NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
■ このスレッドは過去ログ倉庫に格納されています
>>723
wan側のifにeim-mode設定
ip napt eim-mode eim-mode指定するならudp-only付けとけだし、
副作用もあるから機能説明書も読んどけ 構成を載せ忘れてました
NuroなのでDMZにIX置いてその配下にN Switchぶら下げてます
eim-mode入れてエラーコードこそ出なくなりましたが、エラーコードの出ない「通信エラーが発生しました」が出るようになった気がします
https://y2lab.org/blog/inet/reviewing-multi-homed-internet-environment-nuro-9416/ >>695
物が届きました。
CH340でした。windows 10 22H2 のノートパソコンに繋いだら何もしないでもcom3で認識してix2155と9600でつながりました。
FTDIじゃ無い詐欺商品だけど十分使えるのでよしとします。何たって337円だものw
お勧めはしないけど買ってもいいんじゃない?と言う気もします。
ご参考になると幸いです。 中国出張があるので、費用会社負担でExpressVPNを中国に持っていくノートに導入した
試しに自宅で利用してみたが、IPアドレスチェックするとIPアドレス自体変更されて、全く違う住所表示なる、隠ぺい能力高いね
中国出張の際に、ホテルの回線使って日本の会社ネットワークとVPN接続することが出来たり出来なかったりするそうで
対策としてこのVPNを起動した状態で会社とVPN接続するらしい、そこそこ速度も出ると帰国組からは聞いた
一部のVPNルーターでは、ExpressVPNと直接接続出来るらしいが、NEC IXシリーズは無理っぽい、残念だ ここでプロトコルでは無くサービスの話されても知らんがなとしか言えんが 色々トーシロなんだろ
話の前ふりが長いやつ
本質が分からないやつって居るよね
要は何なんだよ!
って怒鳴りたくなる ix2215を縦置きにしたいのですが側面のネジに合うアジャスターでいいのが有りましたらご教示ください。
正規品は買い方も分からないし多分高価だろうから考えていません。
アジャスターとは丸型などのゴム足みたいなもののつもりです。言葉が間違っていたらすみません。
ノートPCなどを立て掛ける本立てみたいなのでも良いです。
よろしくお願いします。 >>732
おすすめのものを紹介はできないけど公式のやつは定価2000円みたい
https://market.nw-meister.jp/item/BI000005.html
ネジサイズは取説p.2−88参照
自分なら
1.昔からある普通のブックスタンド2個で挟み込む。出っ張りが邪魔なら金鋸で切って仕上げ。
2.L型金具使って足にする。
3.有孔ボードもしくはワイヤーネットとL型金具組み合わせて固定or引っ掛けられるようにする。
ホムセンとか100均でワクワクしてたのしめそう うちは2207だけどまさにブックエンドを使って縦置きしてるよ(あり物なので0円
下(本来のルータの側面)側に1cm角ぐらいの短い角材を2本挟んで浮かせてる
下側の穴を塞いでしまうと通気が悪くなるから注意 >>732
皆様、アドバイス、ご教示有難うございます。
純正品が2200円(送料込み)だったので惹かれたのですが、IX2215は送料込みで2500円ほどで入手したものですからたかが台座に2200円出すのは悔しいと言うか抵抗があります。w
別に慌ててないのでアマゾンやアリエク、ホームセンターなどでのんびり探してみることにします。
目標金額は500円位でw
引き続き情報がございましたらご教示よろしくお願いします。
失礼します。 IX2215を使っているのですがWebの装置情報で「内部温度」が53−55度になっています。少し高温すぎる様な気がするのですが皆様の値を教えて頂けないでしょうか?
どうぞよろしくお願いします。 ウチの場合も空調有りの環境で同じくらいですよ
以前空調無しの無人拠点に数年設置していたことがあって夏場に60度を示しても全く問題なしでした >>736
自分のIX2215は、内部温度44℃だった
自宅の一部屋をサーバールームとして、24H365日19℃30%RHにしているのが大きく影響していると思う さすがに60℃とかの内部温度が定常的だと
電解コンデンサは急激に劣化してしまう
もちろん機器の設計時に劣化を想定して重文なマージンが取られてるはずだけど
10年近く使われた中古品だとヤバいかも >>736
皆様、情報有難うございます。どうやら私のIX2215は暖かめであることがわかりました。
IX2215のカタログには動作保証温度を45度に拡大(従来機種は40度)と記述してあるので内部温度55度前後に不安を覚えていました。
実は運用を始めてまだ数日でして、とりあえず10.7.18にバージョンアップしてTransixで動かしたばかりです。
現在のところ正常動作している様ですのでしばらく様子見です。
何かありましたら報告させて頂きます。
蛇足ですが、使っていないポートなどをshutdownしたら1−2度下がった様な気がします。w
この度は有難うございました。 マニュアルを読みましょうよ
動作保証温度は周囲温度で、内部温度はそれより+25度ほど高くなります(IX2215,2207の場合)
要するに2310以外のIX2000シリーズ現行機種の場合、内部温度で70度以下が目安です
もちろんマニュアルにもあるように
「動作保証温度範囲内であっても、高い温度環境でご使用いただくと、一般的に故障率は増加します。」
「故障予防の観点から、できるだけ20℃〜25℃でのご使用をお勧めします。」
なので周囲温度を下げる努力は無駄では無いです あと以前にも書きましたけど、2207の場合、縦置きするだけで4〜5度ほど内部温度は下がります
(内部温度が周囲温度+20度ほどになるという意味)
パッシブでの冷却効率を気にするなら2215でも無駄では無いでしょう
さらに、自宅やSOHO等で24時間空調を入れられない場合、設置場所を低めにするだけでも効果があります
空調なしの場合、天井近くと床近くで1〜2度以上温度が異なるのは珍しく無いです
Wi-Fi AP等とまとめて設置するために棚の上に置かれていたりすることがありますが、ルータだけでも下に置くと大分違います 縦置きにしても2207は右が上か左が上かだけでも温度変わるよな 試してないけど2207は電源ユニットがUSBポート側にあるから変わるだろうね
うちはUSBポートが上になる配置(NEC様ご指定)で、多分この配置で内部温度は低めになるんじゃないかな
もっとも、ダメになりがちなのは電解コンデンサ=電源周りだからUSB側を下にした方が(コンデンサは)冷えて良いかも知れないけど
ただ使い勝手を考えるとUSBポートが上に来る方が(ACインレットが下になるのを含め)良いので結局そのままです >>733
公式で買えるの知らなかった。紹介サンキュー。
今IX2215横置きで温度見たら高めだったから縦置きスタンドセット注文した。 ファームアップ出たね。リリースノートが文字化けしているけど。 同じ場所に2台重ねしてあるOX2215があります。
同じconfigで片方ずつ動作させるとAはBより内部温度が5度ほど低いです。
ちなみに
A=2013年製
B=2014年製
上下を入れ替えても同じです。
個体差があってこんなものなのか、AあるいはBになんらかの異常?経年劣化?が起きている?
皆様のご意見をうかがえると幸いです。 >>747
テキストエンコーディングって拡張を入れてUTF-8 設定にしたら読めた。 IX2105はもうファームアップなしか。十分古いからな。 IX2215 ってまだ現役で販売しているんですよね?で5年無償保証って書いてあるからまだ少なくとも5年間はサポート、ファームのバージョンアップが見込めるってことなんですかね?
なんかIX2215すごいお得感があるなぁ 2207もNetMiesterには出てこないな
リリースノートの文字化けで一旦取り下げられたんかな >>753
両方とも開けてエアーで掃除しました。因みに内部温度が低い方のAの方がうっすらと基板がホコリで汚れていて、Bは基板にほとんどホコリがなくきれいです。 2105はもうすぐサポートが終わるOpenSSL 1.1.1系統を使ってるけど
メモリ少ないからか3.0に移行しないできないのが関係あるのかな ・IPv4 over IPv6 国内標準プロビジョニング対応 ってなに? ISPが仕様を共通化したのでそれに対応すれば
ルーター側で自動でIPv6の方式設定をできるようになる話じゃないのかな >>756
多分>>446じゃないかな
これまで、v6プラスetc.で個別に対応が必要だったものを標準化しましょうって話
(IPトンネルの対向側のアドレスやポートレンジの割り当て等の取得方法がサービスごとに異なる) IX2215ばかりでIPV6NGN網VPN構築しているんだけど、
1拠点だけIPV6アドレスを取得できない。
ただし拠点側でインターネット接続があるからなのかVPN通信はできている。
もちろんNetMeisterには出てこない。
NTT西日本、光電話無し、IPV6オプションON確認済。
何か情報ございませんか? IPv6アドレスを取得できないってのは、どのように確認しました? >>760
ログイン後のトップページのWAN情報のところが IPv6アドレス: なし になってます。
他の拠点はちゃんと表示されています。
NetMeister DDNSにも登録が上がらないのでIPv6アドレスがとれて無いと思っています。 ひかり電話なしということは、多分ND proxyでGE2.0にIPv6アドレスを割り振る設定にしていると思うので、
show ipv6 address GE2.0
や、単に
show ipv6 address
show ipv6 interface
してみてください
多分IPv6アドレスそのものは割り当てられてるんじゃないかと予想(エスパーですけど、VPNは機能しているんですよね?)
(webコンソールのWAN情報はsystem informationやweb-console o wan1...あたりの設定が間違っていると正しく表示されないはずなので)
それで、もしIPv6アドレスは割り当たっているなら、
ファームウェアver.10.7.17, 10.7.18でのIPv6経由でのNetMeister接続の問題にヒットしたりしません?
Ver.10.7.17, 10.7.18のリリースノート
機能説明書の
13章バージョンアップにおける諸注意
■13.27 Ver.10.7.17 コンフィグ
■13.28 Ver.10.7.18 コンフィグ
あたりを参照 >>762
u(config)# show ipv6 address
Interface GigaEthernet0.0 is up, line protocol is up
Link-local address(es):
fe80::260:****:feff:5495 prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:ff00:0
ff02::1:ffff:5495
Interface GigaEthernet2.0 is up, line protocol is up
Global address(es):
2400:****:c760:cc00:260:b9ff:feff:54d5 prefixlen 64
2400:****:c760:cc00:: prefixlen 64 anycast
Link-local address(es):
fe80::260:****:feff:54d5 prefixlen 64
fe80:: prefixlen 64 anycast
Multicast address(es):
ff02::1
ff02::2
ff02::1:2
ff02::1:ff00:0
ff02::1:ffff:54d5 >>762
Interface GigaEthernet0.1 is dormant, line protocol is down
Link-local address(es):
fe80::266:****:feff:5495 prefixlen 64 dormant
fe80:: prefixlen 64 anycast dormant
Multicast address(es):
ff02::1
ff02::2
ff02::1:ff00:0
ff02::1:ffff:5495
Interface Loopback0.0 is up, line protocol is up
Orphan address(es):
::1 prefixlen 128
Interface Loopback1.0 is up, line protocol is up
Interface Null0.0 is up, line protocol is up
Interface Null1.0 is up, line protocol is up
u(config)# >>762
長ったらしい書き込みご容赦です。
以上が出力です。
ちゃんと動いているようには見えるので気にしないことにするのがよさそうですね。 ああやっぱりIPv6そのものは機能してますね
ファームの不具合云々書きましたけど、不具合でなくてもIPv6経由のNetMeister接続が導入されたころにもワチャワチャしてた記憶があるので、
NetMeister周りの設定
nm hogehoge ...
を全面的に見直せばDDNS含めて治ると思いますよ
Webコンソールの表示はまあ表示だけですしね >>766
何度もすみません。
nm ipv6 enable ngn-private auto mqtt force
nm account m******* password secret B*************
nm sitename m******-hooge
nm ddns notify interface GigaEthernet0.0 protocol ipv6
nm logging enable
nm関係はこんな状態なのですが何か間違ってますか?
nm outgoing-interface [インタフェース指定] [nexthop 指定] protocol ipv6
というのも無いのですが必要ですか? >>767
それで大丈夫だと思いますね
show nm information
にはエラーが表示されたりしていませんか?
nm outgoing-interface は通常は無くても大丈夫のはずです ああごめんなさい
/64でGE2.0にIPv6割り当ててるんですよね
nm ddns notify interface GigaEthernet2.0 protocol ipv6
のはずです
これだけでダメなら
nm outgoing-interface GigaEthernet0.0 auto protocol ipv6
nm source-address GigaEthernet2.0 protocol ipv6
も追加(ver10.7以上)、ですけど指定しなくても動作するはず >>770
ひかり電話なしだから
/64でなく/56じゃなかった? >>769
>>770
大変ありがとうございます。
すぐにはできないかもなのでこんどやってみます。
いずれにせよ表示上だけの問題であろうということで一安心です。
助かりました。 >>771
光電話なしが/64じゃありませんでしたっけ? 2105は今回ファームウェア更新ないし更新が終了した可能性もなくはないので
今から買うなら2207にしたふがいいかも >>775
そこは今ならIX2105の後継はIX2106じゃない?
IX2207は初出古かった気がするからIX2106より販売終了早くくるんでない? >>775
新しいバージョンが出なかったのは、恐らくHW的に新しいもの載せられないからだと思われる。
とはいえ、NECのEoLは販売停止(出荷停止)から5年だった気がするので、IX2105は後1年位で完全にサポート切れかな(販売終了が2019年)
後IX2207は今年の3月に販売停止になった用なので、EoLは2028年だな もう終了してる
後継はそうだが2016は新しいので2207ほど安くはない
発売年
2105 2010
2207 2014
2106 2017 2207もあと5年、2028/3までメンテされるなら十分じゃね
さすがに後5年もしたら10Gbへの切り替えを検討してるはず ヘアピンnat って昨日始めて知った。w こんな便利なの知らなかったのが恥ずかしい。 だれか助けてください。
GE0.0 WAN 動的IP DGW
GE1.0 管理用IP 192.168.1.1/24 (LAN内のNativeVLANのIPアドレス)
GE1.1 インターネットアクセス用@ 192.168.2.1/24 タグVLAN2 DHCP払い出し
GE1.2 インターネットアクセス用A 192.168.3.1/24 タグVLAN3 DHCP払い出し
上記設定で以下の通信を実現したいのですが、試行錯誤してACLを作成してみてはいるのですが、うまくいかず・・・。
どのようなACLになるかどなたか教えてくれませんか・・・。
@GE1.0は管理ポートとして特定のNW(192.168.1.0/24)からのみアクセス可能で、かつ、特定IPのみ(192.168.1.10)インターネットにアクセス可能
AVLAN間ルーティングは禁止
BVLAN2と3はインターネットアクセスのみ可能
IX2207で試行錯誤しているのですが、上手く稼働するACLが書けない。。。 適当な拡張ACLをそれぞれのIFによしなに設定するだけでないん? ip access-listで良くない?
自分はVLAN1~4のポートベースVAN設定、各VLAN間の通信遮断、そしてIX2215へアクセス出来るPCをIP固定で許可する設定しているけど
ACLは使っていないし、ACL制御は理解していない 初歩的な質問かもしれませんが、ご教示頂きたく…
IX2215のGE2.0(192.168.250.xxx)に接続しているVPNサーバのメンテナンス用としてGE1.0(192.168.9.xxx)をVPNサーバのLAN側ポートと接続し、GE2.0配下のPCからVPNサーバにログイン出来るようにしたいのですがどのような設定をすればよいでしょうか? >>787
正直要件がよく分からんですけど、
GE1.0(192.168.9.0/24)とGE2.0(192.168.250.0/24)間を基本的に通信不可にして、
GE2.0以下の特定のアドレスからGE1.0以下の特定のアドレスへのみ繋がるようにするなら(かなりエスパー)、
基本的な考え方はこういう感じ
- GE1.0, GE2.0 以下のネットワークからインターネットへは出て行ける
- GE1.0, GE2.0 以下のネットワークへは進入不可
- ただし GE2.0 以下の特定のホストから GE1.0 以下の特定のホストへのみは接続を許可する
(プロトコルとか分からんので以下の例ではIPアドレスで許可してます)
テストしてないから動作するか知らんですし(あとIPv6も知らんです)、既存のフィルタとの整合性とかは上手いことやってください
まあマルチポートの単体VPNサーバを使うような環境なら業者に頼んだほうが良いんじゃねって思うけど
(よくある保守されていないVPNサーバの脆弱性を突かれて云々にならないようにお気をつけください...) # dynamic filter に頼った手抜き例
ip ufs-cache enable
ip access-list allow-anything permit ip src any dest any
ip access-list block-anything deny ip src any dest any
ip access-list dynamic dyn-allow-any access allow-anything
! 管理用PCが 192.168.250.123, .250.124、VPNサーバ管理I/F?が 192.168.9.234 の場合
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.123/32 dest 192.168.9.234/32
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.124/32 dest 192.168.9.234/32
ip access-list dynamic dyn-allow-mgmt access acl-mgmt-vpnsrv
interface GigaEthernet1.0
description management-network
ip address 192.168.9.254/24
ip filter dyn-allow-mgmt 10 out
ip filter block-anything 100 out
ip filter dyn-allow-any 100 in
no shutdown !続き
interface GigaEthernet2.0
