YAMAHA業務向けルータ運用構築スレッドPart2

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 07/31 11:33 / Filesize : 279 KB / Number-of Response : 985
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：anonymous@ [02/11/22 23:25 ID:9U2qW5Xj]: YAMAHA業務用ルータの運用構築スレッドです。
809 名前：aaa mailto:sage [04/03/04 01:14 ID:???]: >>807
> 実際、３０拠点をフレッツ系で接続し、OSPFとSNMPを多少動かして、3DESした
> ら、平均4Mbpsしか出ないと何度も言ってるのに。毎日、SNMPで取ったCPU使用
> 率とデータ転送量を見ているんで間違いないったら。アクセス制御は最小必要限
> はやっているけどね。
すごい!!30拠点も繋がるんですね。
回線はBフレッツ?
810 名前：anonymous@ p1106-ipbf05kokuryo.gunma.ocn.ne.jp mailto:sage [04/03/04 11:34 ID:???]: >>809
トンネル３０本掘れるのがすごいの？
811 名前：　 [04/03/04 13:38 ID:9ygEg8rV]: >808

そうかー
昨日RTX1000が２台届いたので即効でrev8にしちまった。
config作って1個は支社に送付しちゃったのでもう戻せないな。
812 名前：anonymous@ 133.5.205.159 [04/03/04 13:42 ID:wXF5Rc7w]: RTX1000のDHCPサーバでLAN内の各PCにIPアドレス等をふっています。

あるMACアドレスのPCがブラスターに感染しているようなのですが、
MACアドレスしか解らず、どのPCだか解りません。

とりあえずこいつを隔離したいのですが、特定のMACアドレスのホストを
LANから排除するにはRTX1000の設定としてはどのようなことをすれば良いでしょうか。
ご教授頂けますようお願い申し上げます。
813 名前：　 mailto:sage [04/03/04 14:00 ID:???]: >>812
質問の答えじゃなくてスマンが
ttp://www.forest.impress.co.jp/library/netenum.html
これ使っても分からんけ？
814 名前：anonymous@ 133.5.205.159 mailto:sage [04/03/04 14:23 ID:???]: >>813
ありがとうございます。なるほど便利そうですね。使ってみます。
ただ、どうも持ち込みホストだったようで、今は繋がれていないようなんです。
また繋ぎやがったときのために、このMACアドレスの奴を出入り禁止にしようと思った次第です。

ちなみにLinuxでこういうこと調べるツールはどんなのがあるんでしょう?
815 名前：anonymous@ 220.110.49.49 mailto:sage [04/03/04 14:57 ID:???]: >>812
DHCPで特定IPを割り当てて、それと同じIPを固定で振ってある
衝突専用の端末を用意するとか？
816 名前：anonymous@ outer.kodensha.co.jp mailto:sage [04/03/04 19:52 ID:???]: >>814
arpwatch RedhatならCDに入ってる
817 名前：　 [04/03/04 20:47 ID:9Y38jwUu]: httpをproxyってできるの？
818 名前： mailto:sage [04/03/04 21:50 ID:???]: >>817
マルチはやめれ。
819 名前：　 mailto:sage [04/03/05 10:01 ID:???]: >>814
持ち込み許可してること自体が問題だよねぇ。
いっそのことＤＨＣＰやめてＩＰ全部に固定化した方がいいんでないの？
なんかやらかすと、一撃で誰が悪いか分かるし
820 名前：anonymous@ mailto:sage [04/03/05 15:58 ID:???]: >>819
台数多いと面倒だけど、StaticなDHCPにすれば良いんじゃないのか？
MACアドレスベースでの固定割り当てね。

で、登録外のヤツをまとめるscopeもオマケで作っておけば、疑似DMZっぽくも出来るかと。
821 名前：　 [04/03/05 16:47 ID:2W8RXsxR]: >>818
じゃ、お前が答えろ！
822 名前：あげ mailto:sage [04/03/05 17:53 ID:???]: >>821
RTX2000だったらRev.7.01.27 から対応しているよ。
823 名前：812 mailto:sage [04/03/05 19:56 ID:???]: みなさまどうもありがとうございます。
特定MACにのみIPアドレスを振らない、
というDHCPの設定があれば簡単だと思ったんですがマニュアル見てもみあたらず。
伺った限りでもそういうことは出来ないようですね。参考になりました。

とりあえず件のMACにスタティックDHCPでIPアドレスを割り当てて
そこからは外に出さないようにフィルタリングしたいと思います。

ご指摘の通り本当は全員に固定IP振りたいんですけどね。
専業管理者でもないもので、
素人オヤジ数十人のホストで[MAC調べたり|IPアドレス設定したり]
するかと思うと腸捻転おこしそうです。
824 名前：anonymous@ ntoska026036.oska.nt.adsl.ppp.infoweb.ne.jp mailto:sage [04/03/05 22:15 ID:???]: まったくスレ違いでひっぱってもうしわけないが
ここから行ける
www.microsoft.com/japan/technet/security/virus/blaster.asp
ツールによる確認方法
www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en
でwin98以外はスキャンできるけどな
825 名前：anonymous@ ppp3865.hakata02.bbiq.jp mailto:sage [04/03/06 04:22 ID:???]: >>812
そのMACアドレスに振られたIPアドレスがわかれば解決するの？ならばarpテーブル見ればわかる。
でも、IPアドレスがわかったところで、それがどこに座ってるやつなのかわからないのでは？
だから固定でIP振る方法も解決にならないような。
対象が少ないなら、ソースにちょっと手を加えて、特定MACにIPアドレス振らないというのは実現できるけど、ネットワークアドレス知られて空いてそうなアドレスを手動で振られたらおしまい。
たぶん、これを解決するには、MACと人間の対応テーブルをつくる、つまりMAC申請制にしないと駄目なのではないかな。
826 名前：x mailto:sage [04/03/06 19:47 ID:???]: >>825
「突然、インターネットできなくなった!!」って、騒いでくるのを
待つってもんでしょ。
アドレスを手動で設定し直すことができるなら、ウィルスに
気付かずに放置することもないだろうしね。
827 名前：812 [04/03/06 23:19 ID:TkGqT2wh]: >>825
まぁ>>826さんの仰る感じです。
というか、ある1日の数十分しか繋いでなくてそれっきりなんですよ。
たぶん勝手に繋いだ部外者のホストなのでもう大丈夫だと思うんだけど、誰だかわかんなくて
また感染しっぱなしで来やがるかもしれないんで、念のためってことです。

部外者のホストにもIP振るようにしてるのがそもそもヤバいってのは承知しております。
比較的閉鎖的な職場なのでこれまでは問題なかったんですよね。

それより、
>ソースにちょっと手を加えて、特定MACにIPアドレス振らないというのは実現できるけど、
ってどうやるんですか?
828 名前：anonymous@ ppp3865.hakata02.bbiq.jp mailto:sage [04/03/08 00:22 ID:???]: >>827
「ソースにちょっと手を加えて」は勘違い、スマソ。isc-dhcpのつもりだったが、ここはYamahaスレだ。＿|￣|○
829 名前：??? mailto:vvv@pdd.or.jp [04/03/11 00:03 ID:???]: RTX1000と相性がいいATM-TAの情報ｷﾎﾞﾝﾇ。
830 名前：＿ mailto:＿ [04/03/11 00:06 ID:???]: | |
PC--RTX1000----(IPSec)---RTX2000-
| |-Server
|
FW -

こんな環境で、ServerのデフォルトがFWに向いて
いてFWにはPC拠点向けのルートがないから通信
できないはずなのにPCからserverにpingが通って
しまいます。実際の通信はとうぜんうまくいきません。
おかげでトラブルシュートにえらく時間がかかってし
まいましたがなんでpingが通るんでしょうか？

今度Server側でパケットをとるつもりですがRTXって
pingプロキシーみたいな機能があるような気がしてな
らない。
831 名前：anonymous@ l214048.ppp.asahi-net.or.jp mailto:gagagaga [04/03/11 16:45 ID:???]: 少なくともARP Proxyならあったねぇ
832 名前：おれおれ [04/03/17 11:20 ID:3RcHK4bE]: ああ！RTX-2000でnatとfilter設定してたら速度が平均２Mになっちまった。
VPN設定してないのになぁ
おれおれの設定がしょぼいんだろうな
833 名前：anonymous@ p3049-ipbffx02gifu.gifu.ocn.ne.jp mailto:aaa@yahama.go [04/03/23 11:40 ID:???]: age
834 名前：あのにます＠AS7743 mailto:sage [04/03/24 05:30 ID:???]: >>829
TAつ～より，ATM-Etherコンバーターではないかい？
安いのは日立とか。
www.nisseisg.co.jp/nel/jyoho/p_net/new_itEA1.htm
ちと高いがSIIもあり。ルータとしても悪くないし，RTX系との
相互接続でも問題はなかった。
www.sii.co.jp/js/nshp/product/BlueBrick/BlueBrick.html
835 名前：anonymous@ nttksm015176.tksm.nt.ftth.ppp.infoweb.ne.jp [04/03/25 03:33 ID:GI0YcJ+Q]: VPNを　PPTP にするか　IPsec にするか悩んでいます。

PPTP だとネットボランチで良いので、安上がりなんですが、
PPTPってどの程度脆弱なんでしょうか？
例えば、IPsecを破るのに一億年、PPTP破るのに千年かかるというような強度なら
別にPPTPでも良いのではと思ってしまいます。

具具ってみても、IPsecよりも脆弱だとはいわれていますが、
それがどの程度なのかわかりません。
暗号の強度だけの問題ではないので、評価は難しいかも知れませんが
だれか、なにか知っている人教えてください。
、というか、みんなどういう判断してます？
836 名前：anonymous@ p4060-ipbf24marunouchi.tokyo.ocn.ne.jp mailto:sage [04/03/25 09:18 ID:???]: >>835
お金がない中小企業なんで、RT57i で PPTP してる。
これ↓読むことをおススメする。

ヤマハルータでつくるインターネットVPN
www.amazon.co.jp/exec/obidos/ASIN/4839913196/250-1036238-9445856
837 名前： mailto:sage [04/03/25 10:00 ID:???]: >>835
例えばプロバイダっつーか経路を↓こういうセキュアなものにすれば
ttp://www.vectant.co.jp/svc_c/prv/prv_cls_01.html
PPTPでも充分なんじゃねー？
838 名前：. [04/03/25 10:09 ID:Hof9Zzxx]: WEBサーバーの回線を二重化しろって言われていろいろ調べてます。
アウトバウンドはなんとかなりそうですが、インバウンドをひとつのURLで処理するのは
RTX1000だけでは無理ですか？
839 名前：835 [04/03/26 04:03 ID:SoQPQDgD]: >>836
やっぱり何か良いこと書いてあるのかな。
もう一回、近くの本屋を探してみます。

>>837
IP-VPNよりは安いみたいだけど、それでも高いよう!
840 名前：TS [04/03/27 10:17 ID:HgiIPIff]: 暗号の強度については，専門家でも，強度を比較するのは困難だと思います。

ただ，素人なりにいわせてもらえれば，IPSecは暗号で使用する鍵を定期的に
変更するけど，PPTPはそれがないので，そのぶん強度は落ちるというのが，
一般的な回答になると思います。

しかしながら，PPTPの暗号がやぶられたという話は聞いたことがありませんが。

また，企業のネットワーク環境として使う場合は，PPTPの場合，注意しなくて
はならないことがあります。PPTPの場合，クライナト-サーバーという形をと
ります。PPTPにおいて，接続が切れた場合，クライアントからサーバーへの
接続はできますが，サーバーからクライアントへの接続ができません。

IPSecの場合，クライアント，サーバというのはないので，どちらの側からでも，
接続を開始することができます。

これが，PPTPの最大の問題点ではないでしょうか。リモートアクセス用として
開発された技術なので，仕方がないと言えばそれまでですが。

ところで，VPNはLAN間接続で使われるのでしょうか？
841 名前：TS [04/03/27 10:23 ID:HgiIPIff]: ちなみに，840は835へのレスです。

書き忘れてしまった。すまん。
842 名前：TTT [04/03/27 10:33 ID:HgiIPIff]: >>838

無理です。RTX1000にはそういった機能はありません。
843 名前：anonymous@ E210168208089.ec-userreverse.dion.ne.jp [04/03/31 11:46 ID:MaNUOlUv]: 高速デジタル専用線(光:1.5M)で会社とデータセンターを繋ごうとして、
用意したルータがRTX1000・・・
いざ作業しようとしたところで「PRIの口がないとだめ」と言われてしまった。
いまから、PRI対応機種（RT140p, RT300i, RT105p）を買い足すには予算が
厳しいのですが、
・RTX1000を生かす接続方法を取るために必要な追加機器
・RT140p, RT300i, RT105p などより安価なお勧めルータ
がありましたらお教え願います。
844 名前： mailto:sage [04/03/31 12:37 ID:???]: >>843
page8.auctions.yahoo.co.jp/jp/auction/h9396452
845 名前：anonymous@ E210168208089.ec-userreverse.dion.ne.jp [04/03/31 14:17 ID:MaNUOlUv]: >>844
サンクスです。
やはり、対応機種を購入するしかないようですね。
ただ、会社の備品なので、ヤフオクでの購入をみとめてくれるかどうか・・・
846 名前：anonymous@ mailto:sage [04/03/31 15:35 ID:???]: >>838,842
「サーバの二重化」ではなく「回線の二重化」であれば、ちと無理もあるが出来なくはない。

回線を二重に張っておいてNATで一台のサーバに集約し、DNSラウンドロビンを併用すれば到達率50%って計算にはなる。
それが実用的かどうかは別にしてね。

ちなみに、真面目に答えると「BGP4」が何か判ってればノープロブレムって事なんだが（ｗ
なので >>842 はダウト。

＃JPNICから直接IPもぎとる必要があるから、一般的な中小企業レベルじゃ「現実的」とは言えないだろうけど。
847 名前：anonymous@ ntkngw042250.kngw.nt.adsl.ppp.infoweb.ne.jp mailto:sage [04/04/03 03:04 ID:???]: >>846

小規模マルチホーム向けに/24からPIアドレスが取れるようです。
これならもしかしたら手が届く・・・か？

www.nic.ad.jp/ja/ip/pi-application.html
848 名前：sage [04/04/04 12:52 ID:mBQky3+9]: Bフレグループアクセス使って2拠点RT105eでIPv4 over IPv4してるんだけど、
スピードがいまいち。

両方ともRTX1000にしようかと思ってるんだが、この用途だと
RT57iでも十分ですかね？

ちなみにインターネットにはつないでません。ただ2セグメントあればOKっす。
849 名前：anonymous@ mailto:sage [04/04/04 20:34 ID:???]: >>847
問題はPeer先だよね。
850 名前：anonymous@ mailto:sage [04/04/05 00:52 ID:???]: >>848
57iで十分。
851 名前：丸刈り板 mailto:sage [04/04/08 15:20 ID:???]: RTX2000からRTX1000へ、
Bフレ経由でUDPパケットを流すとスループットが異様に遅い。
こんな経験したことある人、います？
どうも1000のほうが処理し切れていない気もしないでもないかも。
852 名前：anonymous@ actkyo016015.adsl.ppp.infoweb.ne.jp mailto:sage [04/04/10 10:34 ID:???]: >829
ＮＥＣのＩＰ４５／０２５ＡＴもあるよ
ttp://www.sw.nec.co.jp/datanet/ip45_025at/
ＮＴＴ－ＣＯＭにレンタルたのむと日立のが届いた。
ttp://www.hitachijoho.com/solution/hinet/ta_modem/na25meone.html
ＭＡＣが１つしか学習できなかった　鬱だったｏｒｚ
853 名前：anonymous@ wildboar.cac.co.jp mailto:sage [04/04/13 11:10 ID:???]: HPのSystem Insight ManagerにYamahaのMIBが入らないよ。
cfgファイルへのコンパイルまではうまくいくんだけど、
最後の数ファイルの登録ができん！なんだよこれ！

------------------------------------------------------------
＜登録OK＞
yamaha-smi.cfg
yamaha-rt.cfg
yamaha-product.cfg
------------------------------------------------------------
＜登録NG＞
yamaha-rt-firmware.cfg
yamaha-rt-hardware.cfg
yamaha-rt-interfaces.cfg
yamaha-rt-ip.cfg
------------------------------------------------------------

登録リストの順番は上の順番で
yamaha-rt-firmware.cfg以降の登録はエラー(T_T)

> > Error: File 'yamaha-rt-firmware.cfg' Error reading MIB: MIB node has no parent
> > Line: 6

こいつの親はyamaha-rt.mibのはずなのにー
854 名前：anonymous@ 61.205.193.125 [04/04/14 16:19 ID:wMbtwaQU]: 古いファームウェアってダウンロードできないの？
rtx1000の7.01.16が欲しいんだけどどこかに置いてない？
855 名前：anonymous@ d232189.ppp.asahi-net.or.jp [04/04/17 13:51 ID:THzA279q]: >>840

ちょっと前のレスだけどPPTPの暗号は実は既に破られている。
Microsoftが独自に開発した暗号方式で仕様は非公開だったんだけど、
それがWebでばら撒かれて、脆弱性は見つかっている。
ただ、便利だし、それを突いた攻撃っつーのは今までに一度も聞いた事はないね
856 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/04/26 09:26 ID:RGFUfglH]: どなたかこんな症状ないですか？

センター側にRTX1000、２つの拠点（AとBと仮定する）にRT56vでPPTPでLAN間VPN接続と
Anonymous接続のVPNを行っているのですが、（センター＋拠点２つ＋PPTPクライアントで計4箇所）
センターと拠点AにはBフレッツ+asahi-net
拠点BにはDion＋eAccessの40M ADSLなんですけど、
どうあがいても、拠点BのDion+eAccessのVPN接続が安定しないんです。
（接続してもつながらない。つながってもしばらくしたら不通になる）
予備のrt56vを使用しても結果が変わりませんでした。
以前拠点BではDionの前にはY!BBだったんですが、そのころはある程度きちんと動作していました。
（しばしばキープアライブが切れていましたが）
拠点AのBフレッツとAnonymous接続のVPN場合は全く安定しています。
ルーティングの設定は拠点Aが大丈夫なので問題ないと思います。
各拠点ではインターネットは問題なく行えております。
（eAccessのPPPOEでの認証がPAPのみというのにはちょっと手こずりましたが）
どなたか同じような症状の方、又は解決方法がご存知な方はいらっしゃいませんでしょうか？
857 名前：anonymous@ p19103-ipadfx41marunouchi.tokyo.ocn.ne.jp mailto:sage [04/04/26 10:50 ID:???]: >781　からの障害と同じでは？
そうだとすると57では最新ファームで対応できてるけど、56だと回避不能だよ。

RT57i Rev.8.00.41 リリースノート
[60] PPTPで利用するGREパケットは「IPヘッダ+GREヘッダ+GREデータ」という
構成を取るが、GREデータの更に後ろに不要なデータが付加されているよう
なGREパケットを受信すると、その後に受信したGREパケットを正しく処理
できずに通信できなくなるバグを修正した。

56ではどう頑張ってもダメだから1000買ってもらってIPsec。いい機会だったさ。
858 名前：anonymous@ 218-228-193-136.eonet.ne.jp mailto:sage [04/04/27 13:06 ID:???]: ＲＴＸ１０００で本社＜＞支店の間をＶＰＮでつないでいますが、バックアップ回線用にＩＮＳを引き
ＲＴ５７を４台本社においたところ、なぜだかＲＴ５７が支店に対して発呼しまくります。

ＮＴサーバーを見たところ、経路情報がなぜかＲＴ５７の方を向いているのですが、ＮＴサーバー
に対して経路情報を伝えないという事はできますか？
859 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/04/27 13:12 ID:vuVm8qz1]: そもそもNTサーバに経路情報は必要ないのでは？
860 名前：_ mailto:sage [04/04/27 16:14 ID:???]: >>858
もうちょっと情報が欲しいな。
RT57iに支店へのルートを設定してて、それがRIPで送信されてるならRIP OFFにすればいいだけだと思うが。

他人事だが、ちゃんとバックアッブの設定ができてるのか心配だな。
861 名前：858 mailto:sage [04/04/27 18:49 ID:???]: ＲＩＰは全部ＯＦＦなんです、あえて使っているとするならば、ＮＴサーバーのＲＡＳくらいで

で、サービスでＲＡＳをきってみても、テストでトンネル切断後、は、延々とＮＴがどこからかバックアップ回線
用のルートをもらってきて、トンネルが回復しても、延々と電話が掛け捲るという・・・。

逆にトンネルが回復したらＮＴに対して、復活したからこっち通せという情報流せればいいのですが・・・。
862 名前：anonymous@ FLH1Abb055.kng.mesh.ad.jp [04/04/29 10:10 ID:4No+HOjS]: >>861
まず、NT　GWはどうなっている。ここにさらしてみて、プライベートアドレスなら
さらしても問題ないでしょう。
NTサーバにネットワークボード2枚いれてそれぞれ別セグメントにして
1枚はRTX1000　もう一枚はRT57i なんてことにしていないよな?

>逆にトンネルが回復したらＮＴに対して、復活したからこっち通せという情報流せればいいのですが・・・

どういう方法で実現しようと考えている?
RTX1000とRT57iを同一セグメントにに置き、rtx1000でフローティングスタティックとかやれば、できそうなんだが。
863 名前：anonymous@ d232189.ppp.asahi-net.or.jp [04/04/30 12:06 ID:JBs3YI9s]: ってかRTX1000のGUIって半端な所までしか設定できないよね。
なんでよ？
はじめからVPN（PPTP含む）まで全部設定できないんだったら
config設定つかわにゃならんから変わらんじゃん
864 名前： mailto:sage [04/04/30 12:16 ID:???]: コマンドも使えねーのかよカスが(藁
IPsec の設定の部分だけヘルプしてやるよ

というヤマハからのメッセージです
俺も NNTP の設定でちょっと悩んだorz
865 名前： mailto:sage [04/04/30 12:17 ID:???]: NNTP ってなんだよ＞俺
PPTP ね
866 名前：sage [04/04/30 13:13 ID:76gMdjKO]: ええ、GUIを勇んで入れて結局config使ったヘタレなんです
しかもrt56vとPPTPのLAN間接続うまくいかないし…
867 名前：anonymous@ PPPa20.hiroshima-ip.dti.ne.jp mailto:sage [04/05/01 14:49 ID:???]: >>858
ip icmp redirect send off にしたら...
事例にはのってないがバックアップしたらこれ必須とちゃうの？
868 名前：sage [04/05/08 01:00 ID:UabEJL2h]: そういやPPTPのMTUってなんにしてる？
YAMAHAだと1280ってなってるけど、それでいーの？
RTXが1280でRT56ｖの接続が無指定だと、ブチブチ切れまくってるよ。
一応Mtu双方で1280指定してある程度良くなったけど、
NTTのPPPOEだとMTU1454でさらにPPTPだと1280であってるんかな？
PPTPの仕様どっか知ってる方いらしまへん？
869 名前：anonymous@ ad-0693.tokyo.ip-link.ne.jp mailto:sage [04/05/08 01:19 ID:???]: >>868
はいよ。
www.faqs.org/rfcs/rfc2637.html
870 名前：anonymous@ YahooBB220013004113.bbtec.net [04/05/09 04:55 ID:apDQWNNw]: ３万円のオムロンのルータを使ってインタネットＶＰＮで接続
してるんですけど最近なかなか接続できなくて
こまってます？いったい原因は？ルータでそんな寿命が短いの
（１年）それとも２０００サーバが悪いのか？
やたら名前解決に失敗するのですが
ＡＤＳＬが原因（光にするべきか）
原因はなんですかね
ＹＡＭＡＨＡにしたほうがいい？
871 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/05/09 15:24 ID:KFU+lDEN]: >>869
THX

>>870
なかなか接続できないってのがどういう状況なのかね
2000サーバでPPTP接続してるの？
それともIPSEC?
インターネットVPNって言い方も曖昧だし、それじゃ良くわかんないと思うよ。
872 名前：anonymous@ EAOcf-362p242.ppp15.odn.ne.jp mailto:sage [04/05/09 17:22 ID:???]: このスレに質問するのはちょっと間違いかもしれませんが・・・

RTX1000の導入を検討しています。ですが、他社の他の製品とも比較
して考えてみたいので、同程度の機能・性能・価格で、他社製品としては
どのようなものがあるのでしょうか。
873 名前：anonymous@ zsh.cyber-magic.org mailto:sage [04/05/09 18:33 ID:???]: >>872
NEC の IX2010/IX2015 とか。前者は Amazon で買えます。
RTX1000 と比べると性能は IX201x のほうがかなり上。
ソフトウェアアップデートには Cisco と同じように保守契約が必要。

NEC の中の人な友人に言わせると IX シリーズのなかで
唯一まともなソフトウェア設計のルータだそうです。

2015 が結構おもしろそうなので個人的に買えるルートがないかどうか模索中・・・
874 名前：5WIND mailto:sage [04/05/10 01:29 ID:???]: >>872
アプライアンス系でなく、いわゆる万能系（ＳＭＢ向けルータ）ですか？
それなりなアクセスプロトコルがあってパケットスイッチも速くてＶＰＮ
（ＩＰｓｅｃ）もできてルーティングプロトコルも喋れて遠隔保守もそれ
なりにこなせるという感じの。

値段にこだわるお客さんへ、アライドのＡＲ４５０Ｓ
実績一番？キャリアお勧め多し、ヤマハのＲＴＸ１０００
どこからか指名買い、古河のＦＩＴＥＬｎｅｔ－Ｆ１００
ＮＥＣにしては悪くない、ＮＥＣのＩＸ２０１０
ＩＩＪってモノ出してたのね、ＩＩＪのＳＥＩＬｎｅｕ
富士通絡みな物件であれば、富士通のＳiＲ－２２０
イロイロな意味でお大尽へ、シスコの１７００か２６００

というところですか。
875 名前：anonymous@ EAOcf-362p242.ppp15.odn.ne.jp mailto:sage [04/05/10 08:57 ID:???]: >>873,874
ありがとうございます。
いわゆる万能系です。IPsecもできればという感じです。
それぞれ、調べてみます。
876 名前：オムロンのルータ mailto:sage [04/05/10 22:16 ID:???]: ＞＞なかなか接続できないってのがどういう状況なのかね
＞＞2000サーバでPPTP接続してるの？
＞＞それともIPSEC?
１０支社間でファイル共有しているのですが最近ルータのリセット回数が多く
なってきてルータの寿命かなとおもっています
ルータはまだ買って２年もたっていません。
（オムロンのＶＩＡＧＲＯ）
前はどうもなかったんですけどね。
ルータて２年ぐらいでリセットする回数が多くなるような気がするのですが。
オムロンが悪い？
ならＹＡＭＡＨＡに変えるんですけど
意見をいただければなと思っています
877 名前：立石電機 mailto:sage [04/05/10 23:19 ID:???]: >>876
リセット... クラッシュしているってことですか?　ヤマハのようにログとか
残っていれば、ハードウェアの問題なのかソフトウェアのバグ(たとえば最近
のウィルスによる二次災害で顕在化)なのかわかるかもしれませんね。
878 名前：IX [04/05/11 01:07 ID:ywahd9AC]: >>873
こないだIX2015でインターネットVPNをやりましすた。
Bフレベーシック4箇所を3DESでメッシュ上に結んで、トンネルでODPFを通しました・・

遅い・・・・IPSec高速化ライセンスはもちろんはいってます
インターネット計測サイトで10Mbps前後。トンネルを通ったらHTTPダウンロード
6Mbps程度ですた

ファームが重いのか?
879 名前：音楽教室 mailto:sage [04/05/11 04:15 ID:???]: >>876
リセットはソフトウェアリセットでしょうか？
頻繁に電源ON/OFFならハードに負担がかかるのでガタが
きてるかもしれませんがソフトウェア的に再起動して
るだけなら他に原因があるような気がします。
880 名前：音楽教室 mailto:sage [04/05/11 04:18 ID:???]: >>876
廃熱がうまくできてない狭いところ
にれてるとか他の機器と重ねおきしてる
なら発熱によるハードのダメッジも考え
られるかも。
881 名前：_ mailto:sage [04/05/11 07:56 ID:???]: >>878
Bフレべーしっ君(100Mbps)なのに、計測サイトで10Mbpsは明らかに
遅いですね。コンフィグ(ルータIFのTCP MSS調整)弄んでみるといい
かも。

>ファームが重いのか?
触った感じ、ヤハマより軽いというかコマンド打つ時の感触がなんか
スカスカしてませんでした?
882 名前：fr mailto:sage [04/05/11 09:28 ID:???]: IXスレはここですか？

ていうかNECにリプレースの提案が通っちまった。若いのにやらせよう・・
俺はYAMAHAと共に逝くよ。
883 名前：あ mailto:sage [04/05/11 13:33 ID:???]: ご意見ありがとうございます。
リセットというのはインターネット接続やファイル共有ができないので
いったんルータの電源を切ってするとできるということです。
なんせルータの寿命？（２年弱）かなと思ったりもして原因がわからんのです。
いちいち電源を落とすのも面倒だし
884 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/05/11 14:06 ID:Ew5w13rt]: 経年劣化と共に発熱も増えていくから、
廃熱は考えた方が良いかもしんない
885 名前：_ mailto:sage [04/05/11 22:32 ID:???]: >>878
うーむ PPPoE の処理は遅いのかも知れませんね。(´･ω･`)
RTX1000も速くはないですけど。

>>882
>IXスレはここですか？
立てて(´∀｀)
886 名前：IX [04/05/12 02:01 ID:sWMGHiIM]: >>878で一箇所訂正
×ODPF→OSPF
です
>>881
LAN接続でTELNETでうつと、あまり変わらないのかな?という感じです。
VPNは期待したほど、速くなかった・・というところです。

アクセスリストで静的フィルタかけるとRTXより速度劣化が
激しいような気がします。

そうですね・・
RTX1000・・少ない金で開発した　小さなエンジンながら、軽快さを武器とする　零戦。
IX2015 ・・金に物を言わせて開発した大馬力のエンジンと重厚な装備(機能)の　ヘルキャット。
といった感じです。

両者が戦えば、結果は、史実のとおり・・かと(w
887 名前：anonymous@ p14030-ipadfx01kokuryo.gunma.ocn.ne.jp [04/05/12 19:08 ID:c6zehdMV]: ちょっと質問させてください。

現在スター型の(PPTPを用いて)VPNを構築したいと考えてます。
拠点(スターの中心)にはRTX1000を使用し、各支店(スターの端点)にはRT57iを
設置しようと思ってます。
拠点は固定のグローバルIPアドレスを設定し、各支店は普通のプロバイダ(固定IPアドレスではない）を設定しようと思ってます。
しかし、YAMAHAのHPなどからマニュアルなどをダウンロードして調べたところ
この構成の場合はネットボランチDNSサービスを使わなくてはいけない、と書いてありました。

ネットボランチDNSサービスを使わずに、上記の構成を実現できるのでしょうか？

できるのならば、参考になるHPなどを教えていただければ幸いです。
888 名前：ｓ mailto:sage [04/05/12 21:33 ID:???]: YAMAHAとシスコの差はあるのでしょうか？
値段だけ？信頼性はどうなのでしょう？（仮に同じ機能だと）
初歩的な質問ですいません
889 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/05/13 09:25 ID:gJurxjxy]: >>887
できますよ、anonymousモードで設定する必要がありますが、
しかし、ネットボランチDNS使用される事になにか不都合がないのであれば、
相手先が限定できるので、使用した方が信頼性は比較的高くなりますよ。
890 名前：RTX1000 [04/05/13 09:29 ID:jG82yk07]: >>887

RTX1000の設定事例集を読む限りでは，固定IP，または，ネットボランチDNSを
使わないと駄目みたいです。

ところで，ネットボランチDNSを使いたくない理由などがあるのでしょうか？
891 名前：anonymous@ mailto:sage [04/05/13 09:41 ID:???]: >>890
> ところで，ネットボランチDNSを使いたくない理由などがあるのでしょうか？

業務系のNetworkを構築するのに、何の保証もないFreeのサービスを使おうってのがそもそもの間違いだと思うんだが。
892 名前：887 [04/05/13 10:32 ID:y88d8yaT]: みなさま、どうもレスありがとうございます。

自分も891さんと同様の意見です。
YAMAHA RTのメーリングリストをみたり他のYAMAHAのスレを見ていると
少なからずネットボランチDNSが不通になる事があるようです。
やはり無料の(保証のない)サービスというのは不安が残ります。

889さんの意見の様に相手先を限定する方が信頼性は高くなりますよね。
ここは、やはり各支店にも固定グローバルIPアドレスを設定する方法が
一番確実なのではと思います。

ご意見どうもありがとうございました。
893 名前：hoge mailto:sage [04/05/17 02:47 ID:???]: そろそろ、MLに『ｽﾚｯﾄﾞ切るな! 』って言う人に光臨して欲しいでつ。
最近、やたらｽﾚｯﾄﾞ切れてる気がするんですけど…。
Router触る前に返信ﾎﾞﾀﾝぐらい使いこなして欲しいでつ。
894 名前：anonymous@ mailto:sage [04/05/17 06:32 ID:???]: >>893
スレッド対応なMUA使ってないから気にしてない。
895 名前：（・Ａ・） mailto:sage [04/05/18 02:08 ID:???]: ここでグチってないで、君が言いたまへ。
896 名前：・) [04/05/28 06:39 ID:+CD0yndc]: インターろっぷ　に　どんな機械が展示されるのかな・・ｏ（＾＾）ｏ
897 名前：anonymous@ 219.163.176.124 mailto:sage [04/06/02 12:45 ID:???]: ブロードバンド2回線（FletsとUsen）とRTX1000を使用して、回線の
バックアップをしたいんです。資料を見ると、バックアップ回線の設定に、

