NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
■ このスレッドは過去ログ倉庫に格納されています
>>155
>>156
そうですか、良かったですね。
「ip filter sec-list 65000 in
ip filter sec-list 65000 out
を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。
もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか??」
↑の件ですが、 A拠点、B拠点のPPPOEセッション側のIPフィルタ機能にて、
それぞれのPPPOEセッション側のWAN→LAN側、LAN→WAN側のポートの許可ですが、
最終エントリー(65000)にて全て許可をしている状態でしたが、その最終エントリーを
入れない状態ですと、ESPプロトコルとUDP500、UDP4500、UDP1701のみの許可なのですが、
PPPOE側からHTTP、HTTPS、他メールなどのポートは許可をされていない状況でしたので、
論理的には、A拠点のPPPOEセッション側には、最終エントリー65000は利用して、
B拠点側には、最終エントリー65000は利用しない形がベストと思いますが。
ルートマップの処理(ポリシールーティング処理)を削除して、PPPOE側のIPフィルタのエントリー
を削除する形ですと、それぞれの拠点のセキュリティの関係上、もう少し、
危険なポートとのアクセスを制限していく方向が必要かと思いましたが。 >>155
>>157
続きです。
「B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます?? 」
↑ の件ですが、IPSECトンネルのIPフィルタの処理にて、アウトバウンド側として、
拒否する様なアクセスリストが望ましいかと思います。
若しくは、A拠点側のIXルーターのtelnetサービスにログイン出来るIPアドレスを制限
する方法もあるかと思います。
該当箇所
ip access-list telnet permit ip src 192.168.101.0/24 dest any
telet-server ip access-list telnet
telnet-server ip enable
修正箇所
ip access-list telnet permit ip src 192.168.101.***/32 dest 192.168.101.0/24
no ip access-list telnet permit ip src 192.168.101.0/24 dest any
***に、アクセス許可するIPの第四オクテットを入れる
DDNSの更新については、IPSECアグレッシブモードの運用形態にて、仕方ないかもしれません。
それとコンフィグ内にて、IPSEC-SAの更新のためのネットワークモニターの機能が
未適用、DDNSでの名称解決のネームサーバの設定をされていないので、
任意のネームサーバを適用しないと、名称解決に時間がかかるケースも想定されます。
DDNSでしたが、MyDNSでないといけませんか?
Netmeisterの方が、性能面で良いかと思いました。
念のため、ネットワークモニターの設定例、ネームサーバの登録、Netmeister等の
登録例を転載致します。 >>155
>>158
ネームサーバの登録例(A拠点、B拠点それぞれ)
proxy-dns ip enable
proxy-dns server 8.8.8.8 priority 254
proxy-dns server 8.8.4.4 priority 254
ip name-server (契約プロバイダのプライマリDNSサーバ)
ip name-server (契約プロバイダのセカンダリDNSサーバ)
dns cache enable
dns cache max-records 1024
ネットワークモニターの設定例(B拠点側)
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.254 Tunnel2.0 source BVI1
action 10 ipsec clear-sa Tunnel2.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor etherip-ipsec enable
Netmeister-DDNSの登録例(A拠点、B拠点それぞれ、事前にNetmeister
のサイトにて、ユーザー登録を要します)
nm ip enable
nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード)
nm sitename (netmeisterの登録サイト名称)
nm ddns notify interface GigaEthernet0.1 protocol ip
なお、A拠点、B拠点にMyDNSやNetmeisterの登録をされるケースでしたが、
IPSECアグレッシブモードでは無く、DDNS同士のメインモードの方が、レスポンス的には
良いかと思います。
メインモードの設定例も転載致します。 >>155
>>159
既存のIPSECの設定としては、既に、IPSECメインモードの設定をMyDNSにて設定されていますので、
先述のネットワークモニターの設定は、A拠点、B拠点向けに設定をしておく形が良いかと思います。
ネットワークモニターの設定例(A拠点側)
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.253 Tunnel2.0 source BVI1
action 10 ipsec clear-sa Tunnel2.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor etherip-ipsec enable >>160
IPSECメインモードの接続のDDNS更新の部分でしたが、フレッツV6オプション(IPV6-POE)
のプロバイダにすることで、性能の底上げは可能と存じます。
Netmeister-DDNSは、IPV6-IPOEやフレッツV6オプションの閉域網のIPSECに
対応しております。 >>157-161
お返事遅くなりましたごめんなさい...
貴重なコンフィグ例まで頂いてありがとうございます。
凄い知識量ですね~ 私はこのコンフィグを見てまだ良く理解出来ていないので、まずは設定事例集とコンフィグリストを読みながら理解をしていきつつ進めていきたいと思います。
MyDNSよりNetmeister-DDNSの方が性能良いなんて初めて知りました。目からウロコです。
とても助かりました >>163
ネームサーバの登録の件ですが、PPPOEの動的IPの契約の場合ですが、
MyDNSやNetmeisterなどのDDNSに共通ですが、グローバルIPとDDNSの紐付けアクセスに、
プロバイダのネームサーバを参照し、DDNSの更新をする様になっていますので、
ご指定のコンフィグでは、Proxy-DNSとname-serverの設定を明示的に設定をされていませんでしたので、
グローバルIPの名称解決のために、name-serverの登録をして、グローバルIPとの
名称解決がスムースに出来るようにイメージしております。
あと、IPV6-IPOEやフレッツV6オプションの件ですが、
NTTギガ回線以上の回線の場合には、フレッツV6オプションが自動加入になっているかと思いますので、
そのフレッツV6オプションのサービスより、割り当てのIPV6グローバルアドレス
を利用して、IPV6-IPSEC・メインモードの接続にするイメージになります。
そのIPV6グローバルアドレスをNetmeister-DDNSにて名称解決させて、
Netmsiter-DDNS同士のIPSECに切替える形が良いかと思います。
以下設定例(IXルーターの上位にNTT光電話ルーターが有る場合)
ipv6 ufs-cache max-entries 65535
ipv6 ufs-cache enable
ipv6 cache-size 25300
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list other-list permit ip src any dest any
ipv6 access-list tunnel-list sequence-mode 100
ipv6 access-list tunnel-list 100 permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access other-list
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
option-request ntp-servers >>163
>>164
続きです。
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
interface GigaEthernet0.0
description IPV6
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 mld upstream
ipv6 mld version 2 only
ipv6 traffic-class tos 0
ipv6 nd proxy BVI1
ipv6 filter dhcpv6-list 1 in
ipv6 filter icmpv6-list 2 in
ipv6 filter tunnel-list 3 in
ipv6 filter block-list 100 in
ipv6 filter dhcpv6-list 1 out
ipv6 filter icmpv6-list 2 out
ipv6 filter tunnel-list 3 out
ipv6 filter dflt-list 100 out
no shutdown
interface BVI1
ipv6 enable
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag >>163
>>165
続きです。
Netmeiste-DDNSをIPV6アドレスを監視させる場合(LAN側インターフェイス、BVI1等)
nm ip enable
nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード)
nm sitename (netmeisterの登録サイト名称)
nm ddns notify interface BVI1 protocol ipv6
IPV6-IPSECに切替えるポリシー(A拠点側)
ike policy ike-policy peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) ipsec-prop
IPV6-IPSECに切替えるポリシー(B拠点側)
ike policy ike-policy peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike-
prop
ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) ipsec-prop
↑ のようなイメージになります。
IPV6アドレスは、LAN側にブリッジ動作のような形になります。 >>164-166
感謝感激です! ipv6の拠点接続なんて雲の上の様な存在です
もちろん、私の2拠点の光回線はフレッツでして当初はipv6通信の為にNTTを選んだ次第です。
この頂いたコンフィグ例は俗にいうフレッツipv6同士の折り返しですよね?
このスレでも700M近くの通信速度が出るとの書き込みを読んだ事があり、ぜひチャレンジしてみたい設定です。
ただ、現実はまだ脳みそが情報についてこれていない感じです。
いつも助けて頂いてありがとうございます。
ネ-ムサ-バ-のコンフィグの理解も初めて出来ました。IXがどんな挙動を示すかとても楽しみです。
pppoeの拠点接続の再設定については、また報告させて頂きます。ありがとうございます。 >>167
承知致しました。
フレッツV6オプションのIPV6閉域網接続の件ですが、
組み合わせとしてですが、
A拠点側のインターネット機能をV6プラス・固定IP等の回線に切替えをして、
B拠点は、プロバイダ無しの構成、またはPPPOE動的IPの回線、若しくはコラボ光
の回線で、V6プラス・固定IPのプロバイダも御座いますので、そちらの組み合わせ
にする方法もありかと思います。 >>168
ありがとうございます。
光電話の契約はA拠点のみですが、2拠点共にplala光のv6プラスオプションも利用していますので、pppoe拠点接続完了後にぜひやってみたいてすね~
なんせIPsecでv6折返しで1G近く速度が出るって単純にエグイです。
プロバイダー契約無しとは、光ライトですね。
両方共に戸建て契約なので、少しでも通信料金が下がるのは嬉しいです
ほんと感謝しかありません >>169
そうですか。
A拠点、B拠点共、ぷらら光のV6プラス・動的IPの場合、利用出来るポート数に制限(240ポート)があるため、
インターネットのポートを多用するアプリケーション等の制限を回避する形ですと、
V6プラス・固定IPの切替えは必要かと思います。
V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約
を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事)
が可能になります。
※ https://21ip.jp/
A拠点は、NTT光電話ルーター配下と言う事ですので、NTT光電話ルーターのIPV6-IPOEフィルタの
許可(双方向、ANY許可)、IXルーターはND-Proxyの設定になります。
B拠点は、ぷらら・V6プラスのみでも構いませんが、光電話機器・契約が無しということですので、
IXルーターは、ND-Proxyの設定になります。
ND-Proxyの設定ですと、A拠点のIPV6アドレスは、BVIインターフェイス側にブリッジング
される形になります。
B拠点は、ぷらら光・V6プラスなどの設定は無しと言う構成になりますね。
IPV6インターネット系のIPV6アドレスは、A拠点のIPV6インターネットのBVIブリッジング
動作という形になるかと存じます。 >>170
すごい知識量ですね~
私は全然脳みそが付いていけません...涙
教えて頂いた内容がまだ全て理解不足なのですが・・
>>V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約
を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事)
が可能になります。
※ https://21ip.jp/
この解釈ですと
A拠点 現在 plala光 + plala V6エクスプレス → 今後 plala光 + 21ip.jpの固定v6サービス
B拠点 現在も今後も同じ plala光 + plala V6エクスプレス
と言う事で宜しいでしょうか??
