NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
■ このスレッドは過去ログ倉庫に格納されています
>>184 >>185 続きです。 ↑ のような形になるかと存じます。 先述のお話の通り、GE0.0-I/Fには、NTT-HGWとDHCPv6-PDのアドレスが奪い合いのようなイメージにて、 IPV6アドレスが振られる場合が御座いますので、IX2215側には、IPV6アドレスはBVI側には配信しないようにする形に なるかと思います。 NTT-HGW系とIX2215のBVIインターフェイス間のカスケード接続での光電話認証をする場合には、 検証が必要になるかと思います。 GE2.0-I/Fのポート5〜6をHGW系のルートとしてイメージしていますので、 ポート5番からHGW系に接続、ポート6は、社内の無線LANアクセスポイント経由にて、 スマホ内線などをする場合のポートをイメージする形になるかと存じます。 よって、無線LANアクセスポイント側にて、通常のインターネットと音声内線用のVLANを 構成出来るタイプ、ESS-IDをVLAN毎に分ける形になるかと思います。 >>185-186 ご返事ありがとうございます 頂いた貴重なアドバイスから察すると、検証は必要との事ですがNVR500を撤去してIX2215のGE2.0側から直接NTT-HGWと接続するイメ-ジで宜しいでしょうか?? まだ私の知識が付いていけてないので、ご教示頂ければ幸いです。 NVRを撤去出来るのであれば、機器のコンセントや置き場所に余裕が出るので嬉しいですね~ NVR500はNTT-HGWのSIPクライアントとして利用していました。もちろんひかり電話はNTT-HGWに直収しています。 NVR500を設置した経緯として、IX2215がSIP-NATが無いとの情報を見た事があったからです(本来は性能が良いIXをSIPクライアントにしたかったのですが・・) >>182 を読ませて頂いたのですが、「bridge 1 bridge ipv6」のコンフィグをググってみると、とても良い勉強になりました ありがとうございます >>187 NTT-HGWとの接続の件ですが、IX2215のブリッジインターフェイスの一部機能、 プルーター機能を併用する形になりますね。 ポート5〜6番が利用中ということでしたら、GigaEthernet1.0のインターフェイスも空いている様ですので、 GigaEthernet1.0のインターフェイス、BVIインターフェイスにNTT-HGWと同一セグメントの IPアドレスをセカンダリ登録として設定することで、BVIインターフェイスからNTT-HGWへのLAN-IP アドレスへ通信は出来るかと思います。 例 NTT-HGW(192.168.0.1/24)の場合 interface GigaEthernet1.0 no ip address bridge-group 1 no shutdown interface BVI1 ip address 192.168.0.254/24 bridge-group 1 no shutdown ↑のような形ですと、NTT-HGWのLANポートより、IX2215のGigaEthernet1.0のポートに 追加増線して、BVIインターフェイスと紐付ける形のイメージになります。 >>187 NVR500を撤去する形の件ですが、NVR500のTELポートにFAX複合機や電話機を接続している場合には、 NTT-HGW側のTELポートを利用する形になりますね。 >>187 既存のNTT光電話有りのA拠点の件ですが、V6プラス・固定IP等の高帯域回線を利用する場合の件ですが、 光電話側の回線は、電話のみの光NEXTライトのコースで大丈夫かと思います。 V6プラス・固定IPの追加申込みの回線側を、光電話無しのデータ通信のみの回線の申込み が良いかと思います。 IX2215の光収容の設定により、 以下例 GE0.0-I/F(DHCPv6-PD) → VNEトンネル1(V6プラス・固定IP) 、BVI1-I/F側にIPV6アドレスをND-Proxyにて配信する形 GE1.0-I/F(NTT-HGWからの配線) → BVI1-I/FとブリッジングIPとする アドバイスありがとうございます。 ぜひ、このPPPOEでの接続が一段落すれば、次にipv6での折返し接続にチャレンジしたいと思います。 PPPOEの方は本日、NVR500の固定ipのセッションを外して、HUBも変えて再チャレンジしたいと思います。 お盆休みまでに終われるかなぁ~ >>191 そうですか。 光電話のVPNスマホ内線もされるようですから、国際電話などの通信含めて、不正ログインや 不正アクセス対策、アプリケーション制限やWebフィルタリング、サンドボックス対策、 他脆弱性対策のためですが、UTM等の装置を入れた方が良いかと思いますが。 ※ Fortigate61F、Fortigate80F、SonicWALL TZ670 等 >>192 すみません・・ もう少しアドバイス頂けたら助かります 最終的にリンクで貼った配線図を目指しています 調子が悪い馬鹿HUBも安物ですが新品交換を行い、3セッションになっていた環境を2セッションに戻しました。 AとB拠点のIX2215のみ設置の状況だと無事にIPSecで接続出来ました(VLANの設定は無し) ところが、ABの各拠点の下にL2スイッチ(WS-C2960CG-8TC-L)をそれぞれ設置を行い、IX2215のAとB拠点にて、VLAN10-VLAN30のコンフィグを入力したところ、スイッチ側のVLAN10アクセスポートではB拠点からA拠点を経由してインタ-ネットへ出ていけますが、VLAN20とVLAN30はB拠点からAへ出ていくどころかB拠点IX2215からDHCPも落ちてきません。 設定事例集等を確認はしたのですが、どうももうお手上げ状態です。 何かコンフィグで変な部分ありますでしょうか?? スレチになるかもしれませんが、念のためスイッチのコンフィグも貼らせて頂きます。 VLAN10~VLAN30は互いにアクセス出来ない様にしたいと思っております https://imgur.com/a/O5Nd9kR https://imgur.com/a/wXXxvtS https://imgur.com/a/WT3MYAD https://imgur.com/a/tjlGPqf https://imgur.com/a/bkbwnAV それと・・ 以前のご教示頂いた route-map r-map permit 10 match ip address access-list etherip-isp1 set ip next-hop 192.168.101.253 watch-group etherip-ipsec 10 event 10 ip unreach-host 192.168.101.254 Tunnel1.0 source BVI1 action 10 ipsec clear-sa Tunnel1.0 probe-counter variance 5 probe-counter restorer 3 probe-timer variance 60 probe-timer restorer 60 のコンフィグは一旦、仮で削除をしています。 それとアドバイス頂いたUTM導入についても、ココは勉強の機会と言うことで一度調べてみます。paloaltoのライセンス切れ古いのは持ってるのですが・・ 私の知識不足で質問ばかりで大変申し訳ございませんが、ご教示頂ければ幸いです >>193 あー、やっぱりシスコのL2スイッチの構成ですか。 IX2215からトランクポートの接続となりますと、その間はポートベースVLANでなければ 無理かと思いますが。 トランクリンクポートとして設定しましたグループへ、他のVLAN10〜30を参加する様に設定変更は出来ませんか? もし、IX2215のタグVLAN若しくはタグ無しVLANの構成をされた場合ですが、 トランクポートとIX2215間のタグ要件を分けないと、うまく通信が出来ない可能性が御座います。 ご指摘の図で言いますと、トランクポートのVLAN30とIX2215の間のVLANをポートベースVLAN 間にて接続して、L2スイッチ側・トランクポートの管理IPアドレスを、192.168.101.***/24(A拠点、B拠点にて空いていて、 L2スイッチに割り当て出来るIPアドレス)、デフォルトゲートウェイ192.168.101.254、プライマリDNS192.168.101.254 と設定し、VLAN20(仮に192.168.102.0/24)、VLAN30(仮に192.168.103.0/24)と 設定は可能でしょうか? VLANで分けるのであれば、IX2215側のIPと分割させないと、うまくいかないかと思います。 その場合には、IX2215側の静的ルーティング経路として、 ip route 192.168.102.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP) ip route 192.168.103.0/24 192.168.101.***(トランクポートのL2スイッチの割り当てIP) それと、IX2215のBVI2、BVI3のブリッジグループがおかしいので、全て1に変更可能でしょうか? bridge 1 group >>193 >>195 続きです。 ご指定のタグVLANの構成の場合ですと、タグVLANのグループエントリー10がトランクポート扱いになります。 対象インターフェイスは、GigaEthernet2:1.1 になります。 こちらのインターフェイスのタググループと、GigaEthernet2:1.2〜GigaEthernet2:1.3 が同一グループになるように、BVIインターフェイスの追加をしてみて下さい。 あと、VLAN間のルーティングをさせる場合にですが、 BVI1のインターフェイスに、セカンダリIPアドレスを設定しませんとVLAN間ルーティングが うまくいかない場合が御座います。(IX2215のタグVLANとカタリストのタグVLANの互換性の関連) それと、Ether-IP-IPSECのトンネルを複数作成されているようですが、 こちらは意味が無い構成です。 恐らく、Tunnel2.0〜Tunnel3.0の宛先トンネルですが、Tunnel1.0のエントリーにて、 A拠点とB拠点のIPSEC接続は確立をしていますので、 BVIインターフェイスを同一のブリッジグループにするぐらいでしょうか。 >>193 >>196 方法として整理すると、 ポートベースVLANとタグVLANを併用する場合 (1) IX2215と2960間のトランクポート接続をポートベースVLANで接続して、 そのポートベースVLANグループに、VLAN20〜30を参加させる。 (2) ポートベースVLANの場合には、静的ルーティング経路として、 192.168.102.0/24、192.168.103.0/24宛のルーティングをL2スイッチに向ける。 (3) この場合には、B拠点のVLAN20〜30を別のIPセグメントにしないとうまくいかない。 例 VLAN20(192.168.104.0/24)、VLAN30(192.168.105.0/24) (4) A拠点からB拠点のVLAN20〜VLAN30の静的経路をTunnel1.0に向ける 全てタグVLANにて構成する場合 (1) IX2215と2960間のトランクポート接続をタグVLANエントリー10で接続して、 そのグループに、VLAN20〜30を参加させる。 (2) タグVLANのBVIインターフェイスが、IX2215で言うトランクポートの扱いになりますので、 BVIインターフェイスのグループを共通にする。 >>197 アドバイスとても助かります 仰せのお話ですと… 1. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANID無し 2. IX2215とシスコスイッチ間の接続が、ポートベースVLAN&タグVLANIDあり 3. IX2215とシスコスイッチ間の接続が、タグVLAN&タグVLANIDあり な感じでしょうか。 私の知識がまだ不足しているので、間違えていればごめんなさい… 一番シンプルなコンフィグ構成が3ですね。 1はIXとスイッチ間のLANケーブルが増えそうですね。少し比較検討しながら再チャレンジしてみます。まだ知識不足で良く理解出来ていなのですが、2のパターンでやってみたいと思います。 3のパターンですと、VLAN10-30は全ての同じBVIグループになるので、VLAN間のアクセス許可の設定必要そうですね。 いつもありがとうございます。 スレチになるかも知れませんが、ciscoの無線コントローラーとAPが思わないところから手に入り、どうしても使ってみたくて複雑な構成になってしまいました。 土日利用して再度、チャレンジしてみます >>198 IX2215のタグVLANの機能と、シスコ2960のタグVLANの仕様が若干互換性の差が御座いますので、 一度、IX2215のVLANグループをピュアな方法からやり直してみる形が良いかと思います。 Device GigaEthernet2 vlan-group 1 port 1 2 3 4 vlan-group 2 port 5 vlan-group 3 port 6 interface GigaEthernet2:1.1〜2:1.4 と物理ポート1番の配下にサブインターフェイス を作成して、タグ付きVLANを設定されているようですので、 一度、トランクポート・ポートベースVLANのグループの設定を分けて、タグVLANの物理ポートを、 トランクポートと同一グループの設定を、2960側にて確認をすると良いかと思います。 端末台数が多い環境ですと、IX2215にタグ制御の設定までしてしまうと、若干負荷が高くなりますので、 IX2215配下にて、L3スイッチでのVLANルーティングの方が良いかと思います。 あと、WLCコントローラーと管理APですが、デフォルトにて、ネィティブVLANが優先する様になっていますので、 明示的にタグVLANのグループに属するエントリーにするか、若しくはトランクポート と共通のポートベースVLANのポートに属するかをご確認された方が良いかと思います。 シスコ系の無線LANですが、ネイティブVLANとタグVLAN、ポートベースVLANですが、 同一の物理インターフェイスの配下にサブインターフェイスとして想定すると、比較的 誤動作が有ったかと思います。 機能的には、タグVLANとネイティブVLANを共用出来ると公表しているのですが、 タグVLANとネイティブVLANを併用すると、エントリー番号が若番より優先されるようになっているのですが、 iOS-XEのバージョンの問題、若しくは不具合が比較的多いです。 以外と、シスコ系のコントローラーやAPは、他社製品との落とし穴が御座います。 IX2215と組み合わせる場合には、UNIVERGE-QXのL2若しくはL3スイッチ、 無線LANは、「QX-W1130」 等の方が良いかと思います。 >>198 >>199 シスコ系のL2スイッチ、L3スイッチに共通ですが、タグ付きVLAN、タグ無しVLANの通信 のiOS-XE等の制御・仕様ですが、他社製品のタグを解釈出来ない重大な問題が御座います。 何故か、VLAN多重化をしました際に、タグ付きVLANでタグの制御が出来ず、ネイティブVLANの構成にされた際に、 タグまで出力してしまうとか、かなりおかしい仕様が有ったかと思います。 L2スイッチ、L3スイッチ系にてメーカー相違でも互換性が高いラインナップですが、 NEC以外に、アライドテレシス、ネットギア、Buffalo系が、素直な動作をしました。 アライドテレシスは、ルーター系は良くないですが・・・。 >>198 >>200 シスコのL2、L3スイッチに共通でしたが、VLAN-ID1番のエントリーですが、ネイティブVLAN (タグ無しVLAN)が固定になっています。他のIXルーター等の他のネットワーク、WLCコントローラーAP 含めて、VLAN-IDエントリー1番を設定すると、他のVLAN-IDより優先する様になっており、 VLAN-IDを利用しIXルーターのトランクポートとのタグVLANを構成する場合には、 トランクポートの対象のVLAN-ID1番エントリーを利用するかどうかで、トランクポート対象の VLANモードが変ります。 よって、IXルーター間のトランクポート間の接続をタグVLAN系で想定する場合には、 トランクポート間は、ネイティブVLANで想定し、他のVLANグループ20〜30をタグ有りで構成し、 VLAN20〜30のアクセスポートをトランクポート・ネイティブVLANに参加させる方法を採らないと、 うまく通信が出来ない状況も想定されます。 IX2215とのトランクリンクの相性も御座いますが、トランクポートを ポートベースVLANにするか、ネイティブVLANにして、エントリ番号を若番にしないと、 他のタグVLANのトランクリンクが出来ない可能性が御座います。 >>195-197 いつも色々な知識教えて頂いてありがとうございます。 先日に教えて頂いた「ポートベースVLANとタグVLANを併用する場合」のパタ-ンでコンフィグ書いてみたのですが、こんなイメ-ジで宜しいでしょうか?? ただ、スレチで申し訳ないのですが、Ciscoスイッチ側でご教示頂いた管理IPを投入する事が出来ません。(※印で書かせて頂いた様な症状です) 私がまだ勘違いしている部分ありますでしょうか?? 一応、コンフィグは抜粋した部分のみとなります 少しどツボに嵌ってます....涙 **IX2215-A拠点1/2** ip route default GigaEthernet0.1 ip route 192.168.102.0/24 192.168.101.252 ip route 192.168.103.0/24 192.168.101.252 ip route 192.168.102.0/24 Tunnel1.0 ip route 192.168.103.0/24 Tunnel1.0 ! ip dhcp profile vlan10 assignable-range 192.168.101.1 192.168.101.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! ip dhcp profile vlan20 assignable-range 192.168.102.1 192.168.102.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! ip dhcp profile vlan30 assignable-range 192.168.103.1 192.168.103.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! device GigaEthernet2 vlan-group 1 port 1 vlan-group 2 port 2 vlan-group 3 port 3 **IX2215-A拠点2/2** interface GigaEthernet2:1.1 ip address 192.168.101.254/24 encapsulation dot1q 10 tpid 8100 ip dhcp binding vlan10 bridge-group 1 ! interface GigaEthernet2:2.1 ip address 192.168.102.254/24 encapsulation dot1q 20 tpid 8100 ip dhcp binding vlan20 bridge-group 1 ! interface GigaEthernet2:3.1 ip address 192.168.103.254/24 encapsulation dot1q 30 tpid 8100 ip dhcp binding vlan30 bridge-group 1 ! interface BVI1 bridge-group 1 **C2960-A拠点1/2** ip default-gateway 192.168.101.254 ip name-server 192.168.101.254(プライマリDNSを投入するコマンドは無かったので、コチラで投入) interface GigaEthernet0/1(IX2215 G2:1.1へ) switchport trunk allowed vlan 10 switchport mode trunk ! interface GigaEthernet0/2(IX2215 G2:2.1へ) switchport trunk allowed vlan 20 switchport mode trunk ! interface GigaEthernet0/3(IX2215 G2:3.1へ) switchport trunk allowed vlan 30 switchport mode trunk ! interface GigaEthernet0/4 switchport access vlan 10 switchport mode access ! interface GigaEthernet0/5 switchport access vlan 10 switchport mode access ! interface GigaEthernet0/5(Cisco 無線コントロ-ラ-へ) switchport trunk allowed vlan 10-30 switchport mode trunk **C2960-A拠点2/2** ! interface Vlan10 ip address 192.168.101.252 255.255.255.0 ! interface Vlan20 ip address 192.168.102.252 255.255.255.0 ! interface Vlan30 ip address 192.168.103.252 255.255.255.0 ※A拠点の(C2960catalyst)へL2スイッチ側・トランクポートの管理IPアドレスとして、192.168.101.***/24(A拠点、B拠点にて空いていて、L2スイッチに割り当て出来るIPアドレス)の投入を試してみましたが、「interface Vlan10・Vlan20・Vlan30」へ互いに同一セグメントの管理IPの投入(192.168.101.***/24)は不可でした(エラ-として・・% 192.168.101.0 overlaps with Vlan10) また、interface GigaEthernet0/*へ直接の管理IPアドレス投入も同様に不可能でした **IX2215-B拠点1/2** ip route default GigaEthernet0.1 ip route 192.168.104.0/24 192.168.101.251 ip route 192.168.105.0/24 192.168.101.251 ip route 192.168.104.0/24 Tunnel1.0 ip route 192.168.105.0/24 Tunnel1.0 ! ip dhcp profile vlan10 assignable-range 192.168.101.151 192.168.101.200 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! ip dhcp profile vlan20 assignable-range 192.168.104.1 192.168.104.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! ip dhcp profile vlan30 assignable-range 192.168.105.1 192.168.105.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! device GigaEthernet2 vlan-group 1 port 1 vlan-group 2 port 2 vlan-group 3 port 3 **IX2215-B拠点2/2** ! interface GigaEthernet2:1.1 ip address 192.168.101.253/24 encapsulation dot1q 10 tpid 8100 ip dhcp binding vlan10 bridge-group 1 ! interface GigaEthernet2:2.1 ip address 192.168.104.253/24 encapsulation dot1q 20 tpid 8100 ip dhcp binding vlan20 bridge-group 1 ! interface GigaEthernet2:3.1 ip address 192.168.105.253/24 encapsulation dot1q 30 tpid 8100 ip dhcp binding vlan30 bridge-group 1 ! interface BVI1 bridge-group 1 **C2960-B拠点1/2** ip default-gateway 192.168.101.254 ip name-server 192.168.101.254(プライマリDNSを投入するコマンドは無かったので、コチラで投入) interface GigaEthernet0/1(IX2215 G2:1.1へ) switchport trunk allowed vlan 10 switchport mode trunk ! interface GigaEthernet0/2(IX2215 G2:2.1へ) switchport trunk allowed vlan 20 switchport mode trunk ! interface GigaEthernet0/3(IX2215 G2:3.1へ) switchport trunk allowed vlan 30 switchport mode trunk ! interface GigaEthernet0/4 switchport access vlan 10 switchport mode access ! interface GigaEthernet0/5 switchport access vlan 10 switchport mode access **C2960-B拠点2/2** ! interface Vlan10 ip address 192.168.101.251 255.255.255.0 ! interface Vlan20 ip address 192.168.104.251 255.255.255.0 ! interface Vlan30 ip address 192.168.105.251 255.255.255.0 ※B拠点の(C2960catalyst)へL2スイッチ側・トランクポートの管理IPアドレスとして、192.168.101.***/24(A拠点、B拠点にて空いていて、L2スイッチに割り当て出来るIPアドレス)の投入を試してみましたが、「interface Vlan10・Vlan20・Vlan30」へ互いに同一セグメントの管理IPの投入(192.168.101.***/24)は不可でした(エラ-として・・% 192.168.101.0 overlaps with Vlan10) また、interface GigaEthernet0/*へ直接の管理IPアドレス投入も同様に不可能でした みなさま連投&スレ汚しお許しを..... >>202-206 A拠点の静的経路情報 ip route 192.168.102.0/24 192.168.101.252 ip route 192.168.103.0/24 192.168.101.252 は不要ですね interface GigaEthernet2:1.1〜interface GigaEthernet2:3.1 IPアドレス192.168.101.254/24〜192.168.103.254/24 にて、タグVLANのグループを別ポートにて切っており、ポートベースVLANとタグVLANの併用モードになっています。 