 >>815
補足です。
192.168.1.128/29ということは、
192.168.1.128〜192.168.1.134までIPV4-PPPOE側へ向ける形
になりますが、相違無いでしょうか?
UNIVERGE-IXルーターには、
AAAAフィルタルールで接続先を動的に変更する機能が無い(DNSフォールバック)ので、
ポリシールーティングでV6プラス側とIPV4-PPPOE側へ切替える形になります。 大人しく5,000円ぐらいで買えるVLAN切れるスイッチ導入する方がネットワーク的に綺麗&簡単な予感 >>0817
VLANスイッチを置く場合ですが、
上位のルーターでのVRRPバックアップ構成を採用し、同一セグメントにて設定すると、回線接続監視の意味合いにて、ネットワークモニターなどでのシャットダウントリガー等のルール設定も必要になるかと存じます。 >>815
OCN光のIPoEサービス(固定IP1)です。この設定事例を参考にしました。
https://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/static-ip1.html
>>816
はい、暫定的にですがそのように意図して設定しました。
現在「ip route default GigaEthernet1.1 distance 100」無しでも端末側のIPを192.168.1.128〜192.168.1.134にすれば切り替えできているのですが追加しておいた方がいいでしょうか? >>819
「ip route default GigaEthernet1.1 distance 100」
については、 V6プラスの接続障害が出た場合のバックアップ切替えルートです。
192.168.1.128〜192.168.1.134以外の通信も、バックアップ動作させる場合の追加設定です。
ついでに言うと、ネットワーク監視機能「ネットワークモニター」にて、
ip route default Tunnel0.0 の接続が切れた場合に、Tunnel 0をシャットダウンさせて、
ip route default GigaEthernet1.1 を優先させることも可能です。
以下参考まで
watch-group isp1-watch 10
event 10 ip unreach-host 8.8.8.8 Tunnel0.0
action 10 ip shutdown-policy GigaEthernet2.0 route-map-seq 100
network-monitor isp1-watch enable >>820
たしかにこれがないとバックアップ切り替えできませんね・・・併せてネットワークモニターも設定してみます。
しばらくこのまま運用し、いずれはもう1台足してみようと思います。
この度は色々と詳しく教えて頂き有難うございました。 >>821
そうですか。
バックアップ切替えや静的ルーティング、ポリシールーティングを想定する際に、
ADやMetricなどは多用しますので、覚えておいた方が良いかと思います。 >>822
色々と有難うございます。
コマンドのみで設定するタイプのルーターは今回が初めてなので勉強しておきます。 >>824
昔、大学でネットを繋ぎたいと言ったら、先生にOSIの7階層を理解するように言われた >>825
階層を理解していないと、障害時の切り分けに苦労する。 >>0827
多少、用語は違うが、Cisco系の書籍が良いかと思います。
徹底攻略Cisco CCENT/CCNA Routing & Switching教科書、株式会社ソキウス・ジャパン(著者)など。
NECの場合、CiscoカスタムOSの為、こういった本が良いかと思います。 >>828
俺もこれを勧める。
とにかくネットワークの考え方を理解しないと。 OSI 7階層は理想だから、実際は6階層とか習ったな。
Ciscoは物理層レベルでIEEE 802.3を破ってるって某日本のネットワーク機器メーカーのアカウントSEが嘆いてた。
PoEなんてその際たるもので、Bob Smith終端やめなきゃ出来ない。 ocnバーチャルコネクトをix2105で使えるように設定したいのですが、どなたかわかる方いますでしょうか?
ちなみにpr-s300seのHGWを使っていて、光電話も利用しています。 >>832
831ではないが、参考になりました。
ありがとうございます。 >>832
831です。
とても参考になりました。光電話で時間がかかってしまいましたが、しっかりと接続できるようになりました。ありがとうございます。
ちなみに、この設定だとcpu使用率100%付近で50mbps程の速度なのですが、他に速度の向上する設定などあるのでしょうか? >>834
CPU使用率を低減するぐらいでしょうか。
NECのサイトでは、IX2106ルーターでの設定例です。
IX2105の場合には、UFSキャッシュのMAXテーブル数を少なめに設定するぐらいでしょう。
若しくは、CPU及びキャッシュを上位機種に変更するぐらいかと。 >>835
UFSの設定を変えてもほとんど変わらなかったので、ipv4 over ipv6 + ipv6 ipoeの設定ではこれが限界なのかもしれません。
ただ、ipv4 over ipv6だけを設定すれば300mbpsほどの速度がでました。 環境違うと変わるけど
ipv4 over ipv6だけで
ix2105 下り300mb 上がり 600mb
↓交換
ix2215 下り700mb 上がり 600mb
になりました。 Netmeister のサービスレベルがVer5.0になったようだ。
まだ対応ファームウェア(10.03以降)の提供はされていない。
どの段階で更新されるか、様子見。 IX2105は、Netmeister Ver5.0には対応しないようだ。 IX2105は、差分修正ファームウェアにて、継続になっている。バージョン10.2.23 >>841
新規追加の機能は無く、不具合修正のみ。
IX2105より古い機種は、最新ファームは提供無し。 NetMeisterでのソフトウェア更新ってブートストラップ更新されないからやりたくない >>846
NECの専用サイトでの新ファームウェア掲載は、まだ暫く時間がかかるかと思いますよ。 >>846
え?それ知らなかった。後で影響でるかな。 >>848
どのような影響があるのか分からない
NetMeisterで許容しているのだから影響ないのかも知れない
でも、機能説明書には「ブートとソフトウェアのバージョンは、提供しているrap ファイルの組み合わせのみサポートします。」と明記されているので、自分はそれを守ってる https://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の設定例3を利用していたのですが、時々IPv6対応サイトにつながらなくなります。
また、その際にはix2105を再起動してもIpv6対応のサイトにはつながらず、ある程度の
時間が経過すると接続できるようになります。
どなたか原因わかりませんか? ■ このスレッドは過去ログ倉庫に格納されています
