トップページ通信技術
1002コメント382KB

NEC UNIVERGE IX2000/IX3000 運用構築スレ Part10

■ このスレッドは過去ログ倉庫に格納されています
0703anonymous@fusianasan
垢版 |
2021/09/28(火) 07:38:48.03ID:MQD+B5st
>>702
WANに ip napt enable だけで大丈夫
0704anonymous@fusianasan
垢版 |
2021/09/28(火) 20:55:59.53ID:???
NetMeister Ver8.0 をリリースしました。

■主な機能拡張
 ・グループごとのログインIP制限
 ・ログインメール通知
 ・デバイスリストの経過時間表示
 ・拠点並べ替え
 ・NetMeister Primeライセンス機能拡張
  ・トライアル対応
  ・ライセンス延長確認
  ・ライセンスレポート
 ・[Prime] 拠点機能拡張
  ・拠点数2000(親機2000台)まで動作保証値を拡大
  ・拠点タグ
  ・拠点検索
 ・[Prime] リモートアクセス(任意サーバへのリモートログイン)対応
0705anonymous@fusianasan
垢版 |
2021/09/29(水) 18:14:41.39ID:???
NetMeisterっていちいちファーム落としてきてsoftware-updateしなくてもいいし
何より独自ドメインのメールあるだけで登録できるのまじでいい...
NECさんわかってる
0706anonymous@fusianasan
垢版 |
2021/09/29(水) 19:05:00.44ID:???
独自ドメインでなくてプロバイダのメールアドレスでも大丈夫ですよ

個人的には2段階認証の使い方を考えて欲しいというか、
ログイン時に一括でなく、編集モードへ以降するときだけワンタイムパスワード要求するとかに設定出来ればなあと思う
0707anonymous@fusianasan
垢版 |
2021/09/30(木) 07:01:10.60ID:???
Netmeister自体、別のオプションに誘導するための布石でファームウェアの新版をだしている
様な感じですが。
細かな不具合修正もあるが。
0708anonymous@fusianasan
垢版 |
2021/10/02(土) 17:11:06.62ID:???
初心者なんですが
UNIVERGE IXで全ポート開放みたいなことはできるんですか?
0710anonymous@fusianasan
垢版 |
2021/10/02(土) 17:34:32.03ID:???
>>709
よくある市販ルーターのなんちゃってDMZみたいな感じです...
0711anonymous@fusianasan
垢版 |
2021/10/02(土) 19:55:49.74ID:???
interface GigaEthernet0.0
ip napt service any 192.168.1.2

みたいなこと?
(実際の目的をもうちょっと具体的に書いたほうが良い気がするが)
0712anonymous@fusianasan
垢版 |
2021/10/02(土) 20:16:18.60ID:???
>>711
そうです
そこをGE1とかに指定して
接続しているクライアントすべてを対象にしたいのです
0713anonymous@fusianasan
垢版 |
2021/10/02(土) 20:25:27.72ID:???
ポート変換を伴わないNATなら1個のグローバルIPで同時に通信できるのは1台
(上の例で言うなら192.168.1.2のみ)
同時にn台のNATがしたいならn個のグローバルIPが必要だけど、やりたいことって
そういうことなん?
0714anonymous@fusianasan
垢版 |
2021/10/02(土) 20:44:53.73ID:???
必要なPort(番号)だけに絞った方がいいと思う。
0715anonymous@fusianasan
垢版 |
2021/10/02(土) 20:49:23.54ID:???
アフィブログ鵜呑みにしてSwitchに1-65535指定したいとかじゃねえの
0716anonymous@fusianasan
垢版 |
2021/10/02(土) 20:52:26.46ID:???
>>715
え、なにそれ、そのクソブログの内容のほうが興味でてきたw
0719anonymous@fusianasan
垢版 |
2021/10/03(日) 14:23:13.90ID:???
>>718
むしろ最近の方がFullcone NATなルーターが減って需要が高まってる
メーカーも利用ポート公開してても外向き内向きをメーカー自身すら把握してないレベルで
わからないなら全ポート設定しろとかDMZ使えって雑な対応される
0720anonymous@fusianasan
垢版 |
2021/10/03(日) 14:43:35.97ID:???
>>716
なんと公式にあるんだよw
ttps://support.nintendo.co.jp/app/answers/detail/a_id/36082
0721anonymous@fusianasan
垢版 |
2021/10/03(日) 15:04:18.70ID:???
STUNで動的確保するからポートフォワードなんて普通は必要ないんだけどな
たまに実装おかしなルーター使って繋がらないとか騒いでるのはいるけど
0722anonymous@fusianasan
垢版 |
2021/10/03(日) 20:05:30.40ID:???
>>720
これって、全UDPポート通せってことじゃないの。
ポートフォワーディングのことなのかな。
0723anonymous@fusianasan
垢版 |
2021/10/03(日) 23:05:05.00ID:???
UDP全範囲ってどういうことなのかしら
ランダムでポート使ってるのかな
0725anonymous@fusianasan
垢版 |
2021/10/06(水) 07:39:36.85ID:VvTz30YC
Microsoft365のオフロードリストのダウンロードって、たまに失敗するね。
地域差も見つかった。
PowerShellで監視するようにしてわかったわ。
0726anonymous@fusianasan
垢版 |
2021/10/14(木) 21:05:56.69ID:???
Ver10.3はIX2105には降ってこなさそう?
逆に10年間アプデするNECさんすげえわ...
0727anonymous@fusianasan
垢版 |
2021/10/17(日) 16:12:15.83ID:???
Netmeister8.0は開始されているが、まだ対応ファームウェアの提供はされていない。
0728anonymous
垢版 |
2021/10/21(木) 16:25:31.79ID:???
2106の中古安くならんな
0729anonymous
垢版 |
2021/10/21(木) 19:05:34.16ID:???
もう十分安いが
0731anonymous@fusianasan
垢版 |
2021/10/21(木) 19:42:30.24ID:???
>>728
IX2207やIX2215と比べると割高感はあるね
これらの機種ではダメなの?
0733anonymous@fusianasan
垢版 |
2021/10/22(金) 09:40:51.22ID:???
IX2105買いました
2207と迷ったけど当分VDSLなので問題なし
RTX810をバックアップ(PPPoE IPv4専用)に回していろいろ遊んでみて気になったこと

1.初心者捨てすぎ
2.強制空冷が冷える-10度
3.ログの詳細説明は無いのかな?
4.マニュアルがそこそこ充実してるが目的の機能を探しにくい
5.何もしてなくてもCPU使用率14%食ってるけど何してるんだ?
0734anonymous@fusianasan
垢版 |
2021/10/22(金) 11:52:49.61ID:???
>>733
ログの詳細はソフトウェアと同じダウンロードサイトにあるイベントログリファレンスに記されているよ
0735anonymous@fusianasan
垢版 |
2021/10/22(金) 12:12:41.06ID:???
うちはIX2207だけど、縦置きにするだけで内部温度は4〜5度は下がった
0736anonymous@fusianasan
垢版 |
2021/10/22(金) 13:42:58.59ID:???
>>733
>1.初心者捨てすぎ
そもそも初心者は捨てる前に拾われてない、
商売の対象になってないのよ。
0738anonymous@fusianasan
垢版 |
2021/10/23(土) 11:44:04.34ID:???
>>737
プログラムファイル・ダウンロードのページにありますよ。
各ファームウェアのイベントログリファレンス列にある〇をクリックすればzipがダウンロードされるはずです。
0739anonymous@fusianasan
垢版 |
2021/10/23(土) 13:00:36.30ID:???
単にインターネットだけをやるなら、ひかり電話ルーターで十分。
0741anonymous@fusianasan
垢版 |
2021/10/25(月) 23:08:24.24ID:???
今更かよって言われそうだけどOpenSSH 8.8に更新したらログインできなくなって焦った
opensshのデフォルトのHostKeyAlgorithmからssh-rsaが削除されたそうな

$ ssh -oHostkeyAlgorithms=+ssh-rsa ...

で繋がった(.ssh/configに書いてもOK)
0742anonymous@fusianasan
垢版 |
2021/10/26(火) 16:46:36.06ID:???
>>740

Ver10.5.20 がアップデート可能になったけども、Netmeister8.0対応の明記が無い。
0743anonymous@fusianasan
垢版 |
2021/10/28(木) 07:15:24.50ID:???
IX2105のファームアップはもう無しなのかな?
0744anonymous@fusianasan
垢版 |
2021/10/28(木) 08:18:58.21ID:???
サポート終了してるから基本的にはなしだよ
終了したからオクで投げ売りされてたんだしね
重大な脆弱性対策とかは例外的にあるかもしれないけど
0747anonymous@fusianasan
垢版 |
2021/11/10(水) 00:42:30.19ID:LVKIJlzx
ぶっちゃけVPN使わなければ、家庭で使うにはIX2105で充分な性能だけどね。
ip napt translation max-entries 65500
このコマンドでNAPT65500使えて最新の高性能ルーター並。
回線空いてる時間ならEO光にてfast.comで計測すると上下700Mbpsくらいは出てるよ。
0749anonymous@fusianasan
垢版 |
2021/11/18(木) 22:28:13.56ID:MEUSfJRi
お前ら和歌山県出身の下村拓郎様(35歳、元自衛隊)をご存知か、この方は将来素晴しい人物になるから覚えておいて損はないぞ
0750anonymous@fusianasan
垢版 |
2021/11/19(金) 01:09:24.21ID:???
IPv4 over IPv6使ってみたくてIX2105買ってみた
OCNの光電話利用環境なので、
https://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の設定例1を参考にIPアドレスの読み替え(※)で設定したところ、
無事にIPv4 over IPv6できた。
ただ、IPv4をデフォルトでトンネルに投げてるからHGW(192.168.1.1)へアクセスできなくなってしまった。
HGWにアクセスするために何を追加すればいいかアドバイスいただけないでしょうか。

※HGWが192.168.1.0/24を使っているので、GE1側は192.168.99.0/24を設定した
0752anonymous@fusianasan
垢版 |
2021/11/19(金) 02:28:57.28ID:???
>>751
すみません。自己解決しました。
GE0側にIPアドレス振ってNAT設定入れたらアクセスできました。
初歩的な問題にお手数おかけして申し訳ありません。
0753anonymous@fusianasan
垢版 |
2021/11/19(金) 18:59:00.59ID:???
ぶっちゃけNATもいらなくね?って気はするけど。
セグメント切るだけでルーティングするでしょ。
0754anonymous@fusianasan
垢版 |
2021/11/19(金) 19:01:12.44ID:???
送信しちゃった
GE0に192.168.1.254/24とか振るだけで通信出来るはずだけど。
0755anonymous@fusianasan
垢版 |
2021/11/19(金) 20:22:45.12ID:???
>>754
質問した時点で、GE0はHGWからDHCPでアドレス貰う設定にしてたんですけど、ダメでした
で、フィルター設定書いてみたりして、あーでもないこーでもないしてて煮詰まったので質問させていただいた次第です
固定だと違うのかな?夜また試してみますね
0756anonymous@fusianasan
垢版 |
2021/11/19(金) 22:19:33.76ID:???
HGWにはGE1の192.168.99.0/24の行き先が分からないので
>>752のようにGE0でNAT(NAPT)設定するか
HGWにスタティックルート書くか
が必要だよね
0757anonymous@fusianasan
垢版 |
2021/11/20(土) 06:38:25.35ID:???
HGWはわざわざ拠点ごとにIPアドレスを変えてある。
東京オフィスのHGWにアクセスしていると思ったら、札幌だったことがある。
0758anonymous@fusianasan
垢版 |
2021/11/21(日) 17:35:56.61ID:???
LoopbackとかUSBとか使わないinterface消す方法ありますか?
show runが無駄に長くなるので消せるなら消したいんですが…
0759anonymous@fusianasan
垢版 |
2021/11/21(日) 22:01:01.31ID:???
>>758
no interface インタフェース名
で消せるよ

試しにやってみたけど
restart後はshow running-configでは表示されてしまうようで、show startup-configだと表示されない
まあ、分からなくもない仕様だね
0760anonymous
垢版 |
2021/11/22(月) 00:49:47.28ID:???
設定の無駄な改行はなるべく少なくなるようにしてほいよね
0761anonymous@fusianasan
垢版 |
2021/11/22(月) 16:45:12.78ID:???
>>759
ご確認ありがとうございます
deviceは物理I/Fなので消せないのはまだ分かるんですが
論理のinterfaceはnoしたら非表示にできるようにしてほしいですよね…
こういうもんだと割り切って諦めます
0762anonymous@fusianasan
垢版 |
2021/11/30(火) 01:17:54.88ID:???
IPV6・固定IP(1個)の回線を、2回線IX2215ルーターへ収容予定ですが、
GE0の接続をIPSEC-VPN側、GE1側の接続をインターネット側を想定、
GE2ポートを同一セグメント、ルートマップを切る予定ですが、
同様の構成をお試しされたはおられますか?
GE0は、IPV4のみ、GE1はGE2とのIPV6併用有り、
IPV6プレフィックス更新をそれぞれGE0とGE1対象にして、タスク処理させるイメージですが。
0763anonymous@fusianasan
垢版 |
2021/12/04(土) 16:32:36.98ID:???
GE0とGE1に別業者の光回線をつないで 負荷分散と 回線断の退避がしたい