あと、ご紹介頂いた 21ip.jp社 の契約メニュ-ですが・・
V6プラス固定IP 2550円 のメニュ-で宜しいのでしょうか??
食わず嫌いで「ND-Proxy」を全く調べていなかったのですが、やっと理解出きました
ipv6のフィルタ-機能だったんですね
ありがとうございます。ココでいつもめちゃくちゃ勉強させて頂いています。 >>171
ご質問の件ですが、
A拠点 現在 plala光 + plala V6エクスプレス → ぷらら側にてIPV6-IPOEは利用しない契約、21ip.jpの固定v6サービス
B拠点 こちらは、plala光のみでもOKですが、NTTギガラインのみでもOK(ライト系は不可)
※ A拠点についてですが、ぷらら光の場合にはIPV6-IPOEが基本契約にセットされている契約ですので、
IPV6-IPOE(ぷららV6エクスプレス)を解除すると、契約変更になるかもしれません。
→ ぷららひかりメイト+NTTギガスマートタイプ
もし、契約変更でなければ、V6プラス・固定IPの契約が出来ない場合ですが、
BIGLOBE光などでもV6プラス・固定IPとの組み合わせは可能ですので、ぷらら光から
BIGLOBE光への事業者変更承諾番号をぷららへ連絡して取得、その事業者変更承諾番号を
BIGLOBEへ手続きしてBIGLOBEへ変更することでも可能です。
「あと、ご紹介頂いた 21ip.jp社 の契約メニュ−ですが・・
V6プラス固定IP 2550円 のメニュ−で宜しいのでしょうか??」
↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい) >>171
>>172
もし、ぷらら光からBIGLOBE光へ事業者変更申請をされる場合ですが、
ぷららのメールアカウントは、バリュープラン(月額250円前後)にて残す事は可能です。
BIGLOBE光の方の機能は、IPV6-IPOEとPPPOEを任意選択が出来るサービスになっています。
(IPV6-IPOEが前提とはなっていません)
よって、コラボ回線の回線コストを低減させながら、高帯域のV6プラス・固定IPの組み合わせが出来る様になっています。
ちなみに、アサヒネット光はIPV6-IPOEの解除は不可にて、解除するとフレッツプランに変更になります。
、 >>173
IIJMio光のサービスも、高帯域のv6プラス・固定IPの併用は出来るサービスになっています。
その際には、IIJMioのIPV6-IPOEは申込みはしない形にて、v6プラス・固定IPの申込みをする形になります。
ぷらら側の対応により、NTT光・ギガスマートタイプやギガラインへ変更になる場合には、
料金的な意味合いにて、ご検討下さい。 >>172
アドバイスありがとうございます
私はN西地域だったので、「NTTギガスマートタイプ」に馴染みがなくググってみたら...
半導体不足の影響で新規受け付け停止中なんですね~
一度、plala光へぷららV6エクスプレス解除の件問い合わせてみます。
もし事業者変更が必要であれば、今の回線は「光ネクストのファミリースーパーハイスピード隼」なのでコラボ光を止めてN西に戻ろうと思います。
度々質問して申し訳ないのですが・・
>> ↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい)
の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか?
ごめんなさい。。何回も。。汗 >>175
NTT西日本なのですね。
「の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか?
ごめんなさい。。何回も。。汗 」
↑ の件ですが、その解釈にてOKです。 >>175
確かに、NTTギガスマートタイプのHGW(PR600、RT600系)の生産基板が不足している状況でしたが、
回線の申込みは可能です。
暫定処置・他社製品になりますが、
・ NTT-HGWの代わりに、ヤマハ 「NVR510」を用意して、光電話収容設定(小型ONU運用)
の設定をして、DHCPv6-PD、LAN側にRAプレフィックス(Oフラグ)の配信設定をする。
・ NVR510配下にて、IXルーターのIPV6取得方法をIPV6ブリッジ設定、若しくはND-Proxy
の設定をして、V6プラス・固定IPの接続をする。
↑の方法にて、接続をされている方も居られます。 >>176
ご返信ありがとうございます
NVR510で光収容する件も夢がありますね。ただ、まだ高値止まりなので中古でも買えませんね
まずはまだ完了していないpppoeのIPsec接続を終わらせた後、ipv6の折り返しにチャレンジしたいと思います。
いつも色々教えて頂いてとても感謝を致します。 ご報告が遅くなりました。
実は・・ あれから原因不明のPPPOEエラ-がたまに発生し、IPSecのリンク切れが急に起こっていました。当初は設定ミスを疑っていたのですが、どうやらPR-500(ONU)とIXとの間に挟んでいたHUBがどうもきな臭い様で別途、新品(安物ですが)を発注したところです。
一体、このトラブルシュ-ティングで土日どころか、平日の深夜まで何日費やしたところか...
タチの悪い事に、再現性が全くなかったトラブルです。 新HUBが到着次第、またやってみます
もう疲れたよパトラッシュ.... >>179
NTT-HGW に スイッチングハブですか?
通常でしたら不要かと思いますが。
NTT-HGWのファームウェアは最新版へ更新をされていますでしょうか?
また、ひかりTV系のIPV6マルチキャスト系の通信をさせている場合には、
通常のスイッチングハブでは無くて、L2スイッチのMLDスヌーピング機能が搭載されている
タイプでなければ、無理かと思いますが。
通常の業務系・管理型L2スイッチにて、ポート毎にMLDスヌーピング制御させる形になりますが。 お返事ありがとうございます。
実はひかり電話をVPNで外部からの発信する為に
ONU背面蓋を開けてLANのメス側からLANケーブルを配線 → 安物の馬鹿HUB → IX2215とNVR500、そしてONUの後部蓋の中にあるもう一つのLANケーブル(オス)とLANアダプタ使用でLAN同士を接続
そして、NVR500のLAN側とONUのルータ機能側のLANを接続
ひかり電話はNVR500とMJケーブルで接続
自宅のNW構成はこれで運用をしておりました。
そして、今回のPPPOE利用でのIPSec接続で、新たに動的のIPv4回線を1回線を契約して、上記の馬鹿HUBにLAN接続し、下部にIX2215をぶら下げて試験をしております。
もしかして、この3セッションを利用している状態ですと、結構なお値段のMLDsnooping機能付きのスイッチが必要でしょうか?
それとひかりテレビは契約しておりません。
すみません…質問ばかりで >>181
えー。
NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、
NTT-HGW → スイッチングハブ@ → NVR500 の 光電話内線アナログ収容
NTT-HGW → スイッチングハブA → IX2215のPPPOEセッション・Ether-IP接続でしょうか?
最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね?
NVR500側にPPPOEセッションの確立をしておらず、
IX2215のみのPPPOEセッションでしたら、NTT光回線・1回線あたりのセッション数は、
2セッションまで可能な筈ですので、セッション不足では無いですね。
それよりもむしろ、NVR500側のルートと、IX2215側のルートに、IPV6アドレスが振られる形ですと、
問題ですね。
Ether-IPのIPSEC接続のブリッジ設定ですが、デフォルトにて、IPV6アドレスもブリッジングさせる
様になっていますので、IX2215側へはIPV6アドレスをブリッジングさせない形をしませんと、
IPV6アドレスのコンフリクトにて、それぞれの通信機器間の通信が不安定になる場合が想定されます。
以前のA拠点とB拠点のBVIインターフェイスの設定ですが、全ての通信がブリッジングする様になっていたかと思います。
bridge irb enable ← のみでは、IPV4とIPV6アドレスをブリッジングする様になっていましたので、
IPV6アドレスは抑止するようにしませんと、何らかの障害は出るかもしれません。
bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。
A拠点側に光電話契約をされている状況だったかと思いますが、IPV6アドレスのコンフリクトが想定されますので、
B拠点共、上記のコマンドの設定が必要になるかもしれません。
上記の設定ですが、PPPOEセッションの契約より、V6プラス固定IPの契約にすると、
IPV6アドレスの抑止をすると、BVI機能では、IPV6アドレスの通信が出来なくなりますので、
ND-Proxyの設定が必要になります。
RAプレフィックスの通信と、それ以外のDHCPv6-PDの通信は、厳密に分ける事は出来ないので、
v6プラス固定IPの回線にされる場合には、
NTT光電話回線と、IX2215のEther-IP-IPSECの回線は分けないと、無理が出てくる可能性が御座います。 >>181
>>182
先ほどの追記しました、語句ですが、一部誤入力でした。
(誤)bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。
(正)no bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止
する様になるかと存じます。 あ…
ごめんなさい…
私の認識は光プレミアム時代で止まってまして、1光回線辺り5セッションの認識でしたw
お恥ずかしい…
実は1光回線の環境でテストしており
NVR500用の固定ipv4が一回線、それとIPsec用(テスト用回線も含めて)の動的IPv4が2回線…
セッションが既に3回線なので、そら勝手にPPPOEが切断されるよなw
ほんと申し訳無い
>>182
NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、
NTT-HGW → スイッチングハブ① → NVR500 の 光電話内線アナログ収容
NTT-HGW → スイッチングハブ② → IX2215のPPPOEセッション・Ether-IP接続でしょうか?
最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね?
IX2215とNVR500は完全に上位馬鹿HUBにて並行設置になってますので、カスケード接続等はしておりません。
IXのスイッチポートからカスケード接続出来るなんて初めて知りました。
少し調べてみます
いつもご教示ありがとうございます >>184
ファミリー・スーパーハイスピードタイプ 隼 ですが、標準2セッションで、最大5セッションの
接続サービスになりますので、PPPOEセッションが3セッション有る場合には、
フレッツセッションプラスの申込みが必要になります。
※ https://flets-w.com/opt/session_plus/
あと、光電話の内線の件ですが、NVR500に出先よりスマホのSIP内線がVPN経由にて出来る機能
が有ったかどうかは定かでは御座いませんが、NTT-HGWに直収でしたら、SIP内線は
出来る機能が有ったと思いましたが、
IX2215のBVIインターフェイスにカスケード接続する場合には、
IX2215へのリモートアクセス接続し、IX2215のBVIインターフェイスに収容している
VLANポートとカスケード接続しているHGW宛にSIP認証する形になるかと思われます。
実際には、検証が必要ですが、
例 NTT-HGW(192.168.0.1/24) → NVR500(192.168.1.0/24)にしている場合
IX2215のGE2.0-I/Fを、更にHGW用のVLANグループを追加して(既存のVLANですと、
GigaEthertnet2.2:0〜GigaEthertnet2.3:0が利用されていないようですので、
Device GigaEthernet2
vlan-group 2 port 5 6 ← と言う風に変更
no vlan-group 3 port 6 ← 削除する
interface Gigaethernet0.0
no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、
起動する
interface Gigaethernet2.0
no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、
起動する
interface Gigaethernet2:2.0
ip proxy-arp
bridge-group 1 ← ポート5〜6をHGW側の接続ポートとして、BVIグループに追加する
no interface Gigaethernet2:3.0 ← 削除
interface BVI1
ip address 192.168.1.254/24 secondary ← 光電話の内線収容の場合のBVI・VLANグループに割り当てするIPアドレス >>184
>>185
続きです。
↑ のような形になるかと存じます。
先述のお話の通り、GE0.0-I/Fには、NTT-HGWとDHCPv6-PDのアドレスが奪い合いのようなイメージにて、
IPV6アドレスが振られる場合が御座いますので、IX2215側には、IPV6アドレスはBVI側には配信しないようにする形に
なるかと思います。
NTT-HGW系とIX2215のBVIインターフェイス間のカスケード接続での光電話認証をする場合には、
検証が必要になるかと思います。
GE2.0-I/Fのポート5〜6をHGW系のルートとしてイメージしていますので、
ポート5番からHGW系に接続、ポート6は、社内の無線LANアクセスポイント経由にて、
スマホ内線などをする場合のポートをイメージする形になるかと存じます。
よって、無線LANアクセスポイント側にて、通常のインターネットと音声内線用のVLANを
構成出来るタイプ、ESS-IDをVLAN毎に分ける形になるかと思います。 >>185-186
ご返事ありがとうございます
頂いた貴重なアドバイスから察すると、検証は必要との事ですがNVR500を撤去してIX2215のGE2.0側から直接NTT-HGWと接続するイメ-ジで宜しいでしょうか??
まだ私の知識が付いていけてないので、ご教示頂ければ幸いです。
NVRを撤去出来るのであれば、機器のコンセントや置き場所に余裕が出るので嬉しいですね~
NVR500はNTT-HGWのSIPクライアントとして利用していました。もちろんひかり電話はNTT-HGWに直収しています。
NVR500を設置した経緯として、IX2215がSIP-NATが無いとの情報を見た事があったからです(本来は性能が良いIXをSIPクライアントにしたかったのですが・・)
>>182
を読ませて頂いたのですが、「bridge 1 bridge ipv6」のコンフィグをググってみると、とても良い勉強になりました
ありがとうございます >>187
NTT-HGWとの接続の件ですが、IX2215のブリッジインターフェイスの一部機能、
プルーター機能を併用する形になりますね。
ポート5〜6番が利用中ということでしたら、GigaEthernet1.0のインターフェイスも空いている様ですので、
GigaEthernet1.0のインターフェイス、BVIインターフェイスにNTT-HGWと同一セグメントの
IPアドレスをセカンダリ登録として設定することで、BVIインターフェイスからNTT-HGWへのLAN-IP
アドレスへ通信は出来るかと思います。
例 NTT-HGW(192.168.0.1/24)の場合
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
interface BVI1
ip address 192.168.0.254/24
bridge-group 1
no shutdown
↑のような形ですと、NTT-HGWのLANポートより、IX2215のGigaEthernet1.0のポートに
追加増線して、BVIインターフェイスと紐付ける形のイメージになります。 >>187
NVR500を撤去する形の件ですが、NVR500のTELポートにFAX複合機や電話機を接続している場合には、
NTT-HGW側のTELポートを利用する形になりますね。 >>187
既存のNTT光電話有りのA拠点の件ですが、V6プラス・固定IP等の高帯域回線を利用する場合の件ですが、
光電話側の回線は、電話のみの光NEXTライトのコースで大丈夫かと思います。
V6プラス・固定IPの追加申込みの回線側を、光電話無しのデータ通信のみの回線の申込み
が良いかと思います。
IX2215の光収容の設定により、
以下例
GE0.0-I/F(DHCPv6-PD) → VNEトンネル1(V6プラス・固定IP)
、BVI1-I/F側にIPV6アドレスをND-Proxyにて配信する形
GE1.0-I/F(NTT-HGWからの配線) → BVI1-I/FとブリッジングIPとする アドバイスありがとうございます。
ぜひ、このPPPOEでの接続が一段落すれば、次にipv6での折返し接続にチャレンジしたいと思います。
PPPOEの方は本日、NVR500の固定ipのセッションを外して、HUBも変えて再チャレンジしたいと思います。
お盆休みまでに終われるかなぁ~ >>191
そうですか。
光電話のVPNスマホ内線もされるようですから、国際電話などの通信含めて、不正ログインや
不正アクセス対策、アプリケーション制限やWebフィルタリング、サンドボックス対策、
他脆弱性対策のためですが、UTM等の装置を入れた方が良いかと思いますが。
※ Fortigate61F、Fortigate80F、SonicWALL TZ670 等 >>192
すみません・・
もう少しアドバイス頂けたら助かります
最終的にリンクで貼った配線図を目指しています
調子が悪い馬鹿HUBも安物ですが新品交換を行い、3セッションになっていた環境を2セッションに戻しました。
AとB拠点のIX2215のみ設置の状況だと無事にIPSecで接続出来ました(VLANの設定は無し)
ところが、ABの各拠点の下にL2スイッチ(WS-C2960CG-8TC-L)をそれぞれ設置を行い、IX2215のAとB拠点にて、VLAN10-VLAN30のコンフィグを入力したところ、スイッチ側のVLAN10アクセスポートではB拠点からA拠点を経由してインタ-ネットへ出ていけますが、VLAN20とVLAN30はB拠点からAへ出ていくどころかB拠点IX2215からDHCPも落ちてきません。
設定事例集等を確認はしたのですが、どうももうお手上げ状態です。
何かコンフィグで変な部分ありますでしょうか??
スレチになるかもしれませんが、念のためスイッチのコンフィグも貼らせて頂きます。
VLAN10~VLAN30は互いにアクセス出来ない様にしたいと思っております
https://imgur.com/a/O5Nd9kR
https://imgur.com/a/wXXxvtS
https://imgur.com/a/WT3MYAD
https://imgur.com/a/tjlGPqf
https://imgur.com/a/bkbwnAV それと・・
以前のご教示頂いた
route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253
watch-group etherip-ipsec 10
event 10 ip unreach-host 192.168.101.254 Tunnel1.0 source BVI1
action 10 ipsec clear-sa Tunnel1.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
のコンフィグは一旦、仮で削除をしています。
それとアドバイス頂いたUTM導入についても、ココは勉強の機会と言うことで一度調べてみます。paloaltoのライセンス切れ古いのは持ってるのですが・・
私の知識不足で質問ばかりで大変申し訳ございませんが、ご教示頂ければ幸いです >>193
あー、やっぱりシスコのL2スイッチの構成ですか。
IX2215からトランクポートの接続となりますと、その間はポートベースVLANでなければ
無理かと思いますが。
トランクリンクポートとして設定しましたグループへ、他のVLAN10〜30を参加する様に設定変更は出来ませんか?
もし、IX2215のタグVLAN若しくはタグ無しVLANの構成をされた場合ですが、
トランクポートとIX2215間のタグ要件を分けないと、うまく通信が出来ない可能性が御座います。
ご指摘の図で言いますと、トランクポートのVLAN30とIX2215の間のVLANをポートベースVLAN
間にて接続して、L2スイッチ側・トランクポートの管理IPアドレスを、192.168.101.***/24(A拠点、B拠点にて空いていて、
L2スイッチに割り当て出来るIPアドレス)、デフォルトゲートウェイ192.168.101.254、プライマリDNS192.168.101.254
と設定し、VLAN20(仮に192.168.102.0/24)、VLAN30(仮に192.168.103.0/24)と
設定は可能でしょうか?
VLANで分けるのであれば、IX2215側のIPと分割させないと、うまくいかないかと思います。
その場合には、IX2215側の静的ルーティング経路として、
ip route 192.168.102.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP)
ip route 192.168.103.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP)
それと、IX2215のBVI2、BVI3のブリッジグループがおかしいので、全て1に変更可能でしょうか?
bridge 1 group >>193
>>195
続きです。
ご指定のタグVLANの構成の場合ですと、タグVLANのグループエントリー10がトランクポート扱いになります。
対象インターフェイスは、GigaEthernet2:1.1 になります。
こちらのインターフェイスのタググループと、GigaEthernet2:1.2〜GigaEthernet2:1.3
が同一グループになるように、BVIインターフェイスの追加をしてみて下さい。
あと、VLAN間のルーティングをさせる場合にですが、
BVI1のインターフェイスに、セカンダリIPアドレスを設定しませんとVLAN間ルーティングが
うまくいかない場合が御座います。(IX2215のタグVLANとカタリストのタグVLANの互換性の関連)
それと、Ether-IP-IPSECのトンネルを複数作成されているようですが、
こちらは意味が無い構成です。
恐らく、Tunnel2.0〜Tunnel3.0の宛先トンネルですが、Tunnel1.0のエントリーにて、
A拠点とB拠点のIPSEC接続は確立をしていますので、
BVIインターフェイスを同一のブリッジグループにするぐらいでしょうか。 >>193
>>196
方法として整理すると、
ポートベースVLANとタグVLANを併用する場合
(1) IX2215と2960間のトランクポート接続をポートベースVLANで接続して、
そのポートベースVLANグループに、VLAN20〜30を参加させる。
(2) ポートベースVLANの場合には、静的ルーティング経路として、
192.168.102.0/24、192.168.103.0/24宛のルーティングをL2スイッチに向ける。
(3) この場合には、B拠点のVLAN20〜30を別のIPセグメントにしないとうまくいかない。
例 VLAN20(192.168.104.0/24)、VLAN30(192.168.105.0/24)
(4) A拠点からB拠点のVLAN20〜VLAN30の静的経路をTunnel1.0に向ける
全てタグVLANにて構成する場合
(1) IX2215と2960間のトランクポート接続をタグVLANエントリー10で接続して、
そのグループに、VLAN20〜30を参加させる。
(2) タグVLANのBVIインターフェイスが、IX2215で言うトランクポートの扱いになりますので、
BVIインターフェイスのグループを共通にする。 >>197
アドバイスとても助かります
仰せのお話ですと…
1. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANID無し
2. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANIDあり
3. IX2215とシスコスイッチ間の接続が、タグVLAN&タグVLANIDあり
な感じでしょうか。
私の知識がまだ不足しているので、間違えていればごめんなさい…
一番シンプルなコンフィグ構成が3ですね。
1はIXとスイッチ間のLANケーブルが増えそうですね。少し比較検討しながら再チャレンジしてみます。まだ知識不足で良く理解出来ていなのですが、2のパターンでやってみたいと思います。
3のパターンですと、VLAN10-30は全ての同じBVIグループになるので、VLAN間のアクセス許可の設定必要そうですね。
いつもありがとうございます。
スレチになるかも知れませんが、ciscoの無線コントローラーとAPが思わないところから手に入り、どうしても使ってみたくて複雑な構成になってしまいました。
土日利用して再度、チャレンジしてみます >>198
IX2215のタグVLANの機能と、シスコ2960のタグVLANの仕様が若干互換性の差が御座いますので、
一度、IX2215のVLANグループをピュアな方法からやり直してみる形が良いかと思います。
Device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5
vlan-group 3 port 6
interface GigaEthernet2:1.1〜2:1.4 と物理ポート1番の配下にサブインターフェイス
を作成して、タグ付きVLANを設定されているようですので、
一度、トランクポート・ポートベースVLANのグループの設定を分けて、タグVLANの物理ポートを、
トランクポートと同一グループの設定を、2960側にて確認をすると良いかと思います。
端末台数が多い環境ですと、IX2215にタグ制御の設定までしてしまうと、若干負荷が高くなりますので、
IX2215配下にて、L3スイッチでのVLANルーティングの方が良いかと思います。
あと、WLCコントローラーと管理APですが、デフォルトにて、ネィティブVLANが優先する様になっていますので、
明示的にタグVLANのグループに属するエントリーにするか、若しくはトランクポート
と共通のポートベースVLANのポートに属するかをご確認された方が良いかと思います。
シスコ系の無線LANですが、ネイティブVLANとタグVLAN、ポートベースVLANですが、
同一の物理インターフェイスの配下にサブインターフェイスとして想定すると、比較的
誤動作が有ったかと思います。
機能的には、タグVLANとネイティブVLANを共用出来ると公表しているのですが、
タグVLANとネイティブVLANを併用すると、エントリー番号が若番より優先されるようになっているのですが、
iOS-XEのバージョンの問題、若しくは不具合が比較的多いです。
以外と、シスコ系のコントローラーやAPは、他社製品との落とし穴が御座います。
IX2215と組み合わせる場合には、UNIVERGE-QXのL2若しくはL3スイッチ、
無線LANは、「QX-W1130」 等の方が良いかと思います。 >>198
>>199
シスコ系のL2スイッチ、L3スイッチに共通ですが、タグ付きVLAN、タグ無しVLANの通信
のiOS-XE等の制御・仕様ですが、他社製品のタグを解釈出来ない重大な問題が御座います。
何故か、VLAN多重化をしました際に、タグ付きVLANでタグの制御が出来ず、ネイティブVLANの構成にされた際に、
タグまで出力してしまうとか、かなりおかしい仕様が有ったかと思います。
L2スイッチ、L3スイッチ系にてメーカー相違でも互換性が高いラインナップですが、
NEC以外に、アライドテレシス、ネットギア、Buffalo系が、素直な動作をしました。
アライドテレシスは、ルーター系は良くないですが・・・。 >>198
>>200
シスコのL2、L3スイッチに共通でしたが、VLAN-ID1番のエントリーですが、ネイティブVLAN
(タグ無しVLAN)が固定になっています。他のIXルーター等の他のネットワーク、WLCコントローラーAP
含めて、VLAN-IDエントリー1番を設定すると、他のVLAN-IDより優先する様になっており、
VLAN-IDを利用しIXルーターのトランクポートとのタグVLANを構成する場合には、
トランクポートの対象のVLAN-ID1番エントリーを利用するかどうかで、トランクポート対象の
VLANモードが変ります。
よって、IXルーター間のトランクポート間の接続をタグVLAN系で想定する場合には、
トランクポート間は、ネイティブVLANで想定し、他のVLANグループ20〜30をタグ有りで構成し、
VLAN20〜30のアクセスポートをトランクポート・ネイティブVLANに参加させる方法を採らないと、
うまく通信が出来ない状況も想定されます。
IX2215とのトランクリンクの相性も御座いますが、トランクポートを
ポートベースVLANにするか、ネイティブVLANにして、エントリ番号を若番にしないと、
他のタグVLANのトランクリンクが出来ない可能性が御座います。 >>195-197
いつも色々な知識教えて頂いてありがとうございます。
先日に教えて頂いた「ポートベースVLANとタグVLANを併用する場合」のパタ-ンでコンフィグ書いてみたのですが、こんなイメ-ジで宜しいでしょうか??
ただ、スレチで申し訳ないのですが、Ciscoスイッチ側でご教示頂いた管理IPを投入する事が出来ません。(※印で書かせて頂いた様な症状です)
私がまだ勘違いしている部分ありますでしょうか??
一応、コンフィグは抜粋した部分のみとなります
少しどツボに嵌ってます....涙 **IX2215-A拠点1/2**
ip route default GigaEthernet0.1
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
ip route 192.168.102.0/24 Tunnel1.0
ip route 192.168.103.0/24 Tunnel1.0
!
ip dhcp profile vlan10
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3 **IX2215-A拠点2/2**
interface GigaEthernet2:1.1
ip address 192.168.101.254/24
encapsulation dot1q 10 tpid 8100
ip dhcp binding vlan10
bridge-group 1
!
interface GigaEthernet2:2.1
ip address 192.168.102.254/24
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
!
interface GigaEthernet2:3.1
ip address 192.168.103.254/24
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1
!
interface BVI1
bridge-group 1 **C2960-A拠点1/2**
ip default-gateway 192.168.101.254
ip name-server 192.168.101.254(プライマリDNSを投入するコマンドは無かったので、コチラで投入)
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk allowed vlan 10
switchport mode trunk
!
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk allowed vlan 20
switchport mode trunk
!
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk allowed vlan 30
switchport mode trunk
!
interface GigaEthernet0/4
switchport access vlan 10
switchport mode access
!
interface GigaEthernet0/5
switchport access vlan 10
switchport mode access
!
interface GigaEthernet0/5(Cisco 無線コントロ-ラ-へ)
switchport trunk allowed vlan 10-30
switchport mode trunk **C2960-A拠点2/2**
!
interface Vlan10
ip address 192.168.101.252 255.255.255.0
!
interface Vlan20
ip address 192.168.102.252 255.255.255.0
!
interface Vlan30
ip address 192.168.103.252 255.255.255.0
※A拠点の(C2960catalyst)へL2スイッチ側・トランクポートの管理IPアドレスとして、192.168.101.***/24(A拠点、B拠点にて空いていて、L2スイッチに割り当て出来るIPアドレス)の投入を試してみましたが、「interface Vlan10・Vlan20・Vlan30」へ互いに同一セグメントの管理IPの投入(192.168.101.***/24)は不可でした(エラ-として・・% 192.168.101.0 overlaps with Vlan10)
また、interface GigaEthernet0/*へ直接の管理IPアドレス投入も同様に不可能でした **IX2215-B拠点1/2**
ip route default GigaEthernet0.1
ip route 192.168.104.0/24 192.168.101.251
ip route 192.168.105.0/24 192.168.101.251
ip route 192.168.104.0/24 Tunnel1.0
ip route 192.168.105.0/24 Tunnel1.0
!
ip dhcp profile vlan10
assignable-range 192.168.101.151 192.168.101.200
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan20
assignable-range 192.168.104.1 192.168.104.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan30
assignable-range 192.168.105.1 192.168.105.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3 **IX2215-B拠点2/2**
!
interface GigaEthernet2:1.1
ip address 192.168.101.253/24
encapsulation dot1q 10 tpid 8100
ip dhcp binding vlan10
bridge-group 1
!
interface GigaEthernet2:2.1
ip address 192.168.104.253/24
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
!
interface GigaEthernet2:3.1
ip address 192.168.105.253/24
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1
!
interface BVI1
bridge-group 1 **C2960-B拠点1/2**
ip default-gateway 192.168.101.254
ip name-server 192.168.101.254(プライマリDNSを投入するコマンドは無かったので、コチラで投入)
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk allowed vlan 10
switchport mode trunk
!
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk allowed vlan 20
switchport mode trunk
!
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk allowed vlan 30
switchport mode trunk
!
interface GigaEthernet0/4
switchport access vlan 10
switchport mode access
!
interface GigaEthernet0/5
switchport access vlan 10
switchport mode access **C2960-B拠点2/2**
!
interface Vlan10
ip address 192.168.101.251 255.255.255.0
!
interface Vlan20
ip address 192.168.104.251 255.255.255.0
!
interface Vlan30
ip address 192.168.105.251 255.255.255.0
※B拠点の(C2960catalyst)へL2スイッチ側・トランクポートの管理IPアドレスとして、192.168.101.***/24(A拠点、B拠点にて空いていて、L2スイッチに割り当て出来るIPアドレス)の投入を試してみましたが、「interface Vlan10・Vlan20・Vlan30」へ互いに同一セグメントの管理IPの投入(192.168.101.***/24)は不可でした(エラ-として・・% 192.168.101.0 overlaps with Vlan10)
また、interface GigaEthernet0/*へ直接の管理IPアドレス投入も同様に不可能でした
みなさま連投&スレ汚しお許しを..... >>202-206
A拠点の静的経路情報
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
は不要ですね
interface GigaEthernet2:1.1〜interface GigaEthernet2:3.1
IPアドレス192.168.101.254/24〜192.168.103.254/24
にて、タグVLANのグループを別ポートにて切っており、ポートベースVLANとタグVLANの併用モードになっています。
BVIインターフェイスのブリッジグループに統合していますので、同一のBVIグループにて、
EtherIP-IPSECトンネルに通す形になるかと存じます。
なりますね。
お持ちのC2960スイッチの機能・ライセンスですが、ポートVLANの設定をしました際
にそのポートをスイッチポートのトランキングが、タグVLANとISLしかグループの指定が
出来ない様ですので、C2960側のトランクポートをネイティブグループに追加をして頂く形になるかと思います。
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk native vlan 10
switchport trunk allowed vlan 10
switchport mode trunk
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk native vlan 20
switchport trunk allowed vlan 20
switchport mode trunk
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk native vlan 30
switchport trunk allowed vlan 30
switchport mode trunk
上記の設定にて、トランクポート対象のポートをポートVLAN・トランクモードの扱い
になるかと存じます。 >>202-206
続きです。
別の方法・基本的には、単一のポートに複数のポートVLANとVLANグループの追加は出来る筈なのですが、
要確認になります。
例
interface GigabitEthernet0/*** (IX2215間のトランクポート・ポートベースVLANを指定
switchport trunk native vlan 10-30
switchport trunk allowed vlan 10-30
switchport mode trunk
spanning-tree portfast trunk
あと、無線LANコントローラーのVLAN参加ですが、
トランクポートでは無く、アクセスポートになるかと存じます。
interface GigaEthernet0/5(Cisco 無線コントロ−ラ−へ)
switchport trunk allowed vlan 10-30
switchport mode access
C2960の他のポートについては、アクセスポートの設定がOKかと思います。 >>202-206
続きです。
EtherIP-IPSECトンネルのDDNS同士の接続、同一トンネルに複数のタグVLANを通す場合ですが、
ipsec local-id ipsec-policy1 192.168.101.254
ipsec remote-id ipsec-policy1 192.168.101.253
は不要かと思います。
あくまでも、どちらかのIPSECトンネルにVLAN10〜30までを通す場合になりますが。 >>207-211
B拠点の静的経路の件ですが、
ip route 192.168.104.0/24 192.168.101.251
ip route 192.168.105.0/24 192.168.101.251
ip route 192.168.104.0/24 Tunnel1.0
ip route 192.168.105.0/24 Tunnel1.0
は不要です。
代わりに、
ip route 192.168.102.0/24 Tunnel1.0
ip route 192.168.103.0/24 Tunnel1.0
VLANのIP関連ですが、既存のC2960のスイッチの機能・ライセンスの大凡野状況が解りましたので、
IPを分ける必要は無いかと思います。(下記へ変更)
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
interface GigaEthernet2:2.1
ip address 192.168.102.253/24
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
interface GigaEthernet2:3.1
ip address 192.168.103.253/24
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1 >>207-211
続きです。
C2960の件(B拠点)
VLANのトランクモードのポートVLANの状態の追加については、A拠点と同じです。
interface GigaEthernet0/1(IX2215 G2:1.1へ)
switchport trunk native vlan 10
switchport trunk allowed vlan 10
switchport mode trunk
interface GigaEthernet0/2(IX2215 G2:2.1へ)
switchport trunk native vlan 20
switchport trunk allowed vlan 20
switchport mode trunk
interface GigaEthernet0/3(IX2215 G2:3.1へ)
switchport trunk native vlan 30
switchport trunk allowed vlan 30
switchport mode trunk
他のポートについては、アクセスポートでOKです。
シスコの無線LANの接続もあるようでしたら、アクセスポートでOKかと思います。
B拠点のIX2215のEtherIP-IPSECの設定もですが、同一のIPSECトンネルに、複数のタグVLAN
を通す場合(DDNS運用)でしたら、
ipsec local-id ipsec-policy1 192.168.101.253
ipsec remote-id ipsec-policy1 192.168.101.254
は不要かと思います。 ヤフオクで、2105と2215が大量出品されていると嬉しいけど、ちょっと微妙。
お金ある人は新品買ってね。 >>202-211
シスコL2スイッチ、L3スイッチの場合ですが、あくまでもシスコのISRやASAなどのゲートウェイや
UTMなどに揃えた場合の機能になっています。
他社のルーターやセキュリティ関連のVLAN接続の相性、親和性の差が、iOS、iOS-XEのバージョン・モデルによって変わります。
他社製品が混在になっている場合については、シスコ側もサポートしていない部分もあるので、出来れば、他社製品でGUIなどから
設定が出来るタイプで、互換性があるとこ炉の製品を選択された方が良いかと思います。
シスコのネイティブVLAN・トランクモードと、VLANにIPアドレスを割り当てました場合について、
ネイティブVLANのシスコ仕様にて、VLAN-IDの優先順位が若番より優先される仕様になっていますことと、
シスコの無線LAN側のVLAN設定もネイティブVLAN-IDの設定を揃える、VLAN-IDを増やす場合には、
VLAN-ID毎にESS-IDを紐付ける設定になります。 >>218
いつもご教示ありがとうございます
色々と試してみたのですが・・・
IX2215(A・B)へコレを入れ
device GigaEthernet2
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3
ip dhcp profile vlan10
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150(※B拠点 102.151-102.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150(※B拠点 103.151-103.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254 interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
encapsulation dot1q 10 tpid 8100
ip dhcp binding vlan10
bridge-group 1
!
interface GigaEthernet2:2.1
ip address 192.168.102.254/24(※B拠点 253/24)
encapsulation dot1q 20 tpid 8100
ip dhcp binding vlan20
bridge-group 1
!
interface GigaEthernet2:3.1
ip address 192.168.103.254/24(※B拠点 253/24)
encapsulation dot1q 30 tpid 8100
ip dhcp binding vlan30
bridge-group 1
!
interface BVI1
bridge-group 1
Catalyst 2960 へ
interface GigabitEthernet0/8(※ここでご教示頂いたswitchport trunk native vlan**は投入不可でした)
switchport trunk allowed vlan 10-30
switchport mode trunk
このケースだと、私のC2960では他のアクセスポートへLANを挿してもリンクUP出来ないみたいです。
但し、この次のパタ-ンだとIX2215とC2960は疎通出来ます interface GigaEthernet2:1.1
encapsulation dot1q 10 tpid 8100
auto-connect
no ip address
ip proxy-arp
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
no ip address
ip proxy-arp
bridge-group 2
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
no ip address
ip proxy-arp
bridge-group 3
no shutdown
!
interface BVI1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan10
bridge-group 1
no shutdown
! interface BVI2
ip address 192.168.102.254/24(※B拠点 253/24)
ip dhcp binding vlan20
bridge-group 2
no shutdown
!
interface BVI3
ip address 192.168.103.254/24(※B拠点 253/24)
ip dhcp binding vlan30
bridge-group 3
no shutdown
ただ、これだと同一拠点内で疎通可能ですが、下図のTunnel部分から別拠点に向けて抜けれないですね
IX2215側のTunnel1.0でマルチbridge-group は不可能な様です
interface Tunnel1.0
tunnel mode ether-ip ipsec
no ip address
ip filter dhcp-sec 1 in
ip filter dhcpv6-sec 2 in
ip filter dhcp-pass 100 in
ipsec policy transport ipsec-policy1 with-id-payload
bridge-group 1(※bridge-group 1のみ投入可)
bridge ip tcp adjust-mss 1300
no shutdown IX2215のAとB間はPPPOEを利用して、Vlan10のみ疎通出来ています。
Vlan20とvlan30をTunnel1.0へ通す方法がネックですね~
ココでご指摘を受けた通り、IXとciscoスイッチの親和性の問題もあるかも知れませんね
明日も色々とやってみます
とりあえずのご報告とさせて頂きます
本日もスレ汚し&連投ゴメンナサイ....
ちなみに私は・・ オクで多数出品されているIX2207狙いですかね~ IX2105はUSBでデ-タやり取り出来ないからメンテするのがメンドクサイな~
安いけどw >>219-222
そうですか。
「switchport trunk native vlan」コマンドの投入出来ない時点で、ネイティブVLANに対応
出来ないライセンス・機能のスイッチですか、あり得ないですね。
確認ですが、シスコのL2スイッチのiOS-XE、iOSのバージョンはいくつですか?
iOS-XEのバージョンの場合ですが、17.3.X などのバージョンにて同CLIコマンドを
受け付ける様になっていたかと思います。
iOSのバージョンの場合には、15.2.6以降のバージョンの場合には、受付可能となっております。
モデルナンバーにより、dot1qのみの対応のL2スイッチであることが濃厚です。
失敗しましたね。
購入元に、2960スイッチの末尾型式・モデルナンバーを確認し、ネイティブVLAN機能
とISLが利用出来ないモデルであったことを確認された方が賢明です。
IX2215側の問題では無く、IX2215のBVI(シスコで言うSVI)のEtherIP-IPSECの設定もですが、
には、タグVLANのマルチセグメントの通信は出来ますが、IPSEC内部にて、インターフェイスの識別が
独自の識別を採用しているため、IPSEC側に透過出来ない状況かと存じます。 >>219-222
続きです。
L2スイッチを買い直しされた方が良いかと思います。
ちなみに、シスコAironetの無線LANの規格ですが、POE給電をしているタイプかと思いますが、
POEの給電方式もシスコ独自のCDP方式を採用、ネイティブVLANがデフォルトで、
タグVLANを追加することで、お持ちの2960側のタグ参加が出来るタイプかと存じます。
ネットギア製のL2スイッチには、CDP方式の通信を可能とするISDP規格の設定が出来るので、
ISDP規格のモードの設定をして、シスコのAironetのネイティブVLANグループとタグVLANグループの連携が出来る様になっています。
お持ちの2960スイッチですが、ネイティブVLANの追加がVLAN毎に出来ないタイプであること
の件ですが、モデルによりネイティブVLANのエントリー番号が1番のみエントリー出来るものもある
様ですので、確認頂いた方が良いかと思います。
要は、ネイティブVLAN(ポートVLANも併用可)のVLANエントリーが1番のみしか対応出来ないモデルか、
若しくは、全てのエントリーにてネイティブVLANが利用出来ないモデルで有ることが想定されるかと存じます。
もし、私の創造通りですと、
IX2215側(A拠点)
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan1
bridge-group 1
2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1
switchport mode trunk
interface GigaEthernet2:2.1〜interface GigaEthernet2:3.1 までのBVIグループを1番を指定
interface BVI1 〜 interface BVI3 までのBVIグループも1番を指定
interface Tunnel1.0 のEtherIP-IPSECトンネルのBVIグループも1番を指定
してみてもダメですと、2960スイッチ側のモデルの問題となります。 >>219-222
補足です
先ほどの設定の確認をして、ネイティブVLANがVLAN1に追加が出来たと言う条件ですが、
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
にして、ネイティブVLAN1番のVLANインターフェイスにVLANグループを許可を追加
してみて下さい >>219-222
補足です
ネイティブVLANエントリー1番の追加が出来た条件下ですが、
シスコの無線LAN、AironetのVLANエントリーもVLAN1にて利用出来る様にする必要があるかと思われます。
VLAN1配下にて、タグVLAN毎にESS-IDを設定されたい場合には、個別に追加と言うことになるかと思います。
EtherIP-IPSECトンネルには、複数のタグは通すことは出来る様になっていますが、
BVIグループは単一になっていますので、ブリッジグループは1番のみにして、
VLAN1、VLAN20〜30については、同一のブリッジグループにしてみて下さい。 >>219-222
シスコの2960スイッチのモデルによって、先ほどのVLAN10→VLAN1への変更が出来ず、
ネイティブVLANの設定も出来ないタイプとなりますと、先ほどのネットギアのL2スイッチにして、
ネットギアの無線LAN「WAX630」あたりにされた方が良いかと思います。
若しくは、NEC UNIVERGE-QXスイッチとQX-Q1130無線LANあたりになります。
NEC系のスイッチ・無線LANですと、IX2215にて利用設定されました、Netmeister-DDNS機能
と併せての機能にて、Netmeister機能でのクラウド連携管理が利用出来るようになります。 >>219-222
補足ですが、もしBuffalo-L2スイッチに変更するとなりますと、WEB-GUIから簡易的に
トランクポートVLAN(マルチプルVLANと言っていますが)の設定に、タグとネイティブVLAN
のエントリーが出来る様になっていますが、Aironetの無線LAN規格のCDP方式の給電方式に対応しておらず、
Airstation-Proへの買い直しが必須条件になります。
BuffaloのPOEの方式ですが、LLDP方式を採用しており、無線LAN装置もLLDP方式になります。
NECのUNIVERGE-QXは、CDP方式の設定は出来ること、ポートベースVLANの設定とタグVLAN、ネイティブVLANの設定は出来る様になっています。
他にそのインターフェイスについて、タグとネイティブを併存出来るハイブリッドモードの設定が出来る様になっています。
あと、別件のIX2207の件ですが、IPSEC-VPNの速度が遅いタイプになりますので、
ほぼ同額のIX2215の方が良いかと思いますが。 >>219-222
VLAN1をネイティブVLAN・トランクポートに出来そうでしたら、
VLAN1のアドレスは192.168.1.254/24(BVI1、ブリッジグループ1)、シスコ側で言う、
独自のポートVLANの機能になることと、そのネイティブVLANのVLAN1に、VLAN20〜VLAN30をグループ化
させる方法になります。
IX2215側では、既存のコンフィグですと、VLAN1もVLAN20、VLAN30もタグ扱いになりますが、
シスコのL2、L3スイッチのVLAN制御が独自の部分が御座いますため、NECやネットギアで言う、
ハイブリッドモードのVLANの運用までいかない可能性が御座いますが、
IX2215側のVLAN1のモードをタグが無いVLAN(ポートベースVLAN)にして頂く形になるかもしれません。
ポートベースVLAN+タグVLANの併用イメージになりますが、
その際には、2960のVLAN1側のIPアドレスを分けて決めて頂く形になるかと思われます。 >>230
続きです。
2960(A拠点側)
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
interface Vlan1
ip address 192.168.101.252 255.255.255.0
※ vlan10はそのまま、vlan1へ移管するイメージ
IX2215側のVLAN1側へのルーティング処理が必要になるかもしれませんね。
→シスコのVLAN制御・ネイティブVLANの仕様が独自のため
IX2215(A拠点側)
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
サブネットレベルが/24宛てのアクセスを、192.168.101.252のL2スイッチ側へ向けていますので、
B拠点側の同一セグメントを利用しサブネットの分割も必要になるかもしれません。
/24 → 192.168.102.1〜192.168.102.254
/25 → 192.168.102.1〜192.168.102.126、192.168.102.129〜192.168.102.254
サブネットの分割をして、A拠点とB拠点宛ての静的経路も分ける場合には、
IX2215(A拠点)
ip route 192.168.102.0/25 192.168.101.252
ip route 192.168.103.0/25 192.168.101.252
IX2215(B拠点)
ip route 192.168.102.128/25 192.168.101.***(***には、B拠点用のVLAN20のIPを設定、128〜254まで)
ip route 192.168.103.128/25 192.168.101.*** (***には、B拠点用のVLAN30のIPを設定、128〜254まで) >>224-231
たくさんご教示頂いてありがとうございます
スレ違いで申し訳ないのですが、AとB拠点のIX2215から下にぶら下がるCiscoスイッチは、C2960CGとなりファンレスタイプのコンパクトタイプのスイッチです。
他のスイッチも検討したのですが、自宅ユ-スではあまりにもファンの騒音が激しくてコチラにしました。
ただ...凄い熱持ちますね>>224
これw
show versionの結果を貼っておきます。 IOS-XEはコチラに存在せず、あくまでもIOSのみになります。
A拠点-2960
Switch#show version
Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2)E1, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Tue 18-Nov-14 16:29 by prod_rel_team
ROM: Bootstrap program is C2960C boot loader
BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFTWARE (fc1)
Switch uptime is 16 minutes
System returned to ROM by power-on
System restarted at 01:27:21 UTC Wed Mar 30 2011
System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-universalk9-mz.152-2.E1.bin"
Last reload reason: Unknown reason
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERSALK9-M ちなみにB拠点のスイッチはコチラです
B拠点-2960
Switch#sh version
Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Tue 18-Nov-14 16:29 by prod_rel_team
ROM: Bootstrap program is C2960C boot loader
BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFT
Switch uptime is 8 minutes
System returned to ROM by power-on
System restarted at 01:27:21 UTC Wed Mar 30 2011
System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-uni
Last reload reason: Unknown reason
witch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERS
アドバイス頂いた件で、いまからチャレンジしてみます。
ありがとうございます >>232-233
シスコのC2960CGスイッチだったのですね。
C2960XR系でしたら、どのポートにネイティブVLANに設定しても、タグVLANとネイティブVLAN
の併用にて動作する趣旨のCLIリファレンスが有ったのですが、C2960CGタイプですと、
デフォルトVLANでのネイティブVLANモードがVLAN1に限定されているモデルが有るようです。
同一のC2960Cモデルでも沢山御座いますので、ハズレの機種をご用意されたのが濃厚です。
iOSのバージョンが、15.2(2)ですので、比較的古いですね。
C2960C系でしたら、15.2(6)〜(7)が利用出来るモデルが有るのですが、
C2960C〜C2960Plus系でしたら、適用するiOSが比較的新しいものが利用可能なリリースが有るようです。 >>232-233
A拠点とB拠点の静的経路を/25サブネットで分けてルーティングさせる場合の件ですが、
A拠点のVLAN毎のIPアドレスも/25サブネット範囲に合致するように設定を変更しないといけませんので、
ご確認下さい。
例1 192.168.102.0/25、192.168.102.128/25 → VLAN20のL2スイッチのIPアドレス、DHCPサーバ範囲
例2 192.168.103.0/25、192.168.103.128/25 → VLAN30のL2スイッチのIPアドレス、DHCPサーバ範囲 >>225でアドバイス頂いた・・
>>
IX2215側(A拠点)
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan1
bridge-group 1
2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1
switchport mode trunk
interface GigaEthernet2:2.1~interface GigaEthernet2:3.1 までのBVIグループを1番を指定
interface BVI1 ~ interface BVI3 までのBVIグループも1番を指定
interface Tunnel1.0 のEtherIP-IPSECトンネルのBVIグループも1番を指定
してみてもダメですと、2960スイッチ側のモデルの問題となります。
の件で、IX2215側のBVIにipアドレスやdhcp profileのナンバ-を振っていかないと、Catalyst側では通信を受付けしない様です。他のセグメント(102.0/24と103.0/24)があるので、マルチになる関係でIXのBVIにipアドレスを投入出来ないですね~ そもそも、エラ-でIXから叱られますが。。
念の為に・・、ノ-トPCのLANドライバ-にてVLANの設定をして、本来であればC2960へ向かうLANケ-ブルを、直接ノ-トPCに挿すとIXとPCの疎通が出来ました。これはcatalyst 2960側の問題となりますね~ 素直にcatalystを挟むのを止めてIXのみで配線図を作ってみようと思います。
ただ、Ciscoの無線コントロ-ラ-をA拠点に置いてB拠点にてAironetのAPを遠隔利用しますので、IXと直接に疎通が出来るか問題になりそうですね
たくさんのアドバイスありがとうございます >>236
2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
にして、VLAN1・ネイティブVLANに、VLAN20〜30を紐付けて、
VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、
VLAN20〜VLAN30・BVI1に紐付ける方法はしましたか?
GigabitEthernet0/8 のみのトランクポートにして、VLAN1、VLAN20、VLAN30を
接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。
A拠点は、
VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、
VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、
DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか?
B拠点は、
VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、
VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、
DHCPプロファイルのルールも/25のルールにて分割
A拠点よりB拠点のVLAN20〜30宛ての静的ルーティングは、
ip route 192.168.102.128/25 Tunnel1.0
ip route 192.168.103.128/25 Tunnel1.0
B拠点よりA拠点のVLAN20〜30宛ての静的ルーティングは、
ip route 192.168.102.0/25 Tunnel1.0
ip route 192.168.103.0/25 Tunnel1.0
というイメージになるかと思いますが、お試し頂くと如何でしょうか? >>236
シスコのAironetの無線LANの件ですが、仕様的にデフォルトにて、
VLAN1のネイティブVLANを利用刷るようになっているかと思いますが、
そのネイティブVLANとIX2215のVLAN1のリンク次第となりますね。
サブネット/24の件ですが、/25のサブネットに変更して、A拠点とB拠点のVLANのIPアドレスと
DHCPサーバを分けるイメージですが、そちらも確認された方が良いかと思いました。 >>237
私の為にお時間頂きありがとうございます
やはり下記のコンフィグではIX2215とC2960間は通信不可能ですね。C2960の interface GigabitEthernet0/1 アクセスポ-トへ接続したノ-トPCはリンクupしないです
C2960側では switchport trunk native vlan 1 は仕様なのかコンフィグいれてもShow Run・・では表示されないみたいです
>>2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk
にして、VLAN1・ネイティブVLANに、VLAN20~30を紐付けて、VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、VLAN20~VLAN30・BVI1に紐付ける方法はしましたか?
IX2215側
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150
default-gateway 192.168.101.254
dns-server 192.168.101.254 interface GigaEthernet2:1.1
encapsulation dot1q 1 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.102.254/24
ip proxy-arp
ip dhcp binding vlan20
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
ip address 192.168.103.254/24
ip proxy-arp
ip dhcp binding vlan30
bridge-group 1
no shutdown
!
interface BVI1
no ip address
bridge-group 1
no shutdown C2960側
interface GigabitEthernet0/1
switchport mode access
!
interface GigabitEthernet0/2
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/3
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/8
switchport trunk allowed vlan 1-30
switchport mode trunk
!
interface Vlan1
ip address 192.168.101.252 255.255.255.0
!
interface Vlan10
no ip address
!
interface Vlan20
ip address 192.168.102.252 255.255.255.0
!
interface Vlan30
ip address 192.168.103.252 255.255.255.0 >>237
GigabitEthernet0/8 のみのトランクポートにして、VLAN1、VLAN20、VLAN30を
接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。
A拠点は、
VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、
VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、
DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか?
B拠点は、
VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、
VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、
DHCPプロファイルのルールも/25のルールにて分割
A拠点よりB拠点のVLAN20~30宛ての静的ルーティングは、
ip route 192.168.102.128/25 Tunnel1.0
ip route 192.168.103.128/25 Tunnel1.0
B拠点よりA拠点のVLAN20~30宛ての静的ルーティングは、
ip route 192.168.102.0/25 Tunnel1.0
ip route 192.168.103.0/25 Tunnel1.0
というイメージになるかと思いますが、お試し頂くと如何でしょうか?
ココでご指導頂いたいる内容ですが・・
コチラはIX2215とC2960の通信が確立した後で行うコンフィグ と言う認識で宜しいでしょうか??
何回もすみません・・
また、連投とスレ汚しゴメンナサイ >>239-242
interface GigaEthernet2:1.1
encapsulation dot1q 1 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge-group 1
no shutdown
↑のコマンドの内ですが、VLAN1のタグを外してみると如何でしょうか?
no encapsulation dot1q 1 tpid 8100
シスコのネイティブVLANですが、一般的な社外L2やL3スイッチのニュアンスと違う
部分が御座いますので、一般の社外ネットワーク装置とVLANリンクをする場合ですが、
ポートベースVLANとリンクが出来る場合があるとのことですが。
ただし、VLAN1のタグを外す形ですと、
IX2215側にて、静的ルーティング設定として、VLAN1側のIPアドレスへ、VLAN20とVLAN30側へのルーティング設定を
入れないと、VLAN20、VLAN30側へアクセスが出来ない形になるかと思いますが。
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
「ココでご指導頂いたいる内容ですが・・
コチラはIX2215とC2960の通信が確立した後で行うコンフィグ と言う認識で宜しいでしょうか?? 」
↑ その解釈でOKです。 >>243
ありがとうございます!!
何とかIX2215とC2960の通信が出来ました!!
C2960側のログを確認してみると・・・
Mar 30 01:28:17.374: %SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent peer vlan id 20 on GigabitEthernet0/8 VLAN30.
Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_PEER: Blocking GigabitEthernet0/8 on VLAN0020. Inconsistent peer vlan.
Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/8 on VLAN0030. Inconsistent local vlan.
のログがあったので、そのエラ-ログをググってみると情報があり、C2960のinterface GigabitEthernet0/8へ 「spanning-tree bpdufilter enable」 のコンフィグを入れると、無事にIX2215とC2960の通信が確立しました
ただ、ここでひとつ問題が起こりまして、VLAN10-30はC2960からIX2215まで通信出来るのですが、IX2215からネットへ出ていけない様です。interface GigaEthernet2:1.1-3に「bridge-group 1」が其々ありますが、利用していないinterfaceの「bridge-group 1」を削除するとインタ-ネット側へ出ていけます。
例えば・・
C2960側で
interface GigabitEthernet0/1
switchport access vlan 10
switchport mode access
へLANケ-ブルでPCに挿すと、PCにはVlan10(192.168.101.0/24)のアドレスがIXから下りてきますが、ネットへ接続出来ない状況となります。
そこで、IX2215側の
interface GigaEthernet2:1.2
interface GigaEthernet2:1.3
にある「「bridge-group 1」を削除すると、インタ-ネット(pppoe側)へ出て行ける状況です。
一度、C2960を撤去し、IXの下部へNetgear GS-108Ev3を挟んでvlan設定を行い様子を見ましたが、C2960と結果は同じですね。 何か私が間違っているところはございますでしょうか?? IX2215のこの部分ですね
ココの「bridge-group 1」を利用していないinterfaceから削除するとインタ-ネット側へ出ていけます。ただ、このBVIグル-プを削除or他番号を使うとTunnel1.0からB拠点側へ出ていけないという事になりますよね??
ただ、A拠点単独でC2960を挟んだ状態でテストしただけなので、B拠点を設置してIPSecを確立しての試験はまだしておりません
質問ばかりで申し訳ございませんが、アドバイスを頂けたら幸いです
IX2215(A拠点)
interface GigaEthernet2:1.1
encapsulation dot1q 10 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip dhcp binding vlan10
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.102.254/24
ip proxy-arp
ip dhcp binding vlan20
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
ip address 192.168.103.254/24
ip proxy-arp
ip dhcp binding vlan30
bridge-group 1
no shutdown >>244-245
A拠点のIX2215のブリッジインターフェイスのモードの追加をしませんと、NTT-HGWを経由している関係で
ネイティブVLANとタグVLANの制御がうまくいっていない状況、各DHCPサーバのネイティブVLAN、タグVLANのIPセグメントの
DNSサーバ、ネームサーバの名称解決が出来ていない状況が想定されます。
改めて、現時点のA拠点のIX2215のコンフィグ全体は明示可能でしょうか? >>244-245
補足ですが通常は考えにくいですが、PPPOE-NATセッションのNATインサイドのプライベートIPアドレスの部分ですが、
通常は、BVI・ブリッジインターフェイス側のアドレスを自動的に見に行く設定になっていますが、
明示的にNATインサイドの内側アドレスをアクセスリスト設定に追加しませんと、NATルート変換出来ていないかもしれません。 >>244-245
一応、念のためですが、IX2215のファームウェアバージョンがいくつかお教え下さい。
最新版は、10.6.64 になります。
確か、過去のファームウェアにてVLANやBVIの追加修正を行っていた時期が有ったかと思います。 >>244-245
あと、2960CGスイッチのトランクポートにネイティブVLANとタグVLANを併用するように
され、192.168.101.0/24からのアクセスはブリッジインターフェイスを外すとインターネットが出来たとのことですが、
通常の社外L2スイッチでは、
トランクポートとハイブリッドポートの機能の違いですが、
トランクポートのモードですが、イーサーネットフレーム単位でタグとネイティブを分割し、
ネイティブVLANのVLAN-IDを任意に設定が出来るのですが、ネイティブVLANとタグのVLANの優先順位として、
ネイティブVLANが優先され、タグVLANは排他制御となる機能になっている状況です。
ハイブリッドポートのモードですが、複数のタグなしVLANとタグ付きVLANを同時に使用できるモードで、プロトコルVLANで使用します。複数のタグなしVLANのうち、1つだけネイティブVLANとして登録出来る。
ポートベースVLANとタグVLAN、タグ無しVLANを単一のインターフェイスにて、
個別のものとして制御して制御するようになっています。
こちらのタグ無しとタグ有りの制御に問題が有るように見受けられます。
タグ無しとタグ有りの制御に問題があるL2スイッチとなります(ハイブリッドモードが利用出来ない)と、
ブリッジグループを分ける方法とEtherIP-IPSECのトンネルもブリッジ毎に分けないと
うまくいかない可能性が大きいですね。
IX2215のNATインサイドのアドレスのタグ、タグ無しの認識の問題が御座いますが、
ちなみに、お持ちのネットギアのVLAN制御の場合ですが、アンマネージタイプのスイッチでしたので、
ハイブリッドモードの運用については、全ての機能を利用出来ないタイプだったようです。
ただし、ネットギアのProPlus-WebGUIからの設定ですと、基本VLANの設定(ポートベースVLAN)では無く、
拡張VLANの設定(タグVLAN、タグ無しVLAN)の設定の同一グループの設定、VLANの優先順位の設定ですが、
PVIDのエントリーナンバーによって、若番より優先される設定になっています。
こちらの機能に制約があって、マネージタイプのスイッチですと、そちらを平行して処理出来る機能になっている
とのことです。 >>244-245
EtherIP-IPSECのVLAN、BVIとVLANのNATの件ですが、
PPPOE-NATインバウンドアドレスの認識がうまくいかないケースだった場合の件ですが、
NATのインバウンドアドレスの設定が可能ですので、原因の切り分けという形になるかと思いますが、
ご確認頂けると良いかと思われます。
設定例
VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合
ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
ip access-list vlan-in permit ip src 192.168.103.0/24 dest any
interface GigaEthernet0.1
ip napt inside list vlan-in
上記の設定にて、NAPTインバウンドアドレスを静的に指定が出来るかと存じます。
A拠点とB拠点のサブネットを分割して、/24より/25へ同一セグメント・IPアドレスを分ける
場合には、NAPTインバウンドアドレスのアクセスリストを変更する必要が有るかもしれません。 >>244-245
念のため、気になりましたので、私の所有していますテストルーター(IX2235)環境下で
下記のスイッチを所有しておりましたので、確認をしてみました。
・ UNIVERGE QX 「QX-S5124GT-4X」
L3スイッチでしたが、トランクポートにPVIDの設定を任意に設定が出来る。
デフォルトPVIDは、gigabitethernet 1/0/24でしたが、そちらのポートにトランクポート
ネイティブVLAN、タグVLAN、ポートベースVLANの併用は出来る、PVIDの変更は他のインターフェイスへ変更は出来る)
他のポートに、ネイティブVLANと、タグVLANの複数VLANの併用設定、ハイブリッドモードの運用は出来る。
→ 1/0/24(トランクポート、VLAN10、20、30のグループ連結)、1/0/1〜1/0/10までVLAN10のタグVLAN、1/0/10〜1/0/20までVLAN20のタグVLAN、1/0/21〜1/0/23までVLAN30のタグVLAN
の設定にて、IX2235のポートベースVLAN・BVIのトランクリンク、静的経路にてVLAN10〜30までの経路にてDHCPとインターネット接続のNATセッションは出来る >>244-245
続きです
・ FortiSwitch FS-124E-POE
こちらは、上位にFortigateの仮想コントローラー制御のモードの運用と、自走スイッチ制御のコントローラーモードの設定が出来る。
IX2235に直接接続されるモードですと、自走コントローラモードにて確認をしました。
自走にて仕様的にトランクポート対象のポートは、ポートベース、タグ付加の選択が出来る。
タグ付加の場合ですと、IX2235側のBVIとタグインターフェイスの連結が必要となるため、
ポートベースのみにしてトランクポート接続、その他のポートはアクセスポートになる部分は確認しました。
アクセスポートの設定側にて、タグ付加、ポートベースの選択はスイッチ側にて出来る。
VLAN20、30にタグを付けてVLAN10はIX2235のIPアドレスと共通のためポートベースのままにした。
IX2235側より静的経路にて、VLAN20、30宛てのルーティング処理として、スイッチのトランクポートに割り当てしました、
IPアドレスへルーティング経路を切り、VLAN20、30宛てにDHCPサーバのアドレスが振られることを確認しました。
先日のSTP機能(スパニングツリー)の部分については、IP衝突やブロードキャスト通信障害のための機能でしたが、
スイッチ側、IX2235側にてSTP機能をあえて明示すること無くIPアドレスの通信が出来る事を確認しました。
POE給電通信の機能ですが、双方ともシスコの通信方式(CDP方式)だけではなく、LLDP方式も設定にて対応出来る事を確認しました。 >>244-245
NEC UNIVERGE QXスイッチですが、NEC様の方にてH3C製のメーカーのOEMカスタム品になっています。
H3CのカスタムOSですが、日本HP系のスイッチのOSとほぼ操作性はイコールかと存じます。
慣れるまで多少時間はかかるかもしれません(WEB-GUIは利用可、Netmeisterのクラウド運用管理は可能)
Fortinet系のスイッチは、FortiOSのスイッチ版になっていますので、Fortigateの設定をされたことが御座いましたら、
そんなに苦労はしないかと思います。 >>251-253
すみません… お返事遅れました。
私の為に検証までして下さってとても感謝をしております。
先日お知らせご教示頂いた、NAPTインバウンドアドレスを投入もしながら、私のコンフィグでおかしな部分として少し思い当たる節もありました。
私の知識不足もあり、中々理解に時間が掛かる関係でお返事が遅れておりとても恐縮しております。
本日もう一度チャレンジしてみようと思っております。 後ほど、結果を報告させて頂きたいと思います。
いつもありがとうございます >>254
既存のIX2215のコンフィグの部分ですが、現時点のコンフィグを念のため、明示頂ければ、
確認は可能かと思います。 >>250
いつもありがとうございます。
>>設定例
VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合
ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
ip access-list vlan-in permit ip src 192.168.103.0/24 dest any
interface GigaEthernet0.1
ip napt inside list vlan-in
でご教示頂いた
設定例をA拠点IX2215に投入してみましたが、IX2215とC2960の通信OK C2960下部の端末からインタ-ネットへ出て行けない状況でした。
それとA・B拠点のIX2215は、最新ファ-ムウェアの10.6.64となります。
B拠点のコンフィグは誤って消してしまったので、A拠点のコンフィグのみとなりますが貼っておきます。
https://imgur.com/a/nP4Kx4m ■ このスレッドは過去ログ倉庫に格納されています
