NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11

[0001 anonymous@fusianasan 2022/06/02(木) 08:32:29.81 ID:???]

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
https://jpn.nec.com/univerge/ix/
https://jpn.nec.com/univerge/ix/Manual/
https://jpn.nec.com/univerge/ix/Support/

前スレ：NEC UNIVERGE IX2000/IX3000 運用構築スレ Part10
https://mao.5ch.net/test/read.cgi/network/1590527255/

[0223 68 2022/08/10(水) 02:37:43.26 ID:???]

IX2215のAとB間はPPPOEを利用して、Vlan10のみ疎通出来ています。
Vlan20とvlan30をTunnel1.0へ通す方法がネックですね～

ココでご指摘を受けた通り、IXとciscoスイッチの親和性の問題もあるかも知れませんね
明日も色々とやってみます

とりあえずのご報告とさせて頂きます

本日もスレ汚し＆連投ゴメンナサイ....

ちなみに私は・・　オクで多数出品されているIX2207狙いですかね～　IX2105はUSBでデ－タやり取り出来ないからメンテするのがメンドクサイな～
安いけどw

[0224 anonymous@fusianasan 2022/08/10(水) 06:59:35.75 ID:???]

>>219-222
そうですか。
「switchport trunk native vlan」コマンドの投入出来ない時点で、ネイティブVLANに対応
出来ないライセンス・機能のスイッチですか、あり得ないですね。
確認ですが、シスコのL2スイッチのiOS-XE、iOSのバージョンはいくつですか？

iOS-XEのバージョンの場合ですが、17.3.X　などのバージョンにて同CLIコマンドを
受け付ける様になっていたかと思います。
iOSのバージョンの場合には、15.2.6以降のバージョンの場合には、受付可能となっております。
モデルナンバーにより、dot1qのみの対応のL2スイッチであることが濃厚です。
失敗しましたね。
購入元に、2960スイッチの末尾型式・モデルナンバーを確認し、ネイティブVLAN機能
とISLが利用出来ないモデルであったことを確認された方が賢明です。
IX2215側の問題では無く、IX2215のBVI（シスコで言うSVI）のEtherIP-IPSECの設定もですが、
には、タグVLANのマルチセグメントの通信は出来ますが、IPSEC内部にて、インターフェイスの識別が
独自の識別を採用しているため、IPSEC側に透過出来ない状況かと存じます。

[0225 anonymous@fusianasan 2022/08/10(水) 07:01:07.82 ID:???]

>>219-222
続きです。
L2スイッチを買い直しされた方が良いかと思います。
ちなみに、シスコAironetの無線LANの規格ですが、POE給電をしているタイプかと思いますが、
POEの給電方式もシスコ独自のCDP方式を採用、ネイティブVLANがデフォルトで、
タグVLANを追加することで、お持ちの2960側のタグ参加が出来るタイプかと存じます。
ネットギア製のL2スイッチには、CDP方式の通信を可能とするISDP規格の設定が出来るので、
ISDP規格のモードの設定をして、シスコのAironetのネイティブVLANグループとタグVLANグループの連携が出来る様になっています。
お持ちの2960スイッチですが、ネイティブVLANの追加がVLAN毎に出来ないタイプであること
の件ですが、モデルによりネイティブVLANのエントリー番号が1番のみエントリー出来るものもある
様ですので、確認頂いた方が良いかと思います。
要は、ネイティブVLAN（ポートVLANも併用可）のVLANエントリーが１番のみしか対応出来ないモデルか、
若しくは、全てのエントリーにてネイティブVLANが利用出来ないモデルで有ることが想定されるかと存じます。
もし、私の創造通りですと、
IX2215側（A拠点）
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254
interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan1
bridge-group 1
2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1
switchport mode trunk
interface GigaEthernet2:2.1〜interface GigaEthernet2:3.1 までのBVIグループを１番を指定
interface BVI1 〜　interface BVI3　までのBVIグループも１番を指定
interface Tunnel1.0 　のEtherIP-IPSECトンネルのBVIグループも１番を指定
してみてもダメですと、2960スイッチ側のモデルの問題となります。

[0226 anonymous@fusianasan 2022/08/10(水) 07:04:01.72 ID:???]

>>219-222
補足です
先ほどの設定の確認をして、ネイティブVLANがVLAN1に追加が出来たと言う条件ですが、
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk

にして、ネイティブVLAN１番のVLANインターフェイスにVLANグループを許可を追加
してみて下さい

[0227 anonymous@fusianasan 2022/08/10(水) 07:08:36.77 ID:D1P4yvVK]

>>219-222
補足です
ネイティブVLANエントリー１番の追加が出来た条件下ですが、
シスコの無線LAN、AironetのVLANエントリーもVLAN1にて利用出来る様にする必要があるかと思われます。
VLAN1配下にて、タグVLAN毎にESS-IDを設定されたい場合には、個別に追加と言うことになるかと思います。

EtherIP-IPSECトンネルには、複数のタグは通すことは出来る様になっていますが、
BVIグループは単一になっていますので、ブリッジグループは１番のみにして、
VLAN1、VLAN20〜30については、同一のブリッジグループにしてみて下さい。

[0228 anonymous@fusianasan 2022/08/10(水) 07:12:10.01 ID:???]

>>219-222

シスコの2960スイッチのモデルによって、先ほどのVLAN10→VLAN1への変更が出来ず、
ネイティブVLANの設定も出来ないタイプとなりますと、先ほどのネットギアのL2スイッチにして、
ネットギアの無線LAN「WAX630」あたりにされた方が良いかと思います。

若しくは、NEC　UNIVERGE-QXスイッチとQX-Q1130無線LANあたりになります。
NEC系のスイッチ・無線LANですと、IX2215にて利用設定されました、Netmeister-DDNS機能
と併せての機能にて、Netmeister機能でのクラウド連携管理が利用出来るようになります。

[0229 anonymous@fusianasan 2022/08/10(水) 07:29:27.79 ID:???]

>>219-222

補足ですが、もしBuffalo-L2スイッチに変更するとなりますと、WEB-GUIから簡易的に
トランクポートVLAN（マルチプルVLANと言っていますが）の設定に、タグとネイティブVLAN
のエントリーが出来る様になっていますが、Aironetの無線LAN規格のCDP方式の給電方式に対応しておらず、
Airstation-Proへの買い直しが必須条件になります。
　BuffaloのPOEの方式ですが、LLDP方式を採用しており、無線LAN装置もLLDP方式になります。
NECのUNIVERGE-QXは、CDP方式の設定は出来ること、ポートベースVLANの設定とタグVLAN、ネイティブVLANの設定は出来る様になっています。
他にそのインターフェイスについて、タグとネイティブを併存出来るハイブリッドモードの設定が出来る様になっています。

あと、別件のIX2207の件ですが、IPSEC-VPNの速度が遅いタイプになりますので、
ほぼ同額のIX2215の方が良いかと思いますが。

[0230 anonymous@fusianasan 2022/08/10(水) 14:16:50.18 ID:???]

>>219-222

VLAN1をネイティブVLAN・トランクポートに出来そうでしたら、
VLAN1のアドレスは192.168.1.254/24（BVI1、ブリッジグループ１）、シスコ側で言う、
独自のポートVLANの機能になることと、そのネイティブVLANのVLAN1に、VLAN20〜VLAN30をグループ化
させる方法になります。
IX2215側では、既存のコンフィグですと、VLAN1もVLAN20、VLAN30もタグ扱いになりますが、
シスコのL2、L3スイッチのVLAN制御が独自の部分が御座いますため、NECやネットギアで言う、
ハイブリッドモードのVLANの運用までいかない可能性が御座いますが、
IX2215側のVLAN1のモードをタグが無いVLAN（ポートベースVLAN）にして頂く形になるかもしれません。
ポートベースVLAN＋タグVLANの併用イメージになりますが、
その際には、2960のVLAN1側のIPアドレスを分けて決めて頂く形になるかと思われます。

[0231 anonymous@fusianasan 2022/08/10(水) 14:32:46.10 ID:???]

>>230
続きです。
2960（A拠点側）
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk

interface Vlan1
ip address 192.168.101.252 255.255.255.0
※　vlan10はそのまま、vlan１へ移管するイメージ

IX2215側のVLAN1側へのルーティング処理が必要になるかもしれませんね。
　→シスコのVLAN制御・ネイティブVLANの仕様が独自のため
IX2215（A拠点側）
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252

サブネットレベルが/24宛てのアクセスを、192.168.101.252のL2スイッチ側へ向けていますので、
B拠点側の同一セグメントを利用しサブネットの分割も必要になるかもしれません。
/24　→　192.168.102.1〜192.168.102.254
/25　→　192.168.102.1〜192.168.102.126、192.168.102.129〜192.168.102.254

サブネットの分割をして、A拠点とB拠点宛ての静的経路も分ける場合には、
IX2215（A拠点）
ip route 192.168.102.0/25 192.168.101.252
ip route 192.168.103.0/25 192.168.101.252
IX2215（B拠点）
ip route 192.168.102.128/25 192.168.101.***（***には、B拠点用のVLAN20のIPを設定、128〜254まで）
ip route 192.168.103.128/25 192.168.101.*** （***には、B拠点用のVLAN30のIPを設定、128〜254まで）

[0232 68 2022/08/10(水) 16:56:26.56 ID:???]

>>224-231
たくさんご教示頂いてありがとうございます

スレ違いで申し訳ないのですが、AとB拠点のIX2215から下にぶら下がるCiscoスイッチは、C2960CGとなりファンレスタイプのコンパクトタイプのスイッチです。
他のスイッチも検討したのですが、自宅ユ－スではあまりにもファンの騒音が激しくてコチラにしました。
ただ...凄い熱持ちますね>>224
これw

show versionの結果を貼っておきます。　IOS-XEはコチラに存在せず、あくまでもIOSのみになります。

A拠点-2960
Switch#show version
Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2)E1, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Tue 18-Nov-14 16:29 by prod_rel_team

ROM: Bootstrap program is C2960C boot loader
BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFTWARE (fc1)

Switch uptime is 16 minutes
System returned to ROM by power-on
System restarted at 01:27:21 UTC Wed Mar 30 2011
System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-universalk9-mz.152-2.E1.bin"
Last reload reason: Unknown reason

Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERSALK9-M

[0233 68 2022/08/10(水) 16:58:36.44 ID:???]

ちなみにB拠点のスイッチはコチラです

B拠点-2960
Switch#sh version
Cisco IOS Software, C2960C Software (C2960c405ex-UNIVERSALK9-M), Version 15.2(2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Tue 18-Nov-14 16:29 by prod_rel_team

ROM: Bootstrap program is C2960C boot loader
BOOTLDR: C2960C Boot Loader (C2960C-HBOOT-M) Version 12.2(55r)EX11, RELEASE SOFT

Switch uptime is 8 minutes
System returned to ROM by power-on
System restarted at 01:27:21 UTC Wed Mar 30 2011
System image file is "flash:/c2960c405ex-universalk9-mz.152-2.E1/c2960c405ex-uni
Last reload reason: Unknown reason

witch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 10 WS-C2960CG-8TC-L 15.2(2)E1 C2960c405ex-UNIVERS

アドバイス頂いた件で、いまからチャレンジしてみます。
ありがとうございます

[0234 anonymous@fusianasan 2022/08/10(水) 18:39:35.93 ID:???]

>>232-233

シスコのC2960CGスイッチだったのですね。
C2960XR系でしたら、どのポートにネイティブVLANに設定しても、タグVLANとネイティブVLAN
の併用にて動作する趣旨のCLIリファレンスが有ったのですが、C2960CGタイプですと、
デフォルトVLANでのネイティブVLANモードがVLAN1に限定されているモデルが有るようです。
同一のC2960Cモデルでも沢山御座いますので、ハズレの機種をご用意されたのが濃厚です。

iOSのバージョンが、15.2（2）ですので、比較的古いですね。
C2960C系でしたら、15.2（6）〜（7）が利用出来るモデルが有るのですが、
C2960C〜C2960Plus系でしたら、適用するiOSが比較的新しいものが利用可能なリリースが有るようです。

[0235 anonymous@fusianasan 2022/08/10(水) 18:54:06.12 ID:???]

>>232-233

A拠点とB拠点の静的経路を/25サブネットで分けてルーティングさせる場合の件ですが、
A拠点のVLAN毎のIPアドレスも/25サブネット範囲に合致するように設定を変更しないといけませんので、
ご確認下さい。

例１　192.168.102.0/25、192.168.102.128/25　→　VLAN20のL2スイッチのIPアドレス、DHCPサーバ範囲　
例２　192.168.103.0/25、192.168.103.128/25　→　VLAN30のL2スイッチのIPアドレス、DHCPサーバ範囲

[0236 68 2022/08/10(水) 21:15:03.63 ID:???]

>>225でアドバイス頂いた・・

>>
IX2215側（A拠点）
ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150(※B拠点 101.151-101.200)
default-gateway 192.168.101.254
dns-server 192.168.101.254

interface GigaEthernet2:1.1
ip address 192.168.101.254/24(※B拠点 253/24)
ip dhcp binding vlan1
bridge-group 1

2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1
switchport mode trunk
interface GigaEthernet2:2.1～interface GigaEthernet2:3.1 までのBVIグループを１番を指定
interface BVI1 ～　interface BVI3　までのBVIグループも１番を指定
interface Tunnel1.0 　のEtherIP-IPSECトンネルのBVIグループも１番を指定
してみてもダメですと、2960スイッチ側のモデルの問題となります。

の件で、IX2215側のBVIにipアドレスやdhcp profileのナンバ－を振っていかないと、Catalyst側では通信を受付けしない様です。他のセグメント(102.0/24と103.0/24)があるので、マルチになる関係でIXのBVIにipアドレスを投入出来ないですね～　そもそも、エラ－でIXから叱られますが。。
念の為に・・、ノ－トPCのLANドライバ－にてVLANの設定をして、本来であればC2960へ向かうLANケ－ブルを、直接ノ－トPCに挿すとIXとPCの疎通が出来ました。これはcatalyst 2960側の問題となりますね～　素直にcatalystを挟むのを止めてIXのみで配線図を作ってみようと思います。　
ただ、Ciscoの無線コントロ－ラ－をA拠点に置いてB拠点にてAironetのAPを遠隔利用しますので、IXと直接に疎通が出来るか問題になりそうですね

たくさんのアドバイスありがとうございます

[0237 anonymous@fusianasan 2022/08/10(水) 21:29:46.36 ID:???]

>>236

2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk

にして、VLAN1・ネイティブVLANに、VLAN20〜30を紐付けて、
VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、
VLAN20〜VLAN30・BVI1に紐付ける方法はしましたか？
GigabitEthernet0/8　のみのトランクポートにして、VLAN1、VLAN20、VLAN30を
接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。
A拠点は、
VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、
VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、
DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか？
B拠点は、
VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、
VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、
DHCPプロファイルのルールも/25のルールにて分割

A拠点よりB拠点のVLAN20〜30宛ての静的ルーティングは、
ip route 192.168.102.128/25 Tunnel1.0
ip route 192.168.103.128/25 Tunnel1.0
B拠点よりA拠点のVLAN20〜30宛ての静的ルーティングは、
ip route 192.168.102.0/25 Tunnel1.0
ip route 192.168.103.0/25 Tunnel1.0

というイメージになるかと思いますが、お試し頂くと如何でしょうか？

[0238 anonymous@fusianasan 2022/08/10(水) 21:36:04.20 ID:???]

>>236

シスコのAironetの無線LANの件ですが、仕様的にデフォルトにて、
VLAN1のネイティブVLANを利用刷るようになっているかと思いますが、
そのネイティブVLANとIX2215のVLAN1のリンク次第となりますね。

サブネット/24の件ですが、/25のサブネットに変更して、A拠点とB拠点のVLANのIPアドレスと
DHCPサーバを分けるイメージですが、そちらも確認された方が良いかと思いました。

[0239 68 2022/08/10(水) 22:52:31.37 ID:???]

>>237
私の為にお時間頂きありがとうございます
やはり下記のコンフィグではIX2215とC2960間は通信不可能ですね。C2960の　interface GigabitEthernet0/1　アクセスポ－トへ接続したノ－トPCはリンクupしないです
C2960側では switchport trunk native vlan 1 は仕様なのかコンフィグいれてもShow Run・・では表示されないみたいです


>>2960側
interface GigabitEthernet0/8
switchport trunk native vlan 1
switchport trunk allowed vlan 1-30
switchport mode trunk

にして、VLAN1・ネイティブVLANに、VLAN20～30を紐付けて、VLAN1のセグメントより、IX2215のBVI1のインターフェイスにリンクさせて、VLAN20～VLAN30・BVI1に紐付ける方法はしましたか？

IX2215側

ip dhcp profile vlan1
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan20
assignable-range 192.168.102.1 192.168.102.150
default-gateway 192.168.101.254
dns-server 192.168.101.254
!
ip dhcp profile vlan30
assignable-range 192.168.103.1 192.168.103.150
default-gateway 192.168.101.254
dns-server 192.168.101.254

[0240 68 2022/08/10(水) 22:53:06.33 ID:???]

interface GigaEthernet2:1.1
encapsulation dot1q 1 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.102.254/24
ip proxy-arp
ip dhcp binding vlan20
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
ip address 192.168.103.254/24
ip proxy-arp
ip dhcp binding vlan30
bridge-group 1
no shutdown
!
interface BVI1
no ip address
bridge-group 1
no shutdown

[0241 68 2022/08/10(水) 22:55:39.51 ID:???]

C2960側

interface GigabitEthernet0/1
switchport mode access
!
interface GigabitEthernet0/2
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet0/3
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/8
switchport trunk allowed vlan 1-30
switchport mode trunk
!
interface Vlan1
ip address 192.168.101.252 255.255.255.0
!
interface Vlan10
no ip address
!
interface Vlan20
ip address 192.168.102.252 255.255.255.0
!
interface Vlan30
ip address 192.168.103.252 255.255.255.0

[0242 68 2022/08/10(水) 22:58:08.65 ID:???]

>>237
GigabitEthernet0/8　のみのトランクポートにして、VLAN1、VLAN20、VLAN30を
接続させて、BVI1のグループより、EtherIP-IPSECトンネルと紐付ける方法ですが。
A拠点は、
VLAN20-IPアドレスは192.168.102.0/25の内、192.168.102.1の割り当て、
VLAN30-IPあどれすは192.168.103.0/25の内、192.168.102.1の割り当て、
DHCPプロファイルのルールも/25のルールにて出来ませんでしょうか？
B拠点は、
VLAN20-IPアドレスは192.168.102.128/25の内、192.168.102.128の割り当て、
VLAN30-IPあどれすはは192.168.103.128/25の内、192.168.103.128の割り当て、
DHCPプロファイルのルールも/25のルールにて分割

A拠点よりB拠点のVLAN20～30宛ての静的ルーティングは、
ip route 192.168.102.128/25 Tunnel1.0
ip route 192.168.103.128/25 Tunnel1.0
B拠点よりA拠点のVLAN20～30宛ての静的ルーティングは、
ip route 192.168.102.0/25 Tunnel1.0
ip route 192.168.103.0/25 Tunnel1.0

というイメージになるかと思いますが、お試し頂くと如何でしょうか？

ココでご指導頂いたいる内容ですが・・
コチラはIX2215とC2960の通信が確立した後で行うコンフィグ　と言う認識で宜しいでしょうか？？
何回もすみません・・

また、連投とスレ汚しゴメンナサイ

[0243 anonymous@fusianasan 2022/08/10(水) 23:22:05.08 ID:???]

>>239-242

interface GigaEthernet2:1.1
encapsulation dot1q 1 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge-group 1
no shutdown

↑のコマンドの内ですが、VLAN1のタグを外してみると如何でしょうか？
　no encapsulation dot1q 1 tpid 8100

　シスコのネイティブVLANですが、一般的な社外L2やL3スイッチのニュアンスと違う
部分が御座いますので、一般の社外ネットワーク装置とVLANリンクをする場合ですが、
ポートベースVLANとリンクが出来る場合があるとのことですが。
　ただし、VLAN1のタグを外す形ですと、
　IX2215側にて、静的ルーティング設定として、VLAN1側のIPアドレスへ、VLAN20とVLAN30側へのルーティング設定を
入れないと、VLAN20、VLAN30側へアクセスが出来ない形になるかと思いますが。

ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252

「ココでご指導頂いたいる内容ですが・・
コチラはIX2215とC2960の通信が確立した後で行うコンフィグ　と言う認識で宜しいでしょうか？？ 」

　↑　その解釈でOKです。

[0244 68 2022/08/11(木) 04:31:29.32 ID:???]

>>243
ありがとうございます！！

何とかIX2215とC2960の通信が出来ました！！
C2960側のログを確認してみると・・・

Mar 30 01:28:17.374: %SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent peer vlan id 20 on GigabitEthernet0/8 VLAN30.
Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_PEER: Blocking GigabitEthernet0/8 on VLAN0020. Inconsistent peer vlan.
Mar 30 01:28:17.374: %SPANTREE-2-BLOCK_PVID_LOCAL: Blocking GigabitEthernet0/8 on VLAN0030. Inconsistent local vlan.

のログがあったので、そのエラ－ログをググってみると情報があり、C2960のinterface GigabitEthernet0/8へ　「spanning-tree bpdufilter enable」　のコンフィグを入れると、無事にIX2215とC2960の通信が確立しました

ただ、ここでひとつ問題が起こりまして、VLAN10-30はC2960からIX2215まで通信出来るのですが、IX2215からネットへ出ていけない様です。interface GigaEthernet2:1.1-3に「bridge-group 1」が其々ありますが、利用していないinterfaceの「bridge-group 1」を削除するとインタ－ネット側へ出ていけます。

例えば・・　
C2960側で

interface GigabitEthernet0/1
switchport access vlan 10
switchport mode access

へLANケ－ブルでPCに挿すと、PCにはVlan10(192.168.101.0/24)のアドレスがIXから下りてきますが、ネットへ接続出来ない状況となります。

そこで、IX2215側の

interface GigaEthernet2:1.2
interface GigaEthernet2:1.3

にある「「bridge-group 1」を削除すると、インタ－ネット(pppoe側)へ出て行ける状況です。
一度、C2960を撤去し、IXの下部へNetgear GS-108Ev3を挟んでvlan設定を行い様子を見ましたが、C2960と結果は同じですね。　何か私が間違っているところはございますでしょうか？？

[0245 68 2022/08/11(木) 04:38:24.88 ID:???]

IX2215のこの部分ですね

ココの「bridge-group 1」を利用していないinterfaceから削除するとインタ－ネット側へ出ていけます。ただ、このBVIグル－プを削除or他番号を使うとTunnel1.0からＢ拠点側へ出ていけないという事になりますよね？？
ただ、A拠点単独でC2960を挟んだ状態でテストしただけなので、B拠点を設置してIPSecを確立しての試験はまだしておりません
質問ばかりで申し訳ございませんが、アドバイスを頂けたら幸いです

ＩＸ2215(Ａ拠点)
interface GigaEthernet2:1.1
encapsulation dot1q 10 tpid 8100
auto-connect
ip address 192.168.101.254/24
ip dhcp binding vlan10
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
auto-connect
ip address 192.168.102.254/24
ip proxy-arp
ip dhcp binding vlan20
bridge-group 1
no shutdown
!
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
auto-connect
ip address 192.168.103.254/24
ip proxy-arp
ip dhcp binding vlan30
bridge-group 1
no shutdown

[0246 anonymous@fusianasan 2022/08/11(木) 07:46:58.88 ID:???]

>>244-245

A拠点のIX2215のブリッジインターフェイスのモードの追加をしませんと、NTT-HGWを経由している関係で
ネイティブVLANとタグVLANの制御がうまくいっていない状況、各DHCPサーバのネイティブVLAN、タグVLANのIPセグメントの
DNSサーバ、ネームサーバの名称解決が出来ていない状況が想定されます。

改めて、現時点のA拠点のIX2215のコンフィグ全体は明示可能でしょうか？

[0247 anonymous@fusianasan 2022/08/11(木) 07:59:14.85 ID:???]

>>244-245

補足ですが通常は考えにくいですが、PPPOE-NATセッションのNATインサイドのプライベートIPアドレスの部分ですが、
通常は、BVI・ブリッジインターフェイス側のアドレスを自動的に見に行く設定になっていますが、
明示的にNATインサイドの内側アドレスをアクセスリスト設定に追加しませんと、NATルート変換出来ていないかもしれません。

[0248 anonymous@fusianasan 2022/08/11(木) 08:01:23.80 ID:???]

>>244-245

一応、念のためですが、IX2215のファームウェアバージョンがいくつかお教え下さい。
最新版は、10.6.64　になります。
確か、過去のファームウェアにてVLANやBVIの追加修正を行っていた時期が有ったかと思います。

[0249 anonymous@fusianasan 2022/08/11(木) 08:43:08.87 ID:???]

>>244-245

あと、2960CGスイッチのトランクポートにネイティブVLANとタグVLANを併用するように
され、192.168.101.0/24からのアクセスはブリッジインターフェイスを外すとインターネットが出来たとのことですが、
通常の社外L2スイッチでは、

トランクポートとハイブリッドポートの機能の違いですが、

トランクポートのモードですが、イーサーネットフレーム単位でタグとネイティブを分割し、
ネイティブVLANのVLAN-IDを任意に設定が出来るのですが、ネイティブVLANとタグのVLANの優先順位として、
ネイティブVLANが優先され、タグVLANは排他制御となる機能になっている状況です。

ハイブリッドポートのモードですが、複数のタグなしVLANとタグ付きVLANを同時に使用できるモードで、プロトコルVLANで使用します。複数のタグなしVLANのうち、1つだけネイティブVLANとして登録出来る。
ポートベースVLANとタグVLAN、タグ無しVLANを単一のインターフェイスにて、
個別のものとして制御して制御するようになっています。

こちらのタグ無しとタグ有りの制御に問題が有るように見受けられます。
タグ無しとタグ有りの制御に問題があるL2スイッチとなります（ハイブリッドモードが利用出来ない）と、
ブリッジグループを分ける方法とEtherIP-IPSECのトンネルもブリッジ毎に分けないと
うまくいかない可能性が大きいですね。

IX2215のNATインサイドのアドレスのタグ、タグ無しの認識の問題が御座いますが、
ちなみに、お持ちのネットギアのVLAN制御の場合ですが、アンマネージタイプのスイッチでしたので、
ハイブリッドモードの運用については、全ての機能を利用出来ないタイプだったようです。
ただし、ネットギアのProPlus-WebGUIからの設定ですと、基本VLANの設定（ポートベースVLAN）では無く、
拡張VLANの設定（タグVLAN、タグ無しVLAN）の設定の同一グループの設定、VLANの優先順位の設定ですが、
PVIDのエントリーナンバーによって、若番より優先される設定になっています。

こちらの機能に制約があって、マネージタイプのスイッチですと、そちらを平行して処理出来る機能になっている
とのことです。

[0250 anonymous@fusianasan 2022/08/11(木) 11:17:03.76 ID:???]

>>244-245

EtherIP-IPSECのVLAN、BVIとVLANのNATの件ですが、
PPPOE-NATインバウンドアドレスの認識がうまくいかないケースだった場合の件ですが、

NATのインバウンドアドレスの設定が可能ですので、原因の切り分けという形になるかと思いますが、
ご確認頂けると良いかと思われます。

設定例
　VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合
　ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
　ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
ip access-list vlan-in permit ip src 192.168.103.0/24 dest any
interface GigaEthernet0.1
ip napt inside list vlan-in

上記の設定にて、NAPTインバウンドアドレスを静的に指定が出来るかと存じます。
A拠点とB拠点のサブネットを分割して、/24より/25へ同一セグメント・IPアドレスを分ける
場合には、NAPTインバウンドアドレスのアクセスリストを変更する必要が有るかもしれません。

[0251 anonymous@fusianasan 2022/08/12(金) 08:58:27.97 ID:???]

>>244-245

念のため、気になりましたので、私の所有していますテストルーター（IX2235）環境下で
下記のスイッチを所有しておりましたので、確認をしてみました。

・　UNIVERGE QX　「QX-S5124GT-4X」
　　L3スイッチでしたが、トランクポートにPVIDの設定を任意に設定が出来る。
　　デフォルトPVIDは、gigabitethernet 1/0/24でしたが、そちらのポートにトランクポート
ネイティブVLAN、タグVLAN、ポートベースVLANの併用は出来る、PVIDの変更は他のインターフェイスへ変更は出来る）
　　他のポートに、ネイティブVLANと、タグVLANの複数VLANの併用設定、ハイブリッドモードの運用は出来る。
　→　1/0/24（トランクポート、VLAN10、20、30のグループ連結）、1/0/1〜1/0/10までVLAN10のタグVLAN、1/0/10〜1/0/20までVLAN20のタグVLAN、1/0/21〜1/0/23までVLAN30のタグVLAN
の設定にて、IX2235のポートベースVLAN・BVIのトランクリンク、静的経路にてVLAN10〜30までの経路にてDHCPとインターネット接続のNATセッションは出来る

[0252 anonymous@fusianasan 2022/08/12(金) 08:59:08.75 ID:???]

>>244-245
続きです
・　FortiSwitch　FS-124E-POE
　　こちらは、上位にFortigateの仮想コントローラー制御のモードの運用と、自走スイッチ制御のコントローラーモードの設定が出来る。
　　IX2235に直接接続されるモードですと、自走コントローラモードにて確認をしました。
　　自走にて仕様的にトランクポート対象のポートは、ポートベース、タグ付加の選択が出来る。
　　タグ付加の場合ですと、IX2235側のBVIとタグインターフェイスの連結が必要となるため、
ポートベースのみにしてトランクポート接続、その他のポートはアクセスポートになる部分は確認しました。
アクセスポートの設定側にて、タグ付加、ポートベースの選択はスイッチ側にて出来る。
　VLAN20、30にタグを付けてVLAN10はIX2235のIPアドレスと共通のためポートベースのままにした。
　IX2235側より静的経路にて、VLAN20、30宛てのルーティング処理として、スイッチのトランクポートに割り当てしました、
IPアドレスへルーティング経路を切り、VLAN20、30宛てにDHCPサーバのアドレスが振られることを確認しました。

　先日のSTP機能（スパニングツリー）の部分については、IP衝突やブロードキャスト通信障害のための機能でしたが、
スイッチ側、IX2235側にてSTP機能をあえて明示すること無くIPアドレスの通信が出来る事を確認しました。
　
　POE給電通信の機能ですが、双方ともシスコの通信方式（CDP方式）だけではなく、LLDP方式も設定にて対応出来る事を確認しました。

[0253 anonymous@fusianasan 2022/08/12(金) 09:08:58.95 ID:???]

>>244-245

NEC UNIVERGE QXスイッチですが、NEC様の方にてH3C製のメーカーのOEMカスタム品になっています。
H3CのカスタムOSですが、日本HP系のスイッチのOSとほぼ操作性はイコールかと存じます。
慣れるまで多少時間はかかるかもしれません（WEB-GUIは利用可、Netmeisterのクラウド運用管理は可能）

Fortinet系のスイッチは、FortiOSのスイッチ版になっていますので、Fortigateの設定をされたことが御座いましたら、
そんなに苦労はしないかと思います。

[0254 68 2022/08/12(金) 15:11:35.44 ID:???]

>>251-253

すみません…　お返事遅れました。
私の為に検証までして下さってとても感謝をしております。
先日お知らせご教示頂いた、NAPTインバウンドアドレスを投入もしながら、私のコンフィグでおかしな部分として少し思い当たる節もありました。
私の知識不足もあり、中々理解に時間が掛かる関係でお返事が遅れておりとても恐縮しております。
本日もう一度チャレンジしてみようと思っております。　後ほど、結果を報告させて頂きたいと思います。
いつもありがとうございます

[0255 anonymous@fusianasan 2022/08/12(金) 19:20:40.97 ID:???]

>>254

既存のIX2215のコンフィグの部分ですが、現時点のコンフィグを念のため、明示頂ければ、
確認は可能かと思います。

[0256 68 2022/08/13(土) 02:41:20.30 ID:???]

>>250
いつもありがとうございます。

>>設定例
　VLAN10とVLAN20、VLAN30のNATインバウンドアドレスに指定する場合
　ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
　ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
ip access-list vlan-in permit ip src 192.168.103.0/24 dest any

interface GigaEthernet0.1
ip napt inside list vlan-in

でご教示頂いた
設定例をA拠点IX2215に投入してみましたが、IX2215とC2960の通信OK　C2960下部の端末からインタ－ネットへ出て行けない状況でした。

それとA・B拠点のIX2215は、最新ファ－ムウェアの10.6.64となります。

B拠点のコンフィグは誤って消してしまったので、A拠点のコンフィグのみとなりますが貼っておきます。

https://imgur.com/a/nP4Kx4m

[0257 68 2022/08/13(土) 02:48:42.88 ID:???]

>>256　のアップロ－ダ－のデ－タは間違えでコチラです。
すいません

https://imgur.com/a/1saV443

[0258 68 2022/08/13(土) 03:20:23.45 ID:???]

それと、色々試してみた結果　「BVI」　がネックになってるかと思い、A・B拠点共にコンフィグを書き直してみました。

結果、A・B拠点共にIX2215側とC2960.側で通信は出来るのですが、A拠点とB拠点のIPSecが通らなくなります。
恐らくIX2215側の仕様なのかと思っております。　サブインタ－フェイスを切って、bridge-group が同じのサブインタ－フェイスを複数作ったら挙動がおかしくなるのかな？

接続として・・　　IX2215　GE2:1.1-3 →→→→　C2960　port8(トランクモ－ド vlan1-30)
　　　　　　　　　 IX2215　GE2:2.1-3 →→→→　C2960　port7(トランクモ－ド vlan1-30)

　　　　　　　　　　C2960　port1(アクセスモ－ド vlan10) →→　PC

な感じでしております。

少しお手上げ状態ですねコレ..　　素直にNECのスイッチを買うべきかもしれませんね
IX2215のA・B拠点コンフィグを貼っておきます

https://imgur.com/a/pGjbFNG
https://imgur.com/a/iQSwUff

はあ～　もう疲れたぽ...

[0259 anonymous@fusianasan 2022/08/13(土) 07:48:42.65 ID:???]