フレッツ光 1Gbps / OCN IPoE(MAP-E IPv4動的)を契約して、GE0に接続しました。
GE2にプロバイダから割り当てられたIPv6アドレスと、IPv4プライベートアドレスを割り当てています。
Webに載っていたconfig例、ほぼそのままで動いています。

これからauひかりホーム 1Gbpsを契約して、GE1に接続したいと考えています。
目的は、普段は負荷分散で最大2Gbpsの帯域を利用することと、
フレッツまたはauひかり、いずれかがダウンしたときには、
生きているほうにすべてトラフィックを流して、インターネット接続を確保することです。
単純にラウンドロビンで割り振るよりは、Office365・Google Workspaceはauひかり側、
それ以外とIPv6はOCN側に、というように、ある程度固定しておきたいです。


機能説明書 10.5をこれから読み込んでいきますが、
2.22.2 イコールコストマルチパス
2.28.4.4 ポリシールーティングとの連携
(到達不可となった場合、ルータ 1 へのポリシールーティングを無効)
2.46.1 URL オフロード機能概要 netmeisterと連携してurl-offloadを使う
このほかに必要な機能・コマンドがあれば、どのあたりの機能を使うのがよさそうですか。
0764anonymous@fusianasan
垢版 |
2021/12/04(土) 16:57:23.91ID:???
>>763

恐らくですが、
OCN側のIPV6処理
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
interface GigaEthernet0.0
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet2.0

interface GigaEthernet2.0
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag

ip route default Tunnel0.0
interface Tunnel0.0
tunnel mode map-e ocn
ip address map-e
ip tcp adjust-mss auto
ip napt enable
0765anonymous@fusianasan
垢版 |
2021/12/04(土) 17:05:50.62ID:???
>>763
>>764

AU側の処理
HGWの設定を
仮に 192.168.1.1/24→ DMZ192.168.1.254
GE1の設定
interface GigaEthernet1.0
description KDDI
ip address 192.168.1.254/24
ip mtu 1492
ip tcp adjust-mss auto
ip napt enable
ip route default 192.168.1.1 distance 50

proxy-dns ip enable
proxy-dns ip request both
dns cache enable
dns cache max-records 1024
proxy-dns ip enable
proxy-dns ip max-sessions 1024
proxy-dns ip query-response 20
proxy-dns ip query-interval 1
proxy-dns interface GigaEthernet0.0 priority 254
proxy-dns server 192.168.1.1 priority 253
0766anonymous@fusianasan
垢版 |
2021/12/04(土) 17:06:43.37ID:???
>>765

ルートマップを記述
例 マイクロソフトURL
ip access-list dns-isp1 permit ip src any dest-domain update.microsoft.com
ip access-list dns-isp1 permit ip src any dest-domain *.update.microsoft.com
ip access-list dns-isp1 permit ip src any dest-domain download.windowsupdate.com
ip access-list dns-isp1 permit ip src any dest-domain *.download.windowsupdate.com
ip access-list dns-isp1 permit ip src any dest-domain download.microsoft.com
ip access-list dns-isp1 permit ip src any dest-domain *.download.microsoft.com
ip access-list dns-isp1 permit ip src any dest-domain windowsupdate.com
ip access-list dns-isp1 permit ip src any dest-domain *.windowsupdate.com
ip access-list dns-isp1 permit ip src any dest-domain ntservicepack.microsoft.com
ip access-list dns-isp1 permit ip src any dest-domain login.live.com
ip access-list dns-isp1 permit ip src any dest-domain mp.microsoft.com
ip access-list dns-isp1 permit ip src any dest-domain *.mp.microsoft.com

route-map route-map permit 10
match ip address access-list dns-isp1
set interface 192.168.1.1

