NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
■ このスレッドは過去ログ倉庫に格納されています
>>81 >>83 通常は、上記のようなデフォルトゲートウェイの選択は不要な筈ですが、 念のためです。 通常のEtherIP方式のIPSECの接続、BVIグループとIPSECトンネルのエントリー 接続が確立していましたら、A拠点よりインターネット接続が出来る筈ですが。 >>81 >>83 続きです interface BVI5 ip policy route-map r-map >>81 L2TP/IPSECの件ですが、DONS取得をされている状況でしたら、 既存のPPPOEセッション側に、UDP500、ESP、UDP4500、UDP1701をNAT解放、 L2TPのリモートアクセスの設定にて大丈夫かと思います。 アクセスリストへ、UDP4500、UDP1701の許可もご確認下さい。 ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500 ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701 interface GigaEthernet0.1 ip napt static GigaEthernet0.1 udp 4500 ip napt static GigaEthernet0.1 udp 1701 他、L2TPトンネル、ユーザープロファイルの設定をご確認下さい。 >>82 ありがとうございます。 L2TPで繋がらないのは別の問題やったんですね~ >>83 うぉー! 貴重なコンフィグ例ありがとうございます。 深夜なのに喜び過ぎて感無量ですハイ 昨晩、ほぼ寝てないハズなのにコチラを拝見した途端に眠気がぶっ飛びました 早速、着手してみます。 ほんと私も何か皆さんの手助け出来る様にならないと… IX2215のポートVLANについて質問です IX2215でGE2の8ポートをVLANのアクセスポートとして使用出来ますか? おそらく出来ないだろうとは思ってるのですが…… 既に同じこと聞いている人いるかもしれませんが、 ix2106を使用しております。 ocnバーチャルコネクトとL2TPを同時に使う場合pppoeを設定することになると思うのですが、 その場合どのように設定するのが一般的でしょうか? また、コンフィグの基本的な書き方って何を見れば理解しやすいでしょうか? ご教授いただけないでしょうか? NECのサイトに設定例ありまうす 二つの設定両方あるから、それを組み合わせるだけ とにかく公式サイトはマニュアル含めてドキュメント豊富だから、 そうそう困ることはない >>93 ありがとうございます!! 試してみます。 >>90 アクセスポートは一応可能ですが、何か意味があるのですか? >>92 IPV6関連の接続とPPPOE接続を併用した場合には、 デフォルトゲートウェイの優先順ですが、PPPOEにプライオリティを付けないと、 ESPやUDP500、UDP4500、UDP1701をポリシールート変更が出来ないです。 よって、HTTP/HTTPS/Mail 等のポートをIPV6側に向ける様にしか出来ない。 >>95 返信ありがとうございます GE1からスイッチに繋いでタグVLANを運用しているのですが、GE2のポートを使って余分なスイッチを減らしたいと思ってます 公式ページのポートVLANとタグVLANの併用の項を見てもアクセスポートにする方法を見つけられなかったためお聞きしました アクセスポートについて書かれている箇所がありましたら、教えて頂けませんでしょうか? >>97 アクセスポート扱いのニュアンスを誤解しておりましたが、敢えて明示する項目は御座いません。 ご指定の運用方法ですと、 代替機能として、GE1とGE2をBVIインターフェイス併用でのブリッジポート接続でしたら、可能です。 VLANポートとのブリッジングも可能ですので、機能説明書の2.9.1.3 BVIインターフェイスの設定を ご確認下さい。 BVIインターフェイスを併用しますと、 IPV6インターネット接続のIPV6ブリッジ対象インターフェイスにVLANグループとBVIインターフェイス の紐付けも可能です。 >>86 無事にB拠点の端末がA拠点を経由してインタ-ネット側へ出ていく事に成功しました! 感謝感謝です 原因として・・・ 情けないお話しですが、コチラがかなり初歩的なミスをしておりました A拠点 DHCPサ-バ- 192.168.101.1 ~ 192.168.101.150 GW 192.168.101.254 DNS 192.168.101.254 B拠点 DHCPサ-バ- 192.168.101.150 ~ 192.168.101.200 GW 192.168.101.253 DNS 192.168.101.254 完全な勘違いで、B拠点のGWを 101.254に変えたらA拠点からネットへ出て行くようになりました。 お恥ずかしい限りですw あとまた質問で申し訳ございませんが、 ..>>83 に書かれてある、ip filter flt-list1 1 in は削除で宜しいでしょうか?? >>88 で書かれてある ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500 ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701 interface GigaEthernet0.1 ip napt static GigaEthernet0.1 udp 4500 ip napt static GigaEthernet0.1 udp 1701 を入れても、interface GigaEthernet0.1 から ip filter flt-list1 1 in を削除しない限り、B拠点の端末はインタ-ネット側へ出ていけない様です。 それと >>85 で書かれてあるアクセスリストについてですが、このコンフィグはB拠点にぶら下がっている端末が ポ-ト番号80, 443 25 587 143 993 995 8080 以外を利用したアプリケーションがB拠点からA拠点へ出ていけないと言う認識で宜しいのでしょうか?? B拠点にぶら下がった端末からVPSへSSH(ポ-ト50000番台へ変更済)繋がってしまいます。 度々、質問ばかりですみません.... RTX1210とL3スイッチを仕様してネットワークを構築しています。 VLAN間ルーティングはL3スイッチにさせてRTXは各VLANにDHCPさせています。 今回IX2215に移行させよと思い勉強中なのですが、IXはインターフェースに複数のDHCPスコープ(別セグメントのIP)を適用する事は不可能なのでしょうか? >>100 現在のコンフィグの一部です。 IXはサブインターフェースを作成したら行けそうかなと思ったんですが、違いました。。 教えて頂けませんでしょうか? RTX1210 ip route 10.1.10.0/23 gateway 10.1.1.1 ip route 10.1.12.0/23 gateway 10.1.1.1 ip route 10.1.20.0/23 gateway 10.1.1.1 ip route 10.1.30.0/23 gateway 10.1.1.1 ip lan1 address 10.1.1.254/23 dhcp scope 1 10.1.0.100-10.1.0.109/23 dhcp scope 2 10.1.11.1-10.1.11.99/23 gateway 10.1.11.254 dhcp scope 3 10.1.13.1-10.1.13.99/23 gateway 10.1.13.254 dhcp scope 4 10.1.21.1-10.1.21.99/23 gateway 10.1.21.254 dhcp scope 5 10.1.31.1-10.1.31.99/23 gateway 10.1.31.254 dhcp scope option 1 ntp_server=10.1.1.9 dhcp scope option 2 ntp_server=10.1.1.9 dhcp scope option 3 ntp_server=10.1.1.9 dhcp scope option 4 dns=94.140.14.14,94.140.15.15 ntp_server=10.1.1.9 dhcp scope option 5 dns=94.140.14.14,94.140.15.15 ntp_server=10.1.1.9 >>99 ip filter flt-list1 1 in のコマンドの件ですが、削除は構いませんが(出来ればそのままの方が良いかと思いますが)、そちらですと、 デフォルトでクローズしましたものをオープンのエントリーを追加することで、プロトコルの通信を許可するものです。 もし、B拠点などへL2TP/IPSECトンネルを接続しながら、他のポートを許可する為には、 最終のエントリー追加にて、 「ip access-list sec-list permit ip src any dest any」 のアクセスリストがあるようですので、 interface GigaEthernet0.1 ip filter sec-list 65000 in ip filter sec-list 65000 out を追加してみて下さい。 65000エントリーにて、全てのエントリーを許可する形になります。 なお、PPPOEセッション側より、不正なポート等のアクセス拒否等の設定を されていないようですので、念のためですが、IDSフィルタリング設定を追加 しておいた方が良いかと思いますが。 ids ip type all action discard ids ip type ip-header action detect ids ip type icmp action detect ids ip type udp action detect ids ip type tcp action detect ids ip type ftp action detect ids logging-interval 10 >>99 >>102 続きです。 なお、 SSHからTCP50000番のアクセスですが、アクセスリストに追加にて、 A拠点宛へ通信は可能です。 ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport 22 dest any dport eq 50000 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport 22 dest any dport eq 50000 >>100 >>101 IXルーターと配下のL3スイッチにてVLANを構成し、IXルーター側にてDHCP機能を 配信する場合には、 IXルーターのGE2.0-I/Fに物理IPアドレスを設定(10.1.1.254/23) でしょうか、複合サブネットになっていますので、運用方法によりBVIの機能を併用する形になってしまいますが、 GE2.0-I/Fに物理IPアドレス配下にサブインターフェイスとして、タグVLANのインターフェイスを追加して、そのタグVLANのインターフェイスに 個別のDHCP機能を紐付ける形になりますが、宜しいでしょうか? 以下設定例です。 ip dhcp profile dhcp1 assignable-range 10.1.0.100 10.1.0.109 default-gateway 10.1.1.254 dns-server 10.1.1.254 ip dhcp profile dhcp2 assignable-range 10.1.11.1-10.1.11.99 default-gateway 10.1.11.254 dns-server 10.1.11.254 ip dhcp profile dhcp3 assignable-range 10.1.13.1-10.1.13.99 default-gateway 10.1.13.254 dns-server 10.1.13.254 ip dhcp profile dhcp4 assignable-range 10.1.21.1 10.1.21.99 default-gateway 10.1.21.254 dns-server 94.140.14.14 94.140.15.15 ip dhcp profile dhcp5 assignable-range 10.1.31.1 10.1.31.99 default-gateway 10.1.31.254 dns-server 94.140.14.14 94.140.15.15 interface GigaEthernet2.0 description LAN1 ip address 10.1.1.254/23 no shutdown >>100 >>104 続きです。 interface GigaEthernet2:1.0 description VLAN1 encapsulation dot1q vlan1 ip address 10.1.11.254/23 ip proxy-arp ip dhcp binding dhcp1 ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown interface GigaEthernet2:2.0 description VLAN2 encapsulation dot1q vlan2 ip address 10.1.21.254/23 ip dhcp binding dhcp2 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown >>100 >>105 続きです。 interface GigaEthernet2:3.0 description VLAN3 encapsulation dot1q vlan3 ip address 10.1.13.254/23 ip dhcp binding dhcp3 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown interface GigaEthernet2:4.0 description VLAN4 encapsulation dot1q vlan 4 ip address 10.1.21.254/23 ip dhcp binding dhcp4 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown interface GigaEthernet2:5.0 description VLAN5 encapsulation dot1q vlan 5 ip address 10.1.31.254/23 ip dhcp binding dhcp5 ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out no shutdown >>100 >>106 続きです。 ntp ip enable ntp server 10.1.1.9 priority 254 ntp master 10 ntp retry 3 ntp interval 3600 ip access-list all-forward permit ip src any dest any >>100 >>107 複合サブネットを利用されています点と、配下のL3スイッチ側のVLANグループの 調整が必要になります。 それぞれのVLANグループをタグVLANの追加と、トランクポート対象となるポートと IXルーター間の物理ポートベースVLANの構成をご確認下さい。 その物理ポートベースVLANグループへ、それぞれのタグVLANの参加をさせる形になります。 それと、VLAN間のルーティング処理として、複合サブネットを利用されていますので、 IXルーター側にBVIインターフェイスを追加して、BVIに参加させるVLANグループの 設定を要す場合が御座います。 >>100 >>109 BVIインターフェイスとVLANグループ、物理インターフェイスの紐付けをさせて、 VLAN同士のルーティング、インターネット接続の共用などをさせる場合の件ですが、 それぞれのVLANグループ間のアクセス条件が必要になります。 >>104-107 >>108-110 ヒントだけではなく、コンフィグまでありがとうございます!! やはりIXをタグVLANに参加させる必要があるのですね。 現在RTXはタグVLANに参加させておらず、dot1qを利用しておりません。 VLAN間ルーティングはL3スイッチに任せているのですが、IXは不可能な感じでしょうか? 以下がL3スイッチのコンフィグの一部になります。もう少し教えて頂けないでしょうか? よろしくお願いします。 >>111 L3スイッチ ip routing interface Vlan2 ip address 10.1.1.1 255.255.254.0 ip helper-address 10.1.11.255 ! interface Vlan10 ip address 10.1.11.254 255.255.254.0 ip helper-address 10.1.1.254 ip directed-broadcast 101 ! interface Vlan12 ip address 10.1.13.254 255.255.254.0 ip access-group vlan12 in ip helper-address 10.1.1.254 ! interface Vlan20 ip address 10.1.21.254 255.255.254.0 ip access-group vlan20 in ip helper-address 10.1.1.254 ! interface Vlan30 ip address 10.1.31.254 255.255.254.0 ip access-group vlan30 in ip helper-address 10.1.1.254 >>112 コマンドの設定を見ると、「Catalyst 3560」ですか? IXルーター側へ、VLANグループの反映 interface GigaEthernet2:1.0 description VLAN2 encapsulation dot1q Vlan2 bridge-group 1 interface GigaEthernet2:2.0 description VLAN10 encapsulation dot1q Vlan10 bridge-group 1 interface GigaEthernet2:3.0 description VLAN12 encapsulation dot1q Vlan12 bridge-group 1 interface GigaEthernet2:4.0 description VLAN20 encapsulation dot1q Vlan20 bridge-group 1 interface GigaEthernet2:5.0 description VLAN5 encapsulation dot1q Vlan30 bridge-group 1 L3スイッチの変更(Vlan2をトランクポート、ポートベースVLANに指定) L3スイッチの物理ポートのトランクポートを指定する L3スイッチの物理ポートのアクセスポート・VLANの指定、VLAN参加のポートを指定する VLAN間ルーティングをさせる場合ですが、 IXルーターのBVIインターフェイスの指定、VLANルーティング用 セカンダリIPアドレスの登録など >>112 >>113 続き interface BVI1 ip address 10.1.1.254/23 ip address 10.1.11.252/23 secondary ip address 10.1.11.252/23 secondary ip address 10.1.13.252/23 secondary ip address 10.1.21.252/23 secondary ip address 10.1.31.252/23 secondary ip proxy-arp ip filter all-forward 65000 in ip filter all-forward 65000 out bridge-group 1 no shutdown GE2.0-I/Fは、ブリッジインターフェイスにするため、IPアドレスは削除 interface GigaEthernet2.0 no ip address 10.1.1.254/23 bridge-group 1 BVIインターフェイスの有効化 bridge irb enable ↑のようなイメージになりますが、 GE2.0-I/F → BVIインターフェイスの統合化、各タグVLANグループの BVIインターフェイスの参加のため、 タグVLANグループのエントリーにブリッジエントリー追加 最終的に各VLANグループとGE2.0-I/Fを紐付けて、インターネット側へNATセッション の疎通という形になりますね。 >>112 >>114 BVIインターフェイスにタグVLANをグループ追加しました場合に、 それぞれの詳細なIPアドレス同士のアクセスは、アクセスリストにて、 許可・拒否の設定をする形になるかと思います。 >>113-114 またまたコンフィグまで記載頂き、ありがとうございます!! おっしゃる通りCatalyst3560を利用しています。配下に複数のL2スイッチがぶら下がっている状態です。 ブリッジインターフェースの理解が無いので、勉強を行おうと思います。 コンフィグ的にVLAN間ルーティングはIXでさせている理解でよろしいのでしょうか? 的外れな事を言っていたら申し訳ありません。 >>116 VLAN間ルーティングの件ですが、DHCPサーバをIXルーターにて実装する場合には、 タグVLANグループの設定とBVIインターフェイスの参加は必要になりますので、 複数サブネット(/23)での多数のクライアント端末が有る場合には、苦しいですね。 出来れば、IXルーターのDHCPサーバを利用せず、配下のL3スイッチ側のDHCPサーバ機能を 利用する様に設定し、IXルーター側との接続は、ポートベースVLAN・トランクポート接続、 そのトランクポート接続のLANグループに、タグVLANを参加させる方法がシンプルかと思いますが。 タグVLAN同士のルーティングですが、BVIインターフェイスの参加するセカンダリアドレス の要件によって、IPセグメント同士のアクセスは可能です。 セカンダリアドレスは、15アドレスまで登録可能です。 >>116 >>117 ブリッジインターフェイスの機能の件ですが、 シスコのISRルーターなどにも採用されていますが、 iOSのバージョン(17.1以降、16以前)によって、CLIコマンドが違う仕様になっていたかと思います。 中々、シスコルーター系ですと、大変かもしれませんね。 クライアント端末の規模によっては、ISR4000、8000等になるケースも御座いますが、 ライセンスも含めて、バカ高いので、却ってIX2235、IX2310、IX3315等にて、 SD-WAN、SD-LANの構成の方がコストパフォーマンスが良いですね。 >>117-116 L3スイッチのDHCPサーバー機能を完全に忘却れておりました!おっしゃる通りその構成がシンプルですね! 今まで設定した事がありませんでしたので、勉強して検証環境で動作確認をしてみようと思います。 L3スイッチでDHCPサーバーを利用する場合、ルーター側にスタティックルートの設定を行うと思います。 各VLANのネットワークアドレスへの通信のゲートウェイがL3スイッチのIPアドレスに向くよう設定したら問題ないでしょうか? まだまだ勉強が足りませんでした。教えていただき、ありがとうございます。 >>119 ご推察の対応にて大丈夫かと思います。 IXルーターから、L3スイッチのトランクポートのIPアドレス、その先のVLANセグメント 宛へのスタティックルート設定にて対応確認となるかと思います。 >>120 顔も名前も知らない人間に色々教えていただきありがとうございます! 非常に勉強になりました。理解しきれてない部分もありますが、これから勉強をして理解しようと思います。 >>102 >>103 お返事ありがとうございます。 ACLの掛け方に対して私の知識がかなり不足している様なので、これを機会に勉強してみます。 本日、早速コンフィグの入れ替えしてみます。 ありがとうございます >>121 「Catalyst 3560」 スイッチのDHCPサーバの件、承知致しました。 同スイッチの場合、IP-Servicesライセンスを必要とするかと思いますので、 そのライセンスをご確認下さい。 複合サブネットを運用されているとのことでしたので、シスコのL3スイッチになる 事は仕方なかったかもしれませんね。 ソフトウェアライセンスやサポートライセンス等のライセンスのイニシャルコストが バカ高いので、ライセンスの状況によっては、他社のL3スイッチの方が良い場合も御座います。 L3スイッチ ネットギア 「M4300」シリーズ、「M4500」シリーズ NEC 「QX-S5628GT」、「QX-S5124GT」シリーズ NEC系ですと、IXルーターのクラウドサービス連携で一元運用管理が出来る ようになっています。 → Netmeister >>123 本日検証環境で動作確認を行いました。想定通りの動作になりました! IXが別のサブネットにDHCPサーバーとして稼働させる事が出来ないのは盲点でした。 しかし、ご教授頂いた手順で想定の動作にする事ができ、安心しました。 おっしゃる通りライセンスや保守費がバカになりませんので、考える必要がありますね。 ルーターをUNIVERGE に置き換えを行うので、スイッチも置き換えると一元管理が出来るのは便利ですね。 本当にありがとうございます。 >>125 良かったですね。 IXルーターのDHCPサーバ機能ですが、別セグメントの動作はタグVLANとBVIの制約 は付きますが、DHCPサーバーとして動作させて、配下のL3スイッチにてDHCPリレーエージェント の動作や、配下のスイッチ側がNECのUNIVERGE QXのタイプでしたら、 DHCPサーバのVLANインターフェイスとBVIインターフェイスグループにDHCPプロファイル の条件適用にて、動作させる方法はあるかと思いましたが、 そのような形ですと、IXルーターのリソースを若干かかる点、L3スイッチのメリットが 活かせなくなります。 IXルーターを用意される場合でしたら、配下のL3-L2スイッチをUNIVERGE QXのタイプを 用意して、IXルーターをNetmeisterの管理モードにて動作する設定、L3-L2スイッチを Netmeisterのクライアントモードの運用、接続端末のデバイスマップ機能にて、 端末の部分も含めて一元化は可能です。 その際にですが、ゼロタッチ・プロビジョニングの運用にて、IXルーター等の故障時の 交換作業の簡略化も可能かと思います。 >>125 >>126 ネットワークの一元化が出来ましたら、次のフェーズは、 端末の台数が多いと見受けられましたので、簡単にはいかないかもしれませんが、 UTM等のセキュリティ関連の統合化も検討された方が良いかもしれません。 現状、シスコのFirePowerなどの運用をされていましたら、特別不要かと思いましたが、 シスコ系のUTMは非常に高く、現在利用されていない状況でしたら、 ParoaltoやFortigateあたりの方が良いかもしれません。 >>126-127 ルーターのリソースを減らす事とL3スイッチのメリットを活かす構成を考えると、 DHCPサーバーはL3スイッチになるのですね。 Netmeisterでの一元管理が可能な点、現状の管理の手間を考えると、配下のL3,L2スイッチの置き換えを考える必要があるかもしれません。 予算との兼ね合いですが、検討していこうと思います。 UTMはFortigate60Fをトランスペアレントモードで導入しています。L2の機能しか使えておりませんが、、 Ciscoコマンドに慣れているせいか、Fortiのコマンドとコンフィグの量に難儀しております。 詳しく教えていただき、非常に感謝しております。ありがとうございます。 >>128 Fortigate60Fですか。 Fortigateトランスペアレント・ブリッジでも、端末台数が20〜30台のNATセッション でのセキュリティポリシーですと、フローモードがギリギリかもしれません。 Exploit-Proxyモードですと、15〜20台前後が精々かもしれません。 端末により、フローモード、Exploit-Proxyモードを分けて運用することは可能と存じます。 DNSフィルタ機能、スパムメール対策機能を併用すると、リソースの影響が大きいので、 DNSフィルタ機能を利用せずに、Cisco Umbrellaの併用、スパムメール対策は、 レンタルサーバ側のスパムメール対策機能を利用するようにされた方が良いかもしれません。 >>130 オクで5000円で仕入れてファームを最新にして15000円で売れてた頃が懐かしい なんかすげ-スレ伸びてんなwww IX2015は既に捨てたよ IX2215が格安で手に入るしね IX2207はまだ高いけど.... てかさ、このスレずっとROMってたんだけど フレッツipv6の折り返し拠点接続使えば、ひかり電話の転送が無料で可能じゃね?? 最近、テレアポ増えてて糞みたいな売り込みで携帯転送料金払わされるのがほんと馬鹿馬鹿しい >>132 北海道の事務所の電話、VPN使って東京で受けてるよ。 >>133 ここで言う、VPN利用は、Asphire UX、WX 利用ですか? pppoeでVPN接続したひかり電話って、音声の遅延が発生しそうで事業用では少し怖いな >>135 VPNネットワーク形態を利用するのであれば、 AsphireWX-Plus主装置と、IXルーター併用にて、NECのクラウドリンクにて、 スマホ内線を利用する 「UNIVERGEどこでも内線サービス」の方が良いんですけどね。 ヤフオクでIX2105値下がりしたね。 例の10台単位の出品が効いているね。 >>136 主装置のplusなしの型落ちなら2万円程度で手に入りますな。 ただ、どこでも内線サービスのサブスク費用はさすがNECですね~高い 確か、IXはsip-nat通らなかった記憶あるんだけど、今は通る様になったんだね 故障用のスペア部品としてIX2105買っとくかな? オクで出品されてるのは一台あたり2-3千円は安いね >>140 現在のAsphireWX-PlusとIXルーターの連携ですが、 IXルーターのVOIPフォワーディング、QOSシェービング、優先帯域・カラーリングを併用して 音声帯域を確保するようになっています。 他社クラウドPBXでの運用構築も、その様になっていますので、 クラウドサービスを併用する場合には、そのサービスにて利用されています ポート番号、RTSPポート、UDP5060-5091等の帯域割り当てにて対応は可能と存じます。 >>129 そうなんですよ。端末数が年々増えてきて厳しい状態になっています。 スパム対策を行っていたのですが、現在は無効にしています。 機材の再選定が必要かと考えています。 教えていただいた設定を検討していこうと考えています。ありがとうございます。 >>140 昔はSIP-NAT拡張ソフトウェアセットでSIP-NAT機能を追加出来たけど、今は無理でしょ UNIVERGEどこでも内線サービスはVPNで繋ぐクラウド側にSIP-NAT機能があるのでは? >>144 SIP-NATはあくまでも、SIP対象のポートを特定のIP端末にNAPT転送するだけの ものですので、他社のSIP-NATの仕様もそうですが、特定のSIP条件には制約が御座いますので、 実用上は、VOIPポートや特定のIPネットワークに一定の帯域割り当てをするのが本旨 になっております。 Asphire主装置でのシステム間接続も、それを趣旨にQOSやVOIP制御を仕様として 組まれていますので、敢えて特定のメーカーに限ってSIP-NATがキチンと動作するという ことにはなっておりません。 Asphire主装置のシステム間接続も、IXルーターを併用したり、内蔵のルーターユニットとブリッジングさせて、 VOIP内線をするようになっております。 >>143 Fortigateの機種を1〜2ランク上の製品の選択、FortigateのSyslogデータをFortinet のクラウドサーバへシスログ連携するようになっていますので、 そのシスログ制御の部分を、クラウド側ではなく、社内のシスログサーバへ保存する様に 変更するだけでも、一定のリソースの低減は可能かと思います。 >>145 SIP-NATはL7の話だよ 話ずれまくってますわ >>147 ここでの質問は、Asphire主装置とUNIVERGEどこでも内線サービスを使用しました際に、 SIP-NATが実装しており、必要であるかというアンサーになります。 L7層でのプロセスの話は、全く違う次元のお話になります。 主装置側の機能やクラウド側には、あえてそういった機能項目は無い言うことになりますが、 代替の機能にて対応するようになっております、 工事マニュアルにもそういった形になっております。 困ったね。 ここ最近までは普通に使えてたものが、 ここにきて使えない所が出てきた。 ドコモ10G+ぷらら(ocnバーチャルコネクト)でポート開放してるんだけど、 ぷらら(ocnバーチャルコネクト)の所からだけ繋がらなくなった。 ocn pppoe の所からだと今でも繋がるし、softbank モバイルルーターからも スマフォ(docomo) からも繋がる。 合併してなにかこっそり変更したかねぇ。 syslog を debug で取ってもなしのつぶてなんだよねぇ。 つまり上流のルーターで弾いてるって事かねぇ。 >>149 ドコモさまですか。 別件にて、先日ドコモさまのトラブルも出ていたぐらいですので、光回線のトラブルとは 関係性は無いですが、OCNバーチャルコネクトをご利用とのことでしたので、 グローバル固定IP等の契約でしょうか? CGN回線でしたら、ほぼ無理筋かと思いますが。 一般向けのOCNバーチャルコネクトってMAP-Eじゃなかったっけ? ぷららってことは一般向けじゃないかと思うけど、MAP-Eで割り当てられたポートレンジが変わったりしてない? ああごめん、違うか ぷらら側から接続してきてるのね... P2P型アプリケーションで接続元と接続先で割当範囲違うから同じポート番号が使えないせいで接続できないだけじゃないの バーチャルコネクトって事なら、回線はNGNだろうから網内折り返しのIPv6でtunnel掘れば良いのに。 東西跨いでるなら仕方ないけど。 >>102 interface GigaEthernet0.1 へ ip filter flt-list1 1 in を入れた状態でB拠点のLAN側端末がA拠点を通過してネットへ繋がる事が出来ました。 コンフィグ等のご教示頂いたお蔭です。 続けて質問で申し訳ありませんが・・ >>85 で示した頂いたコンフィグ(B拠点にのみ投入)で ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995 ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080 route-map r-map permit 10 match ip address access-list etherip-isp1 set ip next-hop 192.168.101.253 route-map r-map permit 10 自体を削除しても、ip filter flt-list1 1 in のコンフィグがある interface GigaEthernet0.1 へ ip filter sec-list 65000 in ip filter sec-list 65000 out を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。 もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか?? また、A拠点IXのtelnetサーバ-;(23番ポート)にB拠点下部の端末から接続出来てしまいますね。 私の認識ではIXは書いていないアクセスリストについては全て拒否設定だと認識しております。 B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます?? 一応、AとB拠点のコンフィグはコチラで、そして互いに接続出来ました https://imgur.com/a/Oh2rqEa https://imgur.com/a/TX7XlvD あと、AとBの両拠点のIXを再起動すると、B拠点のLAN側がA拠点とVPN接続完了まで、数分が掛かります。 これが以前に仰っていた両拠点DDNS同士の接続が負荷が掛かると言うことでしょうか?? すみません 質問ばかりで・・ 別でご教示頂いたIDSフィルタリングはこの後のコンフィグを投入予定です。 あとココの皆さま度重なるスレ汚しごめんなさい。 >>155 >>156 そうですか、良かったですね。 「ip filter sec-list 65000 in ip filter sec-list 65000 out を入れてしまうと、B拠点のLAN側端末はA拠点を通過してインタ-ネットへ出て行けます。 もしかして、もう route-map r-map permit 10 は消しても問題ないと言う事で宜しいでしょうか??」 ↑の件ですが、 A拠点、B拠点のPPPOEセッション側のIPフィルタ機能にて、 それぞれのPPPOEセッション側のWAN→LAN側、LAN→WAN側のポートの許可ですが、 最終エントリー(65000)にて全て許可をしている状態でしたが、その最終エントリーを 入れない状態ですと、ESPプロトコルとUDP500、UDP4500、UDP1701のみの許可なのですが、 PPPOE側からHTTP、HTTPS、他メールなどのポートは許可をされていない状況でしたので、 論理的には、A拠点のPPPOEセッション側には、最終エントリー65000は利用して、 B拠点側には、最終エントリー65000は利用しない形がベストと思いますが。 ルートマップの処理(ポリシールーティング処理)を削除して、PPPOE側のIPフィルタのエントリー を削除する形ですと、それぞれの拠点のセキュリティの関係上、もう少し、 危険なポートとのアクセスを制限していく方向が必要かと思いましたが。 >>155 >>157 続きです。 「B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます?? 」 ↑ の件ですが、IPSECトンネルのIPフィルタの処理にて、アウトバウンド側として、 拒否する様なアクセスリストが望ましいかと思います。 若しくは、A拠点側のIXルーターのtelnetサービスにログイン出来るIPアドレスを制限 する方法もあるかと思います。 該当箇所 ip access-list telnet permit ip src 192.168.101.0/24 dest any telet-server ip access-list telnet telnet-server ip enable 修正箇所 ip access-list telnet permit ip src 192.168.101.***/32 dest 192.168.101.0/24 no ip access-list telnet permit ip src 192.168.101.0/24 dest any ***に、アクセス許可するIPの第四オクテットを入れる DDNSの更新については、IPSECアグレッシブモードの運用形態にて、仕方ないかもしれません。 それとコンフィグ内にて、IPSEC-SAの更新のためのネットワークモニターの機能が 未適用、DDNSでの名称解決のネームサーバの設定をされていないので、 任意のネームサーバを適用しないと、名称解決に時間がかかるケースも想定されます。 DDNSでしたが、MyDNSでないといけませんか? Netmeisterの方が、性能面で良いかと思いました。 念のため、ネットワークモニターの設定例、ネームサーバの登録、Netmeister等の 登録例を転載致します。 >>155 >>158 ネームサーバの登録例(A拠点、B拠点それぞれ) proxy-dns ip enable proxy-dns server 8.8.8.8 priority 254 proxy-dns server 8.8.4.4 priority 254 ip name-server (契約プロバイダのプライマリDNSサーバ) ip name-server (契約プロバイダのセカンダリDNSサーバ) dns cache enable dns cache max-records 1024 ネットワークモニターの設定例(B拠点側) watch-group etherip-ipsec 10 event 10 ip unreach-host 192.168.101.254 Tunnel2.0 source BVI1 action 10 ipsec clear-sa Tunnel2.0 probe-counter variance 5 probe-counter restorer 3 probe-timer variance 60 probe-timer restorer 60 network-monitor etherip-ipsec enable Netmeister-DDNSの登録例(A拠点、B拠点それぞれ、事前にNetmeister のサイトにて、ユーザー登録を要します) nm ip enable nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード) nm sitename (netmeisterの登録サイト名称) nm ddns notify interface GigaEthernet0.1 protocol ip なお、A拠点、B拠点にMyDNSやNetmeisterの登録をされるケースでしたが、 IPSECアグレッシブモードでは無く、DDNS同士のメインモードの方が、レスポンス的には 良いかと思います。 メインモードの設定例も転載致します。 >>155 >>159 既存のIPSECの設定としては、既に、IPSECメインモードの設定をMyDNSにて設定されていますので、 先述のネットワークモニターの設定は、A拠点、B拠点向けに設定をしておく形が良いかと思います。 ネットワークモニターの設定例(A拠点側) watch-group etherip-ipsec 10 event 10 ip unreach-host 192.168.101.253 Tunnel2.0 source BVI1 action 10 ipsec clear-sa Tunnel2.0 probe-counter variance 5 probe-counter restorer 3 probe-timer variance 60 probe-timer restorer 60 network-monitor etherip-ipsec enable >>160 IPSECメインモードの接続のDDNS更新の部分でしたが、フレッツV6オプション(IPV6-POE) のプロバイダにすることで、性能の底上げは可能と存じます。 Netmeister-DDNSは、IPV6-IPOEやフレッツV6オプションの閉域網のIPSECに 対応しております。 >>157-161 お返事遅くなりましたごめんなさい... 貴重なコンフィグ例まで頂いてありがとうございます。 凄い知識量ですね~ 私はこのコンフィグを見てまだ良く理解出来ていないので、まずは設定事例集とコンフィグリストを読みながら理解をしていきつつ進めていきたいと思います。 MyDNSよりNetmeister-DDNSの方が性能良いなんて初めて知りました。目からウロコです。 とても助かりました >>163 ネームサーバの登録の件ですが、PPPOEの動的IPの契約の場合ですが、 MyDNSやNetmeisterなどのDDNSに共通ですが、グローバルIPとDDNSの紐付けアクセスに、 プロバイダのネームサーバを参照し、DDNSの更新をする様になっていますので、 ご指定のコンフィグでは、Proxy-DNSとname-serverの設定を明示的に設定をされていませんでしたので、 グローバルIPの名称解決のために、name-serverの登録をして、グローバルIPとの 名称解決がスムースに出来るようにイメージしております。 あと、IPV6-IPOEやフレッツV6オプションの件ですが、 NTTギガ回線以上の回線の場合には、フレッツV6オプションが自動加入になっているかと思いますので、 そのフレッツV6オプションのサービスより、割り当てのIPV6グローバルアドレス を利用して、IPV6-IPSEC・メインモードの接続にするイメージになります。 そのIPV6グローバルアドレスをNetmeister-DDNSにて名称解決させて、 Netmsiter-DDNS同士のIPSECに切替える形が良いかと思います。 以下設定例(IXルーターの上位にNTT光電話ルーターが有る場合) ipv6 ufs-cache max-entries 65535 ipv6 ufs-cache enable ipv6 cache-size 25300 ipv6 dhcp enable ipv6 access-list block-list deny ip src any dest any ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546 ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547 ipv6 access-list icmpv6-list permit icmp src any dest any ipv6 access-list other-list permit ip src any dest any ipv6 access-list tunnel-list sequence-mode 100 ipv6 access-list tunnel-list 100 permit 4 src any dest any ipv6 access-list dynamic cache 65535 ipv6 access-list dynamic dflt-list access other-list ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers option-request ntp-servers >>163 >>164 続きです。 ipv6 dhcp server-profile dhcpv6-sv dns-server dhcp interface GigaEthernet0.0 description IPV6 no ip address ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 mld upstream ipv6 mld version 2 only ipv6 traffic-class tos 0 ipv6 nd proxy BVI1 ipv6 filter dhcpv6-list 1 in ipv6 filter icmpv6-list 2 in ipv6 filter tunnel-list 3 in ipv6 filter block-list 100 in ipv6 filter dhcpv6-list 1 out ipv6 filter icmpv6-list 2 out ipv6 filter tunnel-list 3 out ipv6 filter dflt-list 100 out no shutdown interface BVI1 ipv6 enable ipv6 dhcp server dhcpv6-sv ipv6 nd ra enable ipv6 nd ra other-config-flag >>163 >>165 続きです。 Netmeiste-DDNSをIPV6アドレスを監視させる場合(LAN側インターフェイス、BVI1等) nm ip enable nm account (netmeisterのユーザー登録名) password plain (netmeisterの登録パスワード) nm sitename (netmeisterの登録サイト名称) nm ddns notify interface BVI1 protocol ipv6 IPV6-IPSECに切替えるポリシー(A拠点側) ike policy ike-policy peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike- prop ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (B拠点側Netmeister-DDNSアドレス) ipsec-prop IPV6-IPSECに切替えるポリシー(B拠点側) ike policy ike-policy peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) key (事前共有キー) ike- prop ipsec autokey-map ipsec-policy sec-list peer-fqdn-ipv6 (A拠点側Netmeister-DDNSアドレス) ipsec-prop ↑ のようなイメージになります。 IPV6アドレスは、LAN側にブリッジ動作のような形になります。 >>164-166 感謝感激です! ipv6の拠点接続なんて雲の上の様な存在です もちろん、私の2拠点の光回線はフレッツでして当初はipv6通信の為にNTTを選んだ次第です。 この頂いたコンフィグ例は俗にいうフレッツipv6同士の折り返しですよね? このスレでも700M近くの通信速度が出るとの書き込みを読んだ事があり、ぜひチャレンジしてみたい設定です。 ただ、現実はまだ脳みそが情報についてこれていない感じです。 いつも助けて頂いてありがとうございます。 ネ-ムサ-バ-のコンフィグの理解も初めて出来ました。IXがどんな挙動を示すかとても楽しみです。 pppoeの拠点接続の再設定については、また報告させて頂きます。ありがとうございます。 >>167 承知致しました。 フレッツV6オプションのIPV6閉域網接続の件ですが、 組み合わせとしてですが、 A拠点側のインターネット機能をV6プラス・固定IP等の回線に切替えをして、 B拠点は、プロバイダ無しの構成、またはPPPOE動的IPの回線、若しくはコラボ光 の回線で、V6プラス・固定IPのプロバイダも御座いますので、そちらの組み合わせ にする方法もありかと思います。 >>168 ありがとうございます。 光電話の契約はA拠点のみですが、2拠点共にplala光のv6プラスオプションも利用していますので、pppoe拠点接続完了後にぜひやってみたいてすね~ なんせIPsecでv6折返しで1G近く速度が出るって単純にエグイです。 プロバイダー契約無しとは、光ライトですね。 両方共に戸建て契約なので、少しでも通信料金が下がるのは嬉しいです ほんと感謝しかありません >>169 そうですか。 A拠点、B拠点共、ぷらら光のV6プラス・動的IPの場合、利用出来るポート数に制限(240ポート)があるため、 インターネットのポートを多用するアプリケーション等の制限を回避する形ですと、 V6プラス・固定IPの切替えは必要かと思います。 V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約 を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事) が可能になります。 ※ https://21ip.jp/ A拠点は、NTT光電話ルーター配下と言う事ですので、NTT光電話ルーターのIPV6-IPOEフィルタの 許可(双方向、ANY許可)、IXルーターはND-Proxyの設定になります。 B拠点は、ぷらら・V6プラスのみでも構いませんが、光電話機器・契約が無しということですので、 IXルーターは、ND-Proxyの設定になります。 ND-Proxyの設定ですと、A拠点のIPV6アドレスは、BVIインターフェイス側にブリッジング される形になります。 B拠点は、ぷらら光・V6プラスなどの設定は無しと言う構成になりますね。 IPV6インターネット系のIPV6アドレスは、A拠点のIPV6インターネットのBVIブリッジング 動作という形になるかと存じます。 >>170 すごい知識量ですね~ 私は全然脳みそが付いていけません...涙 教えて頂いた内容がまだ全て理解不足なのですが・・ >>V6プラス固定IPの申込みをされる場合ですが、ぷらら光・V6プラス系(ぷららv6エクスプレス)の解約 を要しますので、解約後、V6プラス固定IPの申込み(NTT CAF番号の併記する事) が可能になります。 ※ https://21ip.jp/ この解釈ですと A拠点 現在 plala光 + plala V6エクスプレス → 今後 plala光 + 21ip.jpの固定v6サービス B拠点 現在も今後も同じ plala光 + plala V6エクスプレス と言う事で宜しいでしょうか?? あと、ご紹介頂いた 21ip.jp社 の契約メニュ-ですが・・ V6プラス固定IP 2550円 のメニュ-で宜しいのでしょうか?? 食わず嫌いで「ND-Proxy」を全く調べていなかったのですが、やっと理解出きました ipv6のフィルタ-機能だったんですね ありがとうございます。ココでいつもめちゃくちゃ勉強させて頂いています。 >>171 ご質問の件ですが、 A拠点 現在 plala光 + plala V6エクスプレス → ぷらら側にてIPV6-IPOEは利用しない契約、21ip.jpの固定v6サービス B拠点 こちらは、plala光のみでもOKですが、NTTギガラインのみでもOK(ライト系は不可) ※ A拠点についてですが、ぷらら光の場合にはIPV6-IPOEが基本契約にセットされている契約ですので、 IPV6-IPOE(ぷららV6エクスプレス)を解除すると、契約変更になるかもしれません。 → ぷららひかりメイト+NTTギガスマートタイプ もし、契約変更でなければ、V6プラス・固定IPの契約が出来ない場合ですが、 BIGLOBE光などでもV6プラス・固定IPとの組み合わせは可能ですので、ぷらら光から BIGLOBE光への事業者変更承諾番号をぷららへ連絡して取得、その事業者変更承諾番号を BIGLOBEへ手続きしてBIGLOBEへ変更することでも可能です。 「あと、ご紹介頂いた 21ip.jp社 の契約メニュ−ですが・・ V6プラス固定IP 2550円 のメニュ−で宜しいのでしょうか??」 ↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい) >>171 >>172 もし、ぷらら光からBIGLOBE光へ事業者変更申請をされる場合ですが、 ぷららのメールアカウントは、バリュープラン(月額250円前後)にて残す事は可能です。 BIGLOBE光の方の機能は、IPV6-IPOEとPPPOEを任意選択が出来るサービスになっています。 (IPV6-IPOEが前提とはなっていません) よって、コラボ回線の回線コストを低減させながら、高帯域のV6プラス・固定IPの組み合わせが出来る様になっています。 ちなみに、アサヒネット光はIPV6-IPOEの解除は不可にて、解除するとフレッツプランに変更になります。 、 >>173 IIJMio光のサービスも、高帯域のv6プラス・固定IPの併用は出来るサービスになっています。 その際には、IIJMioのIPV6-IPOEは申込みはしない形にて、v6プラス・固定IPの申込みをする形になります。 ぷらら側の対応により、NTT光・ギガスマートタイプやギガラインへ変更になる場合には、 料金的な意味合いにて、ご検討下さい。 >>172 アドバイスありがとうございます 私はN西地域だったので、「NTTギガスマートタイプ」に馴染みがなくググってみたら... 半導体不足の影響で新規受け付け停止中なんですね~ 一度、plala光へぷららV6エクスプレス解除の件問い合わせてみます。 もし事業者変更が必要であれば、今の回線は「光ネクストのファミリースーパーハイスピード隼」なのでコラボ光を止めてN西に戻ろうと思います。 度々質問して申し訳ないのですが・・ >> ↑ の件ですが、その解釈でOKです。(接続先上位経路を、備考欄へJPNEを明記下さい) の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか? ごめんなさい。。何回も。。汗 >>175 NTT西日本なのですね。 「の21ip.jp社との契約部分なのですが、都道府県や名前、NTTのCAF番号を入力する契約画面の一番下「連絡事項欄 ご要望/ご質問等」にJPNEを記入の認識で合ってますでしょうか? ごめんなさい。。何回も。。汗 」 ↑ の件ですが、その解釈にてOKです。 >>175 確かに、NTTギガスマートタイプのHGW(PR600、RT600系)の生産基板が不足している状況でしたが、 回線の申込みは可能です。 暫定処置・他社製品になりますが、 ・ NTT-HGWの代わりに、ヤマハ 「NVR510」を用意して、光電話収容設定(小型ONU運用) の設定をして、DHCPv6-PD、LAN側にRAプレフィックス(Oフラグ)の配信設定をする。 ・ NVR510配下にて、IXルーターのIPV6取得方法をIPV6ブリッジ設定、若しくはND-Proxy の設定をして、V6プラス・固定IPの接続をする。 ↑の方法にて、接続をされている方も居られます。 >>176 ご返信ありがとうございます NVR510で光収容する件も夢がありますね。ただ、まだ高値止まりなので中古でも買えませんね まずはまだ完了していないpppoeのIPsec接続を終わらせた後、ipv6の折り返しにチャレンジしたいと思います。 いつも色々教えて頂いてとても感謝を致します。 ご報告が遅くなりました。 実は・・ あれから原因不明のPPPOEエラ-がたまに発生し、IPSecのリンク切れが急に起こっていました。当初は設定ミスを疑っていたのですが、どうやらPR-500(ONU)とIXとの間に挟んでいたHUBがどうもきな臭い様で別途、新品(安物ですが)を発注したところです。 一体、このトラブルシュ-ティングで土日どころか、平日の深夜まで何日費やしたところか... タチの悪い事に、再現性が全くなかったトラブルです。 新HUBが到着次第、またやってみます もう疲れたよパトラッシュ.... >>179 NTT-HGW に スイッチングハブですか? 通常でしたら不要かと思いますが。 NTT-HGWのファームウェアは最新版へ更新をされていますでしょうか? また、ひかりTV系のIPV6マルチキャスト系の通信をさせている場合には、 通常のスイッチングハブでは無くて、L2スイッチのMLDスヌーピング機能が搭載されている タイプでなければ、無理かと思いますが。 通常の業務系・管理型L2スイッチにて、ポート毎にMLDスヌーピング制御させる形になりますが。 お返事ありがとうございます。 実はひかり電話をVPNで外部からの発信する為に ONU背面蓋を開けてLANのメス側からLANケーブルを配線 → 安物の馬鹿HUB → IX2215とNVR500、そしてONUの後部蓋の中にあるもう一つのLANケーブル(オス)とLANアダプタ使用でLAN同士を接続 そして、NVR500のLAN側とONUのルータ機能側のLANを接続 ひかり電話はNVR500とMJケーブルで接続 自宅のNW構成はこれで運用をしておりました。 そして、今回のPPPOE利用でのIPSec接続で、新たに動的のIPv4回線を1回線を契約して、上記の馬鹿HUBにLAN接続し、下部にIX2215をぶら下げて試験をしております。 もしかして、この3セッションを利用している状態ですと、結構なお値段のMLDsnooping機能付きのスイッチが必要でしょうか? それとひかりテレビは契約しておりません。 すみません…質問ばかりで >>181 えー。 NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、 NTT-HGW → スイッチングハブ@ → NVR500 の 光電話内線アナログ収容 NTT-HGW → スイッチングハブA → IX2215のPPPOEセッション・Ether-IP接続でしょうか? 最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね? NVR500側にPPPOEセッションの確立をしておらず、 IX2215のみのPPPOEセッションでしたら、NTT光回線・1回線あたりのセッション数は、 2セッションまで可能な筈ですので、セッション不足では無いですね。 それよりもむしろ、NVR500側のルートと、IX2215側のルートに、IPV6アドレスが振られる形ですと、 問題ですね。 Ether-IPのIPSEC接続のブリッジ設定ですが、デフォルトにて、IPV6アドレスもブリッジングさせる 様になっていますので、IX2215側へはIPV6アドレスをブリッジングさせない形をしませんと、 IPV6アドレスのコンフリクトにて、それぞれの通信機器間の通信が不安定になる場合が想定されます。 以前のA拠点とB拠点のBVIインターフェイスの設定ですが、全ての通信がブリッジングする様になっていたかと思います。 bridge irb enable ← のみでは、IPV4とIPV6アドレスをブリッジングする様になっていましたので、 IPV6アドレスは抑止するようにしませんと、何らかの障害は出るかもしれません。 bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止 する様になるかと存じます。 A拠点側に光電話契約をされている状況だったかと思いますが、IPV6アドレスのコンフリクトが想定されますので、 B拠点共、上記のコマンドの設定が必要になるかもしれません。 上記の設定ですが、PPPOEセッションの契約より、V6プラス固定IPの契約にすると、 IPV6アドレスの抑止をすると、BVI機能では、IPV6アドレスの通信が出来なくなりますので、 ND-Proxyの設定が必要になります。 RAプレフィックスの通信と、それ以外のDHCPv6-PDの通信は、厳密に分ける事は出来ないので、 v6プラス固定IPの回線にされる場合には、 NTT光電話回線と、IX2215のEther-IP-IPSECの回線は分けないと、無理が出てくる可能性が御座います。 >>181 >>182 先ほどの追記しました、語句ですが、一部誤入力でした。 (誤)bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止 する様になるかと存じます。 (正)no bridge 1 bridge ipv6 ←を追加することで、NTTの回線網より、IPV6アドレスのブリッジングは抑止 する様になるかと存じます。 あ… ごめんなさい… 私の認識は光プレミアム時代で止まってまして、1光回線辺り5セッションの認識でしたw お恥ずかしい… 実は1光回線の環境でテストしており NVR500用の固定ipv4が一回線、それとIPsec用(テスト用回線も含めて)の動的IPv4が2回線… セッションが既に3回線なので、そら勝手にPPPOEが切断されるよなw ほんと申し訳無い >>182 NTT-HGWの内蔵小型ONUより、LANスイッチにて分割して、 NTT-HGW → スイッチングハブ① → NVR500 の 光電話内線アナログ収容 NTT-HGW → スイッチングハブ② → IX2215のPPPOEセッション・Ether-IP接続でしょうか? 最終的に、IX2215のスイッチポート・BVIより、NVR500のスイッチポートのカスケード接続ですよね? IX2215とNVR500は完全に上位馬鹿HUBにて並行設置になってますので、カスケード接続等はしておりません。 IXのスイッチポートからカスケード接続出来るなんて初めて知りました。 少し調べてみます いつもご教示ありがとうございます >>184 ファミリー・スーパーハイスピードタイプ 隼 ですが、標準2セッションで、最大5セッションの 接続サービスになりますので、PPPOEセッションが3セッション有る場合には、 フレッツセッションプラスの申込みが必要になります。 ※ https://flets-w.com/opt/session_plus/ あと、光電話の内線の件ですが、NVR500に出先よりスマホのSIP内線がVPN経由にて出来る機能 が有ったかどうかは定かでは御座いませんが、NTT-HGWに直収でしたら、SIP内線は 出来る機能が有ったと思いましたが、 IX2215のBVIインターフェイスにカスケード接続する場合には、 IX2215へのリモートアクセス接続し、IX2215のBVIインターフェイスに収容している VLANポートとカスケード接続しているHGW宛にSIP認証する形になるかと思われます。 実際には、検証が必要ですが、 例 NTT-HGW(192.168.0.1/24) → NVR500(192.168.1.0/24)にしている場合 IX2215のGE2.0-I/Fを、更にHGW用のVLANグループを追加して(既存のVLANですと、 GigaEthertnet2.2:0〜GigaEthertnet2.3:0が利用されていないようですので、 Device GigaEthernet2 vlan-group 2 port 5 6 ← と言う風に変更 no vlan-group 3 port 6 ← 削除する interface Gigaethernet0.0 no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、 起動する interface Gigaethernet2.0 no shutdown ← 改めてA拠点のPPPOEの物理インターフェイスを見たところ、シャットダウンしていましたので、 起動する interface Gigaethernet2:2.0 ip proxy-arp bridge-group 1 ← ポート5〜6をHGW側の接続ポートとして、BVIグループに追加する no interface Gigaethernet2:3.0 ← 削除 interface BVI1 ip address 192.168.1.254/24 secondary ← 光電話の内線収容の場合のBVI・VLANグループに割り当てするIPアドレス ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる