構成はこういった形で、IPv4の上にIPv6のトンネルを張ります。詳しくは日立純正のマニュアル 構成定義ガイド CLI 編 -CLI タイプ1 階層入 力形式の562ページを見てください。
やったこと
GR2k1とGR2k2のl0(line0)にIPv4アドレスとトンネル用のリンクローカルアドレスを振る
その上にトンネルを張る
GR2k1とGR2k2のl1(Line1)にIPv6を振る
ルーティング
GR-1(config)# line l0 ethernet 2/0
[line l0]
GR-1(config)# ip-address 192.168.1.1/24
[line l0]
!GR-1(config)# ip-address fe80::1/64
[line l0]
!GR-1(config)# save
GR-1(config)# tunnel six-o-4 192.168.1.1 remote 192.168.1.2
[tunnel six-o-4]
GR-1(config)# ip fe80::1 destination_ip_address fe80::2
[tunnel six-o-4]
!GR-1(config)# save
GR-1(config)# line l1 ethernet 2/1
[line l1]
GR-1(config)# ip-address 1::1/64
[line l1]
!GR-1(config)# save
GR-1(config)# static ip6-default interface six-o-4
IPを置き換えただけのものをGR2でもやります。まあ本当は1::1とか使ってはいけないんですけどね。外に出ないのでまあいいか、とw
RAは使わずに自分でIPを固定し、デフォゲを1::1と2::1に向けたらそれぞれ相手のサブネットにトレースしてみます。今回は両方ともWindowsです。
C:\Users\owner>tracert -d 2::2
2::2 へのルートをトレースしています。経由するホップ数は最大 30 です
1 <1 ms <1 ms <1 ms 1::1
2 1 ms 1 ms 1 ms 2::1
3 1 ms 2 ms 2 ms 2::2
トレースを完了しました。
相手に通信できることを確認したらいつも通りiperfです。iperfのサーバー側ではiperf -s -Vとやることによりv6でのリッスンを有効にします。
ちなみに事前にリンクローカルでv6を試したときはこうなりました。
C:\Users\owner>C:\Users\owner\Desktop\jperf-2.0.2\bin\iperf.exe -c fe80::3 -w 128K
-i 1 -V
------------------------------------------------------------
Client connecting to 1::3, TCP port 5001
TCP window size: 128 KByte
------------------------------------------------------------
[156] local 1::2 port 52539 connected with 1::3 port 5001
[ ID] Interval Transfer Bandwidth
[156] 0.0- 1.0 sec 106 MBytes 890 Mbits/sec
[156] 1.0- 2.0 sec 107 MBytes 897 Mbits/sec
[156] 2.0- 3.0 sec 106 MBytes 887 Mbits/sec
[156] 3.0- 4.0 sec 106 MBytes 887 Mbits/sec
[156] 4.0- 5.0 sec 106 MBytes 885 Mbits/sec
[156] 5.0- 6.0 sec 107 MBytes 901 Mbits/sec
[156] 6.0- 7.0 sec 107 MBytes 898 Mbits/sec
[156] 7.0- 8.0 sec 104 MBytes 874 Mbits/sec
[156] 8.0- 9.0 sec 106 MBytes 888 Mbits/sec
[156] 9.0-10.0 sec 107 MBytes 901 Mbits/sec
[156] 0.0-10.0 sec 1.04 GBytes 891 Mbits/sec
トンネル(100Mbps)を超えて同じくWindowサイズ128Kでやった結果
C:\Users\owner>C:\Users\owner\Desktop\jperf-2.0.2\bin\iperf.exe -c 2::2 -w 128K
-i 1 -V
------------------------------------------------------------
Client connecting to 2::2, TCP port 5001
TCP window size: 128 KByte
------------------------------------------------------------
[156] local 1::2 port 52307 connected with 2::2 port 5001
[ ID] Interval Transfer Bandwidth
[156] 0.0- 1.0 sec 1.98 MBytes 16.6 Mbits/sec
[156] 1.0- 2.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 2.0- 3.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 3.0- 4.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 4.0- 5.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 5.0- 6.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 6.0- 7.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 7.0- 8.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 8.0- 9.0 sec 3.15 MBytes 26.4 Mbits/sec
[156] 9.0-10.0 sec 3.16 MBytes 26.5 Mbits/sec
[156] 0.0-10.0 sec 30.4 MBytes 25.4 Mbits/sec
Windowサイズ18Kでやった結果
C:\Users\owner>C:\Users\owner\Desktop\jperf-2.0.2\bin\iperf.exe -c 2::2 -w 18K -
i 1 -V
------------------------------------------------------------
Client connecting to 2::2, TCP port 5001
TCP window size: 18.0 KByte
------------------------------------------------------------
[156] local 1::2 port 52285 connected with 2::2 port 5001
[ ID] Interval Transfer Bandwidth
[156] 0.0- 1.0 sec 2.99 MBytes 25.1 Mbits/sec
[156] 1.0- 2.0 sec 2.99 MBytes 25.1 Mbits/sec
[156] 2.0- 3.0 sec 3.00 MBytes 25.2 Mbits/sec
[156] 3.0- 4.0 sec 2.99 MBytes 25.1 Mbits/sec
[156] 4.0- 5.0 sec 3.03 MBytes 25.4 Mbits/sec
[156] 5.0- 6.0 sec 2.98 MBytes 25.0 Mbits/sec
[156] 6.0- 7.0 sec 3.00 MBytes 25.2 Mbits/sec
[156] 7.0- 8.0 sec 2.97 MBytes 24.9 Mbits/sec
[156] 8.0- 9.0 sec 2.99 MBytes 25.1 Mbits/sec
[156] 9.0-10.0 sec 2.98 MBytes 25.0 Mbits/sec
[156] 0.0-10.0 sec 29.9 MBytes 25.1 Mbits/sec
やっぱり駄目でしたね。というか高速な処理には6BH以上でrmボードを増設しろと書いてあるので、やはり2Bでは駄目な様子です。
ちなみに1つのルーターでのスタティックルートのみでiperfしたときのの結果です。
こんな図です。
C:\Users\owner>C:\Users\owner\Desktop\jperf-2.0.2\bin\iperf.exe -c 2::2 -w 18K -i 1 -V
------------------------------------------------------------
Client connecting to 2::2, TCP port 5001
TCP window size: 18.0 KByte
------------------------------------------------------------
[156] local 1::2 port 52972 connected with 2::2 port 5001
[ ID] Interval Transfer Bandwidth
[156] 0.0- 1.0 sec 11.1 MBytes 93.3 Mbits/sec
[156] 1.0- 2.0 sec 11.1 MBytes 93.3 Mbits/sec
[156] 2.0- 3.0 sec 11.1 MBytes 93.3 Mbits/sec
[156] 3.0- 4.0 sec 11.1 MBytes 93.2 Mbits/sec
[156] 4.0- 5.0 sec 11.1 MBytes 93.1 Mbits/sec
[156] 5.0- 6.0 sec 11.1 MBytes 93.2 Mbits/sec
[156] 6.0- 7.0 sec 11.1 MBytes 93.3 Mbits/sec
[156] 7.0- 8.0 sec 11.1 MBytes 93.3 Mbits/sec
[156] 8.0- 9.0 sec 11.1 MBytes 93.0 Mbits/sec
[156] 9.0-10.0 sec 10.9 MBytes 91.8 Mbits/sec
[156] 0.0-10.0 sec 111 MBytes 93.0 Mbits/sec
C:\Users\owner>C:\Users\owner\Desktop\jperf-2.0.2\bin\iperf.exe -c 2::2 -w 128K
-i 1 -V
------------------------------------------------------------
Client connecting to 2::2, TCP port 5001
TCP window size: 128 KByte
------------------------------------------------------------
[156] local 1::2 port 52976 connected with 2::2 port 5001
[ ID] Interval Transfer Bandwidth
[156] 0.0- 1.0 sec 7.84 MBytes 65.8 Mbits/sec
[156] 1.0- 2.0 sec 11.1 MBytes 93.5 Mbits/sec
[156] 2.0- 3.0 sec 11.1 MBytes 93.5 Mbits/sec
[156] 3.0- 4.0 sec 10.7 MBytes 89.8 Mbits/sec
[156] 4.0- 5.0 sec 11.2 MBytes 93.7 Mbits/sec
[156] 5.0- 6.0 sec 11.1 MBytes 93.3 Mbits/sec
[156] 6.0- 7.0 sec 11.1 MBytes 93.5 Mbits/sec
[156] 7.0- 8.0 sec 11.1 MBytes 93.4 Mbits/sec
[156] 8.0- 9.0 sec 11.1 MBytes 93.5 Mbits/sec
[156] 9.0-10.0 sec 11.1 MBytes 93.4 Mbits/sec
[156] 0.0-10.0 sec 108 MBytes 90.2 Mbits/sec
結論;やっぱりトンネルとかNAPTとかそういったソフトウェアの処理をかませてはいけない
惜しいルーターなんですけどねえ。。。。
[ コメントを書く ] ( 1693 回表示 ) | このエントリーのURL | ( 3 / 1835 ) | ツイート
IPv6Studyお疲れ様でした。今回の勉強会はかなり有意義でした。Twitterで一気につぶやいてしまったのでIPv6Studyに無関係なフォロワーさんのTLを埋めてしまっていたら申し訳なかったです。
さて、勉強会に行っただけで何もしないのでは意味がないので、IPv6の大御所である難波さんのLTで発表されたHurricane ElectricのTunnelを使ったv6-Over-v4トンネルを試してみました。
LTで使用された資料はこちら
http://negi.ipv6labs.jp/data/ipv6study/ ... 110723.pdf
概念などは元の資料を見て頂くことにして、資料ではRTX-1000が使われていますが、自分が持っているのはIX3010とIX2015になるのでこいつでできないかどうか試してみました。
結論から言うと簡単にできました。そのときに使ったConfigです。
interface Tunnel1.0
tunnel mode 6-over-4
tunnel destination 216.218.221.42
tunnel source 自分のIPv4
no ip address
ipv6 enable
ipv6 address HEから割り当てて貰ったIPv6/64
no shutdown
exit
ipv6 route default Tunnel1.0
これに関しては特に説明することはないですね。最初疎通しないと悩んでいたらno shutdownを忘れていたというのはありましたが。
もし実験でNAT下にある箱からIPIPを張る場合はtunnnel sourceを指定してはいけないです。これに気がつくのに結構時間がかかりました。一番上のルーター(IX3010)で
ip napt service static BOXADDR 94
とかやってIPIPプロトコル(プロトコル番号94番)をNAT下にある箱に向けたり色々やってもうまくいかないと悩みましたが、NAT下から接続を開始するときに関しては特に上のルーターで何かをする必要はないです。Firewallとかでパケットがブロックされてたら終わりですが。
このままではIPv6の名前逆引きが出来ないので、
ipv6 name-server 2001:4860:4860::8888
でv6用のDNSを追加します。HEから2001:470:20::2というDNSも提供されているのでこちらでも大丈夫です。
DNSを追加したらみんな大好きnslookupで名前が引けるか確かめます。
IX3010(config)# nslookup www.kame.net
Looking up "www.kame.net" ...Success
DNS Response
Flags : RD RA
Opcode: Standard query
Status: No error occurred
Questions
www.kame.net. ANY IN
Answers
www.kame.net. CNAME IN ttl=84817, orange.kame.net.
orange.kame.net. AAAA IN ttl=84817, 2001:200:dff:fff1:216:3eff:feb1:44d7
orange.kame.net. A IN ttl=84817, 203.178.141.194
これで名前が引ければ外との疎通はとれているので問題ないです。あとはLANインターフェースの 設定です。RAとDHCP6を有効にしてしまうとサブネットにいるマシンが全員いろんなIPを受け取ってアッー!なことになるので実験段階ではこれらを有効にはしません。
しかし僕はここではまりました。ルーターは外部につながっているのに内部のマシンが外に出られないのです。まあその理由がしょぼいのですが。。。
HEに登録するとこういう画面が見られるのですが、僕は何を思ったかこの画像の35の方がアサインされたIPだと思い込んでいて、WANのIPを内部で使おうとしていました。そのせいでサブネット被るからどうしようかなあ内部を/94で切るかなあとか訳のわからないことをしてしまいました。
FFFF:FFFF:35:FFFF::1/64がHE側のルーター(こちら側のルーターのデフォルトルート)で、 FFFF:FFFF:35:FFFF::2/64がこちら側にアサインされるWAN側のIPで、FFFF:FFFF:36:FFFF::/64が自分で好きに使えるIPになると言うのに気がつくのに無駄にあれこれしてしまいました。これに気がついてからはFortigate 100Aでもセッションを張れました。
あとはv4と同じようにipv6 address でアドレスを振ってクライアント側からそのIPにデフォゲを向けて…とやるだけです。
そして最終的に http://www.kame.net のTOPの亀が踊りました。めでたしめでたし。
[ コメントを書く ] ( 1372 回表示 ) | このエントリーのURL | ( 3 / 1897 ) | ツイート
アキバをさまよっていたらまた家にFortigateが増えました。まあ3k円だったのでいいかな、と。アキバに行くと思いもよらないものを買ってしまうので困ります。
さて、これまでも何回かFGTに関してはジャンクで拾ってきているのですが、拾ってきたものに関してはほとんどパスがかかっていなくてadminでログインできていました。しかし今回は珍しくパスがかかっていて、パスワードリセットをかける必要がありました。
元々入っていたOSは2.8で、調べるとUser:mintainer、Pass:bcpbFGシリアル でログインできるとの記載があったので試したところ、確かにその通りログインできました。
その後FortiOSを4にアップデートした後に何となく同じ要領でmaintainerでログインしようとしたらLogin incorrectの文字が。何故?と思って調べるとこんなページが。
http://firewallguru.blogspot.com/2009/0 ... sword.html
Anonymous said...
Just done this on the latest release.
But you do have to power cycle the box and enter the userid immediately the login prompt comes up.
ほう。つまり電源が入ったら即maintainerでログインしないといけないんですね。
実際に試してみたところ、起動から30秒くらいたつとmaintainerでのログインが出来なくなりました。
FG100A login: maintainer
Password: ********************
Welcome !
FG100A# exit
FG100A login: maintainer
Password: ********************
Welcome !
FG100A# exit
FG100A login: maintainer
Password: ********************
Login incorrect
Fortigateを拾ってきて3.x以上のOSが入っていたらパスワードリセットの時に急ぐ必要があるみたいですね。
[ 1 コメント ] ( 1614 回表示 ) | このエントリーのURL | ( 3 / 1897 ) | ツイート
一枚300円だったからついかっとなって買った
後悔はしていない
中身は普通の1000MT/QPです。
とりあえずPCI-Xで繋いでiperfを試してみたところ、各ポートで1Gbps近い通信が出来たのでおそらく問題ないのだと思います。1枚のカードをテストするのに4回ポートを切り替えないといけないという。
ひどいw
[ コメントを書く ] ( 1397 回表示 ) | このエントリーのURL | ( 3 / 1846 ) | ツイート
以前にRegzaのDLNAやCIFSアクセスにFX-DS540-APPを使っているというエントリを書きましたが、ちょっと前に地デジに対応した関係でCIFS上のフォルダに番組を録画できないかと父から言われ実験してみたところ、やはり54Mpbsの回線では帯域が足りず途中でコマ送りになってしまいました。
有線で繋げばいいじゃないかと思うかもしれないですが以前にも触れたれたように以下の問題から有線での使用が難しいのでWLANのブリッジを使う必要があるのです。
・自分用のサブネットと家族用のサブネットがある
・それらは有線でつながっているもののサブネットが違う
・RegzaはCIFSアクセスにNetBEUIを使用しているのでテレビからのブロードキャストが届く範囲(同じサブネット)にNASがある必要がある
・テレビがあるのは1階で鯖があるのは2階
・1階と2階を更に有線で繋ぐにはLAN配線用ダクトが飽和してしまっているので難しい
・家族サブネットに常時稼動のPC-NAS置こうとしたら反対をうけた
これらの問題を解決するためにWLANブリッジを新しくしたいと思っていたところに丁度アキバに中古で2kで転がってたので色々買ってみました。4つあるのはブリッジで無線化したい離島があるからです。
新しいものを手に入れると試したくなるのが人間というものなので色々試してみました。
前置きが長くなりましたが今回はMZK-WG300NX とMZK-W300NH3レビューをしてみます。こんなルーターで大丈夫かと言わざるをえない、Planexのルーターは果たして爆発せずに使えるのか。
もっと読む...
[ コメントを書く ] ( 466 回表示 ) | このエントリーのURL | ( 3 / 297 ) | ツイート
<<最初へ <戻る | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 進む> 最後へ>>