interface GigaEthernet2.0
ip policy route-map route-map
0767anonymous@fusianasan
垢版 |
2021/12/04(土) 17:08:12.15ID:???
AU側のIPV6のブリッジ設定等は、IXルーターに未設定となります。
0768763
垢版 |
2021/12/04(土) 17:59:16.92ID:???
>>764-766
おお、ありがたい。route-mapの使い方がイメージできます。

ip route default Tunnel0.0
ip route default 192.168.1.1 distance 50
とすると、通常の通信はOCNへ、どちらかが通信断したら
生き残りへ自動で流される。
指定ドメインはroute-mapを使ってKDDIへ流す、となりそうです。

route-mapの説明を読み込んでいけば、auひかりがダウンしたときに
OCNに迂回させることもできそうです。
0769763
垢版 |
2021/12/04(土) 18:04:37.87ID:???
>>767
フレッツ/OCNがダウンしたときに、KDDI側から割り当てられた
IPv6アドレスを、GE2に配って使うのは難しいですか。

GE1とGE2が同じ/64にはできないだろうから、NAT66を使うのか。
IPv6の知識が手探り状態で、わからないです。
0770anonymous@fusianasan
垢版 |
2021/12/04(土) 20:01:56.67ID:???
>>769

AU側のIPV6アドレスをGE2.0に配布する部分については、
ネットワークモニターの機能になりそうですが、IXルーターのBVIインターフェイスに
AU光のHGWから配信されたIPV6プレフィックスをブリッジインターフェイスとして
紐付けしておいて、普段は、BVIインターフェイスをshutdownしておき、
OCN側のOUT側の疎通にて、特定のIPV6-DNSサーバアドレスの疎通が取れない時に、
ネットワークモニターの機能にて、OCN側の回線をシャットダウンして、AUと紐付いている
BVIインターフェイスを起動させる方法ではダメでしょうか?
0771anonymous@fusianasan
垢版 |
2021/12/04(土) 20:15:32.54ID:???
>>769



access-list v6ra-list permit src any dest any type ipv6
access-list v6ra-list permit src any dest any type ip
bridge irb enable
no bridge 1 bridge ip
interface GigaEthernet1.0
description KDDI
filter v6ra-list 1 in
ip address 192.168.1.254/24
bridge-group 1
interface BVI1
no ip address
filter v6ra-list 1 in
bridge-group 1
shutdown
interface GigaEthernet2.0
bridge-group 1
watch-group host-watch 10
event 10 ip unreach-host 2001:4860:4860::8888 source GigaEthernet2.0
action 10 ip shutdown-route Tunnel0.0
action 20 ip resume-interface BVI1
action 20 turn-BAK-LED-on
probe-counter restorer 6
probe-timer restorer 10
probe-timer variance 10
network-monitor host-watch enable
0772anonymous@fusianasan
垢版 |
2021/12/04(土) 23:04:17.03ID:???
>>769
他の方法としては、
OCNのGE2.0側の経路と、AUのGE2.0側の経路制御としては、
ルーター配下にて、L3スイッチ等にてVRRP経路制御するしかないのではないでしょうか?
0773anonymous@fusianasan
垢版 |
2021/12/04(土) 23:16:40.09ID:???
>>769

具体的には、
IXルーターの仮想ルーター機能(VRF-Lite)機能を利用して、
ベースルーター側をOCN側にして、仮想ルーター側をAU側にして、LAN側をVLANで分割
配下のL3スイッチ等にて、VRRP経路制御が出来れば、同一セグメントに個別の
IPV6アドレス網のインターネットの切り替えは可能かと思いますが。
0774anonymous@fusianasan
垢版 |
2021/12/04(土) 23:32:08.44ID:???
>>769

個人的に確認しました内容は、

2回線、1台のIXルーターに収容して、
GE2.0側をポートベースVLANで切ったとして、
IPV6アドレスの配信先のVLANポートのみ、IPV4-IPV6のサイトの参照は出来る。
GE0.0→GE2:1.0 (IPV4、IPV6)
このままでは、GE0.0のIPV6インターネットは、
GE2:2.0やGE1.0をLAN側に構成したとしても、そのポートではインターネットは出来ない。

GE0.0側 →GE2:1.0(IPV4、IPV6)としたときに、
GE1.0側 →GE2:2.0(別回線のIPV4、IPV6)の機能は利用出来る。

ポートベースVLANで切っても、BVIインターフェイス側を経由することで、
それぞれのVLANポートにIPV6アドレスの配信は出来る。
GE0.0側 VLAN1、VLAN2双方、BVIインターフェイスよりIPV6対象インターフェイスの指定は出来る。
0775anonymous@fusianasan
垢版 |
2021/12/05(日) 01:03:14.17ID:???
IX2215でGE0.0側に振ってくるipv6 /64をGE2.0側(4セグメント分割)の全セグメントに配布する方法ってありますか?
0776anonymous@fusianasan
垢版 |
2021/12/05(日) 04:46:55.04ID:???
>>775

恐らくは可能です。
ポートベースVLAN(多分タグVLANも)の場合ですと、

例 
bridge irb enable
device GigaEthernet2
vlan-group 1 port 1 2
vlan-group 2 port 3 4
vlan-group 3 port 5 6
vlan-group 4 port 7 8
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
option-request ntp-servers
ia-pd subscriber BVI1 ::/64 eui-64
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
interface GigaEthernet0.0
description IPV6
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 traffic-class tos 0
ipv6 nd proxy BVI1
0777anonymous@fusianasan
垢版 |
2021/12/05(日) 04:47:59.15ID:???
>>775
>>776

interface GigaEthernet2:1.0
description VLAN1
ip address 192.168.100.1/24
ip proxy-arp
bridge-group 1
no shutdown
interface GigaEthernet2:2.0
description VLAN2
ip address 192.168.101.1/24
ip proxy-arp
bridge-group 1
no shutdown
interface GigaEthernet2:3.0
description VLAN3
ip address 192.168.102.1/24
ip proxy-arp
bridge-group 1
no shutdown
0778anonymous@fusianasan
垢版 |
2021/12/05(日) 04:48:52.63ID:???
>>777
interface GigaEthernet2:4.0
description VLAN4
ip address 192.168.104.1/24
ip proxy-arp
bridge-group 1
no shutdown
interface BVI1
no ip address
ipv6 enable
ipv6 interface-identifier ****************
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
bridge-group 1
no shutdown
0779763
垢版 |
2021/12/05(日) 11:47:36.77ID:???
>>770-774
BVIインターフェイス
ネットワークモニター
VRF-Lite

このあたりは難しそうだなと思って、避けていたところでした。
config例も見ただけでは動作が想像できないので、
実機と検証環境で動かしながら、少しずつ理解していきたいと思います。
書き込みありがとうございます。
0780anonymous@fusianasan
垢版 |
2021/12/05(日) 14:32:55.39ID:???
>>779

ネットワークモニター、BVIインターフェイスについてですが、
一般的な運用する際にもIXルーターにて必須の機能になりますので、
確認された方が良いかと思いますが。

IPSEC接続やVLAN等の構成をする際に、かなり多用します。

ブリッジインターフェイスの機能を有効にする
NTT側から取得するIPV6アドレスのクライアント処理
IA-PD応答するインターフェイスに、BVIインターフェイスを指定
bridge irb enable
ia-pd subscriber BVI1 ::/64 eui-64

BVIインターフェイスのIPV6処理を追加する、ブリッジエントリーナンバーを追加
interface BVI1
no ip address
ipv6 enable
ipv6 interface-identifier ****************
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable

ブリッジエントリーナンバーと紐付けるVLANのグループをそれぞれの
VLANインターフェイスにも追加
bridge-group 1
ipv6 nd ra other-config-flag
interface GigaEthernet2:X.0
bridge-group 1

よって、GE0.0-I/FにてIPV6アドレス取得を規定、IPV6ブリッジインターフェイスの
対象インターフェイスにBVIを指定、各VLANのインターフェイスに紐付ける
形になります。
0781anonymous@fusianasan
垢版 |
2021/12/05(日) 14:37:42.08ID:???
プロバイダから不正アクセスの問い合わせがあった際に対応できるよう、
端末を特定できる通信のログを残したいです。
IX2207、10.5.20、ドコモ光Plala、設定事例 設定例1 
OCNバーチャルコネクト(動的IP)の設定 - IPv6 RA
のコンフィグを書き換えながら、使っています。

機能説明書 2.19.4 ルータの設定・NAT/NAPT の設定 アクセスログ機能
を使って、IPv4の、インターネットへのアクセスログを残せるようになりました。

同様に、IPv6のアクセスログも残す必要があります。


logging subsystem ipv6の設定を使うのか。
動的フィルタリングのipv6 filter dflt-list 100 outに
引っかかったときにログを取る方法があるか。

