NEC UNIVERGE IX2000/IX3000 運用構築スレ Part10
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
http://jpn.nec.com/univerge/ix/
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part9
https://mao.5ch.net/test/read.cgi/network/1552448321/ DMZの下にIXある場合、Fortiってどこにはいる?
てかFortiってルータ機能切れるの? >>52
要は棲み分けが必要かと。
FortigateやSonicWALLなどのNAT機能を利用すると、意外と利用出来ない機能が有る。
IXルーターだと、当たり前にIPV6マルチキャストなどは全て対応しているのに対し、
PMイベントリのみしか対応していなかったり、他使いにくい点がいくつかある。
IXルーターを利用しながら、Fortigateはトランペアレント・ブリッジにて運用する形
がベストかと思う。 >>53
FortigateのNAT機能は切れますよ。
WAN1又はWAN2とスイッチングポートをL2スイッチモードで連結する
「トランスペアレント・ブリッジ」モードの設定がCLIから出来る。
DMZホスト側にIXルーターが有る場合、Fortigateは、WAN1とWAN2が有るタイプ
が良いかと思いますが。
※ WAN1⇒DMZ外のプライベートIP側、WAN2⇒DMZホスト側のIXルーターのスイッチポート側
↑の様な形の場合、FortigateのスイッチングポートをVLANで分割させればOKかと。 >>55
ありがとう
Forti使ったことないから勉強がてら買ってみようかと思います 1.ISPありIPv6(IPoE)接続(約70名)
2.ISPなしv6オプションのみ(数名)
3.ISPありIPv6(IPoE)接続(数名)
[1と2は同一県、3は東西またぎ]
・1と2、1と3をVPN接続
・1と2の間でNGN折り返し
・2は1を経由してインターネット利用
という構成は可能でしょうか
可能な場合、全てUNIVERGE IX2106で
能力的に問題ないでしょうか >>57
まず、1の件はIPV6でのipsecトンネルと、インターネット接続が必要なので、ONUが2回線必要かと。
当然、IX2215になるかと思います。
2の件は、IX2106にて大丈夫かと。
3の件も、IX2106にて大丈夫です。
2は1を経由してインターネット接続となるので、1と2の間はv6プラス用の固定IP契約が必要かと思います。
3は、自局にてインターネット接続するので、必ずしも固定IPは不要ですが、netmeisterでのv6-fqdn名称解決が必要かと思います。 丁寧に回答してるように見えて、いろいろわかってない箇所があるような気がする
ONU2回線ってなに? v6プラス固定IPとかいらないだろ? >>59
ONU2回線と言うのは、VPNトンネル網の回線同士をipsecで接続しますが、本拠点側がIX2215で構成すると、グローバルIP宛ての通信をどの回線で接続するかの静的ルーティング処理上、必要と判断してます。
ONU1回線で接続すると、VPNで接続して折り返し通信もまた同一回線を利用するので、一元管理などの目的と帯域上のリスクを考慮してます。
2側の拠点は、デフォルトゲートに1とのトンネルを指定するだけ。
3側の拠点は、本拠点の固定IPとnetmeisterとのメインモード接続、デフォルトゲートは、自局のプロバイダを指定する。 >>59
補足。
本拠点のインターネット回線は、IX2215の
GE0インターフェイス、IPSECトンネルはGE1で構成。
2の拠点のIPSECトンネルのIKEとSA認証は、GE1へ静的ルーティング経路とする。 >ONU1回線で接続すると、VPNで接続して折り返し通信もまた同一回線を利用するので、一元管理などの目的と帯域上のリスクを考慮してます。
勝手にネットワーク設計まですんなやw
自分ならこうおすすめする…までならわかるが、「必要」とまで書かれると
2回線ないとできないのか?と思うやん。
帯域もそれほど必要なく管理もいらないなら1回線で十分やろ。すなわち2215もいらない。
まあ、元の質問がふわっとしすぎて回答できないってのはあるかもな。
不明な条件が多すぎる。 >>62
「帯域もそれほど必要なく管理もいらないなら1回線で十分やろ。すなわち2215もいらない。」
↑ 安全策を講じるのは、当たり前かと。
要らないという根拠を示してください。
否定するのも断定的になってますが。 >ONU1回線で接続すると
意味不明
>一元管理などの目的と
意味不明
>帯域上のリスクを考慮してます。
ONUを2台並べても同じスプリッタの分岐になるだけ。帯域的には無意味。 >>64
「ONUを2台並べても同じスプリッタの分岐になるだけ。帯域的には無意味。」
↑ 光入線工事をそれぞれ着工すれば、それぞれ独立配線になるでしょ。
一元化は、別の資産管理のソフトや仕組みを導入すれば、VPNネットワーク網から管理可能でしょ。
エンドポイント・セキュリティなど多様性があるでしょ。
全て説明しないといけないとは、疲れる。 配線が別になるだけでwwばかだなwww
誰もお前に説明をお願いしちゃいないから、もう来ないで良いよ AUとフレッツ契約するとかしないと局で同じ光ファイバーから分岐しそうだな https://www.ntt.co.jp/journal/0301/files/jn200301024.pdf
フレッツはONU単位で公平的に帯域制御をかけられるから
他のユーザとスプリッタを共有されている前提であれば
ONUを1つから2つに増やすことで
トータルで割り当てられる帯域は増加することになる
物理的にONUを2つに分けることで
スプリッタを共用していようがONUの単一故障
またはONUまでの光ケーブル故障に対して
耐障害性は高めることができる
>>64は無知で無能で低能なカスであるということの証明 >>68
ONUが2個になれば故障率もバイ
はい論破 >>69
故障率が2倍になろうが
冗長化して単一故障でも通信を継続できれば
耐障害性は高まる
はい論破
頭の悪すぎだろコイツ >>63
俺は一回線でいいケースを言っただけで、そっちを選ぶべきとは言ってないぞ
その後の話とあわせると、回線の冗長性・可用性・資産管理ソフトとか大仰な話に
持っていってるのは何故か?という疑問を持っている
(大企業とかではむしろスタンダードな構成だろうが)
元の質問からはそこまで汲み取れないのだが、なぜそんなに重厚な
ネットワークを組みたがるのだ? せめてトラフィック計算ぐらいしないと
回線を複数持ったほうが良いかどうかもわからないのではないか
機器を導入・維持するコストが払えて、うまく扱える管理者がいて…
という恵まれたケースなら、そりゃリソースはあったらあっただけありがたいだろう
ヒアリングやケースごとの仮定をすっとばして、最善ケースだけを「必要」と
する根拠こそ、あるのかね? 冗長性をもたせるという観点で話すならば、ルータも2台にしてVRRPを組むべき
ファイヤーウォールもL3スイッチも複数台で冗長構成にするのが普通だわな?
回線だけを複数持つことにこだわる理由は何だ? わけわかんないんだが >>72
回線を冗長化するならルータや配下のスイッチやサーバのNICも
全部冗長化した方が良いと言うのは当然だが
ルータが1台で故障率が同じという条件なら
@ ルータ1台 ONU1台
A ルータ1台 ONU2台
@はONUが1台故障しても通信継続できないが
AはONUが1台故障しても通信継続できる(故障率が2倍になろうが単一故障点を減らせる事が重要)
以上は無意味では無い 複数回線っていっても、こいつの構成はインターネットとVPNとの2回線だからね
冗長化しているわけでもない
インターネット側が単一障害点なのは何も変わっていない
コスト的にも、数人の拠点をISPなしで済ませようとしている元質問者の意図に合うはずもない >>74
>ONUを2台並べても同じスプリッタの分岐になるだけ。帯域的には無意味。
の間違い対してして指摘しているだけだから
「こいつの構成はインターネットとVPNとの2回線」に対して そんなわけで、「という構成は可能でしょうか」という質問に対して、僕の考える最高の構成をご開陳しているのです
もっと感謝してくれよな むしろ、東西間のVPNを考慮する時点で、ある程度の品質コストは仕方無い。
SLA保証付き回線で東西間を結ぶ方法も有る。
3の拠点のみの遅延を考慮するんであれば、NURO-Biz(2Gbps)で1と3を
IPSEC接続する形が良いかと思う。
度々トラブルが起きている、DDNSのみで構築するようなやり方は、あまり賛同出来ない。 >>79
今度、DDNSでVPNを構築しようと思っているのですが、どんなトラブルが発生しますか? >>80
インターネット回線との組み合わせにて、ネットマイスターに限らず、他のDDNSでもそうだが、回線の切断時に即時グローバルIP名称解決されず、DDNS側のサーバ監視機能に依存する点、DDNS側の設備障害が比較的頻繁に起きている。
名称解決が即時にされないため、拠点間VPNや他の使途でも影響が起きる点はゼロでは無い。
回線が不安定な環境では、尚更お勧め出来ない。
実際にやるとすれば、V6プラス用の固定IPオプションを、ネットワークイネイブラ社に相談された方が良いかと思います。 >>81
ネットワークイネイブラー社に問い合わせとか、適当すぎ、、ネタかな >>82
