$Id: ix2015.html,v 1.6 2008-09-08 01:46:23+09 taka Exp $

NEC IX2015

ひょんな事から NEC UNIVERGE IX2015 を入手（正確には借り受け）できたので、インターネット接続ルータとして使用している。最近はYahoo!オークションでどこぞの機関の棚ずれ品と思しきものが安価に入手できるので別途購入した。

メリット
- RTX1100と比べ圧倒的に速い
- 静か(電源を含め機械部分が皆無のため無音)
- コマンドが cisco 風で分かりやすい
デメリット
- ファームウェア更新が一般に配布されていない
- 新品購入時に販売店を通じてNECの営業担当に誓約書を提出し, ファームウェアダウンロードサイトの URI/ID/Password を譲り受ける
- コマンドラインインターフェースがちょっとだけ違う (CTRL-U が使えないのは不便)

設定

ISP からは固定でアドレスブロックを割り当てられている IP unnumbered での接続
NAPT の類いは特になし
NetBIOS 系のフィルタ、始点アドレス偽造関係をフィルタのみ
802.1Q TaggedVLAN 対応スイッチと接続

今後の予定：研究中

Tagged VLAN スイッチと接続したセグメントからの NAPT

設定事例集(3-5)にあるやり方では IP unnumbered と共存しない。(全てNAPTされてしまう)

別 ISP と契約して PPPoE をもう一本張る
特定ディスティネーションポートあて通信は NAPT して第2ISP側に振る
NAPT して第2ISP側をデフォルトゲートウェイとするインターフェースを作る。来客/online game用


! NEC Portable Internetwork Core Operating System Software
! IX Series IX2010 (magellan-sec) Software, Version 8.1.15, RELEASE SOFTWARE
! Compiled Mar 10-Mon-2008 13:11:22 JST #1
! Current time Aug 03-Sun-2008 04:52:31 JST
!
timezone +09 00
!
syslog ip host 218.219.x.y
!
boot entry flash
boot entry 218.219.x.y ix2010-boot-20.2-gate-ms-8.1.15.rap 0.0.0.0 10
!
ntp server 218.219.x.y
ntp interval 3600
!
logging buffered 4096
logging subsystem all error
logging timestamp timeofday
!
ip route default FastEthernet0/1.1
ip access-list all-pass permit ip src any dest any
ip access-list mynetwork deny ip src 218.219.x.y/29 dest any
ip access-list nbt-block deny tcp src any sport any dest any dport eq 137
ip access-list nbt-block deny udp src any sport any dest any dport eq 137
ip access-list nbt-block deny udp src any sport any dest any dport eq 138
ip access-list nbt-block deny tcp src any sport any dest any dport eq 139
ip access-list nbt-block deny tcp src any sport any dest any dport eq 445
ip access-list nbt-block deny udp src any sport any dest any dport eq 445
ip access-list private-10 permit ip src 192.168.10.0/24 dest any
ip access-list private-20 permit ip src 192.168.20.0/24 dest any
ip access-list specialuse deny ip src 0.0.0.0/8 dest any
ip access-list specialuse deny ip src 10.0.0.0/8 dest any
ip access-list specialuse deny ip src 172.16.0.0/12 dest any
ip access-list specialuse deny ip src 192.168.0.0/16 dest any
ip access-list specialuse deny ip src 127.0.0.0/8 dest any
ip access-list specialuse deny ip src 169.254.0.0/16 dest any
ip access-list specialuse deny ip src 192.0.2.0/24 dest any
ip access-list specialuse deny ip src 224.0.0.0/3 dest any
ip access-list specialuse deny ip src 198.18.0.0/15 dest any
ip filter forced-reassembly
ip ufs-cache enable
!
snmp-agent view private_view 1.3.6.1.4.1.119
snmp-agent ip enable
snmp-agent ip community private view private_view
snmp-agent ip community public
!
ppp profile examplenet
  authentication myname fugahoge@example.jp
  authentication password fugahoge@example.jp PaSsWoRd1
!
device FastEthernet0/0
!
device FastEthernet0/1
!
device FastEthernet1/0
!
device BRI1/0
  isdn switch-type hsd128k
!
interface FastEthernet0/0.0
  no ip address
  shutdown
!
interface FastEthernet0/1.0
  no ip address
  shutdown
!
interface FastEthernet1/0.0
  ip address 218.219.x.y/29
  no shutdown
!
interface BRI1/0.0
  encapsulation ppp
  no auto-connect
  no ip address
  shutdown
!
interface FastEthernet0/0.1
  encapsulation dot1q 10 tpid 8100
  auto-connect
  ip address 192.168.10.254/24
  no shutdown
!
interface FastEthernet0/0.2
  encapsulation dot1q 20 tpid 8100
  auto-connect
  ip address 192.168.20.254/24
  no shutdown
!
interface FastEthernet0/1.1
  encapsulation pppoe
  auto-connect
  ppp binding examplenet
  ip unnumbered FastEthernet1/0.0
  ip mtu 1454
  ip tcp adjust-mss 1414
  ip filter nbt-block 1 in suppress-logging
  ip filter specialuse 2 in
  ip filter mynetwork 3 in
  ip filter all-pass 65000 in suppress-logging
  ip filter nbt-block 1 out suppress-logging
  ip filter specialuse 2 out
  ip filter all-pass 65000 out suppress-logging
  no shutdown
!
interface Loopback0.0
  ip address 127.0.0.1/32
!
interface Null0.0
  no ip address

メモ

シリアルポートの RJ45 のピン配置は Cisco ルータ, ASA互換。Cisco PIX とは非互換。
IEEE802.1Q Tagged VLAN, IEEE802.1X などに関する設定詳細情報は取扱説明書ではなく設定事例集の方にしか記載がない。
802.1Q Tagged VLAN スイッチには ETG2-SHV16Nを使用

参考情報

取扱説明書
設定事例集
JANOG Comment 1003 : xSP のルータにおいて設定を推奨するフィルタの項目について(顧客接続部分編)
LAN側ネットワークをグローバルIPアドレスとプライベートIPアドレスで構成する
上記構成の IX20xx での実現方法

RTXの場合には、グローバルIPアドレスの内の特定一つを NAPT マップ用に使用する(NAT descriptor)、と書いているのに対し、 IX の場合には、numbured + NAPT で接続しつつ自己のグローバルIPアドレスをソースアドレスとするパケットについては NAPT しない、という書き方なのが興味深い。どちらがわかりやすいかといえば RTX であろう

余談

IX2015 は、個人で使用するなら RTX1100, 小規模法人で使用するなら RTX1500 か Cisco1812J あたりが対抗馬となる機械といえるだろう。

借ていたときの借り先は IX2015 を Getplus から購入したとのことだが、冒頭の誓約書など手配はしてくれなかったとのこと。

WelcomePage

高山啓介 taka at magic.uinet.or.jp