description office-network
ip address 192.168.250.254/24
ip filter block-anything 100 out
!無くても dyn-allow-any で許可されるが他のフィルタルールとの兼ね合いがあるなら明示的に許可
!ip filter dyn-allow-mgmt 10 in
!必要なら他のルール
ip filter dyn-allow-any 100 in
no shutdown #動作の理解/他のフィルタルールと合わせやすい用に、もう少し細かく明示的に指定する例
ip ufs-cache enable
ip access-list block-frm-ge2.0 deny ip src 192.168.250.0/24
ip access-list block-to-ge2.0 deny ip src any dest 192.168.250.0/24
ip access-list block-frm-ge1.0 deny ip src 192.168.9.0/24
ip access-list block-to-ge1.0 deny ip src any dest 192.168.9.0/24
ip access-list allow-anything permit ip src any dest any
ip access-list block-anything deny ip src any dest any
ip access-list dynamic dyn-allow-any access allow-anything
! 管理用PCが 192.168.250.123, .250.124、VPNサーバ管理I/F?が 192.168.9.234 の場合
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.123/32 dest 192.168.9.234/32
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.124/32 dest 192.168.9.234/32
ip access-list dynamic dyn-allow-mgmt access acl-mgmt-vpnsrv
!続く !続き
interface GigaEthernet1.0
description management-network
ip address 192.168.9.254/24
ip filter dyn-allow-mgmt 10 out
ip filter block-frm-ge2.0 50 out
!暗黙に残りは全てblockされる
ip filter block-to-ge2.0 50 in
ip filter dyn-allow-any 100 in
no shutdown
interface GigaEthernet2.0
description office-network
ip address 192.168.250.254/24
ip filter block-frm-ge1.0 50 out
!暗黙に残りは全てblockされる
ip filter dyn-allow-mgmt 10 in
ip filter block-to-ge1.0 50 in
ip filter dyn-allow-any 100 in
no shutdown
当然上記の設定だけを投入しても動作しないので、環境に合わせて変更して入れてください
あくまでも説明用です
(あと少しアルコール入ってます) ああなんかワヤクチャだ
大事なことを書き忘れてるから後で訂正します
あと>>793-794は要らんね(全然わかり易くない...) そもそも>>787は意味不明
親切心でエスパーすると本人のためにならない >>787みたいな説明しかできない知識力や国語力の奴に
下手にエスパーして長文解説してもどうせ理解できないんだからやめとけ まあ言いたいことは分かるけど途中まで書いちゃったからな
で訂正というか書き足しというか
>>791-792 だとWANからGE2.0への(恐らく)メイントラフィックがdynamic filterで処理されるので、これを避けるとこんな感じに
(+他セグメント宛のパケットがルーティング処理に侵入しないように)
#GE2.0へは基本許可(指定パターンのみ拒否)になるので注意
#192.168.10.0/24は他にもセグメントが存在するならの例、説明用、無視して良い
ip ufs-cache enable
ip access-list allow-anything permit ip src any dest any
ip access-list block-anything deny ip src any dest any
ip access-list dynamic dyn-allow-any access allow-anything
! GE1.0から他セグメントへのパケットをブロックする
ip access-list block-dst-ge1.0 deny ip src any dest 192.168.10.0/24
ip access-list block-dst-ge1.0 deny ip src any dest 192.168.250.0/24
! 他セグメントからGE2.0へのパケットをブロックする
ip access-list block-src-ge2.0 deny ip src 192.168.9.0/24 dest any
ip access-list block-src-ge2.0 deny ip src 192.168.10.0/24 dest any
! GE2.0から他セグメントへのパケットをブロックする
ip access-list block-dst-ge2.0 deny ip src any dest 192.168.9.0/24
ip access-list block-dst-ge2.0 deny ip src any dest 192.168.10.0/24
! 管理用PCが 192.168.250.123, .250.124、VPNサーバ管理I/F?が 192.168.9.234 の場合
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.123/32 dest 192.168.9.234/32
ip access-list acl-mgmt-vpnsrv permit ip src 192.168.250.124/32 dest 192.168.9.234/32
ip access-list dynamic dyn-allow-mgmt access acl-mgmt-vpnsrv interface GigaEthernet1.0
description management-network
ip address 192.168.9.254/24
ip filter dyn-allow-mgmt 10 out
ip filter block-anything 100 out
ip filter block-dst-ge1.0 100 in
ip filter dyn-allow-any 110 in
no shutdown
interface GigaEthernet2.0
description office-network
ip address 192.168.250.254/24
ip filter block-src-ge2.0 100 out
ip filter allow-anything 110 out
ip filter dyn-allow-mgmt 10 in
ip filter block-dst-ge2.0 100 in
ip filter allow-anything 110 in
no shutdown >>800-801
スレ汚しやめろ
おまえのやってる行為はオナニーでしかない
自分のためにやってる ACLとか自由に名前付けて良いところはあえてNECの用例の通りにしておくべきと思う
自分勝手に命名すると他の人には分かりにくくなるし自分でも時間経つと分からなくなる REVELATION/ IN THE SAME BOAT
グラノード広島(granode hiroshima)
大和ハウス工業(daiwa house group)
シーレックス(seerex)
テイケイ西日本(teikei west japan)
裏社会(underworld)
広島県警察(hiroshima prefectural police)
公安警察(security police)
広島地方検察庁(hiroshima district public prosecutors office)
草津病院(kusatsu hospital)
岡田外科医院(okada surgical clinic) >>806
俺流ネーミングはそん時は良いんだけど
3年後に意味不明で、自分でも困るよね お分かりになればお教下さい
NTT西地区でIX2215にてNGN網VPNを構築しているのですが、
今回、NTT東地区にも支店ができたので、NTT東地区に拠点を追加したいのですが、
IXのNGN網VPNの説明で、東西間の通信をしたければ両方にプロバイダの契約が必要とあったので、
西地区にあるセンター、東地区の拠点ともにプロバイダ契約はあるのですが、
実際に設置してみるとNetmeisterの登録はできているのですがVPNが繋がりません。
なにか特別な設定が必要なのでしょうか?
それとも東西間の通信において根本的に勘違いしていますでしょうか? 閉域網で繋ぎたいならフレッツVPNワイドの東西接続サービス使うしか無いのでは?
インターネット通していいなら東西間だけインターネットVPNにするとかなんだろうが 東西間のNGNの折り返しVPNは出来ないので、プロバイダ契約してインターネット経由のVPN接続してくださいと言う意味だろうよ。
プロバイダ契約したからって東西間のNGNの折り返しVPNが出来るわけじゃないと思うが・・・ >>810
IPoE対応 プロバイダにするといいことあるかもよ >>810
VPN設定はNetmeisterにやらしているの?
それともコマンドで? NECの資料
NetMeisterダイナミックDNSサービスを
利用しIPv6のNGN網を活用したVPN構築手順
https://jpn.nec.com/univerge/ix/Support/custom-gui/NetMeisterDDNS_NGNIPv6-VPN.pdf
に、
※NTT東日本とNTT西日本のエリアを跨いでVPN構築する場合は、
各々のエリア内で1拠点づつISP契約が別途必要です。
の一文があるので、できるものと考えました。
>>813
IPoEプロバイダにすればできそうでしょうか?双方ですよね?
>>814
NGN網VPNですので各IX2215でGUI設定しています。 >>816
どうしてもNGN網内で完結したいというわけではないですけれど、
一括管理等の部分においてNetMeister〜DM-VPNで設定できればと考えています。
提示させていただいた資料の4ページ中央付近の青文字注釈についてはどう思われますか? >>810
GUIだけだと、できないような気がします。
西1 LAN192.168.1.254 Tunnel169.254.255.1 IPoEあり センタールーター
西2 LAN192.168.2.254 Tunnel169.254.255.2
西3 LAN192.168.3.254 Tunnel169.254.255.3
東9 LAN192.168.4.254 Tunnel169.254.255.9 IPoEあり
の4拠点でダイナミックVPNを構築するとします。
西1と東1は、ISP契約が必要で、これはIPoE/IPv6がおすすめです。
PPPoE/IPv4の固定IPアドレスサービスでもできますが、コスト/速度から選ぶ必要はないと思います。
(東西接続サービスは、NTTのフレッツVPNを利用する場合に限るので、今回は関係ありません。)
西2から西3に通信するときは、まずは西2が西1に問い合わせて、西3のNGN-IPv6アドレスを取得します。
次に、西2から西3にGREパケットを送って、オンデマンドVPNを構築するので、通信ができるようになります。
西2・西3とも同じNGN内なので、IPv6で直接通信できます。
GUIでダイナミックVPNを構築して、西2から東9へ通信をした場合。
これまで同様に西2から西1へ問い合わせて、東9のIPv6アドレスを尋ねます。
西2から東9のIPv6アドレスに接続しようとしても、東西が分断されているので通信できません。
しかしながら、西1と東9は、お互いにIPv6グローバルアドレスを持っているので、通信できます。
そこで、西1ルーターからBGPで、西2・西3へ経路を配信します。
「192.168.4.0/24宛ての通信は、西1で受けるので169.254.255.1へ」
と。
知らんけど。 IX1-3K-EX-10.8.pdf
設定事例集 38.4 NTT 東西間 NGN 閉域網の拠点間接続と MAP-E によるインターネット接続
事例では、ルーターa,b,cが東日本、ルーターdが西日本。
東西をまたいだ拠点が一つだけの例。これだと、経路配信とか考えなくても動くと思う。
ルーターa(東日本、センター、IPoE契約あり)
・Tunnel0.0 MAP-Eでインターネット出し。
・Tunnel1.0 IPoE経由で西日本VPN接続用。
・Tunnel2.0 NGNで東日本の複数拠点のVPNを収容。
ルーターb,c(東日本、拠点)
・Tunnel0.0 ルーターaのTunnel2.0へ接続
ルーターd(西日本、IPoE契約あり)
・Tunnel0.0 ルーターaのTunnel1.0へ接続
東拠点か、インターネット出しか気にせず、すべてTunnel0.0に流し込む。 >>818
>>819
ありがとうございます。
読み込んで理解、実験してみたいと思います。 わかる方いましたらお助けください。
私は光クロスのXpass固定1を契約しています。
Xpass固定1に対応していない高性能ルーターを使いたいので、IXルーターでXpassを喋らせて、
NATで下位ルーターに接続しています。(ACLも設定済みでIPv4に関しては全パケットが下位ルーターに流れるようにしています)
この設定でIXルーターにIPv6がDHCPv6で降りてきており、IXルーターにPCを接続するとPCにIPv6が割り振られます。
しかし、下位ルーター以下の機器にはIPv6通信ができません。(下位ルーターのRAでアドレスだけは配布されています)
下位ルーターのWAN側設定はDHCPv6 プレフィックス64で設定、LAN側はプレフィックス委任、RA有効、DHCPv6 開始::2 停止::7d1
となっております。
原因と解決策がわかりましたら教えてください。
IXのコンフィグは長すぎて怒られたので必要箇所を指示いただけたら乗っけます。 >>820
経費を気にせず、全部の拠点にIPoE/IPv6契約をすれば、
NetMeister DM-VPNの設定で動くと思う。
ただし、IPv4/PPPoEが使えないプロバイダ契約もあるので、インターネット出しを、
PPPoEの interface GigaEthernet0.1 じゃなくて
IPv4 ove IPv6 を使う interface Tunnel1.0 にする必要がある。
かんたん設定でも、IPv6 IPoE接続を選ぶとできるのかな。 >>821
下位ルータがDHCPv6 PDクライアントにしてPCにRA吐くのは下位ルータにしたいのか、RAはIXが吐いて下位ルータはRA透過させたいのか。
IXはRA吐いてるのに下位ルータはDHCPv6クライアントしようとしてるとかにも聞こえる ■ このスレッドは過去ログ倉庫に格納されています