実家のルータを変更するために,IX2215と10Gtek ギガビット 光メディアコンバーター 小さいサイズ, マルチモード デュアルLCファイバー 1.25Gb/s 1000Base-SX SFP 付き セット(850nm 550m)をポチる.後々の参考のために価格を書いておく.IX2215(中古本体のみ,メルカリ)は送料・税込で3980円+コンビニ手数料100円.メディコンは送料込で4500円であった(2023/2/20現在).
メディコン
10Gtekのメディコンが到着した.製品裏のシールによると「Model:G0101-SFP-mini」とありその下に型番「A7S2-33-1GX1GT-SFP-mini」とある.
本体
とても小さい.IQOSを2個重ねたくらい.金属製で放熱は大丈夫そう.縦置きしているApresiaの裏側の磁石にうまい具合にくっついている.
SFPモジュール
今回は利用しないが本製品には1000Base-SXのSFPモジュールがささっていた.本体のみ(注文当時在庫なし)の価格と比較するとSXのSFPモジュールって数百円程度なのでびっくりである.数年前見たお菓子のような名前のメーカのプライスリストにはこの百倍程度の数字が印字されていた記憶がある.まそれはさておき,こちらの1000Base-SX SFPのほうは「Test Approval」などという怪しい文字が印刷されているシールが貼られている(だからやすいのか?しらんけど).ApresiaのSFPスロットにさしておこうかと思ったけどなんか怖いのでそっと箱にしまっておく.
ヤフオクで相場をしらべてみたら著名メーカー製でも中古ならこのくらいなのね.
テスト
テストのため自宅の環境で利用してみた.現在の構成は小型ONUをApresiaにつっこんでそこからLANケーブルでIX2215に接続している.ここから小型ONUをメディコンにメディコンとIXのGE0をLANケーブルで接続する.交換して2時間程度経過しているが,特に問題なく利用できている.
参考までに,自宅側の小型ONUの型番は「GE-PON<O>A SFP-ONU<1>S」であった.
IX2215
IXが届いた.2016年生まれでファームウェアバージョンは8.10.11.bだった.
ファームウェアアップデート
前回の経験を活かし電源ケーブルの場所・tftpサーバの起動・ファームウェアのダウンロードなどにほぼ時間を取られることがなかったので,IXが届いてから30分後にはファームウェアのバージョンは10.7.18となっていた.
ファームウェアアップデート後の起動画面.
NEC Diagnostic Software
Copyright (c) NEC Corporation 2001-2022. All rights reserved.
%DIAG-INFO: Starting System POST(Power On Self Test)
DRAM TEST 1: Pass
DRAM TEST 2: Pass
NVRAM TEST: Pass
CPU TEST: Pass
PLD TEST: Pass
GE0 TEST: Pass
GE1 TEST: Pass
GE2(SW-HUB)1-8 TEST: Pass
BRI TEST: Pass
USB TEST: Pass
1.0 VOLTAGE STATUS: 0.987V Pass
1.5 VOLTAGE STATUS: 1.481V Pass
2.5 VOLTAGE STATUS: 2.457V Pass
3.3 VOLTAGE STATUS: 3.234V Pass
5.0 VOLTAGE STATUS: 4.914V Pass
TEMPERATURE STATUS: +34.0degC Pass
NEC Bootstrap Software
Copyright (c) NEC Corporation 2001-2022. All rights reserved.
%BOOT-INFO: Trying flash load, exec-image [ix2215-ms-10.7.18.ldc].
Loading: ######################################################################################################################################### [OK]
Starting at 0x20000
Configuring router subsystems (before IDB proc): done.
Constructing IDB(Interface Database): done.
Configuring router subsystems (after IDB proc): done.
Initializing router subsystems: done.
Starting router subsystems: done.
All router subsystems coming up.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
WARNING! Administrative username is not configured!!
Action: Please configure administrative username.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
NEC Portable Internetwork Core Operating System Software
Copyright Notices:
Copyright (c) NEC Corporation 2001-2022. All rights reserved.
Copyright (c) 1985-1998 OpenROUTE Networks, Inc.
Copyright (c) 1984-1987, 1989 J. Noel Chiappa.
Router#GE0,GE1,GE2にアドレスをふりping疎通を確認.ここで商品とショップの評価(はやすぎか?).
実家用定義
実家は,ひかり電話契約なし・DS-Liteとなっている.まだ動かしていないが,全体の定義は以下の通り.なお以下の定義は後述する変更を反映している。
Router(config)# show running-config
hostname ix2215-02
timezone +09 00
!
logging buffered 65535
logging subsystem all warn
logging subsystem ike2 info
logging timestamp datetime
!
syslog ip host 192.0.2.5
!
username root password hash 文字列 administrator
!
ntp server 192.0.2.1 priority 20
ntp server 192.0.2.2 priority 10
!
!
ip dhcp enable
ip access-list client_ds_lite deny ip src 192.0.2.11/32 dest 192.0.2.0/24
ip access-list client_ds_lite permit ip src 192.0.2.11/32 dest any
ip access-list client_ds_lite deny ip src 192.0.2.128/26 dest 192.0.2.0/24
ip access-list client_ds_lite permit ip src 192.0.2.128/26 dest any
ip access-list client_ds_lite deny ip src 192.0.2.1/32 dest 192.0.2.0/24
ip access-list client_ds_lite permit ip src 192.0.2.1/32 dest any
ip access-list server_services deny ip src 192.0.2.2/32 dest 192.0.2.0/24
ip access-list server_services permit ip src 192.0.2.2/32 dest any
!
!
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list established permit tcp established src any sport any dest any dport any
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list ipsec-list permit 4 src any dest any
ipv6 access-list ipsec-list permit tcp src any sport any dest any dport eq 1723
ipv6 access-list ipsec-list permit tcp src any sport any dest any dport eq 500
ipv6 access-list ipsec-list permit udp src any sport any dest any dport eq 500
ipv6 access-list ipsec-list permit 50 src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list ssh-list permit tcp src any sport any dest any dport eq 22
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access permit-list
!
!
!
!
!
!
!
!
!
!
ssh-server ip enable
!
!
ikev2 authentication psk id ipv4 192.0.2.254 key char password
ikev2 authentication psk id ipv4 198.51.100.254 key char password
!
ddns enable
!
!
!
route-map use-ds_lite permit 10
match ip address access-list client_ds_lite
set interface Tunnel0.0
!
route-map use-pppoe permit 20
match ip address access-list server_services
set interface GigaEthernet0.1
!
ppp profile iij_pppoe
authentication myname foo@example.com
authentication password foo@example.com bar
!
ip dhcp profile dhcpv4_sv_ge2.0
assignable-range 192.0.2.130 192.0.2.191
subnet-mask 255.255.255.0
default-gateway 192.0.2.254
dns-server 192.0.2.3 192.0.2.4
!
ipv6 dhcp client-profile dhcpv6_cl_ge0.0
information-request
option-request dns-servers
!
ipv6 dhcp server-profile dhcpv6_sv_ge2.0
dns-server dhcp
!
ikev2 default-profile
local-authentication psk id ipv4 192.0.2.254
!
ddns profile update_ddns
url http://ddnsapi-v6.open.ad.jp/api/renew/
query FFFFFFFFFFFFFFFFFF
transport ipv6
notify-interface GigaEthernet2.0
source-interface GigaEthernet2.0
update-interval 1
!
device GigaEthernet0
!
device GigaEthernet1
!
device GigaEthernet2
!
device BRI0
isdn switch-type hsd128k
!
device USB0
shutdown
!
interface GigaEthernet0.0
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6_cl_ge0.0
ipv6 traffic-class tos 0
ipv6 nd proxy GigaEthernet2.0
ipv6 filter established 10100 in
ipv6 filter dhcpv6-list 10200 in
ipv6 filter icmpv6-list 10300 in
ipv6 filter ipsec-list 10400 in
ipv6 filter ssh-list 10500 in
ipv6 filter block-list 65000 in
ipv6 filter dhcpv6-list 10200 out
ipv6 filter icmpv6-list 10300 out
ipv6 filter ipsec-list 10400 out
ipv6 filter dflt-list 65000 out
no shutdown
!
interface GigaEthernet1.0
no ip address
shutdown
!
interface GigaEthernet2.0
ip address 192.0.2.254/24
ip dhcp binding dhcpv4_sv_ge2.0
ip policy route-map use-ds_lite
ipv6 enable
ipv6 interface-identifier 00:00:00:00:00:00:00:01
ipv6 dhcp server dhcpv6_sv_ge2.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
!
interface BRI0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface USB-Serial0.0
encapsulation ppp
no auto-connect
no ip address
shutdown
!
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding iij_pppoe
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt hairpinning
ip napt static GigaEthernet0.0 1
ip napt static 192.0.2.1 tcp 443
ip napt static 192.0.2.1 tcp 80
ip napt static 192.0.2.2 tcp 25
ip napt static 192.0.2.2 tcp 465
ip napt static 192.0.2.2 tcp 587
ip napt static 192.0.2.2 tcp 993
ip napt static 192.0.2.2 tcp 995
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 1701
ip napt static GigaEthernet0.1 udp 4500
no shutdown
!
interface Loopback0.0
no ip address
!
interface Null0.0
no ip address
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination 2404:8e01::feed:100
tunnel source GigaEthernet2.0
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
no shutdown
!
interface Tunnel1.0
tunnel mode ipsec-ikev2
ip unnumbered BVI0
ip tcp adjust-mss auto
ikev2 connect-type auto
ikev2 dpd interval 10
ikev2 local-authentication id ipv4 192.0.2.254
ikev2 peer-fqdn-ipv6 (peer-name).i.open.ad.jp authentication id ipv4 198.51.100.254
no shutdown
!
Router(config)#実践編
メディコン取り外し
テストで自宅に取り付けていたメディコンを取り外した.小型ONUを元に戻すとき光ケーブルがちゃんとはまっていなかったことに気づいておらずしばらく通信できなかったみたいだ.PPPoEのIPv4アドレスが変わっていた.
IX2215の取り付け場所(実家側)
実家でのIXの置場をちょっと考えないといけない.NVRと電話とHGWが乗っているのは小さな台で、NVRをIXに変更するとはみ出してしまうからである。IXとNVRの置きかえてテストがうまくいったら真剣に置場を考えないといけない.
自宅ルータの定義修正
ikeの定義
i.open.ad.jpのホスト名を新たに登録したので,対向(自宅)側のikeの定義を修正.また,ikeの定義(ikev2 dpd interval 10)を追加.
実家ルータの交換(NVR700W→IX2215+メディコン)
IX2215の設置場所
IX2215の設置場所についてすこし迷ったがテレビラックの中にした.ここにはスイッチングHUBがありこれを介して実家サーバ群(intel NUC×2台)が接続されている.
テレビラックから少し離れたところに電話を置いている(小さな)台がありここに光ケーブルが出ている。NVR700Wはこの電話の台に設置してあり光ケーブル+小型ONUがささっている。
NVRのLAN1からテレビラックにLANケーブルが通してあり,先ほどのスイッチングHUBに接続されている。また、NVRのLAN1と無線APがLANケーブルで接続されている。
NVR撤去
NVRからひかりケーブル+小型ONUを抜く.またテレビラックに向かうLANケーブルと無線APに向かうLANケーブルを抜きNVRを撤去.
小型ONU型番
GE-PON<O>A SFP-ONU<1>S
自宅のものと同一型番であった.
メディコン設置
小型ONU+ひかりケーブルおよびテレビラック向けLANケーブルをメディコンに接続する.
IX2215設置
IX2215をテレビラック内に設置し,メディコンに接続されているLANケーブルをGE0に接続する.また,テレビラック内にあるサーバ群のLANケーブルをGE2に接続する.これでスイッチングHUBは不要となったのでスイッチングHUBの電源を抜いておく.
無線AP移設
無線APはNVRのすぐ隣にあったので,ケーブルを長いものに変えるか移設する必要がある.ケーブルを引くのが面倒なのでAPをテレビラックの上(液晶TVの後ろ)に移設し,IX2215のGE2へ接続.
IX2215の定義修正
GE2.0のIPv6アドレスインタフェースID部の固定
IPv6アドレスとして「RAで受け取ったプレフィクス::1/64」を利用したいのでその定義を行う.なお、ipv6 nd proxy コマンドで指定したインタフェースで定義する。
interface GigaEthernet2.0
ipv6 interface-identifier 00:00:00:00:00:00:00:0164ビットのIDを上記のように16進数で二けたずつコロンで区切って定義する.アドレスのように :: で省略することはできない.
DDNSの定義修正
DDNSのプロファイルのnotify-interfaceおよびsource-interfaceにはipv6 nd proxy コマンドで指定したインタフェース名を指定する.
ddns profile update_ddns
url http://ddnsapi-v6.open.ad.jp/api/renew/
query FFFFFFFFFFFFFFFFFF
transport ipv6
notify-interface GigaEthernet2.0
source-interface GigaEthernet2.0
update-interval 1
!IPv4経路情報
デフォルト経路情報と自宅向け経路情報を追加.
その他実家サーバの設定
syslogサーバの設定変更
格納ディレクトリ・ファイル名に機種名を利用しているので変更した.
置き換えた結果
PPPoEでのサーバ公開,DS-Lite,ポリシールーティング,IKEv2/IPsecすべて動作している.拠点間のping応答速度は約3msecでNVR700W×2台で接続したものとほとんどかわらなかった.
コメント