・ウチの商品を使うにあたってはウチの商品についてカネを払って勉強しろ
・ウチの商品についてミスリードやイクゥイフィカルなテストに合格しろ
・ウチのテストの合格者を何人以上抱えないとオタクとの取引条件は・・・
まるでおマフィアなお商売にお虫唾が走り、しばらくお作法のお稽古をおさぼりさせていただきましたでございます。お商売もさることながら、お商品そのもののおユーザビリティもお酷いのですが。聊かお古いお話ですので現在はさすがにおマシになっているのではないでしょうか。
さておき。
まず、ぷーる。
NAT-Router(config)#ip nat pool CiscoDynamicNATtest 172.29.15.65 172.29.15.94 prefix-length 24
続いて対象ソース。
NAT-Router(config)#access-list 15 permit 172.31.11.0 0.0.0.255
プールとそーすの関連付け。
NAT-Router(config)#ip nat inside source list 15 pool CiscoDynamicNATtest
んでもってNAT対象の出入り口ないんたーふぇーすで作動設定。
NAT-Router(config)#interface FastEthernet 0
NAT-Router(config-if)#ip nat inside
NAT-Router(config-if)#exit
NAT-Router(config)#interface VLAN 1
NAT-Router(config-if)#ip nat outside
NAT-Router(config-if)#end
ところがテストpingが通らない。しばらく悩んだが問題は2つあった。ひとつは、セキュアG/W側のEIGRPの設定において、認証について設定項目が不十分だったこと。 もうひとつは、NAT後のアドレス体系についてEIGRPに再配をしていなかったこと。
で、とりあえずアドレス体系から修正しようとしたところ、
NAT-Router(config)#no ip nat pool CiscoDynamicNATtest 172.29.15.65 172.29.15.94 prefix-length 24
%Pool CiscoDynamicNATtest in use, cannot destroy
プールをいきなり削除はできないようだ。次に、
NAT-Router(config)#no ip nat inside source list 15 pool CiscoDynamicNATtest
Dynamic mapping in use, do you want to delete all entries? [no]: yes
こちらは可能だった。あらためて既存のプール設定を削除し、アドレス体系を修正したプールを設定。
さて、仮想サブネットの再配はどうするか。ここは手を抜いて次のPAT。ダイナミックの設定から手抜きで変更するには、プールとACLの紐づけを外して、outsideの定義を書き換えればいいだけか!?
(config)#$de source list 15 pool CiscoDynamicNATtest overload
%Dynamic mapping in use, cannot change
怒られた。と、遊んでいる場合ではない。
NAT-Router(config)#$ynamicNATtest 172.31.15.10 172.31.15.247 prefix-length 24
%Pool CiscoDynamicNATtest in use, cannot destroy
NAT-Router(config)#no ip nat inside source list 15 pool CiscoDynamicNATtest
Dynamic mapping in use, do you want to delete all entries? [no]: yes
NAT-Router(config)#
NAT-Router(config)#
NAT-Router(config)#$ynamicNATtest 172.31.15.65 172.31.15.94 prefix-length 24
NAT-Router(config)#no ip nat inside source list 15 pool CiscoDynamicNATtest
%Dynamic mapping not found
NAT-Router(config)#interface FastEthernet0
NAT-Router(config-if)#no ip nat inside
NAT-Router(config-if)#interface Vlan1
NAT-Router(config-if)#no ip nat outside
*Dec 8 16:16:22.703: %IP_VFR-7-FEATURE_STATUS_IN: VFR(in) is being used by other features. Will be disabled when no other feature needs VFR support on interface FastEthernet0
NAT-Router(config-if)#ip nat inside source list 15 pool CiscoDynamicNATtest overload
NAT-Router(config-if)#interface FastEthernet0
NAT-Router(config-if)#ip nat inside
NAT-Router(config-if)#interface Vlan1
NAT-Router(config-if)#ip nat outside
NAT-Router(config)#exit
ここで、dynamicの設定をPATのつもりで突っ込んでしまっていたので削除。図らずもPATのpoolでの設定がこういうもの、と知ることになったが。
NAT-Router(config-if)#ip nat inside source list 15 pool CiscoDynamicNATtest overload
単純にoutsideのインターフェースでPAT。
NAT-Router(config)#ip nat inside source list 15 interface vlan 1 overload
#show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 9, occurred 02:03:59 ago
Outside interfaces:
Vlan1
Inside interfaces:
FastEthernet0
Hits: 366 Misses: 0
CEF Translated packets: 30, CEF Punted packets: 336
Expired translations: 86
Dynamic mappings:
-- Inside Source
[Id: 4] access-list 15 interface Vlan1 refcount 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
それから、
debug ip nat
変換前後のIPアドレスとポート番号を確認。そして、
NAT-Router#show ip nat statistics
Total active translations: 3 (0 static, 3 dynamic; 3 extended)
Peak translations: 9, occurred 02:07:54 ago
Outside interfaces:
Vlan1
Inside interfaces:
FastEthernet0
Hits: 428 Misses: 0
CEF Translated packets: 80, CEF Punted packets: 348
Expired translations: 89
Dynamic mappings:
-- Inside Source
[Id: 4] access-list 15 interface Vlan1 refcount 3
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
NAT-Router#
NAT-Router#
NAT-Router#clear ip nat translation ?
* Delete all dynamic translations
esp Encapsulating Security Payload
forced Delete all dynamic translations (forcefully)
inside Inside addresses (and ports)
outside Outside addresses (and ports)
piggyback-internal Delete all dynamic translations created off of
piggyback-data
tcp Transmission Control Protocol
udp User Datagram Protocol
vrf Clear entries of VRF instance
NAT-Router#clear ip nat translation *
NAT-Router#
NAT-Router#
NAT-Router#show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 9, occurred 02:08:19 ago
Outside interfaces:
Vlan1
Inside interfaces:
FastEthernet0
Hits: 428 Misses: 0
CEF Translated packets: 80, CEF Punted packets: 348
Expired translations: 89
Dynamic mappings:
-- Inside Source
[Id: 4] access-list 15 interface Vlan1 refcount 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
NAT-Router#
clearはソース指定でもデスティネーション指定でも、アスタリスクでごっそりでも可。
次に、NATエントリの有効時間指定。
NAT-Router(config)#ip nat translation timeout ?
<0-536870> Timeout in seconds
never Never timeout
NAT-Router(config)#ip nat translation ?
arp-ping-timeout Specify timeout for WLAN-NAT ARP-Ping
dns-timeout Specify timeout for NAT DNS flows
finrst-timeout Specify timeout for NAT TCP flows after a FIN or RST
icmp-timeout Specify timeout for NAT ICMP flows
max-entries Specify maximum number of NAT entries
port-timeout Specify timeout for NAT TCP/UDP port specific flows
pptp-timeout Specify timeout for NAT PPTP flows
routemap-entry-timeout Specify timeout for routemap created half entry
syn-timeout Specify timeout for NAT TCP flows after a SYN and no
further data
tcp-timeout Specify timeout for NAT TCP flows
timeout Specify timeout for dynamic NAT translations
udp-timeout Specify timeout for NAT UDP flows
NAT-Router(config)#
・outsideのソースNATでホストルートまたは、natコマンドの末尾にadd route、もしくは構成が単純でこれらを考えずともよいか、いろいろ。
・双方向NATはトゥわいすNAT、注意事項はoutsideのソースNATと同じか。
また、ルートマップ使用で宛先毎にソースを変えるとき、ルートマップ中のソース変換アドレスが next hop として指定されることに若干違和感が、これは私の中の問題だが。
0 件のコメント:
コメントを投稿