> ip pp address (プロバイダより割り当てられた固定アドレス2)

とあります。この部分をIPではなく、ドメイン名で指定するのは可能ですか？

www.rtpro.yamaha.co.jp/RT/docs/example/backup/vpn_backup_example8.html#config
898 名前： mailto:sage [04/06/02 12:51 ID:???]: 意味がわからん
なんでIPアドレスが書けないんだ
899 名前：897 mailto:sage [04/06/02 13:08 ID:???]: 費用を浮かせるため、バックアップ回線のほう固定グローバルIPではなく
ISPから随時割当られるグローバルIPを使用したいのです。
で、ダイナミックDNSで登録するドメイン名をRTX1000に設定する、ってのは
無理なんでしょうか？
（現回線はBflets IP8なんですが、先日のOCNダウンのようなとき対応する
廉価な方法はないものかと… 現在、57iを使用してます）
900 名前： mailto:sage [04/06/02 13:14 ID:???]: 最低でもADSLで固定1IPは必要だと思う
901 名前： mailto:sage [04/06/02 13:31 ID:???]: IPsecの両端が非固定IPにならないんなら、 [拠点1 RT(2) 設定例]
みたいにしとけばいいだけでは?
902 名前：anonymous@ 110.169.138.210.bf.2iij.net [04/06/02 15:10 ID:y9xuGPY1]: ＲＴＸ１０００をサーバにしてipsecとPPTPでＶＰＮを使っています。
サーバ側は固定ＩＰアドレス、クライアント側anonymousモードです。
ここで、サーバ側からPINGを打つと返答のあるルータと無いルータがあるのですが、
理由が解りません。
クライアント側からは問題なく通信がおこなえているのですが、管理上クライアント側の
ルータにアクセスできない箇所があり困っています。
なにかご教授下さい。
903 名前：anonymous@ 110.169.138.210.bf.2iij.net [04/06/02 15:51 ID:y9xuGPY1]: >902です。
解決しました。申し訳ありません。
904 名前：anonymous@ fb-210141165-88.urban.ne.jp [04/06/02 18:09 ID:+Y1+jXnL]: この度、RT57を入れてIP電話を利用しようと思っていますが、オンサイト保守の契約はした方が
よいのでしょうか？。金額を考えるともう１台購入できるんですが。
905 名前：anonymous@ l214048.ppp.asahi-net.or.jp mailto:sage [04/06/02 20:31 ID:???]: >>904
いらね
906 名前：_ mailto:sage [04/06/03 13:05 ID:???]: >>904
業務に使うなら、同じ設定を流し込んだ予備機を遠隔地においておいた方がいいだろうね。
で、壊れたら別系統の電話で連絡してそっくりそのままケーブルを移植させてリスタート。
907 名前：904 mailto:sage [04/06/04 07:54 ID:???]: >>905,906
ありがとうございます。予備機を準備するようにします。
908 名前：899 mailto:sage [04/06/04 16:45 ID:???]: BB回線2つによる回線バックアップ、回線入れてRTX1000をいじりながら
やってみようかと思い、Usenのマンションタイプ（IP1付き）の問い合せを
したら、営業がウダウダ言って、入れられそうもないです。
「バックアップ回線･･･」とか言ってしまったのが、気に障った模様。
主目的がバックアップなんで、通常は帯域ほとんど使わないんだけど。
TEPCOあたりのIP付が安くなるのを待とうかと･･･
909 名前：anonymous@ 110.169.138.210.bf.2iij.net [04/06/04 17:45 ID:fhGJLjpJ]: ルータに詳しくは無いのですが、管理しています。
社内ネットのウイルスが駆除し切れません。
ブラスター系のウイルスが社内で発病すると、出口のＲＴＸ１０００が作動困難になります。
その時点で、ＲＴＸ１０００にshow nat descriptor address コマンドを打つと
ＩＰを食いつぶしているパソコンが解り、ウイルスの発病パソコンを特定し対処ています。
このような管理はおかしいでしょうか？他に良い方法はありますか？
910 名前： mailto:sage [04/06/04 17:56 ID:???]: ウィルスバスター入れろよ
911 名前：_ mailto:sage [04/06/04 18:59 ID:???]: >>909
おかしい。
アンチウィルスソフトを入れるのを業務規定で義務にしろ。
（違反者は譴責・減給・降格etc.が行えるようにする）
すべてのPCからアプリケーションインストール権限を奪って
管理者以外はアプリケーションをインストールできないようにしろ。
Windows9x,ME,MacOS9マシンは窓から投げ捨てろ。

そもそもすべてのPCがルータ経由でインターネットへ直接接続できる必要がないだろ。
Proxyサーバ入れるなり何なりしろよ。
912 名前：anonymous@ z207.211-19-88.ppp.wakwak.ne.jp mailto:sage [04/06/04 19:49 ID:???]: ウイルスソフトは入れているのですが、最新定義がなかなか徹底できません。
ブラスター系のウイルス保菌者を発症時でも良いのですが、特定する方法はありますか？
913 名前：＿＿＿ mailto:sage [04/06/05 01:40 ID:???]: くそパケットが外に出るのを、RTX1000が防いでくれてるんだからマンセーじゃん。
で、NAT状態見て特定できるならそれでいいんじゃ。
なんなら、定期的にRTX1000にアクセスしてshow nat descriptor address発行するスクリプトでもかましておくとか。
914 名前：・ [04/06/05 12:54 ID:RwWpHbgk]: >>909
Blasterの場合
RTX1000なら、PPのOUTでTCP,UDP ポート135をフィルタしログをのこせばいいのでは?
ポート135なんかインターネットにぬけなくてもこらないから

ログを見て感染機特定・・ではだめかな?

ちなみに　うちの会社でやったこと(Nachi.Bだった)。
1.RTXではないルータだったのルーティングキャッシュみてウイルス保菌機　を特定していました
IPアドレス総当たりのルーティングをさせているもので機種を特定
　(拠点間接続用なのでPort135はフィルタできなかった)
2.拠点間VoIPがおかしくなったら、ウイルス発生!?としてルータをみるようになりました

一応、次のような処置をとった
1.ウイルスが見つかったら、全社にパッチあてと、ウイルス駆除を実施させる
2.見つかったビルまたは、部門ごとネットワークを切り離す
　(他への感染を防ぐため。本当は、全PC切り離せばよかったのだが、
　ウイルスの種類の特定に時間がかかったため。)

3.パッチ当て後にウイルスチェックは忘れずに
4.切り離した部分の全PCで駆除とセキュリティパッチ宛てが完了するまで、切り離したところはつながない。
　(切り離した部門の業務ができるできないは関係ない。1台でも残っていると、他部門のネットワークにも影響が出て
他部門も業務が滞るから)　(いっぺん、痛い目にあわないと上は理解できん)

1.うちの場合は、ウイルス対策ソフトをほとんど入っていなかった＿|￣|○
　今回の件を理由に　たいした反対もなく全社導入ケテーイ!
2.ウイルス対策ソフトは、センターで定義ファイル更新や発症状況等を管理できる　コーポ向けのものにする
(ウイルスバスターコーポレートエディション、シマンテックアンチウイルスコーポレートエディションなど)

ちなみに、ウイルス保菌者は、みんなウイルス対策ソフト導入に反対しそうな役職者のいる部門だった（＾ｍ＾）
915 名前：anonymous@ l214048.ppp.asahi-net.or.jp mailto:sage [04/06/05 13:56 ID:???]: ちうか各社のコーポレートエディションが一番出来がいいよね、
軽くて必要な機能が十分にあってさ、
なんで個人向けのはあんなに重いのか…
916 名前：_ mailto:sage [04/06/05 15:06 ID:???]: >>915
個人向けアプリケーションは
ごてごてした丸っこいスキンをつけるのがアメリカ式HAHAHA
917 名前：anonymous@ ntngno013035.ngno.nt.adsl.ppp.infoweb.ne.jp mailto:sage [04/06/05 15:57 ID:???]: 　業務用ソフトのせいでWin95が切れないから
コーポレートエディション必須（ﾆｶﾞﾜﾗ

　まぁ専用PCだからアンチウィルスなしでも……
やっぱ嫌だな。

　スレ違いだな。
918 名前：914 [04/06/06 00:39 ID:detlSvIG]: >>915
個人向けは、パーソナルファイやウォールやらhttpスキャンやら、いっぱいついてる。
いままでは、企業内なら扶養とされてきたもの。
ノートンコーポの今年の売りは、パーソナルファイヤウォールとかじゃなかったかな。
今後は、重くなっていくなり

>>909
ネットワーク上でウイルスを捕捉したいならFortiGateかなんかをいれないとだめだな。
ただこれいれるとRTX1000が不要になってしまう
919 名前：anonymous@ p4081-ipbffx02hodogaya.kanagawa.ocn.ne.jp mailto:sage [04/06/17 12:49 ID:???]: YAMAHAルータで、ＡＲＰテーブル内のデータを固定化する
事って出来る？　
旬のＡＲＰ　redirectとかへの対処で
特定ホストのARPテーブルをstatic設定にしたいなあと思ったので。。。
920 名前：・ mailto:sage [04/06/17 23:04 ID:???]: YAMAHAルータのDHCP鯖機能は
配布するIPアドレスをクライアント固定割り当てに
した場合（MACアドレス固定割り当て）、そのIP割り当てられた
側のクライアントPCでMAC偽装した場合
それを検知可能？
921 名前：anonymous@ mailto:sage [04/06/18 04:11 ID:???]: >>920
そもそも「MAC偽装」を検知出来るソリューションなんてあるのか？
その偽装はどうやったら判別出来る？

インテリジェントなL2SW辺りでカバー（Port単位のMAC制限）するとかしかないと思うぞ。
922 名前：・ mailto:sage [04/06/18 08:48 ID:???]: >>921
DHCP鯖がリース先のクライアントのIP情報を収集し、自分がリースした
IPアドレスとMACアドレスの差分を常にチェック。って
機能は鯖は持ってない？！もしくはクライアントPCがDHCPでIP貰った
場合は定期的にDHCP鯖にIP情報をアドバタイズするとか。。。
あっというかリース期間を極端に短くすれば良いのでは？！
ちょっとYAMAHAの話から離れてしまうけど。。。
923 名前： mailto:sage [04/06/18 10:12 ID:???]: てかなにがしたいのかわからん
924 名前：anonymous@ mailto:sage [04/06/18 11:07 ID:???]: >>922

とりあえずDHCPの基本原理を勉強し直してから出直せ。
もちろん「Ethernet」の基本原理から勉強し直す事も忘れないで欲しい。

> DHCP鯖がリース先のクライアントのIP情報を収集し、自分がリースした
> IPアドレスとMACアドレスの差分を常にチェック。って

「リース先のクライアントのIP情報」ってのが根本的に腐ってるな。
そもそも「リースするIP Address」はDHCP Server自身が掌握しているから、それを収拾する必要などハナっから無い。

「DHCP Server」=「DHCP Requestの有ったClientに対し、MACベースでIP Addressを割り当てる」

> あっというかリース期間を極端に短くすれば良いのでは？！

リース対象がWIndowsであれば無理。
一旦割り当てられたIPを「リース期間が過ぎても使い続ける」仕様だからね。

最後に・・・「MAC詐称」されたら基本的に「打つ手ナシ」だという事も理解して欲しいな。
Ethernetってのは「MACベースでの通信」が前提になっているんだから。
925 名前：anonymous@ l214048.ppp.asahi-net.or.jp mailto:sage [04/06/18 11:55 ID:???]: MACベースで完全に固定IPにしとけ、
まぁ隣にあるPCのMACアドレス名乗られたら不可だが
926 名前：・ mailto:sage [04/06/18 13:06 ID:???]: >>922

>そもそも「リースするIP Address」はDHCP Server自身が掌握しているから、
>それを収拾する必要などハナっから無い。

うん、それはそうなんだけど言いたいのはそうではなくて。。。。

DHCPサーバが、リースした先のクライアントのIPとMACアドレス
を定期的に収集する様なコマンド持っていれば
クライアントの単純なMAC偽装は検知出来るかなと思っただけ。
但し仮にそれが出来たとしても、arp redirectとかには打つ手なしだなあ。。。
いや何が言いたかったと言えば、arp偽装によるsniffeｒを設置される事
に対処する方法についてなんだよね。

クライアントからルータまでの上りパケットに
ついては各クライアントのルータ向けarpテーブルをstaticにしてしまえば
済むけど、ルータからクライアントへの下りパケットについてなにか
打つ手ないかなあと考えていたのです。

ルータ上のarp tableを固定化出来ればそれで済むんだけど
YAMAHAのは出来ないでしょ？
うーん。。。プロミスキャスモードのNICを定期的に探すっつーのもなあ。。。
末端のL2SWで対処する方法もあるけど、うちのはMAC固定出来ないのよ。
ってスレ違いだね。
927 名前：anonymous@ mailto:sage [04/06/18 15:19 ID:???]: >>926

まだ何か勘違いしているなぁ。
とにかく、もう一度勉強して出直せや。

> DHCPサーバが、リースした先のクライアントのIPとMACアドレス
> を定期的に収集する様なコマンド持っていれば

だから、その情報は「DHCP Server自身」が持っているんだって。
DHCP leaseやPoolの意味調べろ。

RTをDHCP Serverにしているんなら「show dhcp」を叩け。
ICSとかの実装であれば/var/dhcp/dhcpd.leasesを見ろ。
（pathやfile nameはOSや実装によって違うので、適宜変更の事）

> クライアントの単純なMAC偽装は検知出来るかなと思っただけ。

「Ethernet」を使っている限り、どんな事しても基本的には「MAC偽装」を検知する事は出来ない。
そういう仕様なんだから仕方の無い事だ。

インテリジェントなL2SWだったら、Clientをぶら下げるPort単位でMAC Address Filter掛ければOK。
928 名前：anonymous@ mailto:sage [04/06/18 15:22 ID:???]: 補則。

もし気になるんだったら「arpwatch」でも使うこった。
それでも「MAC偽装」されてた場合は「DHCPで割り当てられたIPと、対応するMAC」は常に一緒って事になるので全く意味は無いけどな。
929 名前：anonymous@ mailto:sage [04/06/21 10:37 ID:???]: すごいおばかな質問かも知れないけど
VPN（ipsec）をルータ、クライアント（WinXP）間で張ってみたいんだけど
同一インターフェースに繋がっているローカル間では無理？
例えばクライアントPCとデフォルトGW間とか。
ルーティングされないから無理かな。
YAMAHAのサイトでもそういう事例はないみたいだから無理な様な
気がしてるんだけどね。
930 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/06/21 10:44 ID:urHCwAMD]: 理論的にはできる。
やる必要があるかどうかはわかんないけど。
931 名前：シス子 mailto:sage [04/06/29 23:13 ID:???]: 先週から業務命令でヤマハルータを触っているのですが、
BGPの設定で質問があります。

　　 | 172.16.0.2 　　　　 | 172.16.1.2
+------+-------+ +------+-------+
| RT1 | AS 64001 | RT2 | AS 64001
+------+-------+ +------+-------+
| 192.168.0.1 　　　　　 | 192.168.0.2
| 　　　　　 |
--+----+-----------------------------+-----+------------ 192.168.0.0/24
| |
+-- 端末 +-- 端末
| |
+-- 端末 +-- 端末

図のように２台のルータをBGPで接続しているのですが、片方のルータが壊れてももう片方のルータで
通信できるようにしたいのですが、ヤマハのサイトを見ても設定例が無く困っています。
RT1とRT２はそれぞれ仮にAS１００につながっているとき、どのようにしたらいいのでしょうか？
932 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/06/30 09:18 ID:m501PRED]: www.rtpro.yamaha.co.jp/RT/docs/vrrp/vrrp.html

VRRP使った奴ならある。
933 名前：anonymous@ mailto:sage [04/07/01 00:43 ID:???]: >931
BGP-4 設定例
www.rtpro.yamaha.co.jp/RT/docs/bgp/bgp4-example.html

きちんとサイトを確認しましょう。
934 名前： mailto:sage [04/07/01 00:58 ID:???]: RTX1000で、BRIから128K専用線経由でインターネットに出ています。
グローバルIPアドレスは8個もらっていて、ひとつをRTX1000のBRI側の
口に割り当てています。
LAN1はローカルネットワークで、IPマスカレードでインターネットへ接続
しています。

ここでLAN2にグローバルIPでウェブサーバを立ててみたいのです。
BRIとLAN2間を単なるハブというのか、同じネットワークにすることはでき
るでしょうか? それともLAN2側の口にもグローバルIPをひとつ割り当てて
NATを使う必要があるでしょうか?
935 名前：fr mailto:sage [04/07/01 11:48 ID:???]: 環境知らんからなんともいえないが、BRIをIPunnumbered設定して問題がないのなら
実質的にはrouterにグローバルIP1つですむね。
LAN2を固定IPにしてその下にLAN1と別の外部公開サーバ用net作ればいいのでは？
それならLAN2は全部グローバルIPでサーバ5台いけるしNATもいらん。
936 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/07/01 13:19 ID:pJDuv4yq]: ちうかN+INETWORKで中小企業SOHO向けルータ（10万前後の製品）
のベンチマーク集があったんだけどなぜかRTX1000がねぇよ
なんでやねん
937 名前： mailto:sage [04/07/01 17:16 ID:???]: タイアップとれなかったんじゃねぇの？
938 名前：鳩 mailto:sage [04/07/02 08:59 ID:???]: 所詮、ちょうちん記・・うわてめーなにしやあｑｓｗでｒｆｔｇｙふじこｌｐ
939 名前：anonymous@ mailto:sage [04/07/02 20:53 ID:???]: Interropに行ってきますた。

見に行けなかった方にRTX新製品 X3(仮称) のスペックを
うろ覚えですが、書いておきます。

発売は秋以降だそうで。

・メモリは128MB。
・マルチキャスト対応。
・ AESはHW処理。
・ FWスループットの理論値はほぼワイヤースピード。
・ VPNスループットの理論値は60～90MB。
・ショートパケットでのスループットもかなり高い。
・ QoS処理はSW+HW処理で行う。
・対地数は50。
・ S/T点、U点が2つずつ装備。
940 名前：anonymous@ HDOfb-01p1-210.ppp11.odn.ad.jp [04/07/03 07:40 ID:D0D378l5]: >>939
>対地数は50。

ありがたい!
RTX1000でつないでいるところが、もうすぐ30箇所をこえるのねん。
ルートを工夫して対処予定なのねん

>S/T点、U点が2つずつ装備
2つもなんに使うのでしょ・・
VPNを2回線バックアップできるのかなぁ?
941 名前：シス子 mailto:sage [04/07/05 21:31 ID:???]: ヤマハのサイトを教えてもらいどうもありがとうございました。
また、質問なんですけど、ラボ環境でBGP接続をしているのですが、ヤマハの設定例を見てもよく分かりません。
それぞれの端末で疎通をとりたいのですけどできないいんです。
よろしくお願いします。

　　　　　　端末
|
　　|　１９２．１６８．１．１
+------+-------+
| 　RTX１０００　　　 | AS ３０００
+------+-------+
　　 | ２０．２０．２０．２
　　 |
　　 | ２０．２０．２０．１
+------+-------+
| RTX２０００　 | AS ２０００
+------+-------+
　　　 | １０．１０．１０．２
　　　 |
　　　　　　　 |　１０．１０．１０．１
+------+-------+
| 　RTX１０００　　　| AS １０００
+------+-------+
　　 | 192.168.0.1
|
　　　　　端末
942 名前：シス子 mailto:sage [04/07/05 21:32 ID:???]: AS3000
login timer 4649
ip route 192.168.0.0/24 gateway 20.20.20.1
ip lan1 address 192.168.1.1/24
ip lan2 address 20.20.20.2/24
bgp use on
bgp autonomous-system 3000
bgp neighbor 1 2000 20.20.20.1
bgp import filter 1 include 192.168.1.0/24
bgp import filter 2 include 192.168.0.0/24
bgp import 2000 static filter 2
bgp import 2000 ospf filter 1
bgp export filter 1 include all
bgp export 2000 filter 1
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.50/24
943 名前：シス子 mailto:sage [04/07/05 21:33 ID:???]: AS2000
login timer 4649
ip lan1.2 address 10.10.10.2/24
ip lan1.4 address 20.20.20.1/24
bgp use on
bgp autonomous-system 2000
bgp neighbor 1 1000 10.10.10.1
bgp neighbor 2 3000 20.20.20.2
bgp import filter 1 include 192.168.0.0/24
bgp import filter 2 include 192.168.1.0/24
bgp import 1000 static filter 1
bgp import 3000 static filter 2
bgp export filter 1 include all

AS1000
AS２０００と同じ
944 名前：・・・ mailto:sage [04/07/12 15:54 ID:???]: でX3っていくらで発売予定？
945 名前：anonymous@ local.sanrei.net mailto:sage [04/07/12 16:45 ID:???]: RD-X3は販売終了しました。
946 名前：_ mailto:sage [04/07/14 19:00 ID:???]: >>939
X3 というからには RT300i の代替機種なのかしらん
RTX1000後継機であれば期待大
947 名前：939 mailto:sage [04/07/14 21:37 ID:???]: >>946
PRIモジュールがないのでRT300iの代替機種という訳ではなさそうです。
今度、INS1500の為にRT300iを導入しますがいくらなんでも高すぎです。
代替機種キボンヌです(´ω｀)。

それでもCiscoよりかは安いですけどね。
948 名前： mailto:sage [04/07/14 21:44 ID:???]: それ以前にINS1500が高いだろ
949 名前：_ mailto:sage [04/07/16 18:05 ID:???]: RTX1500ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
ttp://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040705/3/
950 名前：anonymous@ l214048.ppp.asahi-net.or.jp [04/07/19 08:00 ID:9eUcxqfu]: RTX1500は多分PPTPはついてないんだろうなぁ
PPTP簡単につなげるには便利で是非つけて欲しいんだけどねぇ
951 名前：anonymous@ tetkyo016096.tkyo.te.ftth2.ppp.infoweb.ne.jp [04/07/26 15:48 ID:72bMrPYo]: RTX1000使ってますがNATのdescriptorテーブル量が
一定以上行くとCPUロード１００％行ってPPPOEが切断されますねえ・・・
これは仕様なんでしょうか・・・（;´Д｀）
一応NATテーブルの開放時間をデフォルトから変えることで
それなりに負荷は減りましたがRTXはNATが弱いんでしょうか・・・
952 名前：anonymous@ c192239.ppp.asahi-net.or.jp [04/07/26 16:48 ID:JTigk9s6]: RTX-1000 Rev.8.01.12で追加されたコマンドで
リリースノートの[5] ip INTERFACE wol relay SW
をtunnelのみ有効にするにはどうしたらよいでしょうか
ちなみに[6] ip filter directed-broadcastコマンドでのチェックより上の[5]が
優先されると書いてある・・・
wol relayコマンドでのチェックにより通過させることができなかったパケットのみが、
このコマンドでのチェックを受ける　とある。
何方か教えてください。
953 名前：anonymous@ zaqdb72eb1d.zaq.ne.jp mailto:sage [04/07/26 21:11 ID:???]: >>951
一定以上って、いくつ？
954 名前：anonymous@ tetkyo006222.tkyo.te.ftth2.ppp.infoweb.ne.jp [04/07/26 22:56 ID:x1vPmvTZ]: >>953
今日は３６０くらいでCPU１００％いってましたねえ
955 名前：anonymous@ zaqdb72eb1d.zaq.ne.jp [04/07/27 23:22 ID:HH+KK55T]: 360?
ありえねぇ～。それ以上で使っているけどフリーズしないが・・。
最新だと、どーなの？8.01.15だしょ？
956 名前：anonymous@ 147.164.210.220.dy.bbexcite.jp mailto:sage [04/07/28 10:25 ID:???]: >>951
config さらしてみ
957 名前：951 [04/07/28 20:42 ID:6hOHkWB0]: >>955
8系bはブラウザ設定でセキュリティがどうこうとかいう
話が多くて7.01.34使ってます。（まあ、実際のところ分かりませんが）

>>951
セキュリティの問題で全部は記載できませんが
*のところは伏せてありる場所です。

# RTX1000 Rev.7.01.34 (Fri Mar 5 14:07:00 2004)
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip icmp echo-reply send off
ip lan1 address ***.***.***.***/**
pp select 1
pp always-on on
pppoe use lan2
pppoe tcp mss limit auto
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in * * * dynamic * * *
ip pp secure filter out * *
ip pp intrusion detection in on reject=on
ip pp nat descriptor 1
pp enable 1
958 名前：951 [04/07/28 20:43 ID:6hOHkWB0]: //続き-----

ip filter (icmpカット、TCP、UDP　NETBIOS系ポートカット、他もろもろポート閉じ)
ip filter dynamic (www類)
nat descriptor type 1 masquerade
nat descriptor timer 1 protocol=tcp port=www 30
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 ******-******
（nat descriptor masqueradeテーブル１２行）
tftp host *.*.*.*
dhcp service server
dhcp scope 1 ******-******/**
dhcp scope bind 1 ****** ethernet **:**:**:**:**:**
（DHCP予約四行）
dns service recursive
dns server ***.***.***.***
snmp host any
snmp trap host ***.***.***.***

この設定で一日約２０００HIT１５００００PVくらいでほぼ夜間集中です。
再起後三日目辺りから挙動不審になります。
変な所ありましたら申し訳有りませんがご教授いただければと思います。
959 名前：951 [04/07/28 21:05 ID:6hOHkWB0]: ↑　間違え
一日約２００００HIT１５００００PVくらいでほぼ夜間集中です。
960 名前：951 mailto:sage [04/07/29 01:18 ID:???]: ↑*3 そしてまたミスを発見

>>>951
>セキュリティの問題で全部は記載できませんが
>*のところは伏せてありる場所です。

>>956
上記のは956様へのレスでした　すんまそん
961 名前：anonymous@ k123074.ap.plala.or.jp mailto:sage [04/07/29 03:23 ID:???]: >>960
毎日夜間集中で見られているのなら閑散時狙って定時にNATtable のclearする
対症療法で対応できるかもしれませんね。
あとはそこまでの状況を作り出したことがないのでなんとも言えませんが、
dynamic filterのセッション数の上限を使うタイミングがあったりするのも
影響してたりするかも。
もしそうならば、固定IPに移行する時期かもしれませんが。

あとは最近、Rev8系が開発の中心になっているようなので、そちらを適用して
みるのも切り分けとしては良いかもしれません。
962 名前：951 mailto:sage [04/07/29 11:18 ID:???]: >>961
>閑散時狙って定時にNATtable のclearする
これはrestartコマンドでということでしょうか？
一応ＣＯＮＦＩＧでも分かるんですが３０秒開放にはしているものの
WWWのNATのゴミがやはりだんだん溜まっていきます
開放漏れしたものなんでしょうかねえ（;´Д｀）(謎
963 名前：961 mailto:sage [04/07/29 14:12 ID:???]: >>962
clear nat descriptor dynamic *descriptorID* とか。
まぁrestartコマンドが許される条件ならそれでも良いと思いますが。

昨日は意識朦朧としながら書いたので細かく触れませんでしたが、
そもそもdynamic filterって400sessionくらいが管理出来る上限だったと思う
のです。（ちょっと元ネタどこだったか忘れた....。どこで見たのかな...)
IP masqueradeとdynamic filter併用時は両者の状態遷移を一致させる必要が
あるためRTX1000の負荷は上がるはず。だから、固定IPアドレスに移行して
IP masqueradeやめるとかする選択肢があるよね、という意見を出している
わけです。（他にもdynamic filterやめて静的filterだけで生きていく方法
もあるかもしれませんが、私はdynamic filter好きだなぁ.....)

もしNATtableのクリアを試されるのであれば結果を教えてもらえれば幸い。
964 名前：962 [04/07/30 00:21 ID:EjdDglvX]: >>963

NATテーブルクリーンはいい感じです、
本日約２１０００人閲覧
２サーバー接続確立３００スレッド程度でNAT６８個
CPU: 34%(5sec) 38%(1min) 37%(5min) メモリ: 23% used
こんな数字で安定しています。
まあ、今までもRESTART後は安定していたんですが、同じような安定が
NATクリーンだけで再現できます・・・やはりNATが負荷原因か・・・・

一応NATクリーンを一日一回でスケジュールとして入れてみました。
これで一日一度NATのゴミが綺麗になればもうしばらくいけそうです
ただ・・・今の倍の負荷がかかってきたりするとちょっときついですね・・・

IPマスカレードをやめるのは考えてはいたんですが、IPが１つの動的IP
契約ではないと回線の維持費が・・・・
SOHOの契約になるとなぜかいきなり値段が跳ね上がりますからねえ・・・
趣味の範疇でやっているうちは難しいです。

また経過を報告いたします。
965 名前：962 [04/07/30 00:25 ID:EjdDglvX]: な～んて　書き込みをした直後に・・・・
CPU: 99%(5sec) 99%(1min) 40%(5min) メモリ: 23% used
すぐこれだ・・・
いったい何なんだ～～～～！（;´Д｀）
Masqueradeテーブルポート範囲=60000-64095 44個使用中

NAT数も行ってないのに・・・・

・・・なんて書いているうちにまたCPU値は落ち着く・・・
CPU: 26%(5sec) 29%(1min) 46%(5min) メモリ: 23% used

・・・・この上がり下がりの激しさは仕様なんだろうか
966 名前：961 mailto:sage [04/07/30 13:28 ID:???]: >>965
仕様でしょう。
NATのテーブル数が962氏のRTX1000の負荷になっているのではなく、
NATテーブルの生成、削除がRTX1000の負荷になっていると思いますので。
(同時にダイナミックフィルタの生成、削除もある）
今回の現象は正常動作だと私には思えます。
あとは、Rev.8系も試してみれば良いと思うのですが。
かんたん設定のセキュリティを気にされるならばhttpd落としておけば
問題ないと思いますよ。
967 名前：962 [04/07/30 17:47 ID:EjdDglvX]: それはそうと
nat descriptor timer 1 protocol=tcp port=www 30
でしっかりと３０秒開放を宣言しているのにどんどんNATテーブルの
ゴミが残っていくのは何故なんでしょうか・・・
これも仕様なのか・・・・？バグ？・・・・
これが仕様だとすれば(+д+)ﾏｽﾞｰ
968 名前：貴族 ◆VN9Vp2ilRI [04/07/30 18:16 ID:B2MKss1W]: d
969 名前：anonymous@ zaqdb72eb1d.zaq.ne.jp mailto:sage [04/07/30 22:07 ID:???]: >>951
なんで、こーなってるの？
#ip pp secure filter in * * * dynamic * * *
#ip pp secure filter out * *

普通、ppのout側にdynamic書くよね？
外から来たIP、全部動的テーブルに残してるの？？？
テーブルがいっぱいいっぱいじゃないのかなぁ？アクセス数多そうだし。
970 名前：アールティエックス [04/08/06 23:27 ID:MVJfMv++]: 突然ですが教えてください。
RTX2000×1台とRTX1000×10台でネットワーク提案するのですが、
固定IPアドレスを2000側に1つで行くのですが、これってすべての端末の
マイネットワークで全端末を表示できるのですか＞？？
めちゃくちゃ初歩ですが誰か教えてください！！！
971 名前： mailto:sage [04/08/06 23:47 ID:???]: >>970
pc5.2ch.net/test/read.cgi/network/1091802767/l50
削除依頼が出てないという事は、マルチだな。氏ね。
972 名前：sage mailto:sage [04/08/07 03:07 ID:???]: >>970
いやです。社内のトラブルをこんなトコロに持ち込まないでください。
SE居るなら彼に聞きなさい。彼も愛想つかしてるんだと思うが。
973 名前：＿ [04/08/08 11:15 ID:hRUX6JIF]: >>970
Ｗｉｎｄｏｗｓネットワークもそれが可能なように構成されていて
初めて可能。
ＲＴＸだけでは解決しない。
974 名前：鳩 mailto:sage [04/08/08 16:59 ID:???]: >>970
提案・・・って、まさかとは思うけど顧客に対しての提案？
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
975 名前：＿＿＿ mailto:sage [04/08/11 15:42 ID:???]: >>970
ひでー会社だな。２ちゃんをなんだと思ってるんだ？
会社名晒してみれ
976 名前：anonymous@ FLH1Aak056.stm.mesh.ad.jp mailto:sage [04/08/15 00:49 ID:???]: 次スレよろしく
977 名前：_ mailto:sage [04/08/15 11:09 ID:???]: 前スレもまだ残っているんですが…

そういえばルーター出てこなくなったなあ。
978 名前：... mailto:sage [04/08/17 20:24 ID:???]: R!T!X! R!T!X!
979 名前： mailto:sage [04/08/18 10:10 ID:???]: RTX1500ﾏﾀﾞｰ?　ﾁﾝﾁﾝ
980 名前：鳩 mailto:sage [04/08/18 11:34 ID:???]: >>979
海外ではRTX1500だけでなくRTX750も出てますね！(・∀・)

www.graco.com/Internet/T_PDB.nsf/SearchView/TexSprayRTX1500
www.graco.com/Internet/T_PDB.nsf/SearchView/TexSprayRTX7501000
981 名前： mailto:sage [04/08/18 13:21 ID:???]: >>980
ヽ(`Д´)ﾉ
982 名前：鳩 mailto:sage [04/08/18 14:57 ID:???]: >>981
ヽ(`Д´)八(・∀・ )ノｺﾞﾒﾝﾁｬｲ
983 名前：鳩 mailto:sage [04/08/18 14:59 ID:???]: どなたかスレ立ておながいしますです。
984 名前：anonymous@ ad-0489.tokyo.ip-link.ne.jp mailto:sage [04/08/18 21:39 ID:???]: 次スレ、立てました。

YAMAHA業務向けルータ運用構築スレッドPart3
pc5.2ch.net/test/read.cgi/network/1092832668/

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef