NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11

**anonymous@fusianasan** · 2022/06/02(木) 08:32:29.81

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
https://jpn.nec.com/univerge/ix/
https://jpn.nec.com/univerge/ix/Manual/
https://jpn.nec.com/univerge/ix/Support/

前スレ：NEC UNIVERGE IX2000/IX3000 運用構築スレ Part10
https://mao.5ch.net/test/read.cgi/network/1590527255/

**anonymous@fusianasan** · 2022/07/17(日) 14:46:31.45

>>99

ip filter flt-list1 1 in のコマンドの件ですが、削除は構いませんが（出来ればそのままの方が良いかと思いますが）、そちらですと、
デフォルトでクローズしましたものをオープンのエントリーを追加することで、プロトコルの通信を許可するものです。

もし、B拠点などへL2TP/IPSECトンネルを接続しながら、他のポートを許可する為には、
最終のエントリー追加にて、
「ip access-list sec-list permit ip src any dest any」　のアクセスリストがあるようですので、

interface GigaEthernet0.1
ip filter sec-list 65000 in
ip filter sec-list 65000 out

を追加してみて下さい。
　65000エントリーにて、全てのエントリーを許可する形になります。
　なお、PPPOEセッション側より、不正なポート等のアクセス拒否等の設定を
されていないようですので、念のためですが、IDSフィルタリング設定を追加
しておいた方が良いかと思いますが。

ids ip type all action discard
ids ip type ip-header action detect
ids ip type icmp action detect
ids ip type udp action detect
ids ip type tcp action detect
ids ip type ftp action detect
ids logging-interval 10

**anonymous@fusianasan** · 2022/07/17(日) 14:47:19.30

>>99
>>102

続きです。
なお、
SSHからTCP50000番のアクセスですが、アクセスリストに追加にて、
A拠点宛へ通信は可能です。

ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport 22 dest any dport eq 50000
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport 22 dest any dport eq 50000

**anonymous@fusianasan** · 2022/07/17(日) 16:37:00.59

>>100
>>101
IXルーターと配下のL3スイッチにてVLANを構成し、IXルーター側にてDHCP機能を
配信する場合には、
IXルーターのGE2.0-I/Fに物理IPアドレスを設定（10.1.1.254/23）
でしょうか、複合サブネットになっていますので、運用方法によりBVIの機能を併用する形になってしまいますが、
GE2.0-I/Fに物理IPアドレス配下にサブインターフェイスとして、タグVLANのインターフェイスを追加して、そのタグVLANのインターフェイスに
個別のDHCP機能を紐付ける形になりますが、宜しいでしょうか？　以下設定例です。
ip dhcp profile dhcp1
assignable-range 10.1.0.100 10.1.0.109
default-gateway 10.1.1.254
dns-server 10.1.1.254
ip dhcp profile dhcp2
assignable-range 10.1.11.1-10.1.11.99
default-gateway 10.1.11.254
dns-server 10.1.11.254
ip dhcp profile dhcp3
assignable-range 10.1.13.1-10.1.13.99
default-gateway 10.1.13.254
dns-server 10.1.13.254
ip dhcp profile dhcp4
assignable-range 10.1.21.1 10.1.21.99
default-gateway 10.1.21.254
dns-server 94.140.14.14 94.140.15.15
ip dhcp profile dhcp5
assignable-range 10.1.31.1 10.1.31.99
default-gateway 10.1.31.254
dns-server 94.140.14.14 94.140.15.15
interface GigaEthernet2.0
description LAN1
ip address 10.1.1.254/23
no shutdown

**anonymous@fusianasan** · 2022/07/17(日) 16:38:34.09

>>100
>>104
続きです。
interface GigaEthernet2:1.0
description VLAN1
　encapsulation dot1q vlan1
ip address 10.1.11.254/23
ip proxy-arp
ip dhcp binding dhcp1
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:2.0
description VLAN2
encapsulation dot1q vlan2
ip address 10.1.21.254/23
ip dhcp binding dhcp2
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown

**anonymous@fusianasan** · 2022/07/17(日) 16:39:26.88

>>100
>>105
続きです。
interface GigaEthernet2:3.0
description VLAN3
encapsulation dot1q vlan3
ip address 10.1.13.254/23
ip dhcp binding dhcp3
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:4.0
description VLAN4
encapsulation dot1q vlan 4
ip address 10.1.21.254/23
ip dhcp binding dhcp4
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:5.0
description VLAN5
encapsulation dot1q vlan 5
ip address 10.1.31.254/23
ip dhcp binding dhcp5
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown

**anonymous@fusianasan** · 2022/07/17(日) 16:40:33.56

>>100
>>106
続きです。
ntp ip enable
ntp server 10.1.1.9 priority 254
ntp master 10
ntp retry 3
ntp interval 3600
ip access-list all-forward permit ip src any dest any

**anonymous@fusianasan** · 2022/07/17(日) 16:45:34.45

長々とここに貼るなよ。

**anonymous@fusianasan** · 2022/07/17(日) 16:46:35.45

>>100
>>107

複合サブネットを利用されています点と、配下のL3スイッチ側のVLANグループの
調整が必要になります。
それぞれのVLANグループをタグVLANの追加と、トランクポート対象となるポートと
IXルーター間の物理ポートベースVLANの構成をご確認下さい。
その物理ポートベースVLANグループへ、それぞれのタグVLANの参加をさせる形になります。

それと、VLAN間のルーティング処理として、複合サブネットを利用されていますので、
IXルーター側にBVIインターフェイスを追加して、BVIに参加させるVLANグループの
設定を要す場合が御座います。

**anonymous@fusianasan** · 2022/07/17(日) 16:50:03.43

>>100
>>109

BVIインターフェイスとVLANグループ、物理インターフェイスの紐付けをさせて、
VLAN同士のルーティング、インターネット接続の共用などをさせる場合の件ですが、
それぞれのVLANグループ間のアクセス条件が必要になります。

**anonymous@fusianasan** · 2022/07/17(日) 18:37:28.00

>>104-107
>>108-110
ヒントだけではなく、コンフィグまでありがとうございます！！
やはりIXをタグVLANに参加させる必要があるのですね。
現在RTXはタグVLANに参加させておらず、dot1qを利用しておりません。
VLAN間ルーティングはL3スイッチに任せているのですが、IXは不可能な感じでしょうか？
以下がL3スイッチのコンフィグの一部になります。もう少し教えて頂けないでしょうか？
よろしくお願いします。

**anonymous@fusianasan** · 2022/07/17(日) 18:37:49.43

>>111
L3スイッチ
ip routing

interface Vlan2
ip address 10.1.1.1 255.255.254.0
ip helper-address 10.1.11.255
!
interface Vlan10
ip address 10.1.11.254 255.255.254.0
ip helper-address 10.1.1.254
ip directed-broadcast 101
!
interface Vlan12
ip address 10.1.13.254 255.255.254.0
ip access-group vlan12 in
ip helper-address 10.1.1.254
!
interface Vlan20
ip address 10.1.21.254 255.255.254.0
ip access-group vlan20 in
ip helper-address 10.1.1.254
!
interface Vlan30
ip address 10.1.31.254 255.255.254.0
ip access-group vlan30 in
ip helper-address 10.1.1.254

**anonymous@fusianasan** · 2022/07/17(日) 19:15:40.42

>>112

コマンドの設定を見ると、「Catalyst 3560」ですか？

IXルーター側へ、VLANグループの反映

interface GigaEthernet2:1.0
description VLAN2
encapsulation dot1q Vlan2
bridge-group 1
interface GigaEthernet2:2.0
description VLAN10
encapsulation dot1q Vlan10
bridge-group 1
interface GigaEthernet2:3.0
description VLAN12
encapsulation dot1q Vlan12
bridge-group 1
interface GigaEthernet2:4.0
description VLAN20
encapsulation dot1q Vlan20
bridge-group 1
interface GigaEthernet2:5.0
description VLAN5
encapsulation dot1q Vlan30
bridge-group 1
L3スイッチの変更（Vlan2をトランクポート、ポートベースVLANに指定）
L3スイッチの物理ポートのトランクポートを指定する
L3スイッチの物理ポートのアクセスポート・VLANの指定、VLAN参加のポートを指定する
VLAN間ルーティングをさせる場合ですが、
IXルーターのBVIインターフェイスの指定、VLANルーティング用
セカンダリIPアドレスの登録など

**anonymous@fusianasan** · 2022/07/17(日) 19:16:35.45

>>112
>>113

続き
interface BVI1
ip address 10.1.1.254/23　
ip address 10.1.11.252/23 secondary
ip address 10.1.11.252/23 secondary
ip address 10.1.13.252/23 secondary
ip address 10.1.21.252/23 secondary
ip address 10.1.31.252/23 secondary
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
bridge-group 1
no shutdown

GE2.0-I/Fは、ブリッジインターフェイスにするため、IPアドレスは削除
interface GigaEthernet2.0
no ip address 10.1.1.254/23
bridge-group 1

BVIインターフェイスの有効化
bridge irb enable

↑のようなイメージになりますが、

GE2.0-I/F　→　BVIインターフェイスの統合化、各タグVLANグループの
BVIインターフェイスの参加のため、
タグVLANグループのエントリーにブリッジエントリー追加
最終的に各VLANグループとGE2.0-I/Fを紐付けて、インターネット側へNATセッション
の疎通という形になりますね。

**anonymous@fusianasan** · 2022/07/17(日) 19:26:00.25

>>112
>>114

BVIインターフェイスにタグVLANをグループ追加しました場合に、
それぞれの詳細なIPアドレス同士のアクセスは、アクセスリストにて、
許可・拒否の設定をする形になるかと思います。

**anonymous@fusianasan** · 2022/07/17(日) 19:33:54.82

>>113-114
またまたコンフィグまで記載頂き、ありがとうございます！！
おっしゃる通りCatalyst3560を利用しています。配下に複数のL2スイッチがぶら下がっている状態です。
ブリッジインターフェースの理解が無いので、勉強を行おうと思います。
コンフィグ的にVLAN間ルーティングはIXでさせている理解でよろしいのでしょうか？
的外れな事を言っていたら申し訳ありません。

**anonymous@fusianasan** · 2022/07/17(日) 19:46:49.17

>>116

VLAN間ルーティングの件ですが、DHCPサーバをIXルーターにて実装する場合には、
タグVLANグループの設定とBVIインターフェイスの参加は必要になりますので、
複数サブネット（/23）での多数のクライアント端末が有る場合には、苦しいですね。

出来れば、IXルーターのDHCPサーバを利用せず、配下のL3スイッチ側のDHCPサーバ機能を
利用する様に設定し、IXルーター側との接続は、ポートベースVLAN・トランクポート接続、
そのトランクポート接続のLANグループに、タグVLANを参加させる方法がシンプルかと思いますが。

タグVLAN同士のルーティングですが、BVIインターフェイスの参加するセカンダリアドレス
の要件によって、IPセグメント同士のアクセスは可能です。
セカンダリアドレスは、15アドレスまで登録可能です。

**anonymous@fusianasan** · 2022/07/17(日) 19:51:25.93

>>116
>>117

ブリッジインターフェイスの機能の件ですが、
シスコのISRルーターなどにも採用されていますが、
iOSのバージョン（17.1以降、16以前）によって、CLIコマンドが違う仕様になっていたかと思います。
中々、シスコルーター系ですと、大変かもしれませんね。
クライアント端末の規模によっては、ISR4000、8000等になるケースも御座いますが、
ライセンスも含めて、バカ高いので、却ってIX2235、IX2310、IX3315等にて、
SD-WAN、SD-LANの構成の方がコストパフォーマンスが良いですね。

**anonymous@fusianasan** · 2022/07/17(日) 21:30:34.36

>>117-116
L3スイッチのDHCPサーバー機能を完全に忘却れておりました！おっしゃる通りその構成がシンプルですね！
今まで設定した事がありませんでしたので、勉強して検証環境で動作確認をしてみようと思います。
L3スイッチでDHCPサーバーを利用する場合、ルーター側にスタティックルートの設定を行うと思います。
各VLANのネットワークアドレスへの通信のゲートウェイがL3スイッチのIPアドレスに向くよう設定したら問題ないでしょうか？
まだまだ勉強が足りませんでした。教えていただき、ありがとうございます。

**anonymous@fusianasan** · 2022/07/17(日) 22:14:07.51

>>119

ご推察の対応にて大丈夫かと思います。
IXルーターから、L3スイッチのトランクポートのIPアドレス、その先のVLANセグメント
宛へのスタティックルート設定にて対応確認となるかと思います。

**anonymous@fusianasan** · 2022/07/17(日) 22:40:16.83

>>120
顔も名前も知らない人間に色々教えていただきありがとうございます！
非常に勉強になりました。理解しきれてない部分もありますが、これから勉強をして理解しようと思います。

68 · 2022/07/18(月) 01:24:37.24

>>102
>>103

お返事ありがとうございます。
ACLの掛け方に対して私の知識がかなり不足している様なので、これを機会に勉強してみます。
本日、早速コンフィグの入れ替えしてみます。
ありがとうございます

**anonymous@fusianasan** · 2022/07/18(月) 07:47:00.37

>>121

「Catalyst 3560」スイッチのDHCPサーバの件、承知致しました。　
　同スイッチの場合、IP-Servicesライセンスを必要とするかと思いますので、
　そのライセンスをご確認下さい。

　複合サブネットを運用されているとのことでしたので、シスコのL3スイッチになる
事は仕方なかったかもしれませんね。
　ソフトウェアライセンスやサポートライセンス等のライセンスのイニシャルコストが
バカ高いので、ライセンスの状況によっては、他社のL3スイッチの方が良い場合も御座います。

L3スイッチ
　ネットギア　「M4300」シリーズ、「M4500」シリーズ
　NEC　「QX-S5628GT」、「QX-S5124GT」シリーズ

　NEC系ですと、IXルーターのクラウドサービス連携で一元運用管理が出来る
ようになっています。　→　Netmeister

　

**anonymous@fusianasan** · 2022/07/18(月) 15:06:12.60

あげ

**anonymous@fusianasan** · 2022/07/18(月) 18:37:20.09

>>123
本日検証環境で動作確認を行いました。想定通りの動作になりました！
IXが別のサブネットにDHCPサーバーとして稼働させる事が出来ないのは盲点でした。
しかし、ご教授頂いた手順で想定の動作にする事ができ、安心しました。
おっしゃる通りライセンスや保守費がバカになりませんので、考える必要がありますね。
ルーターをUNIVERGE に置き換えを行うので、スイッチも置き換えると一元管理が出来るのは便利ですね。
本当にありがとうございます。

**anonymous@fusianasan** · 2022/07/18(月) 19:49:21.40

>>125

良かったですね。
IXルーターのDHCPサーバ機能ですが、別セグメントの動作はタグVLANとBVIの制約
は付きますが、DHCPサーバーとして動作させて、配下のL3スイッチにてDHCPリレーエージェント
の動作や、配下のスイッチ側がNECのUNIVERGE QXのタイプでしたら、
DHCPサーバのVLANインターフェイスとBVIインターフェイスグループにDHCPプロファイル
の条件適用にて、動作させる方法はあるかと思いましたが、
そのような形ですと、IXルーターのリソースを若干かかる点、L3スイッチのメリットが
活かせなくなります。

IXルーターを用意される場合でしたら、配下のL3-L2スイッチをUNIVERGE QXのタイプを
用意して、IXルーターをNetmeisterの管理モードにて動作する設定、L3-L2スイッチを
Netmeisterのクライアントモードの運用、接続端末のデバイスマップ機能にて、
端末の部分も含めて一元化は可能です。

その際にですが、ゼロタッチ・プロビジョニングの運用にて、IXルーター等の故障時の
交換作業の簡略化も可能かと思います。

**anonymous@fusianasan** · 2022/07/18(月) 19:53:50.36

>>125
>>126

ネットワークの一元化が出来ましたら、次のフェーズは、
端末の台数が多いと見受けられましたので、簡単にはいかないかもしれませんが、
UTM等のセキュリティ関連の統合化も検討された方が良いかもしれません。

現状、シスコのFirePowerなどの運用をされていましたら、特別不要かと思いましたが、
シスコ系のUTMは非常に高く、現在利用されていない状況でしたら、
ParoaltoやFortigateあたりの方が良いかもしれません。

**anonymous@fusianasan** · 2022/07/18(月) 20:51:25.26

>>126-127
ルーターのリソースを減らす事とＬ3スイッチのメリットを活かす構成を考えると、
DHCPサーバーはL3スイッチになるのですね。
Netmeisterでの一元管理が可能な点、現状の管理の手間を考えると、配下のL3,L2スイッチの置き換えを考える必要があるかもしれません。
予算との兼ね合いですが、検討していこうと思います。
UTMはFortigate60Fをトランスペアレントモードで導入しています。L2の機能しか使えておりませんが、、
Ciscoコマンドに慣れているせいか、Fortiのコマンドとコンフィグの量に難儀しております。
詳しく教えていただき、非常に感謝しております。ありがとうございます。

