Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ FAQ
IPv4、NAT、DHCPに関するFAQ
装置仕様 - IPv4
装置仕様 - NAT/NAPT
装置仕様 - DHCP
Q.1-1 スタティックルートは最大何個登録できますか?
「UNIVERGE IXシリーズ」のスタティックルートの最大登録数は以下表の通りです。
| 装置 | 最大登録数 (ver.8.0以降) |
|---|---|
| IX2106 | 1,024 |
| IX2107 | 1,024 |
| IX2215 | 1,024 |
| IX2235 | 2,048 |
| IX2310 | 2,048 |
| IX3315 | 10,000 |
- ※
Q.1-2 セカンダリアドレスとは何ですか? また、使い方に注意すべき点はありますか?
「UNIVERGE IXシリーズ」では、ルータのインタフェースに付与するアドレスとして、通常使用する『プライマリアドレス』とは別に『セカンダリアドレス』を設定することが可能です。セカンダリアドレスは、プライマリアドレスとは別のアドレスを使ってルータの保守(Ping、Telnet)を行いたい場合や、ネットワーク構成の変更でルータに2種類のデフォルトゲートウェイ・アドレス設定が必要な場合に使用します。
セカンダリアドレスを使用する場合は、セカンダリアドレスを登録するインタフェースで以下のコマンドを実行してください。
ip address x.x.x.x/yy secondary
なお、セカンダリアドレスには利用可能な機能に制限があります。詳細は「機能説明書」をご参照ください。
Q.1-3 プロキシARPに対応していますか?
Q.1-4 TCP MSS値の変換機能に対応していますか?
対応しています。
書き換え対象のTCPパケットが通過するインタフェース(送信側/受信側どちらでも可)で、以下のコマンドを設定します。
ip tcp adjust-mss [MSS値 or auto]
autoに設定した場合、そのインタフェースのMTU長から 40byte(IPヘッダ長とTCPヘッダ長の和)を引いた値にMSS値を書き換えます。
Q.1-5 ダイレクトブロードキャストパケット(「192.168.1.255」のように、アドレスのホスト部が全て「1」のパケット)を受信したとき、どのように処理しますか?
そのダイレクトブロードキャストパケットの示す宛先アドレスが、ルータと離れた場所にあるネットワークを示している場合、ユニキャストアドレスと同様に転送処理を行います。
一方、ルータの属するLANネットワークが宛先の場合、デフォルトではそのパケットを廃棄しますが、以下のコマンドを実行することにより、そのパケットをブロードキャストすることも可能です。
ip directed-broadcast
本機能の設定例・使用例については、「設定事例集」をご参照ください。
Q.1-6 ICMP Redirectメッセージの送出を抑止するコマンドを教えてください。
Redirectメッセージを送信したくないインタフェースで以下のコマンドを設定してください。
no ip redirects
Q.1-7 ルーティングテーブルの内容を確認するコマンドと、ルーティングテーブルの最大エントリ数を教えてください。
ルーティングテーブルの確認には以下のコマンドを使用します。
show ip route
最大エントリ数は4,096経路(IX2106/IX2107/IX2215)、8,192経路(IX2235/IX2310)、20,000経路(IX3110)、100,000経路(IX3315)となっております。
デフォルトの経路格納数はIX3315を除き2,048経路となっており、ip max-routeコマンドで拡張が可能です。
Q.1-8 イコールコストマルチパスに対応していますか?
対応しています。パケットの振り分け方式には、パケット毎(per-packet)とフロー毎(per-flow)の 2種類があり、デフォルトの動作はper-packetです。
変更する場合は、グローバルコンフィグレーションモードで、以下のコマンドを実行します。
ip multipath [per-packet|per-flow]
本機能の設定例・使用例については、「設定事例集」をご参照ください。
Q.1-9 本装置と同じIPアドレスを使用しているホストが接続されていないか、確認する方法はありますか?
「show ip interface」コマンドにより、本装置と同じIPアドレスを使用しているホストの情報(MACアドレス)と、そのホストの存在を検知した日時を確認することができます。
Router(config)# show ip interface
Interface GigaEthernet0.0 is up, line protocol is up
Internet address is 192.168.0.254/24
Broadcast address is 255.255.255.255
Address determined by config
Duplicate address detected
Tuesday, 28 August 2012 01:51:32 +09 00
IP address is 192.168.0.254
Hardware address is **:**:**:**:**:**
[以下省略]
また、ロギングの設定(logging subsystem arp warn(*))により、検知時にログを出力させることも可能です。
本機能はソフトウェアver.8.1以降からサポートしています。
- ※warnレベルの情報を全て収集する「logging subsystem all warn」でも可。
Q.1-10 現在のルートキャッシュの情報をコマンドで確認できますか?
「show ip cache」コマンドにより簡易表示、「show ip cache verbose」コマンドにより詳細表示が可能です。
なお、転送性能の低下が発生していて、かつ、統計情報上「overflows」の数が大量に増加している場合、ルータ上を流れるフローの数がルートキャッシュ数を上回っており、スローパス転送が多発していることを示しています。
その場合には、ルートキャッシュのサイズをコマンド(※)で調整します。
ip cache-size [cache-size]
- ※設定の反映には装置の再起動が必要です。
Q.1-11 機能説明書を見ると「セカンダリアドレスはping/telnetにのみ対応」とありますが、何故pingとtelnetのみに限定されているのでしょうか?詳しく教えて下さい。
セカンダリアドレスを端末のデフォルトゲートウェイにすることは可能です。
同様に、隣接ルータに Staticルートを設定するときに、そのネクストホップアドレスとしてセカンダリアドレスを使用することもできます。
但し、セカンダリアドレスを使用して動作させることが可能なルータアプリ ケーションは一部に限定されますので、注意が必要です。
- ■セカンダリアドレスで動作可能なアプリケーション
- ping
- telnet
- NAT/NAPT
- ■セカンダリアドレスで動作不可能なアプリケーション
- ルーティングプロトコル(※)
- VRRP
- IPsec
- その他
- ※セカンダリアドレスを送信元アドレスとして UpdateパケットやHelloパケットの送信を行うことはできません。
プライマリアドレスを使って、セカンダリアドレスの経路情報を他ルータに配信することは可能です。
Q.1-12 本装置がICMPエラーメッセージ(Destination Unreachable:Host Unreachable)送信しています。原因と、エラーメッセージの送信を止める方法を教えてください。
ARPによるMACアドレスの解決ができないホスト宛のパケットが発生しています。そのホストが実在するかどうか確認し、実在しない場合は送信元の動作を確認してください。
常にICMPエラーメッセージの送信を抑制したい場合は、パケットフィルタリングの機能でICMPエラーメッセージを廃棄する設定を追加してください。
Q.2-1 NATとNAPTについて教えてください。
NATは、内部ネットワークで使用しているプライベートIPv4アドレスを、外部ネットワークアクセス用にグローバルIPv4アドレスに変換します。
NAPTは、内部ネットワークで使用しているプライベートIPv4アドレスとトランスポート層のポート番号から、外部ネットワークアクセス用のグローバルIPv4アドレスとトランスポート層のポート番号に変換します。
- 【複数の端末が外部ネットワークへアクセスを行う場合】
- NAT:同時アクセスする端末の数だけグローバルアドレスが必要
- NAPT:グローバルアドレス1つで、変換可能なポート数※に相当する端末(TCP/UDP通信)が同時アクセス可能
本機能の設定例・使用例については、「設定事例集」をご参照ください。
- ※
Q.2-2 NAPTの最大エントリ数を教えてください。
「IXシリーズ」のNAPTの最大エントリ数(キャッシュサイズ)は以下表の通りです。
| 最大エントリ数 | デフォルト値 | |
|---|---|---|
|
IX2106/IX2107/IX2215/ |
250,000 | 65,535 |
| IX3315 | 500,000 | 65,535 |
- ※ソフトウェアバージョンがver.9.5以下の場合、IX2106/IX2215の最大エントリ数は「65,535」です。
NAPTの最大エントリ数を変更する場合は、NATと同様に以下のコマンドを実行します。
ip napt translation max-entries [エントリ数]
Q.2-3 静的NATの登録は最大何個までできますか?
「IXシリーズ」の静的NATの最大登録数と設定数は下表の通りです。
| 装置 | 最大登録数 | 設定数 |
|---|---|---|
| ver.9.1以降(※) | ver.9.1以降(※) | |
| IX2106 | 2,048 | 256 |
| IX2107 | 2,048 | 256 |
| IX2215 | 2,048 | 1,024 |
| IX2235 | 8,192 | 2,048 |
| IX2310 | 8,192 | 2,048 |
| IX3315 | 16,384 | 2,048 |
- ※ver.9.1未満での登録数は「機能説明書」をご参照ください。
- ※「設定数」は静的NATコマンドの行数、「登録数」は静的NATの変換ルールの数を示します。
例えば、ネットワーク単位の静的NATで、マスク長を24にした場合、設定数は「1」ですが、登録数は「256」になります。
静的NATは、内側ネットワークと外側ネットワークの境界のインタフェースで、以下のコマンドを実行します。
ip nat static [内部アドレス] [外部アドレス]
ホストアドレス単位ではなく、ネットワークアドレス単位で一括変換する場合は、以下のコマンドを実行します。
ip nat static network [内部アドレス/マスク] [外部アドレス/マスク]
Q.2-4 NAT/NAPTで対応しているアプリケーションの種類を教えてください。
NAT/NAPTでアドレス変換を行った場合、パケットの中に記述されているアドレスを使用するようなアプリケーションは動作しません。
また、外部から不定のポートに対して接続が開始されるアプリケーションやプロトコルも使用できません。
「IXシリーズ」で対応しているアプリケーション/プロトコルは以下の通りです。
- FTP
- TFTP
- ICMP
以下のような、ペイロードにIPv4アドレスが含まれないプロトコルに関しては、通常のNAT/NAPTの機能として、プロトコル番号で設定することで対応が可能です。
- Telnet
- SSH
- SMTP
- POP3
- NTP
- HTTP等
以下の特殊プロトコルについては対応しておりません。
- SIP
- H.323
- 他、ペイロードにIPv4アドレス情報が含まれるプロトコル
Q.2-5 ホスト毎に、利用可能なNAPTのエントリ数を制限する設定は可能ですか? また、その利用状況を確認する表示コマンドはありますか?
ホスト毎に利用可能なNAPTエントリ数を制限することは可能です。
- 設定例(ホスト毎の利用可能数を1,000個に制限する)
ip napt translation max-entries per-address 1000
- 表示コマンド
show ip napt record
Q.2-6 NATは、静的な変換と動的な変換の端末を混在できますか?
可能です。
端末のアドレスに応じて、指定した外側アドレスに変換する設定(静的NAT)と、プールされているアドレスに動的に変換する設定(動的NAT)の混在が可能です。
Q.2-7 NATを使用して、宛先IPアドレスと送信元IPアドレスの両方を変換することはできますか?
可能です。
アドレス変換対象パケットを受信するインタフェースと、送信するインタフェースの両方にNAT設定を行います。
受信インタフェースでは宛先IPアドレスを、送信インタフェースでは送信元IPアドレスを変換します。
- 設定例
(GE0.0で受信しGE1.0から送信するパケットに対して、宛先IPアドレスを「192.168.0.200」⇒「10.10.10.200」に、送信元アドレスを「192.168.0.100」⇒「10.10.10.100」に変換)
interface GigaEthernet0.0
ip address 192.168.0.254/24
ip nat enable
ip nat static 10.10.10.200 192.168.0.200
no shutdown
!
interface GigaEthernet1.0
ip address 10.10.10.254/24
ip nat enable
ip nat static 192.168.0.100 10.10.10.100
no shutdown
Q.2-8 NATとNAPTを併用することはできますか?
併用可能です。
NATの方が優先して処理されます。
詳細については、マニュアルをご確認ください。
UNIVERGE IXシリーズ 機能説明書
2.19.5 パケット評価フロー
Q.2-9 NAPTを設定しているポートに対して、Ping疎通確認はできますか?
静的NAPT設定を行うことで可能です。
通常NAPT機能は内→外方向へのアドレス変換履歴(NAPTキャッシュ)が
ない限り外→内方向への通信は全てNAPTによりブロックするという
簡易的なファイアウォールとしても動作します。
一部の通信はNAPTキャッシュがない状態でも外→内方向へ通信を
許可したい場合は、静的NAPT設定を利用します。
【設定例】
interface GigaEthernet0.0
ip address 10.10.10.254/24
ip napt enable
ip napt static GigaEthernet0.0 1
Q.2-10 IXルータのアドレスにアクセスする際、ポート番号毎に異なる IXルータ配下のサーバへアクセスさせることはできますか?
NAPT機能を利用することにより可能です。
【設定例1】
10.10.10.254:11111のTCPパケットは192.168.1.1:11111に転送
10.10.10.254:11112のTCPパケットは192.168.1.2:11112に転送
10.10.10.254:11113のTCPパケットは192.168.1.3:11113に転送
interface GigaEthernet0.0
ip address 10.10.10.254/24
ip napt enable
ip napt static 192.168.1.1 tcp 11111
ip napt static 192.168.1.2 tcp 11112
ip napt static 192.168.1.3 tcp 11113
!
interface GigaEthernet2.0
ip address 192.168.1.254/24
宛先ポート番号もあわせて変換したい場合は、"ip napt service"
コマンドを使用します。
【設定例2】
10.10.10.254:11111宛てのTCPパケットは192.168.1.1:22221に転送
10.10.10.254:11112宛てのTCPパケットは192.168.1.2:22222に転送
10.10.10.254:11113宛てのTCPパケットは192.168.1.3:22223に転送
interface GigaEthernet0.0
ip address 10.10.10.254/24
ip napt enable
ip napt service napt1 192.168.1.1 22221 tcp 11111
ip napt service napt2 192.168.1.2 22222 tcp 11112
ip napt service napt3 192.168.1.3 22223 tcp 11113
!
interface GigaEthernet2.0
ip address 192.168.1.254/24
Q.2-11 NAPTとフィルタを併用する際、フィルタで指定する宛先IPアドレスや 送信元IPアドレスはどのアドレスになりますか?
IXルータは以下の順番で処理されます。
受信方向:NAPT処理→フィルタ処理
送信方向:フィルタ処理→NAPT処理
そのため、NAPTで変換されるアドレスは考慮せずに元々のIPアドレスで
指定します。
【設定例】
WAN側受信時は宛先が192.168.1.0/24のみ許可
WAN側送信時は送信元が192.168.1.0/24のみ許可
ip access-list wan-in-flt permit ip src any dest 192.168.1.0/24
ip access-list wan-out-flt permit ip src 192.168.1.0/24 dest any
!
interface GigaEthernet0.0
ip address 10.10.10.254/24
ip napt enable
ip filter wan-in-flt 10 in
ip filter wan-out-flt 10 out
!
interface GigaEthernet2.0
ip address 192.168.1.254/24
詳細については、マニュアルをご確認ください。
UNIVERGE IXシリーズ 機能説明書
12章 パケット評価フロー
Q.2-12 NAPTに関する設定変更を行った場合、通信に影響はありますか?
影響がある場合があります。
直接NAPTに関する設定変更を行った場合、NAPTキャッシュが
クリアされるためタイミングによっては戻りの通信がNAPT
によりブロックされてしまう可能性があります。
間接的にNAPTと関連するアクセスリストの設定変更では、
NAPTキャッシュはクリアされません。
ただし、設定変更前のNAPTキャッシュが残ってしまう可能性が
あるため、対象の通信がNAPTテーブルからキャッシュが消える
まで通信を止めるか、"clear ip napt translation"による
NAPTキャッシュのクリアが必要になります。
NAPTテーブルに情報が残り続ける時間はプロトコルや設定に
よって異なります。
デフォルトではTCPの900秒が最大です。
そのため、基本的に通信に与える影響の少ないタイミングで
設定変更いただくことを推奨します。
Q.3-1 CATVインターネットなどの、IPアドレスをDHCPを使って払い出す回線サービスに対応していますか?
Q.3-2 DHCPサーバとして使用したときに、同時にアドレスを割り当てることができる最大のホスト数を教えてください。
Q.3-5「DHCPサーバ機能を使用して、最大何個のIPアドレスを払い出すことができますか?」をご参照ください。
Q.3-3 DHCPサーバ機能で指定したいオプションがあるのですが、コマンドが見当たりません。
「IXシリーズ」では、DHCPメッセージに含まれる以下フィールドの値をコマンドにより指定可能です。
例えば、シンクライアントPCをDHCPクライアントとして接続するときは、next-serverコマンドでTFTPサーバの名前を、bootfileコマンドでブート・ファイルの名前を登録します。
| フィールド | 対応コマンド | 概要 |
|---|---|---|
| siadder | next-server | オプションのサーバホスト名 |
| file | bootfile | ブート・ファイル名 |
また、幾つかのオプションフィールドの値もコマンドにより指定が可能です。
| タグ値 | 対応コマンド | 概要 |
|---|---|---|
| 1 | subnet-mask | サブネットマスクアドレス |
| 3 | default-gateway | デフォルトゲートウェイ |
| 6 | dns-server | DNSサーバアドレス |
| 15 | domain-name | DNSドメイン名 |
| 44 | netbios-name-server | NETBIOSネームサーバ(WINS)アドレス |
| 51 | lease-time | IPアドレスリース期間 |
この 6種類に含まれない DHCPオプション(NetBios Node Typeなど)を設定 したい場合には、optionコマンドを使って設定します。
例えば、「NetBIOS Node Type」を「B-node」に設定する場合は、DHCPプロファイルモードで次のコマンドを設定してください。
option 46 hex 01
[参考] NetBIOS Node Type (タグ値「46」)
| 値(hex)01 | B-node |
|---|---|
| 値(hex)02 | P-node |
| 値(hex)04 | M-node |
| 値(hex)08 | H-node |
Q.3-4 本装置がDHCPサーバとして動作時、リース中のアドレス情報を確認するコマンドはありますか?
「show ip dhcp profile」コマンドで、DHCPで払い出しているIPアドレスをプロファイル毎に表示することができます。
Router(config)# show ip dhcp profile
DHCP profile test1
Leased to 1 clients
Linklocal network on GigaEthernet1:1.0
Assignable range is 192.168.1.1 - 192.168.1.254
Subnet mask is 255.255.255.0
Default gateway is 192.168.1.254
Dynamic assignments
IP Address MAC Address State BoundTime LeaseTime
192.168.1.1 <MACADDR> Bound 344 14400
DHCP profile test2
Leased to 1 clients
Linklocal network on GigaEthernet1:2.0
Assignable range is 192.168.2.1 - 192.168.2.254
Ver.8.1以降で「show ip dhcp lease」コマンドにより、DHCPによるアドレスリース情報を全プロファイル分まとめて表示することができます。
Router(config)# show ip dhcp lease
Codes : D - Dynamic assignments, F - Fixed assignments
IP Address MAC Address BoundTime LeaseTime State Profile
D 192.168.1.1 <MACADDR> 163 14400 Bound test1
D 192.168.2.1 <MACADDR> 86 14400 Bound test2
D 192.168.3.1 <MACADDR> 78 14400 Bound test3
D 192.168.4.1 <MACADDR> 62 14400 Bound test4
Q.3-5 DHCPサーバ機能を使用して、最大何個のIPアドレスを払い出すことができますか?
IXルータでは、以下表に示す個数までIPアドレスの払い出しが可能です。
| 装置 | IPアドレス払い出し可能数 |
|---|---|
| ver.9.1以降(※) | |
| IX2106 | 512 |
| IX2107 | 512 |
| IX2215 | 512 |
| IX2235 | 512 |
| IX2310 | 512 |
| IX3315 | 1,024 |
- ※ver.9.1未満での仕様値は「機能説明書」をご参照ください。
- ※fixed-assignmentコマンドでMACアドレス毎に割り当てるIPアドレスを固定設定することも可能です。登録可能数はバージョンに関わらず最大32です。
Q.3-6 SW-HUBのポート毎にDHCP設定は可能でしょうか?
SW-HUBをポートベースVLANで分割し、VLAN毎にDHCPサーバ機能を動作させることができます。ポートベースVLANを設定することにより、SW-HUBポート毎にDHCP機能を有効/無効に設定することが可能です。
Q.3-7 端末固定でIPアドレスを払い出す方法を教えてください。
以下のように"fixed-assignment"を指定することで、
指定したMACアドレス(xx:xx:xx:xx:xx:xxやyy:yy:yy:yy:yy:yy)に
固定のIPアドレスを割り当てることができます。
ip dhcp profile [DHCPサーバプロファイル名]
fixed-assignment 10.0.0.2 xx:xx:xx:xx:xx:xx
fixed-assignment 10.0.0.3 yy:yy:yy:yy:yy:yy
資料請求・お問い合わせ