>>256-258

コンフィグの確認を致しました。
単一のEtherIP-IPSECに複数のタグを通す部分、NetmeisterDDNSのメインモード接続のケースですが、
IPSECのローカルID、リモートIDは、複数のタグを通す関係上、不要になるかと存じます。

不要な項目（A拠点）
ipsec local-id ipsec-policy1 192.168.101.254
ipsec remote-id ipsec-policy1 192.168.101.253
不要な項目（B拠点）
ipsec local-id ipsec-policy1 192.168.101.253
ipsec remote-id ipsec-policy1 192.168.101.254

各コンフィグは確認致します。

[0260 anonymous@fusianasan 2022/08/13(土) 08:43:03.79 ID:???]

>>258
トランクモードでのトランクリンクの要件（下記）
IX2215　GE2:1.1-3 →→→→　C2960　port8(トランクモ−ド vlan1-30)
IX2215　GE2:2.1-3 →→→→　C2960　port7(トランクモ−ド vlan1-30)
でしたが、
シスコのデフォルトVLAN（NEC、ネットギアなどにてPVIDと言っていますが）、IX2215間のBVIインターフェイス間のタグ処理が出来ない場合に
VLAN1の方のネイティブVLANのリンク（IX2215間のリンクをVLAN1にする必要があるかもしれませんが）
VLAN1のデフォルトVLANの部分を利用して、そのデフォルトVLANのセグメントにタグ10、タグ20、タグ30を通す形のイメージになるのですが。
IX2215のトランクリンク間のBVIインターフェイスの条件ですが、
interface BVI1
ip address 192.168.101.254/24
ip dhcp binding vlan1 （VLAN10は利用しません）
bridge-group 5
IX2215間のトランクリンク・インターフェイスのネイティブVLAN間のリンクですが、
VLAN10のアドレス192.168.101.0/24をBVIインターフェイスと紐付けていますので、
その間のみのトランクリンク自体は、タグ無しでなければいけない状況になるかと存じます。
IX2215とのネイティブVLAN間の接続（シスコで言う対向側がタグに対応出来ないVLAN）との接続を
行うためには、IX2215側はポートベースでなければいけない形になります。
GE2.0-I/FのポートベースVLANで利用するポートの指定
設定例（物理ポート１〜3番をポートVLANで利用する設定例）
Device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-geoup 1 port 3
ご指定の利用では、C2960との接続のポートのみの指定で良いかと思います。
　（port 2〜３の指定は不要かもしれません、IX2215で言うVLAN1の確保）
ポートベースVLANの設定切替（シスコのネイティブVLAN、VLAN1とのトランクリンクの接続、192.168.101.254/24の割り当てをする
ポートの指定）
interface GigaEthernet2:1.0
auto-connect
bridge-group 5
no shutdown

[0261 anonymous@fusianasan 2022/08/13(土) 08:44:36.69 ID:???]

>>258-260
続きです。
タグVLANグループの設定を限定する（タグ、VLAN10の設定、インターフェイス関係は利用しない、削除する）
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
no ip address
bridge-group 5
no shutdown
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
no ip address
bridge-group 5
no shutdown

BVI2〜BVI3のタグのブリッジグループの変更
interface BVI2
ip address 192.168.102.254/24
ip dhcp binding vlan20
bridge-group 5
interface BVI3
ip address 192.168.103.254/24
ip dhcp binding vlan30
bridge-group 5

IX2215　→　C2960のトランクリンク・VLAN1間をポートベースVLANで切る形になりますが、
IX2215から、VLAN20、VLAN30へのルーティング処理を要求する形になりますので、
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252

※　C2960側のトランクポートに割り当てするIPアドレスが、192.168.101.252であることを確認する。

タグVLAN間のセッション接続に問題が有る場合のトランクリンクにタグを同居させる場合の設定例になります。

[0262 anonymous@fusianasan 2022/08/13(土) 08:49:08.58 ID:???]

>>260

補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、
IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、
IPアドレス（192.168.101.254/24の割り当て）をして、タグVLANのブリッジグループと同一グループにする形になりますが、
IX2215のインターフェイスの設定ですが、
interface GigaEthernet2.Z.0 （Zの欄がVLANグループの番号になります）

[0263 anonymous@fusianasan 2022/08/13(土) 09:05:22.18 ID:???]

>>260

普段の運用管理として、ポートベースVLANとタグVLANの混合モードになりますので、
他社のL3、L2スイッチの部分ですと、ハイブリッドモードに相当する形になりますね。
シスコのアクセスポートの設定にしている、ポートのIPアドレス制御の機能に依存する部分になるかと思います。
やはり、NECのUNIVERGE QXのL3スイッチ、L2スイッチあたりにされた方が良いかと思いますね。
端末数によっては、今後の管理がシスコスイッチ系ですと、大変になりそうです。

シスコのAironetの無線LANのPOE給電仕様ですが、CDP機能での通信機能になりますので、
UNIVERGE QXのPOE給電モードをCDPモードにする形になるかと存じます。
出来れば、UNIVERGE QX-Wの無線LANにされた方が良いかと思いますが。

[0264 anonymous@fusianasan 2022/08/13(土) 10:05:54.65 ID:???]

>>258-261

A拠点のポートベースVLANのVLAN1のDHCPサーバのプロファイルですが、VLAN10から移行をして下さい。
ip dhcp prtofile vlan1
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254

[0265 anonymous@fusianasan 2022/08/13(土) 11:38:28.60 ID:???]

>>258-261

B拠点のコンフィグの件ですが、基本のVLANがポートベースになりますので、
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
ブリッジインターフェイスとVLAN1用のDHCPプロファイルですが、
interface BVI1
ip address 192.168.101.253/24
ip dhcp binding vlan1
bridge-group 5
にして、VLAN10のDHCPプロファイルは削除して下さい。（VLAN1用のDHCPプロファイル追加）
no ip dhcp-profile vlan10
ip dhcp prtofile vlan1
assignable-range 192.168.101.150 192.168.101.200
default-gateway 192.168.101.254
dns-server 192.168.101.254
それと、GE2.0-I/Fにブリッジインターフェイスの設定が無い（A拠点、B拠点とも）
interface GigaEthernet2.0
bridge-group 5
としてください。
B拠点のポートベースVLAN（VLAN1）の設定移行
interface GigaEthernet2:1.0
auto-connect
bridge-group 5
no shutdown
タグVLAN10のインターフェイスは削除
no interface GigaEthernet2:1.1
タグVLAN20、30のインターフェイスはそのままでOK

[0266 anonymous@fusianasan 2022/08/13(土) 11:39:54.90 ID:???]

>>258-265
続きです。

BVI2〜BVI3のインターフェイスのブリッジグループの変更
interface BVI2
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
interface BVI3
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5

EtherIP-IPSECのトンネルのブリッジレベルですが、bridge-group 5　になっていましたので、
全てbridge-group 5　にする形になります。
インターネット接続が出来なくなる件ですが、恐らくですが、IX2215の物理インターフェイス
GE2.0-I/Fの配下にてBVIグループを組んでいますので、GE2.0-I/Fに　bridge-group 5　の
エントリーが外れてしまっていたのが一因かと思います。（以下にて）

PPPOEセッションにてNATのインバウンドアドレスを参照するのは、あくまでもGE2.0-I/F配下の
ブリッジインターフェイスとタグインターフェイスになります。
昨日のインバウンドアドレスの設定は解除で良いかと思います。

no ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
no ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
no ip access-list vlan-in permit ip src 192.168.103.0/24 dest any

interface GigaEthernet0.1
no ip napt inside list vlan-in

[0267 anonymous@fusianasan 2022/08/13(土) 11:51:21.96 ID:???]

>>266

シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。
VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。

[0268 anonymous@fusianasan 2022/08/13(土) 12:02:01.90 ID:???]

>>259-267

IX2215からのトランクポート（ポートベースVLAN1、2960はネイティブVLAN参加）
トランクポートに参加するタグVLANはVLAN20〜VLAN30
BVIのブリッジグループは、エントリー５を指定されていましたので、IPSECの部分も含めてエントリー５で統一
物理インターフェイス（GE2.0-I/F）もエントリー５を追加
PPPOE-NATセッションが参照先のNATインバウンドアドレスは、BVIグループ（GE2.0-I/F、VLAN1、VLAN20、VLAN30）

IX2215側にて、シスコのC2960のトランクポートを認識出来るモードがポートベースVLAN（VLAN1）
シスコの無線LANのVLAN参加は、ネイティブVLAN（VLAN1）になる。

[0269 68 2022/08/13(土) 16:24:58.34 ID:???]

>>259-268

貴重なお時間を頂きとてもありがとうございます。
今から再チャレンジします。

補足で頂いたアドバイスの中で、2点ほどご質問させて下さい

AとB拠点のIXでポ－トVLANを作成する時に

device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3

コチラでご教示を頂いていますが、全て同じ　「vlan-group 1 」　にすると言う事で宜しいでしょうか？？



>>シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。
VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。

>>シスコの無線LANのVLAN参加は、ネイティブVLAN（VLAN1）になる。

それとコチラのアドバイスの内容は

※C2960から「無線コントロ－ラ－」または「Aironet」の接続は、アクセスモ－ドでVlan1として接続

上記の内容で宜しいでしょうか？？

確か・・　Vlan1同士で無線コントロ－ラ－とApが接続さえすれば、capwapトンネル　で、無線コントロ－ラ－よりAPから吹く電波のセグメント(101.0/24～103.0/24)は指定出来たモノと認識しております。

もし、私の認識が誤っていればご教示頂ければ幸いです

[0270 anonymous@fusianasan 2022/08/13(土) 17:13:55.83 ID:???]

>>269

「AとB拠点のIXでポ−トVLANを作成する時に
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
コチラでご教示を頂いていますが、全て同じ　「vlan-group 1 」　にすると言う事で宜しいでしょうか？？」

↑　の件ですが、シスコのネイティブVLAN（デフォルトVLAN、VLAN1）に合わせる形ですと、
IX2215では、ポートベースVLANの物理VLANのグループのエントリーになります。
よって、GigaEthernet2 に設定されたVLANグループのエントリーナンバー１が紐付ける形になります。
　当然、そのVLAN1のグループが、シスコで言うトランクポートの優先エントリーになります。

　シスコのAironetの無線LANの設定項目に、ネイティブVLANのグループエントリーが有るかと思いますが、
そのエントリーになります。そのデフォルトエントリーとは別に、タグVLAN側にESS-IDと紐付けるVLANが有りましたら、
VLAN20、VLAN30のエントリーとESS-IDを追加登録します。

　ネイティブVLAN（VLAN1）は、IX2215のポートベースVLANの　vlan-group 1のエントリーのDHCP範囲内のIP体系になりますので、
192.168.101.***/24になります。
　追加にて、VLAN20とVLAN30のエントリーを作成して、そのESS-ID宛てに接続すると、タグVLAN側での接続になりますので、
タグ側では、192.168.102.***/24、192.168.103.***/24のIPアドレスが割り当てになるイメージになるかと思います。

AirnetのデフォルトVLANセグメントのネットワーク同士の管理コントローラー側とサブコントローラー側の接続になるかと存じます。
よって、管理コントローラー側にて、タグ側エントリーの追加とESS-IDの追加をすると、
有線LANバックホール接続のイメージにて、サブコントローラーへその設定が反映する形になるかと思います。

[0271 anonymous@fusianasan 2022/08/13(土) 17:28:27.96 ID:???]

>>270

タグVLAN20とタグVLAN側のIPアドレス等の設定、DHCPの設定関係ですが、
シスコの仕様がまだ不確定要素が有るかもしれません。
ケースにより、BVI2〜BVI3のブリッジインターフェイスを作成するのでは無く、
タグインターフェイスに直接IPアドレスとDHCPのプロファイルの紐付けをする形になるかもしれません。

設定例
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
no shuitdown

↑　の様なイメージとなりますと、VLAN1のセグメントにて接続して、その配下にて、
VLAN20、VLAN30のプロファイルがぶら下がる形になるかと存じます。
　※　この形ですと、BVI2とBVI3の設定が不要になるかもしれません。

[0272 anonymous@fusianasan 2022/08/13(土) 17:31:22.82 ID:???]

>>270-271

シスコのスイッチの独自のライセンス契約・機能の兼ね合いが御座いますため、
IXルーター側の公開マニュアルの内容には未掲載のカスタマイズになる可能性があるかもしれないと言うことになります。

[0273 68 2022/08/13(土) 17:31:28.35 ID:???]

>>270
ご返信ありがとうございます。
今からやってみます。
たくさんのアドバイスとても感謝致します

[0274 anonymous@fusianasan 2022/08/13(土) 17:46:35.71 ID:???]

>>270-272

IPネットワークの構成イメージですが（念のため）

IX2215のGigaEthernet2.0インターフェイス（BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け）
　→　GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ
　→　C2960のトランクポートは１系統のみの接続
　→　GigaEthernet2:1.2（タグVLAN20、bridge-group5、192.168.102.253/24）
　→　GigaEthernet2:1.3（タグVLAN30、bridge-group5、192168.103.253/24）
　→　EtherIP-IPSEC（Tunnel1.0、bridge-group5、ローカルID、リモートID無し）
　→　静的ルーティング経路設定（　ip route 192.168.102.0/24 192.168.101.252、ip route 192.168.103.0/24 192.168.101.252、ネイティブVLANのトランクポートに割り当てしましたC2960のIPアドレス宛）

と言うイメージになるかと思います。

[0275 anonymous@fusianasan 2022/08/13(土) 17:53:24.81 ID:???]

>>270-274

補足ですが、このようなポートベースVLANとタグVLANを併用するような設定になりますと、
セキュリティ面にて、何らかのファクターが出るかもしれませんね。

IX2215とC2960の間にFortigate等の装置を入れる場合には、

FortigateのWAN側とLAN側にポートベースとタグを通過出来るようにインターフェイスの設定を入れて、
ポートベースとタグ毎のセキュリティポリシーの設定が必要になるかもしれません。
　→　Fortigateのトランスペアレントブリッジモードの設定イメージ。

[0276 anonymous@fusianasan 2022/08/13(土) 18:58:48.55 ID:???]

>>274

「IX2215のGigaEthernet2.0インターフェイス（BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け）
　→　GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ」
　　　GigaEthernet2:1.0〜GigaEthernet2:3.0　にも　bridge-group 5　の割り当てをして下さいね。

[0277 68 2022/08/14(日) 00:03:39.56 ID:???]

>>266

何回も質問ごめんなさい。


>>
BVI2～BVI3のインターフェイスのブリッジグループの変更
interface BVI2
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5

interface BVI3
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5

の部分なのですが、IXの仕様なのか、BVI1に既に　「bridge-group 5」　を投入しているので他のBVIに　「bridge-group 5」　を投入出来ない様です。

% BVI is already assigned to group 5

のエラ－コ－ドで弾かれてしまいます。

何か他に良い策ってございますでしょうか？？

[0278 anonymous@fusianasan 2022/08/14(日) 03:53:12.57 ID:???]

>>277

BVIインターフェイスには、性質上ですが、ブリッジグループの条件は単一ですので、
複数のBVIインターフェイスには別のブリッジグループの設定しか出来ません。
それは、富士通のSi-Rルーターや、アライドテレシスのルーター、シスコのISR、ASAも同じです。

よって対案としては、
BVI1のエントリーに、セカンダリIPアドレスの追加をする。
　※　192.168.102.253/24、192.168.103.253/24　等
　→　これは、今回の環境の構成には、マッチング出来ないかと思います。

もう一つの方法は、BVI2〜BVI3を削除して、タグVLANのインターフェイスに直接
IPアドレス、DHCPサーバ、ブリッジグループ５のエントリーを追加する方法になります。

設定例
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
no shutdown

という方法になります。
こちらの方法になります。

[0279 68 2022/08/14(日) 04:13:04.97 ID:???]

>>278
いつもアドバイスとお返事ありがとうございます

278　で頂いた方法とは違うのですが...

>>262　にて頂いたアドバイスの中で

補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、
IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、
IPアドレス（192.168.101.254/24の割り当て）をして、タグVLANのブリッジグループと同一グループにする形になりますが、
IX2215のインターフェイスの設定ですが、
interface GigaEthernet2.Z.0 （Zの欄がVLANグループの番号になります）

上記の一文が気に掛かかっていたので、少し　「bridge-group 5」　を 設定した　GE2.0-I/F　を少し弄ると

A拠点(IX2215+C2960) と　B拠点(IX2215+C2960) 　の間でIPSecが通り、同一セグメント間において拠点跨ぎで通信出来ました

ありがとうございました。　ひとまずお礼を申し上げます

後ほど、ご報告も兼ねてコンフィグを貼らせて頂きます(正しいコンフィグがどうかは怪しいですが....)

[0280 68 2022/08/14(日) 04:15:47.72 ID:???]

>>278

コチラでご紹介頂いた方法も後ほど試させて頂きたいと思います。
とても感謝です

[0281 anonymous@fusianasan 2022/08/14(日) 05:03:51.28 ID:???]

>>279-280

278の設定例ですが、B拠点用の設定例になります。（271でも記載をしていましたが）
A拠点用は、下記になります。（事前に、BVI2〜BVI3を削除下さい）

設定例（A拠点用）
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.254/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.254/24
ip dhcp binding vlan30
bridge-group 5
no shutdown

[0282 anonymous@fusianasan 2022/08/14(日) 05:09:52.47 ID:???]

>>279-281

基本的な接続方法でしたが、

A拠点IX2215＋C2960（ポートベースVLAN＋タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる）
　→　EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる
B拠点IX2215＋C2960（ポートベースVLAN＋タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる）
　→　EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる

ポートベースVLANの接続がデフォルトIPSEC接続になりますので、性格上物理インターフェイス（GigaEthernet2.0）経由でのブリッジグループを設定し、
ポートベース間の192.168.101.0/24の接続をして、その同一ポートインターフェイスに、
タグVLANのインターフェイスをぶら下げて、EtherIP-IPSECトンネルにタグを複数接続させるイメージになります。

[0283 68 2022/08/14(日) 07:05:01.76 ID:???]

>>281-282
度々のアドバイスとても助かっています。

後ほど、コチラのコンフィグでも試してみようと思います。
とても勉強になり感謝しております


下記のコンフィグにて一応、A拠点とB拠点の通信が確立出来ました。　もちろん、CiscoスイッチをIX2215にぶら下げた状態です。
これが正しいかどうかは良くわかりませんが報告も兼ねて貼っておきます。これが正しいのか全くわかりませんが...

ただ、まだ課題が残りまして・・

①同一拠点内　(AまたはBで)　異なるセグメント同士が通信可能になっているので、アクセスフィルタ－の投入

②B拠点の端末がインタ－ネットへ出ていけない状態
　 a：B拠点のIX2215で.「ip dhcp prtofile」　の default-gateway と dns-server　の値を 192.168.101(102,103).253とすればネットへ出ていけるが、 default-gateway と dns-serve　が　192.168.101(102，103).254であればネットに繋がらない

　 b：A拠点を経由してインタ－ネットへ出て欲しいが、IPSecは繋がって同一セグメント同士で拠点跨ぎの機器同士の通信が可能ですが、B拠点下部端末からはインタ－ネットへ出て行けない

③同一拠点内であれば異なるセグメント同士でも通信できますが、なぜかラズパイにぶらさげたNASは同一拠点の異なるセグメントからとなれば通信出来ない状態

とりあえず後ほど、また課題の解決してみます
色々と助けて頂いてありがとうございました。
やっと寝れる～　　　ただ、お盆休み中には終らなさそう...涙

https://imgur.com/a/WL3nsil
https://imgur.com/a/O7d1Zzh

[0284 68 2022/08/14(日) 07:07:28.18 ID:???]

それと・・・
前回にご指摘頂いたポ－トVLANの設定で

device GigaEthernet2　　　　　　　
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3


上記については、私のコンフィグでは同じ「vlan-group」にすれば、A拠点の端末はインタ－ネットへ出ていけなかったので

最初の
device GigaEthernet2　　　　　　　
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3

へ戻しました

アドバイスありがとうございました

[0285 anonymous@fusianasan 2022/08/14(日) 08:01:35.91 ID:???]

>>284

A拠点のコンフィグを見ましたが、GigaEthernet2.0のインターフェイスがシャットダウンされていますよ。
こちらではアクセスは出来ないかと存じます。（下記にて起動をご確認下さい）
interface GigaEthernet2.0
no shutdown

ポートベースVLANの物理インターフェイスにIPアドレスの設定（192.168.101.254/24）
が設定されていない状況でしたので、こちらではうまく動作はしないかと存じます。
こちらのポートベースVLANですが、Device GigaEthernet2のポート1（VLAN1）と同期をしており、
上記のinterface GigaEthernet2.0　の動作状態とも同期をしていますので、
GigaEthernet2.0が　shutdown 状態では、うまく動作は致しませんが。

interface GigaEthernet2:1.0
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan10
bridge-group 5
no shutdown

タグの部分については、タグとポートベースは個別に想定しないといけない要素になりますので、

[0286 anonymous@fusianasan 2022/08/14(日) 08:06:44.56 ID:???]

>>283-284

続きです。
interface GigaEthernet2:2.2〜GigaEthernet2:2.3
の部分ですが、IX2215の物理ポート２番のインターフェイス配下にタグをつける様にしている状況です。
こちらもGigaEthernet2.0のインターフェイスが shutdownされているので、うまく動作はしないかと思います。
こちらのIX2215のGigaEthernet2.0の物理ポート2番を利用する形ですと、
C2960の方に、タグ専用のトランクポートを設定しないとうまく動作はしないかと思います。
何故か、GigaEthernet2.0の物理インターフェイスが都度、シャットダウンさせている状況でしたので、
no shutdown　にて起動しているかご確認下さい。

以下のポート設定は、あくまでもポートベースVLANと紐付ける設定ですので、
C2960のVLAN1のトランクポート（ネイティブVLAN、タグ有り、タグ無し）のポートのみでOKです。
device GigaEthernet2　　　　　　　
vlan-group 1 port 1　→　C2960のネイティブVLAN、VLAN1を利用してポートベースVLANとタグVLAN20、タグVLAN30を利用する場合のポート
vlan-group 2 port 2　→　タグのポートで利用する場合には、削除で構いません
vlan-group 3 port 3　→　タグのポートで利用する場合には、削除で構いません

先述の
device GigaEthernet2　　　　　　　
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3

[0287 anonymous@fusianasan 2022/08/14(日) 08:09:48.28 ID:???]

>>284

ですが、C2960のトランクポート間の接続が、どちらのポートに接続されているは不明でしたので、
物理ポート１〜3番をあえて明示をしていました。
ポートベースVLANとタグを併用するトランクポートのみの接続にてOKな筈ですが。
C2960側のトランクポートを分けて、C2960側でうまく動作をしているのであれば、別なのですが、
どうもうまく動作を仕切れていない状況でしたので、

C2960側のトランクポートの設定にて、
IX2215　GE2:1.1-3 →→→→　C2960　port8(トランクモ−ド vlan1-30)　→　こちらのポートの設定をご確認下さい。
IX2215　GE2:2.1-3 →→→→　C2960　port7(トランクモ−ド vlan1-30) 　→　こちらのポートは、削除で良いかと思います。

C2960側のスイッチ機能として、ネイティブVLANのPVIDを別のポートへ優先するような設定は無いようですので、
どちらのポートのみにて、確認する形になるかと存じます。
　→　どうもこのトランク接続の機能ですが、お持ちのC2960スイッチではマルチトランクの動作に問題があるようですので、
単一のトランクポートにして、再度ご確認頂く形になるかと存じます。
　このマルチポートトランクの機能ですが、NECやネットギアのL3スイッチ、L2スイッチのマネージタイプにて、
搭載されています、「ハイブリッドモード」の機能に相当します。

お持ちのC2960のトランクポートの制御ですが、タグの制御の動作がうまくないタイプのようですので、

BVIのインターフェイスが、bridge-group 5　→　EtherIP-IPSEC(Tunnel1.0）が bridge-group 5に紐付いていますのでそちらはOKです。
C2960側から見て、ネイティブVLANのポート（IX2215のGigaEthernet2.0の物理ポート1番に、C2960のトランクポート指定のポートを接続し、
そのトランクポートでは、タグとタグ無しVLANが透過が出来る仕様になっているようですので、

interface GigaEthernet2:2.2〜GigaEthernet2:2.3　→　interface GigaEthernet2:1.2〜GigaEthernet2:1.3
に移管して、VLAN20〜VLAN30のIPアドレス周りとDHCPサーバ周りを移管しないと、
うまく動作はしないかと思います。

[0288 68 2022/08/14(日) 08:17:49.09 ID:???]

>>278
なるほど。
BVIではなく直接GE2.0のサブインターフェイスにIPやvlanタグを入れてしまえばBVI使わなくて済みますね。
一度やってみます

[0289 68 2022/08/14(日) 08:29:14.26 ID:???]

>>285

>>タグの部分については、タグとポートベースは個別に想定しないといけない要素になりますので、

最初からお話しされていた、この文面の意味が今になってやっと解ってきました。
タグVLANとポートVLANのインターフェイスは確実に分けないと動作しないのですね。

それと指摘されていたGE2.0が、まだshutdownになったままだったんですね！？　
すみません…　すぐno shutdownに変更します

[0290 anonymous@fusianasan 2022/08/14(日) 09:29:49.09 ID:???]

>>283-287

ご指定の現時点でのコンフィグ（A拠点、B拠点）のおかしいところを修正ました。
ご確認下さい。

ギガファイル便にて送付しましたので、ご確認下さい。

A拠点IX2215　
　https://43.gigafile.nu/0821-c18496f55e43381715b70722b8431c5f9
B拠点IX2215
　https://43.gigafile.nu/0821-bfa41bc07b0e9c8fcacc954cda2c8dd89

　ダウンロード期限　2022年8月21日(日)

　↑　やはり、C2960スイッチのマルチポートのトランクポート扱いに制約が御座いますので、
　シングルのトランクポートのみにて、ポートベースVLAN、タグVLANをご確認下さい。
　　IX2215側のトランクポートは、単一のポート（A拠点、B拠点ともC2960のport8、VLAN1想定）
　　静的ルーティングをしていますので、A拠点とB拠点のタグVLANの方のサブネットを/25の範囲に分けて、
ルーティングを修正しませんと、キチンとルーティングがされないかと思われます。
　NASのアクセスもそのような形が想定されます。

[0291 anonymous@fusianasan 2022/08/14(日) 09:35:06.99 ID:???]

>>288-289

ご指定のコンフィグのパラメーターが、間違ったパラメーターや誤入力などもあるようでしたので、
再度、IX2215とC2960（A拠点、B拠点）のコンフィグのパラメーター、誤入力を確認された方が良いかと思います。

[0292 anonymous@fusianasan 2022/08/14(日) 09:39:50.46 ID:???]

>>288-289

補足ですが、実際の稼働時には、パラメーターのミスなどはよくあることでしたので、
業務運用の場合には、ポートベースやタグなどのVLAN周り、WAN接続、アクセスリストなどの
一元化・見える化にて、ワンタッチ管理が出来る、NECのUNIVERGE QXのL3スイッチ、L2スイッチでの
ハイブリッドモードとトランクモードの連携接続を想定された方が良いかと思います。
UNIVERGE QXスイッチにされた条件下でも、シスコのAironetの無線LANのPOE給電は動作するかと思いますが、
NECの　「Netmeisterクラウド管理機能」からは、無線LAN周りの動作の管理までは出来ないので、
NEC　QX-W無線LANにされた方が良いかと思います。

[0293 anonymous@fusianasan 2022/08/14(日) 09:52:06.30 ID:???]

>>288-289

既存のA拠点とB拠点のIPアドレスサブネットを/24から/25に分けた場合の件ですが、

/24の場合には（255.255.255.0）、
　192.168.101.1-192.168.101.254（255はブロードキャストアドレス）
　192.168.102.1-192.168.102.254（255はブロードキャストアドレス）
　192.168.103.1-192.168.103.254（255はブロードキャストアドレス）
になりますが、

/25の場合には（255.255.255.128）、
　192.168.101.1-192.168.101.127（128はブロードキャストアドレス）
　192.168.101.129-192.168.101.254（255はブロードキャストアドレス）
　192.168.102.1-192.168.102.127（128はブロードキャストアドレス）
　192.168.102.129-192.168.102.254（255はブロードキャストアドレス）
　192.168.103.1-192.168.103.127（128はブロードキャストアドレス）
　192.168.103.129-192.168.103.254（255はブロードキャストアドレス）

　と言う範囲になりますので、IPSEC-VPN先とLAN側のC2960宛のルーティングを
分けるようにルールを設定出来るIPアドレスに変更しませんと、
NASやFAX複合機などのアクセスに影響が出てくる可能性が御座います。

[0294 anonymous@fusianasan 2022/08/14(日) 10:29:10.67 ID:???]

>>288-289

IPサブネットの関係ですが、業種・利用の使途により、分割サブネットではなく、複合サブネットにて、
EtherIP-IPSECの拠点間IPネットワークを結んでいるユーザーさまも居られます。

例　/23　サブネット（255.255.255.240、192.168.102.0〜192.168.103.255）
　/23サブネットでIPSECのルーティングや、LAN側ルーティングを切る場合には、
　今回のサブネットレベルでVLAN20とVLAN30用のサブネットを一括でルーティングが出来る場合が御座います。
　その場合には、VLAN20のみにて、/23のサブネットで、192.168.102.1-192.168.103.254まで通信が出来ます。

　ただし、その場合ですと、A拠点とB拠点のIPアドレスの振り分けや、IPSECトンネル宛ての静的ルーティングのルールを別途設ける形になりますね。
　例えば、A拠点にNASやFAX複合機が有って、B拠点よりA拠点の固定IPのNASや複合機へのアクセスを、
/32のサブネットにて、トンネル先へルーティング追加するようなイメージになるかと思いますが。
　

[0295 anonymous@fusianasan 2022/08/14(日) 10:38:38.93 ID:???]

>>288-289

固定IPサブネット/32　と　/24サブネットのルーティング経路選択、優先順位の選択は出来るかと思います。

　例　NASのIPが192.168.102.200/24の場合（A拠点にある）、B拠点からアクセス
　　　B拠点の静的経路として、C2960のトランクポート192.168.101.200
に192.168.102.0/24のルーティングをさせている

　　　ip route 192.168.102.0/24 192.168.101.200　←　B拠点のC2960のトランクポート宛てのルーティング
　　　ip route 192.168.102.200 Tunnel1.0　←　B拠点からA拠点のIPSEC先のトンネルルーティング

　　　↑　のような設定ですと、NAS宛ての通信としてB拠点のC2960の側に通信がされてしまうケース
distance値によって優先順位の選択は出来るかと思われます。

　　　ip route 192.168.102.0/24 192.168.101.200 distance 50
ip route 192.168.102.200 Tunnel1.0 distance 5

distance値が小さい方が優先され、そちらの経路選択外のサブネットはC2960側へルーティングする

[0296 anonymous@fusianasan 2022/08/14(日) 11:58:05.01 ID:???]

>>287-295

C2960スイッチ側のトランクポート（ネイティブVLAN、タグVLAN併用のポート）の件ですが、
他のポートは、タグVLAN用のアクセスポートになります。
ネイティブVLAN（VLAN1かと思いますが）、VLAN1のネイティブ・グループにシスコの無線LAN
を参加させるイメージになります。
　ネイティブVLANが優先される仕様に、C2960がなっているかと思いますので、
VLAN1のIPネットワークにて接続される基本ネットワークと、タグVLAN側とESS-IDを作成しました側で接続するネットワーク
を作成する形になります。

[0297 68 2022/08/14(日) 14:29:57.94 ID:???]

>>296
寝落からの起床でこのスレ開いたら…

ありがとうございます！
私の為にコンフィグまで書いて下さって…　感謝感激です。早速、ダウンロードさせて頂きました
もう、半分ダメかとも思っていましたが、なんとかなりそうな希望が見えてきた。
有り難い事に早急に、ご教示を頂いたところなのですが、所用で本日はIXを触れなさそうです。ほんと申し訳ないです。遅くても明日には再チャレンジしてみます。本日はスレをもう一度読み返して、更に知見を深めてみます。　大変感謝致します🙏

[0298 anonymous@fusianasan 2022/08/14(日) 15:21:29.54 ID:???]

>>297

どういたしまして。
　ちなみに、IX2215配下のスイッチを更新する理想は、NEC QX-L3スイッチなのですが、
単独の運用で宜しければ、ネットギア、BuffaloのL3スイッチでもOKかと思います。

　シスコのAironetの無線LANのPOE給電仕様ですが、先般お話はしておりましたが、
デフォルトはCDPデータ通信方式なのですが、Aironet側のiOSのバージョン・ライセンス、機能によっては、
一般汎用のLLDP方式の設定が出来る様ですので、既存の無線LANの仕様を確認頂いた方が良いかと思います。

　Aironet側にて変更が出来ない場合、スイッチ側にてAironetのPOEデータ通信方式の設定が出来るタイプ
の選定が必要（CDP方式）になりますが、CDP方式にもリビジョンが御座いますので、検証が必要になります。
　現状、NECのUNIVERGE QXのL3スイッチ、NETGEARのL3スイッチにて対応の項目は有るようですが、
NETGEAR の場合には、ISDPと言う設定項目になり、接続のポートの設定も必要になります。

[0299 anonymous@fusianasan 2022/08/14(日) 15:28:38.63 ID:???]

>>297-298

補足ですが、Buffalo系は、基本がLLDP方式のみになっているようですので、無線LAN親機側にて、LLDP方式の対応が出来るかどうか
を確認する必要があるかと思います。
　→　恐らく、Buffaloの無線LANに変更した方が良いかもしれません。

　シスコ系スイッチに、Buffalo無線LANを接続する部分については、広報されていますが。
　※　https://www.buffalo.jp/support/faq/detail/124145243.html

[0300 anonymous@fusianasan 2022/08/15(月) 12:10:36.74 ID:???]

>>297

私の修正・作成しましたコンフィグですが、一部受領していましたデータが、壊れているフォントが御座いましたので、
修正版を送付致します。
PPPOE認証周りや、Netmeisterの認証周りは、任意に変更下さい。

A拠点IX2215
　https://7.gigafile.nu/0822-d3d7017fe43b6a1b10c65617aaf42f307
B拠点IX2215
　https://7.gigafile.nu/0822-d0e75555a3ed8ecd8cf5dbf17216977d4

[0301 68 2022/08/15(月) 20:21:16.17 ID:???]

>>300

修正版のデ－タまで頂きありがとうございました。
早速、IXのコンフィグを見直して「修正版」の通りコンフィグ設定してみたのですが・・

AとB拠点のIX2215同士はIPSecにて通信が出来るのですが(ping試験にて確認)、AとB拠点の両方にてIX2215下部のあるC2960へは通信が確立出来ません。
DHCPサ－バ－からIPアドレスが降ってこない状況です。
IX2215とC2960(AとB拠点ともに)の通信が確立さえすれば、完了となりそうなのですが・・・

もうこれは、どうもCiscoスイッチ側の問題ですね～

もう少し弄ってみてそれでもダメなら、素直にNEC　univergeの　スイッチへの変更もありかも知れないですね～

色々と教えて頂きありがとうございます。　もう少しだけ足掻いてみます

[0302 anonymous@fusianasan 2022/08/15(月) 21:16:32.95 ID:???]

>>301

おかしいですね。
　IX2215側としては、コンフィグはマッチングしているのですが。
　配下のC2960スイッチの設定としては、
　IX2215の提示しましたコンフィグから反映しますと、
　C2960の設定イメージとしては、
　トランクポート　→　VLAN1（デフォルトVLAN、ネイティブVLAN、タグ併用、物理ポート8を利用、タググループ追加、VLAN20〜VLAN30）
）
　アクセスポート　→　VLAN20（dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.254/24、DHCP有）
　アクセスポート　→　VLAN30（dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.254/24、DHCP有）　
　という形にするだけですが。
　C2960の物理ポート8をトランクポートにしていますが、上位のIX2215より、C2960のトランクポートの割り当てIPアドレス（192.168.101.252でしょうか）
宛てに192.168.102.0/24のルーティング経路の設定を切っていれば、DHCP周りもルーティングされる形で、
IPアドレスの自動割り当てが効くはずですが。
A拠点のC2960のトランクポートに割り当てしました、IPアドレスは192.168.101.252、
ルーティング経路選択は、先のコンフィグも記載しましたが、
　ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
B拠点のC2960のトランクポートに割り当てしました、IPアドレスは192.168.101.2**
　**　はA拠点とは別のIPを設定されていますよね？
B拠点のルーティング経路は、
　ip route 192.168.102.0/24 192.168.101.2**
ip route 192.168.103.0/24 192.168.101.2**

それぞれのC2960には、デフォルトゲートウェイの設定、プロクシDNSの設定はされていますよね？
iOSのバージョンによって違う部分は有るかもしれませんが。
トランクポートのインターフェイス(VLAN1)に、
　ip default-gateway 192.168.101.254　
　DNSサーバの設定は、スイッチのグローバルコンフィグモードにて、
　ip name-server 192.168.101.254
　等になるかと存じます。

[0303 anonymous@fusianasan 2022/08/15(月) 21:25:59.55 ID:???]

>>301-302

先ほどの誤入力の項目が御座いましたので、修正します。

（誤）
　アクセスポート　→　VLAN20（dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.254/24、DHCP有）
　アクセスポート　→　VLAN30（dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.254/24、DHCP有）　

（正）
　アクセスポート　→　VLAN20（dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.0/24、DHCP有）
　アクセスポート　→　VLAN30（dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.0/24、DHCP有）　

[0304 anonymous@fusianasan 2022/08/15(月) 21:30:44.94 ID:???]

>>301-303

最終的に、NECのUNIVERGE QXのL3スイッチ、L2スイッチを購入される場合には、
既存のIX2215の設定コンフィグを明示し、配下のL3スイッチのコンフィグややりたいことを、
NECのサポートセンターへお問合せしますと、対応コンフィグの明示はして下さるかと思います。

[0305 68 2022/08/16(火) 04:39:10.73 ID:???]

>>302

お返事ありがとうございます

私の誤りもあったので色々と試してみたのですが・・・

結果的に、各拠点C2960の下にぶらさげた端末に対して、DHCPサ－バ－からのアドレスが下りてきました。
ただ、端末から各拠点のIX2215やC2960へのpingはほぼ通らない状況です(端末側のファイヤ－ウォ－ルはオフにした状態で)

しかし、謎な事にIX2215のコンフィグやC2960のコンフィグを弄ると、A拠点とB拠点のC2960にぶら下げたPCのネットワークアダプタはインタ－ネット側と繋がり、そのままインタ－ネットへ出ていく事が出来ます。もちろんIX2215のAB拠点間接続は維持されたままの状態となります。

それでもPCから各拠点のIX2215やC2960、または対向側のPCへのpingは通らず(安定しない)、PC側のネットワークアダプタ－を、無効にしてから有効に戻す　をすると、DHCPからのIPは変わりなく下りてきていますが、インタ－ネットへ出ていく事が出来なくなります。
ル－プが発生しているのか...　それともパケットが出口を見つけられないのか....

あと、ほんともう少しで終るところまで来ているのですが・・・
なんか良い策はございますでしょうか？？

すみません・・　質問ばかりで・・
一応、IXとC2960のコンフィグを貼っておきます。　お忙しいところ恐縮ですが、ご教示頂ければ幸いです


IX2215とC2960の接続としましては

IX2215(GE2.0 port 1) ⇔　　　C2960(GE port8)

となります。AとB拠点ともに同じとなります。PCはC2960の port 1 へ挿しております

https://imgur.com/a/2l55PR4
https://imgur.com/a/yrg9nTC
https://imgur.com/a/je6nn1F
https://imgur.com/a/QnsX02v

[0306 anonymous@fusianasan 2022/08/16(火) 09:21:40.94 ID:???]

>>305

IX2215とC2960のtechinfo ファイルを見ていませんので、なんとも言えませんが、
コンフィグデータは確認を致しました。
通常は考えにくいのですが、

GigaEthernet2.0＝BVI1(bridge-group5）＝GigaEthernet2:1.0　のポートベースVLAN（VLAN1、192.168.101.0/24、DHCP有）割り当てのIPアドレス、
GigaEthernet2:1.2=BVI（bridge-group5）＝タグVLANの割り当てIPアドレス（VLAN20、192.168.102.0/24、DHCP有）
GigaEthernet2:1.3=BVI（bridge-group5）＝タグVLANの割り当てIPアドレス（VLAN30、192.168.103.0/24、DHCP有）

↑　の条件下ですが、通常はブリッジグループを組んでいても、インターフェイス自身でIPアドレス設定・DHCP機能を設定していると、
IPアドレス及びDHCPが優先されるのは、インターフェイス自身にIPアドレスとDHCPを設定されている方が優先されるはずですので、
IPアドレスの割り振りにてかち合うというのは考えにくいのですが。

IPアドレスのかち合いの条件が発生しているのが原因となると、
GigaEthernet2:1.2〜GigaEthernet2:1.3　のインターフェイスに、192.168.101.0/24とプロトコル番号67〜68番の通信を
インターフェイス側に制限をしてみるなどの方法がになるかと思います。（原因の切り分けとなりますが）

設定例（IX2215-A拠点側）
ip access-list vlan-dhcp-sec deny udp src 192.168.101.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec2 deny udp src 192.168.102.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec3 deny udp src 192.168.103.0/24 sport range 67 68 dent any dport range 67 68
interface GigaEthernet2:1.2
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec3 2 in
interface GigaEthernet2:1.3
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec2 2 in
BVI側のインターフェイスに192.168.102.0/24、192.168.103.0/24からのDHCP-IPアドレスのプロトコルの通信を拒否する場合
interface BVI1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in

[0307 anonymous@fusianasan 2022/08/16(火) 09:22:26.50 ID:???]

>>305-306
続きです

あと、B拠点のC2960のVLAN1のトランクポートに割り当てされています、IPアドレスが192.168.101.251/24
でしたが、B拠点のC2960向けの静的ルーティング設定が反映しているかご確認下さい。

B拠点IX2215コンフィグ修正箇所（下記）
ip route 192.168.102.0/24 192.168.101.251
ip route 192.168.103.0/24 192.168.101.251
ip access-list vlan-dhcp-sec deny udp src 192.168.101.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec2 deny udp src 192.168.102.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec3 deny udp src 192.168.103.0/24 sport range 67 68 dent any dport range 67 68
interface GigaEthernet2:1.2
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec3 2 in
interface GigaEthernet2:1.3
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec2 2 in
interface BVI1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in

[0308 anonymous@fusianasan 2022/08/16(火) 09:23:51.91 ID:???]

>>305-307

他のコンフィグの部分については、確認を致します。（時間がかかるかもしれません）

[0309 anonymous@fusianasan 2022/08/16(火) 12:28:35.67 ID:???]

>>305-308

A拠点とB拠点のIX2215、C2960の確認をしました。
修正・追加の項目ですが、下記のようなイメージになるかと思います。
　BVI1・VLAN1のインターフェイスのDHCP取得（192.168.102.0/24、192.168.103.0/2から取得拒否、他は許可）
　VLAN20のインターフェイスのDHCP取得（192.168.101.0/24、192.168.103.0/24からは拒否、他は許可）
　VLAN30のインターフェイスのDHCP取得（192.168.101.0/24、192.168.102.0/24からは拒否、他は許可）

　C2960スイッチ（A拠点）のVLANおアクセスポートの変更、トランクポートの変更
　トランクポート　→　Port8のみ
　アクセスポート　→　VLAN1のみ（Port1〜2、無線LANが複数有った場合も想定）
　　　　　　　　　→　VLAN20（Port3〜5、9）、VLAN30（Port6〜7、10）
C2960スイッチ（B拠点）のVLANおアクセスポートの変更、トランクポートの変更
　トランクポート　→　Port8のみ
　アクセスポート　→　VLAN1のみ（Port1〜2、無線LANが複数有った場合も想定）
　　　　　　　　　→　VLAN20（Port3〜4、9）、VLAN30（Port5〜7、10）

　ギガファイル便にて送付します。
　　※　https://63.gigafile.nu/0823-d757121dbea8a8e6d6d019a1784ef029

[0310 68 2022/08/16(火) 15:47:53.71 ID:???]

>>309
たくさんのアドバイスとコンフィグパターンありがとうございます。
今から再チャレンジさせて頂きます。
あともう少し…汗

[0311 anonymous@fusianasan 2022/08/16(火) 16:38:50.45 ID:???]

>>310

　NECのL3スイッチ等でしたら、DHCP周りの制御が楽になるんですけどね。
　　※　ハイブリッドモード・VLAN、トランクモード併用、DHCPサーバ機能は、L3スイッチ側に対応させるなど。
　　　　IX2215は、DHCP機能は補完せず、インターネット接続、EtherIP-IPSEC接続周りのみ

[0312 68 2022/08/16(火) 18:59:21.35 ID:???]

>>309

ありがとうございます
ご教示頂いたコンフィグの内容にて色々と試してみました

>>
interface BVI1
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in
bridge ip filter dhcp-pass 100 in
bridge-group 5
no shutdown

上記の部分なのですが、bridge ip filter　というコンフィグはエラ－で入らなかったので、 　①ip filter vlan-dhcp-sec2 1 in　 ②ip filter vlan-dhcp-sec3 2 in　③ip filter dhcp-pass 100 in
としてBVI1のコンフィグを入れました

結果としてなのですが・・
やはり前回と同じく接続が安定しない様です。　今、B拠点のC2960へぶらさげたPC-Bにてカキコミをしているのですが、A拠点側のC2960下部にあるPC-Aはネットには出ていけない状況です。
もちろん機器同士のpingもほぼ通らない状況です。(PC-BはA拠点側のIXへ今pingは通っている状況です)

show tech-support　のコマンドでIX2215A・Bにて出力させてみたのですが、GE2.0で　Block されているステ－タスが少し気になります。

ギガファイル便にて頂いたコンフィグについては、間違いなく機器に投入しております。
何かおかしなところは有りますでしょうか？？　すみません　質問続きで・・

[0313 68 2022/08/16(火) 19:00:05.03 ID:???]

>>309

ありがとうございます
ご教示頂いたコンフィグの内容にて色々と試してみました

>>
interface BVI1
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in
bridge ip filter dhcp-pass 100 in
bridge-group 5
no shutdown

上記の部分なのですが、bridge ip filter　というコンフィグはエラ－で入らなかったので、 　①ip filter vlan-dhcp-sec2 1 in　 ②ip filter vlan-dhcp-sec3 2 in　③ip filter dhcp-pass 100 in
としてBVI1のコンフィグを入れました

結果としてなのですが・・
やはり前回と同じく接続が安定しない様です。　今、B拠点のC2960へぶらさげたPC-Bにてカキコミをしているのですが、A拠点側のC2960下部にあるPC-Aはネットには出ていけない状況です。
もちろん機器同士のpingもほぼ通らない状況です。(PC-BはA拠点側のIXへ今pingは通っている状況です)

show tech-support　のコマンドでIX2215A・Bにて出力させてみたのですが、GE2.0で　Block されているステ－タスが少し気になります。

ギガファイル便にて頂いたコンフィグについては、間違いなく機器に投入しております。
何かおかしなところは有りますでしょうか？？　すみません　質問続きで・・

[0314 68 2022/08/16(火) 19:01:14.96 ID:???]

-------------------- show bridge --------------------
IRB Group 5 Forwarding Cache - 11 entries, 4085 frees, 9645 flybys, 0 overflows
Codes: P - permanent, B - BVI
BG Address Interface Timeout RX count TX count
5 00:1b:d3:87:20:cd GigaEthernet2:1.2 299 1155 663
B 5 00:60:b9:e2:65:ce BVI1 - 527399 323612
5 00:60:b9:fd:94:28 Tunnel1.0 299 598 19
5 34:23:87:0b:44:d5 Tunnel1.0 296 19 20
5 34:76:c5:ec:c0:38 Tunnel1.0 297 75 19
5 34:76:c5:ec:c0:3a Tunnel1.0 298 207 0
5 5c:fc:66:99:a5:88 Tunnel1.0 285 135 25
5 b6:5d:4d:37:0d:0b Tunnel1.0 286 485 140
5 d0:50:99:62:6d:07 Tunnel1.0 300 327263 525401
5 dc:a6:32:e5:2e:f7 Tunnel1.0 300 37 9
5 e0:d1:73:82:f3:88 GigaEthernet2:1.0 298 200 20

IRB Group 5:
Interface Status Address RX count TX count RX drops
BVI1 forward 00:60:b9:e2:65:ce 527399 332675 0
GigaEthernet2.0 blocked 00:60:b9:e2:65:ae 0 0 0
GigaEthernet2:1.0 forward 00:60:b9:e2:65:ae 2480 8335 0
GigaEthernet2:1.2 forward 00:60:b9:e2:65:ae 924 8867 0
GigaEthernet2:1.3 forward 00:60:b9:e2:65:ae 133 9380 0
Tunnel1.0 forward --:--:--:--:--:-- 330023 529482 0

GigaEthernet2.0　のステ－タスがblock になってるのが気になります・・・

[0315 68 2022/08/16(火) 20:40:12.53 ID:???]

>>311
univergeのL3スイッチの新品は結構いい値段しますね～
ほぼ個人ユースなので、ヤフオク頼みですがたまに出品あるみたいですね。

ただ…　　ファン有りですよねコレ？　自宅置きなのでファン騒音で悶絶しそうですが、やはりIXと相性が良いとなると、こちらの導入も検討すべきですね。

>>IX2215は、DHCP機能は補完せず、インターネット接続、EtherIP-IPSEC接続周りのみ

この文章を深く読み取ると、ひとつの拠点にIXを二台設置して、それぞれの役割を分けると言う考え方もありかもしれないと言う事ですね～　少し検討してみます。
ありがとうございます

[0316 anonymous@fusianasan 2022/08/16(火) 22:25:56.54 ID:???]

>>313-315

　ブリッジグループの設定で、ブロックステータスですか。
　特段、GigEthernet2.0の方には、アクセスリストの設定などでの拒否設定はされていないのですが。
　「00:60:b9:e2:65:ae」　のMACアドレスは、クライアントPCなどのMACアドレスですか？

　IX2215の配下に、ブルータの役目にて、IX2215を接続するということですか。
　EtherIPのBVIのフィルタの部分ですが、確認を致します。

[0317 anonymous@fusianasan 2022/08/16(火) 23:42:01.49 ID:???]

>>315

「この文章を深く読み取ると、ひとつの拠点にIXを二台設置して、それぞれの役割を分けると言う考え方もありかもしれないと言う事ですね〜　少し検討してみます。
ありがとうございます 」

　↑　の件ですが、IX2215配下にIX2215をブルーター機能設定にて運用された場合にですが、
無線LANのPOE給電は、どのようにお考えでしょうか？
　残念ながら、POE給電スイッチの選択をしない場合には、シスコ無線LAN、他無線LAN装置にPOEインジェクターを用意しないといけない部分が御座いますので、
却ってL3スイッチ（POE給電機能）が有るタイプの選択が望ましいかと思いますが。

　L3スイッチ・POE付きにて、無線LANも併せて、ネットギアのフルマネージタイプの
L3スイッチと、クラウドWI-FIのタイプの選択の方がコストパフォーマンスが良いかと思いますが。

　ネットギア　「M4300-16X」、「WAX630」

[0318 68 2022/08/17(水) 01:16:43.35 ID:???]

>>316
お返事ありがとうございます

　「00:60:b9:e2:65:ae」　はIX2215のA側I/FのMacアドレスとなります
IX2215のA・B拠点の show tech-support の一部を貼ってみます。　見たところ、GigaEthernet2.0が blocked　になってるだけで、特段変なところが無いですね
一応、対向端末のMacアドレスを拾っているみたいです。

https://imgur.com/a/aGPKLTR

>>EtherIPのBVIのフィルタの部分ですが、確認を致します。

すみません。。とても助かります
しかし、もうこれはＩＸ2215とＣ2960のVlan相性の問題なんですかね～

普通にタグＶｌａnでIX2215とC2960を接続する分には何とも問題がなかったのですが

>>317
そうですね。仰る通りPOE給電を考えると給電対応のスイッチが必要ですね

ネットギア　「M4300-16X」、「WAX630」　　　かなり良さげですが・・　中々素晴らしいお値段ですね...汗

[0319 anonymous@fusianasan 2022/08/17(水) 04:15:14.70 ID:???]

>>318

　ふと考えていたのですが、
　NTT西日本の　スーパーハイスピード隼なのですよね？
　双方のPPPOEセッションのMTU数値の設定が未投入でしたが、EtherIP-IPSECのMSSが
1300の割り当てをしているようですので、何らかの形にてフラグメントパケット扱いになっている可能性もあるのですが、
1300の設定をしました証跡は、どのような意図にて設定をされていますでしょうか？
　IX2215ルーターの場合には、IPSECトンネルのIKE及びSA認証レベルによって、
可変的にMTUとMSSの設定をするようになっています。
　最近のNTT西日本の光回線のMTU設定値は、1454に変わったかと思いますが、
PPPOEの設定値が無いので、MTUの上限値を超える様な通信をIPSECトンネル内にしてしまうと、
パケットロスなどの現象、他通信障害が想定されます。

　ESP・IKE認証（Phase1）がAES-SHA1、IPSEC-SA（Phase2）がAES-SHA1にされている状況ですと、
IX2215のPPPOEセッションのMTUの設定値が無いので、上限無しに通信をしてしまうケースが想定されます。
　IX2215のデフォルト値では、PPPOE（MTU：1454、MSS：1414）→　IPSECトンネルのMTUは1454-60＝1390、MSSは1390-40＝1350
になっております。
　EtherIP-IPSECのMSS設定値が、1300の割り当てをしていますので、逆算すると、IPSECトンネルのMTUが1340、PPPOEの1404、MSSが1364になります。

　一度、A拠点のPPPOEセッションのMTUを固定にて1454、MSSを1414、IPSECトンネルの敷居値のMTUをチューニングしながら、
通信出来る範囲の精査をすると良いかと思います。

interface GigaEthernet0.1
ip mtu 1454
ip tcp adjust-mss 1414

interface Tunnel1.0
ip mtu 1390
ip tcp adjust-mss 1350

上記の設定値は、契約プロバイダによって、性能上のボトルネックが有る場合が御座いますので、
　上限値から下げていって、通信を見てみる形になるかと思います。

[0320 anonymous@fusianasan 2022/08/17(水) 17:49:51.30 ID:???]

>>318-319

　それと、直接的な因果関係は無いかと思いますが、既存のA拠点の環境が、NTT-HGWの配下での
接続の構成ですが、HGWよりIPアドレスがIX2215のGE0.0-I/Fに割り当てになるように、
HGWのDHCPサーバ機能が有効な形になっているかと思いますので、今回のBVIグループには、
GE0.0-I/Fには設定されていませんが、念のため、GE0.0-I/Fには、アクセスリストにて、
HGWからのIPアドレスは拒否するようにした方が良いかもしれません。

設定例
access-list hgw-list permit src any dest any type ipv6
access-list hgw-list deny src any dest any type ip
interface GigaEthernet0.0
ip filter hgw-list 1 in
ipv6 filter hgw-list 1 in

[0321 anonymous@fusianasan 2022/08/17(水) 21:36:55.17 ID:gpp8Wp7m]

314-320

念のため、再度、IX2215のコマンドリファレンス、機能説明書を確認しました。
　IXルーターの基本仕様として、EtherIPとブリッジグループ、VLAN1、VLAN20、VLAN30の同一ブリッジグループを想定しました際にですが、その参加しました物理インターフェイス及びVLANインターフェイスには、IPアドレスの設定がが出来ない仕様でしたため、アクセスリストにて、それぞれのVLANセグメントにDHCPサーバからのIPアドレス配布に制限をかけるイメージを想定したのですが、どうも、それでもその制約を違える事が出来ない様です。

ブリッジインターフェイス・ブリッジグループに物理インターフェイスとVLANインターフェイスの参加をしました場合には、それぞれのインターフェイスには、IPアドレスの設定をせずに、BVIインターフェイスにIPアドレスの設定をするのが基本仕様とのことです。
よってA拠点は
interface BVI1
ip address 192.168.101.254/24
ip address 192.168.102.254/24 secondary
ip address 192.168.103.254/24 secondary
ip proxy-arp
ip dhcp binding vlan1
bridge-group 5
no shutdown
interface GigaEthernet2:1.2
encapsulation dotlq 20 tpid 8100
auto-connect
ip proxy-arp
ip dhcp binding vlan20
bridge-group 5
no shutdown

interface GigaEthernet2:1.3
encapsulation dotlq 30 tpid 8100
auto-connect
ip proxy-arp
ip dhcp binding vlan30
bridge-group 5
no shutdown

と言う形西無いとBVIグループのIPアドレス制御が、アクセスリストのルールを設けたとしても動作しないようです。

[0322 anonymous@fusianasan 2022/08/17(水) 21:40:37.87 ID:???]

>>314-321

続きです。B拠点のIX2215ルーターには、
interface BVI1
ip address 192.168.101.253/24
ip address 192.168.102.253/24 secondary
ip address 192.168.103.253/24 secondary
ip proxy—arp
ip dhcp binding vlan1
bridge—group 5
no shutdown
interface GigaEthernet2:1.2
encapsulation dotlq 20 tpid 8100
auto—connect
ip proxy—arp
ip dhcp binding vlan20
bridge—group 5
no shutdown
interface GigaEthernet2:1.3
encapsulation dotlq 30 tpid 8100
auto—connect
ip proxy—arp
ip dhcp binding vlan30
bridge—group 5
no shutdown

と言う形になるようです。