NEC UNIVERGE IX2000/IX3000 運用構築スレ Part10
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです 【公式サイト】 UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC http://jpn.nec.com/univerge/ix/ 前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part9 https://mao.5ch.net/test/read.cgi/network/1552448321/ >>788 グローバルコンフィグモードにて、 access-list v6ra-list permit src any dest any type ipv6 access-list v6ra-list permit src any dest any type ip それぞれのインターフェイスGE0.0-I/F、各VLANインターフェイス、BVIインターフェイスに、 filter v6ra-list 1 in を忘れずに。 それぞれのVLANにDHCPサーバを構築される場合には、 VLAN側のインターフェイスにブリッジIPフィルタも忘れずに。 ip access-list v4-sec deny udp src any sport range 67 68 dest any dport range 67 68 interface GigaEthernet2:X.0 bridge-group 1 bridge ip filter v4-sec 100 in YAMAHA RTX対向 インターネットVPNが遅いということで、IXを追加しNGN網VPNへの置き換え。 IX2106対向でNGN網VPNトンネルは張れたのですが、双方に複数の別セグメントがあり、 接続元別セグメントと対向先別セグメント機器との疎通が取れません。 ip route でルート設定しましたが状況変わらず。接続元IXで宛先不明となってしまいます。 ダイナミックVPNだからでしょうか? >>790 IXルーター側とRTXルーター側のVLANセグメントは、どのようなサブネットを運用していますでしょうか? IXルーター側についてですが、ポートベース、タグ双方共通ですが、サブネットによっては、 ブリッジインターフェイスを併用しないと無理かと思いますが。 >>790 出来れば、IXルーターとRTXルーターのコンフィグ(重要事項は伏せ字にて構いません) の提供が有りましたらと思います。 >>790 それと、RTXルーターとIXルーターそれぞれのIPSECトンネルの仮想MTU、MSS設定値による パケットロスも想定されます。 双方のIPSECトンネルのMTUとMSS設定値を手動で設定しないと、相互互換出来ない 可能性があります。 お前ら和歌山県出身の下村拓郎様(35歳独身、元自衛隊)をご存知か、この方は将来素晴しい人物になるから覚えておいて損はないぞ IX2215はいつまでサポートされるのだろうか。ISDN巻き取り完了までか。 IX2207もいつまでサポートされるのだろう… >>786 UTMライセンス、忘れていました。代理店からお試し導入勧められていましたが、 アンチウィルスがhttpsのパケットの中まで見られないので、 検討からすっかり外れていました。 パケット中身は見られなくとも、IPv6アドレスは見られるはずです。 UTMだと通常は、脅威と判断されたものだけ記録されると思いますが、 ログ取得条件を強めにすることはできるかもしれません。 NetMeisterでIPv6詳細ログ取れるか、調べてみます。 >>787 YAMAHA WLXって触ったことないのですが、 APを通ったIPv6の通信ログを、クラウドに記録できるのでしょうか。 >>796 WLX系の無線LANのログですが、クラウドログ集約の場合には、YNOライセンスの契約が 必要です。 ログの内容ですが、無線LAN接続周りと本体の無線LANステータス周りのログが中心になります。 インターネット回線のOUT-INの疎通ログについては、ルーター側の機能やUTMの機能になります。 スレ違いになってしまうが YNOライセンスにログ集約機能は付いてこないねん。 オプションだそうで、現在実証実験中。価格は未定。 Yamaha Network Organizer(YNO) 新オプションサービス Log Analysis Service(LAS)の機能追加と実証実験期間延長のご案内 https://network.yamaha.com/news/news_nw_20211210 あと、対象機器に無線APが見当たらない。対応してないかもしらん。 今更なんですが、 ix2105でocnバーチャルコネクトとpppoeブリッジを同時に使おうと思っています。 同時に使用するにはbridge-group使えばできる感じですか? >>799 出来ると思いますが、実用性は無いかと思いますが。 単純に、MAP-E(トンネル1)とGE0.1(PPPOE)を併用して、 アクセスリストにて振り分けすれば良いだけでは? Log4j脆弱性の有無情報が、まだでないな。 ちょっと遅すぎ。あったりしてな >>803 遊び用に買えそうな値段になってきてますね 以前もこれくらいだったけどテレワ等で需要が有ったのか高騰してたのが戻った感じ 関係あるのか無いのかIX2106が各通販サイトから枯れてる気がする RTX1220が半導体不足の煽りで出荷停止中だしRTX830も玉数無いから代わりに買われてるとか? NECがIXの部品調達厳しくなって機種によっては納期かなりかかりますってパートナー向けに案内出してる ヤマハと同じで通販サイトの在庫切れたら再入荷まで待たされることになると思うから、案件持ってる人は早目の在庫確認と発注をおすすめします >>802 Log4jについてはパートナーサイトで12/16にIX全機種全バージョンで使用していないため該当しないとの案内済み なぜ製品ページに掲載してないのかは不明 >>807 それでか。先日の現場、YAMAHAの予定がIX2106になっていた。 家がフレッツ光クロスなのですがIX2310にしたら幸せになれますか? イントラでしか使わない組み込み機器でリソース食うapacheやらjavaなんか使うわけないのに、一々聞いてくる顧客はあたおか。 隣人にlog4j使っているかと一々尋ねたりしないだろに。 パケットフィルタリングについての質問があるのですが、なんで@だとICMPが内側から外側に通らなくてAだと通るのでしょうか? 静的と動的フィルター混ぜたらだめとかでしょうか? @ ip access-list tointernet permit icmp src 192.168.0.0/24 dest any ip access-list dynamic tointernet dns src any dest any ip access-list dynamic tointernet http src any dest any ip access-list dynamic tointernet access tcp-pass ip access-list dynamic tointernet access udp-pass ! interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding provider ip address ipcp ip napt enable ip filter tointernet 10 out no shutdown A ip access-list tointerneticmp permit icmp src 192.168.0.0/24 dest any ip access-list dynamic tointernet dns src any dest any -中略- ! interface GigaEthernet0.1 -中略- ip filter tointernet 10 out ip filter tointerneticmp 20 out no shutdown 年末からtransix(固定IP1個)で運用している1拠点が、ちょくちょく数分セッションが切れる事象が発生した・・・ 機種はIX2215でファームは最新。 12月頭にNetmeiste対応の為、全拠点の一斉ファームアップ行ったからそれかなぁと思いつつ、 事象は12月末からだし、おかしなログも一切出力されてないから行き詰まり状態。 ファーム10.6.21がNetMeisterで更新できるようになったね。 あと、忘れられたかと思ったIX2105のファームもアップ。 10.5.22 も出てるね 自宅のを 10.6.21 に上げた SSH機能の改善は機能強化じゃなしに仕様改善扱いにして 10.5.22 にも入れても良かったんじゃないかね IX2106で10.4.19使っているが、上げたほうがいいのかな。 オクでIX2105かIX2215ならお勧めは? 5000円ぐらいと1万円ぐらい >>824 一般家庭だと2105で充分。 NATセッション数が65500まで設定できるので余程な事が無い限り不足はしない。 ip napt translation max-entries 65500 2215はNATセッション数250,000まで設定出来ます。 あと地味なところで消費電力 2105は最大7W 2215は最大18W USB無効時14W 常時稼働させるものになるので消費電力が倍になるのは地味に電気代となって返ってくるので 自分の必要以上のスペックを買わない方が良いと思います。 IPv4overIPv6使うなら2215にしておいた方が良いよ 2105は繋がるけど速度は出ない >>824 俺も家庭用なら2105で十分だと思う。 ただ、ファームのバージョンには気をつけてね。 >>825 naptのデフォルトエントリ数は65535だけど、少し減らすといいことあるの? >>824 ファームを手に入れる事が出来ないなら 購入対象のファームのバージョンは10.0以上が絶対条件 その上で とりあえず遊びたいならIX2105 速いのが欲しいならIX2215ではなくIX2207がいいよ IX2207勧めるのはファームが10.0以上のが安く手に入るし 消費電力も低めだから 1000円引きのクーポンが手に入れば送料込み10580円で買えるんじゃないかな paypayフリマでも買えるよ 俺はpaypayフリマで2207を買った 最大消費電力だからね 使用ポート数が同じならそこまで違いは大きくない ハブ不要となるかもだし 俺もIX2105でいいとは思うけど、5千円差ならIX2215いってもいいと思うな >>828 >>825 はIX2215の話では無くて2105のNATセッション数を増やす話です。 自分のIX2105環境では65500までしか設定できなかった。 ファームウェア入手に関してはこのようなツイートを参考にしてください。 ttps://twitter.com/GR_THE_2/status/1435541120822366209 自分もヤフオクで5000円くらいで入手。 数日前に10.2.35ファームウェアにアップデートしたところで、 EdgeブラウザでのNetflixの読み込みが少し早くなった気がする。 安定度は相変わらず抜群。 https://twitter.com/5chan_nel (5ch newer account) 今はどうかわからないけど 1年くらい前はファームウェア申請をすXPSファイルで送ったらビュワーが無いとの事。 PDFまたはJPEG形式で送って欲しいと連絡が来ました。 >>831 IX2105のNATセッション数は最大、デフォルトとも65535ですけど・・ >>833 私にはIX2105のNATセッション数のデフォルトは4096だった気がする。 最大は65535ですが、なぜか65500までしか設定できない。 間違ってたらすみません。 >>834 >私にはIX2105のNATセッション数のデフォルトは4096だった気がする。 ファーム古いのかもね コマンドで見ると以下のとおり (config-GigaEthernet0.0)# no ip napt translation max-entries (config-GigaEthernet0.0)# show ip napt translation Interface: GigaEthernet0.0 NAPT Cache - 0 entries, 65535 frees, 0 peak, 0 creates, 0 overflows >>835 今のファームはデフォルトで65535だったんだ。 ごめんなさい。 謝られるほどの間違いじゃないし害もないけど、ちょっと気になったので ちょっと気になったからっていつまでもネチネチと重箱の隅をつつき続ける奴って正義マンの素質があるよな そういうのに限って全然"ちょっと"のレベルじゃねーし 65500の人も何回も書き込んでるし、そろそろ気付いてもらってもいいんじゃないかな IX2215(10.6.21)をNetMeisterに登録しているのですが、 NetMeister上の装置メニュー→IX2215→装置概要内にあるポート情報の表示で GE0/GE1/GE2のリンクアップポートやPPPoEのランプが緑色にならないのは 何か設定が不足している、もしくは無償ユーザーだからでしょうか? >>844 IX自体とNetMeisterサーバ間の通信を遮断してたりするんじゃね? 無償でもそこは反映されるよ >>844 同じ状況になった show nm informationで ipv4になってるかチェック ipv6だと駄目みたい >>844 今弄ってみたら違ったみたい nm account nm ip enable nm ipv6 enable nm update show nm information この辺弄って直った記憶がある NetMeisterでも本体管理画面でもデバイスリストでAP(Aruba)の下PC端末までは確認できないことでしょうか? UTMサマリ検出を見てどのPCなのか把握したいですが、UTM脅威分析を見てもAPや有線ポート接続中のIPアドレスだけでしかも端末名ではありません。 拠点間VPNを設定する際の下記のコマンドについてどのような意味があるのでしょうか。 ip unnumbered GigaEthernet2.0 >>849 ・一応、IPを扱うインタフェースなので、何らかのIPアドレスが必要。 ・ただ、トンネルは一対一なので、トンネルに送れば相手に届く。なのであんまりIPアドレス自体は重要じゃない。 ・なので、適当なインタフェースからIPを借りてくる(質問のコマンドだと、GE2.0から)。 俺はそう理解してる。 >>849 俺は「おまじない」ということにしている。 自分が駆け出しのネットワークエンジニアだった頃初めて触ったルータがCiscoで コンフィグで分からないところを先輩に聞くと「それはおまじないだから入れとけ」と 言われ、この人本当に分かってんのかな?と疑っていたのを思い出した そう だから自分が指導者の立場になったときはその言葉は使わなかった >>850 ありがとうございます。 確かにip addressとどちらかしか入らないようになってました。 動きももなんとなくわかった気がします。 IX2310買いました。幸せになれたような気がします。 >>857 おめ show hardware の結果を貼って欲しい(S/Nは消した上で) IX2310のCPUってなに? 未だにPowePC系かな 表立っては NXP(Freescale) QorIQ (マルチコア1.5GHz) としか書いてないね web認証機能について機能説明書にはカスタマイズできると書いてあるが、カスタマイズ用テンプレートどころか変更用のコマンドすら見つからない。どこにあるか分かります? >>862 Web設定マニュアルに少し記述がある、"拡張ページ機能"ってやつ 機能説明書にもほんの少し記述があるけど、ログイン処理等はWebAPI機能を使って書けってことかと テンプレート的なのは無いはずなので、初期状態で表示されるページを右クリック->ソース表示で参考にでもしてください >>858 IX Series IX2310 Hardware Platform Processor board: Processor board ID <0> CPU/DDR3/CSB/LBUS clock frequencies are 1518/1866/594/66 MHz T2080E processor (revision 0x85380011) 3145728K bytes of main memory 1024K bytes of non-volatile configuration memory 131072K bytes of processor flash memory IPsec accelerator: on board security engine(SEC5.2), revision 0x200 Onboard interface unit GigaEthernet0: GigaEthernet Transceiver is 88X3340 Onboard interface unit GigaEthernet1: GigaEthernet Transceiver is 88X3340 Onboard interface unit GigaEthernet2: GigaEthernet Transceiver is 88X3340 Onboard interface unit GigaEthernet3: GigaEthernet Transceiver is 88X3340 ヤフオクでポチったIX2215 web-gui利用の為の設定も無事完了 10.6.21へのアップデートもweb-guiなら簡単だな >>864 さんくす T2080Eは順当だけど結構性能上げてきたね つーことは、下位モデルはT1020あたりになるんかな 下位モデルは1コアなんじゃないの TシリーズはDDR4サポートするから、当分PPCのままなのかな 10Gにしない限りルーターとしては能力足りてるんで、 UTM用にどこまで+αをするか次第? ああ、次期モデルは10GbE対応って前提でのヨタですよ 仮にT1020だと10GbE x2 + 1GbE x1 (8prot sw)が可能だし、5年10年売り続けるだろうからそれぐらいかな、ぐらいのお話 あぁそういう話。っても10Gの普及機はまだ5年くらい出てこないんでは… 横からすみません。 IX2207で、nuro光HGW配下に設置(ge0.0)、LAN側は(ge2.0) iproute default はどちらもge0.0 IPv4はNAPTでge0.0経由でインターネット接続 IPv6パススルーでPC(ge2.0)はHGWから/64プレフィックスを受けて正常にインターネットに接続できるのですが ルーターのターミナルからpingを打つと、ping google.comは通ってもping6 google.comが通りません名前解決はできてるのですがその後Unreachableになってしまいます。。 もともとは、IXからのipv6でのddnsクエリが通らなくて、この問題を発見したのですが、、 識者の方お助け願えますでしょうか、、 >>872 ipv6 route default Gigaethernet0.0 です、、 ちなみに interface Gigaethernet0.0 ipv6 address autoconfig で ge0.0自体もipv6グローバルユニキャスト(/64)持ってます。 >>874 見てないですね!今できないので、帰ったらやってみます。 拠点のIX2207 ファーム10.5。GE0がフレッツ光、Tunnel0.0ダイナミックVPNで本部へ。 GE1は172.16.1.254/24、GE2は10.0.0.254/16。 どちらからも、本部には通信したいのだけれど、 本部から172.16.1/24へ直接通信できてほしくないので、NAPTをすることにしました。 よく考えずに、 interface GigaEthernet1.0 ip napt enable としても、GE1下の端末から本部に疎通できません。 ip napt enableは、GigaEthernet0.0かTunnel0.0に書くものなのでしょうか。 GE2から本部にはNAPTを通さず、 本部からGE2のアドレスへは、直接通信できるようにしたいです。 napt は Tunnel0.0に書くんじゃないですかね >>876 GE2はnaptしない、GE1だけnaptする記述は、どこになりますか。 本番環境で動いているので、いろいろ試すのが難しいです。 これだ、というconfigができてから、夜間早朝に書き換えて試してみる予定です。 >>878 どこになるかは自分でマニュアル読めや、 access listでnapt対象のアドレス範囲指定する方法も書かれてるぞ。 いい加減な事書かれてそのまま本番突っ込むのか?あなたは。 ここはサポートじゃねーんだから、誰も責任とらねーぞ。 だいたいアクセスされたくないからNAPTするって意味が分からない、 フィルター設定しろよ。 正直業者に金払ってやってもらった方が良いんじゃないかねって気がするが。 >>879 NAPT下に収める範囲をインターフェイスで指定するのではなく、 コマンドリファレンス8-36、ip napt inside list ACCESSLIST-NAME でアドレス範囲で指定するのですね。 アクセスされたくない、を詳しく言うと、他拠点にも172.16.1/24があって、 本部からそのアドレス帯が見えないようにしたいです。 ここはサポートじゃない、ここの書き込みにだれも責任を取らない、了解でーす。 書き込みをヒントに自分で調べて実施しまーす。 ほかにも情報ある方の書き込み歓迎します、よろしくお願いします。 遠隔のアクセスリストを設定したら、TELNETできなくなった。 懐かしい思い出。 IX2207 GE0, GE1を別々のIPv6アドレス(/64)で動かしたくて GE0, GE1両方スイッチでまとめてフレッツONUにつないでるんだが、 グローバルユニキャストが片側のインターフェースにしか設定されないのは、、こういうもの? DHCPv6からDNSは受けてるんだが、、 ↑GE0,GE1ともにipv6 address autoconfig ここの人の中で2105とかを普通のルーターの代わりとして使ってる人に聞きたいんだけど 当分、1G超の回線契約は考えてない人ばかりなのでしょうか。 それとも1G超の回線を契約してもある程度の使い道はあるという事でしょうか。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる