「夫を成功」へ導く妻の秘訣 座談会

お世話になります。

BIG-IPに接続された2つのVLAN間のルーティングができません。ご教授いただけないでしょうか。

NS
| ← VLAN100
BIG-IP
| ← VLAN200
端末

事象
・端末からNSのTrustにPingが飛びません。
・BIG-IPのデフォルトゲートはNSのTrustアドレスです。
・BIG-IPにはInternal(VLAN200)、External(VLAN100)のアドレスが振ってあります。

BIG-IPは基本的なルーティングを特殊な設定をしなければならないのでしょうか。

宜しく御願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

こんばんは


気になる事が一点。
NS のTrust I/F の設定で、Managed-IP やPing への応答拒否が入っていませんか?
Big-IP からNS のTrust I/F に対し、Ping が飛ぶか確認してみてください。

この回答への補足

レスありがとうございます。

NSの応答は許可になっております。BIG-IPのVLAN100側
に端末を接続してNSにPingを実施した場合、応答する事を確認済みです。

また、BIG-IPからはNSのTrustにPingは応答があります。
別VLAN(別NW)からはPingが応答しません。
NSからBIG-IPのVLAN100のポートに対してもPingの応答がありません。

BIG-IPのRoutingが悪い(もしくはトラフィックを通過させるのに必要な設定がある?)としか考えにくいのですが・・。

ちなみに、BIG-IPのVLAN100側・VLAN200側に端末をそれぞれ接続し互いの端末にPingを実施した場合にも、通信する事は不可能(ファイアウォール等はOFF)でした。

補足日時:2006/01/27 22:00
    • good
    • 1

こんばんは。



Internal側からExternal側に向けた通信は、sNAT等の設定をするのが基本だったと思います。v4.5系であれば、とりあえずdefault snat automapを設定されてみてはいかがでしょうか。

>NSからBIG-IPのVLAN100のポートに対してもPingの応答がありません。

対向ポートにも応答しないのが気になりますが、BIG-IPのポート速度は「auto」ではなく「100full」などを設定されていますでしょうか。
「auto」は接続が不安定になる場合があったと記憶しています。
    • good
    • 1

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qpingは正常なのにtracerouteで応答なしって・・・

以下のようなNW構成なのですがpingは通るのにtracerouteは無応答です。
---- Router ---- L2SW ---- L2SW ---- Host
    (Cisco)              (Redhat Linux)

◇RouterからHostへのpingは正常
◇RouterからHostへtracerouteを実行すると無応答「***」となる

この場合、どのような原因が考えられるのでしょうか。
また、切り分け方法なども教えて頂けると大変助かります。

Aベストアンサー

こんにちは.

既に皆さんから答えが出ていますが,tracerouteはicmpまたはudpを使います.どちらなのかは物によって異なります.

今回の場合,Linux側はicmpには返答するようなので,icmp(のEcho Request)は許可しているが,tracerouteで使うudpポートは拒絶しているのでしょう.

よって,Cisco側でicmpで送るか,Linux側でudpポートを空ければ良いと思います.(Linux側で確認するのが手っ取り早いかも)

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

QNTPで同期が始まらない

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntpq -pの結果は下記となります。

remote refid st t when poll reach delay offset jitter
==============================================================================
133.100.9.2 .INIT. 16 u - 64 0 0.000 0.000 4000.00
130.69.251.23 .GPS. 1 u 27 64 377 8.015 -99970. 17262.6

同期ができれば「remote」列に「*」が表示されると思っています。
何か設定が足りないでしょうか?。
尚、「/vat/log/message」をtailしてますが特にエラーは無さそうです。

よろしくお願いします。

こんにちは。
度々すみません、NTPの設定をしましたがどうも同期が始まりません。

「ntpdate 130.69.251.23」と手動同期は成功します。
しかしntpデーモンを起動し1時間以上放置しても同期されません。
※外部タイムサーバー参照としてます

ntp.confは下記のとおりです。
---------------------------------------------------
server 133.100.9.2 # clock.nc.fukuoka-u.ac.jp
server 130.69.251.23
driftfile /var/lib/ntp/drift
---------------------------------------------------

でntp...続きを読む

Aベストアンサー

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハードウエアclockを合わせます。
http://www.linux.or.jp/JM/html/util-linux/man8/hwclock.8.html

○ntpdの動作
ntpによる時刻調整は、調整幅が通常128mSと小さいので、1時間は様子をましょう。
2時間程度経過しても、時刻修正の兆候が見られない場合ハードウェアの不良も考えられます。

時刻調整の兆候としては、
・logファイルに 一時間毎に調整したメッセージが書かれる。
Jan 7 21:57:40 ntpd[91145]: offset 0.000994 sec freq -190.802 ppm error 0.000076 poll 8
・ntpq -p の出力の最初の桁に"*,+"が付く。また、reach が377になる。
% ntpq -np
remote refid st t when poll reach delay offset jitter
+192.168.0.102 GPS_NMEA(0) 2 u 3 32 377 0.926 -0.330 0.023
*192.168.0.192 GPS_NMEA(1) 2 u 10 32 377 0.747 -0.336 0.023
192.168.0.9 PPS(1) 2 u 3 32 377 0.757 6.559 0.161


○その他
・PC起動時には、システムクロックを計測してその後の動作の基準にしていますが、
CMOSバッテリ不足やハードウェアに何らかの異常があるととんでもない時刻を示すことがあります。(要修理です)
・BIOSの時計も起動時の初期時刻として使われてしまうので、ある程度合わせておいた方がいいです。

#4のqaaqです。

○ntp.conf 関連
server 行に "iburst" を付けておきましょう。
server ntp.nict.jp iburst <--こんな感じになります。

ntp サーバ起動時の時刻調整の収束時間が早くなります。
http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=ntp.conf&dir=jpman-5.4.0%2Fman&sect=0

○ntpdate での時刻調整
ntpdate -b -u [サーバ名] を複数回実行して、"offset の値が0.1以下"になるまで、強制的に時刻調整して下さい。

○ハードウエアclockの修正
hwclock -w コマンドでハ...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

Qパケットの戻りについて

ネットワークの基本的な質問です。すみません。教えてください。
パケットが送信元から送られてきて、戻る時は受け取った今度はPCがパケット内の送信元の宛先アドレスを経路情報を判断して送り出すのでしょうか?
通常無いと思いますが、2つの戻り経路がある場合、帰りが違うルートで戻ることはあるのでしょうか?つまり返信するPCが違う経路を持っている場合そちらの方へ送り出してしまうのでしょうか。
書き換えられて送られてきたルートへ戻って行くのではないのでしょうか?
その情報はルーティングテーブルには無いのでまちがいでしょうか。

よろしくお願いします。

Aベストアンサー

インターネットは,中継器(ルータ)同士がネットワーク接続された集合体として構成されています。

インターネットに接続されたノード(※)は,経路情報(ルーティングテーブル)を持っています。(※ ノード(節)は,ルータも ホスト(PC)もともに含む概念です)

「経路」という言葉から「送信元のSさんから受信先のRさんまで」という末端から末端までの一連の流れをイメージを抱きがちですが,経路情報とはそういうバケツリレーの全体像を指すものではなく,あくまで「ノードである私は,隣にいるどのノードにパケットをバケツリレーできるか」という限定された情報になります。

私がRさんにパケットを送信したい場合,私が直接通信できるもっとも近くのルータにパケットを送信して中継してもらえるよう祈るだけです。そのルータもRさんがどこにいるかを知りません。パケットのIPアドレスのネットワーク部(※)を見て,そこへ中継してくれるだろう別のルータにパケットを送信して祈るだけです。それを何度も繰り返し,最終的にRさんにパケットが届くか否かは,世界中のネットワーク管理者がすべてのルータの経路情報を正しく設定してくれているかどうかにかかっています。(※ 電話番号の市外局番,あるいは,郵便番号のイメージでとらえてください)

ということで。

あなたの自宅に送られてきた郵便物(パケット)には送り主と宛先が書いてあるだけで,どんな運送経路を経て到着したかは書いていないはずです。パケットには経路情報は記録されていません。

あなたは郵便物の送り主に対して返信をするだけです。どんな運送経路で相手に届くかはその時の交通状況・混雑状況などによって異なります。

インターネットは,中継器(ルータ)同士がネットワーク接続された集合体として構成されています。

インターネットに接続されたノード(※)は,経路情報(ルーティングテーブル)を持っています。(※ ノード(節)は,ルータも ホスト(PC)もともに含む概念です)

「経路」という言葉から「送信元のSさんから受信先のRさんまで」という末端から末端までの一連の流れをイメージを抱きがちですが,経路情報とはそういうバケツリレーの全体像を指すものではなく,あくまで「ノードである私は,隣にいるどのノードにパ...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

QCatalystのL2スイッチのIPアドレス設定

CCNA取得勉強の為に教えてgoo!の過去の質問を見ていたときに疑問が発生しました。
分かる方がいらっしゃいましたら教えてください。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=1199795

疑問が発生したのは↑の質問なのですが、

Catalyst2950に、インターフェースに対してIPアドレスを割り当てることができるのですか?

自分の認識だと、
・Catalyst2950はL2SWなので、データリンク層の機器であるため、インターフェースに対しIPアドレスは振れない
・但し、TELNETでアクセスしたり、snmpTRAPをあげるため、(管理的な意味で)管理VLAN(デフォルトでは1)に対し、IPアドレスを割り当てることが出来る。

なのですが。もしこの認識が間違っていた場合、インターフェースにIPアドレスを割り当てる方法をご教示いただきたいです。
よろしくお願いします。

Aベストアンサー

ネットワークエンジニアをしております。

>Catalyst2950に、インターフェースに対してIPアドレスを割り当てる
>ことができるのですか?

言葉の問題になってしまいますよね。インターフェースという言葉は、「その対象に出入りするための口」という意味なので、使い方やその人の認識に依存する話だと思います。。。

「インターフェースに割り当てることができるか」ということであれば
可能でしょう。要は「どういうインタフェースを意味しているのか」というのが問題です。

No.3さんが回答されている通り、Catalyst2950のスイッチポート(物理インタフェース)にはMACアドレスは振られますが、IPアドレスは振れません。

スイッチの「管理VLAN」は「論理インタフェース」です。これにはIPアドレスを振ることができます。
このVLANに振るIPアドレスは、スイッチ装置自身を特定するアドレスだと思ってよいと思います。(PCに振るIPアドレスと同様です)

理解されていると思いますが
紹介されているURLでは、telnetでCatalyst2950にアクセスする方法を聞かれているものだと思いますが、
telnet経由でCatalyst2950スイッチにアクセスするためには、スイッチポートを管理VLANと同じVLANに所属させておけば、スイッチポート経由でスイッチにアクセスできます。

スイッチポートで認識するPDU(プロトコルデータユニット)はフレームであり、そのアドレスはMACアドレスなど(メディアに依存)です。そのフレーム中にカプセル化されているパケットの(使うプロトコルがIPであれば)IPアドレスやそのほかのデータはフレーム中にカプセル化されていて、スイッチポートでは認識されません。
スイッチポートでフレームのMACアドレス(タグVLANを使用していればVLAN他)などが認識されて、スイッチポートからスイッチ内部に入ることを許可されればカプセル化がはずされ(フレームヘッダがはずされ)、パケット(IPアドレス等)が検査されることになります。

ネットワークエンジニアをしております。

>Catalyst2950に、インターフェースに対してIPアドレスを割り当てる
>ことができるのですか?

言葉の問題になってしまいますよね。インターフェースという言葉は、「その対象に出入りするための口」という意味なので、使い方やその人の認識に依存する話だと思います。。。

「インターフェースに割り当てることができるか」ということであれば
可能でしょう。要は「どういうインタフェースを意味しているのか」というのが問題です。

No.3さんが回答されてい...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Q「以降」ってその日も含めますか

10以上だったら10も含める。10未満だったら10は含めない。では10以降は10を含めるのでしょうか?含めないのでしょうか?例えば10日以降にお越しくださいという文があるとします。これは10日も含めるのか、もしくは11日目からのどちらをさしているんでしょうか?自分は10日も含めると思い、今までずっとそのような意味で使ってきましたが実際はどうなんでしょうか?辞書を引いてものってないので疑問に思ってしまいました。

Aベストアンサー

「以」がつけば、以上でも以降でもその時も含みます。

しかし!間違えている人もいるので、きちんと確認したほうがいいです。これって小学校の時に習い以後の教育で多々使われているんすが、小学校以後の勉強をちゃんとしていない人がそのまま勘違いしている場合があります。あ、今の「以後」も当然小学校の時のことも含まれています。

私もにた様な経験があります。美容師さんに「木曜以降でしたらいつでも」といわれたので、じゃあ木曜に。といったら「だから、木曜以降って!聞いてました?木曜は駄目なんですよぉ(怒)。と言われたことがあります。しつこく言いますが、念のため、確認したほうがいいですよ。

「以上以下」と「以外」の説明について他の方が質問していたので、ご覧ください。
http://oshiete1.goo.ne.jp/kotaeru.php3?qid=643134

Qvmware上のゲストOSにpingが通らない

vmware上のゲストOSにpingが通らない

環境
?vmwareのゲストCentOS    ip 192.168.147.128 ゲートウェイ 192.168.147.1

?vmwareのホストwindowsxp ip 192.168.0.5 ゲートウェイ192.168.0.1

?ホストと同じセグメント上にあるMacosX ip 192.168.0.6 ゲートウェイ192.168.0.1

ゲストとホスト間ではpingが通るのですが、Macのパソコンからだとpingが通りません。
macでtracerouteコマンドを使うとLANのルータ(192.168.0.1)を通り、そのあとグローバルIP?(133.*.*.*)が2つくらい表示され結局ゲストまでたどり着きませんでした。
同じネットワークでないために、デフォルトゲートウェイに送り、そのまま外に出て行ってしまったのでしょうか?
こうなってしまう場合どうすれば、pingをゲストOSに通すことができるのでしょうか?

Aベストアンサー

ANo.2の訂正です。
私の検証ではホストOSが192.168.0.0/24側(仮に1次側)に対してルーターの役割をしていないようです。
ゲストOSがNATの場合はホストOSが1次側からのアクセスをゲストOS側(仮に2次側)へ通過させませんのでルーティング情報を記述しても通信できません。(2次側から1次側への通信は可能)
従って、ゲストOSのネットワークアダプタはブリッジモードに設定しないと相互通信が出来ません。


人気Q&Aランキング