NURO-Bizだと月額費用は高いが、回線機能はNTT光ビジネスタイプのレベルになっている。
NTTだ月額40,000円だが、NUROは18,500円で固定IPも付いており、IPV4-over-IPV6になっている。
本部経由にてインターネットに出ていく場合にはレスポンスも考慮する必要があるかと。 >>85
その規模のシステムを組む人が、五ちゃんに居るとはな。
なんか、色々な意味で怖い 月額4万とか、お安い方だと思うけど、そういう話ではない? >>87
零細企業は、そのサービスは使わないかな。
ちなみに、にほんの80パーセントは、零細企業 ちょっとした教えてほしいのだが
IX2215でネットマイスターDDNSを
V6でやってるだが マイスターのproxy2から受信するシーケンスが違うってエラー吐くんだけどなんで? 俺の会社は全国に30店舗。
以前はVPNサービスを利用して、年間4,680,000円。
今はNGN閉域網を利用して、年間1,8000,000円
幸いなことにDDNSでトラブったことは今のところ無し。 >>90
ちょっと何言ってるか分かんない カンマの位置がおかしいので ネットマイスターのddns障害の履歴って、どこかにあるかな?見つけられない 90だが訂正
俺の会社は全国に30店舗。
以前はVPNサービスを利用して、年間4,680,000円。
今はNGN閉域網を利用して、年間1,800,000円。
幸いなことにDDNSでトラブったことは今のところ無し。 >>93
ライトプランもしくはエキサイトfitにはしないのかー >>93
ただ単にラッキーなだけでは?
閉域網のDDNSを運用して実際の機器故障などの対応は、恐らく、
本部から設定済みのルーターを直送しているだけでしょ。
NTTの回線保守サービスをいれておき、尚且つIXルーターもAUTO-Config
モデルを利用しないとリスクが有るかと思いますが。 >>95
うん、そうですね。
NECにはフィールドサポートの会社もあるから、保守を受ければいいよ >>95
うん、ラッキーだと思う。
IX全部ヤフオクでゲットだし。
唯一のトラブルは、NTTのVDSLモデムの故障。
NTT回線保守入っていないけど、当日持ってきてくれた。 通販だとNTT-X、ぷらっとホームは対応してくれるよ >>97
VDSL回線ですか。
光配線方式に変更した方が良いかと思いますが。
回線的には、あまり良くないです。 >>97
VDSL回線ですか。
光配線方式に変更した方が良いかと思いますが。
回線的には、あまり良くないです。 相変わらずsorioの親父は人をイラっとさせるのがうまいな。 >>105
VDSL一択の環境の場合は仕方がないですよね。 >>107
集合住宅の管理会社に、光配線方式の回線を確認してみては如何ですか?
光のコース変更相談をNTTにしてみるとか。 >>109
二階あたりなら、戸建て扱いで光を入れたと言うのは聞いたことある しかし、IX2216はいつになったら出るのやら。
ずっと待ってるのに。 JATE認証とMIBファイルでしょ
まあキャンセルになっててもおかしくはないが
INSまわりのパーツなんてもう作ってなさそうだし IX2215が出てからそろそろ8年も立つ。
いい加減、新製品出してほしいと思う。 新FWはNECのサイトではダウンロード可能なのに、NetMeisterではまだ更新できない
前回は反対だったのにな >>116
そういえばそうだったね
まあ前回のは「NetMeister Ver5.0に対応」が目玉だったからかも BugFixだけだから1月ぐらい様子見てから入れるかな >>124
このクラスのネットワーク機器にWEB設定機能必要なのかな。
営業対策か。 >>125
離れた場所からの設定変更を考えるとweb対応は非常に便利だと思うけど >>126
Webの設定画面は別に否定せんけど、その理由は意味が分からない。
Webで有ることと、実機の場所になんか関係有るの? Webコンソールに親でも殺されたの?
それともCLIでconf設定する俺かっけえしたいだけ? >>128
コンソールポートを使うことを言ってるんでしょ ネットマイスター作ってるわけだし
CLIだけじゃなくGUIも良くないと
この先生き残れない >>128
オンプレミス管理とクラウドからの管理機能の事を言っているんでしょ。
複数拠点でのVPN構築や、バックアップAUTO-Config復元なども考慮すると、
時代のニーズかと思いますが。 >>132
話の始まりが、ファームのWeb設定がバグってるだから、
NetMeisterの事とはこれっぽっちも思えなかったぜ。
最初にも書いたけど、Web設定は全然否定してないよ。
IX自体にWeb設定機能が有ることと、実機との距離になんの関係が有るのか分からなかったから聞いただけ。
ふと思ったけど、2215見たいに初期設定がシリアルでしか出来ねーのが不便って言ってるのか?
2106/2207は確かつるしの状態でIP振られてWebがデフォであがってるんだっけか。
素を遠隔で設定する考えが無かった。
でも遠隔でも速攻ssh上げて、コンソーr >>132
それは尚更どうなの?って思う
時代のニーズってんなら、GUIで出来ることより、APIで叩けることになる
わざわざ人が叩くGUIって時点でナンセンス (/GUI/ and not /CONSOLE/) || (/CONSOLE/ and not /GUI/)
じゃないんだから、仲良くしようよ・・・ >>136
?
だってSoftware Definedなんだからas a codeに組み込みやすいAPI叩ける方が遥かに重要で幸せになれるだろ
自動化もせずに人が叩くような作りを残しておくこと自体が糞ダサいんだからGUIなんぞ大した価値を持たない 設定ほとんど変更しないから、無駄に開発費用がかかるAPIなんていらないよ。 >>140
API,GUIは別途要ライセンスでいいと思う。 >>140
一理あるんだが、そうではない大規模なNWもある
マネージドネットワークのサービス基盤として数千台レベルでばら撒かれることもある
そのたびに一々expectで書いただっせースクリプトで運用するなんてゲンナリするだろ
普段めったに設定変更しないならGUIなんぞオマケ程度の価値しかない そういえば、前スレでちょっと出てた話で
OCNバーチャルコネクト接続時のtunnel mode map-eでtunnel sourceが選べない件、
同一回線で別プレフィックスが存在した場合、IXがなにかよろしくやってくれるのかな?
ひかり電話利用の場合/56貰える都合
同一ネットワーク内で複数のプレフィクスを割り当てることが出来るじゃん。
OCNバーチャルコネクトって割り当てプレフィックスの先頭/64からの接続決め打ちなんだよね?確か
知ってる人か試したことある人居たらどんな感じなのかなと。
自分で試せりゃいいけど、IPoEに切り替わるのが今度の火曜日なんで・・・
それからなら試せるんだけども。 >>144
DTIのOCNのを使ってるけど、話が理解できなかったので、すまんです >>144
是非、IPoEに切り替わったら、HGWに複数ルーターぶら下げて、独立したドンネル作れるか試して、報告してくれ。 >>145
まぁ極普通、家庭内でIPv6のサブネット切る事はまず無いだろうからね。。。
>>146
自分でやってみるしか無いかー。
さすがに再委任まではやらないと思うけど、
GE1>最初の/64
GE2>適当なプリフィックスで区切った/64
のアドレス振ってtunnel map-eがどうなるかは試してみるよ。
tunnel sourceをコンフィグで設定出来ない以上、IXは何らかの法則で
出口を決めてるはず(そして希望的観測からすると/56の先頭/64を選ぶ)
と思ったけど、考えたらうち契約が固定IPだった。
固定IPだとまた動きが違って、接続してるIPv6アドレスをアドレス解決サーバーに登録するんだった。
って事で普通の動的契約は他に任せた。 開通したんで簡単に試してみたよ。
結論から言えば、センター側はやはり割り当て/56のうち先頭/64からしか接続を受け付けない
なので、PDで受けたプレフィックスのうち先頭/64を必ず割り当てないと
tunnelが上がらない。
複数の/64を割り当てた場合、先頭/64が有ればmap-eは繋がる感じ。
(全部の/64を試しているのか、先頭決め打ちかはパケットキャプって見ないと分からない)
よって、VRFでIPv6が使えない現状、
1台のIXで複数のOCNバーチャルコネクト回線を終端するのは不可能だな。 /56 Prefix の SubnerID 00 固定は分かりにくいけど
BRがステートレスに変換テーブルを保持して居るのでな
その他のSubnet IDだと戻りのパケットが受信できないで通信不成立
機種どうこうじゃなくて仕様の問題 そう、その動きが確認出来たって話。
仕様なんだろうけど、文書化された資料は外には出てないからね。
じゃ、PDでプレフィックス複数指定して受けたらどうなんの?ってのを試した。
やる前に聞いても誰も情報くれなかったから、しょーがなく自分で再確認したのよ。
先に言ってくれりゃわざわざ結果書かないよ。 バッファロー、UTMオプションを追加可能なオフィス向けVPNルータ「VR-M2000」
https://cloud.watch.impress.co.jp/docs/news/1267958.html
ふふふ、もうNECのルータは用無しだな! >>150
頻繁に見てる訳じゃなかったでのすまんな ■ このスレッドは過去ログ倉庫に格納されています