[過去ログ] NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net (1002レス)
1-
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
1: anonymous 転載ダメ©2ch.net [sageteoff] 2015/07/24(金)15:36 ID:??? AAS
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
 外部リンク:www.nec.co.jp

関連スレ
・宅鯖に最適なルータは? @ ウィキ
 外部リンク:www39.atwiki.jp
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
 2chスレ:network
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
省3
2(1): anonymous 2015/07/24(金)15:40 ID:??? AAS
過去ログ:NEC UNIVERGE IX2000/IX3000 運用構築スレ PartX
Part7 2chスレ:network (前スレ)
Part6 2chスレ:network
Part5 2chスレ:network
Part4 2chスレ:network
Part3 2chスレ:network
NEC業務向けIX2k3kルータ運用構築スレPart2 2chスレ:network
NEC業務向けIX2k3kルータ運用構築スレPart1 2chスレ:network

●Q&Aなど
Q1. ファームウェアはどこで手に入りますか
省12
3: anonymous 2015/07/24(金)15:42 ID:??? AAS
Q5. ファームのアップデートに必要なものは何ですか
A5. ブートストラップファイル(****.rap)となっているファイルが必要です
  マイナーバージョンまで一致していればldcファイルでも一応更新可能ですが

Q6. 同一型の機器からファームを取り出せますか?
A6. rapファイルの取り出しが行えないため不可能です

Q7. ファームのバージョンダウンは可能ですか?
A7. 可能ですが、この場合もrapファイルでの更新を推奨されています

Q8. IX2015バックアップリチウム電池が心配だけど
A8. 通常使用で電池を交換するようなへぼ設計はしてません
 電池はメイン基板の黄色い大きな箱の M4T28-BR12SH1
省6
4: anonymous 2015/07/24(金)15:46 ID:??? AAS
AA省
5(4): anonymous@i218-224-181-16.s02.a029.ap.plala.or.jp 2015/07/29(水)01:00 ID:Mk1Sh0d3(1) AAS
このスレの達人の方々、どうかご教授下さい。

andoroidスマホ--ocn mobile one(格安sim)--(動的IP)IX2215--PC(192.168.100.1/24)

上記の構成で、外部からのvpn接続を検討していますがスマホ側から全く繋がりません。
ドコモspmodeシム+iphone5sでも試してみましたが、それでも繋がりません。
show loggingでもその接続ログさえ出て来ません。
IXの動的IPの部分は都度グロ−バルIP確認の上でVPN接続を試みています。
もし、コンフィグの間違いがあればご指摘宜しくお願いします。
設定にあたってはこちらのサイトを参考とさせて頂きました。
外部リンク[html]:linux-junkie.at.webry.info
6: anonymous@i218-224-181-16.s02.a029.ap.plala.or.jp 2015/07/29(水)01:10 ID:??? AAS
! NEC Portable Internetwork Core Operating System Software
! IX Series IX2215 (magellan-sec) Software, Version 9.1.10, RELEASE SOFTWARE
! Compiled Feb 26-Thu-2015 10:26:18 JST #2
! Current time Jul 29-Wed-2015 00:20:18 JST
!

logging buffered 131072
logging subsystem all warn
logging timestamp datetime
!
!
省18
7: anonymous@i218-224-181-16.s02.a029.ap.plala.or.jp 2015/07/29(水)01:13 ID:??? AAS
ipsec dynamic-map l2tp-ipsec-map l2tp-list l2tp-sec1,l2tp-sec2,l2tp-sec3
proxy-dns ip enable
telnet-server ip enable
!
ppp profile l2tp
authentication request chap
authentication password *ユーザ名* *パスワード*
lcp pfc
lcp acfc
ipcp ip-compression
省18
8: anonymous@i218-224-181-16.s02.a029.ap.plala.or.jp 2015/07/29(水)01:17 ID:??? AAS
interface GigaEthernet2.0
ip address 192.168.100.1/24
ip proxy-arp
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500
ip dhcp binding lan
no shutdown
!
interface GigaEthernet0.1
省21
9(2): anon 2015/07/30(木)00:11 ID:??? AAS
static napt使うIFおかしくね?
10(1): 5 2015/07/30(木)21:39 ID:??? AAS
>>9
ありがとうございます
interface GigaEthernet2.0にある

ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500

上記のコンフィグを、 interface GigaEthernet0.1側へ書き換えたら、スマホ側からはL2TP接続出来ました。
しかし、スマホ側からIXルータ(192.168.100.1)へはpingは通るのですが、IX配下のPC(192.168.100.2〜)へはpingも通らないし、PC側からスマホ側へのpingも通りません。
達人の方々、どうか愛の手を差し伸べて下さい。
11: anonymous@ntehme050166.ehme.nt.ngn.ppp.infoweb.ne.jp 2015/07/30(木)21:58 ID:??? AAS
>>10
もうちょっとマニュアル読んだら?
12: 9 2015/07/30(木)22:52 ID:??? AAS
ポートVLANの書き方おかしくね?
13: anonymous@karkun.as.wakwak.ne.jp 2015/08/01(土)19:52 ID:??? AAS
GL2000から、IX2207に交換した。
何となく満足。
14(1): anonymous@FL1-122-132-99-145.iba.mesh.ad.jp 2015/08/02(日)23:38 ID:??? AAS
>>5
私にもポートvlan の書き方がおかしいように見える。
interface GigaEthernet2.0
interface GigaEthernet2:2.0
とやっていたり、微妙におかしい。次のように書かないとだめくね?

(前略)
device GigaEthernet2
vlan-group 1 port 1 2 3 4 5 6
vlan-group 2 port 7 8
(中略)
省10
15(1): 15 2015/08/03(月)11:52 ID:??? AAS
ついにオクから2025消えてる…
この夏昇天したら保守品どうすんだよぉぉぉぉ
16: hoge 2015/08/03(月)17:48 ID:??? AAS
2105 に買い替え。
17(1): anonymous@i60-36-22-115.s02.a029.ap.plala.or.jp 2015/08/04(火)08:01 ID:44afE1pS(1) AAS
>>14
ナイスなアドバイスありがとうございます。
実はというもの...  l2tpのprofil項目の
ipcp provide-ip-address range 192.168.100.20 192.168.100.25
部分なんですが、家ネットワ−クの機器の固定ipが被ってました。
その機器ipを変更したらスマホから無事接続出来ました。初歩的なミスで情けない限りです。。

あと、もし良ければもうひとつアドバイス頂きたいのですが
この device GigaEthernet2
vlan-group 1 port 1 2 3 4 5 6
vlan-group 2 port 7 8
省16
18: anonymous@s634216.xgsspn.imtp.tachikawa.spmode.ne.jp 2015/08/04(火)08:41 ID:??? AAS
>>17
マニュアルよく読めとしか。
特に設定事例集とか。確かそのままの例が書いてあったような。
19: anonymous 2015/08/04(火)10:02 ID:??? AAS
IPフィルタでいいんでないの?
20: 5 2015/08/04(火)13:25 ID:??? AAS
皆さま、ありがたいアドバイスに感謝致します。

設定事例集で言えば、15-1のVLANダギング設定でしょうかね?
ただ、私も確認しましたが、各インターフェースにDHCPを作動させる設定は載っていない気がします。。
自分の知識不足と見落としがあるかも知れませんが…

ipフィルターですか??
帰宅後に再度マニュアルを見てみます。
そちらも検討してみます。
ありがとうございます。
21: anon 2015/08/04(火)20:33 ID:??? AAS
マニュアル読め、で終わらせたらこのスレが盛り上がらないぞ
22(3): anon 2015/08/04(火)20:43 ID:??? AAS
VLAN間の通信制限したいならIPフィルターが必要だよ
例えばこんなの

ip access-list A deny ip src 192.168.100.0/24 dest 192.168.1.0/24
ip access-list A permit ip src any dest any
ip access-list B deny ip src 192.168.1.0/24 dest 192.168.100.0/24
ip access-list B permit ip src any dest any
!
!
interface GigaEthernet2:1.0
ip filter B 1 out
省4
23: 5 2015/08/05(水)06:42 ID:??? AAS
>>22
おおー、この様な方法もあるのですね。
アドバイスありがとうございます。
コマンド集と設定事例集で確認しましたが、実際のコンフィグで示して頂けたら初心者には本当に助かります。
余りにも知識不足なので、vlanタグは基礎知識上がるまで置いておきます。

元の基礎知識が薄っぺらいから、マニュアル読め!! って言われたキツイです(笑)
応用出来るほど知識もないですし。

本日作業致しますので再度結果報告させて頂きます。
24(1): 5改め23 2015/08/06(木)23:02 ID:??? AAS
>>22
コンフィグの例文ありがとうございました。
ご指導もあって、各ポートVLAN同士のセグメントを分ける事が出来ました。
このアドバイスが無ければ、このセットアップに何日掛かったかわかりません(笑)
ただ、LAN側からは互いのセグメントにアクセス出来ませんが、何故かスマホ側からはVPN接続を行えば、192.168.100.1/24と192.168. 1.1/24にたいしてはスマホから両方へpingが飛んでしまいます。
何れにせよ、当方の勉強不足ほ明らかですので、再度勉強の上で出直してきます。
ありがとうございました。
25: anon 2015/08/06(木)23:57 ID:??? AAS
この場合192.168.1.1(GE2:2.0)にはping通るのかな
GE2:2.0につないだ端末192.168.1.2〜254には通らないんじゃない?
26(1): anonymouse 2015/08/07(金)21:37 ID:??? AAS
>>24
流れ読まずに流し読みで答えるけど、>>22

1行目: src(送信元) が 192.168.100.0/24 (192.168.100.0〜.255)、dest(宛先) が 192.168.1.0/24 (192.168.1.0〜.255) のアクセスをdeny(拒否)
2行目: src(送信元) が any(全て、つまり上記以外)、dest(宛先) が any(全て、同じく) のアクセスをpermit(許可)
上記をアクセスリストAと定義(適用は上から順番だったはず)

10-11行目: GigaEthernet2:2.0 の口からout(外向き)方向のパケットに対して、アクセスリストAを適用(多分1番目)

続けて3行目と4行目、7-8行目に上記と逆の定義を適用してるので、
当然L2TPのアドレスレンジはどちらとも被らないはずなので、Bとも疎通するはず。
L2TP接続から何か制限掛けたいならそのアドレスレンジにも同じようなルールが必要じゃないかと。
27: anonymouse 2015/08/07(金)21:38 ID:??? AAS
ごめん、「Bとも疎通するはず。」は、AともBとも疎通するはず、の間違い(対L2TP接続の話)
28: anonymous 2015/08/07(金)21:39 ID:??? AAS
久しぶりに技術的な話題
通信技術板はこうでなくては
29(1): anon 2015/08/08(土)00:20 ID:??? AAS
>>26
変更していなかったとするとL2TPで接続した端末に払い出されるアドレスは
GE2:1.0のセグメントと同じなんだよね。

この場合GE2:2.0のアウト方向のフィルタ(deny)に該当するから通信できなさそうに思える。
192.168.1.1(GE2:2.0)のアドレス宛は届くけど、その先はフィルタリングされるん動作になるんだっけ?

ip access-list A deny ip src 192.168.100.0/24 dest 192.168.1.0/24★
!
ipcp provide-ip-address range 192.168.100.20 192.168.100.25★
!
interface GigaEthernet2:1.0
省6
30: anon 2015/08/08(土)04:59 ID:??? AAS
>>29
すまん、設定よく見てなかった。アドレスレンジ被せてるのか。

ip unnumberedは詳しく調べた事がないな・・というか原理が分かってないから答えようがないな。。
釈迦に説法で失礼したけど、誰か分かる人居たら個人的にも知りたい。
31: anonymous 2015/08/08(土)17:29 ID:??? AAS
いつもの、マニュアル読め、設定資料集で記述事例を学んで実機で検証
って対象次第では検証環境作るだけでも結構たいへんかも
32: anonymous 2015/08/10(月)17:28 ID:??? AAS
自宅でまで検証環境作って......なんてやりたくないわw
33: anonymous 2015/08/19(水)15:17 ID:??? AAS
WAN側との通信を動的パケットフィルタ通してやっているんだけど、通信に失敗する
ケースがある。
どうもTCPコネクションタイムアウトする前に動的フィルタが期限切れで削除されて、
遅れてやってきたTCPパケットが破棄されちゃっているようにみえる。
生成される動的フィルタの有効期限を延ばす設定ってあったっけ?

■ 動的フィルタ部分のconfig
ip access-list deny-all deny ip src any dest any
ip access-list permit-all permit ip src any dest any
ip access-list dynamic dyn-permit-all access permit-all

! WAN側IF
省8
34(1): anon 2015/08/19(水)15:40 ID:??? AAS
ip access-list dynamic timer TIMER-TYPE TIME

で変更できるよ。

tcp-syn-timeout :
tcp-fin-timeout :
tcp-idle-time : < TIMER-TYPEでとりあえずこれを数値を大きくしてみるといいはず。だめなら上の2つも。
udp-idle-time :
dns-timeout :
icmp-timeout :
global-timeout :
35: anonymous 2015/08/19(水)15:52 ID:??? AAS
WAN側との通信を動的パケットフィルタ通してやっているんだけど、通信に失敗する
ケースがある。
どうもTCPコネクションタイムアウトする前に動的フィルタが期限切れで削除されて、
遅れてやってきたTCPパケットが破棄されちゃっているようにみえる。
生成される動的フィルタの有効期限を延ばす設定ってあったっけ?

■ 動的フィルタ部分のconfig
ip access-list deny-all deny ip src any dest any
ip access-list permit-all permit ip src any dest any
ip access-list dynamic dyn-permit-all access permit-all

! WAN側IF
省8
36: anonymous 2015/08/19(水)15:54 ID:??? AAS
多重書き込みしてしまった、すまん。

>>34
こんな設定あったんだね、見逃していたよ。
ありがとう。
37: anonymous@p1699243-ipngn15901marunouchi.tokyo.ocn.ne.jp 2015/09/03(木)04:38 ID:??? AAS
ixユーザー目線で欲しい機能が
どんどん追加されてきてる。
特にsdnなど設定の自動化に力をいれているね。
necグループにとっては両刃の剣だろうけど

ipsecでギガの性能あるわりには
光ケーブルのsfp対応してないのは
ciscoに比べると劣ってるね

メタルじゃデータセンターで
フロアー跨げなかったり不便じゃないのか
38: anonymous 2015/09/03(木)09:18 ID:??? AAS
IX3110にはSFPあるけど
39: anonymous@i60-36-23-66.s02.a029.ap.plala.or.jp 2015/09/05(土)21:06 ID:??? AAS
レベルの高いスレの中でショボい書き込みして大変申し訳ないが、WOLしたいPCのmacアドレスを本機に登録したら、l2tpのvpn使えなくならない??
wol terminal mac **** って言うコマンドなんだけど。。
普通にandoroid端末からl2tp接続した上で、wol send mac **** なら問題なく外部から自宅PCを起動出来る。
だれか同じ様な事やってる人居ない??
40: anonymous 2015/09/05(土)21:48 ID:??? AAS
安定運用すぎて話題に飢えてるから、レベル高い/しょぼい関係ないぞ
どんどん来きてくれ
41(1): anonymous@i60-36-23-66.s02.a029.ap.plala.or.jp 2015/09/05(土)22:50 ID:??? AAS
ほんとショボ過ぎる質問で申し訳ない。。
ixも家庭用の運用のみだったらl2tpで外出先からのアクセス位しかやる事ないね…
1-
あと 961 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.175s*