NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11

[0001 anonymous@fusianasan 2022/06/02(木) 08:32:29.81 ID:???]

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
https://jpn.nec.com/univerge/ix/
https://jpn.nec.com/univerge/ix/Manual/
https://jpn.nec.com/univerge/ix/Support/

前スレ：NEC UNIVERGE IX2000/IX3000 運用構築スレ Part10
https://mao.5ch.net/test/read.cgi/network/1590527255/

[0257 68 2022/08/13(土) 02:48:42.88 ID:???]

>>256　のアップロ－ダ－のデ－タは間違えでコチラです。
すいません

https://imgur.com/a/1saV443

[0258 68 2022/08/13(土) 03:20:23.45 ID:???]

それと、色々試してみた結果　「BVI」　がネックになってるかと思い、A・B拠点共にコンフィグを書き直してみました。

結果、A・B拠点共にIX2215側とC2960.側で通信は出来るのですが、A拠点とB拠点のIPSecが通らなくなります。
恐らくIX2215側の仕様なのかと思っております。　サブインタ－フェイスを切って、bridge-group が同じのサブインタ－フェイスを複数作ったら挙動がおかしくなるのかな？

接続として・・　　IX2215　GE2:1.1-3 →→→→　C2960　port8(トランクモ－ド vlan1-30)
　　　　　　　　　 IX2215　GE2:2.1-3 →→→→　C2960　port7(トランクモ－ド vlan1-30)

　　　　　　　　　　C2960　port1(アクセスモ－ド vlan10) →→　PC

な感じでしております。

少しお手上げ状態ですねコレ..　　素直にNECのスイッチを買うべきかもしれませんね
IX2215のA・B拠点コンフィグを貼っておきます

https://imgur.com/a/pGjbFNG
https://imgur.com/a/iQSwUff

はあ～　もう疲れたぽ...

[0259 anonymous@fusianasan 2022/08/13(土) 07:48:42.65 ID:???]

>>256-258

コンフィグの確認を致しました。
単一のEtherIP-IPSECに複数のタグを通す部分、NetmeisterDDNSのメインモード接続のケースですが、
IPSECのローカルID、リモートIDは、複数のタグを通す関係上、不要になるかと存じます。

不要な項目（A拠点）
ipsec local-id ipsec-policy1 192.168.101.254
ipsec remote-id ipsec-policy1 192.168.101.253
不要な項目（B拠点）
ipsec local-id ipsec-policy1 192.168.101.253
ipsec remote-id ipsec-policy1 192.168.101.254

各コンフィグは確認致します。

[0260 anonymous@fusianasan 2022/08/13(土) 08:43:03.79 ID:???]

>>258
トランクモードでのトランクリンクの要件（下記）
IX2215　GE2:1.1-3 →→→→　C2960　port8(トランクモ−ド vlan1-30)
IX2215　GE2:2.1-3 →→→→　C2960　port7(トランクモ−ド vlan1-30)
でしたが、
シスコのデフォルトVLAN（NEC、ネットギアなどにてPVIDと言っていますが）、IX2215間のBVIインターフェイス間のタグ処理が出来ない場合に
VLAN1の方のネイティブVLANのリンク（IX2215間のリンクをVLAN1にする必要があるかもしれませんが）
VLAN1のデフォルトVLANの部分を利用して、そのデフォルトVLANのセグメントにタグ10、タグ20、タグ30を通す形のイメージになるのですが。
IX2215のトランクリンク間のBVIインターフェイスの条件ですが、
interface BVI1
ip address 192.168.101.254/24
ip dhcp binding vlan1 （VLAN10は利用しません）
bridge-group 5
IX2215間のトランクリンク・インターフェイスのネイティブVLAN間のリンクですが、
VLAN10のアドレス192.168.101.0/24をBVIインターフェイスと紐付けていますので、
その間のみのトランクリンク自体は、タグ無しでなければいけない状況になるかと存じます。
IX2215とのネイティブVLAN間の接続（シスコで言う対向側がタグに対応出来ないVLAN）との接続を
行うためには、IX2215側はポートベースでなければいけない形になります。
GE2.0-I/FのポートベースVLANで利用するポートの指定
設定例（物理ポート１〜3番をポートVLANで利用する設定例）
Device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-geoup 1 port 3
ご指定の利用では、C2960との接続のポートのみの指定で良いかと思います。
　（port 2〜３の指定は不要かもしれません、IX2215で言うVLAN1の確保）
ポートベースVLANの設定切替（シスコのネイティブVLAN、VLAN1とのトランクリンクの接続、192.168.101.254/24の割り当てをする
ポートの指定）
interface GigaEthernet2:1.0
auto-connect
bridge-group 5
no shutdown

[0261 anonymous@fusianasan 2022/08/13(土) 08:44:36.69 ID:???]

>>258-260
続きです。
タグVLANグループの設定を限定する（タグ、VLAN10の設定、インターフェイス関係は利用しない、削除する）
interface GigaEthernet2:1.2
encapsulation dot1q 20 tpid 8100
no ip address
bridge-group 5
no shutdown
interface GigaEthernet2:1.3
encapsulation dot1q 30 tpid 8100
no ip address
bridge-group 5
no shutdown

BVI2〜BVI3のタグのブリッジグループの変更
interface BVI2
ip address 192.168.102.254/24
ip dhcp binding vlan20
bridge-group 5
interface BVI3
ip address 192.168.103.254/24
ip dhcp binding vlan30
bridge-group 5

IX2215　→　C2960のトランクリンク・VLAN1間をポートベースVLANで切る形になりますが、
IX2215から、VLAN20、VLAN30へのルーティング処理を要求する形になりますので、
ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252

※　C2960側のトランクポートに割り当てするIPアドレスが、192.168.101.252であることを確認する。

タグVLAN間のセッション接続に問題が有る場合のトランクリンクにタグを同居させる場合の設定例になります。

[0262 anonymous@fusianasan 2022/08/13(土) 08:49:08.58 ID:???]

>>260

補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、
IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、
IPアドレス（192.168.101.254/24の割り当て）をして、タグVLANのブリッジグループと同一グループにする形になりますが、
IX2215のインターフェイスの設定ですが、
interface GigaEthernet2.Z.0 （Zの欄がVLANグループの番号になります）

[0263 anonymous@fusianasan 2022/08/13(土) 09:05:22.18 ID:???]

>>260

普段の運用管理として、ポートベースVLANとタグVLANの混合モードになりますので、
他社のL3、L2スイッチの部分ですと、ハイブリッドモードに相当する形になりますね。
シスコのアクセスポートの設定にしている、ポートのIPアドレス制御の機能に依存する部分になるかと思います。
やはり、NECのUNIVERGE QXのL3スイッチ、L2スイッチあたりにされた方が良いかと思いますね。
端末数によっては、今後の管理がシスコスイッチ系ですと、大変になりそうです。

シスコのAironetの無線LANのPOE給電仕様ですが、CDP機能での通信機能になりますので、
UNIVERGE QXのPOE給電モードをCDPモードにする形になるかと存じます。
出来れば、UNIVERGE QX-Wの無線LANにされた方が良いかと思いますが。

[0264 anonymous@fusianasan 2022/08/13(土) 10:05:54.65 ID:???]

>>258-261

A拠点のポートベースVLANのVLAN1のDHCPサーバのプロファイルですが、VLAN10から移行をして下さい。
ip dhcp prtofile vlan1
assignable-range 192.168.101.1 192.168.101.150
default-gateway 192.168.101.254
dns-server 192.168.101.254

[0265 anonymous@fusianasan 2022/08/13(土) 11:38:28.60 ID:???]

>>258-261

B拠点のコンフィグの件ですが、基本のVLANがポートベースになりますので、
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
ブリッジインターフェイスとVLAN1用のDHCPプロファイルですが、
interface BVI1
ip address 192.168.101.253/24
ip dhcp binding vlan1
bridge-group 5
にして、VLAN10のDHCPプロファイルは削除して下さい。（VLAN1用のDHCPプロファイル追加）
no ip dhcp-profile vlan10
ip dhcp prtofile vlan1
assignable-range 192.168.101.150 192.168.101.200
default-gateway 192.168.101.254
dns-server 192.168.101.254
それと、GE2.0-I/Fにブリッジインターフェイスの設定が無い（A拠点、B拠点とも）
interface GigaEthernet2.0
bridge-group 5
としてください。
B拠点のポートベースVLAN（VLAN1）の設定移行
interface GigaEthernet2:1.0
auto-connect
bridge-group 5
no shutdown
タグVLAN10のインターフェイスは削除
no interface GigaEthernet2:1.1
タグVLAN20、30のインターフェイスはそのままでOK

[0266 anonymous@fusianasan 2022/08/13(土) 11:39:54.90 ID:???]

>>258-265
続きです。

BVI2〜BVI3のインターフェイスのブリッジグループの変更
interface BVI2
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
interface BVI3
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5

EtherIP-IPSECのトンネルのブリッジレベルですが、bridge-group 5　になっていましたので、
全てbridge-group 5　にする形になります。
インターネット接続が出来なくなる件ですが、恐らくですが、IX2215の物理インターフェイス
GE2.0-I/Fの配下にてBVIグループを組んでいますので、GE2.0-I/Fに　bridge-group 5　の
エントリーが外れてしまっていたのが一因かと思います。（以下にて）

PPPOEセッションにてNATのインバウンドアドレスを参照するのは、あくまでもGE2.0-I/F配下の
ブリッジインターフェイスとタグインターフェイスになります。
昨日のインバウンドアドレスの設定は解除で良いかと思います。

no ip access-list vlan-in permit ip src 192.168.101.0/24 dest any
no ip access-list vlan-in permit ip src 192.168.102.0/24 dest any
no ip access-list vlan-in permit ip src 192.168.103.0/24 dest any

interface GigaEthernet0.1
no ip napt inside list vlan-in

[0267 anonymous@fusianasan 2022/08/13(土) 11:51:21.96 ID:???]

>>266

シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。
VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。

[0268 anonymous@fusianasan 2022/08/13(土) 12:02:01.90 ID:???]

>>259-267

IX2215からのトランクポート（ポートベースVLAN1、2960はネイティブVLAN参加）
トランクポートに参加するタグVLANはVLAN20〜VLAN30
BVIのブリッジグループは、エントリー５を指定されていましたので、IPSECの部分も含めてエントリー５で統一
物理インターフェイス（GE2.0-I/F）もエントリー５を追加
PPPOE-NATセッションが参照先のNATインバウンドアドレスは、BVIグループ（GE2.0-I/F、VLAN1、VLAN20、VLAN30）

IX2215側にて、シスコのC2960のトランクポートを認識出来るモードがポートベースVLAN（VLAN1）
シスコの無線LANのVLAN参加は、ネイティブVLAN（VLAN1）になる。

[0269 68 2022/08/13(土) 16:24:58.34 ID:???]

>>259-268

貴重なお時間を頂きとてもありがとうございます。
今から再チャレンジします。

補足で頂いたアドバイスの中で、2点ほどご質問させて下さい

AとB拠点のIXでポ－トVLANを作成する時に

device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3

コチラでご教示を頂いていますが、全て同じ　「vlan-group 1 」　にすると言う事で宜しいでしょうか？？



>>シスコの無線LANのVLANの参加は、ネイティブVLANのイメージをして頂く形になりますね。
VLAN1のセグメントにて、ESS-IDなどの設定をご確認下さい。

>>シスコの無線LANのVLAN参加は、ネイティブVLAN（VLAN1）になる。

それとコチラのアドバイスの内容は

※C2960から「無線コントロ－ラ－」または「Aironet」の接続は、アクセスモ－ドでVlan1として接続

上記の内容で宜しいでしょうか？？

確か・・　Vlan1同士で無線コントロ－ラ－とApが接続さえすれば、capwapトンネル　で、無線コントロ－ラ－よりAPから吹く電波のセグメント(101.0/24～103.0/24)は指定出来たモノと認識しております。

もし、私の認識が誤っていればご教示頂ければ幸いです

[0270 anonymous@fusianasan 2022/08/13(土) 17:13:55.83 ID:???]

>>269

「AとB拠点のIXでポ−トVLANを作成する時に
device GigaEthernet2
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3
コチラでご教示を頂いていますが、全て同じ　「vlan-group 1 」　にすると言う事で宜しいでしょうか？？」

↑　の件ですが、シスコのネイティブVLAN（デフォルトVLAN、VLAN1）に合わせる形ですと、
IX2215では、ポートベースVLANの物理VLANのグループのエントリーになります。
よって、GigaEthernet2 に設定されたVLANグループのエントリーナンバー１が紐付ける形になります。
　当然、そのVLAN1のグループが、シスコで言うトランクポートの優先エントリーになります。

　シスコのAironetの無線LANの設定項目に、ネイティブVLANのグループエントリーが有るかと思いますが、
そのエントリーになります。そのデフォルトエントリーとは別に、タグVLAN側にESS-IDと紐付けるVLANが有りましたら、
VLAN20、VLAN30のエントリーとESS-IDを追加登録します。

　ネイティブVLAN（VLAN1）は、IX2215のポートベースVLANの　vlan-group 1のエントリーのDHCP範囲内のIP体系になりますので、
192.168.101.***/24になります。
　追加にて、VLAN20とVLAN30のエントリーを作成して、そのESS-ID宛てに接続すると、タグVLAN側での接続になりますので、
タグ側では、192.168.102.***/24、192.168.103.***/24のIPアドレスが割り当てになるイメージになるかと思います。

AirnetのデフォルトVLANセグメントのネットワーク同士の管理コントローラー側とサブコントローラー側の接続になるかと存じます。
よって、管理コントローラー側にて、タグ側エントリーの追加とESS-IDの追加をすると、
有線LANバックホール接続のイメージにて、サブコントローラーへその設定が反映する形になるかと思います。

[0271 anonymous@fusianasan 2022/08/13(土) 17:28:27.96 ID:???]

>>270

タグVLAN20とタグVLAN側のIPアドレス等の設定、DHCPの設定関係ですが、
シスコの仕様がまだ不確定要素が有るかもしれません。
ケースにより、BVI2〜BVI3のブリッジインターフェイスを作成するのでは無く、
タグインターフェイスに直接IPアドレスとDHCPのプロファイルの紐付けをする形になるかもしれません。

設定例
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
no shuitdown

↑　の様なイメージとなりますと、VLAN1のセグメントにて接続して、その配下にて、
VLAN20、VLAN30のプロファイルがぶら下がる形になるかと存じます。
　※　この形ですと、BVI2とBVI3の設定が不要になるかもしれません。

[0272 anonymous@fusianasan 2022/08/13(土) 17:31:22.82 ID:???]

>>270-271

シスコのスイッチの独自のライセンス契約・機能の兼ね合いが御座いますため、
IXルーター側の公開マニュアルの内容には未掲載のカスタマイズになる可能性があるかもしれないと言うことになります。

[0273 68 2022/08/13(土) 17:31:28.35 ID:???]

>>270
ご返信ありがとうございます。
今からやってみます。
たくさんのアドバイスとても感謝致します

[0274 anonymous@fusianasan 2022/08/13(土) 17:46:35.71 ID:???]

>>270-272

IPネットワークの構成イメージですが（念のため）

IX2215のGigaEthernet2.0インターフェイス（BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け）
　→　GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ
　→　C2960のトランクポートは１系統のみの接続
　→　GigaEthernet2:1.2（タグVLAN20、bridge-group5、192.168.102.253/24）
　→　GigaEthernet2:1.3（タグVLAN30、bridge-group5、192168.103.253/24）
　→　EtherIP-IPSEC（Tunnel1.0、bridge-group5、ローカルID、リモートID無し）
　→　静的ルーティング経路設定（　ip route 192.168.102.0/24 192.168.101.252、ip route 192.168.103.0/24 192.168.101.252、ネイティブVLANのトランクポートに割り当てしましたC2960のIPアドレス宛）

と言うイメージになるかと思います。

[0275 anonymous@fusianasan 2022/08/13(土) 17:53:24.81 ID:???]

>>270-274

補足ですが、このようなポートベースVLANとタグVLANを併用するような設定になりますと、
セキュリティ面にて、何らかのファクターが出るかもしれませんね。

IX2215とC2960の間にFortigate等の装置を入れる場合には、

FortigateのWAN側とLAN側にポートベースとタグを通過出来るようにインターフェイスの設定を入れて、
ポートベースとタグ毎のセキュリティポリシーの設定が必要になるかもしれません。
　→　Fortigateのトランスペアレントブリッジモードの設定イメージ。

[0276 anonymous@fusianasan 2022/08/13(土) 18:58:48.55 ID:???]

>>274

「IX2215のGigaEthernet2.0インターフェイス（BVI1、bridge-group5、192.168.101.254/24、VLAN1と紐付け）
　→　GigaEthernet2:1.0〜GigaEthernet2:3.0がポートベースVLANのポートイメージ」
　　　GigaEthernet2:1.0〜GigaEthernet2:3.0　にも　bridge-group 5　の割り当てをして下さいね。

[0277 68 2022/08/14(日) 00:03:39.56 ID:???]

>>266

何回も質問ごめんなさい。


>>
BVI2～BVI3のインターフェイスのブリッジグループの変更
interface BVI2
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5

interface BVI3
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5

の部分なのですが、IXの仕様なのか、BVI1に既に　「bridge-group 5」　を投入しているので他のBVIに　「bridge-group 5」　を投入出来ない様です。

% BVI is already assigned to group 5

のエラ－コ－ドで弾かれてしまいます。

何か他に良い策ってございますでしょうか？？

[0278 anonymous@fusianasan 2022/08/14(日) 03:53:12.57 ID:???]

>>277

BVIインターフェイスには、性質上ですが、ブリッジグループの条件は単一ですので、
複数のBVIインターフェイスには別のブリッジグループの設定しか出来ません。
それは、富士通のSi-Rルーターや、アライドテレシスのルーター、シスコのISR、ASAも同じです。

よって対案としては、
BVI1のエントリーに、セカンダリIPアドレスの追加をする。
　※　192.168.102.253/24、192.168.103.253/24　等
　→　これは、今回の環境の構成には、マッチング出来ないかと思います。

もう一つの方法は、BVI2〜BVI3を削除して、タグVLANのインターフェイスに直接
IPアドレス、DHCPサーバ、ブリッジグループ５のエントリーを追加する方法になります。

設定例
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.253/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.253/24
ip dhcp binding vlan30
bridge-group 5
no shutdown

という方法になります。
こちらの方法になります。

[0279 68 2022/08/14(日) 04:13:04.97 ID:???]

>>278
いつもアドバイスとお返事ありがとうございます

278　で頂いた方法とは違うのですが...

>>262　にて頂いたアドバイスの中で

補足ですが、シスコのネイティブVLAN間のトランクリンクを確立させる要件ですが、
IX2215側の物理ポートを限定して、ポートベースVLANを切って、そのポートにBVIインターフェイスにて、
IPアドレス（192.168.101.254/24の割り当て）をして、タグVLANのブリッジグループと同一グループにする形になりますが、
IX2215のインターフェイスの設定ですが、
interface GigaEthernet2.Z.0 （Zの欄がVLANグループの番号になります）

上記の一文が気に掛かかっていたので、少し　「bridge-group 5」　を 設定した　GE2.0-I/F　を少し弄ると

A拠点(IX2215+C2960) と　B拠点(IX2215+C2960) 　の間でIPSecが通り、同一セグメント間において拠点跨ぎで通信出来ました

ありがとうございました。　ひとまずお礼を申し上げます

後ほど、ご報告も兼ねてコンフィグを貼らせて頂きます(正しいコンフィグがどうかは怪しいですが....)

[0280 68 2022/08/14(日) 04:15:47.72 ID:???]

>>278

コチラでご紹介頂いた方法も後ほど試させて頂きたいと思います。
とても感謝です

[0281 anonymous@fusianasan 2022/08/14(日) 05:03:51.28 ID:???]

>>279-280

278の設定例ですが、B拠点用の設定例になります。（271でも記載をしていましたが）
A拠点用は、下記になります。（事前に、BVI2〜BVI3を削除下さい）

設定例（A拠点用）
interface GigaEthernet 2:1.2
encapsulation dot1q 20 tripd 8100
auto-connect
ip address 192.168.102.254/24
ip dhcp binding vlan20
bridge-group 5
no shuitdown
interface GigaEthernet 2:1.3
encapsulation dot1q 30 tripd 8100
auto-connect
ip address 192.168.103.254/24
ip dhcp binding vlan30
bridge-group 5
no shutdown

[0282 anonymous@fusianasan 2022/08/14(日) 05:09:52.47 ID:???]

>>279-281

基本的な接続方法でしたが、

A拠点IX2215＋C2960（ポートベースVLAN＋タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる）
　→　EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる
B拠点IX2215＋C2960（ポートベースVLAN＋タグVLAN、ポートベースVLANのトランクリンクにタグVLANをぶら下げる）
　→　EtherIP-IPSECのトンネルリンクは、基本のVLANはポートベースVLANのブリッジグループ接続をさせる

ポートベースVLANの接続がデフォルトIPSEC接続になりますので、性格上物理インターフェイス（GigaEthernet2.0）経由でのブリッジグループを設定し、
ポートベース間の192.168.101.0/24の接続をして、その同一ポートインターフェイスに、
タグVLANのインターフェイスをぶら下げて、EtherIP-IPSECトンネルにタグを複数接続させるイメージになります。

[0283 68 2022/08/14(日) 07:05:01.76 ID:???]

>>281-282
度々のアドバイスとても助かっています。

後ほど、コチラのコンフィグでも試してみようと思います。
とても勉強になり感謝しております


下記のコンフィグにて一応、A拠点とB拠点の通信が確立出来ました。　もちろん、CiscoスイッチをIX2215にぶら下げた状態です。
これが正しいかどうかは良くわかりませんが報告も兼ねて貼っておきます。これが正しいのか全くわかりませんが...

ただ、まだ課題が残りまして・・

①同一拠点内　(AまたはBで)　異なるセグメント同士が通信可能になっているので、アクセスフィルタ－の投入

②B拠点の端末がインタ－ネットへ出ていけない状態
　 a：B拠点のIX2215で.「ip dhcp prtofile」　の default-gateway と dns-server　の値を 192.168.101(102,103).253とすればネットへ出ていけるが、 default-gateway と dns-serve　が　192.168.101(102，103).254であればネットに繋がらない

　 b：A拠点を経由してインタ－ネットへ出て欲しいが、IPSecは繋がって同一セグメント同士で拠点跨ぎの機器同士の通信が可能ですが、B拠点下部端末からはインタ－ネットへ出て行けない

③同一拠点内であれば異なるセグメント同士でも通信できますが、なぜかラズパイにぶらさげたNASは同一拠点の異なるセグメントからとなれば通信出来ない状態

とりあえず後ほど、また課題の解決してみます
色々と助けて頂いてありがとうございました。
やっと寝れる～　　　ただ、お盆休み中には終らなさそう...涙

https://imgur.com/a/WL3nsil
https://imgur.com/a/O7d1Zzh

[0284 68 2022/08/14(日) 07:07:28.18 ID:???]

それと・・・
前回にご指摘頂いたポ－トVLANの設定で

device GigaEthernet2　　　　　　　
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3


上記については、私のコンフィグでは同じ「vlan-group」にすれば、A拠点の端末はインタ－ネットへ出ていけなかったので

最初の
device GigaEthernet2　　　　　　　
vlan-group 1 port 1
vlan-group 2 port 2
vlan-group 3 port 3

へ戻しました

アドバイスありがとうございました

[0285 anonymous@fusianasan 2022/08/14(日) 08:01:35.91 ID:???]

>>284

A拠点のコンフィグを見ましたが、GigaEthernet2.0のインターフェイスがシャットダウンされていますよ。
こちらではアクセスは出来ないかと存じます。（下記にて起動をご確認下さい）
interface GigaEthernet2.0
no shutdown

ポートベースVLANの物理インターフェイスにIPアドレスの設定（192.168.101.254/24）
が設定されていない状況でしたので、こちらではうまく動作はしないかと存じます。
こちらのポートベースVLANですが、Device GigaEthernet2のポート1（VLAN1）と同期をしており、
上記のinterface GigaEthernet2.0　の動作状態とも同期をしていますので、
GigaEthernet2.0が　shutdown 状態では、うまく動作は致しませんが。

interface GigaEthernet2:1.0
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan10
bridge-group 5
no shutdown

タグの部分については、タグとポートベースは個別に想定しないといけない要素になりますので、

[0286 anonymous@fusianasan 2022/08/14(日) 08:06:44.56 ID:???]

>>283-284

続きです。
interface GigaEthernet2:2.2〜GigaEthernet2:2.3
の部分ですが、IX2215の物理ポート２番のインターフェイス配下にタグをつける様にしている状況です。
こちらもGigaEthernet2.0のインターフェイスが shutdownされているので、うまく動作はしないかと思います。
こちらのIX2215のGigaEthernet2.0の物理ポート2番を利用する形ですと、
C2960の方に、タグ専用のトランクポートを設定しないとうまく動作はしないかと思います。
何故か、GigaEthernet2.0の物理インターフェイスが都度、シャットダウンさせている状況でしたので、
no shutdown　にて起動しているかご確認下さい。

以下のポート設定は、あくまでもポートベースVLANと紐付ける設定ですので、
C2960のVLAN1のトランクポート（ネイティブVLAN、タグ有り、タグ無し）のポートのみでOKです。
device GigaEthernet2　　　　　　　
vlan-group 1 port 1　→　C2960のネイティブVLAN、VLAN1を利用してポートベースVLANとタグVLAN20、タグVLAN30を利用する場合のポート
vlan-group 2 port 2　→　タグのポートで利用する場合には、削除で構いません
vlan-group 3 port 3　→　タグのポートで利用する場合には、削除で構いません

先述の
device GigaEthernet2　　　　　　　
vlan-group 1 port 1
vlan-group 1 port 2
vlan-group 1 port 3

[0287 anonymous@fusianasan 2022/08/14(日) 08:09:48.28 ID:???]

>>284

ですが、C2960のトランクポート間の接続が、どちらのポートに接続されているは不明でしたので、
物理ポート１〜3番をあえて明示をしていました。
ポートベースVLANとタグを併用するトランクポートのみの接続にてOKな筈ですが。
C2960側のトランクポートを分けて、C2960側でうまく動作をしているのであれば、別なのですが、
どうもうまく動作を仕切れていない状況でしたので、

C2960側のトランクポートの設定にて、
IX2215　GE2:1.1-3 →→→→　C2960　port8(トランクモ−ド vlan1-30)　→　こちらのポートの設定をご確認下さい。
IX2215　GE2:2.1-3 →→→→　C2960　port7(トランクモ−ド vlan1-30) 　→　こちらのポートは、削除で良いかと思います。

C2960側のスイッチ機能として、ネイティブVLANのPVIDを別のポートへ優先するような設定は無いようですので、
どちらのポートのみにて、確認する形になるかと存じます。
　→　どうもこのトランク接続の機能ですが、お持ちのC2960スイッチではマルチトランクの動作に問題があるようですので、
単一のトランクポートにして、再度ご確認頂く形になるかと存じます。
　このマルチポートトランクの機能ですが、NECやネットギアのL3スイッチ、L2スイッチのマネージタイプにて、
搭載されています、「ハイブリッドモード」の機能に相当します。

お持ちのC2960のトランクポートの制御ですが、タグの制御の動作がうまくないタイプのようですので、

BVIのインターフェイスが、bridge-group 5　→　EtherIP-IPSEC(Tunnel1.0）が bridge-group 5に紐付いていますのでそちらはOKです。
C2960側から見て、ネイティブVLANのポート（IX2215のGigaEthernet2.0の物理ポート1番に、C2960のトランクポート指定のポートを接続し、
そのトランクポートでは、タグとタグ無しVLANが透過が出来る仕様になっているようですので、

interface GigaEthernet2:2.2〜GigaEthernet2:2.3　→　interface GigaEthernet2:1.2〜GigaEthernet2:1.3
に移管して、VLAN20〜VLAN30のIPアドレス周りとDHCPサーバ周りを移管しないと、
うまく動作はしないかと思います。

[0288 68 2022/08/14(日) 08:17:49.09 ID:???]

>>278
なるほど。
BVIではなく直接GE2.0のサブインターフェイスにIPやvlanタグを入れてしまえばBVI使わなくて済みますね。
一度やってみます

[0289 68 2022/08/14(日) 08:29:14.26 ID:???]

>>285

>>タグの部分については、タグとポートベースは個別に想定しないといけない要素になりますので、

最初からお話しされていた、この文面の意味が今になってやっと解ってきました。
タグVLANとポートVLANのインターフェイスは確実に分けないと動作しないのですね。

それと指摘されていたGE2.0が、まだshutdownになったままだったんですね！？　
すみません…　すぐno shutdownに変更します

[0290 anonymous@fusianasan 2022/08/14(日) 09:29:49.09 ID:???]

>>283-287

ご指定の現時点でのコンフィグ（A拠点、B拠点）のおかしいところを修正ました。
ご確認下さい。

ギガファイル便にて送付しましたので、ご確認下さい。

A拠点IX2215　
　https://43.gigafile.nu/0821-c18496f55e43381715b70722b8431c5f9
B拠点IX2215
　https://43.gigafile.nu/0821-bfa41bc07b0e9c8fcacc954cda2c8dd89

　ダウンロード期限　2022年8月21日(日)

　↑　やはり、C2960スイッチのマルチポートのトランクポート扱いに制約が御座いますので、
　シングルのトランクポートのみにて、ポートベースVLAN、タグVLANをご確認下さい。
　　IX2215側のトランクポートは、単一のポート（A拠点、B拠点ともC2960のport8、VLAN1想定）
　　静的ルーティングをしていますので、A拠点とB拠点のタグVLANの方のサブネットを/25の範囲に分けて、
ルーティングを修正しませんと、キチンとルーティングがされないかと思われます。
　NASのアクセスもそのような形が想定されます。

[0291 anonymous@fusianasan 2022/08/14(日) 09:35:06.99 ID:???]

>>288-289

ご指定のコンフィグのパラメーターが、間違ったパラメーターや誤入力などもあるようでしたので、
再度、IX2215とC2960（A拠点、B拠点）のコンフィグのパラメーター、誤入力を確認された方が良いかと思います。

[0292 anonymous@fusianasan 2022/08/14(日) 09:39:50.46 ID:???]

>>288-289

補足ですが、実際の稼働時には、パラメーターのミスなどはよくあることでしたので、
業務運用の場合には、ポートベースやタグなどのVLAN周り、WAN接続、アクセスリストなどの
一元化・見える化にて、ワンタッチ管理が出来る、NECのUNIVERGE QXのL3スイッチ、L2スイッチでの
ハイブリッドモードとトランクモードの連携接続を想定された方が良いかと思います。
UNIVERGE QXスイッチにされた条件下でも、シスコのAironetの無線LANのPOE給電は動作するかと思いますが、
NECの　「Netmeisterクラウド管理機能」からは、無線LAN周りの動作の管理までは出来ないので、
NEC　QX-W無線LANにされた方が良いかと思います。

[0293 anonymous@fusianasan 2022/08/14(日) 09:52:06.30 ID:???]

>>288-289

既存のA拠点とB拠点のIPアドレスサブネットを/24から/25に分けた場合の件ですが、

/24の場合には（255.255.255.0）、
　192.168.101.1-192.168.101.254（255はブロードキャストアドレス）
　192.168.102.1-192.168.102.254（255はブロードキャストアドレス）
　192.168.103.1-192.168.103.254（255はブロードキャストアドレス）
になりますが、

/25の場合には（255.255.255.128）、
　192.168.101.1-192.168.101.127（128はブロードキャストアドレス）
　192.168.101.129-192.168.101.254（255はブロードキャストアドレス）
　192.168.102.1-192.168.102.127（128はブロードキャストアドレス）
　192.168.102.129-192.168.102.254（255はブロードキャストアドレス）
　192.168.103.1-192.168.103.127（128はブロードキャストアドレス）
　192.168.103.129-192.168.103.254（255はブロードキャストアドレス）

　と言う範囲になりますので、IPSEC-VPN先とLAN側のC2960宛のルーティングを
分けるようにルールを設定出来るIPアドレスに変更しませんと、
NASやFAX複合機などのアクセスに影響が出てくる可能性が御座います。

[0294 anonymous@fusianasan 2022/08/14(日) 10:29:10.67 ID:???]

>>288-289

IPサブネットの関係ですが、業種・利用の使途により、分割サブネットではなく、複合サブネットにて、
EtherIP-IPSECの拠点間IPネットワークを結んでいるユーザーさまも居られます。

例　/23　サブネット（255.255.255.240、192.168.102.0〜192.168.103.255）
　/23サブネットでIPSECのルーティングや、LAN側ルーティングを切る場合には、
　今回のサブネットレベルでVLAN20とVLAN30用のサブネットを一括でルーティングが出来る場合が御座います。
　その場合には、VLAN20のみにて、/23のサブネットで、192.168.102.1-192.168.103.254まで通信が出来ます。

　ただし、その場合ですと、A拠点とB拠点のIPアドレスの振り分けや、IPSECトンネル宛ての静的ルーティングのルールを別途設ける形になりますね。
　例えば、A拠点にNASやFAX複合機が有って、B拠点よりA拠点の固定IPのNASや複合機へのアクセスを、
/32のサブネットにて、トンネル先へルーティング追加するようなイメージになるかと思いますが。
　

[0295 anonymous@fusianasan 2022/08/14(日) 10:38:38.93 ID:???]

>>288-289

固定IPサブネット/32　と　/24サブネットのルーティング経路選択、優先順位の選択は出来るかと思います。

　例　NASのIPが192.168.102.200/24の場合（A拠点にある）、B拠点からアクセス
　　　B拠点の静的経路として、C2960のトランクポート192.168.101.200
に192.168.102.0/24のルーティングをさせている

　　　ip route 192.168.102.0/24 192.168.101.200　←　B拠点のC2960のトランクポート宛てのルーティング
　　　ip route 192.168.102.200 Tunnel1.0　←　B拠点からA拠点のIPSEC先のトンネルルーティング

　　　↑　のような設定ですと、NAS宛ての通信としてB拠点のC2960の側に通信がされてしまうケース
distance値によって優先順位の選択は出来るかと思われます。

　　　ip route 192.168.102.0/24 192.168.101.200 distance 50
ip route 192.168.102.200 Tunnel1.0 distance 5

distance値が小さい方が優先され、そちらの経路選択外のサブネットはC2960側へルーティングする

[0296 anonymous@fusianasan 2022/08/14(日) 11:58:05.01 ID:???]

>>287-295

C2960スイッチ側のトランクポート（ネイティブVLAN、タグVLAN併用のポート）の件ですが、
他のポートは、タグVLAN用のアクセスポートになります。
ネイティブVLAN（VLAN1かと思いますが）、VLAN1のネイティブ・グループにシスコの無線LAN
を参加させるイメージになります。
　ネイティブVLANが優先される仕様に、C2960がなっているかと思いますので、
VLAN1のIPネットワークにて接続される基本ネットワークと、タグVLAN側とESS-IDを作成しました側で接続するネットワーク
を作成する形になります。

[0297 68 2022/08/14(日) 14:29:57.94 ID:???]

>>296
寝落からの起床でこのスレ開いたら…

ありがとうございます！
私の為にコンフィグまで書いて下さって…　感謝感激です。早速、ダウンロードさせて頂きました
もう、半分ダメかとも思っていましたが、なんとかなりそうな希望が見えてきた。
有り難い事に早急に、ご教示を頂いたところなのですが、所用で本日はIXを触れなさそうです。ほんと申し訳ないです。遅くても明日には再チャレンジしてみます。本日はスレをもう一度読み返して、更に知見を深めてみます。　大変感謝致します🙏

[0298 anonymous@fusianasan 2022/08/14(日) 15:21:29.54 ID:???]

>>297

どういたしまして。
　ちなみに、IX2215配下のスイッチを更新する理想は、NEC QX-L3スイッチなのですが、
単独の運用で宜しければ、ネットギア、BuffaloのL3スイッチでもOKかと思います。

　シスコのAironetの無線LANのPOE給電仕様ですが、先般お話はしておりましたが、
デフォルトはCDPデータ通信方式なのですが、Aironet側のiOSのバージョン・ライセンス、機能によっては、
一般汎用のLLDP方式の設定が出来る様ですので、既存の無線LANの仕様を確認頂いた方が良いかと思います。

　Aironet側にて変更が出来ない場合、スイッチ側にてAironetのPOEデータ通信方式の設定が出来るタイプ
の選定が必要（CDP方式）になりますが、CDP方式にもリビジョンが御座いますので、検証が必要になります。
　現状、NECのUNIVERGE QXのL3スイッチ、NETGEARのL3スイッチにて対応の項目は有るようですが、
NETGEAR の場合には、ISDPと言う設定項目になり、接続のポートの設定も必要になります。

[0299 anonymous@fusianasan 2022/08/14(日) 15:28:38.63 ID:???]

>>297-298

補足ですが、Buffalo系は、基本がLLDP方式のみになっているようですので、無線LAN親機側にて、LLDP方式の対応が出来るかどうか
を確認する必要があるかと思います。
　→　恐らく、Buffaloの無線LANに変更した方が良いかもしれません。

　シスコ系スイッチに、Buffalo無線LANを接続する部分については、広報されていますが。
　※　https://www.buffalo.jp/support/faq/detail/124145243.html

[0300 anonymous@fusianasan 2022/08/15(月) 12:10:36.74 ID:???]

>>297

私の修正・作成しましたコンフィグですが、一部受領していましたデータが、壊れているフォントが御座いましたので、
修正版を送付致します。
PPPOE認証周りや、Netmeisterの認証周りは、任意に変更下さい。

A拠点IX2215
　https://7.gigafile.nu/0822-d3d7017fe43b6a1b10c65617aaf42f307
B拠点IX2215
　https://7.gigafile.nu/0822-d0e75555a3ed8ecd8cf5dbf17216977d4

[0301 68 2022/08/15(月) 20:21:16.17 ID:???]

>>300

修正版のデ－タまで頂きありがとうございました。
早速、IXのコンフィグを見直して「修正版」の通りコンフィグ設定してみたのですが・・

AとB拠点のIX2215同士はIPSecにて通信が出来るのですが(ping試験にて確認)、AとB拠点の両方にてIX2215下部のあるC2960へは通信が確立出来ません。
DHCPサ－バ－からIPアドレスが降ってこない状況です。
IX2215とC2960(AとB拠点ともに)の通信が確立さえすれば、完了となりそうなのですが・・・

もうこれは、どうもCiscoスイッチ側の問題ですね～

もう少し弄ってみてそれでもダメなら、素直にNEC　univergeの　スイッチへの変更もありかも知れないですね～

色々と教えて頂きありがとうございます。　もう少しだけ足掻いてみます

[0302 anonymous@fusianasan 2022/08/15(月) 21:16:32.95 ID:???]

>>301

おかしいですね。
　IX2215側としては、コンフィグはマッチングしているのですが。
　配下のC2960スイッチの設定としては、
　IX2215の提示しましたコンフィグから反映しますと、
　C2960の設定イメージとしては、
　トランクポート　→　VLAN1（デフォルトVLAN、ネイティブVLAN、タグ併用、物理ポート8を利用、タググループ追加、VLAN20〜VLAN30）
）
　アクセスポート　→　VLAN20（dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.254/24、DHCP有）
　アクセスポート　→　VLAN30（dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.254/24、DHCP有）　
　という形にするだけですが。
　C2960の物理ポート8をトランクポートにしていますが、上位のIX2215より、C2960のトランクポートの割り当てIPアドレス（192.168.101.252でしょうか）
宛てに192.168.102.0/24のルーティング経路の設定を切っていれば、DHCP周りもルーティングされる形で、
IPアドレスの自動割り当てが効くはずですが。
A拠点のC2960のトランクポートに割り当てしました、IPアドレスは192.168.101.252、
ルーティング経路選択は、先のコンフィグも記載しましたが、
　ip route 192.168.102.0/24 192.168.101.252
ip route 192.168.103.0/24 192.168.101.252
B拠点のC2960のトランクポートに割り当てしました、IPアドレスは192.168.101.2**
　**　はA拠点とは別のIPを設定されていますよね？
B拠点のルーティング経路は、
　ip route 192.168.102.0/24 192.168.101.2**
ip route 192.168.103.0/24 192.168.101.2**

それぞれのC2960には、デフォルトゲートウェイの設定、プロクシDNSの設定はされていますよね？
iOSのバージョンによって違う部分は有るかもしれませんが。
トランクポートのインターフェイス(VLAN1)に、
　ip default-gateway 192.168.101.254　
　DNSサーバの設定は、スイッチのグローバルコンフィグモードにて、
　ip name-server 192.168.101.254
　等になるかと存じます。

[0303 anonymous@fusianasan 2022/08/15(月) 21:25:59.55 ID:???]

>>301-302

先ほどの誤入力の項目が御座いましたので、修正します。

（誤）
　アクセスポート　→　VLAN20（dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.254/24、DHCP有）
　アクセスポート　→　VLAN30（dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.254/24、DHCP有）　

（正）
　アクセスポート　→　VLAN20（dot1q、tripd 8100、仮に物理ポート1〜4、IPアドレス割り当て、192.168.102.0/24、DHCP有）
　アクセスポート　→　VLAN30（dot1q、tripd 8100、仮に物理ポート5〜7、IPアドレス割り当て、192.168.103.0/24、DHCP有）　

[0304 anonymous@fusianasan 2022/08/15(月) 21:30:44.94 ID:???]

>>301-303

最終的に、NECのUNIVERGE QXのL3スイッチ、L2スイッチを購入される場合には、
既存のIX2215の設定コンフィグを明示し、配下のL3スイッチのコンフィグややりたいことを、
NECのサポートセンターへお問合せしますと、対応コンフィグの明示はして下さるかと思います。

[0305 68 2022/08/16(火) 04:39:10.73 ID:???]

>>302

お返事ありがとうございます

私の誤りもあったので色々と試してみたのですが・・・

結果的に、各拠点C2960の下にぶらさげた端末に対して、DHCPサ－バ－からのアドレスが下りてきました。
ただ、端末から各拠点のIX2215やC2960へのpingはほぼ通らない状況です(端末側のファイヤ－ウォ－ルはオフにした状態で)

しかし、謎な事にIX2215のコンフィグやC2960のコンフィグを弄ると、A拠点とB拠点のC2960にぶら下げたPCのネットワークアダプタはインタ－ネット側と繋がり、そのままインタ－ネットへ出ていく事が出来ます。もちろんIX2215のAB拠点間接続は維持されたままの状態となります。

それでもPCから各拠点のIX2215やC2960、または対向側のPCへのpingは通らず(安定しない)、PC側のネットワークアダプタ－を、無効にしてから有効に戻す　をすると、DHCPからのIPは変わりなく下りてきていますが、インタ－ネットへ出ていく事が出来なくなります。
ル－プが発生しているのか...　それともパケットが出口を見つけられないのか....

あと、ほんともう少しで終るところまで来ているのですが・・・
なんか良い策はございますでしょうか？？

すみません・・　質問ばかりで・・
一応、IXとC2960のコンフィグを貼っておきます。　お忙しいところ恐縮ですが、ご教示頂ければ幸いです


IX2215とC2960の接続としましては

IX2215(GE2.0 port 1) ⇔　　　C2960(GE port8)

となります。AとB拠点ともに同じとなります。PCはC2960の port 1 へ挿しております

https://imgur.com/a/2l55PR4
https://imgur.com/a/yrg9nTC
https://imgur.com/a/je6nn1F
https://imgur.com/a/QnsX02v

[0306 anonymous@fusianasan 2022/08/16(火) 09:21:40.94 ID:???]

>>305

IX2215とC2960のtechinfo ファイルを見ていませんので、なんとも言えませんが、
コンフィグデータは確認を致しました。
通常は考えにくいのですが、

GigaEthernet2.0＝BVI1(bridge-group5）＝GigaEthernet2:1.0　のポートベースVLAN（VLAN1、192.168.101.0/24、DHCP有）割り当てのIPアドレス、
GigaEthernet2:1.2=BVI（bridge-group5）＝タグVLANの割り当てIPアドレス（VLAN20、192.168.102.0/24、DHCP有）
GigaEthernet2:1.3=BVI（bridge-group5）＝タグVLANの割り当てIPアドレス（VLAN30、192.168.103.0/24、DHCP有）

↑　の条件下ですが、通常はブリッジグループを組んでいても、インターフェイス自身でIPアドレス設定・DHCP機能を設定していると、
IPアドレス及びDHCPが優先されるのは、インターフェイス自身にIPアドレスとDHCPを設定されている方が優先されるはずですので、
IPアドレスの割り振りにてかち合うというのは考えにくいのですが。

IPアドレスのかち合いの条件が発生しているのが原因となると、
GigaEthernet2:1.2〜GigaEthernet2:1.3　のインターフェイスに、192.168.101.0/24とプロトコル番号67〜68番の通信を
インターフェイス側に制限をしてみるなどの方法がになるかと思います。（原因の切り分けとなりますが）

設定例（IX2215-A拠点側）
ip access-list vlan-dhcp-sec deny udp src 192.168.101.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec2 deny udp src 192.168.102.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec3 deny udp src 192.168.103.0/24 sport range 67 68 dent any dport range 67 68
interface GigaEthernet2:1.2
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec3 2 in
interface GigaEthernet2:1.3
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec2 2 in
BVI側のインターフェイスに192.168.102.0/24、192.168.103.0/24からのDHCP-IPアドレスのプロトコルの通信を拒否する場合
interface BVI1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in

[0307 anonymous@fusianasan 2022/08/16(火) 09:22:26.50 ID:???]

>>305-306
続きです

あと、B拠点のC2960のVLAN1のトランクポートに割り当てされています、IPアドレスが192.168.101.251/24
でしたが、B拠点のC2960向けの静的ルーティング設定が反映しているかご確認下さい。

B拠点IX2215コンフィグ修正箇所（下記）
ip route 192.168.102.0/24 192.168.101.251
ip route 192.168.103.0/24 192.168.101.251
ip access-list vlan-dhcp-sec deny udp src 192.168.101.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec2 deny udp src 192.168.102.0/24 sport range 67 68 dent any dport range 67 68
ip access-list vlan-dhcp-sec3 deny udp src 192.168.103.0/24 sport range 67 68 dent any dport range 67 68
interface GigaEthernet2:1.2
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec3 2 in
interface GigaEthernet2:1.3
ip filter vlan-dhcp-sec 1 in
ip filter vlan-dhcp-sec2 2 in
interface BVI1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in

[0308 anonymous@fusianasan 2022/08/16(火) 09:23:51.91 ID:???]

>>305-307

他のコンフィグの部分については、確認を致します。（時間がかかるかもしれません）

[0309 anonymous@fusianasan 2022/08/16(火) 12:28:35.67 ID:???]

>>305-308

A拠点とB拠点のIX2215、C2960の確認をしました。
修正・追加の項目ですが、下記のようなイメージになるかと思います。
　BVI1・VLAN1のインターフェイスのDHCP取得（192.168.102.0/24、192.168.103.0/2から取得拒否、他は許可）
　VLAN20のインターフェイスのDHCP取得（192.168.101.0/24、192.168.103.0/24からは拒否、他は許可）
　VLAN30のインターフェイスのDHCP取得（192.168.101.0/24、192.168.102.0/24からは拒否、他は許可）

　C2960スイッチ（A拠点）のVLANおアクセスポートの変更、トランクポートの変更
　トランクポート　→　Port8のみ
　アクセスポート　→　VLAN1のみ（Port1〜2、無線LANが複数有った場合も想定）
　　　　　　　　　→　VLAN20（Port3〜5、9）、VLAN30（Port6〜7、10）
C2960スイッチ（B拠点）のVLANおアクセスポートの変更、トランクポートの変更
　トランクポート　→　Port8のみ
　アクセスポート　→　VLAN1のみ（Port1〜2、無線LANが複数有った場合も想定）
　　　　　　　　　→　VLAN20（Port3〜4、9）、VLAN30（Port5〜7、10）

　ギガファイル便にて送付します。
　　※　https://63.gigafile.nu/0823-d757121dbea8a8e6d6d019a1784ef029

[0310 68 2022/08/16(火) 15:47:53.71 ID:???]

>>309
たくさんのアドバイスとコンフィグパターンありがとうございます。
今から再チャレンジさせて頂きます。
あともう少し…汗

[0311 anonymous@fusianasan 2022/08/16(火) 16:38:50.45 ID:???]

>>310

　NECのL3スイッチ等でしたら、DHCP周りの制御が楽になるんですけどね。
　　※　ハイブリッドモード・VLAN、トランクモード併用、DHCPサーバ機能は、L3スイッチ側に対応させるなど。
　　　　IX2215は、DHCP機能は補完せず、インターネット接続、EtherIP-IPSEC接続周りのみ

[0312 68 2022/08/16(火) 18:59:21.35 ID:???]

>>309

ありがとうございます
ご教示頂いたコンフィグの内容にて色々と試してみました

>>
interface BVI1
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in
bridge ip filter dhcp-pass 100 in
bridge-group 5
no shutdown

上記の部分なのですが、bridge ip filter　というコンフィグはエラ－で入らなかったので、 　①ip filter vlan-dhcp-sec2 1 in　 ②ip filter vlan-dhcp-sec3 2 in　③ip filter dhcp-pass 100 in
としてBVI1のコンフィグを入れました

結果としてなのですが・・
やはり前回と同じく接続が安定しない様です。　今、B拠点のC2960へぶらさげたPC-Bにてカキコミをしているのですが、A拠点側のC2960下部にあるPC-Aはネットには出ていけない状況です。
もちろん機器同士のpingもほぼ通らない状況です。(PC-BはA拠点側のIXへ今pingは通っている状況です)

show tech-support　のコマンドでIX2215A・Bにて出力させてみたのですが、GE2.0で　Block されているステ－タスが少し気になります。

ギガファイル便にて頂いたコンフィグについては、間違いなく機器に投入しております。
何かおかしなところは有りますでしょうか？？　すみません　質問続きで・・

[0313 68 2022/08/16(火) 19:00:05.03 ID:???]

>>309

ありがとうございます
ご教示頂いたコンフィグの内容にて色々と試してみました

>>
interface BVI1
ip address 192.168.101.254/24
ip proxy-arp
ip dhcp binding vlan1
bridge ip filter vlan-dhcp-sec2 1 in
bridge ip filter vlan-dhcp-sec3 2 in
bridge ip filter dhcp-pass 100 in
bridge-group 5
no shutdown

上記の部分なのですが、bridge ip filter　というコンフィグはエラ－で入らなかったので、 　①ip filter vlan-dhcp-sec2 1 in　 ②ip filter vlan-dhcp-sec3 2 in　③ip filter dhcp-pass 100 in
としてBVI1のコンフィグを入れました

結果としてなのですが・・
やはり前回と同じく接続が安定しない様です。　今、B拠点のC2960へぶらさげたPC-Bにてカキコミをしているのですが、A拠点側のC2960下部にあるPC-Aはネットには出ていけない状況です。
もちろん機器同士のpingもほぼ通らない状況です。(PC-BはA拠点側のIXへ今pingは通っている状況です)

show tech-support　のコマンドでIX2215A・Bにて出力させてみたのですが、GE2.0で　Block されているステ－タスが少し気になります。

ギガファイル便にて頂いたコンフィグについては、間違いなく機器に投入しております。
何かおかしなところは有りますでしょうか？？　すみません　質問続きで・・

[0314 68 2022/08/16(火) 19:01:14.96 ID:???]

-------------------- show bridge --------------------
IRB Group 5 Forwarding Cache - 11 entries, 4085 frees, 9645 flybys, 0 overflows
Codes: P - permanent, B - BVI
BG Address Interface Timeout RX count TX count
5 00:1b:d3:87:20:cd GigaEthernet2:1.2 299 1155 663
B 5 00:60:b9:e2:65:ce BVI1 - 527399 323612
5 00:60:b9:fd:94:28 Tunnel1.0 299 598 19
5 34:23:87:0b:44:d5 Tunnel1.0 296 19 20
5 34:76:c5:ec:c0:38 Tunnel1.0 297 75 19
5 34:76:c5:ec:c0:3a Tunnel1.0 298 207 0
5 5c:fc:66:99:a5:88 Tunnel1.0 285 135 25
5 b6:5d:4d:37:0d:0b Tunnel1.0 286 485 140
5 d0:50:99:62:6d:07 Tunnel1.0 300 327263 525401
5 dc:a6:32:e5:2e:f7 Tunnel1.0 300 37 9
5 e0:d1:73:82:f3:88 GigaEthernet2:1.0 298 200 20

IRB Group 5:
Interface Status Address RX count TX count RX drops
BVI1 forward 00:60:b9:e2:65:ce 527399 332675 0
GigaEthernet2.0 blocked 00:60:b9:e2:65:ae 0 0 0
GigaEthernet2:1.0 forward 00:60:b9:e2:65:ae 2480 8335 0
GigaEthernet2:1.2 forward 00:60:b9:e2:65:ae 924 8867 0
GigaEthernet2:1.3 forward 00:60:b9:e2:65:ae 133 9380 0
Tunnel1.0 forward --:--:--:--:--:-- 330023 529482 0

GigaEthernet2.0　のステ－タスがblock になってるのが気になります・・・

[0315 68 2022/08/16(火) 20:40:12.53 ID:???]

>>311
univergeのL3スイッチの新品は結構いい値段しますね～
ほぼ個人ユースなので、ヤフオク頼みですがたまに出品あるみたいですね。

ただ…　　ファン有りですよねコレ？　自宅置きなのでファン騒音で悶絶しそうですが、やはりIXと相性が良いとなると、こちらの導入も検討すべきですね。

>>IX2215は、DHCP機能は補完せず、インターネット接続、EtherIP-IPSEC接続周りのみ

この文章を深く読み取ると、ひとつの拠点にIXを二台設置して、それぞれの役割を分けると言う考え方もありかもしれないと言う事ですね～　少し検討してみます。
ありがとうございます

[0316 anonymous@fusianasan 2022/08/16(火) 22:25:56.54 ID:???]

>>313-315

　ブリッジグループの設定で、ブロックステータスですか。
　特段、GigEthernet2.0の方には、アクセスリストの設定などでの拒否設定はされていないのですが。
　「00:60:b9:e2:65:ae」　のMACアドレスは、クライアントPCなどのMACアドレスですか？

　IX2215の配下に、ブルータの役目にて、IX2215を接続するということですか。
　EtherIPのBVIのフィルタの部分ですが、確認を致します。

[0317 anonymous@fusianasan 2022/08/16(火) 23:42:01.49 ID:???]

>>315

「この文章を深く読み取ると、ひとつの拠点にIXを二台設置して、それぞれの役割を分けると言う考え方もありかもしれないと言う事ですね〜　少し検討してみます。
ありがとうございます 」

　↑　の件ですが、IX2215配下にIX2215をブルーター機能設定にて運用された場合にですが、
無線LANのPOE給電は、どのようにお考えでしょうか？
　残念ながら、POE給電スイッチの選択をしない場合には、シスコ無線LAN、他無線LAN装置にPOEインジェクターを用意しないといけない部分が御座いますので、
却ってL3スイッチ（POE給電機能）が有るタイプの選択が望ましいかと思いますが。

　L3スイッチ・POE付きにて、無線LANも併せて、ネットギアのフルマネージタイプの
L3スイッチと、クラウドWI-FIのタイプの選択の方がコストパフォーマンスが良いかと思いますが。

　ネットギア　「M4300-16X」、「WAX630」

[0318 68 2022/08/17(水) 01:16:43.35 ID:???]

>>316
お返事ありがとうございます

　「00:60:b9:e2:65:ae」　はIX2215のA側I/FのMacアドレスとなります
IX2215のA・B拠点の show tech-support の一部を貼ってみます。　見たところ、GigaEthernet2.0が blocked　になってるだけで、特段変なところが無いですね
一応、対向端末のMacアドレスを拾っているみたいです。

https://imgur.com/a/aGPKLTR

>>EtherIPのBVIのフィルタの部分ですが、確認を致します。

すみません。。とても助かります
しかし、もうこれはＩＸ2215とＣ2960のVlan相性の問題なんですかね～

普通にタグＶｌａnでIX2215とC2960を接続する分には何とも問題がなかったのですが

>>317
そうですね。仰る通りPOE給電を考えると給電対応のスイッチが必要ですね

ネットギア　「M4300-16X」、「WAX630」　　　かなり良さげですが・・　中々素晴らしいお値段ですね...汗

[0319 anonymous@fusianasan 2022/08/17(水) 04:15:14.70 ID:???]

>>318

　ふと考えていたのですが、
　NTT西日本の　スーパーハイスピード隼なのですよね？
　双方のPPPOEセッションのMTU数値の設定が未投入でしたが、EtherIP-IPSECのMSSが
1300の割り当てをしているようですので、何らかの形にてフラグメントパケット扱いになっている可能性もあるのですが、
1300の設定をしました証跡は、どのような意図にて設定をされていますでしょうか？
　IX2215ルーターの場合には、IPSECトンネルのIKE及びSA認証レベルによって、
可変的にMTUとMSSの設定をするようになっています。
　最近のNTT西日本の光回線のMTU設定値は、1454に変わったかと思いますが、
PPPOEの設定値が無いので、MTUの上限値を超える様な通信をIPSECトンネル内にしてしまうと、
パケットロスなどの現象、他通信障害が想定されます。

　ESP・IKE認証（Phase1）がAES-SHA1、IPSEC-SA（Phase2）がAES-SHA1にされている状況ですと、
IX2215のPPPOEセッションのMTUの設定値が無いので、上限無しに通信をしてしまうケースが想定されます。
　IX2215のデフォルト値では、PPPOE（MTU：1454、MSS：1414）→　IPSECトンネルのMTUは1454-60＝1390、MSSは1390-40＝1350
になっております。
　EtherIP-IPSECのMSS設定値が、1300の割り当てをしていますので、逆算すると、IPSECトンネルのMTUが1340、PPPOEの1404、MSSが1364になります。

　一度、A拠点のPPPOEセッションのMTUを固定にて1454、MSSを1414、IPSECトンネルの敷居値のMTUをチューニングしながら、
通信出来る範囲の精査をすると良いかと思います。

interface GigaEthernet0.1
ip mtu 1454
ip tcp adjust-mss 1414

interface Tunnel1.0
ip mtu 1390
ip tcp adjust-mss 1350

上記の設定値は、契約プロバイダによって、性能上のボトルネックが有る場合が御座いますので、
　上限値から下げていって、通信を見てみる形になるかと思います。

[0320 anonymous@fusianasan 2022/08/17(水) 17:49:51.30 ID:???]

>>318-319

　それと、直接的な因果関係は無いかと思いますが、既存のA拠点の環境が、NTT-HGWの配下での
接続の構成ですが、HGWよりIPアドレスがIX2215のGE0.0-I/Fに割り当てになるように、
HGWのDHCPサーバ機能が有効な形になっているかと思いますので、今回のBVIグループには、
GE0.0-I/Fには設定されていませんが、念のため、GE0.0-I/Fには、アクセスリストにて、
HGWからのIPアドレスは拒否するようにした方が良いかもしれません。

設定例
access-list hgw-list permit src any dest any type ipv6
access-list hgw-list deny src any dest any type ip
interface GigaEthernet0.0
ip filter hgw-list 1 in
ipv6 filter hgw-list 1 in

[0321 anonymous@fusianasan 2022/08/17(水) 21:36:55.17 ID:gpp8Wp7m]

314-320

念のため、再度、IX2215のコマンドリファレンス、機能説明書を確認しました。
　IXルーターの基本仕様として、EtherIPとブリッジグループ、VLAN1、VLAN20、VLAN30の同一ブリッジグループを想定しました際にですが、その参加しました物理インターフェイス及びVLANインターフェイスには、IPアドレスの設定がが出来ない仕様でしたため、アクセスリストにて、それぞれのVLANセグメントにDHCPサーバからのIPアドレス配布に制限をかけるイメージを想定したのですが、どうも、それでもその制約を違える事が出来ない様です。

ブリッジインターフェイス・ブリッジグループに物理インターフェイスとVLANインターフェイスの参加をしました場合には、それぞれのインターフェイスには、IPアドレスの設定をせずに、BVIインターフェイスにIPアドレスの設定をするのが基本仕様とのことです。
よってA拠点は
interface BVI1
ip address 192.168.101.254/24
ip address 192.168.102.254/24 secondary
ip address 192.168.103.254/24 secondary
ip proxy-arp
ip dhcp binding vlan1
bridge-group 5
no shutdown
interface GigaEthernet2:1.2
encapsulation dotlq 20 tpid 8100
auto-connect
ip proxy-arp
ip dhcp binding vlan20
bridge-group 5
no shutdown

interface GigaEthernet2:1.3
encapsulation dotlq 30 tpid 8100
auto-connect
ip proxy-arp
ip dhcp binding vlan30
bridge-group 5
no shutdown

と言う形西無いとBVIグループのIPアドレス制御が、アクセスリストのルールを設けたとしても動作しないようです。

[0322 anonymous@fusianasan 2022/08/17(水) 21:40:37.87 ID:???]

>>314-321

続きです。B拠点のIX2215ルーターには、
interface BVI1
ip address 192.168.101.253/24
ip address 192.168.102.253/24 secondary
ip address 192.168.103.253/24 secondary
ip proxy—arp
ip dhcp binding vlan1
bridge—group 5
no shutdown
interface GigaEthernet2:1.2
encapsulation dotlq 20 tpid 8100
auto—connect
ip proxy—arp
ip dhcp binding vlan20
bridge—group 5
no shutdown
interface GigaEthernet2:1.3
encapsulation dotlq 30 tpid 8100
auto—connect
ip proxy—arp
ip dhcp binding vlan30
bridge—group 5
no shutdown

と言う形になるようです。

[0323 anonymous@fusianasan 2022/08/17(水) 22:02:37.92 ID:???]

>>314-322

IXルーターのブリッジインターフェイスの機能説明書の記載でしたが、
「X2000/IX3000シリーズのブリッジ機能ではスパニングツリーはサポートしていませんので、パ
ケットのループを検出できません。ループする可能性のある構成では、使用しないでください」
「IPパケットをブリッジ対象から除外している場合には、そのインタフェースにIPアドレスを設定することが可能です。」

[0324 anonymous@fusianasan 2022/08/17(水) 22:03:23.18 ID:???]

>>314-323

続きです。
IX2215のBVIインターフェイスグループには、STP機能の設定が出来ないので、ブロードキャストストームなどの対応や、
ループが起きる構成については、デフォルトにて利用出来ず、何らかのアクセスリスト若しくは、サブネット分割の必要性が出てくるとの趣旨になります。
それと、IPパケットをブリッジ対象から除外している場合には、対象のインターフェイス（ここで言う、タグインターフェイスなど）に、IPアドレスの設定が出来る
と言う趣旨をみて判断をしました。

総体的にですが、IX2215（A拠点、B拠点）、C2960とのトランクポート接続を併用する場合ですが、
サブネット分割しました設定にて検証をするしか無い状況のようです。
　※　293-296の投稿にて記載しています。

例　A拠点のIP体系　192.168.101.0/25、192.168.102.0/25、192.168.103.0/25
　　B拠点のIP体系　192.168.101.128/25、192.168.102.128/25、192.168.103.128/25
　　A拠点のIX2215ルーターのIPアドレス192.168.101.126/25、VLAN20のIPアドレス192.168.102.126/25、VLAN30のIPアドレス192.168.103.126/25
　　B拠点のIX2215ルーターのIPアドレス192.168.101.254/25、VLAN20のIPアドレス192.168.102.254/25、VLAN30のIPアドレス192.168.103.254/25
　　A拠点のVLAN1のDHCPサーバ範囲（192.168.101.1-192.168.101.125）
　　A拠点のVLAN20のDHCPサーバ範囲（192.168.102.1-192.168.102.125）
　　A拠点のVLAN20のDHCPサーバ範囲（192.168.103.1-192.168.103.125）
　　B拠点のVLAN1のDHCPサーバ範囲（192.168.101.128-192.168.101.253）
　　B拠点のVLAN20のDHCPサーバ範囲（192.168.102.128-192.168.102.253）
　　B拠点のVLAN20のDHCPサーバ範囲（192.168.103.128-192.168.103.253）

　↑の様な形にて、ARP衝突やSTPの誤動作などを緩和する要件へ変更しないと、どうもうまく動作しないネットワーク環境のようです。

[0325 68 2022/08/18(木) 00:57:27.25 ID:???]

>>319-324
お返事が遅くなりました
貴重なアドバイスありがとうございます。

>>319
interface GigaEthernet0.1
ip mtu 1454
ip tcp adjust-mss 1414

interface Tunnel1.0
ip mtu 1390
ip tcp adjust-mss 1350

コチラの方は、A拠点へコンフィグ投入を致しましたが・・　　やはり結果は同じみたいです。

一応、両拠点の interface Tunnel1.0 内の bridge ip tcp adjust-mss 1300 の削除を行いましたが、結果は同じですね...汗

320-324にてご教示頂いたコンフィグについては、再度明日にチャレンジしてみます。
せっかく、アドバイスを頂いたのに本日は余りIXを触れなく大変心苦しいです
いつもありがとうございます

[0326 anonymous@fusianasan 2022/08/18(木) 05:42:17.99 ID:???]

>>325

サブネット分割（/25）とBVIインターフェイス（BVI1）のIPアドレス割り当ての変更のサンプルコンフィグを
送付します、ご確認下さい。

ギガファイル便にて。
　https://44.gigafile.nu/0825-428b9d7276edd5df4ff743c9075a18bd

[0327 anonymous@fusianasan 2022/08/18(木) 05:50:32.01 ID:???]

>>325-326

　サブネット分割（/25）のIPアドレス体系にされる場合には、
　それぞれの拠点のNASや複合機などのIPアドレスもその範囲に合致出来る様に、IPアドレスの設定を
ご確認下さい。
　それぞれの機器ですが、VLANに対応しているかどうかによってですが、BVIのデフォルトVLAN（VLAN1）の範囲にて、設定する形になるかと存じます。

[0328 anonymous@fusianasan 2022/08/18(木) 20:00:52.62 ID:???]

>>325-326

BVIインターフェイスに、セカンダリIPアドレスを投入するのは、DHCPサーバ周りの取得にて、
うまくブリッジングされないかもしれません。
ブリッジグループにタグを通す事は対応しているのですが、セカンダリIPアドレスとのブリッジング仕様にて、
セカンダリIPアドレス＝BVI＝タグVLANインターフェイスの紐付けが、コマンドマニュアルや機能説明書に記載が無いので、
タグVLANのインターフェイスに、IPアドレスの設定をして、/25サブネットの分割にて、
A拠点とB拠点のアクセス検証するしかないかもしれません。

L３スイッチの場合には、L3スイッチ側にて、タグVLANグループに対して、DHCPサーバを効かせて、
上位のIX2215との接続をポートベースVLAN間のトランクリンクをさせる形がシンプルかと存じます。

[0329 68 2022/08/19(金) 00:54:50.41 ID:???]

>>328

お返事遅くなりました
また、コンフィグを送って頂いてとても感謝しております。

今、やっと色々と検証した後なのですが・・

やはり頂いたコンフィグでも、私なりに試した結果でも状況は同じですね
私の為に多大なお時間を頂戴し色々とアドバイスを頂いていたのですが、仰るとおりもうL2スイッチは諦めてL3スイッチへ交換した方が早いかも知れないですね。
もうこれ以上、流石にお時間を頂戴するのも大変心苦しいので、この辺りで諦めようと思います。

ただ、以前に頂いたコンフィグの中で・・　　「ike initial-contact always」　　「ike suppress-dangling」　　「ipsec rekey unconditional-rekeying」　のコンフィグを初めてみたので
とても勉強になりました。

どうもたくさんのアドバイスありがとうございました。

[0330 anonymous@fusianasan 2022/08/19(金) 01:46:56.28 ID:???]

>>329

　そうですか、動作のフローを診ますと、
　
　・　IX2215ルーターのEtherIP-IPSECに複数のタグを通す事は出来るが、IPアドレスグループ・サブネットがまたがる様な通信は、
MACアドレス及びループ遅延が生じる部分があるので、サブネットレベルで分けた方が良い。
　・　IX2215とC2960のタグ制御に微妙な機能差があり、またC2960のブリッジング機能に差があるようでしたが、タグとブリッジングの新和性
を確保するため、その対策が必要になる。
　・　IX2215とのトランクリンク接続に、C2960の機種との組み合わせにて、ポートベースVLAN間の接続にて、DHCP取得するところまで至ったが、
それ以降の接続として、タグVLAN同士のグループを別に組んで（VLAN20とVLAN30）、EtherIP-IPSECの別トンネルの接続をすることで
接続の可能性はあるが、検証をしないと安定性は不確定要素がある。
　　→　ただし、IX2215とC2960間のトランクリンク接続は、ポートベースVLAN単一の接続が通信安定性がある構成のようですので、
タグVLANのみを別BVIグループエントリーをして、EtherIP-IPSECの別トンネル接続をしても、あまり意味が無い事。

　上記の要素があるため、L3スイッチの構成にて、
　IX2215はインターネット接続と、EtherIP-IPSECトンネル接続、DHCPサーバ機能は利用しない。
　配下のL3スイッチにて、VLAN20〜VLAN30のIPアドレス設定とDHCPサーバ機能を利用、VLANルーティング設定を、
IX2215のトランクポートへ向けて、IX2215のルーティング設定にて、
　192.168.102.0/25、192.168.103.0/25は、A拠点のLAN側L3スイッチのトランクポートのIPへ向けて、
　192.168.102.128/25、192.168.103.128/25は、EtherIP-IPSECの対向先へルーティングを向ける。

　B拠点も同様に、L3スイッチのLAN側とEtherIP-IPSEC宛ての/25サブネット向けにルーティングを切る。

　上記のような形になるかと存じます。

[0331 anonymous@fusianasan 2022/08/19(金) 01:50:39.99 ID:???]

>>329-330

　ちなみに、/25サブネットにするということですが、端末側の固定IP等の設定をする場合には、
255.255.255.128　にする必要が御座います。

[0332 anonymous@fusianasan 2022/08/19(金) 04:15:11.92 ID:???]

>>331
知りませんでした。ありがとうございます。

[0333 anonymous@fusianasan 2022/08/19(金) 11:26:15.60 ID:???]

>>329

「ただ、以前に頂いたコンフィグの中で・・　　「ike initial-contact always」　　「ike suppress-dangling」　　「ipsec rekey unconditional-rekeying」　のコンフィグを初めてみたので
とても勉強になりました。」

　上記の件ですが、IKEのキープアライブのプロセス、IKEのダングリングSAの設定で、IKEの更新時にSAが即時更新されるとは限らないので、そのタイミングの設定、
「ipsec rekey unconditional-rekeying」は、IPSEC-SAの再接続のコマンドですが、
IXルーターの場合には、ソフトウェアプロセスにてSA更新時に再接続されない仕様が有ったかと思いますので、
その為の設定です。
　IPSEC-SAの再接続ですが、突発的な電源断などの場合には、こちらのコマンドでは、再接続がされないケースが御座いますので、
IXルーターの仕様上、ネットワークモニター機能にて、IPSECのPhase1、Phase2の監視をさせて、キープアライブさせる方法になります。

[0334 68 2022/08/20(土) 02:46:40.70 ID:???]

>>330

Cisco辺りのL3スイッチだと、3750辺りがヤフオクで安く買えそうですね
この辺りを仕入れて、再度チャレンジしてみたいと思います。　　IXの仕様もありL2スイッチでは少し無謀な事をしていたかも知れませんね

>>333
とても勉強になりました。
設定事例集では詳しく書かれていないコンフィグもあったので、今後はぜひ活用させて頂きたいと思います。

この度は、たくさんのアドバイスを頂きとても感謝をしております。　ありがとうございました。

[0335 anonymous@fusianasan 2022/08/20(土) 04:00:46.24 ID:???]

>>334

ヤフオク等にて調達をされるのでしたら、シスコのサポートライセンスが出来ない形のモデルより、
アライドテレシスやNECの方が、ファームウェアの入手がしやすいので、そちらの方が良いのではないでしょうか？

[0336 68 2022/08/20(土) 16:41:10.89 ID:???]

>>335
仰る通りCiscoは中古市場で玉数多くて、値段も安くて良いのですが…　ライセンス周りがダメですね～
中古で3万位まででオススメのL3スイッチご存知ですか？　
ヤフオクだと3750Xは4千円位から手に入りますね～

[0337 anonymous@fusianasan 2022/08/20(土) 17:11:12.20 ID:???]

>>336

　個人的な経験則ですが、シスコのサポートライセンス無しのiOS-XE等の修正も出来ない
機種の購入でしたら、いくら安くてもシスコの選択は無しですね。
　実際に稼働すると、却ってNECやアライドテレシスの方ですが、ファームの更新も出来ますし、
ある程度の設定例の公開もされていますので、そちらの方が良いかと思います。

　シスコ系がお好きな様ですので、アライドテレシスの最近モデル、中古品でもAlliedWare Plus
の運用が出来るタイプですので、シスコのiOSのCLIがそのまま実行出来たりします。
　アライドテレシスのルーター系は、クソルーターが大概ですが、スイッチ系は良いですよ。
　無線LAN系もイマイチですが。

　Buffalo系は、最近OEMに注力し富士通やNECのOEM仕入をしてきています。
　今まで自社開発・生産をしていましたが、スイッチやルーター系はクソレベルでしたが、Buffalo系のメリットは、
無線LAN周りがコストパフォーマンスが良いタイプが御座います。
　
　

[0338 anonymous@fusianasan 2022/08/20(土) 17:29:48.39 ID:???]

>>336

ヤフオク中心ですと、
　　アライドテレシス　「AT-x510-28GTX」　あたりが良いかと思いますが。
　　ハードウェア状態については、出品者へ確認下さい。

　

[0339 68 2022/08/21(日) 00:27:09.35 ID:???]

>>338
ありがとうございます。
流石、本職の方はとても詳しいですね

私はあくまでも個人の趣味範囲なので、玉数が多くて値段が安い、Ciscoを購入したのがキッカケです。

アライドのご紹介頂いたスイッチは、2万円以下で出品されているので、少ない小遣いで何とかなりそうですw
ただ、ファン騒音に関しては業務用は諦めないといけませんね

[0340 anonymous@fusianasan 2022/08/21(日) 11:04:21.93 ID:???]

>>339
ファンの騒音に関しては、スクリプトで回転数を落とせますので
問題にはならないと思いますよ。横から失礼しました。

[0341 anonymous@fusianasan 2022/08/21(日) 20:40:04.67 ID:???]

>>339

現時点にて、アライド系では、「AT-x610-24/48Ts-X」などが出ている様ですが、
こちらは、保守契約前提の製品ですので、選択はされない方が良いかと思います。
10GBASE-ER/LR/SRのインターフェイス内蔵（2ポート）ですが、正常稼働品・サポート付きでしたら、
こちらの方がレスポンスは良いかと思いますが、上位のルーターがIX2310の方が良いでしょうね。
「AT-x510-28GTX」でも、10GBASE-T/ER/LR-SRのSFPモジュールを追加しましたら、対応出来なくもないです。

[0342 68 2022/08/22(月) 13:13:31.32 ID:???]

>>340
おお～　なるほど！
あの精神にダメ－ジを与える騒音さえなくなれば、あとは場所の問題になりますね

ただ、ひとつお聞きしたいのですが・・・
スイッチのコンフィグ上でスクリプトを実行する方法ってあったのでしょうか？？
ググってみたのですが...　　　もし、何か方法があれば教えて頂いても宜しいでしょうか？？

あの騒音なくなるだけで、すごく助かります

>>341
ありがとうございます。
アライドは初めて触るメ－カ－ですが、ぜひ検討してみます。
L3の概要を見ていたら、私がやりたかった事が全て解決できそうですね

[0343 anonymous@fusianasan 2022/08/22(月) 14:30:30.38 ID:???]

>>342

周辺の通機系の放熱・耐久動作が気になりますが。
下記のスクリプトにて変更は出来るかと思いますが、本流としては、ルーター、UTM、スイッチが十分に
動作上の問題がない様に冷却が出来る外気が有ることが条件となりますが。

下記設定例

# edit fan.sh
---- 中身：ここから ----
#!/bin/sh
echo 1000 > /sys/class/hwmon/hwmon0/fan1_min
echo 66 > /sys/class/hwmon/hwmon0/pwm1_auto_point1_pwm
echo 66 > /sys/class/hwmon/hwmon0/pwm1_auto_point2_pwm

configure terminal
trigger ****
type reboot
script **** fan.sh
active

ただし、L3スイッチのコントローラーは、それなりに放熱をしますので、庫内温度は
かなり気をつけた方が良いかと思いますが。
庫内廃熱クーラーの役目ですが、内蔵のコントローラーなどの冷却が主なところですので、
コントローラーに、冷却用のヒートシンクを設置（熱伝導テープ若しくはシリコングリス等）することである程度は、緩衝材になるかと思われます。
コントローラーCPUの寸法ですが、ほぼ40mm×40mm　のタイプになるかと存じます。




↑のような形になりますが、

[0344 anonymous@fusianasan 2022/08/22(月) 15:29:13.29 ID:???]

>>342-343

AT-x510系の庫内仕様、クーラーの関係ですが、
吸排気クーラーのPWMコネクター１系統御座いますので、こちらのコネクターへ、
PWM分岐ケーブルを追加して、内蔵の廃熱ファンを交換、別途追加にて、コントローラー用のブリッジクーラーを増設
する形の対応が可能と思いますが。（AINEX　CA-100A）
　廃熱ファンですが、高回転数のPWMタイプのようですので、30db以下のファンにすることでも
静音化は可能かと思います。（Silberstone、FTF5010）
　40mm×40mmのコントローラー用ヒートシンククーラーは、お探しください。

[0345 anonymous@fusianasan 2022/08/23(火) 05:55:13.41 ID:???]

>>342-344

給廃熱ファン、冷却ヒートシンク・クーラーの交換ですが、あくまでも自己責任の範囲にて
ご確認ください。

[0346 68 2022/08/25(木) 13:00:45.33 ID:???]

>>343-345

お返事が遅くなりごめんなさい。。

ちょうど自宅にライセンス切れのpalo転がっているので試してみます。
あの精神的にダメ－ジを与えてくる騒音が軽減されるのであれば、とても助かります。
ありがとうございました

[0347 anonymous@fusianasan 2022/08/25(木) 16:44:22.95 ID:???]

>>346

　L3スイッチの背面の吸排気クーラーをPWM制御の静音型のクーラーへ変更することと、
PWM４ピンコネクターを分岐するケーブルを用意され、L3スイッチ制御のコントローラーを
直接冷却する40mm×40mmのヒートシンク型ファンクーラーをご用意頂いた方が良いかと思います。

コントローラーチップ用のクーラーかと存じます。
CLIスクリプトを安易にカスタマイズするのは、却って良くないかと思います。

[0348 anonymous@fusianasan 2022/09/02(金) 19:43:55.89 ID:???]

IX3110ってどうですか？

[0349 anonymous@fusianasan 2022/09/02(金) 23:26:25.37 ID:???]

いいです。

[0350 anonymous@fusianasan 2022/09/02(金) 23:53:21.64 ID:???]

ありがとうございます。

[0351 anonymous@fusianasan 2022/09/05(月) 05:41:18.17 ID:???]

ヤフオク　IX2215が大量出品　世代交代かな

[0352 anonymous@fusianasan 2022/09/05(月) 17:35:36.48 ID:???]

>>330-334

拠点間のEtherIP-IPSECの件ですが、もう一つの方法がなくも無いですが、
それぞれのIPSECトンネルにて、双方向NAT（Twice-NAT）を利用する方法もあるかと思いますが、
IPSECの双方向NATを利用する場合にですが、BVIインターフェイスとIPSECトンネル、配下のL3スイッチ
の間のタグ通信が出来るかどうかは、要確認になります。

IX2215ルーターですが、双方向NATには対応出来る様です。

[0353 anonymous@fusianasan 2022/09/05(月) 19:58:58.42 ID:???]

>>352

双方向NAT・IPSECにて構築をする場合には、性格上、
始点と終点、端点同士のNATエントリーを入替えながら通信する仕組みですので、
そのIPSECトンネルに、タグVLANのIPアドレス同士を通信させる場合には、
恐らく、IPSECトンネルの静的NATエントリーに、タグVLANのNATエントリーも追加して、
NAT同士の折り返し通信をする形になるかと思われますので、
やってみないと解りません。

[0354 anonymous@fusianasan 2022/09/05(月) 21:13:53.91 ID:???]

PPPoEとIPoEを併用をIXルーター1台で実現できてNECさん有難うございます、

[0355 anonymous 2022/09/06(火) 01:18:41.45 ID:???]

IX2215でV6プラスで公式の設定入れてもv4のトンネルの方だけ繋がらん

[0356 anonymous@fusianasan 2022/09/06(火) 09:49:36.69 ID:???]

>>355

単に、クライアント側のOSの制約にて、IPV6-DNSの優先順の選択をされているだけではないですか？
特定のサイトは、IPV6サイトを用意されておらず、IPV4サイトのみのところがあるので、
そちらは、V6プラスのBRゲートウェイ側にてIPV6とIPV4の切替えをされる機能になっているかと思いますが、

IXルーターのProxyDNSの設定にて、GE0.0-I/Fから取得されるDNSの他に、IPV4-DNSサーバの登録をして、
そちらのIPV4-DNSサーバの選択にプライオリティをつけて先に選択させる方法、RDNSSの設定をする方法もあるかと思います。

Windows10、11の場合、WindowsのIPV6の選択順がデフォルトにて適用されていますので、そちらの優先順を下げる等の方法になるかと存じます。
その際には、IPV4-DNSの参照が出来ない場合に、IPV6-DNSの参照をするようになるかと存じます。