NAT - Supervision et Maintenance

Slides:



Advertisements
Présentations similaires
Configuration NAT Dynamique
Advertisements

Effacer la Configuration LWAPP sur un LAP
– NAT et PAT - 1.
Sécurité - Configuration du PIX avec un seul réseau interne
Configuration Sécurisée de l'IOS Cisco
show ip dhcp server statistics
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Commande show cluster ccnp_cch ccnp_cch.
Configuration Routeur SOHO77
utilisant l'exploitation
Configuration d'un accès
Configuration NAT Overload (PAT)
IS-IS - Adjacence Point à Point
Vérification du Système fichiers et réparation
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
PIX/ASA - Configuration Serveur et Client DHCP
(Network Address Translation)
de listes d'accès filtres
Commande show standby ccnp_cch ccnp_cch.
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
Commande show ip dhcp binding
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
Préparation de mise à jour
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Commande show ip eigrp topology
utilisant l'exploitation
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT pour
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
QoS - Configuration RSVP
Sécurité - Configuration de -
IOS Sécurité - IP Source Tracker
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
trois réseaux internes
DHCP et IP helper Host B Client DHCP Hub E0/0 Paris S0/0
Sécurité - Configuration d'un
Configuration d'un accès
Commande show vtp ccnp_cch ccnp_cch.
entre trois routeurs utilisant des
Commande show ip dhcp database
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
QoS - Configuration Fragmentation
QoS - Configuration de COPS pour RSVP
Configuration NAT Statique
Configuration NAT Dynamique
show ip dhcp relay information trusted-sources
Transcription de la présentation:

NAT - Supervision et Maintenance ccnp_cch

Sommaire • Introduction - Contenu • Prérequis pour la supervision et la maintenance de NAT • Information sur la supervision et la maintenance de NAT - Affichage du contenu de NAT - Utilisation de Syslog • Comment superviser et maintenir NAT - Afficher les informations de traduction NAT - Effacer les entrées NAT avant expiration du timeout - Valider Syslog pour logger les traduction NAT • Exemples pour la supervision et la maintenance de NAT - Effacement de traductions NAT UDP - Validation de Syslog • Pour continuer • Références additionnelles - Documents liés - Standards - MIBs ccnp_cch

Prérequis pour la supervision et la maintenance de NAT Introduction Ce document décrit comment : ● Superviser et maintenir NAT (Network Address Translation) en utilisant les infor- mations de traduction et l'affichage des statistiques. ● Maintenir NAT en effaçant les traductions NAT avant l'expiration du timeout. ● Valider le logging des traductions NAT au moyen de Syslog pour logger et tracer les messages d'erreur système, les exceptions et d'autres informations. Contenu Ce document contient les sections suivantes: • Prérequis pour la supervision et la maintenance de NAT • Information sur la supervision et la maintenance de NAT • Comment superviser et maintenir NAT • Exemples pour la supervision et la maintenance de NAT • Pour continuer • Références additionnelles Prérequis pour la supervision et la maintenance de NAT Avant de réaliser les tâches décrites dans ce document, vous devez être familier avec les concepts décrits dans "Configuring NAT for IP Address Conservation" et avoir NAT configuré. Information sur la supervision et la maintenance de NAT Avant de réaliser les tâches décrites dans ce document, vous devez comprendre les concepts suivants: • Affichage du contenu de NAT • Utilisation de Syslog Affichage du contenu de NAT Il y a deux types d'information dans les traductions NAT IP: les entrées de traduction et les statistiques. ccnp_cch

Entrées de traduction L'information d'entrée de traduction comprend: • Le protocole du port identifiant l'adresse. • L'adresse IP légale qui représente une ou plusieurs adresses IP locales internes pour le monde externe. • L'adresse IP affectée à un host du réseau interne, certainement une adresse privée non-affectée par un opérateur. • L'adresse IP affectée à un host externe par le propriétaire de celui-ci. • Le temps écoulé depuis la création de l'entrée (heures:minutes:secondes). • Le temps écoulé depuis la dernière utilisation de l'entrée (heures:minutes: secon- des). • Des flags indiquant le type de traduction. Les flags possibles sont: - extended - Traduction étendue - static - Traduction statique - destination - Traduction circulaire - outside - Traduction externe - timing out - La traduction n'est plus valide (flag de fin TCP (FIN) ou reset (RST)). Informations statistiques Les informations statistiques comprennent: • Le nombre total de traductions actives dans le système. Ce nombre est incrémenté chaque fois qu'une traduction est créée et décrémenté chaque fois qu'une traduc- tion est effacée ou expire. • Une liste des interfaces marquées comme externe (outside) avec la commande ip nat outside. • Une liste des interfaces marquées comme externe (inside) avec la commande ip nat inside. • Le nombre de fois que le logiciel a effectué une recherche de traduction dans la table et a trouvé une entrée. • Le nombre de fois que le logiciel a effectué une recherche de traduction dans la table ,n’a pas trouvé d'entrée et en a crée une. • Le nombre cumulé de traductions qui ont expiré depuis que le routeur a démarré. • Informations sur les correspondances dynamiques • Informations sur la traduction source interne • Le numéro de la liste d'accès en cours d'utilisation pour la traduction • Le nom du pool ccnp_cch