**anonymous@fusianasan** · 2022/07/18(月) 21:16:49.37

>>128

Fortigate60Fですか。
Fortigateトランスペアレント・ブリッジでも、端末台数が20～30台のNATセッション
でのセキュリティポリシーですと、フローモードがギリギリかもしれません。
Exploit-Proxyモードですと、15～20台前後が精々かもしれません。

端末により、フローモード、Exploit-Proxyモードを分けて運用することは可能と存じます。
DNSフィルタ機能、スパムメール対策機能を併用すると、リソースの影響が大きいので、
DNSフィルタ機能を利用せずに、Cisco Umbrellaの併用、スパムメール対策は、
レンタルサーバ側のスパムメール対策機能を利用するようにされた方が良いかもしれません。

**anonymous@fusianasan** · 2022/07/18(月) 23:14:55.42

ix2015の思い出話でもしようぜ

**anonymous@fusianasan** · 2022/07/18(月) 23:18:51.98

>>130
オクで5000円で仕入れてファームを最新にして15000円で売れてた頃が懐かしい

**anonymous@fusianasan** · 2022/07/19(火) 04:17:12.94

なんかすげ-スレ伸びてんなwww

IX2015は既に捨てたよ
IX2215が格安で手に入るしね　IX2207はまだ高いけど....

てかさ、このスレずっとROMってたんだけど
フレッツipv6の折り返し拠点接続使えば、ひかり電話の転送が無料で可能じゃね？？
最近、テレアポ増えてて糞みたいな売り込みで携帯転送料金払わされるのがほんと馬鹿馬鹿しい

**anonymous@fusianasan** · 2022/07/19(火) 07:53:58.34

>>132
北海道の事務所の電話、VPN使って東京で受けてるよ。

**anonymous@fusianasan** · 2022/07/19(火) 08:14:22.27

>>133

ここで言う、VPN利用は、Asphire UX、WX　利用ですか？

**anonymous@fusianasan** · 2022/07/19(火) 16:20:19.60

pppoeでVPN接続したひかり電話って、音声の遅延が発生しそうで事業用では少し怖いな

**anonymous@fusianasan** · 2022/07/19(火) 17:23:03.98

>>135

VPNネットワーク形態を利用するのであれば、
AsphireWX-Plus主装置と、IXルーター併用にて、NECのクラウドリンクにて、
スマホ内線を利用する　「UNIVERGEどこでも内線サービス」の方が良いんですけどね。

**anonymous@fusianasan** · 2022/07/19(火) 17:32:30.53

ヤフオクでIX2105値下がりしたね。
例の10台単位の出品が効いているね。

**anonymous** · 2022/07/19(火) 17:35:24.85

IX2105はもう需要がなさそう

**anonymous@fusianasan** · 2022/07/19(火) 17:51:45.64

>>138
小型で安いのでまだ好き。

**anonymous@fusianasan** · 2022/07/19(火) 18:50:27.94

>>136
主装置のplusなしの型落ちなら2万円程度で手に入りますな。
ただ、どこでも内線サービスのサブスク費用はさすがNECですね～高い
確か、IXはsip-nat通らなかった記憶あるんだけど、今は通る様になったんだね

**anonymous@fusianasan** · 2022/07/19(火) 18:53:52.17

故障用のスペア部品としてIX2105買っとくかな？
オクで出品されてるのは一台あたり2-3千円は安いね

**anonymous@fusianasan** · 2022/07/19(火) 20:12:14.67

>>140

現在のAsphireWX-PlusとIXルーターの連携ですが、
IXルーターのVOIPフォワーディング、QOSシェービング、優先帯域・カラーリングを併用して
音声帯域を確保するようになっています。

他社クラウドPBXでの運用構築も、その様になっていますので、
クラウドサービスを併用する場合には、そのサービスにて利用されています
ポート番号、RTSPポート、UDP5060-5091等の帯域割り当てにて対応は可能と存じます。

**anonymous@fusianasan** · 2022/07/19(火) 23:00:28.14

>>129
そうなんですよ。端末数が年々増えてきて厳しい状態になっています。
スパム対策を行っていたのですが、現在は無効にしています。
機材の再選定が必要かと考えています。
教えていただいた設定を検討していこうと考えています。ありがとうございます。

**anonymous@fusianasan** · 2022/07/20(水) 00:28:50.38

>>140
昔はSIP-NAT拡張ソフトウェアセットでSIP-NAT機能を追加出来たけど、今は無理でしょ
UNIVERGEどこでも内線サービスはVPNで繋ぐクラウド側にSIP-NAT機能があるのでは？

**anonymous@fusianasan** · 2022/07/20(水) 10:11:39.24

>>144

SIP-NATはあくまでも、SIP対象のポートを特定のIP端末にNAPT転送するだけの
ものですので、他社のSIP-NATの仕様もそうですが、特定のSIP条件には制約が御座いますので、
実用上は、VOIPポートや特定のIPネットワークに一定の帯域割り当てをするのが本旨
になっております。

Asphire主装置でのシステム間接続も、それを趣旨にQOSやVOIP制御を仕様として
組まれていますので、敢えて特定のメーカーに限ってSIP-NATがキチンと動作するという
ことにはなっておりません。

Asphire主装置のシステム間接続も、IXルーターを併用したり、内蔵のルーターユニットとブリッジングさせて、
VOIP内線をするようになっております。

**anonymous@fusianasan** · 2022/07/20(水) 10:14:53.69

>>143

Fortigateの機種を１～２ランク上の製品の選択、FortigateのSyslogデータをFortinet
のクラウドサーバへシスログ連携するようになっていますので、
そのシスログ制御の部分を、クラウド側ではなく、社内のシスログサーバへ保存する様に
変更するだけでも、一定のリソースの低減は可能かと思います。

**anonymous@fusianasan** · 2022/07/20(水) 22:30:04.50

>>145
SIP-NATはL7の話だよ
話ずれまくってますわ

**anonymous@fusianasan** · 2022/07/21(木) 03:26:48.91

>>147

ここでの質問は、Asphire主装置とUNIVERGEどこでも内線サービスを使用しました際に、
SIP-NATが実装しており、必要であるかというアンサーになります。

L7層でのプロセスの話は、全く違う次元のお話になります。
主装置側の機能やクラウド側には、あえてそういった機能項目は無い言うことになりますが、
代替の機能にて対応するようになっております、

工事マニュアルにもそういった形になっております。

**anonymous@fusianasan** · 2022/07/22(金) 15:25:41.97

困ったね。

ここ最近までは普通に使えてたものが、
ここにきて使えない所が出てきた。

ドコモ10G+ぷらら(ocnバーチャルコネクト)でポート開放してるんだけど、
ぷらら(ocnバーチャルコネクト)の所からだけ繋がらなくなった。

ocn pppoe の所からだと今でも繋がるし、softbank モバイルルーターからも
スマフォ(docomo) からも繋がる。

合併してなにかこっそり変更したかねぇ。
syslog を debug で取ってもなしのつぶてなんだよねぇ。
つまり上流のルーターで弾いてるって事かねぇ。

**anonymous@fusianasan** · 2022/07/22(金) 16:20:24.42

>>149

ドコモさまですか。
別件にて、先日ドコモさまのトラブルも出ていたぐらいですので、光回線のトラブルとは
関係性は無いですが、OCNバーチャルコネクトをご利用とのことでしたので、
グローバル固定IP等の契約でしょうか？

CGN回線でしたら、ほぼ無理筋かと思いますが。

**anonymous@fusianasan** · 2022/07/22(金) 16:30:44.66

一般向けのOCNバーチャルコネクトってMAP-Eじゃなかったっけ？
ぷららってことは一般向けじゃないかと思うけど、MAP-Eで割り当てられたポートレンジが変わったりしてない？

**anonymous@fusianasan** · 2022/07/22(金) 16:32:28.02

ああごめん、違うか
ぷらら側から接続してきてるのね...

**anonymous@fusianasan** · 2022/07/22(金) 19:05:19.70

P2P型アプリケーションで接続元と接続先で割当範囲違うから同じポート番号が使えないせいで接続できないだけじゃないの

**anonymous@fusianasan** · 2022/07/23(土) 00:58:56.17

バーチャルコネクトって事なら、回線はNGNだろうから網内折り返しのIPv6でtunnel掘れば良いのに。
東西跨いでるなら仕方ないけど。

68 · 2022/07/23(土) 02:56:36.91

>>102
interface GigaEthernet0.1 へ　ip filter flt-list1 1 in　を入れた状態でB拠点のＬＡＮ側端末がＡ拠点を通過してネットへ繋がる事が出来ました。　コンフィグ等のご教示頂いたお蔭です。
続けて質問で申し訳ありませんが・・　>>85　で示した頂いたコンフィグ（B拠点にのみ投入）で

ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080

route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253

route-map r-map permit 10 自体を削除しても、ip filter flt-list1 1 in のコンフィグがある　interface GigaEthernet0.1 へ

ip filter sec-list 65000 in
ip filter sec-list 65000 out

を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。
もしかして、もう　route-map r-map permit 10　は消しても問題ないと言う事で宜しいでしょうか？？

また、A拠点IXのtelnetサーバ－;(23番ポート)にB拠点下部の端末から接続出来てしまいますね。
私の認識ではIXは書いていないアクセスリストについては全て拒否設定だと認識しております。
B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます？？

一応、AとB拠点のコンフィグはコチラで、そして互いに接続出来ました
https://imgur.com/a/Oh2rqEa
https://imgur.com/a/TX7XlvD

68 · 2022/07/23(土) 02:59:29.49

あと、AとBの両拠点のIXを再起動すると、B拠点のLAN側がA拠点とVPN接続完了まで、数分が掛かります。
これが以前に仰っていた両拠点DDNS同士の接続が負荷が掛かると言うことでしょうか？？

すみません　質問ばかりで・・
別でご教示頂いたIDSフィルタリングはこの後のコンフィグを投入予定です。

あとココの皆さま度重なるスレ汚しごめんなさい。

**anonymous@fusianasan** · 2022/07/23(土) 06:20:12.97

>>155
>>156

そうですか、良かったですね。
「ip filter sec-list 65000 in
ip filter sec-list 65000 out

を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。
もしかして、もう　route-map r-map permit 10　は消しても問題ないと言う事で宜しいでしょうか？？」

↑の件ですが、　A拠点、B拠点のPPPOEセッション側のIPフィルタ機能にて、
それぞれのPPPOEセッション側のWAN→LAN側、LAN→WAN側のポートの許可ですが、
最終エントリー（65000）にて全て許可をしている状態でしたが、その最終エントリーを
入れない状態ですと、ESPプロトコルとUDP500、UDP4500、UDP1701のみの許可なのですが、
PPPOE側からHTTP、HTTPS、他メールなどのポートは許可をされていない状況でしたので、
論理的には、Ａ拠点のPPPOEセッション側には、最終エントリー65000は利用して、
B拠点側には、最終エントリー65000は利用しない形がベストと思いますが。

ルートマップの処理（ポリシールーティング処理）を削除して、PPPOE側のIPフィルタのエントリー
を削除する形ですと、それぞれの拠点のセキュリティの関係上、もう少し、
危険なポートとのアクセスを制限していく方向が必要かと思いましたが。

**anonymous@fusianasan** · 2022/07/23(土) 06:21:22.05

>>155
>>157

続きです。
「B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます？？」

↑　の件ですが、IPSECトンネルのIPフィルタの処理にて、アウトバウンド側として、
拒否する様なアクセスリストが望ましいかと思います。
若しくは、A拠点側のIXルーターのtelnetサービスにログイン出来るIPアドレスを制限
する方法もあるかと思います。

該当箇所
ip access-list telnet permit ip src 192.168.101.0/24 dest any
telet-server ip access-list telnet
telnet-server ip enable

修正箇所
ip access-list telnet permit ip src 192.168.101.***/32 dest 192.168.101.0/24
no ip access-list telnet permit ip src 192.168.101.0/24 dest any

***に、アクセス許可するIPの第四オクテットを入れる

DDNSの更新については、IPSECアグレッシブモードの運用形態にて、仕方ないかもしれません。
それとコンフィグ内にて、IPSEC-SAの更新のためのネットワークモニターの機能が
未適用、DDNSでの名称解決のネームサーバの設定をされていないので、
任意のネームサーバを適用しないと、名称解決に時間がかかるケースも想定されます。
DDNSでしたが、MyDNSでないといけませんか？

Netmeisterの方が、性能面で良いかと思いました。
念のため、ネットワークモニターの設定例、ネームサーバの登録、Netmeister等の
登録例を転載致します。

**anonymous@fusianasan** · 2022/07/23(土) 06:34:04.21

>>155
>>158

ネームサーバの登録例（A拠点、B拠点それぞれ）
proxy-dns ip enable
proxy-dns server 8.8.8.8 priority 254
proxy-dns server 8.8.4.4 priority 254
ip name-server （契約プロバイダのプライマリDNSサーバ）
ip name-server （契約プロバイダのセカンダリDNSサーバ）
dns cache enable
dns cache max-records 1024

ネットワークモニターの設定例（B拠点側）
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.254 Tunnel2.0 source BVI1
action 10 ipsec clear-sa Tunnel2.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor etherip-ipsec enable

Netmeister-DDNSの登録例（A拠点、B拠点それぞれ、事前にNetmeister
のサイトにて、ユーザー登録を要します）
nm ip enable
nm account （netmeisterのユーザー登録名） password plain (netmeisterの登録パスワード）
nm sitename （netmeisterの登録サイト名称）
nm ddns notify interface GigaEthernet0.1 protocol ip
なお、A拠点、B拠点にMyDNSやNetmeisterの登録をされるケースでしたが、
IPSECアグレッシブモードでは無く、DDNS同士のメインモードの方が、レスポンス的には
良いかと思います。
メインモードの設定例も転載致します。

**anonymous@fusianasan** · 2022/07/23(土) 06:38:29.76

>>155
>>159

既存のIPSECの設定としては、既に、IPSECメインモードの設定をMyDNSにて設定されていますので、
先述のネットワークモニターの設定は、A拠点、B拠点向けに設定をしておく形が良いかと思います。

ネットワークモニターの設定例（A拠点側）
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.253 Tunnel2.0 source BVI1
action 10 ipsec clear-sa Tunnel2.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor etherip-ipsec enable

**anonymous@fusianasan** · 2022/07/23(土) 06:42:22.18

>>160

IPSECメインモードの接続のDDNS更新の部分でしたが、フレッツV6オプション（IPV6-POE）
のプロバイダにすることで、性能の底上げは可能と存じます。

Netmeister-DDNSは、IPV6-IPOEやフレッツV6オプションの閉域網のIPSECに
対応しております。

**anonymous@fusianasan** · 2022/07/23(土) 21:26:34.97

また大量の2105がヤフオク出品

68 · 2022/07/23(土) 23:22:03.22

>>157-161

お返事遅くなりましたごめんなさい...
貴重なコンフィグ例まで頂いてありがとうございます。
凄い知識量ですね～　私はこのコンフィグを見てまだ良く理解出来ていないので、まずは設定事例集とコンフィグリストを読みながら理解をしていきつつ進めていきたいと思います。
MyDNSよりNetmeister-DDNSの方が性能良いなんて初めて知りました。目からウロコです。
とても助かりました

**anonymous@fusianasan** · 2022/07/24(日) 04:30:51.46

>>163
ネームサーバの登録の件ですが、PPPOEの動的IPの契約の場合ですが、
MyDNSやNetmeisterなどのDDNSに共通ですが、グローバルIPとDDNSの紐付けアクセスに、
プロバイダのネームサーバを参照し、DDNSの更新をする様になっていますので、
ご指定のコンフィグでは、Proxy-DNSとname-serverの設定を明示的に設定をされていませんでしたので、
グローバルIPの名称解決のために、name-serverの登録をして、グローバルIPとの
名称解決がスムースに出来るようにイメージしております。

あと、IPV6-IPOEやフレッツV6オプションの件ですが、
NTTギガ回線以上の回線の場合には、フレッツV6オプションが自動加入になっているかと思いますので、
そのフレッツV6オプションのサービスより、割り当てのIPV6グローバルアドレス
を利用して、IPV6-IPSEC・メインモードの接続にするイメージになります。
そのIPV6グローバルアドレスをNetmeister-DDNSにて名称解決させて、
Netmsiter-DDNS同士のIPSECに切替える形が良いかと思います。
以下設定例（IXルーターの上位にNTT光電話ルーターが有る場合）
ipv6 ufs-cache max-entries 65535
ipv6 ufs-cache enable
ipv6 cache-size 25300
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list sequence-mode 100
ipv6 access-list tunnel-list 100 permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
option-request ntp-servers

**anonymous@fusianasan** · 2022/07/24(日) 04:32:42.08

>>163
>>164

続きです。
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp

interface GigaEthernet0.0
description IPV6
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 mld upstream
ipv6 mld version 2 only
ipv6 traffic-class tos 0
ipv6 nd proxy BVI1
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown

interface BVI1
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag

**anonymous@fusianasan** · 2022/07/24(日) 04:33:41.32

>>163
>>165

続きです。
Netmeiste-DDNSをIPV6アドレスを監視させる場合（LAN側インターフェイス、BVI1等）
nm ip enable
nm account （netmeisterのユーザー登録名） password plain (netmeisterの登録パスワード）
nm sitename （netmeisterの登録サイト名称）
nm ddns notify interface BVI1 protocol ipv6

IPV6-IPSECに切替えるポリシー（A拠点側）
ike policy ike-policy peer-fqdn-ipv6 （B拠点側Netmeister-DDNSアドレス） key （事前共有キー） ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 （B拠点側Netmeister-DDNSアドレス） ipsec-prop

IPV6-IPSECに切替えるポリシー（B拠点側）
ike policy ike-policy peer-fqdn-ipv6 （A拠点側Netmeister-DDNSアドレス） key （事前共有キー） ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 （A拠点側Netmeister-DDNSアドレス） ipsec-prop

↑　のようなイメージになります。
IPV6アドレスは、LAN側にブリッジ動作のような形になります。

68 · 2022/07/24(日) 21:53:19.08

>>164-166
感謝感激です！　ipv6の拠点接続なんて雲の上の様な存在です
もちろん、私の２拠点の光回線はフレッツでして当初はipv6通信の為にＮＴＴを選んだ次第です。
この頂いたコンフィグ例は俗にいうフレッツipv6同士の折り返しですよね？
このスレでも700M近くの通信速度が出るとの書き込みを読んだ事があり、ぜひチャレンジしてみたい設定です。
ただ、現実はまだ脳みそが情報についてこれていない感じです。
いつも助けて頂いてありがとうございます。
ネ－ムサ－バ－のコンフィグの理解も初めて出来ました。ＩＸがどんな挙動を示すかとても楽しみです。
pppoeの拠点接続の再設定については、また報告させて頂きます。ありがとうございます。

**anonymous@fusianasan** · 2022/07/25(月) 17:36:22.31

>>167

承知致しました。
フレッツV6オプションのIPV6閉域網接続の件ですが、
組み合わせとしてですが、

A拠点側のインターネット機能をV6プラス・固定IP等の回線に切替えをして、
B拠点は、プロバイダ無しの構成、またはPPPOE動的IPの回線、若しくはコラボ光
の回線で、V6プラス・固定IPのプロバイダも御座いますので、そちらの組み合わせ
にする方法もありかと思います。

68 · 2022/07/25(月) 23:32:23.76

>>168
ありがとうございます。
光電話の契約はA拠点のみですが、2拠点共にplala光のv6プラスオプションも利用していますので、pppoe拠点接続完了後にぜひやってみたいてすね～
なんせIPsecでv6折返しで1G近く速度が出るって単純にエグイです。
プロバイダー契約無しとは、光ライトですね。
両方共に戸建て契約なので、少しでも通信料金が下がるのは嬉しいです
ほんと感謝しかありません

**anonymous@fusianasan** · 2022/07/26(火) 07:45:37.89

>>169

そうですか。

A拠点、B拠点共、ぷらら光のV6プラス・動的IPの場合、利用出来るポート数に制限（240ポート）があるため、
インターネットのポートを多用するアプリケーション等の制限を回避する形ですと、
V6プラス・固定IPの切替えは必要かと思います。

V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系（ぷららv6エクスプレス）の解約
を要しますので、解約後、V6プラス固定IPの申込み（NTT CAF番号の併記する事）
が可能になります。

※　https://21ip.jp/

A拠点は、NTT光電話ルーター配下と言う事ですので、NTT光電話ルーターのIPV6-IPOEフィルタの
許可（双方向、ANY許可）、IXルーターはND-Proxyの設定になります。
B拠点は、ぷらら・V6プラスのみでも構いませんが、光電話機器・契約が無しということですので、
IXルーターは、ND-Proxyの設定になります。

ND-Proxyの設定ですと、A拠点のIPV6アドレスは、BVIインターフェイス側にブリッジング
される形になります。
B拠点は、ぷらら光・V6プラスなどの設定は無しと言う構成になりますね。
IPV6インターネット系のIPV6アドレスは、A拠点のIPV6インターネットのBVIブリッジング
動作という形になるかと存じます。

68 · 2022/07/26(火) 21:54:21.13

>>170

すごい知識量ですね～
私は全然脳みそが付いていけません...涙

教えて頂いた内容がまだ全て理解不足なのですが・・

>>V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系（ぷららv6エクスプレス）の解約
を要しますので、解約後、V6プラス固定IPの申込み（NTT CAF番号の併記する事）
が可能になります。

※　https://21ip.jp/

この解釈ですと

A拠点　　現在　plala光　+　plala V6エクスプレス →　　今後　plala光　+　21ip.jpの固定v6サービス
B拠点　　現在も今後も同じ　　plala光　+　plala V6エクスプレス

と言う事で宜しいでしょうか？？

あと、ご紹介頂いた　21ip.jp社　の契約メニュ－ですが・・
V6プラス固定IP　2550円　のメニュ－で宜しいのでしょうか？？

食わず嫌いで「ND-Proxy」を全く調べていなかったのですが、やっと理解出きました
ipv6のフィルタ－機能だったんですね
ありがとうございます。ココでいつもめちゃくちゃ勉強させて頂いています。

**anonymous@fusianasan** · 2022/07/26(火) 22:33:03.20

>>171

ご質問の件ですが、

A拠点　　現在　plala光　+　plala V6エクスプレス →　　ぷらら側にてIPV6-IPOEは利用しない契約、21ip.jpの固定v6サービス
B拠点　　こちらは、plala光のみでもOKですが、NTTギガラインのみでもOK（ライト系は不可）

※　A拠点についてですが、ぷらら光の場合にはIPV6-IPOEが基本契約にセットされている契約ですので、
IPV6-IPOE（ぷららV6エクスプレス）を解除すると、契約変更になるかもしれません。
　→　ぷららひかりメイト＋NTTギガスマートタイプ
　もし、契約変更でなければ、V6プラス・固定IPの契約が出来ない場合ですが、
　BIGLOBE光などでもV6プラス・固定IPとの組み合わせは可能ですので、ぷらら光から
BIGLOBE光への事業者変更承諾番号をぷららへ連絡して取得、その事業者変更承諾番号を
BIGLOBEへ手続きしてBIGLOBEへ変更することでも可能です。

「あと、ご紹介頂いた　21ip.jp社　の契約メニュ－ですが・・
V6プラス固定IP　2550円　のメニュ－で宜しいのでしょうか？？」

　↑　の件ですが、その解釈でOKです。（接続先上位経路を、備考欄へJPNEを明記下さい）

**anonymous@fusianasan** · 2022/07/26(火) 22:38:36.12

>>171
>>172

もし、ぷらら光からBIGLOBE光へ事業者変更申請をされる場合ですが、
ぷららのメールアカウントは、バリュープラン（月額250円前後）にて残す事は可能です。
BIGLOBE光の方の機能は、IPV6-IPOEとPPPOEを任意選択が出来るサービスになっています。
（IPV6-IPOEが前提とはなっていません）
　よって、コラボ回線の回線コストを低減させながら、高帯域のV6プラス・固定IPの組み合わせが出来る様になっています。

　ちなみに、アサヒネット光はIPV6-IPOEの解除は不可にて、解除するとフレッツプランに変更になります。

、

**anonymous@fusianasan** · 2022/07/26(火) 22:51:00.89

>>173

IIJMio光のサービスも、高帯域のv6プラス・固定IPの併用は出来るサービスになっています。
その際には、IIJMioのIPV6-IPOEは申込みはしない形にて、v6プラス・固定IPの申込みをする形になります。

ぷらら側の対応により、NTT光・ギガスマートタイプやギガラインへ変更になる場合には、
料金的な意味合いにて、ご検討下さい。

68 · 2022/07/27(水) 09:02:37.36

>>172
アドバイスありがとうございます

私はN西地域だったので、「NTTギガスマートタイプ」に馴染みがなくググってみたら...
半導体不足の影響で新規受け付け停止中なんですね～

一度、plala光へぷららV6エクスプレス解除の件問い合わせてみます。
もし事業者変更が必要であれば、今の回線は「光ネクストのファミリースーパーハイスピード隼」なのでコラボ光を止めてN西に戻ろうと思います。

度々質問して申し訳ないのですが・・

>>　↑　の件ですが、その解釈でOKです。（接続先上位経路を、備考欄へJPNEを明記下さい）

の２１ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄ご要望／ご質問等」にJPNEを記入の認識で合ってますでしょうか？

ごめんなさい。。何回も。。汗

**anonymous@fusianasan** · 2022/07/27(水) 10:44:18.10

>>175

NTT西日本なのですね。

「の２１ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄ご要望／ご質問等」にJPNEを記入の認識で合ってますでしょうか？

ごめんなさい。。何回も。。汗」

↑　の件ですが、その解釈にてOKです。

**anonymous@fusianasan** · 2022/07/27(水) 18:07:18.05

>>175

確かに、NTTギガスマートタイプのHGW（PR600、RT600系）の生産基板が不足している状況でしたが、
回線の申込みは可能です。

暫定処置・他社製品になりますが、
　
　・　NTT-HGWの代わりに、ヤマハ　「NVR510」を用意して、光電話収容設定（小型ONU運用）
の設定をして、DHCPv6-PD、LAN側にRAプレフィックス（Oフラグ）の配信設定をする。

　・　NVR510配下にて、IXルーターのIPV6取得方法をIPV6ブリッジ設定、若しくはND-Proxy
の設定をして、V6プラス・固定IPの接続をする。

　↑の方法にて、接続をされている方も居られます。

68 · 2022/07/28(木) 00:34:01.48

>>176
ご返信ありがとうございます
NVR510で光収容する件も夢がありますね。ただ、まだ高値止まりなので中古でも買えませんね
まずはまだ完了していないpppoeのIPsec接続を終わらせた後、ipv6の折り返しにチャレンジしたいと思います。
いつも色々教えて頂いてとても感謝を致します。

68 · 2022/08/04(木) 02:27:35.21

ご報告が遅くなりました。

実は・・　あれから原因不明のPPPOEエラ－がたまに発生し、IPSecのリンク切れが急に起こっていました。当初は設定ミスを疑っていたのですが、どうやらPR-500(ONU)とIXとの間に挟んでいたHUBがどうもきな臭い様で別途、新品(安物ですが)を発注したところです。
一体、このトラブルシュ－ティングで土日どころか、平日の深夜まで何日費やしたところか...
タチの悪い事に、再現性が全くなかったトラブルです。　新HUBが到着次第、またやってみます
もう疲れたよパトラッシュ....

**anonymous@fusianasan** · 2022/08/04(木) 10:29:31.57

>>179

NTT-HGW　に　スイッチングハブですか？
通常でしたら不要かと思いますが。
NTT-HGWのファームウェアは最新版へ更新をされていますでしょうか？
また、ひかりTV系のIPV6マルチキャスト系の通信をさせている場合には、
通常のスイッチングハブでは無くて、L2スイッチのMLDスヌーピング機能が搭載されている
タイプでなければ、無理かと思いますが。

通常の業務系・管理型L2スイッチにて、ポート毎にMLDスヌーピング制御させる形になりますが。

68 · 2022/08/04(木) 18:34:38.63

お返事ありがとうございます。

実はひかり電話をVPNで外部からの発信する為に

ONU背面蓋を開けてLANのメス側からLANケーブルを配線　→　安物の馬鹿HUB →　IX2215とNVR500、そしてONUの後部蓋の中にあるもう一つのLANケーブル（オス）とLANアダプタ使用でLAN同士を接続　
そして、NVR500のLAN側とONUのルータ機能側のLANを接続
ひかり電話はNVR500とMJケーブルで接続

自宅のNW構成はこれで運用をしておりました。
そして、今回のPPPOE利用でのIPSec接続で、新たに動的のIPv4回線を1回線を契約して、上記の馬鹿HUBにLAN接続し、下部にIX2215をぶら下げて試験をしております。

もしかして、この3セッションを利用している状態ですと、結構なお値段のMLDsnooping機能付きのスイッチが必要でしょうか？
それとひかりテレビは契約しておりません。
すみません…質問ばかりで

**anonymous@fusianasan** · 2022/08/04(木) 19:15:08.14

>>181

えー。
NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、
NTT-HGW　→　スイッチングハブ①　→　NVR500　の　光電話内線アナログ収容
NTT-HGW　→　スイッチングハブ②　→　IX2215のPPPOEセッション・Ether-IP接続でしょうか？

最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね？

NVR500側にPPPOEセッションの確立をしておらず、
IX2215のみのPPPOEセッションでしたら、NTT光回線・１回線あたりのセッション数は、
２セッションまで可能な筈ですので、セッション不足では無いですね。
それよりもむしろ、NVR500側のルートと、IX2215側のルートに、IPV6アドレスが振られる形ですと、
問題ですね。
Ether-IPのIPSEC接続のブリッジ設定ですが、デフォルトにて、IPV6アドレスもブリッジングさせる
様になっていますので、IX2215側へはIPV6アドレスをブリッジングさせない形をしませんと、
IPV6アドレスのコンフリクトにて、それぞれの通信機器間の通信が不安定になる場合が想定されます。

以前のA拠点とB拠点のBVIインターフェイスの設定ですが、全ての通信がブリッジングする様になっていたかと思います。

bridge irb enable　←　のみでは、IPV4とIPV6アドレスをブリッジングする様になっていましたので、
IPV6アドレスは抑止するようにしませんと、何らかの障害は出るかもしれません。
bridge 1 bridge ipv6　←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。
A拠点側に光電話契約をされている状況だったかと思いますが、IPV6アドレスのコンフリクトが想定されますので、
B拠点共、上記のコマンドの設定が必要になるかもしれません。
上記の設定ですが、PPPOEセッションの契約より、V６プラス固定IPの契約にすると、
IPV6アドレスの抑止をすると、BVI機能では、IPV6アドレスの通信が出来なくなりますので、
ND-Proxyの設定が必要になります。
RAプレフィックスの通信と、それ以外のDHCPv6-PDの通信は、厳密に分ける事は出来ないので、
v6プラス固定IPの回線にされる場合には、
NTT光電話回線と、IX2215のEther-IP-IPSECの回線は分けないと、無理が出てくる可能性が御座います。

**anonymous@fusianasan** · 2022/08/04(木) 19:17:00.78

>>181
>>182

先ほどの追記しました、語句ですが、一部誤入力でした。

（誤）bridge 1 bridge ipv6　←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。

（正）no bridge 1 bridge ipv6　←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。

68 · 2022/08/04(木) 23:27:19.60

あ…
ごめんなさい…
私の認識は光プレミアム時代で止まってまして、1光回線辺り5セッションの認識でしたw
お恥ずかしい…

実は1光回線の環境でテストしており
NVR500用の固定ipv4が一回線、それとIPsec用（テスト用回線も含めて）の動的IPv4が２回線…
セッションが既に3回線なので、そら勝手にPPPOEが切断されるよなw
ほんと申し訳無い

>>182
NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、
NTT-HGW　→　スイッチングハブ①　→　NVR500　の　光電話内線アナログ収容
NTT-HGW　→　スイッチングハブ②　→　IX2215のPPPOEセッション・Ether-IP接続でしょうか？

最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね？

IX2215とNVR500は完全に上位馬鹿HUBにて並行設置になってますので、カスケード接続等はしておりません。
IXのスイッチポートからカスケード接続出来るなんて初めて知りました。
少し調べてみます
いつもご教示ありがとうございます

**anonymous@fusianasan** · 2022/08/05(金) 03:51:01.37

>>184

ファミリー・スーパーハイスピードタイプ隼　ですが、標準２セッションで、最大５セッションの
接続サービスになりますので、PPPOEセッションが３セッション有る場合には、
フレッツセッションプラスの申込みが必要になります。
※　https://flets-w.com/opt/session_plus/

あと、光電話の内線の件ですが、NVR500に出先よりスマホのSIP内線がVPN経由にて出来る機能
が有ったかどうかは定かでは御座いませんが、NTT-HGWに直収でしたら、SIP内線は
出来る機能が有ったと思いましたが、
IX2215のBVIインターフェイスにカスケード接続する場合には、
IX2215へのリモートアクセス接続し、IX2215のBVIインターフェイスに収容している
VLANポートとカスケード接続しているHGW宛にSIP認証する形になるかと思われます。
実際には、検証が必要ですが、
例　NTT-HGW（192.168.0.1/24）　→　NVR500（192.168.1.0/24）にしている場合
IX2215のGE2.0-I/Fを、更にHGW用のVLANグループを追加して（既存のVLANですと、
GigaEthertnet2.2:0～GigaEthertnet2.3:0が利用されていないようですので、
Device GigaEthernet2
vlan-group 2 port 5 6 ←　と言う風に変更
no vlan-group 3 port 6　←　削除する
interface Gigaethernet0.0
no shutdown ←　改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、
起動する
interface Gigaethernet2.0
no shutdown ←　改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、
起動する
interface Gigaethernet2:2.0
ip proxy-arp
bridge-group 1 　←　ポート５～６をHGW側の接続ポートとして、BVIグループに追加する
no interface Gigaethernet2:3.0　←　削除
interface BVI1
ip address 192.168.1.254/24 secondary 　←　光電話の内線収容の場合のBVI・VLANグループに割り当てするIPアドレス

**anonymous@fusianasan** · 2022/08/05(金) 03:51:44.16

>>184
>>185

続きです。
↑　のような形になるかと存じます。
先述のお話の通り、GE0.0-I/Fには、NTT-HGWとDHCPv6-PDのアドレスが奪い合いのようなイメージにて、
IPV6アドレスが振られる場合が御座いますので、IX2215側には、IPV6アドレスはBVI側には配信しないようにする形に
なるかと思います。
NTT-HGW系とIX2215のBVIインターフェイス間のカスケード接続での光電話認証をする場合には、
検証が必要になるかと思います。
GE2.0-I/Fのポート５～６をHGW系のルートとしてイメージしていますので、
ポート５番からHGW系に接続、ポート６は、社内の無線LANアクセスポイント経由にて、
スマホ内線などをする場合のポートをイメージする形になるかと存じます。
よって、無線LANアクセスポイント側にて、通常のインターネットと音声内線用のVLANを
構成出来るタイプ、ESS-IDをVLAN毎に分ける形になるかと思います。

68 · 2022/08/05(金) 08:10:55.05

>>185-186
ご返事ありがとうございます

頂いた貴重なアドバイスから察すると、検証は必要との事ですがNVR500を撤去してIX2215のGE2.0側から直接NTT-HGWと接続するイメ－ジで宜しいでしょうか？？
まだ私の知識が付いていけてないので、ご教示頂ければ幸いです。
NVRを撤去出来るのであれば、機器のコンセントや置き場所に余裕が出るので嬉しいですね～

NVR500はNTT-HGWのSIPクライアントとして利用していました。もちろんひかり電話はNTT-HGWに直収しています。
NVR500を設置した経緯として、IX2215がSIP-NATが無いとの情報を見た事があったからです(本来は性能が良いIXをSIPクライアントにしたかったのですが・・)

>>182
を読ませて頂いたのですが、「bridge 1 bridge ipv6」のコンフィグをググってみると、とても良い勉強になりました
ありがとうございます

**anonymous@fusianasan** · 2022/08/05(金) 09:12:56.54

>>187

NTT-HGWとの接続の件ですが、IX2215のブリッジインターフェイスの一部機能、
プルーター機能を併用する形になりますね。
ポート５～6番が利用中ということでしたら、GigaEthernet1.0のインターフェイスも空いている様ですので、
GigaEthernet1.0のインターフェイス、BVIインターフェイスにNTT-HGWと同一セグメントの
IPアドレスをセカンダリ登録として設定することで、BVIインターフェイスからNTT-HGWへのLAN-IP
アドレスへ通信は出来るかと思います。

例　NTT-HGW（192.168.0.1/24）の場合

interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
interface BVI1
ip address 192.168.0.254/24
bridge-group 1
no shutdown

↑のような形ですと、NTT-HGWのLANポートより、IX2215のGigaEthernet1.0のポートに
追加増線して、BVIインターフェイスと紐付ける形のイメージになります。

**anonymous@fusianasan** · 2022/08/05(金) 09:16:04.05

>>187

NVR500を撤去する形の件ですが、NVR500のTELポートにFAX複合機や電話機を接続している場合には、
NTT-HGW側のTELポートを利用する形になりますね。

**anonymous@fusianasan** · 2022/08/05(金) 10:54:59.67

>>187

既存のNTT光電話有りのA拠点の件ですが、V6プラス・固定IP等の高帯域回線を利用する場合の件ですが、
光電話側の回線は、電話のみの光NEXTライトのコースで大丈夫かと思います。
V6プラス・固定IPの追加申込みの回線側を、光電話無しのデータ通信のみの回線の申込み
が良いかと思います。

IX2215の光収容の設定により、

以下例
GE0.0-I/F（DHCPv6-PD）　→　VNEトンネル1（Ｖ６プラス・固定IP）
　、BVI1-I/F側にIPV6アドレスをND-Proxyにて配信する形
GE1.0-I/F（NTT-HGWからの配線）　→　BVI1-I/FとブリッジングIPとする

68 · 2022/08/05(金) 15:17:28.35

アドバイスありがとうございます。
ぜひ、このPPPOEでの接続が一段落すれば、次にipv6での折返し接続にチャレンジしたいと思います。
PPPOEの方は本日、NVR500の固定ipのセッションを外して、HUBも変えて再チャレンジしたいと思います。
お盆休みまでに終われるかなぁ～

**anonymous@fusianasan** · 2022/08/05(金) 19:03:06.45

>>191

そうですか。
光電話のVPNスマホ内線もされるようですから、国際電話などの通信含めて、不正ログインや
不正アクセス対策、アプリケーション制限やWebフィルタリング、サンドボックス対策、
他脆弱性対策のためですが、UTM等の装置を入れた方が良いかと思いますが。

※　Fortigate61F、Fortigate80F、SonicWALL TZ670　等

68 · 2022/08/06(土) 07:58:13.31

>>192
すみません・・
もう少しアドバイス頂けたら助かります

最終的にリンクで貼った配線図を目指しています
調子が悪い馬鹿HUBも安物ですが新品交換を行い、3セッションになっていた環境を2セッションに戻しました。
AとB拠点のIX2215のみ設置の状況だと無事にIPSecで接続出来ました(VLANの設定は無し)

ところが、ABの各拠点の下にL2スイッチ(WS-C2960CG-8TC-L)をそれぞれ設置を行い、IX2215のAとB拠点にて、VLAN10-VLAN30のコンフィグを入力したところ、スイッチ側のVLAN10アクセスポートではB拠点からA拠点を経由してインタ－ネットへ出ていけますが、VLAN20とVLAN30はB拠点からAへ出ていくどころかB拠点IX2215からDHCPも落ちてきません。

設定事例集等を確認はしたのですが、どうももうお手上げ状態です。
何かコンフィグで変な部分ありますでしょうか？？
スレチになるかもしれませんが、念のためスイッチのコンフィグも貼らせて頂きます。
VLAN10～VLAN30は互いにアクセス出来ない様にしたいと思っております

https://imgur.com/a/O5Nd9kR
https://imgur.com/a/wXXxvtS
https://imgur.com/a/WT3MYAD
https://imgur.com/a/tjlGPqf
https://imgur.com/a/bkbwnAV

68 · 2022/08/06(土) 07:59:22.90

それと・・
以前のご教示頂いた

route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253

watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.254 Tunnel1.0 source BVI1
action 10 ipsec clear-sa Tunnel1.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60

のコンフィグは一旦、仮で削除をしています。

それとアドバイス頂いたUTM導入についても、ココは勉強の機会と言うことで一度調べてみます。paloaltoのライセンス切れ古いのは持ってるのですが・・

私の知識不足で質問ばかりで大変申し訳ございませんが、ご教示頂ければ幸いです

**anonymous@fusianasan** · 2022/08/06(土) 09:12:33.65

>>193

あー、やっぱりシスコのL2スイッチの構成ですか。
IX2215からトランクポートの接続となりますと、その間はポートベースVLANでなければ
無理かと思いますが。
トランクリンクポートとして設定しましたグループへ、他のVLAN10～30を参加する様に設定変更は出来ませんか？
もし、IX2215のタグVLAN若しくはタグ無しVLANの構成をされた場合ですが、
トランクポートとIX2215間のタグ要件を分けないと、うまく通信が出来ない可能性が御座います。

ご指摘の図で言いますと、トランクポートのVLAN30とIX2215の間のVLANをポートベースVLAN
間にて接続して、L2スイッチ側・トランクポートの管理IPアドレスを、192.168.101.***/24（A拠点、B拠点にて空いていて、
L2スイッチに割り当て出来るIPアドレス）、デフォルトゲートウェイ192.168.101.254、プライマリDNS192.168.101.254
と設定し、VLAN20（仮に192.168.102.0/24）、VLAN30（仮に192.168.103.0/24）と
設定は可能でしょうか？
VLANで分けるのであれば、IX2215側のIPと分割させないと、うまくいかないかと思います。
その場合には、IX2215側の静的ルーティング経路として、
ip route 192.168.102.0/24 192.168.101.***（トランクポートのL2スイッチの割り当てIP）
ip route 192.168.103.0/24 192.168.101.***（トランクポートのL2スイッチの割り当てIP）
それと、IX2215のBVI2、BVI3のブリッジグループがおかしいので、全て１に変更可能でしょうか？
bridge 1 group

**anonymous@fusianasan** · 2022/08/06(土) 09:13:15.56

>>193
>>195

続きです。
ご指定のタグVLANの構成の場合ですと、タグVLANのグループエントリー10がトランクポート扱いになります。
対象インターフェイスは、GigaEthernet2:1.1　になります。
こちらのインターフェイスのタググループと、GigaEthernet2:1.2～GigaEthernet2:1.3
が同一グループになるように、BVIインターフェイスの追加をしてみて下さい。

あと、VLAN間のルーティングをさせる場合にですが、
BVI1のインターフェイスに、セカンダリIPアドレスを設定しませんとVLAN間ルーティングが
うまくいかない場合が御座います。（IX2215のタグVLANとカタリストのタグVLANの互換性の関連）

それと、Ether-IP-IPSECのトンネルを複数作成されているようですが、
こちらは意味が無い構成です。
恐らく、Tunnel2.0～Tunnel3.0の宛先トンネルですが、Tunnel1.0のエントリーにて、
A拠点とB拠点のIPSEC接続は確立をしていますので、
BVIインターフェイスを同一のブリッジグループにするぐらいでしょうか。

**anonymous@fusianasan** · 2022/08/06(土) 09:30:05.10

>>193
>>196

方法として整理すると、
ポートベースVLANとタグVLANを併用する場合
（１）　IX2215と2960間のトランクポート接続をポートベースVLANで接続して、
そのポートベースVLANグループに、VLAN20～30を参加させる。
（２）　ポートベースVLANの場合には、静的ルーティング経路として、
192.168.102.0/24、192.168.103.0/24宛のルーティングをL2スイッチに向ける。
（３）　この場合には、B拠点のVLAN20～30を別のIPセグメントにしないとうまくいかない。
例　VLAN20（192.168.104.0/24）、VLAN30（192.168.105.0/24）
（４）　A拠点からB拠点のVLAN20～VLAN30の静的経路をTunnel1.0に向ける

全てタグVLANにて構成する場合
（１）　IX2215と2960間のトランクポート接続をタグVLANエントリー10で接続して、
そのグループに、VLAN20～30を参加させる。
（２) タグVLANのBVIインターフェイスが、IX2215で言うトランクポートの扱いになりますので、
BVIインターフェイスのグループを共通にする。

68 · 2022/08/06(土) 15:11:12.07

>>197
アドバイスとても助かります
仰せのお話ですと…

1.　IX2215とシスコスイッチ間の接続が、ポートベースVLAN＆タグVLANID無し

2.　IX2215とシスコスイッチ間の接続が、ポートベースVLAN＆タグVLANIDあり

3.　IX2215とシスコスイッチ間の接続が、タグVLAN＆タグVLANIDあり

な感じでしょうか。
私の知識がまだ不足しているので、間違えていればごめんなさい…

一番シンプルなコンフィグ構成が3ですね。
1はIXとスイッチ間のLANケーブルが増えそうですね。少し比較検討しながら再チャレンジしてみます。まだ知識不足で良く理解出来ていなのですが、2のパターンでやってみたいと思います。
3のパターンですと、VLAN10-30は全ての同じBVIグループになるので、VLAN間のアクセス許可の設定必要そうですね。

いつもありがとうございます。
スレチになるかも知れませんが、ciscoの無線コントローラーとAPが思わないところから手に入り、どうしても使ってみたくて複雑な構成になってしまいました。
土日利用して再度、チャレンジしてみます

**anonymous@fusianasan** · 2022/08/06(土) 16:09:56.50

>>198

IX2215のタグVLANの機能と、シスコ2960のタグVLANの仕様が若干互換性の差が御座いますので、
一度、IX2215のVLANグループをピュアな方法からやり直してみる形が良いかと思います。

Device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5
vlan-group 3 port 6

interface GigaEthernet2:1.1～2:1.4　と物理ポート１番の配下にサブインターフェイス
を作成して、タグ付きVLANを設定されているようですので、
一度、トランクポート・ポートベースVLANのグループの設定を分けて、タグVLANの物理ポートを、
トランクポートと同一グループの設定を、2960側にて確認をすると良いかと思います。

端末台数が多い環境ですと、IX2215にタグ制御の設定までしてしまうと、若干負荷が高くなりますので、
IX2215配下にて、L3スイッチでのVLANルーティングの方が良いかと思います。

あと、WLCコントローラーと管理APですが、デフォルトにて、ネィティブVLANが優先する様になっていますので、
明示的にタグVLANのグループに属するエントリーにするか、若しくはトランクポート
と共通のポートベースVLANのポートに属するかをご確認された方が良いかと思います。
シスコ系の無線LANですが、ネイティブVLANとタグVLAN、ポートベースVLANですが、
同一の物理インターフェイスの配下にサブインターフェイスとして想定すると、比較的
誤動作が有ったかと思います。
機能的には、タグVLANとネイティブVLANを共用出来ると公表しているのですが、
タグVLANとネイティブVLANを併用すると、エントリー番号が若番より優先されるようになっているのですが、
iOS-XEのバージョンの問題、若しくは不具合が比較的多いです。

以外と、シスコ系のコントローラーやAPは、他社製品との落とし穴が御座います。

IX2215と組み合わせる場合には、UNIVERGE-QXのL2若しくはL3スイッチ、
無線LANは、「QX-W1130」　等の方が良いかと思います。

**anonymous@fusianasan** · 2022/08/06(土) 16:33:07.22

>>198
>>199

シスコ系のL2スイッチ、L3スイッチに共通ですが、タグ付きVLAN、タグ無しVLANの通信
のiOS-XE等の制御・仕様ですが、他社製品のタグを解釈出来ない重大な問題が御座います。
何故か、VLAN多重化をしました際に、タグ付きVLANでタグの制御が出来ず、ネイティブVLANの構成にされた際に、
タグまで出力してしまうとか、かなりおかしい仕様が有ったかと思います。

L2スイッチ、L3スイッチ系にてメーカー相違でも互換性が高いラインナップですが、
NEC以外に、アライドテレシス、ネットギア、Buffalo系が、素直な動作をしました。

アライドテレシスは、ルーター系は良くないですが・・・。

**anonymous@fusianasan** · 2022/08/06(土) 20:30:57.02

>>198
>>200

シスコのL2、L3スイッチに共通でしたが、VLAN-ID１番のエントリーですが、ネイティブVLAN
（タグ無しVLAN）が固定になっています。他のIXルーター等の他のネットワーク、WLCコントローラーAP
含めて、VLAN-IDエントリー１番を設定すると、他のVLAN-IDより優先する様になっており、
VLAN-IDを利用しIXルーターのトランクポートとのタグVLANを構成する場合には、
トランクポートの対象のVLAN-ID1番エントリーを利用するかどうかで、トランクポート対象の
VLANモードが変ります。
よって、IXルーター間のトランクポート間の接続をタグVLAN系で想定する場合には、
トランクポート間は、ネイティブVLANで想定し、他のVLANグループ20～30をタグ有りで構成し、
VLAN20～30のアクセスポートをトランクポート・ネイティブVLANに参加させる方法を採らないと、
うまく通信が出来ない状況も想定されます。

IX2215とのトランクリンクの相性も御座いますが、トランクポートを
ポートベースVLANにするか、ネイティブVLANにして、エントリ番号を若番にしないと、
他のタグVLANのトランクリンクが出来ない可能性が御座います。