NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
■ このスレッドは過去ログ倉庫に格納されています
>>99 ip filter flt-list1 1 in のコマンドの件ですが、削除は構いませんが(出来ればそのままの方が良いかと思いますが)、そちらですと、 デフォルトでクローズしましたものをオープンのエントリーを追加することで、プロトコルの通信を許可するものです。 もし、B拠点などへL2TP/IPSECトンネルを接続しながら、他のポートを許可する為には、 最終のエントリー追加にて、 「ip access-list sec-list permit ip src any dest any」 のアクセスリストがあるようですので、 interface GigaEthernet0.1 ip filter sec-list 65000 in ip filter sec-list 65000 out を追加してみて下さい。 65000エントリーにて、全てのエントリーを許可する形になります。 なお、PPPOEセッション側より、不正なポート等のアクセス拒否等の設定を されていないようですので、念のためですが、IDSフィルタリング設定を追加 しておいた方が良いかと思いますが。 ids ip type all action discard ids ip type ip-header action detect ids ip type icmp action detect ids ip type udp action detect ids ip type tcp action detect ids ip type ftp action detect ids logging-interval 10 >>99 >>102 続きです。 なお、 SSHからTCP50000番のアクセスですが、アクセスリストに追加にて、 A拠点宛へ通信は可能です。 ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport 22 dest any dport eq 50000 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport 22 dest any dport eq 50000 >>100 >>101 IXルーターと配下のL3スイッチにてVLANを構成し、IXルーター側にてDHCP機能を 配信する場合には、 IXルーターのGE2.0-I/Fに物理IPアドレスを設定(10.1.1.254/23) でしょうか、複合サブネットになっていますので、運用方法によりBVIの機能を併用する形になってしまいますが、 GE2.0-I/Fに物理IPアドレス配下にサブインターフェイスとして、タグVLANのインターフェイスを追加して、そのタグVLANのインターフェイスに 個別のDHCP機能を紐付ける形になりますが、宜しいでしょうか? 以下設定例です。 ip dhcp profile dhcp1 assignable-range 10.1.0.100 10.1.0.109 default-gateway 10.1.1.254 dns-server 10.1.1.254 ip dhcp profile dhcp2 assignable-range 10.1.11.1-10.1.11.99 default-gateway 10.1.11.254 dns-server 10.1.11.254 ip dhcp profile dhcp3 assignable-range 10.1.13.1-10.1.13.99 default-gateway 10.1.13.254 dns-server 10.1.13.254 ip dhcp profile dhcp4 assignable-range 10.1.21.1 10.1.21.99 default-gateway 10.1.21.254 dns-server 94.140.14.14 94.140.15.15 ip dhcp profile dhcp5 assignable-range 10.1.31.1 10.1.31.99 default-gateway 10.1.31.254 dns-server 94.140.14.14 94.140.15.15 interface GigaEthernet2.0 description LAN1 ip address 10.1.1.254/23 no shutdown >>100 >>104 続きです。 interface GigaEthernet2:1.0 description VLAN1 encapsulation dot1q vlan1 ip address 10.1.11.254/23 ip proxy-arp ip dhcp binding dhcp1 ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown interface GigaEthernet2:2.0 description VLAN2 encapsulation dot1q vlan2 ip address 10.1.21.254/23 ip dhcp binding dhcp2 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown >>100 >>105 続きです。 interface GigaEthernet2:3.0 description VLAN3 encapsulation dot1q vlan3 ip address 10.1.13.254/23 ip dhcp binding dhcp3 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown interface GigaEthernet2:4.0 description VLAN4 encapsulation dot1q vlan 4 ip address 10.1.21.254/23 ip dhcp binding dhcp4 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown interface GigaEthernet2:5.0 description VLAN5 encapsulation dot1q vlan 5 ip address 10.1.31.254/23 ip dhcp binding dhcp5 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown >>100 >>106 続きです。 ntp ip enable ntp server 10.1.1.9 priority 254 ntp master 10 ntp retry 3 ntp interval 3600 ip access-list all-forward permit ip src any dest any >>100 >>107 複合サブネットを利用されています点と、配下のL3スイッチ側のVLANグループの 調整が必要になります。 それぞれのVLANグループをタグVLANの追加と、トランクポート対象となるポートと IXルーター間の物理ポートベースVLANの構成をご確認下さい。 その物理ポートベースVLANグループへ、それぞれのタグVLANの参加をさせる形になります。 それと、VLAN間のルーティング処理として、複合サブネットを利用されていますので、 IXルーター側にBVIインターフェイスを追加して、BVIに参加させるVLANグループの 設定を要す場合が御座います。 >>100 >>109 BVIインターフェイスとVLANグループ、物理インターフェイスの紐付けをさせて、 VLAN同士のルーティング、インターネット接続の共用などをさせる場合の件ですが、 それぞれのVLANグループ間のアクセス条件が必要になります。 >>104-107 >>108-110 ヒントだけではなく、コンフィグまでありがとうございます!! やはりIXをタグVLANに参加させる必要があるのですね。 現在RTXはタグVLANに参加させておらず、dot1qを利用しておりません。 VLAN間ルーティングはL3スイッチに任せているのですが、IXは不可能な感じでしょうか? 以下がL3スイッチのコンフィグの一部になります。もう少し教えて頂けないでしょうか? よろしくお願いします。 >>111 L3スイッチ ip routing interface Vlan2 ip address 10.1.1.1 255.255.254.0 ip helper-address 10.1.11.255 ! interface Vlan10 ip address 10.1.11.254 255.255.254.0 ip helper-address 10.1.1.254 ip directed-broadcast 101 ! interface Vlan12 ip address 10.1.13.254 255.255.254.0 ip access-group vlan12 in ip helper-address 10.1.1.254 ! interface Vlan20 ip address 10.1.21.254 255.255.254.0 ip access-group vlan20 in ip helper-address 10.1.1.254 ! interface Vlan30 ip address 10.1.31.254 255.255.254.0 ip access-group vlan30 in ip helper-address 10.1.1.254 >>112 コマンドの設定を見ると、「Catalyst 3560」ですか? IXルーター側へ、VLANグループの反映 interface GigaEthernet2:1.0 description VLAN2 encapsulation dot1q Vlan2 bridge-group 1 interface GigaEthernet2:2.0 description VLAN10 encapsulation dot1q Vlan10 bridge-group 1 interface GigaEthernet2:3.0 description VLAN12 encapsulation dot1q Vlan12 bridge-group 1 interface GigaEthernet2:4.0 description VLAN20 encapsulation dot1q Vlan20 bridge-group 1 interface GigaEthernet2:5.0 description VLAN5 encapsulation dot1q Vlan30 bridge-group 1 L3スイッチの変更(Vlan2をトランクポート、ポートベースVLANに指定) L3スイッチの物理ポートのトランクポートを指定する L3スイッチの物理ポートのアクセスポート・VLANの指定、VLAN参加のポートを指定する VLAN間ルーティングをさせる場合ですが、 IXルーターのBVIインターフェイスの指定、VLANルーティング用 セカンダリIPアドレスの登録など >>112 >>113 続き interface BVI1 ip address 10.1.1.254/23 ip address 10.1.11.252/23 secondary ip address 10.1.11.252/23 secondary ip address 10.1.13.252/23 secondary ip address 10.1.21.252/23 secondary ip address 10.1.31.252/23 secondary ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out bridge-group 1 no shutdown GE2.0-I/Fは、ブリッジインターフェイスにするため、IPアドレスは削除 interface GigaEthernet2.0 no ip address 10.1.1.254/23 bridge-group 1 BVIインターフェイスの有効化 bridge irb enable ↑のようなイメージになりますが、 GE2.0-I/F → BVIインターフェイスの統合化、各タグVLANグループの BVIインターフェイスの参加のため、 タグVLANグループのエントリーにブリッジエントリー追加 最終的に各VLANグループとGE2.0-I/Fを紐付けて、インターネット側へNATセッション の疎通という形になりますね。 >>112 >>114 BVIインターフェイスにタグVLANをグループ追加しました場合に、 それぞれの詳細なIPアドレス同士のアクセスは、アクセスリストにて、 許可・拒否の設定をする形になるかと思います。 >>113-114 またまたコンフィグまで記載頂き、ありがとうございます!! おっしゃる通りCatalyst3560を利用しています。配下に複数のL2スイッチがぶら下がっている状態です。 ブリッジインターフェースの理解が無いので、勉強を行おうと思います。 コンフィグ的にVLAN間ルーティングはIXでさせている理解でよろしいのでしょうか? 的外れな事を言っていたら申し訳ありません。 >>116 VLAN間ルーティングの件ですが、DHCPサーバをIXルーターにて実装する場合には、 タグVLANグループの設定とBVIインターフェイスの参加は必要になりますので、 複数サブネット(/23)での多数のクライアント端末が有る場合には、苦しいですね。 出来れば、IXルーターのDHCPサーバを利用せず、配下のL3スイッチ側のDHCPサーバ機能を 利用する様に設定し、IXルーター側との接続は、ポートベースVLAN・トランクポート接続、 そのトランクポート接続のLANグループに、タグVLANを参加させる方法がシンプルかと思いますが。 タグVLAN同士のルーティングですが、BVIインターフェイスの参加するセカンダリアドレス の要件によって、IPセグメント同士のアクセスは可能です。 セカンダリアドレスは、15アドレスまで登録可能です。 >>116 >>117 ブリッジインターフェイスの機能の件ですが、 シスコのISRルーターなどにも採用されていますが、 iOSのバージョン(17.1以降、16以前)によって、CLIコマンドが違う仕様になっていたかと思います。 中々、シスコルーター系ですと、大変かもしれませんね。 クライアント端末の規模によっては、ISR4000、8000等になるケースも御座いますが、 ライセンスも含めて、バカ高いので、却ってIX2235、IX2310、IX3315等にて、 SD-WAN、SD-LANの構成の方がコストパフォーマンスが良いですね。 >>117-116 L3スイッチのDHCPサーバー機能を完全に忘却れておりました!おっしゃる通りその構成がシンプルですね! 今まで設定した事がありませんでしたので、勉強して検証環境で動作確認をしてみようと思います。 L3スイッチでDHCPサーバーを利用する場合、ルーター側にスタティックルートの設定を行うと思います。 各VLANのネットワークアドレスへの通信のゲートウェイがL3スイッチのIPアドレスに向くよう設定したら問題ないでしょうか? まだまだ勉強が足りませんでした。教えていただき、ありがとうございます。 >>119 ご推察の対応にて大丈夫かと思います。 IXルーターから、L3スイッチのトランクポートのIPアドレス、その先のVLANセグメント 宛へのスタティックルート設定にて対応確認となるかと思います。 >>120 顔も名前も知らない人間に色々教えていただきありがとうございます! 非常に勉強になりました。理解しきれてない部分もありますが、これから勉強をして理解しようと思います。 >>102 >>103 お返事ありがとうございます。 ACLの掛け方に対して私の知識がかなり不足している様なので、これを機会に勉強してみます。 本日、早速コンフィグの入れ替えしてみます。 ありがとうございます >>121 「Catalyst 3560」 スイッチのDHCPサーバの件、承知致しました。 同スイッチの場合、IP-Servicesライセンスを必要とするかと思いますので、 そのライセンスをご確認下さい。 複合サブネットを運用されているとのことでしたので、シスコのL3スイッチになる 事は仕方なかったかもしれませんね。 ソフトウェアライセンスやサポートライセンス等のライセンスのイニシャルコストが バカ高いので、ライセンスの状況によっては、他社のL3スイッチの方が良い場合も御座います。 L3スイッチ ネットギア 「M4300」シリーズ、「M4500」シリーズ NEC 「QX-S5628GT」、「QX-S5124GT」シリーズ NEC系ですと、IXルーターのクラウドサービス連携で一元運用管理が出来る ようになっています。 → Netmeister >>123 本日検証環境で動作確認を行いました。想定通りの動作になりました! IXが別のサブネットにDHCPサーバーとして稼働させる事が出来ないのは盲点でした。 しかし、ご教授頂いた手順で想定の動作にする事ができ、安心しました。 おっしゃる通りライセンスや保守費がバカになりませんので、考える必要がありますね。 ルーターをUNIVERGE に置き換えを行うので、スイッチも置き換えると一元管理が出来るのは便利ですね。 本当にありがとうございます。 >>125 良かったですね。 IXルーターのDHCPサーバ機能ですが、別セグメントの動作はタグVLANとBVIの制約 は付きますが、DHCPサーバーとして動作させて、配下のL3スイッチにてDHCPリレーエージェント の動作や、配下のスイッチ側がNECのUNIVERGE QXのタイプでしたら、 DHCPサーバのVLANインターフェイスとBVIインターフェイスグループにDHCPプロファイル の条件適用にて、動作させる方法はあるかと思いましたが、 そのような形ですと、IXルーターのリソースを若干かかる点、L3スイッチのメリットが 活かせなくなります。 IXルーターを用意される場合でしたら、配下のL3-L2スイッチをUNIVERGE QXのタイプを 用意して、IXルーターをNetmeisterの管理モードにて動作する設定、L3-L2スイッチを Netmeisterのクライアントモードの運用、接続端末のデバイスマップ機能にて、 端末の部分も含めて一元化は可能です。 その際にですが、ゼロタッチ・プロビジョニングの運用にて、IXルーター等の故障時の 交換作業の簡略化も可能かと思います。 >>125 >>126 ネットワークの一元化が出来ましたら、次のフェーズは、 端末の台数が多いと見受けられましたので、簡単にはいかないかもしれませんが、 UTM等のセキュリティ関連の統合化も検討された方が良いかもしれません。 現状、シスコのFirePowerなどの運用をされていましたら、特別不要かと思いましたが、 シスコ系のUTMは非常に高く、現在利用されていない状況でしたら、 ParoaltoやFortigateあたりの方が良いかもしれません。 >>126-127 ルーターのリソースを減らす事とL3スイッチのメリットを活かす構成を考えると、 DHCPサーバーはL3スイッチになるのですね。 Netmeisterでの一元管理が可能な点、現状の管理の手間を考えると、配下のL3,L2スイッチの置き換えを考える必要があるかもしれません。 予算との兼ね合いですが、検討していこうと思います。 UTMはFortigate60Fをトランスペアレントモードで導入しています。L2の機能しか使えておりませんが、、 Ciscoコマンドに慣れているせいか、Fortiのコマンドとコンフィグの量に難儀しております。 詳しく教えていただき、非常に感謝しております。ありがとうございます。 >>128 Fortigate60Fですか。 Fortigateトランスペアレント・ブリッジでも、端末台数が20〜30台のNATセッション でのセキュリティポリシーですと、フローモードがギリギリかもしれません。 Exploit-Proxyモードですと、15〜20台前後が精々かもしれません。 端末により、フローモード、Exploit-Proxyモードを分けて運用することは可能と存じます。 DNSフィルタ機能、スパムメール対策機能を併用すると、リソースの影響が大きいので、 DNSフィルタ機能を利用せずに、Cisco Umbrellaの併用、スパムメール対策は、 レンタルサーバ側のスパムメール対策機能を利用するようにされた方が良いかもしれません。 >>130 オクで5000円で仕入れてファームを最新にして15000円で売れてた頃が懐かしい なんかすげ-スレ伸びてんなwww IX2015は既に捨てたよ IX2215が格安で手に入るしね IX2207はまだ高いけど.... てかさ、このスレずっとROMってたんだけど フレッツipv6の折り返し拠点接続使えば、ひかり電話の転送が無料で可能じゃね?? 最近、テレアポ増えてて糞みたいな売り込みで携帯転送料金払わされるのがほんと馬鹿馬鹿しい >>132 北海道の事務所の電話、VPN使って東京で受けてるよ。 >>133 ここで言う、VPN利用は、Asphire UX、WX 利用ですか? pppoeでVPN接続したひかり電話って、音声の遅延が発生しそうで事業用では少し怖いな >>135 VPNネットワーク形態を利用するのであれば、 AsphireWX-Plus主装置と、IXルーター併用にて、NECのクラウドリンクにて、 スマホ内線を利用する 「UNIVERGEどこでも内線サービス」の方が良いんですけどね。 ヤフオクでIX2105値下がりしたね。 例の10台単位の出品が効いているね。 >>136 主装置のplusなしの型落ちなら2万円程度で手に入りますな。 ただ、どこでも内線サービスのサブスク費用はさすがNECですね~高い 確か、IXはsip-nat通らなかった記憶あるんだけど、今は通る様になったんだね 故障用のスペア部品としてIX2105買っとくかな? オクで出品されてるのは一台あたり2-3千円は安いね >>140 現在のAsphireWX-PlusとIXルーターの連携ですが、 IXルーターのVOIPフォワーディング、QOSシェービング、優先帯域・カラーリングを併用して 音声帯域を確保するようになっています。 他社クラウドPBXでの運用構築も、その様になっていますので、 クラウドサービスを併用する場合には、そのサービスにて利用されています ポート番号、RTSPポート、UDP5060-5091等の帯域割り当てにて対応は可能と存じます。 >>129 そうなんですよ。端末数が年々増えてきて厳しい状態になっています。 スパム対策を行っていたのですが、現在は無効にしています。 機材の再選定が必要かと考えています。 教えていただいた設定を検討していこうと考えています。ありがとうございます。 >>140 昔はSIP-NAT拡張ソフトウェアセットでSIP-NAT機能を追加出来たけど、今は無理でしょ UNIVERGEどこでも内線サービスはVPNで繋ぐクラウド側にSIP-NAT機能があるのでは? >>144 SIP-NATはあくまでも、SIP対象のポートを特定のIP端末にNAPT転送するだけの ものですので、他社のSIP-NATの仕様もそうですが、特定のSIP条件には制約が御座いますので、 実用上は、VOIPポートや特定のIPネットワークに一定の帯域割り当てをするのが本旨 になっております。 Asphire主装置でのシステム間接続も、それを趣旨にQOSやVOIP制御を仕様として 組まれていますので、敢えて特定のメーカーに限ってSIP-NATがキチンと動作するという ことにはなっておりません。 Asphire主装置のシステム間接続も、IXルーターを併用したり、内蔵のルーターユニットとブリッジングさせて、 VOIP内線をするようになっております。 >>143 Fortigateの機種を1〜2ランク上の製品の選択、FortigateのSyslogデータをFortinet のクラウドサーバへシスログ連携するようになっていますので、 そのシスログ制御の部分を、クラウド側ではなく、社内のシスログサーバへ保存する様に 変更するだけでも、一定のリソースの低減は可能かと思います。 >>145 SIP-NATはL7の話だよ 話ずれまくってますわ >>147 ここでの質問は、Asphire主装置とUNIVERGEどこでも内線サービスを使用しました際に、 SIP-NATが実装しており、必要であるかというアンサーになります。 L7層でのプロセスの話は、全く違う次元のお話になります。 主装置側の機能やクラウド側には、あえてそういった機能項目は無い言うことになりますが、 代替の機能にて対応するようになっております、 工事マニュアルにもそういった形になっております。 困ったね。 ここ最近までは普通に使えてたものが、 ここにきて使えない所が出てきた。 ドコモ10G+ぷらら(ocnバーチャルコネクト)でポート開放してるんだけど、 ぷらら(ocnバーチャルコネクト)の所からだけ繋がらなくなった。 ocn pppoe の所からだと今でも繋がるし、softbank モバイルルーターからも スマフォ(docomo) からも繋がる。 合併してなにかこっそり変更したかねぇ。 syslog を debug で取ってもなしのつぶてなんだよねぇ。 つまり上流のルーターで弾いてるって事かねぇ。 >>149 ドコモさまですか。 別件にて、先日ドコモさまのトラブルも出ていたぐらいですので、光回線のトラブルとは 関係性は無いですが、OCNバーチャルコネクトをご利用とのことでしたので、 グローバル固定IP等の契約でしょうか? CGN回線でしたら、ほぼ無理筋かと思いますが。 一般向けのOCNバーチャルコネクトってMAP-Eじゃなかったっけ? ぷららってことは一般向けじゃないかと思うけど、MAP-Eで割り当てられたポートレンジが変わったりしてない? ああごめん、違うか ぷらら側から接続してきてるのね... P2P型アプリケーションで接続元と接続先で割当範囲違うから同じポート番号が使えないせいで接続できないだけじゃないの バーチャルコネクトって事なら、回線はNGNだろうから網内折り返しのIPv6でtunnel掘れば良いのに。 東西跨いでるなら仕方ないけど。 >>102 interface GigaEthernet0.1 へ ip filter flt-list1 1 in を入れた状態でB拠点のLAN側端末がA拠点を通過してネットへ繋がる事が出来ました。 コンフィグ等のご教示頂いたお蔭です。 続けて質問で申し訳ありませんが・・ >>85 で示した頂いたコンフィグ(B拠点にのみ投入)で ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080 route-map r-map permit 10 match ip address access-list etherip-isp1 set ip next-hop 192.168.101.253 route-map r-map permit 10 自体を削除しても、ip filter flt-list1 1 in のコンフィグがある interface GigaEthernet0.1 へ ip filter sec-list 65000 in ip filter sec-list 65000 out を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。 もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか?? また、A拠点IXのtelnetサーバ-;(23番ポート)にB拠点下部の端末から接続出来てしまいますね。 私の認識ではIXは書いていないアクセスリストについては全て拒否設定だと認識しております。 