NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
■ このスレッドは過去ログ倉庫に格納されています
>>56
多分それだと無線LAN再起動した時点で一時的でも治るはず ヤフオク、IX2105安くなったね。送料別で3,000円前後で手に入れられる。
map-eにも対応しているしコスパいいかも。 2105はサポート期限(ファームウェアの保守期限)が分からんのが不安要因かな
正規代理店から購入していれば案内があるんかね
仮に製品販売終了(2019/9)後5年だと2024年、10年だと2029年までだけど、ネットワーク保守ライセンスの説明に以下の断り書きがあるのよね(なので5年かな)
まあ3000円で後2年間使えれば上出来とも言えるが
> なお、ネットワーク保守ライセンスの種別(サポート期間)、サポート対象機器のお客様ご購入日の如何にかかわらず、NECがその機種の新規受注を終了していた場合、NECの当該機種受注停止日から5年を超えて以降のサポートサービスは受けられません。 皆さま色々とご参考になるような情報を有難う御座います。
ファームは最新の10.6.64を使用しています。
全端末20台位に対して、DHCPv4のIPの払い出しの範囲は、100程度払い出す設定を行っています。
(本件とは関係ないですが参考までに、DHCP払い出しIPの範囲外のIPアドレスを固定でプリンタ数台で使用しています。)
また無線LANブリッジのDHCPサーバ機能は間違いなくOFFに設定しております。
ぶら下がってるスマホは、default設定のままなのでmacアドレスランダム化がほぼ有効な状態だと思われます。
ほとんどのwifiクライアント端末は、wifi圏内に入ったり、圏外に出たりと一日のうちに何度も繰り返しておりますので、
ご指摘通り端末側のmacアドレスランダム化により、IXはその都度異なるアドレスを払い出してしまっていて、IPが枯渇状況するという
状態になっているというのも、確かに一つの原因として考えられます。
しかしインターネットに接続できなくなるスマホの状態を端末側から確認すると、IX払い出しの範囲でIPをしっかり取得できているケースの方が多く、
それでもインターネットに繋がらないという場合も多いので、何か別の原因もあるのではないかとも推定されます。
(IXは、IPを払い出し先のmacアドレスを記憶していて、該当mac以外からは通信を遮断するなんてことはないと思われるので)
DHCPの範囲指定をもう少し広く、リースタイムの設定短く設定し、再現頻度を確かめてみたいと思います。 Androidスマホなら "Ping & Net" てアプリがGoogle Play Storeで公開されてるから(Ulf Dittmerさん作)、
自分のや数人協力者を募ってスマホに入れておいて、
繋がらなくなった時にスマホ自体のWi-FiインターフェイスのIPアドレスや、ルータ、Wi-Fi APへpingが通るかとか確認してみたら?
あとDHCPを疑うならIXのDHCPのログレベルを上げるとか(bufferサイズも調整が必要かも) 通信出来なくなる要因で他に思いついたのはtransixなんかのポート数不足もあるかもな
ポート数使いすぎて解放されるまでデータ流れなくなる(pppoeだとその制限は無い) >63
発生時 "Ping & Net"アプリを試してみたいと思います。
>64
おっしゃる通りIPoEならあり得そうですよね、しかし当方の環境はpppoeでした。
DHCP関連の問題以外にも、もしかしたら何らかの関係しているのかなと思う要素がふと思い浮かんだのですが、
ぶら下がってるスマホのうち推定2、3台がスマホゲームを頻度高くやっている可能性が想定されます。
(ゲームは疎くて全くわからなく、なんの根拠もないのですがただなんとなく。)
ただ全体に影響る訳ではなく、不特定のスマホに症状が出る事(PCに影響なし)を考えるとNAPTテーブル溢れも考えずらいですし、
やはりスマホゲームは、関係ないでしょうかね。 PrimeVideoがiPadで見れなくなって調べたらランダムMacが原因だった事が有るよ プロの方々、どうか教えて下さいませ。
夜なべしまくって何とかipsecのL2接続まで達成出来たんだが、A拠点側(固定IP)からインタ-ネット側へ出ていきたいです。
interface GigaEthernet0.1の「ip filter flt-list1 1 in」を削除したら、拠点A側と拠点B側からA側の固定IPを通してインタ-ネット側へ出ていけます。
この「ip filter flt-list1 1 in」は、設定事例集の18.2で書かれているコンフィグで、単純に削除するだけでイイでしょうか?? それかaccess-listの書き方が根本的に間違えていますか??
設定事例集の18.1と18.2と実機演習資料(初級編)の「演習3 PPPoE回線での レイヤ2VPN」を参考にしています。
【環境】 拠点A(固定IP)-----ipsec----拠点B(動的IP) です。
それと、動的IP---ipsec----動的IP な組み合わせは無理ですよね?? 安い固定IPだとインタ-リンクですが、なんせ回線速度が出ないイメ-ジしかないwww 安いけど ***********ix2215 拠点A(固定ip側) 1/2***********
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.101.0/24 Tunnel2.0
ip dhcp enable
ip access-list flt-list1 permit 50 src any dest 111.222.333.444/32
ip access-list flt-list1 permit udp src any sport eq 500 dest 111.222.333.444/32 dport anyip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha lifetime 3600
!
ike policy ike-policy peer any key 事前共有鍵 mode aggressive ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec dynamic-map ipsec-policy sec-list ipsec-prop ike ike-policy
ipsec local-id ipsec-policy 192.168.101.253
ipsec remote-id ipsec-policy 192.168.101.254
!
bridge irb enable
!
ppp profile プロバイダA(固定IP)
authentication myname プロバイダA@aaaa.bbbbb.ne.jp
authentication password プロバイダA@aaaa.bbbbb.ne.jp パスワ-ド
!
ip dhcp profile lan
assignable-range 192.168.101.1 192.168.101.254
default-gateway 192.168.101.253
dns-server 192.168.101.253
!
device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5 ***********ix2215 拠点A(固定ip側) 2/2***********
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding プロバイダA
ip address 111.222.333.444/32
ip tcp adjust-mss auto
ip nat enable
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in
no shutdown
interface GigaEthernet2:1.0
no ip address
ip proxy-arp
bridge-group 1
no shutdown
!
interface BVI1
ip address 192.168.101.253/24
ip dhcp binding lan
bridge-group 1
no shutdown
!
interface Tunnel2.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsec-policy with-id-payload
bridge-group 1
bridge ip tcp adjust-mss 1300
no shutdown ***********ix2215 拠点B(動的ip側) 1/2***********
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 111.222.333.444/32 GigaEthernet0.1
ip route 192.168.101.0/24 Tunnel2.0
ip dhcp enable
ip access-list flt-list1 permit udp src 111.222.333.444/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 111.222.333.444/32 dest any
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha lifetime 3600
!
ike policy ike-policy peer 1111.222.333.444 key 事前共有鍵 mode aggressive ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-policy sec-list peer 111.222.333.444 ipsec-prop
ipsec local-id ipsec-policy 192.168.101.254
ipsec remote-id ipsec-policy 192.168.101.253
!
bridge irb enable
!
ppp profile プロバイダB(動的IP)
authentication myname プロバイダB@ccc.dd.jp
authentication password プロバイダB@ccc.dd.jp パスワ-ド
!
device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5 ***********ix2215 拠点B(動的ip側) 1/2***********
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding plala
ip address ipcp
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in
no shutdown
!
interface GigaEthernet2:1.0
no ip address
ip proxy-arp
ip filter b 10 out
bridge-group 5
no shutdown
!
interface BVI5
ip address 192.168.101.254/24
bridge-group 5
no shutdown
!
interface Tunnel2.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsec-policy with-id-payload
bridge-group 5
bridge ip tcp adjust-mss 1300
no shutdown 連投スマソ...
数日ほぼ徹夜で・・・ もう疲れたよパトラッシュ....... >>68
動的IP---ipsec----動的IP
DDNSを使えば可能。 >>72
コンフィグを見ましたが、
B拠点のBVIグループエントリーがおかしい。
A拠点にあわせるのであれば、BVIエントリー5ではなく1にする形になるかと思いますが。
あと、アクセスリストの件ですが、
UDP500とESPパケットのみを許可するようになっていますが、
アクセスリスト以外の通信は拒否される形になるかと思いますので、WEBやメールなどのポート許可
動的フィルタの追加にて追加のアクセスリストのエントリーが無いと、他の通信は拒否されるかと思いますが。
Ether-IPの通信設定の場合、他にインターネット回線が不調若しくは一定の帯域確保が
難しいPPPOE接続などの場合には、A拠点のDHCPサーバからB拠点へのDHCPクライアント
へ配信されるようになっていますが、端末の台数が多かったりすると、IPアドレスの取得
の問題が予期されます。
A拠点、B拠点の方のインターネット回線をPPPOE接続のままに運用される場合には、
出来れば、A拠点、B拠点のDHCPサーバを分割して、B拠点のルーターのIPSECトンネルに
A拠点のDHCPサーバと重複しないようにDHCPサーバを持たせて、アクセスリストの設定にて、
IPSECトンネルにUDP67〜68の通信を拒否する設定を入れた方が良いかと思いますが。
A拠点の固定グローバルIP、B拠点の動的IP間の接続については、
DDNSの移行は可能かと思いますが、その際には、A拠点のルーターにIPSECのSA
更新の負担がかかること、IXルーターには、SA更新の実行は自動的にされないので、
ネットワークモニターなどにて、SA更新の監視をさせた方が良いかと思います。
DDNSの運用にされる場合には、双方DDNS(Netmeister等)にして、メインモードの
方が良いかもしれません。 >>74
あざます。
DDNSね? コマンドリファレンスを読み直してみます。
>>76
n-techさんかな??
貴重なヒント... とても助かります
DHCPの件、確かにこのままいくと障害の原因になりそうですね~
先日の連日の徹夜で体調不良が続いており一切IXを触っていなかったのですが、明日から何とかIX弄れそうです
設定完了後に、またご報告させて頂きます。
ありがとうござます >>77
拠点Bのコンフィグ修正箇所
interface GigaEthernet2:1.0
ip filter b 10 out
bridge-group 1
no shutdown
interface BVI5
bridge-group 1
no shutdown
interface Tunnel2.0
bridge-group 1
no shutdown
A拠点とB拠点のDHCPサーバ(プロトコル67〜68)、DHCPv6(プロトコル546〜547)
を分割する場合
ip access-list dhcp-sec deny udp src any sport range 67 68 dest any dport range 67 68
ip access-list dhcpv6-sec deny udp src any sport range 546 547 dest any dport range 546 547
ip access-list dhcp-pass permit ip src any dest any
interface Tunnel2.0
ip filter dhcp-sec 1 in
ip filter dhcpv6-sec 2 in
ip filter dhcp-pass 100 in
no shutdown
上記、DHCPサーバをA拠点とB拠点を分割するので、 >>77
>>78
A拠点
ip dhcp profile lan
assignable-range 192.168.101.1 192.168.101.127
default-gateway 192.168.101.253
dns-server 192.168.101.253
B拠点
ip dhcp profile lan2
assignable-range 192.168.101.128 192.168.101.254
default-gateway 192.168.101.253
dns-server 192.168.101.253
interface BVI5
ip dhcp binding lan2 >>79
任意の箇所については、あくまでも設定例ですので、ご自身で修正下さい。 >>80
知らせて頂いたコンフィグを参考にさせて貰いました。ありがとうございます
一度、上記の一例を参考にして、コンフィグ作ってみたのですが、A及びB拠点下の端末からインタ-ネット側へ出ていく時に、それぞれの拠点で契約しているプロバイダ-経由で出て行きます。
私としては、後日にA拠点側にFWを設置する予定なので全てA拠点を経由してインタ-ネット側へ出ていかせたいと思っています。単純に端末側ネットワ-ク設定で出来ると思っていましたが、B拠点の端末の個々でのネットワ-ク設定にて、DNSサ-バ-をA拠点
に振ってみましたが、LAN内でのAB拠点同士の疎通は確認出来ましたがインタ-ネット側へは出て行けません。なお、A拠点側の各端末については問題なくネットが使えます。
B拠点のコンフィグ誤りを指摘して頂ければ助かります。
あともうひとつ.....
別でL2TPにより外部からのアクセスも行いたいのですが、AとBそれぞれの拠点にてIpsecにて常時DDNSアドレスが使われているので、別途新しくIPを用意してL2TPアクセス用のDDNSアドレスを取得する必要はありますか?
どうぞご教示ください
コンフィグ作るのに悪戦苦闘で昨日はほぼ徹夜になりました....... もう疲れたよ..パトラッシュ
https://imgur.com/a/UkcOXa2
https://imgur.com/a/hMVwVIn >>81
以下のB拠点のコンフィグにて、
自局のPPPOE接続からでていく構成、IPアクセスリストにて、UDP500、ESPパケットのみ
の通信が出来る構成を採用されているようです。
ip route default GigaEthernet0.1
ip access-list flt-list1 permit udp src 111.222.333.444/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 111.222.333.444/32 dest any
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding plala
ip address ipcp
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in >>81
>>83
それと、気になったのですが、
interface GigaEthernet2:1.0
ip filter b 10 out ←
上記のIPフィルタのエントリーのアクセスリストが無いですが、
何か、別のアクセスリストを適用されていますでしょうか?
特になければ、削除された方が良いかと思います。 >>81
>>83
続きです。
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 8080
route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253
ip route default GigaEthernet0.1
ip route default 192.168.101.253 distance 50 >>81
>>83
通常は、上記のようなデフォルトゲートウェイの選択は不要な筈ですが、
念のためです。
通常のEtherIP方式のIPSECの接続、BVIグループとIPSECトンネルのエントリー
接続が確立していましたら、A拠点よりインターネット接続が出来る筈ですが。 >>81
>>83
続きです
interface BVI5
ip policy route-map r-map >>81
L2TP/IPSECの件ですが、DONS取得をされている状況でしたら、
既存のPPPOEセッション側に、UDP500、ESP、UDP4500、UDP1701をNAT解放、
L2TPのリモートアクセスの設定にて大丈夫かと思います。
アクセスリストへ、UDP4500、UDP1701の許可もご確認下さい。
ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500
ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701
interface GigaEthernet0.1
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 udp 1701
他、L2TPトンネル、ユーザープロファイルの設定をご確認下さい。 >>82
ありがとうございます。
L2TPで繋がらないのは別の問題やったんですね~
>>83
うぉー!
貴重なコンフィグ例ありがとうございます。
深夜なのに喜び過ぎて感無量ですハイ
昨晩、ほぼ寝てないハズなのにコチラを拝見した途端に眠気がぶっ飛びました
早速、着手してみます。
ほんと私も何か皆さんの手助け出来る様にならないと… IX2215のポートVLANについて質問です
IX2215でGE2の8ポートをVLANのアクセスポートとして使用出来ますか?
おそらく出来ないだろうとは思ってるのですが…… 既に同じこと聞いている人いるかもしれませんが、
ix2106を使用しております。
ocnバーチャルコネクトとL2TPを同時に使う場合pppoeを設定することになると思うのですが、
その場合どのように設定するのが一般的でしょうか?
また、コンフィグの基本的な書き方って何を見れば理解しやすいでしょうか?
ご教授いただけないでしょうか? NECのサイトに設定例ありまうす
二つの設定両方あるから、それを組み合わせるだけ
とにかく公式サイトはマニュアル含めてドキュメント豊富だから、
そうそう困ることはない >>93
ありがとうございます!!
試してみます。 >>90
アクセスポートは一応可能ですが、何か意味があるのですか? >>92
IPV6関連の接続とPPPOE接続を併用した場合には、
デフォルトゲートウェイの優先順ですが、PPPOEにプライオリティを付けないと、
ESPやUDP500、UDP4500、UDP1701をポリシールート変更が出来ないです。
よって、HTTP/HTTPS/Mail 等のポートをIPV6側に向ける様にしか出来ない。 >>95
返信ありがとうございます
GE1からスイッチに繋いでタグVLANを運用しているのですが、GE2のポートを使って余分なスイッチを減らしたいと思ってます
公式ページのポートVLANとタグVLANの併用の項を見てもアクセスポートにする方法を見つけられなかったためお聞きしました
アクセスポートについて書かれている箇所がありましたら、教えて頂けませんでしょうか? >>97
アクセスポート扱いのニュアンスを誤解しておりましたが、敢えて明示する項目は御座いません。
ご指定の運用方法ですと、
代替機能として、GE1とGE2をBVIインターフェイス併用でのブリッジポート接続でしたら、可能です。
VLANポートとのブリッジングも可能ですので、機能説明書の2.9.1.3 BVIインターフェイスの設定を
ご確認下さい。
BVIインターフェイスを併用しますと、
IPV6インターネット接続のIPV6ブリッジ対象インターフェイスにVLANグループとBVIインターフェイス
の紐付けも可能です。 >>86
無事にB拠点の端末がA拠点を経由してインタ-ネット側へ出ていく事に成功しました!
感謝感謝です
原因として・・・ 情けないお話しですが、コチラがかなり初歩的なミスをしておりました
A拠点 DHCPサ-バ- 192.168.101.1 ~ 192.168.101.150 GW 192.168.101.254 DNS 192.168.101.254
B拠点 DHCPサ-バ- 192.168.101.150 ~ 192.168.101.200 GW 192.168.101.253 DNS 192.168.101.254
完全な勘違いで、B拠点のGWを 101.254に変えたらA拠点からネットへ出て行くようになりました。 お恥ずかしい限りですw
あとまた質問で申し訳ございませんが、 ..>>83 に書かれてある、ip filter flt-list1 1 in は削除で宜しいでしょうか??
>>88 で書かれてある
ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500
ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701
interface GigaEthernet0.1
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 udp 1701
を入れても、interface GigaEthernet0.1 から ip filter flt-list1 1 in を削除しない限り、B拠点の端末はインタ-ネット側へ出ていけない様です。
それと >>85 で書かれてあるアクセスリストについてですが、このコンフィグはB拠点にぶら下がっている端末が ポ-ト番号80, 443 25 587 143 993 995 8080 以外を利用したアプリケーションがB拠点からA拠点へ出ていけないと言う認識で宜しいのでしょうか??
B拠点にぶら下がった端末からVPSへSSH(ポ-ト50000番台へ変更済)繋がってしまいます。
度々、質問ばかりですみません.... RTX1210とL3スイッチを仕様してネットワークを構築しています。
VLAN間ルーティングはL3スイッチにさせてRTXは各VLANにDHCPさせています。
今回IX2215に移行させよと思い勉強中なのですが、IXはインターフェースに複数のDHCPスコープ(別セグメントのIP)を適用する事は不可能なのでしょうか? >>100
現在のコンフィグの一部です。
IXはサブインターフェースを作成したら行けそうかなと思ったんですが、違いました。。
教えて頂けませんでしょうか?
RTX1210
ip route 10.1.10.0/23 gateway 10.1.1.1
ip route 10.1.12.0/23 gateway 10.1.1.1
ip route 10.1.20.0/23 gateway 10.1.1.1
ip route 10.1.30.0/23 gateway 10.1.1.1
ip lan1 address 10.1.1.254/23
dhcp scope 1 10.1.0.100-10.1.0.109/23
dhcp scope 2 10.1.11.1-10.1.11.99/23 gateway 10.1.11.254
dhcp scope 3 10.1.13.1-10.1.13.99/23 gateway 10.1.13.254
dhcp scope 4 10.1.21.1-10.1.21.99/23 gateway 10.1.21.254
dhcp scope 5 10.1.31.1-10.1.31.99/23 gateway 10.1.31.254
dhcp scope option 1 ntp_server=10.1.1.9
dhcp scope option 2 ntp_server=10.1.1.9
dhcp scope option 3 ntp_server=10.1.1.9
dhcp scope option 4 dns=94.140.14.14,94.140.15.15 ntp_server=10.1.1.9
dhcp scope option 5 dns=94.140.14.14,94.140.15.15 ntp_server=10.1.1.9 >>99
ip filter flt-list1 1 in のコマンドの件ですが、削除は構いませんが(出来ればそのままの方が良いかと思いますが)、そちらですと、
デフォルトでクローズしましたものをオープンのエントリーを追加することで、プロトコルの通信を許可するものです。
もし、B拠点などへL2TP/IPSECトンネルを接続しながら、他のポートを許可する為には、
最終のエントリー追加にて、
「ip access-list sec-list permit ip src any dest any」 のアクセスリストがあるようですので、
interface GigaEthernet0.1
ip filter sec-list 65000 in
ip filter sec-list 65000 out
を追加してみて下さい。
65000エントリーにて、全てのエントリーを許可する形になります。
なお、PPPOEセッション側より、不正なポート等のアクセス拒否等の設定を
されていないようですので、念のためですが、IDSフィルタリング設定を追加
しておいた方が良いかと思いますが。
ids ip type all action discard
ids ip type ip-header action detect
ids ip type icmp action detect
ids ip type udp action detect
ids ip type tcp action detect
ids ip type ftp action detect
ids logging-interval 10 >>99
>>102
続きです。
なお、
SSHからTCP50000番のアクセスですが、アクセスリストに追加にて、
A拠点宛へ通信は可能です。
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport 22 dest any dport eq 50000
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport 22 dest any dport eq 50000 >>100
>>101
IXルーターと配下のL3スイッチにてVLANを構成し、IXルーター側にてDHCP機能を
配信する場合には、
IXルーターのGE2.0-I/Fに物理IPアドレスを設定(10.1.1.254/23)
でしょうか、複合サブネットになっていますので、運用方法によりBVIの機能を併用する形になってしまいますが、
GE2.0-I/Fに物理IPアドレス配下にサブインターフェイスとして、タグVLANのインターフェイスを追加して、そのタグVLANのインターフェイスに
個別のDHCP機能を紐付ける形になりますが、宜しいでしょうか? 以下設定例です。
ip dhcp profile dhcp1
assignable-range 10.1.0.100 10.1.0.109
default-gateway 10.1.1.254
dns-server 10.1.1.254
ip dhcp profile dhcp2
assignable-range 10.1.11.1-10.1.11.99
default-gateway 10.1.11.254
dns-server 10.1.11.254
ip dhcp profile dhcp3
assignable-range 10.1.13.1-10.1.13.99
default-gateway 10.1.13.254
dns-server 10.1.13.254
ip dhcp profile dhcp4
assignable-range 10.1.21.1 10.1.21.99
default-gateway 10.1.21.254
dns-server 94.140.14.14 94.140.15.15
ip dhcp profile dhcp5
assignable-range 10.1.31.1 10.1.31.99
default-gateway 10.1.31.254
dns-server 94.140.14.14 94.140.15.15
interface GigaEthernet2.0
description LAN1
ip address 10.1.1.254/23
no shutdown >>100
>>104
続きです。
interface GigaEthernet2:1.0
description VLAN1
encapsulation dot1q vlan1
ip address 10.1.11.254/23
ip proxy-arp
ip dhcp binding dhcp1
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:2.0
description VLAN2
encapsulation dot1q vlan2
ip address 10.1.21.254/23
ip dhcp binding dhcp2
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown >>100
>>105
続きです。
interface GigaEthernet2:3.0
description VLAN3
encapsulation dot1q vlan3
ip address 10.1.13.254/23
ip dhcp binding dhcp3
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:4.0
description VLAN4
encapsulation dot1q vlan 4
ip address 10.1.21.254/23
ip dhcp binding dhcp4
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
interface GigaEthernet2:5.0
description VLAN5
encapsulation dot1q vlan 5
ip address 10.1.31.254/23
ip dhcp binding dhcp5
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown >>100
>>106
続きです。
ntp ip enable
ntp server 10.1.1.9 priority 254
ntp master 10
ntp retry 3
ntp interval 3600
ip access-list all-forward permit ip src any dest any >>100
>>107
複合サブネットを利用されています点と、配下のL3スイッチ側のVLANグループの
調整が必要になります。
それぞれのVLANグループをタグVLANの追加と、トランクポート対象となるポートと
IXルーター間の物理ポートベースVLANの構成をご確認下さい。
その物理ポートベースVLANグループへ、それぞれのタグVLANの参加をさせる形になります。
それと、VLAN間のルーティング処理として、複合サブネットを利用されていますので、
IXルーター側にBVIインターフェイスを追加して、BVIに参加させるVLANグループの
設定を要す場合が御座います。 >>100
>>109
BVIインターフェイスとVLANグループ、物理インターフェイスの紐付けをさせて、
VLAN同士のルーティング、インターネット接続の共用などをさせる場合の件ですが、
それぞれのVLANグループ間のアクセス条件が必要になります。 >>104-107
>>108-110
ヒントだけではなく、コンフィグまでありがとうございます!!
やはりIXをタグVLANに参加させる必要があるのですね。
現在RTXはタグVLANに参加させておらず、dot1qを利用しておりません。
VLAN間ルーティングはL3スイッチに任せているのですが、IXは不可能な感じでしょうか?
以下がL3スイッチのコンフィグの一部になります。もう少し教えて頂けないでしょうか?
よろしくお願いします。 >>111
L3スイッチ
ip routing
interface Vlan2
ip address 10.1.1.1 255.255.254.0
ip helper-address 10.1.11.255
!
interface Vlan10
ip address 10.1.11.254 255.255.254.0
ip helper-address 10.1.1.254
ip directed-broadcast 101
!
interface Vlan12
ip address 10.1.13.254 255.255.254.0
ip access-group vlan12 in
ip helper-address 10.1.1.254
!
interface Vlan20
ip address 10.1.21.254 255.255.254.0
ip access-group vlan20 in
ip helper-address 10.1.1.254
!
interface Vlan30
ip address 10.1.31.254 255.255.254.0
ip access-group vlan30 in
ip helper-address 10.1.1.254 >>112
コマンドの設定を見ると、「Catalyst 3560」ですか?
IXルーター側へ、VLANグループの反映
interface GigaEthernet2:1.0
description VLAN2
encapsulation dot1q Vlan2
bridge-group 1
interface GigaEthernet2:2.0
description VLAN10
encapsulation dot1q Vlan10
bridge-group 1
interface GigaEthernet2:3.0
description VLAN12
encapsulation dot1q Vlan12
bridge-group 1
interface GigaEthernet2:4.0
description VLAN20
encapsulation dot1q Vlan20
bridge-group 1
interface GigaEthernet2:5.0
description VLAN5
encapsulation dot1q Vlan30
bridge-group 1
L3スイッチの変更(Vlan2をトランクポート、ポートベースVLANに指定)
L3スイッチの物理ポートのトランクポートを指定する
L3スイッチの物理ポートのアクセスポート・VLANの指定、VLAN参加のポートを指定する
VLAN間ルーティングをさせる場合ですが、
IXルーターのBVIインターフェイスの指定、VLANルーティング用
セカンダリIPアドレスの登録など >>112
>>113
続き
interface BVI1
ip address 10.1.1.254/23
ip address 10.1.11.252/23 secondary
ip address 10.1.11.252/23 secondary
ip address 10.1.13.252/23 secondary
ip address 10.1.21.252/23 secondary
ip address 10.1.31.252/23 secondary
ip proxy-arp
ip filter all-forward 65000 in
ip filter all-forward 65000 out
bridge-group 1
no shutdown
GE2.0-I/Fは、ブリッジインターフェイスにするため、IPアドレスは削除
interface GigaEthernet2.0
no ip address 10.1.1.254/23
bridge-group 1
BVIインターフェイスの有効化
bridge irb enable
↑のようなイメージになりますが、
GE2.0-I/F → BVIインターフェイスの統合化、各タグVLANグループの
BVIインターフェイスの参加のため、
タグVLANグループのエントリーにブリッジエントリー追加
最終的に各VLANグループとGE2.0-I/Fを紐付けて、インターネット側へNATセッション
の疎通という形になりますね。 >>112
>>114
BVIインターフェイスにタグVLANをグループ追加しました場合に、
それぞれの詳細なIPアドレス同士のアクセスは、アクセスリストにて、
許可・拒否の設定をする形になるかと思います。 >>113-114
またまたコンフィグまで記載頂き、ありがとうございます!!
おっしゃる通りCatalyst3560を利用しています。配下に複数のL2スイッチがぶら下がっている状態です。
ブリッジインターフェースの理解が無いので、勉強を行おうと思います。
コンフィグ的にVLAN間ルーティングはIXでさせている理解でよろしいのでしょうか?
的外れな事を言っていたら申し訳ありません。 >>116
VLAN間ルーティングの件ですが、DHCPサーバをIXルーターにて実装する場合には、
タグVLANグループの設定とBVIインターフェイスの参加は必要になりますので、
複数サブネット(/23)での多数のクライアント端末が有る場合には、苦しいですね。
出来れば、IXルーターのDHCPサーバを利用せず、配下のL3スイッチ側のDHCPサーバ機能を
利用する様に設定し、IXルーター側との接続は、ポートベースVLAN・トランクポート接続、
そのトランクポート接続のLANグループに、タグVLANを参加させる方法がシンプルかと思いますが。
タグVLAN同士のルーティングですが、BVIインターフェイスの参加するセカンダリアドレス
の要件によって、IPセグメント同士のアクセスは可能です。
セカンダリアドレスは、15アドレスまで登録可能です。 >>116
>>117
ブリッジインターフェイスの機能の件ですが、
シスコのISRルーターなどにも採用されていますが、
iOSのバージョン(17.1以降、16以前)によって、CLIコマンドが違う仕様になっていたかと思います。
中々、シスコルーター系ですと、大変かもしれませんね。
クライアント端末の規模によっては、ISR4000、8000等になるケースも御座いますが、
ライセンスも含めて、バカ高いので、却ってIX2235、IX2310、IX3315等にて、
SD-WAN、SD-LANの構成の方がコストパフォーマンスが良いですね。 >>117-116
L3スイッチのDHCPサーバー機能を完全に忘却れておりました!おっしゃる通りその構成がシンプルですね!
今まで設定した事がありませんでしたので、勉強して検証環境で動作確認をしてみようと思います。
L3スイッチでDHCPサーバーを利用する場合、ルーター側にスタティックルートの設定を行うと思います。
各VLANのネットワークアドレスへの通信のゲートウェイがL3スイッチのIPアドレスに向くよう設定したら問題ないでしょうか?
まだまだ勉強が足りませんでした。教えていただき、ありがとうございます。 >>119
ご推察の対応にて大丈夫かと思います。
IXルーターから、L3スイッチのトランクポートのIPアドレス、その先のVLANセグメント
宛へのスタティックルート設定にて対応確認となるかと思います。 >>120
顔も名前も知らない人間に色々教えていただきありがとうございます!
非常に勉強になりました。理解しきれてない部分もありますが、これから勉強をして理解しようと思います。 >>102
>>103
お返事ありがとうございます。
ACLの掛け方に対して私の知識がかなり不足している様なので、これを機会に勉強してみます。
本日、早速コンフィグの入れ替えしてみます。
ありがとうございます >>121
「Catalyst 3560」 スイッチのDHCPサーバの件、承知致しました。
同スイッチの場合、IP-Servicesライセンスを必要とするかと思いますので、
そのライセンスをご確認下さい。
複合サブネットを運用されているとのことでしたので、シスコのL3スイッチになる
事は仕方なかったかもしれませんね。
ソフトウェアライセンスやサポートライセンス等のライセンスのイニシャルコストが
バカ高いので、ライセンスの状況によっては、他社のL3スイッチの方が良い場合も御座います。
L3スイッチ
ネットギア 「M4300」シリーズ、「M4500」シリーズ
NEC 「QX-S5628GT」、「QX-S5124GT」シリーズ
NEC系ですと、IXルーターのクラウドサービス連携で一元運用管理が出来る
ようになっています。 → Netmeister
>>123
本日検証環境で動作確認を行いました。想定通りの動作になりました!
IXが別のサブネットにDHCPサーバーとして稼働させる事が出来ないのは盲点でした。
しかし、ご教授頂いた手順で想定の動作にする事ができ、安心しました。
おっしゃる通りライセンスや保守費がバカになりませんので、考える必要がありますね。
ルーターをUNIVERGE に置き換えを行うので、スイッチも置き換えると一元管理が出来るのは便利ですね。
本当にありがとうございます。 >>125
良かったですね。
IXルーターのDHCPサーバ機能ですが、別セグメントの動作はタグVLANとBVIの制約
は付きますが、DHCPサーバーとして動作させて、配下のL3スイッチにてDHCPリレーエージェント
の動作や、配下のスイッチ側がNECのUNIVERGE QXのタイプでしたら、
DHCPサーバのVLANインターフェイスとBVIインターフェイスグループにDHCPプロファイル
の条件適用にて、動作させる方法はあるかと思いましたが、
そのような形ですと、IXルーターのリソースを若干かかる点、L3スイッチのメリットが
活かせなくなります。
IXルーターを用意される場合でしたら、配下のL3-L2スイッチをUNIVERGE QXのタイプを
用意して、IXルーターをNetmeisterの管理モードにて動作する設定、L3-L2スイッチを
Netmeisterのクライアントモードの運用、接続端末のデバイスマップ機能にて、
端末の部分も含めて一元化は可能です。
その際にですが、ゼロタッチ・プロビジョニングの運用にて、IXルーター等の故障時の
交換作業の簡略化も可能かと思います。 >>125
>>126
ネットワークの一元化が出来ましたら、次のフェーズは、
端末の台数が多いと見受けられましたので、簡単にはいかないかもしれませんが、
UTM等のセキュリティ関連の統合化も検討された方が良いかもしれません。
現状、シスコのFirePowerなどの運用をされていましたら、特別不要かと思いましたが、
シスコ系のUTMは非常に高く、現在利用されていない状況でしたら、
ParoaltoやFortigateあたりの方が良いかもしれません。 >>126-127
ルーターのリソースを減らす事とL3スイッチのメリットを活かす構成を考えると、
DHCPサーバーはL3スイッチになるのですね。
Netmeisterでの一元管理が可能な点、現状の管理の手間を考えると、配下のL3,L2スイッチの置き換えを考える必要があるかもしれません。
予算との兼ね合いですが、検討していこうと思います。
UTMはFortigate60Fをトランスペアレントモードで導入しています。L2の機能しか使えておりませんが、、
Ciscoコマンドに慣れているせいか、Fortiのコマンドとコンフィグの量に難儀しております。
詳しく教えていただき、非常に感謝しております。ありがとうございます。 >>128
Fortigate60Fですか。
Fortigateトランスペアレント・ブリッジでも、端末台数が20〜30台のNATセッション
でのセキュリティポリシーですと、フローモードがギリギリかもしれません。
Exploit-Proxyモードですと、15〜20台前後が精々かもしれません。
端末により、フローモード、Exploit-Proxyモードを分けて運用することは可能と存じます。
DNSフィルタ機能、スパムメール対策機能を併用すると、リソースの影響が大きいので、
DNSフィルタ機能を利用せずに、Cisco Umbrellaの併用、スパムメール対策は、
レンタルサーバ側のスパムメール対策機能を利用するようにされた方が良いかもしれません。 >>130
オクで5000円で仕入れてファームを最新にして15000円で売れてた頃が懐かしい なんかすげ-スレ伸びてんなwww
IX2015は既に捨てたよ
IX2215が格安で手に入るしね IX2207はまだ高いけど....
てかさ、このスレずっとROMってたんだけど
フレッツipv6の折り返し拠点接続使えば、ひかり電話の転送が無料で可能じゃね??
最近、テレアポ増えてて糞みたいな売り込みで携帯転送料金払わされるのがほんと馬鹿馬鹿しい >>132
北海道の事務所の電話、VPN使って東京で受けてるよ。 >>133
ここで言う、VPN利用は、Asphire UX、WX 利用ですか? pppoeでVPN接続したひかり電話って、音声の遅延が発生しそうで事業用では少し怖いな >>135
VPNネットワーク形態を利用するのであれば、
AsphireWX-Plus主装置と、IXルーター併用にて、NECのクラウドリンクにて、
スマホ内線を利用する 「UNIVERGEどこでも内線サービス」の方が良いんですけどね。 ヤフオクでIX2105値下がりしたね。
例の10台単位の出品が効いているね。 >>136
主装置のplusなしの型落ちなら2万円程度で手に入りますな。
ただ、どこでも内線サービスのサブスク費用はさすがNECですね~高い
確か、IXはsip-nat通らなかった記憶あるんだけど、今は通る様になったんだね 故障用のスペア部品としてIX2105買っとくかな?
オクで出品されてるのは一台あたり2-3千円は安いね >>140
現在のAsphireWX-PlusとIXルーターの連携ですが、
IXルーターのVOIPフォワーディング、QOSシェービング、優先帯域・カラーリングを併用して
音声帯域を確保するようになっています。
他社クラウドPBXでの運用構築も、その様になっていますので、
クラウドサービスを併用する場合には、そのサービスにて利用されています
ポート番号、RTSPポート、UDP5060-5091等の帯域割り当てにて対応は可能と存じます。 >>129
そうなんですよ。端末数が年々増えてきて厳しい状態になっています。
スパム対策を行っていたのですが、現在は無効にしています。
機材の再選定が必要かと考えています。
教えていただいた設定を検討していこうと考えています。ありがとうございます。 >>140
昔はSIP-NAT拡張ソフトウェアセットでSIP-NAT機能を追加出来たけど、今は無理でしょ
UNIVERGEどこでも内線サービスはVPNで繋ぐクラウド側にSIP-NAT機能があるのでは? >>144
SIP-NATはあくまでも、SIP対象のポートを特定のIP端末にNAPT転送するだけの
ものですので、他社のSIP-NATの仕様もそうですが、特定のSIP条件には制約が御座いますので、
実用上は、VOIPポートや特定のIPネットワークに一定の帯域割り当てをするのが本旨
になっております。
Asphire主装置でのシステム間接続も、それを趣旨にQOSやVOIP制御を仕様として
組まれていますので、敢えて特定のメーカーに限ってSIP-NATがキチンと動作するという
ことにはなっておりません。
Asphire主装置のシステム間接続も、IXルーターを併用したり、内蔵のルーターユニットとブリッジングさせて、
VOIP内線をするようになっております。 >>143
Fortigateの機種を1〜2ランク上の製品の選択、FortigateのSyslogデータをFortinet
のクラウドサーバへシスログ連携するようになっていますので、
そのシスログ制御の部分を、クラウド側ではなく、社内のシスログサーバへ保存する様に
変更するだけでも、一定のリソースの低減は可能かと思います。 >>145
SIP-NATはL7の話だよ
話ずれまくってますわ >>147
ここでの質問は、Asphire主装置とUNIVERGEどこでも内線サービスを使用しました際に、
SIP-NATが実装しており、必要であるかというアンサーになります。
L7層でのプロセスの話は、全く違う次元のお話になります。
主装置側の機能やクラウド側には、あえてそういった機能項目は無い言うことになりますが、
代替の機能にて対応するようになっております、
工事マニュアルにもそういった形になっております。 困ったね。
ここ最近までは普通に使えてたものが、
ここにきて使えない所が出てきた。
ドコモ10G+ぷらら(ocnバーチャルコネクト)でポート開放してるんだけど、
ぷらら(ocnバーチャルコネクト)の所からだけ繋がらなくなった。
ocn pppoe の所からだと今でも繋がるし、softbank モバイルルーターからも
スマフォ(docomo) からも繋がる。
合併してなにかこっそり変更したかねぇ。
syslog を debug で取ってもなしのつぶてなんだよねぇ。
つまり上流のルーターで弾いてるって事かねぇ。 >>149
ドコモさまですか。
別件にて、先日ドコモさまのトラブルも出ていたぐらいですので、光回線のトラブルとは
関係性は無いですが、OCNバーチャルコネクトをご利用とのことでしたので、
グローバル固定IP等の契約でしょうか?
CGN回線でしたら、ほぼ無理筋かと思いますが。 一般向けのOCNバーチャルコネクトってMAP-Eじゃなかったっけ?
ぷららってことは一般向けじゃないかと思うけど、MAP-Eで割り当てられたポートレンジが変わったりしてない? ああごめん、違うか
ぷらら側から接続してきてるのね... P2P型アプリケーションで接続元と接続先で割当範囲違うから同じポート番号が使えないせいで接続できないだけじゃないの バーチャルコネクトって事なら、回線はNGNだろうから網内折り返しのIPv6でtunnel掘れば良いのに。
東西跨いでるなら仕方ないけど。 >>102
interface GigaEthernet0.1 へ ip filter flt-list1 1 in を入れた状態でB拠点のLAN側端末がA拠点を通過してネットへ繋がる事が出来ました。 コンフィグ等のご教示頂いたお蔭です。
続けて質問で申し訳ありませんが・・ >>85 で示した頂いたコンフィグ(B拠点にのみ投入)で
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080
route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253
route-map r-map permit 10 自体を削除しても、ip filter flt-list1 1 in のコンフィグがある interface GigaEthernet0.1 へ
ip filter sec-list 65000 in
ip filter sec-list 65000 out
を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。
もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか??
また、A拠点IXのtelnetサーバ-;(23番ポート)にB拠点下部の端末から接続出来てしまいますね。
私の認識ではIXは書いていないアクセスリストについては全て拒否設定だと認識しております。
B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます??
一応、AとB拠点のコンフィグはコチラで、そして互いに接続出来ました
https://imgur.com/a/Oh2rqEa
https://imgur.com/a/TX7XlvD あと、AとBの両拠点のIXを再起動すると、B拠点のLAN側がA拠点とVPN接続完了まで、数分が掛かります。
これが以前に仰っていた両拠点DDNS同士の接続が負荷が掛かると言うことでしょうか??
すみません 質問ばかりで・・
別でご教示頂いたIDSフィルタリングはこの後のコンフィグを投入予定です。
あとココの皆さま度重なるスレ汚しごめんなさい。 ■ このスレッドは過去ログ倉庫に格納されています