BVIインターフェイスのブリッジグループに統合していますので、同一のBVIグループにて、 EtherIP-IPSECトンネルに通す形になるかと存じます。 なりますね。 お持ちのC2960スイッチの機能・ライセンスですが、ポートVLANの設定をしました際 にそのポートをスイッチポートのトランキングが、タグVLANとISLしかグループの指定が 出来ない様ですので、C2960側のトランクポートをネイティブグループに追加をして頂く形になるかと思います。 interface GigaEthernet0/1(IX2215 G2:1.1へ) switchport trunk native vlan 10 switchport trunk allowed vlan 10 switchport mode trunk interface GigaEthernet0/2(IX2215 G2:2.1へ) switchport trunk native vlan 20 switchport trunk allowed vlan 20 switchport mode trunk interface GigaEthernet0/3(IX2215 G2:3.1へ) switchport trunk native vlan 30 switchport trunk allowed vlan 30 switchport mode trunk 上記の設定にて、トランクポート対象のポートをポートVLAN・トランクモードの扱い になるかと存じます。 >>202-206 続きです。 別の方法・基本的には、単一のポートに複数のポートVLANとVLANグループの追加は出来る筈なのですが、 要確認になります。 例 interface GigabitEthernet0/*** (IX2215間のトランクポート・ポートベースVLANを指定 switchport trunk native vlan 10-30 switchport trunk allowed vlan 10-30 switchport mode trunk spanning-tree portfast trunk あと、無線LANコントローラーのVLAN参加ですが、 トランクポートでは無く、アクセスポートになるかと存じます。 interface GigaEthernet0/5(Cisco 無線コントロ−ラ−へ) switchport trunk allowed vlan 10-30 switchport mode access C2960の他のポートについては、アクセスポートの設定がOKかと思います。 >>202-206 続きです。 EtherIP-IPSECトンネルのDDNS同士の接続、同一トンネルに複数のタグVLANを通す場合ですが、 ipsec local-id ipsec-policy1 192.168.101.254 ipsec remote-id ipsec-policy1 192.168.101.253 は不要かと思います。 あくまでも、どちらかのIPSECトンネルにVLAN10〜30までを通す場合になりますが。 >>207-211 B拠点の静的経路の件ですが、 ip route 192.168.104.0/24 192.168.101.251 ip route 192.168.105.0/24 192.168.101.251 ip route 192.168.104.0/24 Tunnel1.0 ip route 192.168.105.0/24 Tunnel1.0 は不要です。 代わりに、 ip route 192.168.102.0/24 Tunnel1.0 ip route 192.168.103.0/24 Tunnel1.0 VLANのIP関連ですが、既存のC2960のスイッチの機能・ライセンスの大凡野状況が解りましたので、 IPを分ける必要は無いかと思います。(下記へ変更) ip dhcp profile vlan20 assignable-range 192.168.102.1 192.168.102.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ip dhcp profile vlan30 assignable-range 192.168.103.1 192.168.103.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 interface GigaEthernet2:2.1 ip address 192.168.102.253/24 encapsulation dot1q 20 tpid 8100 ip dhcp binding vlan20 bridge-group 1 interface GigaEthernet2:3.1 ip address 192.168.103.253/24 encapsulation dot1q 30 tpid 8100 ip dhcp binding vlan30 bridge-group 1 >>207-211 続きです。 C2960の件(B拠点) VLANのトランクモードのポートVLANの状態の追加については、A拠点と同じです。 interface GigaEthernet0/1(IX2215 G2:1.1へ) switchport trunk native vlan 10 switchport trunk allowed vlan 10 switchport mode trunk interface GigaEthernet0/2(IX2215 G2:2.1へ) switchport trunk native vlan 20 switchport trunk allowed vlan 20 switchport mode trunk interface GigaEthernet0/3(IX2215 G2:3.1へ) switchport trunk native vlan 30 switchport trunk allowed vlan 30 switchport mode trunk 他のポートについては、アクセスポートでOKです。 シスコの無線LANの接続もあるようでしたら、アクセスポートでOKかと思います。 B拠点のIX2215のEtherIP-IPSECの設定もですが、同一のIPSECトンネルに、複数のタグVLAN を通す場合(DDNS運用)でしたら、 ipsec local-id ipsec-policy1 192.168.101.253 ipsec remote-id ipsec-policy1 192.168.101.254 は不要かと思います。 ヤフオクで、2105と2215が大量出品されていると嬉しいけど、ちょっと微妙。 お金ある人は新品買ってね。 >>202-211 シスコL2スイッチ、L3スイッチの場合ですが、あくまでもシスコのISRやASAなどのゲートウェイや UTMなどに揃えた場合の機能になっています。 他社のルーターやセキュリティ関連のVLAN接続の相性、親和性の差が、iOS、iOS-XEのバージョン・モデルによって変わります。 他社製品が混在になっている場合については、シスコ側もサポートしていない部分もあるので、出来れば、他社製品でGUIなどから 設定が出来るタイプで、互換性があるとこ炉の製品を選択された方が良いかと思います。 シスコのネイティブVLAN・トランクモードと、VLANにIPアドレスを割り当てました場合について、 ネイティブVLANのシスコ仕様にて、VLAN-IDの優先順位が若番より優先される仕様になっていますことと、 シスコの無線LAN側のVLAN設定もネイティブVLAN-IDの設定を揃える、VLAN-IDを増やす場合には、 VLAN-ID毎にESS-IDを紐付ける設定になります。 >>218 いつもご教示ありがとうございます 色々と試してみたのですが・・・ IX2215(A・B)へコレを入れ device GigaEthernet2 vlan-group 1 port 1 vlan-group 2 port 2 vlan-group 3 port 3 ip dhcp profile vlan10 assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200) default-gateway 192.168.101.254 dns-server 192.168.101.254 ip dhcp profile vlan20 assignable-range 192.168.102.1 192.168.102.150(※B拠点 102.151-102.200) default-gateway 192.168.101.254 dns-server 192.168.101.254 ip dhcp profile vlan30 assignable-range 192.168.103.1 192.168.103.150(※B拠点 103.151-103.200) default-gateway 192.168.101.254 dns-server 192.168.101.254 interface GigaEthernet2:1.1 ip address 192.168.101.254/24(※B拠点 253/24) encapsulation dot1q 10 tpid 8100 ip dhcp binding vlan10 bridge-group 1 ! interface GigaEthernet2:2.1 ip address 192.168.102.254/24(※B拠点 253/24) encapsulation dot1q 20 tpid 8100 ip dhcp binding vlan20 bridge-group 1 ! interface GigaEthernet2:3.1 ip address 192.168.103.254/24(※B拠点 253/24) encapsulation dot1q 30 tpid 8100 ip dhcp binding vlan30 bridge-group 1 ! interface BVI1 bridge-group 1 Catalyst 2960 へ interface GigabitEthernet0/8(※ここでご教示頂いたswitchport trunk native vlan**は投入不可でした) switchport trunk allowed vlan 10-30 switchport mode trunk このケースだと、私のC2960では他のアクセスポートへLANを挿してもリンクUP出来ないみたいです。 但し、この次のパタ-ンだとIX2215とC2960は疎通出来ます interface GigaEthernet2:1.1 encapsulation dot1q 10 tpid 8100 auto-connect no ip address ip proxy-arp bridge-group 1 no shutdown ! interface GigaEthernet2:1.2 encapsulation dot1q 20 tpid 8100 auto-connect no ip address ip proxy-arp bridge-group 2 no shutdown ! interface GigaEthernet2:1.3 encapsulation dot1q 30 tpid 8100 auto-connect no ip address ip proxy-arp bridge-group 3 no shutdown ! interface BVI1 ip address 192.168.101.254/24(※B拠点 253/24) ip dhcp binding vlan10 bridge-group 1 no shutdown ! interface BVI2 ip address 192.168.102.254/24(※B拠点 253/24) ip dhcp binding vlan20 bridge-group 2 no shutdown ! interface BVI3 ip address 192.168.103.254/24(※B拠点 253/24) ip dhcp binding vlan30 bridge-group 3 no shutdown ただ、これだと同一拠点内で疎通可能ですが、下図のTunnel部分から別拠点に向けて抜けれないですね IX2215側のTunnel1.0でマルチbridge-group は不可能な様です interface Tunnel1.0 tunnel mode ether-ip ipsec no ip address ip filter dhcp-sec 1 in ip filter dhcpv6-sec 2 in ip filter dhcp-pass 100 in ipsec policy transport ipsec-policy1 with-id-payload bridge-group 1(※bridge-group 1のみ投入可) bridge ip tcp adjust-mss 1300 no shutdown IX2215のAとB間はPPPOEを利用して、Vlan10のみ疎通出来ています。 Vlan20とvlan30をTunnel1.0へ通す方法がネックですね~ ココでご指摘を受けた通り、IXとciscoスイッチの親和性の問題もあるかも知れませんね 明日も色々とやってみます とりあえずのご報告とさせて頂きます 本日もスレ汚し&連投ゴメンナサイ.... ちなみに私は・・ オクで多数出品されているIX2207狙いですかね~ IX2105はUSBでデ-タやり取り出来ないからメンテするのがメンドクサイな~ 安いけどw >>219-222 そうですか。 「switchport trunk native vlan」コマンドの投入出来ない時点で、ネイティブVLANに対応 出来ないライセンス・機能のスイッチですか、あり得ないですね。 確認ですが、シスコのL2スイッチのiOS-XE、iOSのバージョンはいくつですか? iOS-XEのバージョンの場合ですが、17.3.X などのバージョンにて同CLIコマンドを 受け付ける様になっていたかと思います。 iOSのバージョンの場合には、15.2.6以降のバージョンの場合には、受付可能となっております。 モデルナンバーにより、dot1qのみの対応のL2スイッチであることが濃厚です。 失敗しましたね。 購入元に、2960スイッチの末尾型式・モデルナンバーを確認し、ネイティブVLAN機能 とISLが利用出来ないモデルであったことを確認された方が賢明です。 IX2215側の問題では無く、IX2215のBVI(シスコで言うSVI)のEtherIP-IPSECの設定もですが、 には、タグVLANのマルチセグメントの通信は出来ますが、IPSEC内部にて、インターフェイスの識別が 独自の識別を採用しているため、IPSEC側に透過出来ない状況かと存じます。 >>219-222 続きです。 L2スイッチを買い直しされた方が良いかと思います。 ちなみに、シスコAironetの無線LANの規格ですが、POE給電をしているタイプかと思いますが、 POEの給電方式もシスコ独自のCDP方式を採用、ネイティブVLANがデフォルトで、 タグVLANを追加することで、お持ちの2960側のタグ参加が出来るタイプかと存じます。 ネットギア製のL2スイッチには、CDP方式の通信を可能とするISDP規格の設定が出来るので、 ISDP規格のモードの設定をして、シスコのAironetのネイティブVLANグループとタグVLANグループの連携が出来る様になっています。 お持ちの2960スイッチですが、ネイティブVLANの追加がVLAN毎に出来ないタイプであること の件ですが、モデルによりネイティブVLANのエントリー番号が1番のみエントリー出来るものもある 様ですので、確認頂いた方が良いかと思います。 要は、ネイティブVLAN(ポートVLANも併用可)のVLANエントリーが1番のみしか対応出来ないモデルか、 若しくは、全てのエントリーにてネイティブVLANが利用出来ないモデルで有ることが想定されるかと存じます。 もし、私の創造通りですと、 IX2215側(A拠点) ip dhcp profile vlan1 assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200) default-gateway 192.168.101.254 dns-server 192.168.101.254 interface GigaEthernet2:1.1 ip address 192.168.101.254/24(※B拠点 253/24) ip dhcp binding vlan1 bridge-group 1 2960側 interface GigabitEthernet0/8 switchport trunk native vlan 1 switchport trunk allowed vlan 1 switchport mode trunk interface GigaEthernet2:2.1〜interface GigaEthernet2:3.1 までのBVIグループを1番を指定 interface BVI1 〜 interface BVI3 までのBVIグループも1番を指定 interface Tunnel1.0 のEtherIP-IPSECトンネルのBVIグループも1番を指定 してみてもダメですと、2960スイッチ側のモデルの問題となります。 >>219-222 補足です 先ほどの設定の確認をして、ネイティブVLANがVLAN1に追加が出来たと言う条件ですが、 interface GigabitEthernet0/8 switchport trunk native vlan 1 switchport trunk allowed vlan 1-30 switchport mode trunk にして、ネイティブVLAN1番のVLANインターフェイスにVLANグループを許可を追加 してみて下さい >>219-222 補足です ネイティブVLANエントリー1番の追加が出来た条件下ですが、 シスコの無線LAN、AironetのVLANエントリーもVLAN1にて利用出来る様にする必要があるかと思われます。 VLAN1配下にて、タグVLAN毎にESS-IDを設定されたい場合には、個別に追加と言うことになるかと思います。 EtherIP-IPSECトンネルには、複数のタグは通すことは出来る様になっていますが、 BVIグループは単一になっていますので、ブリッジグループは1番のみにして、 VLAN1、VLAN20〜30については、同一のブリッジグループにしてみて下さい。 >>219-222 シスコの2960スイッチのモデルによって、先ほどのVLAN10→VLAN1への変更が出来ず、 ネイティブVLANの設定も出来ないタイプとなりますと、先ほどのネットギアのL2スイッチにして、 ネットギアの無線LAN「WAX630」あたりにされた方が良いかと思います。 若しくは、NEC UNIVERGE-QXスイッチとQX-Q1130無線LANあたりになります。 NEC系のスイッチ・無線LANですと、IX2215にて利用設定されました、Netmeister-DDNS機能 と併せての機能にて、Netmeister機能でのクラウド連携管理が利用出来るようになります。 >>219-222 補足ですが、もしBuffalo-L2スイッチに変更するとなりますと、WEB-GUIから簡易的に トランクポートVLAN(マルチプルVLANと言っていますが)の設定に、タグとネイティブVLAN のエントリーが出来る様になっていますが、Aironetの無線LAN規格のCDP方式の給電方式に対応しておらず、 Airstation-Proへの買い直しが必須条件になります。 BuffaloのPOEの方式ですが、LLDP方式を採用しており、無線LAN装置もLLDP方式になります。 NECのUNIVERGE-QXは、CDP方式の設定は出来ること、ポートベースVLANの設定とタグVLAN、ネイティブVLANの設定は出来る様になっています。 他にそのインターフェイスについて、タグとネイティブを併存出来るハイブリッドモードの設定が出来る様になっています。 あと、別件のIX2207の件ですが、IPSEC-VPNの速度が遅いタイプになりますので、 ほぼ同額のIX2215の方が良いかと思いますが。 >>219-222 VLAN1をネイティブVLAN・トランクポートに出来そうでしたら、 VLAN1のアドレスは192.168.1.254/24(BVI1、ブリッジグループ1)、シスコ側で言う、 独自のポートVLANの機能になることと、そのネイティブVLANのVLAN1に、VLAN20〜VLAN30をグループ化 させる方法になります。 IX2215側では、既存のコンフィグですと、VLAN1もVLAN20、VLAN30もタグ扱いになりますが、 シスコのL2、L3スイッチのVLAN制御が独自の部分が御座いますため、NECやネットギアで言う、 ハイブリッドモードのVLANの運用までいかない可能性が御座いますが、 IX2215側のVLAN1のモードをタグが無いVLAN(ポートベースVLAN)にして頂く形になるかもしれません。 ポートベースVLAN+タグVLANの併用イメージになりますが、 その際には、2960のVLAN1側のIPアドレスを分けて決めて頂く形になるかと思われます。 >>230 続きです。 2960(A拠点側) interface GigabitEthernet0/8 switchport trunk native vlan 1 switchport trunk allowed vlan 1-30 switchport mode trunk interface Vlan1 ip address 192.168.101.252 255.255.255.0 ※ vlan10はそのまま、vlan1へ移管するイメージ IX2215側のVLAN1側へのルーティング処理が必要になるかもしれませんね。 →シスコのVLAN制御・ネイティブVLANの仕様が独自のため IX2215(A拠点側) ip route 192.168.102.0/24 192.168.101.252 ip route 192.168.103.0/24 192.168.101.252 サブネットレベルが/24宛てのアクセスを、192.168.101.252のL2スイッチ側へ向けていますので、 B拠点側の同一セグメントを利用しサブネットの分割も必要になるかもしれません。 /24 → 192.168.102.1〜192.168.102.254 /25 → 192.168.102.1〜192.168.102.126、192.168.102.129〜192.168.102.254 サブネットの分割をして、A拠点とB拠点宛ての静的経路も分ける場合には、 IX2215(A拠点) ip route 192.168.102.0/25 192.168.101.252 ip route 192.168.103.0/25 192.168.101.252 IX2215(B拠点) ip route 192.168.102.128/25 192.168.101.***(***には、B拠点用のVLAN20のIPを設定、128〜254まで) ip route 192.168.103.128/25 192.168.101.*** (***には、B拠点用のVLAN30のIPを設定、128〜254まで) >>224-231 たくさんご教示頂いてありがとうございます スレ違いで申し訳ないのですが、AとB拠点のIX2215から下にぶら下がるCiscoスイッチは、C2960CGとなりファンレスタイプのコンパクトタイプのスイッチです。 他のスイッチも検討したのですが、自宅ユ-スではあまりにもファンの騒音が激しくてコチラにしました。 ただ...凄い熱持ちますね>>224 これw show versionの結果を貼っておきます。 IOS-XEはコチラに存在せず、あくまでもIOSのみになります。 A拠点-2960 Switch#show version Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2)E1, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2014 by Cisco Systems, Inc. Compiled Tue 18-Nov-14 16:29 by prod_rel_team ROM: Bootstrap program is C2960C boot loader BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFTWARE (fc1) Switch uptime is 16 minutes System returned to ROM by power-on System restarted at 01:27:21 UTC Wed Mar 30 2011 System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-universalk9-mz.152-2.E1.bin" Last reload reason: Unknown reason Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERSALK9-M ちなみにB拠点のスイッチはコチラです B拠点-2960 Switch#sh version Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2014 by Cisco Systems, Inc. Compiled Tue 18-Nov-14 16:29 by prod_rel_team ROM: Bootstrap program is C2960C boot loader BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFT Switch uptime is 8 minutes System returned to ROM by power-on System restarted at 01:27:21 UTC Wed Mar 30 2011 System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-uni Last reload reason: Unknown reason witch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERS アドバイス頂いた件で、いまからチャレンジしてみます。 ありがとうございます >>232-233 シスコのC2960CGスイッチだったのですね。 C2960XR系でしたら、どのポートにネイティブVLANに設定しても、タグVLANとネイティブVLAN の併用にて動作する趣旨のCLIリファレンスが有ったのですが、C2960CGタイプですと、 デフォルトVLANでのネイティブVLANモードがVLAN1に限定されているモデルが有るようです。 同一のC2960Cモデルでも沢山御座いますので、ハズレの機種をご用意されたのが濃厚です。 iOSのバージョンが、15.2(2)ですので、比較的古いですね。 C2960C系でしたら、15.2(6)〜(7)が利用出来るモデルが有るのですが、 C2960C〜C2960Plus系でしたら、適用するiOSが比較的新しいものが利用可能なリリースが有るようです。 >>232-233 A拠点とB拠点の静的経路を/25サブネットで分けてルーティングさせる場合の件ですが、 A拠点のVLAN毎のIPアドレスも/25サブネット範囲に合致するように設定を変更しないといけませんので、 ご確認下さい。 例1 192.168.102.0/25、192.168.102.128/25 → VLAN20のL2スイッチのIPアドレス、DHCPサーバ範囲 例2 192.168.103.0/25、192.168.103.128/25 → VLAN30のL2スイッチのIPアドレス、DHCPサーバ範囲 >>225 でアドバイス頂いた・・ >> IX2215側(A拠点) ip dhcp profile vlan1 assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200) default-gateway 192.168.101.254 dns-server 192.168.101.254 interface GigaEthernet2:1.1 ip address 192.168.101.254/24(※B拠点 253/24) ip dhcp binding vlan1 bridge-group 1 2960側 interface GigabitEthernet0/8 switchport trunk native vlan 1 switchport trunk allowed vlan 1 switchport mode trunk interface GigaEthernet2:2.1~interface GigaEthernet2:3.1 までのBVIグループを1番を指定 interface BVI1 ~ interface BVI3 までのBVIグループも1番を指定 interface Tunnel1.0 のEtherIP-IPSECトンネルのBVIグループも1番を指定 してみてもダメですと、2960スイッチ側のモデルの問題となります。 の件で、IX2215側のBVIにipアドレスやdhcp profileのナンバ-を振っていかないと、Catalyst側では通信を受付けしない様です。他のセグメント(102.0/24と103.0/24)があるので、マルチになる関係でIXのBVIにipアドレスを投入出来ないですね~ そもそも、エラ-でIXから叱られますが。。 念の為に・・、ノ-トPCのLANドライバ-にてVLANの設定をして、本来であればC2960へ向かうLANケ-ブルを、直接ノ-トPCに挿すとIXとPCの疎通が出来ました。これはcatalyst 2960側の問題となりますね~ 素直にcatalystを挟むのを止めてIXのみで配線図を作ってみようと思います。 ただ、Ciscoの無線コントロ-ラ-をA拠点に置いてB拠点にてAironetのAPを遠隔利用しますので、IXと直接に疎通が出来るか問題になりそうですね たくさんのアドバイスありがとうございます >>236 2960側 interface GigabitEthernet0/8 switchport trunk native vlan 1 switchport trunk allowed vlan 1-30 switchport mode trunk にして、VLAN1・ネイティブVLANに、VLAN20〜30を紐付けて、 VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、 VLAN20〜VLAN30・BVI1に紐付ける方法はしましたか? GigabitEthernet0/8 のみのトランクポートにして、VLAN1、VLAN20、VLAN30を 接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。 A拠点は、 VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、 VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、 DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか? B拠点は、 VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、 VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、 DHCPプロファイルのルールも/25のルールにて分割 A拠点よりB拠点のVLAN20〜30宛ての静的ルーティングは、 ip route 192.168.102.128/25 Tunnel1.0 ip route 192.168.103.128/25 Tunnel1.0 B拠点よりA拠点のVLAN20〜30宛ての静的ルーティングは、 ip route 192.168.102.0/25 Tunnel1.0 ip route 192.168.103.0/25 Tunnel1.0 というイメージになるかと思いますが、お試し頂くと如何でしょうか? >>236 シスコのAironetの無線LANの件ですが、仕様的にデフォルトにて、 VLAN1のネイティブVLANを利用刷るようになっているかと思いますが、 そのネイティブVLANとIX2215のVLAN1のリンク次第となりますね。 サブネット/24の件ですが、/25のサブネットに変更して、A拠点とB拠点のVLANのIPアドレスと DHCPサーバを分けるイメージですが、そちらも確認された方が良いかと思いました。 >>237 私の為にお時間頂きありがとうございます やはり下記のコンフィグではIX2215とC2960間は通信不可能ですね。C2960の interface GigabitEthernet0/1 アクセスポ-トへ接続したノ-トPCはリンクupしないです C2960側では switchport trunk native vlan 1 は仕様なのかコンフィグいれてもShow Run・・では表示されないみたいです >>2960 側 interface GigabitEthernet0/8 switchport trunk native vlan 1 switchport trunk allowed vlan 1-30 switchport mode trunk にして、VLAN1・ネイティブVLANに、VLAN20~30を紐付けて、VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、VLAN20~VLAN30・BVI1に紐付ける方法はしましたか? IX2215側 ip dhcp profile vlan1 assignable-range 192.168.101.1 192.168.101.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! ip dhcp profile vlan20 assignable-range 192.168.102.1 192.168.102.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 ! ip dhcp profile vlan30 assignable-range 192.168.103.1 192.168.103.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 interface GigaEthernet2:1.1 encapsulation dot1q 1 tpid 8100 auto-connect ip address 192.168.101.254/24 ip proxy-arp ip dhcp binding vlan1 bridge-group 1 no shutdown ! interface GigaEthernet2:1.2 encapsulation dot1q 20 tpid 8100 auto-connect ip address 192.168.102.254/24 ip proxy-arp ip dhcp binding vlan20 bridge-group 1 no shutdown ! interface GigaEthernet2:1.3 encapsulation dot1q 30 tpid 8100 auto-connect ip address 192.168.103.254/24 ip proxy-arp ip dhcp binding vlan30 bridge-group 1 no shutdown ! interface BVI1 no ip address bridge-group 1 no shutdown C2960側 interface GigabitEthernet0/1 switchport mode access ! interface GigabitEthernet0/2 switchport access vlan 20 switchport mode access ! interface GigabitEthernet0/3 switchport access vlan 30 switchport mode access ! interface GigabitEthernet0/8 switchport trunk allowed vlan 1-30 switchport mode trunk ! interface Vlan1 ip address 192.168.101.252 255.255.255.0 ! interface Vlan10 no ip address ! interface Vlan20 ip address 192.168.102.252 255.255.255.0 ! interface Vlan30 ip address 192.168.103.252 255.255.255.0 >>237 GigabitEthernet0/8 のみのトランクポートにして、VLAN1、VLAN20、VLAN30を 接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。 A拠点は、 VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、 VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、 DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか? B拠点は、 VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、 VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、 DHCPプロファイルのルールも/25のルールにて分割 A拠点よりB拠点のVLAN20~30宛ての静的ルーティングは、 ip route 192.168.102.128/25 Tunnel1.0 ip route 192.168.103.128/25 Tunnel1.0 B拠点よりA拠点のVLAN20~30宛ての静的ルーティングは、 ip route 192.168.102.0/25 Tunnel1.0 ip route 192.168.103.0/25 Tunnel1.0 というイメージになるかと思いますが、お試し頂くと如何でしょうか? ココでご指導頂いたいる内容ですが・・ コチラはIX2215とC2960の通信が確立した後で行うコンフィグ と言う認識で宜しいでしょうか?? 何回もすみません・・ また、連投とスレ汚しゴメンナサイ >>239-242 interface GigaEthernet2:1.1 encapsulation dot1q 1 tpid 8100 auto-connect ip address 192.168.101.254/24 ip proxy-arp ip dhcp binding vlan1 bridge-group 1 no shutdown ↑のコマンドの内ですが、VLAN1のタグを外してみると如何でしょうか? no encapsulation dot1q 1 tpid 8100 シスコのネイティブVLANですが、一般的な社外L2やL3スイッチのニュアンスと違う 部分が御座いますので、一般の社外ネットワーク装置とVLANリンクをする場合ですが、 ポートベースVLANとリンクが出来る場合があるとのことですが。 ただし、VLAN1のタグを外す形ですと、 IX2215側にて、静的ルーティング設定として、VLAN1側のIPアドレスへ、VLAN20とVLAN30側へのルーティング設定を 入れないと、VLAN20、VLAN30側へアクセスが出来ない形になるかと思いますが。 ip route 192.168.102.0/24 192.168.101.252 ip route 192.168.103.0/24 192.168.101.252 「ココでご指導頂いたいる内容ですが・・ コチラはIX2215とC2960の通信が確立した後で行うコンフィグ と言う認識で宜しいでしょうか?? 」 ↑ その解釈でOKです。 >>243 ありがとうございます!! 何とかIX2215とC2960の通信が出来ました!! C2960側のログを確認してみると・・・ Mar 30 01:28:17.374: %SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent peer vlan id 20 on GigabitEthernet0/8 VLAN30. Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_PEER: Blocking GigabitEthernet0/8 on VLAN0020. Inconsistent peer vlan. Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/8 on VLAN0030. Inconsistent local vlan. のログがあったので、そのエラ-ログをググってみると情報があり、C2960のinterface GigabitEthernet0/8へ 「spanning-tree bpdufilter enable」 のコンフィグを入れると、無事にIX2215とC2960の通信が確立しました ただ、ここでひとつ問題が起こりまして、VLAN10-30はC2960からIX2215まで通信出来るのですが、IX2215からネットへ出ていけない様です。interface GigaEthernet2:1.1-3に「bridge-group 1」が其々ありますが、利用していないinterfaceの「bridge-group 1」を削除するとインタ-ネット側へ出ていけます。 例えば・・ C2960側で interface GigabitEthernet0/1 switchport access vlan 10 switchport mode access へLANケ-ブルでPCに挿すと、PCにはVlan10(192.168.101.0/24)のアドレスがIXから下りてきますが、ネットへ接続出来ない状況となります。 そこで、IX2215側の interface GigaEthernet2:1.2 interface GigaEthernet2:1.3 にある「「bridge-group 1」を削除すると、インタ-ネット(pppoe側)へ出て行ける状況です。 一度、C2960を撤去し、IXの下部へNetgear GS-108Ev3を挟んでvlan設定を行い様子を見ましたが、C2960と結果は同じですね。 何か私が間違っているところはございますでしょうか?? IX2215のこの部分ですね ココの「bridge-group 1」を利用していないinterfaceから削除するとインタ-ネット側へ出ていけます。ただ、このBVIグル-プを削除or他番号を使うとTunnel1.0からB拠点側へ出ていけないという事になりますよね?? ただ、A拠点単独でC2960を挟んだ状態でテストしただけなので、B拠点を設置してIPSecを確立しての試験はまだしておりません 質問ばかりで申し訳ございませんが、アドバイスを頂けたら幸いです IX2215(A拠点) interface GigaEthernet2:1.1 encapsulation dot1q 10 tpid 8100 auto-connect ip address 192.168.101.254/24 ip dhcp binding vlan10 bridge-group 1 no shutdown ! interface GigaEthernet2:1.2 encapsulation dot1q 20 tpid 8100 auto-connect ip address 192.168.102.254/24 ip proxy-arp ip dhcp binding vlan20 bridge-group 1 no shutdown ! interface GigaEthernet2:1.3 encapsulation dot1q 30 tpid 8100 auto-connect ip address 192.168.103.254/24 ip proxy-arp ip dhcp binding vlan30 bridge-group 1 no shutdown >>244-245 A拠点のIX2215のブリッジインターフェイスのモードの追加をしませんと、NTT-HGWを経由している関係で ネイティブVLANとタグVLANの制御がうまくいっていない状況、各DHCPサーバのネイティブVLAN、タグVLANのIPセグメントの DNSサーバ、ネームサーバの名称解決が出来ていない状況が想定されます。 改めて、現時点のA拠点のIX2215のコンフィグ全体は明示可能でしょうか? >>244-245 補足ですが通常は考えにくいですが、PPPOE-NATセッションのNATインサイドのプライベートIPアドレスの部分ですが、 通常は、BVI・ブリッジインターフェイス側のアドレスを自動的に見に行く設定になっていますが、 明示的にNATインサイドの内側アドレスをアクセスリスト設定に追加しませんと、NATルート変換出来ていないかもしれません。 >>244-245 一応、念のためですが、IX2215のファームウェアバージョンがいくつかお教え下さい。 最新版は、10.6.64 になります。 確か、過去のファームウェアにてVLANやBVIの追加修正を行っていた時期が有ったかと思います。 >>244-245 あと、2960CGスイッチのトランクポートにネイティブVLANとタグVLANを併用するように され、192.168.101.0/24からのアクセスはブリッジインターフェイスを外すとインターネットが出来たとのことですが、 通常の社外L2スイッチでは、 トランクポートとハイブリッドポートの機能の違いですが、 トランクポートのモードですが、イーサーネットフレーム単位でタグとネイティブを分割し、 ネイティブVLANのVLAN-IDを任意に設定が出来るのですが、ネイティブVLANとタグのVLANの優先順位として、 ネイティブVLANが優先され、タグVLANは排他制御となる機能になっている状況です。 ハイブリッドポートのモードですが、複数のタグなしVLANとタグ付きVLANを同時に使用できるモードで、プロトコルVLANで使用します。複数のタグなしVLANのうち、1つだけネイティブVLANとして登録出来る。 ポートベースVLANとタグVLAN、タグ無しVLANを単一のインターフェイスにて、 個別のものとして制御して制御するようになっています。 こちらのタグ無しとタグ有りの制御に問題が有るように見受けられます。 タグ無しとタグ有りの制御に問題があるL2スイッチとなります(ハイブリッドモードが利用出来ない)と、 ブリッジグループを分ける方法とEtherIP-IPSECのトンネルもブリッジ毎に分けないと うまくいかない可能性が大きいですね。 IX2215のNATインサイドのアドレスのタグ、タグ無しの認識の問題が御座いますが、 ちなみに、お持ちのネットギアのVLAN制御の場合ですが、アンマネージタイプのスイッチでしたので、 ハイブリッドモードの運用については、全ての機能を利用出来ないタイプだったようです。 ただし、ネットギアのProPlus-WebGUIからの設定ですと、基本VLANの設定(ポートベースVLAN)では無く、 拡張VLANの設定(タグVLAN、タグ無しVLAN)の設定の同一グループの設定、VLANの優先順位の設定ですが、 PVIDのエントリーナンバーによって、若番より優先される設定になっています。 こちらの機能に制約があって、マネージタイプのスイッチですと、そちらを平行して処理出来る機能になっている とのことです。 >>244-245 EtherIP-IPSECのVLAN、BVIとVLANのNATの件ですが、 PPPOE-NATインバウンドアドレスの認識がうまくいかないケースだった場合の件ですが、 NATのインバウンドアドレスの設定が可能ですので、原因の切り分けという形になるかと思いますが、 ご確認頂けると良いかと思われます。 設定例 VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合 ip access-list vlan-in permit ip src 192.168.101.0/24 dest any ip access-list vlan-in permit ip src 192.168.102.0/24 dest any ip access-list vlan-in permit ip src 192.168.103.0/24 dest any interface GigaEthernet0.1 ip napt inside list vlan-in 上記の設定にて、NAPTインバウンドアドレスを静的に指定が出来るかと存じます。 A拠点とB拠点のサブネットを分割して、/24より/25へ同一セグメント・IPアドレスを分ける 場合には、NAPTインバウンドアドレスのアクセスリストを変更する必要が有るかもしれません。 >>244-245 念のため、気になりましたので、私の所有していますテストルーター(IX2235)環境下で 下記のスイッチを所有しておりましたので、確認をしてみました。 ・ UNIVERGE QX 「QX-S5124GT-4X」 L3スイッチでしたが、トランクポートにPVIDの設定を任意に設定が出来る。 デフォルトPVIDは、gigabitethernet 1/0/24でしたが、そちらのポートにトランクポート ネイティブVLAN、タグVLAN、ポートベースVLANの併用は出来る、PVIDの変更は他のインターフェイスへ変更は出来る) 他のポートに、ネイティブVLANと、タグVLANの複数VLANの併用設定、ハイブリッドモードの運用は出来る。 → 1/0/24(トランクポート、VLAN10、20、30のグループ連結)、1/0/1〜1/0/10までVLAN10のタグVLAN、1/0/10〜1/0/20までVLAN20のタグVLAN、1/0/21〜1/0/23までVLAN30のタグVLAN の設定にて、IX2235のポートベースVLAN・BVIのトランクリンク、静的経路にてVLAN10〜30までの経路にてDHCPとインターネット接続のNATセッションは出来る >>244-245 続きです ・ FortiSwitch FS-124E-POE こちらは、上位にFortigateの仮想コントローラー制御のモードの運用と、自走スイッチ制御のコントローラーモードの設定が出来る。 IX2235に直接接続されるモードですと、自走コントローラモードにて確認をしました。 自走にて仕様的にトランクポート対象のポートは、ポートベース、タグ付加の選択が出来る。 タグ付加の場合ですと、IX2235側のBVIとタグインターフェイスの連結が必要となるため、 ポートベースのみにしてトランクポート接続、その他のポートはアクセスポートになる部分は確認しました。 アクセスポートの設定側にて、タグ付加、ポートベースの選択はスイッチ側にて出来る。 VLAN20、30にタグを付けてVLAN10はIX2235のIPアドレスと共通のためポートベースのままにした。 IX2235側より静的経路にて、VLAN20、30宛てのルーティング処理として、スイッチのトランクポートに割り当てしました、 IPアドレスへルーティング経路を切り、VLAN20、30宛てにDHCPサーバのアドレスが振られることを確認しました。 先日のSTP機能(スパニングツリー)の部分については、IP衝突やブロードキャスト通信障害のための機能でしたが、 スイッチ側、IX2235側にてSTP機能をあえて明示すること無くIPアドレスの通信が出来る事を確認しました。 POE給電通信の機能ですが、双方ともシスコの通信方式(CDP方式)だけではなく、LLDP方式も設定にて対応出来る事を確認しました。 >>244-245 NEC UNIVERGE QXスイッチですが、NEC様の方にてH3C製のメーカーのOEMカスタム品になっています。 H3CのカスタムOSですが、日本HP系のスイッチのOSとほぼ操作性はイコールかと存じます。 慣れるまで多少時間はかかるかもしれません(WEB-GUIは利用可、Netmeisterのクラウド運用管理は可能) Fortinet系のスイッチは、FortiOSのスイッチ版になっていますので、Fortigateの設定をされたことが御座いましたら、 そんなに苦労はしないかと思います。 >>251-253 すみません… お返事遅れました。 私の為に検証までして下さってとても感謝をしております。 先日お知らせご教示頂いた、NAPTインバウンドアドレスを投入もしながら、私のコンフィグでおかしな部分として少し思い当たる節もありました。 私の知識不足もあり、中々理解に時間が掛かる関係でお返事が遅れておりとても恐縮しております。 本日もう一度チャレンジしてみようと思っております。 後ほど、結果を報告させて頂きたいと思います。 いつもありがとうございます >>254 既存のIX2215のコンフィグの部分ですが、現時点のコンフィグを念のため、明示頂ければ、 確認は可能かと思います。 >>250 いつもありがとうございます。 >>設定例 VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合 ip access-list vlan-in permit ip src 192.168.101.0/24 dest any ip access-list vlan-in permit ip src 192.168.102.0/24 dest any ip access-list vlan-in permit ip src 192.168.103.0/24 dest any interface GigaEthernet0.1 ip napt inside list vlan-in でご教示頂いた 設定例をA拠点IX2215に投入してみましたが、IX2215とC2960の通信OK C2960下部の端末からインタ-ネットへ出て行けない状況でした。 それとA・B拠点のIX2215は、最新ファ-ムウェアの10.6.64となります。 B拠点のコンフィグは誤って消してしまったので、A拠点のコンフィグのみとなりますが貼っておきます。 https://imgur.com/a/nP4Kx4m それと、色々試してみた結果 「BVI」 がネックになってるかと思い、A・B拠点共にコンフィグを書き直してみました。 結果、A・B拠点共にIX2215側とC2960.側で通信は出来るのですが、A拠点とB拠点のIPSecが通らなくなります。 恐らくIX2215側の仕様なのかと思っております。 サブインタ-フェイスを切って、bridge-group が同じのサブインタ-フェイスを複数作ったら挙動がおかしくなるのかな? 接続として・・ IX2215 GE2:1.1-3 →→→→ C2960 port8(トランクモ-ド vlan1-30) IX2215 GE2:2.1-3 →→→→ C2960 port7(トランクモ-ド vlan1-30) C2960 port1(アクセスモ-ド vlan10) →→ PC な感じでしております。 少しお手上げ状態ですねコレ.. 素直にNECのスイッチを買うべきかもしれませんね IX2215のA・B拠点コンフィグを貼っておきます https://imgur.com/a/pGjbFNG https://imgur.com/a/iQSwUff はあ~ もう疲れたぽ... >>256-258 コンフィグの確認を致しました。 単一のEtherIP-IPSECに複数のタグを通す部分、NetmeisterDDNSのメインモード接続のケースですが、 IPSECのローカルID、リモートIDは、複数のタグを通す関係上、不要になるかと存じます。 不要な項目(A拠点) ipsec local-id ipsec-policy1 192.168.101.254 ipsec remote-id ipsec-policy1 192.168.101.253 不要な項目(B拠点) ipsec local-id ipsec-policy1 192.168.101.253 ipsec remote-id ipsec-policy1 192.168.101.254 各コンフィグは確認致します。 >>258 トランクモードでのトランクリンクの要件(下記) IX2215 GE2:1.1-3 →→→→ C2960 port8(トランクモ−ド vlan1-30) IX2215 GE2:2.1-3 →→→→ C2960 port7(トランクモ−ド vlan1-30) でしたが、 シスコのデフォルトVLAN(NEC、ネットギアなどにてPVIDと言っていますが)、IX2215間のBVIインターフェイス間のタグ処理が出来ない場合に VLAN1の方のネイティブVLANのリンク(IX2215間のリンクをVLAN1にする必要があるかもしれませんが) VLAN1のデフォルトVLANの部分を利用して、そのデフォルトVLANのセグメントにタグ10、タグ20、タグ30を通す形のイメージになるのですが。 IX2215のトランクリンク間のBVIインターフェイスの条件ですが、 interface BVI1 ip address 192.168.101.254/24 ip dhcp binding vlan1 (VLAN10は利用しません) bridge-group 5 IX2215間のトランクリンク・インターフェイスのネイティブVLAN間のリンクですが、 VLAN10のアドレス192.168.101.0/24をBVIインターフェイスと紐付けていますので、 その間のみのトランクリンク自体は、タグ無しでなければいけない状況になるかと存じます。 IX2215とのネイティブVLAN間の接続(シスコで言う対向側がタグに対応出来ないVLAN)との接続を 行うためには、IX2215側はポートベースでなければいけない形になります。 GE2.0-I/FのポートベースVLANで利用するポートの指定 設定例(物理ポート1〜3番をポートVLANで利用する設定例) Device GigaEthernet2 vlan-group 1 port 1 vlan-group 1 port 2 vlan-geoup 1 port 3 ご指定の利用では、C2960との接続のポートのみの指定で良いかと思います。 (port 2〜3の指定は不要かもしれません、IX2215で言うVLAN1の確保) ポートベースVLANの設定切替(シスコのネイティブVLAN、VLAN1とのトランクリンクの接続、192.168.101.254/24の割り当てをする ポートの指定) interface GigaEthernet2:1.0 auto-connect bridge-group 5 no shutdown >>258-260 続きです。 タグVLANグループの設定を限定する(タグ、VLAN10の設定、インターフェイス関係は利用しない、削除する) interface GigaEthernet2:1.2 encapsulation dot1q 20 tpid 8100 no ip address bridge-group 5 no shutdown interface GigaEthernet2:1.3 encapsulation dot1q 30 tpid 8100 no ip address bridge-group 5 no shutdown BVI2〜BVI3のタグのブリッジグループの変更 interface BVI2 ip address 192.168.102.254/24 ip dhcp binding vlan20 bridge-group 5 interface BVI3 ip address 192.168.103.254/24 ip dhcp binding vlan30 bridge-group 5 IX2215 → C2960のトランクリンク・VLAN1間をポートベースVLANで切る形になりますが、 IX2215から、VLAN20、VLAN30へのルーティング処理を要求する形になりますので、 ip route 192.168.102.0/24 192.168.101.252 ip route 192.168.103.0/24 192.168.101.252 ※ C2960側のトランクポートに割り当てするIPアドレスが、192.168.101.252であることを確認する。 タグVLAN間のセッション接続に問題が有る場合のトランクリンクにタグを同居させる場合の設定例になります。 >>260 補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、 IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、 IPアドレス(192.168.101.254/24の割り当て)をして、タグVLANのブリッジグループと同一グループにする形になりますが、 IX2215のインターフェイスの設定ですが、 interface GigaEthernet2.Z.0 (Zの欄がVLANグループの番号になります) >>260 普段の運用管理として、ポートベースVLANとタグVLANの混合モードになりますので、 他社のL3、L2スイッチの部分ですと、ハイブリッドモードに相当する形になりますね。 シスコのアクセスポートの設定にしている、ポートのIPアドレス制御の機能に依存する部分になるかと思います。 やはり、NECのUNIVERGE QXのL3スイッチ、L2スイッチあたりにされた方が良いかと思いますね。 端末数によっては、今後の管理がシスコスイッチ系ですと、大変になりそうです。 シスコのAironetの無線LANのPOE給電仕様ですが、CDP機能での通信機能になりますので、 UNIVERGE QXのPOE給電モードをCDPモードにする形になるかと存じます。 出来れば、UNIVERGE QX-Wの無線LANにされた方が良いかと思いますが。 >>258-261 A拠点のポートベースVLANのVLAN1のDHCPサーバのプロファイルですが、VLAN10から移行をして下さい。 ip dhcp prtofile vlan1 assignable-range 192.168.101.1 192.168.101.150 default-gateway 192.168.101.254 dns-server 192.168.101.254 >>258-261 B拠点のコンフィグの件ですが、基本のVLANがポートベースになりますので、 device GigaEthernet2 vlan-group 1 port 1 vlan-group 1 port 2 vlan-group 1 port 3 ブリッジインターフェイスとVLAN1用のDHCPプロファイルですが、 interface BVI1 ip address 192.168.101.253/24 ip dhcp binding vlan1 bridge-group 5 にして、VLAN10のDHCPプロファイルは削除して下さい。(VLAN1用のDHCPプロファイル追加) no ip dhcp-profile vlan10 ip dhcp prtofile vlan1 assignable-range 192.168.101.150 192.168.101.200 default-gateway 192.168.101.254 dns-server 192.168.101.254 それと、GE2.0-I/Fにブリッジインターフェイスの設定が無い(A拠点、B拠点とも) interface GigaEthernet2.0 bridge-group 5 としてください。 B拠点のポートベースVLAN(VLAN1)の設定移行 interface GigaEthernet2:1.0 auto-connect bridge-group 5 no shutdown タグVLAN10のインターフェイスは削除 no interface GigaEthernet2:1.1 タグVLAN20、30のインターフェイスはそのままでOK >>258-265 続きです。 BVI2〜BVI3のインターフェイスのブリッジグループの変更 interface BVI2 ip address 192.168.102.253/24 ip dhcp binding vlan20 bridge-group 5 interface BVI3 ip address 192.168.103.253/24 ip dhcp binding vlan30 bridge-group 5 EtherIP-IPSECのトンネルのブリッジレベルですが、bridge-group 5 になっていましたので、 全てbridge-group 5 にする形になります。 インターネット接続が出来なくなる件ですが、恐らくですが、IX2215の物理インターフェイス GE2.0-I/Fの配下にてBVIグループを組んでいますので、GE2.0-I/Fに bridge-group 5 の エントリーが外れてしまっていたのが一因かと思います。(以下にて) PPPOEセッションにてNATのインバウンドアドレスを参照するのは、あくまでもGE2.0-I/F配下の ブリッジインターフェイスとタグインターフェイスになります。 昨日のインバウンドアドレスの設定は解除で良いかと思います。 no ip access-list vlan-in permit ip src 192.168.101.0/24 dest any no ip access-list vlan-in permit ip src 192.168.102.0/24 dest any no ip access-list vlan-in permit ip src 192.168.103.0/24 dest any interface GigaEthernet0.1 no ip napt inside list vlan-in >>266 シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。 VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。 >>259-267 IX2215からのトランクポート(ポートベースVLAN1、2960はネイティブVLAN参加) トランクポートに参加するタグVLANはVLAN20〜VLAN30 BVIのブリッジグループは、エントリー5を指定されていましたので、IPSECの部分も含めてエントリー5で統一 物理インターフェイス(GE2.0-I/F)もエントリー5を追加 PPPOE-NATセッションが参照先のNATインバウンドアドレスは、BVIグループ(GE2.0-I/F、VLAN1、VLAN20、VLAN30) IX2215側にて、シスコのC2960のトランクポートを認識出来るモードがポートベースVLAN(VLAN1) シスコの無線LANのVLAN参加は、ネイティブVLAN(VLAN1)になる。 >>259-268 貴重なお時間を頂きとてもありがとうございます。 今から再チャレンジします。 補足で頂いたアドバイスの中で、2点ほどご質問させて下さい AとB拠点のIXでポ-トVLANを作成する時に device GigaEthernet2 vlan-group 1 port 1 vlan-group 1 port 2 vlan-group 1 port 3 コチラでご教示を頂いていますが、全て同じ 「vlan-group 1 」 にすると言う事で宜しいでしょうか?? >>シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。 VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。 >>シスコの無線LANのVLAN参加は、ネイティブVLAN(VLAN1)になる。 それとコチラのアドバイスの内容は ※C2960から「無線コントロ-ラ-」または「Aironet」の接続は、アクセスモ-ドでVlan1として接続 上記の内容で宜しいでしょうか?? 確か・・ Vlan1同士で無線コントロ-ラ-とApが接続さえすれば、capwapトンネル で、無線コントロ-ラ-よりAPから吹く電波のセグメント(101.0/24~103.0/24)は指定出来たモノと認識しております。 もし、私の認識が誤っていればご教示頂ければ幸いです >>269 「AとB拠点のIXでポ−トVLANを作成する時に device GigaEthernet2 vlan-group 1 port 1 vlan-group 1 port 2 vlan-group 1 port 3 コチラでご教示を頂いていますが、全て同じ 「vlan-group 1 」 にすると言う事で宜しいでしょうか??」 ↑ の件ですが、シスコのネイティブVLAN(デフォルトVLAN、VLAN1)に合わせる形ですと、 IX2215では、ポートベースVLANの物理VLANのグループのエントリーになります。 よって、GigaEthernet2 に設定されたVLANグループのエントリーナンバー1が紐付ける形になります。 当然、そのVLAN1のグループが、シスコで言うトランクポートの優先エントリーになります。 シスコのAironetの無線LANの設定項目に、ネイティブVLANのグループエントリーが有るかと思いますが、 そのエントリーになります。そのデフォルトエントリーとは別に、タグVLAN側にESS-IDと紐付けるVLANが有りましたら、 VLAN20、VLAN30のエントリーとESS-IDを追加登録します。 ネイティブVLAN(VLAN1)は、IX2215のポートベースVLANの vlan-group 1のエントリーのDHCP範囲内のIP体系になりますので、 192.168.101.***/24になります。 追加にて、VLAN20とVLAN30のエントリーを作成して、そのESS-ID宛てに接続すると、タグVLAN側での接続になりますので、 タグ側では、192.168.102.***/24、192.168.103.***/24のIPアドレスが割り当てになるイメージになるかと思います。 AirnetのデフォルトVLANセグメントのネットワーク同士の管理コントローラー側とサブコントローラー側の接続になるかと存じます。 よって、管理コントローラー側にて、タグ側エントリーの追加とESS-IDの追加をすると、 有線LANバックホール接続のイメージにて、サブコントローラーへその設定が反映する形になるかと思います。 >>270 タグVLAN20とタグVLAN側のIPアドレス等の設定、DHCPの設定関係ですが、 シスコの仕様がまだ不確定要素が有るかもしれません。 ケースにより、BVI2〜BVI3のブリッジインターフェイスを作成するのでは無く、 タグインターフェイスに直接IPアドレスとDHCPのプロファイルの紐付けをする形になるかもしれません。 設定例 interface GigaEthernet 2:1.2 encapsulation dot1q 20 tripd 8100 auto-connect ip address 192.168.102.253/24 ip dhcp binding vlan20 bridge-group 5 no shuitdown interface GigaEthernet 2:1.3 encapsulation dot1q 30 tripd 8100 auto-connect ip address 192.168.103.253/24 ip dhcp binding vlan30 bridge-group 5 no shuitdown ↑ の様なイメージとなりますと、VLAN1のセグメントにて接続して、その配下にて、 VLAN20、VLAN30のプロファイルがぶら下がる形になるかと存じます。 ※ この形ですと、BVI2とBVI3の設定が不要になるかもしれません。 >>270-271 シスコのスイッチの独自のライセンス契約・機能の兼ね合いが御座いますため、 IXルーター側の公開マニュアルの内容には未掲載のカスタマイズになる可能性があるかもしれないと言うことになります。 >>270 ご返信ありがとうございます。 今からやってみます。 たくさんのアドバイスとても感謝致します >>270-272 IPネットワークの構成イメージですが(念のため) IX2215のGigaEthernet2.0インターフェイス(BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け) → GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ → C2960のトランクポートは1系統のみの接続 → GigaEthernet2:1.2(タグVLAN20、bridge-group5、192.168.102.253/24) → GigaEthernet2:1.3(タグVLAN30、bridge-group5、192168.103.253/24) → EtherIP-IPSEC(Tunnel1.0、bridge-group5、ローカルID、リモートID無し) → 静的ルーティング経路設定( ip route 192.168.102.0/24 192.168.101.252、ip route 192.168.103.0/24 192.168.101.252、ネイティブVLANのトランクポートに割り当てしましたC2960のIPアドレス宛) と言うイメージになるかと思います。 >>270-274 補足ですが、このようなポートベースVLANとタグVLANを併用するような設定になりますと、 セキュリティ面にて、何らかのファクターが出るかもしれませんね。 IX2215とC2960の間にFortigate等の装置を入れる場合には、 FortigateのWAN側とLAN側にポートベースとタグを通過出来るようにインターフェイスの設定を入れて、 ポートベースとタグ毎のセキュリティポリシーの設定が必要になるかもしれません。 → Fortigateのトランスペアレントブリッジモードの設定イメージ。 >>274 「IX2215のGigaEthernet2.0インターフェイス(BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け) → GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ」 GigaEthernet2:1.0〜GigaEthernet2:3.0 にも bridge-group 5 の割り当てをして下さいね。 >>266 何回も質問ごめんなさい。 >> BVI2~BVI3のインターフェイスのブリッジグループの変更 interface BVI2 ip address 192.168.102.253/24 ip dhcp binding vlan20 bridge-group 5 interface BVI3 ip address 192.168.103.253/24 ip dhcp binding vlan30 bridge-group 5 の部分なのですが、IXの仕様なのか、BVI1に既に 「bridge-group 5」 を投入しているので他のBVIに 「bridge-group 5」 を投入出来ない様です。 % BVI is already assigned to group 5 のエラ-コ-ドで弾かれてしまいます。 何か他に良い策ってございますでしょうか?? >>277 BVIインターフェイスには、性質上ですが、ブリッジグループの条件は単一ですので、 複数のBVIインターフェイスには別のブリッジグループの設定しか出来ません。 それは、富士通のSi-Rルーターや、アライドテレシスのルーター、シスコのISR、ASAも同じです。 よって対案としては、 BVI1のエントリーに、セカンダリIPアドレスの追加をする。 ※ 192.168.102.253/24、192.168.103.253/24 等 → これは、今回の環境の構成には、マッチング出来ないかと思います。 もう一つの方法は、BVI2〜BVI3を削除して、タグVLANのインターフェイスに直接 IPアドレス、DHCPサーバ、ブリッジグループ5のエントリーを追加する方法になります。 設定例 interface GigaEthernet 2:1.2 encapsulation dot1q 20 tripd 8100 auto-connect ip address 192.168.102.253/24 ip dhcp binding vlan20 bridge-group 5 no shuitdown interface GigaEthernet 2:1.3 encapsulation dot1q 30 tripd 8100 auto-connect ip address 192.168.103.253/24 ip dhcp binding vlan30 bridge-group 5 no shutdown という方法になります。 こちらの方法になります。 >>278 いつもアドバイスとお返事ありがとうございます 278 で頂いた方法とは違うのですが... >>262 にて頂いたアドバイスの中で 補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、 IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、 IPアドレス(192.168.101.254/24の割り当て)をして、タグVLANのブリッジグループと同一グループにする形になりますが、 IX2215のインターフェイスの設定ですが、 interface GigaEthernet2.Z.0 (Zの欄がVLANグループの番号になります) 上記の一文が気に掛かかっていたので、少し 「bridge-group 5」 を 設定した GE2.0-I/F を少し弄ると A拠点(IX2215+C2960) と B拠点(IX2215+C2960) の間でIPSecが通り、同一セグメント間において拠点跨ぎで通信出来ました ありがとうございました。 ひとまずお礼を申し上げます 後ほど、ご報告も兼ねてコンフィグを貼らせて頂きます(正しいコンフィグがどうかは怪しいですが....) >>278 コチラでご紹介頂いた方法も後ほど試させて頂きたいと思います。 とても感謝です >>279-280 278の設定例ですが、B拠点用の設定例になります。(271でも記載をしていましたが) A拠点用は、下記になります。(事前に、BVI2〜BVI3を削除下さい) 設定例(A拠点用) interface GigaEthernet 2:1.2 encapsulation dot1q 20 tripd 8100 auto-connect ip address 192.168.102.254/24 ip dhcp binding vlan20 bridge-group 5 no shuitdown interface GigaEthernet 2:1.3 encapsulation dot1q 30 tripd 8100 auto-connect ip address 192.168.103.254/24 ip dhcp binding vlan30 bridge-group 5 no shutdown >>279-281 基本的な接続方法でしたが、 A拠点IX2215+C2960(ポートベースVLAN+タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる) → EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる B拠点IX2215+C2960(ポートベースVLAN+タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる) → EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる ポートベースVLANの接続がデフォルトIPSEC接続になりますので、性格上物理インターフェイス(GigaEthernet2.0)経由でのブリッジグループを設定し、 ポートベース間の192.168.101.0/24の接続をして、その同一ポートインターフェイスに、 タグVLANのインターフェイスをぶら下げて、EtherIP-IPSECトンネルにタグを複数接続させるイメージになります。 >>281-282 度々のアドバイスとても助かっています。 後ほど、コチラのコンフィグでも試してみようと思います。 とても勉強になり感謝しております 下記のコンフィグにて一応、A拠点とB拠点の通信が確立出来ました。 もちろん、CiscoスイッチをIX2215にぶら下げた状態です。 これが正しいかどうかは良くわかりませんが報告も兼ねて貼っておきます。これが正しいのか全くわかりませんが... ただ、まだ課題が残りまして・・ ①同一拠点内 (AまたはBで) 異なるセグメント同士が通信可能になっているので、アクセスフィルタ-の投入 ②B拠点の端末がインタ-ネットへ出ていけない状態 a:B拠点のIX2215で.「ip dhcp prtofile」 の default-gateway と dns-server の値を 192.168.101(102,103).253とすればネットへ出ていけるが、 default-gateway と dns-serve が 192.168.101(102,103).254であればネットに繋がらない b:A拠点を経由してインタ-ネットへ出て欲しいが、IPSecは繋がって同一セグメント同士で拠点跨ぎの機器同士の通信が可能ですが、B拠点下部端末からはインタ-ネットへ出て行けない ③同一拠点内であれば異なるセグメント同士でも通信できますが、なぜかラズパイにぶらさげたNASは同一拠点の異なるセグメントからとなれば通信出来ない状態 とりあえず後ほど、また課題の解決してみます 色々と助けて頂いてありがとうございました。 やっと寝れる~ ただ、お盆休み中には終らなさそう...涙 https://imgur.com/a/WL3nsil https://imgur.com/a/O7d1Zzh それと・・・ 前回にご指摘頂いたポ-トVLANの設定で device GigaEthernet2 vlan-group 1 port 1 vlan-group 1 port 2 vlan-group 1 port 3 上記については、私のコンフィグでは同じ「vlan-group」にすれば、A拠点の端末はインタ-ネットへ出ていけなかったので 最初の device GigaEthernet2 vlan-group 1 port 1 vlan-group 2 port 2 vlan-group 3 port 3 へ戻しました アドバイスありがとうございました >>284 A拠点のコンフィグを見ましたが、GigaEthernet2.0のインターフェイスがシャットダウンされていますよ。 こちらではアクセスは出来ないかと存じます。(下記にて起動をご確認下さい) interface GigaEthernet2.0 no shutdown ポートベースVLANの物理インターフェイスにIPアドレスの設定(192.168.101.254/24) が設定されていない状況でしたので、こちらではうまく動作はしないかと存じます。 こちらのポートベースVLANですが、Device GigaEthernet2のポート1(VLAN1)と同期をしており、 上記のinterface GigaEthernet2.0 の動作状態とも同期をしていますので、 GigaEthernet2.0が shutdown 状態では、うまく動作は致しませんが。 interface GigaEthernet2:1.0 ip address 192.168.101.254/24 ip proxy-arp ip dhcp binding vlan10 bridge-group 5 no shutdown タグの部分については、タグとポートベースは個別に想定しないといけない要素になりますので、 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる