Scribd Logo
Upload

Welcome to Scribd!

  • Workbook 1

    Uploaded by

    Sato Haruna
    19 views3 pages

    Original Title

    workbook1

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    19 views3 pages

    Workbook 1

    Uploaded by

    Sato Haruna

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    Ticket1.

    NAT-ACL
    【解説】
    トラブルの事象をまとめてみます。
    ①各クライアントに DHCP のアドレス配布されている。
    ②各クライアントから FTP サーバ(10.2.2.10)に ping ができる
    ③各クライアントから WEB サーバ(209.65.200.241)に ping ができない
    ④各クライアントから R1 の WAN 側インタフェース(209.65.200.225)に ping ができる
    ⑤各クライアントから ISP のアドレス(209.65.200.226)に ping ができない
    ⑥両 ASW から WEB サーバ(209.65.200.241)に ping ができない
    ⑦両 DSW から WEB サーバ(209.65.200.241)に ping ができる
    ⑧各ルータから WEB サーバ(209.65.200.241)に ping ができる

    PC1#show ip int brie | exc una ---->①


    Interface IP-Address OK? Method Status Protocol
    Ethernet0/1 10.2.1.15 YES DHCP up up
    PC1#
    PC1#ping 10.2.2.1 ---->②
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
    PC1#ping 209.65.200.241 ---->③
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 209.65.200.241, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    PC1#ping 209.65.200.225 ---->④
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 209.65.200.225, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 52/53/56 ms
    PC1#ping 209.65.200.226 ---->⑤
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 209.65.200.226, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    PC1#

    ①、②の結果から内部ネットワークには障害がないと予想できます。
    ③ping の結果が Timeout なので、R1 のルーティングテーブルに問題がないと予想できます。
    ※R1 が 209.65.200.241 への経路を持っていなければ Destination-Unreachable(U . U . U)に
    なるはずです。
    R1>show ip route

    Gateway of last resort is not set

    < 中 略 >

    209.65.200.0/24 is variably subnetted, 3 subnets, 3 masks


    C 209.65.200.224/30 is directly connected, Serial0/1
    L 209.65.200.225/32 is directly connected, Serial0/1
    B 209.65.200.240/29 [20/0] via 209.65.200.226, 00:11:25
    R1 のルーティング情報が完全な状態であるにも関わらず④、⑤の結果が起こっていることから
    ・アクセスリストによるフィルタリング
    ・ISP 間で動作している NAT
    二つのポイントを絞って R1 の状況確認を行います。
    R1#show ip int | i up|access list
    Serial0/0 is up, line protocol is up
    Serial0/0.12 is up, line protocol is up
    Multicast reserved groups joined: 224.0.0.5
    Outgoing access list is not set
    Inbound access list is not set
    Serial0/1 is up, line protocol is up
    Outgoing access list is not set
    Inbound access list is edge_security
    Loopback1 is up, line protocol is up
    Multicast reserved groups joined: 224.0.0.5
    Outgoing access list is not set
    Inbound access list is not set
    NVI0 is up, line protocol is up
    Multicast reserved groups joined: 224.0.0.5
    Outgoing access list is not set
    Inbound access list is not set

    インタフェース Serial1/0 の inbound 方向にアクセスリスト『edge_security』が指定されています。

    R1#show access-list edge_security


    Extended IP access list edge_security
    10 deny ip 10.0.0.0 0.255.255.255 any
    20 deny ip 172.16.0.0 0.15.255.255 any
    30 deny ip 192.168.0.0 0.0.255.255 any
    40 deny ip 127.0.0.0 0.255.255.255 any
    50 permit ip host 209.65.200.241 any
    60 permit ip 209.65.200.224 0.0.0.3 any (88 matches)

    アクセスリストの内容、インタフェースへの適用ともに問題ないと考えられます。

    R1#show ip nat statistics


    Total active translations: 0 (0 static, 0 dynamic; 0 extended)
    Peak translations: 0
    Outside interfaces:
    Serial0/1
    Inside interfaces:
    Serial0/0.12
    Hits: 0 Misses: 0
    CEF Translated packets: 0, CEF Punted packets: 0
    Expired translations: 0
    Dynamic mappings:
    -- Inside Source
    [Id: 1] access-list POOL_NAT interface Serial0/1 refcount 0

    Total doors: 0
    Appl doors: 0
    Normal doors: 0
    Queued Packets: 0
    R1#
    R1#
    R1#show ip nat translations
    R1#
    NAT の設定がされているものの、アドレス変換処理は行われていないようです(show ip nat translations
    の表示結果が全く無い)
    インタフェースの Outside / Inside の設定には問題がありません。アクセスリスト『POOL_NAT』を確
    認します。

    R1#show access-list POOL_NAT


    Standard IP access list POOL_NAT
    10 permit 10.1.0.0, wildcard bits 0.0.255.255
    R1#

    上記の内容では、10.1.0.0 の送信元アドレスを持つパケット(ルータネットワーク)しか NAT の対象に


    なりません。
    これにより、事象の⑥~⑧についても説明できます。
    アクセスリスト『POOL_NAT』にクライアントネットワーク(10.2.0.0)を許可するエントリを追加しま
    す。

    R1#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    R1(config)#ip access-list standard POOL_NAT
    R1(config-std-nacl)#permit 10.2.0.0 0.0.255.255
    R1(config-std-nacl)#end
    R1#
    R1#wr
    Building configuration...
    [OK]
    R1#

    クライアントから WEB サーバへの ping ができるようになりました。

    PC1#ping 209.65.200.241
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 209.65.200.241, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 60/62/64 ms
    PC1#

    【本トラブルチケットのまとめ】
    1.障害のあった機器 : R1
    2.障害のあった技術 : NAT
    3.復旧のための手段 : アクセスリスト『POOL_NAT』に permit 10.2.0.0 0.0.255.255 を追記する

    You might also like