B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます?? 一応、AとB拠点のコンフィグはコチラで、そして互いに接続出来ました https://imgur.com/a/Oh2rqEa https://imgur.com/a/TX7XlvD あと、AとBの両拠点のIXを再起動すると、B拠点のLAN側がA拠点とVPN接続完了まで、数分が掛かります。 これが以前に仰っていた両拠点DDNS同士の接続が負荷が掛かると言うことでしょうか?? すみません 質問ばかりで・・ 別でご教示頂いたIDSフィルタリングはこの後のコンフィグを投入予定です。 あとココの皆さま度重なるスレ汚しごめんなさい。 >>155 >>156 そうですか、良かったですね。 「ip filter sec-list 65000 in ip filter sec-list 65000 out を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。 もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか??」 ↑の件ですが、 A拠点、B拠点のPPPOEセッション側のIPフィルタ機能にて、 それぞれのPPPOEセッション側のWAN→LAN側、LAN→WAN側のポートの許可ですが、 最終エントリー(65000)にて全て許可をしている状態でしたが、その最終エントリーを 入れない状態ですと、ESPプロトコルとUDP500、UDP4500、UDP1701のみの許可なのですが、 PPPOE側からHTTP、HTTPS、他メールなどのポートは許可をされていない状況でしたので、 論理的には、A拠点のPPPOEセッション側には、最終エントリー65000は利用して、 B拠点側には、最終エントリー65000は利用しない形がベストと思いますが。 ルートマップの処理(ポリシールーティング処理)を削除して、PPPOE側のIPフィルタのエントリー を削除する形ですと、それぞれの拠点のセキュリティの関係上、もう少し、 危険なポートとのアクセスを制限していく方向が必要かと思いましたが。 >>155 >>157 続きです。 「B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます?? 」 ↑ の件ですが、IPSECトンネルのIPフィルタの処理にて、アウトバウンド側として、 拒否する様なアクセスリストが望ましいかと思います。 若しくは、A拠点側のIXルーターのtelnetサービスにログイン出来るIPアドレスを制限 する方法もあるかと思います。 該当箇所 ip access-list telnet permit ip src 192.168.101.0/24 dest any telet-server ip access-list telnet telnet-server ip enable 修正箇所 ip access-list telnet permit ip src 192.168.101.***/32 dest 192.168.101.0/24 no ip access-list telnet permit ip src 192.168.101.0/24 dest any ***に、アクセス許可するIPの第四オクテットを入れる DDNSの更新については、IPSECアグレッシブモードの運用形態にて、仕方ないかもしれません。 それとコンフィグ内にて、IPSEC-SAの更新のためのネットワークモニターの機能が 未適用、DDNSでの名称解決のネームサーバの設定をされていないので、 任意のネームサーバを適用しないと、名称解決に時間がかかるケースも想定されます。 DDNSでしたが、MyDNSでないといけませんか? Netmeisterの方が、性能面で良いかと思いました。 念のため、ネットワークモニターの設定例、ネームサーバの登録、Netmeister等の 登録例を転載致します。 >>155 >>158 ネームサーバの登録例(A拠点、B拠点それぞれ) proxy-dns ip enable proxy-dns server 8.8.8.8 priority 254 proxy-dns server 8.8.4.4 priority 254 ip name-server (契約プロバイダのプライマリDNSサーバ) ip name-server (契約プロバイダのセカンダリDNSサーバ) dns cache enable dns cache max-records 1024 ネットワークモニターの設定例(B拠点側) watch-group etherip-ipsec 10 event 10 ip unreach-host 192.168.101.254 Tunnel2.0 source BVI1 action 10 ipsec clear-sa Tunnel2.0 probe-counter variance 5 probe-counter restorer 3 probe-timer variance 60 probe-timer restorer 60 network-monitor etherip-ipsec enable Netmeister-DDNSの登録例(A拠点、B拠点それぞれ、事前にNetmeister のサイトにて、ユーザー登録を要します) nm ip enable nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード) nm sitename (netmeisterの登録サイト名称) nm ddns notify interface GigaEthernet0.1 protocol ip なお、A拠点、B拠点にMyDNSやNetmeisterの登録をされるケースでしたが、 IPSECアグレッシブモードでは無く、DDNS同士のメインモードの方が、レスポンス的には 良いかと思います。 メインモードの設定例も転載致します。 >>155 >>159 既存のIPSECの設定としては、既に、IPSECメインモードの設定をMyDNSにて設定されていますので、 先述のネットワークモニターの設定は、A拠点、B拠点向けに設定をしておく形が良いかと思います。 ネットワークモニターの設定例(A拠点側) watch-group etherip-ipsec 10 event 10 ip unreach-host 192.168.101.253 Tunnel2.0 source BVI1 action 10 ipsec clear-sa Tunnel2.0 probe-counter variance 5 probe-counter restorer 3 probe-timer variance 60 probe-timer restorer 60 network-monitor etherip-ipsec enable >>160 IPSECメインモードの接続のDDNS更新の部分でしたが、フレッツV6オプション(IPV6-POE) のプロバイダにすることで、性能の底上げは可能と存じます。 Netmeister-DDNSは、IPV6-IPOEやフレッツV6オプションの閉域網のIPSECに 対応しております。 >>157-161 お返事遅くなりましたごめんなさい... 貴重なコンフィグ例まで頂いてありがとうございます。 凄い知識量ですね~ 私はこのコンフィグを見てまだ良く理解出来ていないので、まずは設定事例集とコンフィグリストを読みながら理解をしていきつつ進めていきたいと思います。 MyDNSよりNetmeister-DDNSの方が性能良いなんて初めて知りました。目からウロコです。 とても助かりました >>163 ネームサーバの登録の件ですが、PPPOEの動的IPの契約の場合ですが、 MyDNSやNetmeisterなどのDDNSに共通ですが、グローバルIPとDDNSの紐付けアクセスに、 プロバイダのネームサーバを参照し、DDNSの更新をする様になっていますので、 ご指定のコンフィグでは、Proxy-DNSとname-serverの設定を明示的に設定をされていませんでしたので、 グローバルIPの名称解決のために、name-serverの登録をして、グローバルIPとの 名称解決がスムースに出来るようにイメージしております。 あと、IPV6-IPOEやフレッツV6オプションの件ですが、 NTTギガ回線以上の回線の場合には、フレッツV6オプションが自動加入になっているかと思いますので、 そのフレッツV6オプションのサービスより、割り当てのIPV6グローバルアドレス を利用して、IPV6-IPSEC・メインモードの接続にするイメージになります。 そのIPV6グローバルアドレスをNetmeister-DDNSにて名称解決させて、 Netmsiter-DDNS同士のIPSECに切替える形が良いかと思います。 以下設定例(IXルーターの上位にNTT光電話ルーターが有る場合) ipv6 ufs-cache max-entries 65535 ipv6 ufs-cache enable ipv6 cache-size 25300 ipv6 dhcp enable ipv6 access-list block-list deny ip src any dest any ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any ipv6 access-list other-list permit ip src any dest any ipv6 access-list tunnel-list sequence-mode 100 ipv6 access-list tunnel-list 100 permit 4 src any dest any ipv6 access-list dynamic cache 65535 ipv6 access-list dynamic dflt-list access other-list ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers option-request ntp-servers >>163 >>164 続きです。 ipv6 dhcp server-profile dhcpv6-sv dns-server dhcp interface GigaEthernet0.0 description IPV6 no ip address ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 mld upstream ipv6 mld version 2 only ipv6 traffic-class tos 0 ipv6 nd proxy BVI1 ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out no shutdown interface BVI1 ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag >>163 >>165 続きです。 Netmeiste-DDNSをIPV6アドレスを監視させる場合(LAN側インターフェイス、BVI1等) nm ip enable nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード) nm sitename (netmeisterの登録サイト名称) nm ddns notify interface BVI1 protocol ipv6 IPV6-IPSECに切替えるポリシー(A拠点側) ike policy ike-policy peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike- prop ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) ipsec-prop IPV6-IPSECに切替えるポリシー(B拠点側) ike policy ike-policy peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike- prop ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) ipsec-prop ↑ のようなイメージになります。 IPV6アドレスは、LAN側にブリッジ動作のような形になります。 >>164-166 感謝感激です! ipv6の拠点接続なんて雲の上の様な存在です もちろん、私の2拠点の光回線はフレッツでして当初はipv6通信の為にNTTを選んだ次第です。 この頂いたコンフィグ例は俗にいうフレッツipv6同士の折り返しですよね? このスレでも700M近くの通信速度が出るとの書き込みを読んだ事があり、ぜひチャレンジしてみたい設定です。 ただ、現実はまだ脳みそが情報についてこれていない感じです。 いつも助けて頂いてありがとうございます。 ネ-ムサ-バ-のコンフィグの理解も初めて出来ました。IXがどんな挙動を示すかとても楽しみです。 pppoeの拠点接続の再設定については、また報告させて頂きます。ありがとうございます。 >>167 承知致しました。 フレッツV6オプションのIPV6閉域網接続の件ですが、 組み合わせとしてですが、 A拠点側のインターネット機能をV6プラス・固定IP等の回線に切替えをして、 B拠点は、プロバイダ無しの構成、またはPPPOE動的IPの回線、若しくはコラボ光 の回線で、V6プラス・固定IPのプロバイダも御座いますので、そちらの組み合わせ にする方法もありかと思います。 >>168 ありがとうございます。 光電話の契約はA拠点のみですが、2拠点共にplala光のv6プラスオプションも利用していますので、pppoe拠点接続完了後にぜひやってみたいてすね~ なんせIPsecでv6折返しで1G近く速度が出るって単純にエグイです。 プロバイダー契約無しとは、光ライトですね。 両方共に戸建て契約なので、少しでも通信料金が下がるのは嬉しいです ほんと感謝しかありません >>169 そうですか。 A拠点、B拠点共、ぷらら光のV6プラス・動的IPの場合、利用出来るポート数に制限(240ポート)があるため、 インターネットのポートを多用するアプリケーション等の制限を回避する形ですと、 V6プラス・固定IPの切替えは必要かと思います。 V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約 を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事) が可能になります。 ※ https://21ip.jp/ A拠点は、NTT光電話ルーター配下と言う事ですので、NTT光電話ルーターのIPV6-IPOEフィルタの 許可(双方向、ANY許可)、IXルーターはND-Proxyの設定になります。 B拠点は、ぷらら・V6プラスのみでも構いませんが、光電話機器・契約が無しということですので、 IXルーターは、ND-Proxyの設定になります。 ND-Proxyの設定ですと、A拠点のIPV6アドレスは、BVIインターフェイス側にブリッジング される形になります。 B拠点は、ぷらら光・V6プラスなどの設定は無しと言う構成になりますね。 IPV6インターネット系のIPV6アドレスは、A拠点のIPV6インターネットのBVIブリッジング 動作という形になるかと存じます。 >>170 すごい知識量ですね~ 私は全然脳みそが付いていけません...涙 教えて頂いた内容がまだ全て理解不足なのですが・・ >>V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約 を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事) が可能になります。 ※ https://21ip.jp/ この解釈ですと A拠点 現在 plala光 + plala V6エクスプレス → 今後 plala光 + 21ip.jpの固定v6サービス B拠点 現在も今後も同じ plala光 + plala V6エクスプレス と言う事で宜しいでしょうか?? あと、ご紹介頂いた 21ip.jp社 の契約メニュ-ですが・・ V6プラス固定IP 2550円 のメニュ-で宜しいのでしょうか?? 食わず嫌いで「ND-Proxy」を全く調べていなかったのですが、やっと理解出きました ipv6のフィルタ-機能だったんですね ありがとうございます。ココでいつもめちゃくちゃ勉強させて頂いています。 >>171 ご質問の件ですが、 A拠点 現在 plala光 + plala V6エクスプレス → ぷらら側にてIPV6-IPOEは利用しない契約、21ip.jpの固定v6サービス B拠点 こちらは、plala光のみでもOKですが、NTTギガラインのみでもOK(ライト系は不可) ※ A拠点についてですが、ぷらら光の場合にはIPV6-IPOEが基本契約にセットされている契約ですので、 IPV6-IPOE(ぷららV6エクスプレス)を解除すると、契約変更になるかもしれません。 → ぷららひかりメイト+NTTギガスマートタイプ もし、契約変更でなければ、V6プラス・固定IPの契約が出来ない場合ですが、 BIGLOBE光などでもV6プラス・固定IPとの組み合わせは可能ですので、ぷらら光から BIGLOBE光への事業者変更承諾番号をぷららへ連絡して取得、その事業者変更承諾番号を BIGLOBEへ手続きしてBIGLOBEへ変更することでも可能です。 「あと、ご紹介頂いた 21ip.jp社 の契約メニュ−ですが・・ V6プラス固定IP 2550円 のメニュ−で宜しいのでしょうか??」 ↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい) >>171 >>172 もし、ぷらら光からBIGLOBE光へ事業者変更申請をされる場合ですが、 ぷららのメールアカウントは、バリュープラン(月額250円前後)にて残す事は可能です。 BIGLOBE光の方の機能は、IPV6-IPOEとPPPOEを任意選択が出来るサービスになっています。 (IPV6-IPOEが前提とはなっていません) よって、コラボ回線の回線コストを低減させながら、高帯域のV6プラス・固定IPの組み合わせが出来る様になっています。 ちなみに、アサヒネット光はIPV6-IPOEの解除は不可にて、解除するとフレッツプランに変更になります。 、 >>173 IIJMio光のサービスも、高帯域のv6プラス・固定IPの併用は出来るサービスになっています。 その際には、IIJMioのIPV6-IPOEは申込みはしない形にて、v6プラス・固定IPの申込みをする形になります。 ぷらら側の対応により、NTT光・ギガスマートタイプやギガラインへ変更になる場合には、 料金的な意味合いにて、ご検討下さい。 >>172 アドバイスありがとうございます 私はN西地域だったので、「NTTギガスマートタイプ」に馴染みがなくググってみたら... 半導体不足の影響で新規受け付け停止中なんですね~ 一度、plala光へぷららV6エクスプレス解除の件問い合わせてみます。 もし事業者変更が必要であれば、今の回線は「光ネクストのファミリースーパーハイスピード隼」なのでコラボ光を止めてN西に戻ろうと思います。 度々質問して申し訳ないのですが・・ >> ↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい) の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか? ごめんなさい。。何回も。。汗 >>175 NTT西日本なのですね。 「の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか? ごめんなさい。。何回も。。汗 」 ↑ の件ですが、その解釈にてOKです。 >>175 確かに、NTTギガスマートタイプのHGW(PR600、RT600系)の生産基板が不足している状況でしたが、 回線の申込みは可能です。 暫定処置・他社製品になりますが、 ・ NTT-HGWの代わりに、ヤマハ 「NVR510」を用意して、光電話収容設定(小型ONU運用) の設定をして、DHCPv6-PD、LAN側にRAプレフィックス(Oフラグ)の配信設定をする。 ・ NVR510配下にて、IXルーターのIPV6取得方法をIPV6ブリッジ設定、若しくはND-Proxy の設定をして、V6プラス・固定IPの接続をする。 ↑の方法にて、接続をされている方も居られます。 >>176 ご返信ありがとうございます NVR510で光収容する件も夢がありますね。ただ、まだ高値止まりなので中古でも買えませんね まずはまだ完了していないpppoeのIPsec接続を終わらせた後、ipv6の折り返しにチャレンジしたいと思います。 いつも色々教えて頂いてとても感謝を致します。 ご報告が遅くなりました。 実は・・ あれから原因不明のPPPOEエラ-がたまに発生し、IPSecのリンク切れが急に起こっていました。当初は設定ミスを疑っていたのですが、どうやらPR-500(ONU)とIXとの間に挟んでいたHUBがどうもきな臭い様で別途、新品(安物ですが)を発注したところです。 一体、このトラブルシュ-ティングで土日どころか、平日の深夜まで何日費やしたところか... タチの悪い事に、再現性が全くなかったトラブルです。 新HUBが到着次第、またやってみます もう疲れたよパトラッシュ.... >>179 NTT-HGW に スイッチングハブですか? 通常でしたら不要かと思いますが。 NTT-HGWのファームウェアは最新版へ更新をされていますでしょうか? また、ひかりTV系のIPV6マルチキャスト系の通信をさせている場合には、 通常のスイッチングハブでは無くて、L2スイッチのMLDスヌーピング機能が搭載されている タイプでなければ、無理かと思いますが。 通常の業務系・管理型L2スイッチにて、ポート毎にMLDスヌーピング制御させる形になりますが。 お返事ありがとうございます。 実はひかり電話をVPNで外部からの発信する為に ONU背面蓋を開けてLANのメス側からLANケーブルを配線 → 安物の馬鹿HUB → IX2215とNVR500、そしてONUの後部蓋の中にあるもう一つのLANケーブル(オス)とLANアダプタ使用でLAN同士を接続 そして、NVR500のLAN側とONUのルータ機能側のLANを接続 ひかり電話はNVR500とMJケーブルで接続 自宅のNW構成はこれで運用をしておりました。 そして、今回のPPPOE利用でのIPSec接続で、新たに動的のIPv4回線を1回線を契約して、上記の馬鹿HUBにLAN接続し、下部にIX2215をぶら下げて試験をしております。 もしかして、この3セッションを利用している状態ですと、結構なお値段のMLDsnooping機能付きのスイッチが必要でしょうか? それとひかりテレビは契約しておりません。 すみません…質問ばかりで >>181 えー。 NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、 NTT-HGW → スイッチングハブ@ → NVR500 の 光電話内線アナログ収容 NTT-HGW → スイッチングハブA → IX2215のPPPOEセッション・Ether-IP接続でしょうか? 最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね? NVR500側にPPPOEセッションの確立をしておらず、 IX2215のみのPPPOEセッションでしたら、NTT光回線・1回線あたりのセッション数は、 2セッションまで可能な筈ですので、セッション不足では無いですね。 それよりもむしろ、NVR500側のルートと、IX2215側のルートに、IPV6アドレスが振られる形ですと、 問題ですね。 Ether-IPのIPSEC接続のブリッジ設定ですが、デフォルトにて、IPV6アドレスもブリッジングさせる 様になっていますので、IX2215側へはIPV6アドレスをブリッジングさせない形をしませんと、 IPV6アドレスのコンフリクトにて、それぞれの通信機器間の通信が不安定になる場合が想定されます。 以前のA拠点とB拠点のBVIインターフェイスの設定ですが、全ての通信がブリッジングする様になっていたかと思います。 bridge irb enable ← のみでは、IPV4とIPV6アドレスをブリッジングする様になっていましたので、 IPV6アドレスは抑止するようにしませんと、何らかの障害は出るかもしれません。 bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止 する様になるかと存じます。 A拠点側に光電話契約をされている状況だったかと思いますが、IPV6アドレスのコンフリクトが想定されますので、 B拠点共、上記のコマンドの設定が必要になるかもしれません。 上記の設定ですが、PPPOEセッションの契約より、V6プラス固定IPの契約にすると、 IPV6アドレスの抑止をすると、BVI機能では、IPV6アドレスの通信が出来なくなりますので、 ND-Proxyの設定が必要になります。 RAプレフィックスの通信と、それ以外のDHCPv6-PDの通信は、厳密に分ける事は出来ないので、 v6プラス固定IPの回線にされる場合には、 NTT光電話回線と、IX2215のEther-IP-IPSECの回線は分けないと、無理が出てくる可能性が御座います。 >>181 >>182 先ほどの追記しました、語句ですが、一部誤入力でした。 (誤)bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止 する様になるかと存じます。 (正)no bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止 する様になるかと存じます。 あ… ごめんなさい… 私の認識は光プレミアム時代で止まってまして、1光回線辺り5セッションの認識でしたw お恥ずかしい… 実は1光回線の環境でテストしており NVR500用の固定ipv4が一回線、それとIPsec用(テスト用回線も含めて)の動的IPv4が2回線… セッションが既に3回線なので、そら勝手にPPPOEが切断されるよなw ほんと申し訳無い >>182 NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、 NTT-HGW → スイッチングハブ① → NVR500 の 光電話内線アナログ収容 NTT-HGW → スイッチングハブ② → IX2215のPPPOEセッション・Ether-IP接続でしょうか? 最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね? IX2215とNVR500は完全に上位馬鹿HUBにて並行設置になってますので、カスケード接続等はしておりません。 IXのスイッチポートからカスケード接続出来るなんて初めて知りました。 少し調べてみます いつもご教示ありがとうございます >>184 ファミリー・スーパーハイスピードタイプ 隼 ですが、標準2セッションで、最大5セッションの 接続サービスになりますので、PPPOEセッションが3セッション有る場合には、 フレッツセッションプラスの申込みが必要になります。 ※ https://flets-w.com/opt/session_plus/ あと、光電話の内線の件ですが、NVR500に出先よりスマホのSIP内線がVPN経由にて出来る機能 が有ったかどうかは定かでは御座いませんが、NTT-HGWに直収でしたら、SIP内線は 出来る機能が有ったと思いましたが、 IX2215のBVIインターフェイスにカスケード接続する場合には、 IX2215へのリモートアクセス接続し、IX2215のBVIインターフェイスに収容している VLANポートとカスケード接続しているHGW宛にSIP認証する形になるかと思われます。 実際には、検証が必要ですが、 例 NTT-HGW(192.168.0.1/24) → NVR500(192.168.1.0/24)にしている場合 IX2215のGE2.0-I/Fを、更にHGW用のVLANグループを追加して(既存のVLANですと、 GigaEthertnet2.2:0〜GigaEthertnet2.3:0が利用されていないようですので、 Device GigaEthernet2 vlan-group 2 port 5 6 ← と言う風に変更 no vlan-group 3 port 6 ← 削除する interface Gigaethernet0.0 no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、 起動する interface Gigaethernet2.0 no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、 起動する interface Gigaethernet2:2.0 ip proxy-arp bridge-group 1 ← ポート5〜6をHGW側の接続ポートとして、BVIグループに追加する no interface Gigaethernet2:3.0 ← 削除 interface BVI1 ip address 192.168.1.254/24 secondary ← 光電話の内線収容の場合のBVI・VLANグループに割り当てするIPアドレス >>184 >>185 続きです。 ↑ のような形になるかと存じます。 先述のお話の通り、GE0.0-I/Fには、NTT-HGWとDHCPv6-PDのアドレスが奪い合いのようなイメージにて、 IPV6アドレスが振られる場合が御座いますので、IX2215側には、IPV6アドレスはBVI側には配信しないようにする形に なるかと思います。 NTT-HGW系とIX2215のBVIインターフェイス間のカスケード接続での光電話認証をする場合には、 検証が必要になるかと思います。 GE2.0-I/Fのポート5〜6をHGW系のルートとしてイメージしていますので、 ポート5番からHGW系に接続、ポート6は、社内の無線LANアクセスポイント経由にて、 スマホ内線などをする場合のポートをイメージする形になるかと存じます。 よって、無線LANアクセスポイント側にて、通常のインターネットと音声内線用のVLANを 構成出来るタイプ、ESS-IDをVLAN毎に分ける形になるかと思います。 >>185-186 ご返事ありがとうございます 頂いた貴重なアドバイスから察すると、検証は必要との事ですがNVR500を撤去してIX2215のGE2.0側から直接NTT-HGWと接続するイメ-ジで宜しいでしょうか?? まだ私の知識が付いていけてないので、ご教示頂ければ幸いです。 NVRを撤去出来るのであれば、機器のコンセントや置き場所に余裕が出るので嬉しいですね~ NVR500はNTT-HGWのSIPクライアントとして利用していました。もちろんひかり電話はNTT-HGWに直収しています。 NVR500を設置した経緯として、IX2215がSIP-NATが無いとの情報を見た事があったからです(本来は性能が良いIXをSIPクライアントにしたかったのですが・・) >>182 を読ませて頂いたのですが、「bridge 1 bridge ipv6」のコンフィグをググってみると、とても良い勉強になりました ありがとうございます >>187 NTT-HGWとの接続の件ですが、IX2215のブリッジインターフェイスの一部機能、 プルーター機能を併用する形になりますね。 ポート5〜6番が利用中ということでしたら、GigaEthernet1.0のインターフェイスも空いている様ですので、 GigaEthernet1.0のインターフェイス、BVIインターフェイスにNTT-HGWと同一セグメントの IPアドレスをセカンダリ登録として設定することで、BVIインターフェイスからNTT-HGWへのLAN-IP アドレスへ通信は出来るかと思います。 例 NTT-HGW(192.168.0.1/24)の場合 interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown interface BVI1 ip address 192.168.0.254/24 bridge-group 1 no shutdown ↑のような形ですと、NTT-HGWのLANポートより、IX2215のGigaEthernet1.0のポートに 追加増線して、BVIインターフェイスと紐付ける形のイメージになります。 >>187 NVR500を撤去する形の件ですが、NVR500のTELポートにFAX複合機や電話機を接続している場合には、 NTT-HGW側のTELポートを利用する形になりますね。 >>187 既存のNTT光電話有りのA拠点の件ですが、V6プラス・固定IP等の高帯域回線を利用する場合の件ですが、 光電話側の回線は、電話のみの光NEXTライトのコースで大丈夫かと思います。 V6プラス・固定IPの追加申込みの回線側を、光電話無しのデータ通信のみの回線の申込み が良いかと思います。 IX2215の光収容の設定により、 以下例 GE0.0-I/F(DHCPv6-PD) → VNEトンネル1(V6プラス・固定IP) 、BVI1-I/F側にIPV6アドレスをND-Proxyにて配信する形 GE1.0-I/F(NTT-HGWからの配線) → BVI1-I/FとブリッジングIPとする アドバイスありがとうございます。 ぜひ、このPPPOEでの接続が一段落すれば、次にipv6での折返し接続にチャレンジしたいと思います。 PPPOEの方は本日、NVR500の固定ipのセッションを外して、HUBも変えて再チャレンジしたいと思います。 お盆休みまでに終われるかなぁ~ >>191 そうですか。 光電話のVPNスマホ内線もされるようですから、国際電話などの通信含めて、不正ログインや 不正アクセス対策、アプリケーション制限やWebフィルタリング、サンドボックス対策、 他脆弱性対策のためですが、UTM等の装置を入れた方が良いかと思いますが。 ※ Fortigate61F、Fortigate80F、SonicWALL TZ670 等 >>192 すみません・・ もう少しアドバイス頂けたら助かります 最終的にリンクで貼った配線図を目指しています 調子が悪い馬鹿HUBも安物ですが新品交換を行い、3セッションになっていた環境を2セッションに戻しました。 AとB拠点のIX2215のみ設置の状況だと無事にIPSecで接続出来ました(VLANの設定は無し) ところが、ABの各拠点の下にL2スイッチ(WS-C2960CG-8TC-L)をそれぞれ設置を行い、IX2215のAとB拠点にて、VLAN10-VLAN30のコンフィグを入力したところ、スイッチ側のVLAN10アクセスポートではB拠点からA拠点を経由してインタ-ネットへ出ていけますが、VLAN20とVLAN30はB拠点からAへ出ていくどころかB拠点IX2215からDHCPも落ちてきません。 設定事例集等を確認はしたのですが、どうももうお手上げ状態です。 何かコンフィグで変な部分ありますでしょうか?? スレチになるかもしれませんが、念のためスイッチのコンフィグも貼らせて頂きます。 VLAN10~VLAN30は互いにアクセス出来ない様にしたいと思っております https://imgur.com/a/O5Nd9kR https://imgur.com/a/wXXxvtS https://imgur.com/a/WT3MYAD https://imgur.com/a/tjlGPqf https://imgur.com/a/bkbwnAV それと・・ 以前のご教示頂いた route-map r-map permit 10 match ip address access-list etherip-isp1 set ip next-hop 192.168.101.253 watch-group etherip-ipsec 10 event 10 ip unreach-host 192.168.101.254 Tunnel1.0 source BVI1 action 10 ipsec clear-sa Tunnel1.0 probe-counter variance 5 probe-counter restorer 3 probe-timer variance 60 probe-timer restorer 60 のコンフィグは一旦、仮で削除をしています。 それとアドバイス頂いたUTM導入についても、ココは勉強の機会と言うことで一度調べてみます。paloaltoのライセンス切れ古いのは持ってるのですが・・ 私の知識不足で質問ばかりで大変申し訳ございませんが、ご教示頂ければ幸いです >>193 あー、やっぱりシスコのL2スイッチの構成ですか。 IX2215からトランクポートの接続となりますと、その間はポートベースVLANでなければ 無理かと思いますが。 トランクリンクポートとして設定しましたグループへ、他のVLAN10〜30を参加する様に設定変更は出来ませんか? もし、IX2215のタグVLAN若しくはタグ無しVLANの構成をされた場合ですが、 トランクポートとIX2215間のタグ要件を分けないと、うまく通信が出来ない可能性が御座います。 ご指摘の図で言いますと、トランクポートのVLAN30とIX2215の間のVLANをポートベースVLAN 間にて接続して、L2スイッチ側・トランクポートの管理IPアドレスを、192.168.101.***/24(A拠点、B拠点にて空いていて、 L2スイッチに割り当て出来るIPアドレス)、デフォルトゲートウェイ192.168.101.254、プライマリDNS192.168.101.254 と設定し、VLAN20(仮に192.168.102.0/24)、VLAN30(仮に192.168.103.0/24)と 設定は可能でしょうか? VLANで分けるのであれば、IX2215側のIPと分割させないと、うまくいかないかと思います。 その場合には、IX2215側の静的ルーティング経路として、 ip route 192.168.102.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP) ip route 192.168.103.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP) それと、IX2215のBVI2、BVI3のブリッジグループがおかしいので、全て1に変更可能でしょうか? bridge 1 group >>193 >>195 続きです。 ご指定のタグVLANの構成の場合ですと、タグVLANのグループエントリー10がトランクポート扱いになります。 対象インターフェイスは、GigaEthernet2:1.1 になります。 こちらのインターフェイスのタググループと、GigaEthernet2:1.2〜GigaEthernet2:1.3 が同一グループになるように、BVIインターフェイスの追加をしてみて下さい。 あと、VLAN間のルーティングをさせる場合にですが、 BVI1のインターフェイスに、セカンダリIPアドレスを設定しませんとVLAN間ルーティングが うまくいかない場合が御座います。(IX2215のタグVLANとカタリストのタグVLANの互換性の関連) それと、Ether-IP-IPSECのトンネルを複数作成されているようですが、 こちらは意味が無い構成です。 恐らく、Tunnel2.0〜Tunnel3.0の宛先トンネルですが、Tunnel1.0のエントリーにて、 A拠点とB拠点のIPSEC接続は確立をしていますので、 BVIインターフェイスを同一のブリッジグループにするぐらいでしょうか。 >>193 >>196 方法として整理すると、 ポートベースVLANとタグVLANを併用する場合 (1) IX2215と2960間のトランクポート接続をポートベースVLANで接続して、 そのポートベースVLANグループに、VLAN20〜30を参加させる。 (2) ポートベースVLANの場合には、静的ルーティング経路として、 192.168.102.0/24、192.168.103.0/24宛のルーティングをL2スイッチに向ける。 (3) この場合には、B拠点のVLAN20〜30を別のIPセグメントにしないとうまくいかない。 例 VLAN20(192.168.104.0/24)、VLAN30(192.168.105.0/24) (4) A拠点からB拠点のVLAN20〜VLAN30の静的経路をTunnel1.0に向ける 全てタグVLANにて構成する場合 (1) IX2215と2960間のトランクポート接続をタグVLANエントリー10で接続して、 そのグループに、VLAN20〜30を参加させる。 (2) タグVLANのBVIインターフェイスが、IX2215で言うトランクポートの扱いになりますので、 BVIインターフェイスのグループを共通にする。 >>197 アドバイスとても助かります 仰せのお話ですと… 1. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANID無し 2. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANIDあり 3. IX2215とシスコスイッチ間の接続が、タグVLAN&タグVLANIDあり な感じでしょうか。 私の知識がまだ不足しているので、間違えていればごめんなさい… 一番シンプルなコンフィグ構成が3ですね。 1はIXとスイッチ間のLANケーブルが増えそうですね。少し比較検討しながら再チャレンジしてみます。まだ知識不足で良く理解出来ていなのですが、2のパターンでやってみたいと思います。 3のパターンですと、VLAN10-30は全ての同じBVIグループになるので、VLAN間のアクセス許可の設定必要そうですね。 いつもありがとうございます。 スレチになるかも知れませんが、ciscoの無線コントローラーとAPが思わないところから手に入り、どうしても使ってみたくて複雑な構成になってしまいました。 土日利用して再度、チャレンジしてみます >>198 IX2215のタグVLANの機能と、シスコ2960のタグVLANの仕様が若干互換性の差が御座いますので、 一度、IX2215のVLANグループをピュアな方法からやり直してみる形が良いかと思います。 Device GigaEthernet2 vlan-group 1 port 1 2 3 4 vlan-group 2 port 5 vlan-group 3 port 6 interface GigaEthernet2:1.1〜2:1.4 と物理ポート1番の配下にサブインターフェイス を作成して、タグ付きVLANを設定されているようですので、 一度、トランクポート・ポートベースVLANのグループの設定を分けて、タグVLANの物理ポートを、 トランクポートと同一グループの設定を、2960側にて確認をすると良いかと思います。 端末台数が多い環境ですと、IX2215にタグ制御の設定までしてしまうと、若干負荷が高くなりますので、 IX2215配下にて、L3スイッチでのVLANルーティングの方が良いかと思います。 あと、WLCコントローラーと管理APですが、デフォルトにて、ネィティブVLANが優先する様になっていますので、 明示的にタグVLANのグループに属するエントリーにするか、若しくはトランクポート と共通のポートベースVLANのポートに属するかをご確認された方が良いかと思います。 シスコ系の無線LANですが、ネイティブVLANとタグVLAN、ポートベースVLANですが、 同一の物理インターフェイスの配下にサブインターフェイスとして想定すると、比較的 誤動作が有ったかと思います。 機能的には、タグVLANとネイティブVLANを共用出来ると公表しているのですが、 タグVLANとネイティブVLANを併用すると、エントリー番号が若番より優先されるようになっているのですが、 iOS-XEのバージョンの問題、若しくは不具合が比較的多いです。 以外と、シスコ系のコントローラーやAPは、他社製品との落とし穴が御座います。 IX2215と組み合わせる場合には、UNIVERGE-QXのL2若しくはL3スイッチ、 無線LANは、「QX-W1130」 等の方が良いかと思います。 >>198 >>199 シスコ系のL2スイッチ、L3スイッチに共通ですが、タグ付きVLAN、タグ無しVLANの通信 のiOS-XE等の制御・仕様ですが、他社製品のタグを解釈出来ない重大な問題が御座います。 何故か、VLAN多重化をしました際に、タグ付きVLANでタグの制御が出来ず、ネイティブVLANの構成にされた際に、 タグまで出力してしまうとか、かなりおかしい仕様が有ったかと思います。 L2スイッチ、L3スイッチ系にてメーカー相違でも互換性が高いラインナップですが、 NEC以外に、アライドテレシス、ネットギア、Buffalo系が、素直な動作をしました。 アライドテレシスは、ルーター系は良くないですが・・・。 >>198 >>200 シスコのL2、L3スイッチに共通でしたが、VLAN-ID1番のエントリーですが、ネイティブVLAN (タグ無しVLAN)が固定になっています。他のIXルーター等の他のネットワーク、WLCコントローラーAP 含めて、VLAN-IDエントリー1番を設定すると、他のVLAN-IDより優先する様になっており、 VLAN-IDを利用しIXルーターのトランクポートとのタグVLANを構成する場合には、 トランクポートの対象のVLAN-ID1番エントリーを利用するかどうかで、トランクポート対象の VLANモードが変ります。 よって、IXルーター間のトランクポート間の接続をタグVLAN系で想定する場合には、 トランクポート間は、ネイティブVLANで想定し、他のVLANグループ20〜30をタグ有りで構成し、 VLAN20〜30のアクセスポートをトランクポート・ネイティブVLANに参加させる方法を採らないと、 うまく通信が出来ない状況も想定されます。 IX2215とのトランクリンクの相性も御座いますが、トランクポートを ポートベースVLANにするか、ネイティブVLANにして、エントリ番号を若番にしないと、 他のタグVLANのトランクリンクが出来ない可能性が御座います。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる