4番目のご質問についてですが、お使いの IOS - 3ページ

CiscoJapanModerator · ‎2015-10-02

※Cisco 841M J シリーズに関してはこちらをご参照ください。

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ！
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2015年11月1日～11月30日

担当エキスパート: カスタマーサポートエンジニア / システムズエンジニア

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
※期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。

[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービスリクエストでのお問い合わせをご案内させて頂きます。

cja56910tf · ‎2015-11-13

ご回答ありがとうございます。

まさにこのようなコマンドを探しておりました。

試にＩＳＲルータで試してみましたが、コマンドは投入できましたが、show runでは表示されませんでした。しかし、no オプションを付与するとshow runで表示されましたので、ご教授いただたいたコマンドはデフォルトで有効であるのだと思います。

（ということは、基本的にはDHCPサーバが流してくる情報は全て受け取るということですね)

どのような情報を受け取っているかを確認するコマンドは「show ip dhcp import」で可能でしょうか？もしご存知でしたらこちらもご教授いただけると助かります。

Hiroto Kowata · ‎2015-11-30

ご返信が遅くなってしまい大変申し訳ありませんでした。

既に解決されているかもしれませんが、ご要望のコマンドは

show dhcp lease

show dhcp server

になるかと思います。

それぞれ取得した IP アドレス、DNS サーバの情報が確認できます。

cja56910tf · ‎2015-11-30

ご回答ありがとうございます。

質問の内容については解決済みですが、確認コマンドまでには気が回っておりませんでした。

早速実機で確認してみたいと思います。

ありがとうございました。

t-sone001 · ‎2015-11-13

仕様についてご質問です。

以下の製品のUSBポートのサポート範囲(容量値)を教えてください。

C841M-4X-JSEC/K9
C841M-4X-JAIS/K9
C841M-8X-JAIS/K9

よろしくお願いします。

tokinaka · ‎2015-11-13

サポート対象となりますUSBですが、容量によるものではなく、シスコから提供しているUSBメモリのみとなります。

t-sone001 · ‎2015-11-19

シスコ純正品の以下はすべてサポート対象になるということでしょうか。

MEMUSB-64FT

MEMUSB-128FT

MEMUSB-256FT

MEMUSB-1024FT

tokinaka · ‎2015-11-20

MEMUSB-64FT

MEMUSB-128FT

MEMUSB-256FT

こちらが正式にサポートするUSBメモリは以下になります。

容量の関係で、実用はなかなか難しい面もあるかと思いますので、市販のものを使って頂いた場合も、何か問題があった場合には常識的な方法で切り分けを行い、ルータ/メモリのいずれに問題があるのか確認して頂ければと思います。

t-sone001 · ‎2015-11-27

サポートするUSBの件、承知しました。

追加でご質問ですが、841Mシリーズにセキュアトークン機能はあるのでしょうか。

Keiichi Yoshino · ‎2015-11-30

セキュアトークン機能はサポートされておりません。

よろしくお願いいたします。

youkon922 · ‎2015-11-17

WANのスループットと高CPU使用率についての質問です。

841Mのスループット公称値は1.9Gbpsもありますが、実際使用したところでWAN-LAN間のスループットは200Mbpsぐらいでとどまった。1.9GbpsはNATなしの理論値とは知っていますが、200Mpbsまで低下するのはおかしいと思います。

調べにCentOSのイメージをダウンロードしてみたところ、ダウンロードスピードが200MbpsになるとCPU使用率の95％も割り込みに使われていました。ちなみに、16Mbpsは10％ぐらい、40Mbpsは30％ぐらい割り込みを使います。意外な発見ですが一部のミラーサーバーからのダウンロードは全然割り込みを使わなかった、50Mbpsで3％ぐらい、このことは時間をおいても確認できる。

あとWANからLAN内のHTTPサーバーのファイルをダウンロードする時も同じ200MbpsぐらいでCPUが100%になる。LAN-LAN間はこの問題はありません。この問題はCCP Express初期設定（PPPoEだけを設定）を行った直後にも確認できます。

この問題はなんとかできるでしょうか？ご教授ください。

841Mの設定は以下です IOSバージョン 15.5 (1)

ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool ccp-pool
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.10.1
netbios-name-server 192.168.10.17
lease 0 2
!
ip dhcp pool static
origin file sdflash:/dhcp/static-bindings
!
ip domain name ***
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
license udi pid C841M-4X-JSEC/K9 sn ***
!
object-group network local_lan_subnets
192.168.10.0 255.255.255.0
!
username *** privilege 15 secret 5 ***
!
redundancy
!
no cdp run
!
bridge irb
!
interface GigabitEthernet0/0
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface GigabitEthernet0/3
no ip address
!
interface GigabitEthernet0/4
description PrimaryWANDesc_
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
bridge-group 1
!
interface GigabitEthernet0/5
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description $ETH_LAN$
no ip address
bridge-group 1
!
interface Dialer1
mtu 1454
ip address negotiated
ip access-group 102 in
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1414
dialer pool 1
dialer-group 1
ppp mtu adaptive
ppp authentication chap callin
ppp chap hostname ***@***
ppp chap password 0 ***
ppp ipcp dns request
ppp ipcp route default
no cdp enable
!
interface BVI1
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
pppoe-client dial-pool-number 1
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns view internal
domain name ***
domain name-server 192.168.10.17
ip dns view-list conditional
view internal 1
restrict name-group 1
view default 2
ip dns name-list 1 permit ***
ip dns name-list 1 permit 10.168.192.IN-ADDR.ARPA
ip dns server view-group conditional
ip dns server
ip nat inside source list nat-list interface Dialer1 overload
!
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip any any
!
dialer-list 1 protocol ip permit
!
access-list 102 deny tcp any any eq domain
access-list 102 deny tcp any any eq 443
access-list 102 deny tcp any any eq telnet
access-list 102 permit ip any any
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!

Hiroto Kowata · ‎2015-11-18

こちらでもパフォーマンスについては確認してみますので少しお時間を下さい。

通常はパフォーマンスの計測は以下の様にトラフィックジェネレータ(TGN)でルータを挟むような構成でトラフィックを流すことで行っていますが、試されたのは以下でのTGN がサーバに置き換わったような構成という理解でいいでしょうか。

[TGN] --- [Gi0/4]C841M[Gi0/1]--- [TGN]

もし途中に別の機器があるなど、これと大幅に違っている点があれば、試験された機器の構成を教えてください。

また設定内容で、LAN - WAN での bridging の設定をされていますが、これはどのような背景があるのでしょうか。もしかするとこれが原因かも知れません。

もし可能であれば bridging 設定を削除し SVI を nat inside とする設定で状況が改善するか確認して頂けないでしょうか。

それから今回の問題とは直接関連なさそうですが以下は必要ないかと思います。

interface BVI1
pppoe-client dial-pool-number 1 <<<

設定内容の背景など理解していない点もあるかと思いますので、その点はご指摘ください。

youkon922 · ‎2015-11-19

ご返信ありがとうございます。

パフォーマンスの計測方法ですが、自宅環境ですのでそんな高度な測定は行っていません。単にHTTPのダウンロードとアップロード速度を別々に測りました。どちらも大体200MbpsでCPU割込みが100%近くになります。

構成として

NTTフレッツ--- ONU(ルータ機能なし) ---(Gi0/4)Cisco 841M(Gi0/1) --- NECWG1800(無線AP)

|(Gi0/0)

|---パソコン

プロバイダはYahooBBで測定はパソコンで行っています。

設定はNTT フレッツ網に接続するための設定例を参考したものです。実際にGi0/0,Gi0/1にブリッジを設定する時ブリッジできないのエラーが出たので、この設定はGi0/0,Gi0/1のbridgeとACLの設定を省略した後の設定になります。実際にIPv6は問題なく使えるようになった。

interface BVI1

pppoe-client dial-pool-number 1

この設定がないとPPPoEセッションが接続しているものの（PPP OK点灯), LAN からWAN側にアクセスできない。

Gi0/4のpppoe-client dial-pool-number 1がないとPPPoEセッションは切断されますので両方に書いておいた。

また、最初も説明しているように、CCP ExpressからPPPoEなどの基本設定（ほかは初期設定）だけを行った後もこの問題を確認できますので、問題はブリッジにあるのは考えにくいと思います。

あと、show interface statsの結果を貼っときます。Lanのポートはキャッシュを使ってない様子ですが、Ciscoのルーティング方式はあまり知っていないので、問題があるかどうかは知りません。ご参考になれば幸いです。

Cisco841M#show interfaces stats
GigabitEthernet0/0
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor    4411830 363478227    8584285 11764950021
             Route cache          0          0          0          0
                   Total    4411830 363478227    8584285 11764950021
GigabitEthernet0/1
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor    5192841 1817296329    8644622 10849500058
             Route cache          0          0          6        360
                   Total    5192841 1817296329    8644628 10849500418
GigabitEthernet0/2
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor          0          0          0          0
             Route cache          0          0          0          0
                   Total          0          0          0          0
GigabitEthernet0/3
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor          0          0          0          0
             Route cache          0          0          0          0
                   Total          0          0          0          0
GigabitEthernet0/4
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor     117473   18102000     352659   23991709
             Route cache   16531512 22540569634    9500324 2121732669
                   Total   16648985 22558671634    9852983 2145724378
Interface GigabitEthernet0/5 is disabled

Vlan1
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor       5710     342600     181950   18714305
             Route cache    9592832 2106747471   16464197 22435123082
                   Total    9598542 2107090071   16646147 22453837387
Interface NVI0 is disabled

BVI1
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor      41182    4142498      37500   10047305
             Route cache    7552795 1924619273   12931659 17230352765
                   Total    7593977 1928761771   12969159 17240400070
Virtual-Access1
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor          0          0          0          0
             Route cache          0          0          0          0
                   Total          0          0          0          0
Virtual-Access2
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor      77009    4386439     102987    6236019
             Route cache      33724     506451    3780873 896325737
                   Total     110733    4892890    3883860 902561756
Virtual-Access3
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
               Processor      40288   11135255      67560    3468115
             Route cache   12965163 17075656368    3780789 903747475
                   Total   13005451 17086791623    3848349 907215590
Dialer1
          Switching path    Pkts In   Chars In   Pkts Out Chars Out
             Processor     117282   15521430     170534    9703850
             Route cache   12931567 17075218719    7561565 1800069306
                   Total   13048849 17090740149    7732099 1809773156

Hiroto Kowata · ‎2015-11-24

遅くなりました、申し訳ありません。
以下のような環境で試験しましたが、結論としては頂いた設定内容でもパケット転送ができることは確認できました。

[TGN1] --- [PPPoE server] --- (Gi0/4)[C841M](Gi0/1) --- [TGN2]

但し確認されたパフォーマンスの値を大幅に改善できるような方法はないようですし、やはり現状での設定内容は正しいものには思えないので修正して頂いた方がいいと思います。

1) パフォーマンスについて
上のような環境で、TGN1, 2 から互いの方向にパケットを送信し C841M で drop が起きない程度に送信レートを上げていきどの程度まで上昇できるか確認しました。PPPoE server は C841M よりもパフォーマンスの良いルータを使っていますのでこれがボトルネックになることはありません。結果、お使いの設定では C841M 全体として捌けるトラフィック量は 250Mbps 程度に留まりました。これは確認された値と同じ程度かと思います。テストではパケット長を 1400byte にしましたが、実際の通信は更に短いパケットで行われることの方が多いかと思いますが、転送するパケットの長さが短いとルータの負荷は増えるので、確認されたパフォーマンス値は妥当なところではないかと思います。
ひとつ改善できるとするとデザインを変更することになりますが、dialer interface の input ACL の削除になります。input ACL を外すと転送レートは 300Mbps 程度まで延びました。
PPPoE + NAT の環境では 320Mbps 程度の転送レートになるという試験結果もありますので、これも妥当な結果かと思います。

2) PPPoE 設定について
現在の設定内容でも通信はできそうですが、どのサンプルコンフィグでも pppoe-client dial-pool-number を複数書いているものはないですし実際にそのような設定は見たことがないので、やはりどちらかは削除して頂いた方がいいと思います。どちらの interface にも pppoe-client dial-pool-number を書かないと通信できないということでしたが私が確認した環境ではそのようなことは起きませんでしたので改めてご確認ください。
設定例ですが引用されたものより以下の設定例の方がより近いのではと思います。こちらを参考に改めて設定を行って頂けないでしょうか

フレッツネクスト接続設定例（SVI の場合）

youkon922 · ‎2015-11-26

試験していただいてありがとうございます。C841Mのパフォーマンスについて承知しました。

PPPoEの設定についてはBVI1のpppoe-client dial-pool-numberを削除してGi0/4のだけを残した。削除したあとは確かに前述の問題がありましたが、再起動したあと問題なく使えるようになりました。アドバイスありがとうございました。

a.hayashi11 · ‎2015-11-20

841Mルーターを導入予定ですが、下記内容についてお伺いできればと思います。

1．現在YAMAHA社のルーター（RTXシリーズ・NVR500等）で拠点間のVPNを使っておりますが、この様に１対多の拠点間VPNは可能でしょうか

2．①が可能でしたら、YAMAHA社のルーターとVPNを組むことは可能でしょうか

3．①が不可でしたら、どんな製品を使えば可能か教えてください。

4．パソコンを使って、外部からVPNを使いたい場合「IKEv2」などが使えると思いますが、Windows10からVPNを繋ごうとした場合、「IP/PW」を問われるのですが、メニュー上では設定するところが見当たりませんが、どの様に設定すれば宜しいでしょうか？

5．GrandStream社のSIP電話機を使っていますが、テストでつないで電話を使ってみたところ、5秒ぐらいで急にこちらの音声が向うに届かないようになるのですが、VoIP電話とかを使うためには別途設定が必要でしょうか？

ONUからグロバール（固定IP）をもらってます。
Expressセットアップでネットを繋いで、他は何もなわっていない状況です。

初心者でわからないものが多いです。

恐縮ですが、宜しくお願い致します。

Hiroto Kowata · ‎2015-11-26

4番目のご質問についてですが、お使いの IOS version は 15.5(1)T でしょうか？もしそうでしたら、その IOS バージョンでは CCP のセキュリティ関連の設定タブが表示されないという不具合がありますので、お手数ですが以下のドキュメントを参考に弊社のTAC にサービスリクエストをオープンして頂き、現在の最新版となります 15.5(3)M1 を入手して頂ければと思います。

テクニカルアシスタンスセンター(TAC) へのお問い合わせ方法

Keiichi Yoshino · ‎2015-11-30

サポートコミュニティをご利用いただきありがとうございます。

A1.

Cisco841MJを用いた1対多の拠点間VPN接続は可能です。(CLIのみ)

Ciscoルータでは、更に多対多でのVPN接続も可能です。

(ご参考)

http://www.cisco.com/cisco/web/support/JP/102/1020/1020023_dmvpn_ipsec_vpn.html

こちらはDMVPNという機能を用いて拠点間のVPNを動的に接続させるものです。
1対多での接続でもご利用いただけます。

A2.

VPNの相互接続ですが、例えば IPsecVPNであれば、IPsec の各種パラメータ (Phase-1(IKE)/Phase-2(IPsecSA)における認証方式、暗号化方式等)を合わせれば可能かと思いますが、シスコとして接続実績の確認やガイド等はございません事ご了承ください。

ただ、YAMAHA社製ルータとのIPsecVPN接続の実績はあるようですのでこちらのURL等をご参考ください。

https://supportforums.cisco.com/ja/discussion/12035581

尚、DMVPN機能は他社製品との接続はできません。

A3.

上述の通りです。

よろしくお願いいたします。

00 stack · ‎2015-11-25

C841Mに限った話ではないのでここで質問することが適切ではないかもしれませんが，とりあえず質問します。

ローカルユーザを設定し，認証を行う歳，ユーザ名において大文字小文字が区別されないのは仕様でしょうか。

Webでざっと見る限り，username/passwordは大文字小文字区別するとの記載しか出てきませんでした。

aaa new-model
!
!
aaa authentication login console local
!
!

username User01 password 0 User_Pass

上記の場合，パスワードは当然ながら設定した文字列以外は拒否されますが，ユーザ名においては

User01/user01/uSer01/USER01...

とどのパターンでも認証が通ります。

凄く気持ち悪いのですが，どうなのでしょうか。

# ちなみに2960や891FJでもやってみたところ，同じでした

よろしくお願いいたします。

Hiroto Kowata · ‎2015-11-26

aaa authentication login console local の設定で、local ではなくて local-case を指定して頂ければよいと思います。

Router(config)# aaa authentication login console ?

(中略)

local Use local username authentication.
local-case Use case-sensitive local username authentication. <<<
none NO authentication.
passwd-expiry enable the login list to provide password aging support

よろしくお願い致します。

00 stack · ‎2015-11-26

ありがとうございます。

local-case

でユーザ名において大文字小文字区別するようになりました。

# そのオプションがあるとは知りませんでした・・・

教えて！Cisco Start ルータ Cisco 841M J (エキスパートに質問)