Comment superviser et maintenir NAT • Le nombre de traduction qui utilisent ce pool • Le masque de réseau IP en cours d'utilisation dans le pool • L'adresse IP de début dans l'intervalle du pool • L'adresse IP de fin dans l'intervalle du pool • Les types de pool Les types possibles sont : generic et rotary • Le nombre d'adresses disponibles dans le pool pour la traduction • Le nombre d'adresses en cours d'utilisation • Le nombre d'allocation en échec à partir du pool Utilisation de Syslog L'analyse Syslog vous permet de centraliser les logs et tracer les messages d'erreur système, les exceptions et autres informations (telle que la modification de configura- tion d'équipements). Vous pouvez analyser les données du message d'erreur loggé pour analyser les performances réseau et routeur. Vous pouvez personnaliser l'analy- se Syslog pour produire les rapports d'information et de messages importants pour votre exploitation. Comment superviser et maintenir NAT Cette section contient les procédures suivantes: ● Afficher les informations de traduction NAT ● Effacer les entrées NAT avant expiration du timeout ● Valider Syslog pour logger les traduction NAT Afficher les informations de traduction NAT Réalisez cette tâche pour afficher les données de traduction et les informations statis- tiques. Résumé des étapes 1. enable 2. show ip nat translations [verbose] 3. show ip nat statistics ccnp_cch

Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Passe en mode EXEC privilégié. • Entrez votre mot de passe si cela vous est demandé. show ip nat translations [verbose] Routeur> show ip nat translations (Optionnel) Affiche les traductions NAT actives. show ip nat statistics Routeur> show ip nat statistics (Optionnel) Affiche les statistiques NAT. Exemples: Cette section contient les exemples suivants: ● Affichage des traductions NAT ● Affichage des statistiques NAT Affichage des traductions NAT Ce qui suit est un exemple de sortie de la commande show ip nat translations. Sans PAT (overload), deux hosts internes échangent des paquets avec des hosts externes. Router# show ip nat translations Pro Inside global Inside local Outside local Outside global --- 171.69.233.209 192.168.1.95 --- --- --- 171.69.233.210 192.168.1.89 --- --- Avec PAT (overloading), une traduction pour une transaction DNS (Domain Name Server) est toujours active et deux traductions pour des sessions Telnet (avec deux hosts différents) sont également actives. Notez que deux hosts internes différents ap- paraissent à l'extérieur avec une seule adresse IP. Router# show ip nat translations udp 171.69.233.209:1220 192.168.1.95:1220 171.69.2.132:53 171.69.2.132:53 tcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23 tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23 ccnp_cch

Affichage des statistiques NAT Ceci est un exemple de sortie qui inclut le mot-clé verbose. Router# show ip nat translations verbose Pro Inside global Inside local Outside local Outside global udp 171.69.233.209:1220 192.168.1.95:1220 171.69.2.132:53 171.69.2.132:53 create 00:00:02, use 00:00:00, flags: extended tcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23 create 00:01:13, use 00:00:50, flags: extended tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23 Affichage des statistiques NAT Ceci est un exemple de sortie de la commande show ip nat statitics. Router# show ip nat statistics Total translations: 2 (0 static, 2 dynamic; 0 extended) Outside interfaces: Serial0 Inside interfaces: Ethernet1 Hits: 135 Misses: 5 Expired translations: 2 Dynamic mappings: -- Inside Source access-list 1 pool net-208 refcount 2 pool net-208: netmask 255.255.255.240 start 171.69.233.208 end 171.69.233.221 type generic, total addresses 14, allocated 2 (14%), misses 0 Effacer les entrées NAT avant expiration du timeout Par défaut les traductions dynamiques expirent dans la table de traduction NAT après un délai prédéfini. Exécutez ces tâches pour effacer les entrées NAT avant leur expira- tion. Résumé des étapes 1. enable 2. clear ip nat translation inside global-ip local-ip [outside local-ip global-ip] 3. clear ip nat translation outside global-ip local-ip 4. clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside local-ip local-port-global-ip global-port] 5. clear ip nat translation {* | [forced] | [inside global-ip local-ip] [outside local-ip global-ip]} ccnp_cch

Validation de Syslog pour logger les traductions NAT Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Passe en mode EXEC privilégié. • Entrez votre mot de passe si cela vous est demandé. clear ip nat translation inside global-ip local-ip [outside local-ip global-ip] Routeur# clear ip nat translation udp inside 171.69.233.209 1220 192.168.1.95 1220 171.69.2.132 53 171.69.2.132 53 (Optionnel) Efface une simple entrée de traduction dynamique contenant une traduction interne ou ou une traduction interne et externe. clear ip nat translation outside global-ip local-ip Routeur# clear ip nat translation outside 171.69.233.209 1220 192.168.1.95 traduction externe. clear ip nat translation protocol inside global-ip global-port local-ip local-p[ort [outside local-ip local-port-global-ip global-port] clear ip nat translation udp inside 171.69.233.209 1220 192.168.1.95 1220 171.69.2.132 53 171.69.2.132 53 (Optionnel) Efface une entrée de traduction UDP. clear ip nat translation {* | [forced] | [inside global-ip local-ip] [outside local-ip global-ip]} Routeur# clear ip nat translation * (Optionnel) Efface toutes les traductions dynamiques. Validation de Syslog pour logger les traductions NAT Le logging des traductions NAt peut être validé et dévalidé au moyen de la commande syslog. L'analyse Syslog vous permet de centraliser les logs et tracer les messages d'erreur système, les exceptions et autres informations (telle que la modification de configura- tion d'équipements). Vous pouvez analyser les données du message d'erreur loggé pour analyser les performances réseau et routeur. Vous pouvez personnaliser l'analy- se Syslog pour produire les rapports d'information et de messages importants pour votre exploitation. ccnp_cch

niveau des messages à logger. Résumé des étapes 1. enable Prérequis Avant de réaliser cette tâche, vous devez spécifier les commandes syslog nécessaires pour s'assurer que le logging est validé, configurer l'adresse du serveur et établir le niveau des messages à logger. Résumé des étapes 1. enable 2. configure terminal 3. ip nat log translations syslog 4. no logging console (optionnel) Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Passe en mode EXEC privilégié. • Entrez votre mot de passe si cela vous est demandé. configure terminal Routeur# configure terminal Entre en mode de configuration global. ip nat log translations syslog Routeur(config)# ip nat log translations syslog Valide syslog pour le logging des traduc- tions NAT. no logging console Routeur(config)# no logging console (Optionnel) Dévalide l'affiche des logs sur la console. • Le logging sur la console est validé par défaut. ccnp_cch

Exemples de supervision et de maintenance de NAT ● Effacement de traductions NAT UDP ● Validation de Syslog Effacement de traductions NAT UDP Cet exemple montre les entrées NAT avant et après que l'entrée UDP ait été effacée. Router# show ip nat translation Pro Inside global Inside local Outside local Outside global udp 171.69.233.209:1220 192.168.1.95:1220 171.69.2.132:53 171.69.2.132:53 tcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23 tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23 Router# clear ip nat translation udp inside 171.69.233.209 1220 192.168.1.95 1220 171.69.2.132 53 171.69.2.132 53 Router# show ip nat translation Validation de Syslog Cet exemple montre comment valider les entrées NAT dans Syslog Router(config)# logging on Router(config)# logging 1.1.1.1 Router(config)# logging trap informational Router(Config)# ip nat log translations syslog Le format de l'information NAT loggée (par exemple, pour le Ping ICMP Ping via des configurations PAT (Overload)) seront les suivantes: Apr 25 11:51:29 [10.0.19.182.204.28] 1: 00:01:13: NAT:Created icmp 135.135.5.2:7 171 12.106.151.30:7171 54.45.54.45:7171 54.45.54.45:7171 Apr 25 11:52:31 [10.0.19.182.204.28] 8: 00:02:15: NAT:Deleted icmp 135.135.5.2:7 172 12.106.151.30:7172 54.45.54.45:7172 54.45.54.45:7172 Pour continuer • Pour configurer NAT pour l'utilisation avec des passerelles de niveau applicatif, voir le module de l'IOS Cisco "Using Application Level Gateways with NAT". • Pour intégrer NAT avec MPLS voir le module de l'IOS Cisco "Integrating NAT with MPLS VPNs". • Pour configurer NAT pour de la haute disponibilité voir le module de l'IOS Cisco "Configuring NAT for High Availability" module. ccnp_cch

Références additionnelles Les sections suivantes fournissent des références liées à la Supervision et à la Main- tenance de NAT. Documents liés Sujet traité Titre du document Commandes NAT: syntaxe complète des commandes, mode de commande, historique des commandes, valeurs par défaut, conseils d'utilisation et exemples. “IP Addressing Commands” chapter in the Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.3. Standards Standards Titre Aucun. MIBs MIBs Lien MIBs ● Aucune. Pour localiser et télécharger les MIBs pour les plateformes sélectionnées, des releases de l'IOS Cisco et ensembles de fonctionnalités, utilisez le localisateur de MIB Cisco à l'URL suivante: http://www.cisco.com/go/mibs ccnp_cch