うまく運用できている事例あれば、教えてください。
0782anonymous@fusianasan
垢版 |
2021/12/05(日) 15:16:23.63ID:???
syslogデータ系は、鬼門かと思いますが。
もしするとなりますと、別途syslogサーバを別途ルーター外に構築して、
syslogデータをルーター内部にて処理させると、ルーターの処理能力をかなり利用しますが。

私の方の利用使途では、
ルーターは、あくまでもIPV6回線網の接続をさせて、
Webフィルタリングやメールログ、不正アクセス検出ログ管理は、
別途UTMにてさせています。

※ Fortigateの転送トラフィック、Fortiviewのアクセスログ・ステータス表示等。

別途、資産管理ソフトウェアにて運用する方法も有るかと思いますが。
※ Lanscopeクラウド
0783anonymous@fusianasan
垢版 |
2021/12/05(日) 15:31:49.36ID:???
>>782
やっぱりUTMとかProxyにログを取らせるのが王道ですよね。
syslogもルーターの処理能力を喰うというのも想像できます。

ゲストWi-Fiを提供したい。せっかくIPv6あるのにIPv4 NAPT限定はもったいない。
なんとか安価に、IX2207だけで済ませたい。
syslogサーバー立てずに、USBメモリにcycricにIPv6の通信ログを書きこむのはどうでしょうか。

実際にログが必要になることは10年に1回あるかないかだと思うので、
ログ見るときは、予備のUSBメモリと交換して、記録済みのUSBメモリをPCにつないでみる
という運用で足りると思います。
config例、実際に使っていなくても、こんなのはどうかという書き込みも、ありがたいです。
0784anonymous@fusianasan
垢版 |
2021/12/05(日) 16:51:04.93ID:???
セキュリティソフト側にて、させる方法も有るかと思いますが。
カスペルスキー系ですと、Webアクセス履歴、ネットワークステータスモニター、
消費パケット、アプリケーション動作ログ等、クラウドベースでログ出力出来る機能
が御座いますが。

※ カスペルスキースモールオフィスセキュリティ
0785anonymous@fusianasan
垢版 |
2021/12/05(日) 18:49:01.71ID:???
>>784
ゲストWi-Fiなのでクライアント機のアプリではなく、IX2207だけで完結させたいのです。
0786anonymous@fusianasan
垢版 |
2021/12/05(日) 19:30:57.54ID:???
>>785

IX2207のUTMライセンスにて対応されては如何でしょうか?
本体のみのログにて管理するのは限界があるかと思いますが。

UTMライセンス稼働上のアンチウイルス、IPS、Webフィルタリング、URLフィルタリング
の検出を、Netmeister連携で通信ログ出力させることは可能かと思いますが。
0787anonymous@fusianasan
垢版 |
2021/12/05(日) 19:34:13.20ID:???
>>786

既存のIX2207のDHCP運用環境が不明なので、なんとも言えませんが、
ヤマハ製のWLX212やWLX413などですと、単独クラウド管理になるかと思いますが、
既存のIX2207のDHCPサーバ運用環境に影響を与えずに、WLX系独自のDHCPサーバ運用
を構成することが可能ですが。
0788anonymous@fusianasan
垢版 |
2021/12/06(月) 14:33:36.52ID:???
>>777,778
返信遅くなってすいません、参考コンフィグ有難うございます。
今週末になりますが、試して見ます。

結果報告もさせて頂きます。
0789anonymous@fusianasan
垢版 |
2021/12/06(月) 20:34:05.34ID:???
>>788

グローバルコンフィグモードにて、
access-list v6ra-list permit src any dest any type ipv6
access-list v6ra-list permit src any dest any type ip

それぞれのインターフェイスGE0.0-I/F、各VLANインターフェイス、BVIインターフェイスに、
filter v6ra-list 1 in

を忘れずに。

それぞれのVLANにDHCPサーバを構築される場合には、
VLAN側のインターフェイスにブリッジIPフィルタも忘れずに。

ip access-list v4-sec deny udp src any sport range 67 68 dest any dport range 67 68

interface GigaEthernet2:X.0
bridge-group 1
bridge ip filter v4-sec 100 in
0790anonymous@fusianasan
垢版 |
2021/12/07(火) 21:58:43.28ID:???
YAMAHA RTX対向 インターネットVPNが遅いということで、IXを追加しNGN網VPNへの置き換え。
IX2106対向でNGN網VPNトンネルは張れたのですが、双方に複数の別セグメントがあり、
接続元別セグメントと対向先別セグメント機器との疎通が取れません。
ip route でルート設定しましたが状況変わらず。接続元IXで宛先不明となってしまいます。
ダイナミックVPNだからでしょうか?
0791anonymous@fusianasan
垢版 |
2021/12/08(水) 13:24:36.53ID:???
>>790
IXルーター側とRTXルーター側のVLANセグメントは、どのようなサブネットを運用していますでしょうか?

IXルーター側についてですが、ポートベース、タグ双方共通ですが、サブネットによっては、
ブリッジインターフェイスを併用しないと無理かと思いますが。
0792anonymous@fusianasan
垢版 |
2021/12/08(水) 13:26:22.49ID:???
>>790

出来れば、IXルーターとRTXルーターのコンフィグ(重要事項は伏せ字にて構いません)
の提供が有りましたらと思います。
0793anonymous@fusianasan
垢版 |
2021/12/08(水) 14:03:36.25ID:???
>>790

それと、RTXルーターとIXルーターそれぞれのIPSECトンネルの仮想MTU、MSS設定値による
パケットロスも想定されます。
双方のIPSECトンネルのMTUとMSS設定値を手動で設定しないと、相互互換出来ない
可能性があります。
0794anonymous@fusianasan
垢版 |
2021/12/08(水) 21:22:27.86ID:GJX1P/66
お前ら和歌山県出身の下村拓郎様(35歳独身、元自衛隊)をご存知か、この方は将来素晴しい人物になるから覚えておいて損はないぞ
0795anonymous@fusianasan
垢版 |
2021/12/10(金) 14:37:46.94ID:???
IX2215はいつまでサポートされるのだろうか。ISDN巻き取り完了までか。
IX2207もいつまでサポートされるのだろう…
0796anonymous@fusianasan
垢版 |
2021/12/12(日) 18:38:36.05ID:???
>>786
UTMライセンス、忘れていました。代理店からお試し導入勧められていましたが、
アンチウィルスがhttpsのパケットの中まで見られないので、
検討からすっかり外れていました。
パケット中身は見られなくとも、IPv6アドレスは見られるはずです。

UTMだと通常は、脅威と判断されたものだけ記録されると思いますが、
ログ取得条件を強めにすることはできるかもしれません。
NetMeisterでIPv6詳細ログ取れるか、調べてみます。


>>787
YAMAHA WLXって触ったことないのですが、
APを通ったIPv6の通信ログを、クラウドに記録できるのでしょうか。
0797anonymous@fusianasan
垢版 |
2021/12/14(火) 12:26:34.98ID:???
>>796

WLX系の無線LANのログですが、クラウドログ集約の場合には、YNOライセンスの契約が
必要です。

ログの内容ですが、無線LAN接続周りと本体の無線LANステータス周りのログが中心になります。
インターネット回線のOUT-INの疎通ログについては、ルーター側の機能やUTMの機能になります。
0798anonymous@fusianasan
垢版 |
2021/12/15(水) 01:53:32.29ID:???
スレ違いになってしまうが

YNOライセンスにログ集約機能は付いてこないねん。
オプションだそうで、現在実証実験中。価格は未定。

Yamaha Network Organizer(YNO) 新オプションサービス Log Analysis Service(LAS)の機能追加と実証実験期間延長のご案内
https://network.yamaha.com/news/news_nw_20211210

あと、対象機器に無線APが見当たらない。対応してないかもしらん。
0799anonymous@fusianasan
垢版 |
2021/12/17(金) 12:39:54.12ID:Rpe9wcwW
今更なんですが、
ix2105でocnバーチャルコネクトとpppoeブリッジを同時に使おうと思っています。

同時に使用するにはbridge-group使えばできる感じですか?
0800anonymous@fusianasan
垢版 |
2021/12/17(金) 12:43:02.06ID:???
>>799

出来ると思いますが、実用性は無いかと思いますが。
単純に、MAP-E(トンネル1)とGE0.1(PPPOE)を併用して、
アクセスリストにて振り分けすれば良いだけでは?
0802anonymous@fusianasan
垢版 |
2021/12/20(月) 02:31:54.60ID:lVsN6Jxm
Log4j脆弱性の有無情報が、まだでないな。
ちょっと遅すぎ。あったりしてな
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況