Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド
NAT のモニタリングおよびメンテナンス
NAT のモニタリングおよびメンテナンス
発行日;2012/02/05 | 英語版ドキュメント(2011/07/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

NAT のモニタリングおよびメンテナンス

機能情報の入手方法

この章の構成

NAT のモニタリングおよびメンテナンスの前提条件

NAT のモニタリングおよびメンテナンスについて

NAT の表示内容

変換エントリ

統計情報

Syslog の使用方法

NAT のモニタおよびメンテナンスの手順

NAT 変換情報の表示

NAT 変換情報の表示:例

タイムアウト前の NAT エントリのクリア

NAT 変換をロギングするための syslog のイネーブル化

前提条件

NAT のモニタリングおよびメンテナンスの例

UDP NAT 変換のクリア:例

Syslog のイネーブル化:例

関連情報

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

NAT のモニタリングおよびメンテナンスの機能情報

NAT のモニタリングおよびメンテナンス

このモジュールでは次の方法について説明します。

変換情報および統計情報の表示を使用した Network Address Translation(NAT; ネットワーク アドレス変換)のモニタ

タイムアウトの期限切れ前に NAT 変換をクリアする NAT のメンテナンス

syslog でシステム エラー メッセージ、例外、その他の情報をロギングおよび追跡して行う、NAT 変換のロギングのイネーブル化

機能情報の入手方法

ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「NAT のモニタリングおよびメンテナンスの機能情報」 を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

NAT のモニタリングおよびメンテナンスの前提条件

このモジュールの作業を実行する前に、「IP アドレス保護用 NAT の設定」モジュールで説明する概念を理解し、NAT を設定する必要があります。

NAT のモニタリングおよびメンテナンスについて

このモジュールの作業を実行する前に、次の概念を理解しておく必要があります。

「NAT の表示内容」

「Syslog の使用方法」

NAT の表示内容

IP NAT 変換情報には次の 2 種類の基本タイプがあります。

「変換エントリ」

「統計情報」

変換エントリ

変換エントリ情報には、次の内容が含まれています。

アドレス識別ポートのプロトコル。

外部への 1 つ以上の内部ローカル IP アドレスを表す正規の IP アドレス。

内部ネットワーク上のホストに割り当てられている IP アドレス。NIC またはサービス プロバイダーから割り当てられた正規のアドレスではないと考えられます。

内部ネットワークに表示される外部ホストの IP アドレス。NIC またはサービス プロバイダーから割り当てられた正規のアドレスではないと考えられます。

外部ネットワーク上のホストにオーナーから割り当てられている IP アドレス。

エントリが作成されてからの経過時間(時:分:秒)。

エントリが最後に使用されてからの経過時間(時:分:秒)。

変換タイプを示すフラグ。使用できるフラグは次のとおりです。

extended:拡張変換

static:スタティック変換

destination:ロータリー変換

outside:外部変換

timing out:TCP の終了(FIN)フラグまたはリセット(RST)フラグにより、今後、変換は使用されません。

統計情報

統計情報に含まれる項目は次のとおりです。

システムでアクティブになっている変換の合計数。この数字は変換の作成ごとに増分し、変換のクリアまたはタイムアウトごとに減少します。

ip nat outside コマンドで外部としてマークされているインターフェイスのリスト。

ip nat inside コマンドで内部としてマークされているインターフェイスのリスト。

ソフトウェアが変換テーブルをルックアップしてエントリを見つけた回数。

ソフトウェアが変換テーブルをルックアップしてエントリが見つからず、新規作成が必要となる回数。

ルータがブートして以降、期限切れになった変換の累積回数。

ダイナミック マッピングに関する情報。

内部の発信元変換に関する情報。

変換で使用されているアクセス リストの番号。

プールの名前。

このプールを使用する変換の数。

プールで使用中の IP ネットワーク マスク。

プール範囲の開始 IP アドレス。

プール範囲の終了 IP アドレス。

プールのタイプ。使用できるタイプは、generic または rotary です。

変換で利用可能なプールのアドレスの数。

使用中のアドレスの数。

プールからの割り当てが失敗した回数。

NAT は、ACL のログ オプションはサポートしていません。同様の機能は、次のいずれかのオプションを使用すると実行できます。

物理インターフェイスまたは VLAN にロギング オプションを設定

NetFlow の使用

syslog 機能の使用

Syslog の使用方法

Syslog Analysis を使用すると、システム エラー メッセージ、例外、およびその他の情報(デバイスの設定変更など)を集中的にロギングおよび追跡できます。ロギングされたエラー メッセージ データを使用して、ルータとネットワークのパフォーマンスを分析できます。Syslog Analysis をカスタマイズして、動作に関する重要なメッセージ レポートを作成できます。

詳細については、次の URL から、『 Resource Manager Essentials and Syslog Analysis: How-To 』マニュアルを参照してください

http://www.cisco.com/warp/public/477/RME/rme_syslog.html

NAT のモニタおよびメンテナンスの手順

ここでは、次の各手順について説明します。

「NAT 変換情報の表示」(任意)

「タイムアウト前の NAT エントリのクリア」(任意)

「NAT 変換をロギングするための syslog のイネーブル化」(任意)

NAT 変換情報の表示

この作業を実行して、変換データと統計情報を表示します。

手順の概要

1. enable

2. show ip nat translations [ verbose ]

3. show ip nat statistics

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip nat translations [ verbose ]

 

Router# show ip nat translations

(任意)アクティブな NAT 変換を表示します。

ステップ 3

show ip nat statistics

 

Router# show ip nat statistics

(任意)アクティブな NAT 変換の統計情報を表示します。

NAT 変換情報の表示:例

ここでは、次の例について説明します。

「NAT 変換の表示」

「NAT 統計情報の表示」

NAT 変換の表示

次に、 show ip nat translations コマンドの出力例を示します。オーバーロードなしの場合は、2 つの内部ホストがいくつかの外部ホストとパケットを交換します。

Router# show ip nat translations
 
Pro Inside global Inside local Outside local Outside global
 
--- 192.168.2.1 192.168.2.12 --- ---
 
--- 192.168.2.21 192.168.2.89 --- --

 

オーバーロードありの場合は、Domain Name Server(DNS; ドメイン ネーム サーバ)トランザクションの変換がまだアクティブであり、2 つの Telnet セッション(それぞれ異なるホストからの)もまたアクティブです。2 つの異なる内部ホストが外部には単一の IP アドレスで表示されることに注意してください。

Router# show ip nat translations
 
Pro Inside global Inside local Outside local Outside global
 
udp 192.168.2.20:1220 192.168.2.95:1220 192.168.2.22:53 192.168.2.20:53
 
tcp 192.168.2.20:11012 192.168.2.209:11012 192.168.1.220:23 192.168.2.20:23
 
tcp 192.168.2.20:1067 192.168.2.20:1067 192.168.2.20:23 192.168.2.20:23

 

次に、 verbose キーワードを指定した出力例を示します。

 
Router# show ip nat translations verbose
 
 
Pro Inside global Inside local Outside local Outside global
 
udp 192.168.2.20:1220 192.168.2.23:1220 192.168.2.24:53 192.168.2.25:53
 
create 00:00:02, use 00:00:00, flags: extended
 
tcp 192.168.2.23:11012 192.168.2.30:11012 192.168.2.20:23 192.168.2.28:23
 
create 00:01:13, use 00:00:50, flags: extended
 
tcp 192.168.2.24:1067 192.168.2.29:1067 192.168.2.20:23 192.168.2.50:23
 
create 00:00:02, use 00:00:00, flags: extended

NAT 統計情報の表示

次に、 show ip nat statistics コマンドの出力例を示します。

Router# show ip nat statistics
 
Total translations: 2 (0 static, 2 dynamic; 0 extended)
Outside interfaces: Serial0
Inside interfaces: Ethernet1
Hits: 135 Misses: 5
Expired translations: 2
Dynamic mappings:
-- Inside Source
access-list 1 pool net-208 refcount 2
pool net-208: netmask 255.255.255.240
start 192.168.0.0 end 192.168.255.255
type generic, total addresses 14, allocated 2 (14%), misses 0

タイムアウト前の NAT エントリのクリア

デフォルトでは、ダイナミック アドレス変換は NAT 変換テーブルからある時点でタイムアウトします。タイムアウトする前に、次の作業を行ってエントリをクリアします。

手順の概要

1. enable

2. clear ip nat translation inside global-ip local-ip outside local-ip global-ip

3. clear ip nat translation outside global-ip local-i p

4. clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port-global-ip global-port

5. clear ip nat translation {* | [ forced ] | [ inside global-ip local-ip ] [ outside local-ip global-ip ]}

6. clear ip nat translation inside global-ip local-ip [ forced ]

7. clear ip nat translation outside local-ip global-ip [ forced ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear ip nat translation inside global-ip local-ip outside local-ip global-ip

 

Router# clear ip nat translation inside 192.168.2.209 1220 192.168.2.95 1220

outside 192.168.2.100 53 192.168.2.101 53

(任意)内部変換を含む単一のダイナミックなハーフエントリをクリアするか、ダイナミック設定で作成された内部変換と外部変換の両方のエントリをクリアします。

ダイナミックなハーフエントリは、子変換を持たない場合に限り、クリアされます。

ステップ 3

clear ip nat translation outside global-ip local-i p

 

Router# clear ip nat translation outside 192.168.2.100 1220 192.168.2.80

(任意)ダイナミック設定で作成された外部変換を含む、単一のダイナミックなハーフエントリをクリアします。

ダイナミックなハーフエントリは、子変換を持たない場合に限り、クリアされます。

ステップ 4

clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port-global-ip global-port

 

Router# clear ip nat translation udp inside 192.168.2.209 1220 192.168.2.195 1220

outside 192.168.2.13 53 192.168.2.132 53

(任意)UDP 変換エントリをクリアします。

ステップ 5

clear ip nat translation {* | [ forced ] | [ inside global-ip local-ip ] [ outside local-ip global-ip ]}

 

Router# clear ip nat translation *

(任意)すべてのダイナミック変換( * または forced キーワード指定)をクリアするか、内部変換を含む単一のダイナミックなハーフエントリまたは外部変換を含む単一のダイナミックなハーフエントリをクリアします。

単一のダイナミックなハーフエントリをクリアするときは、子変換を持たない場合に限りクリアされます。

ステップ 6

clear ip nat translation inside global-ip local-ip [ forced ]

 

Router# clear ip nat translation *

(任意)ダイナミック設定で作成された内部変換を含む、単一のダイナミックなハーフエントリとその子変換を強制的にクリアします。この内部変換には対応する外部変換がある場合とない場合があります。

ダイナミックなハーフエントリは、子変換を持つかどうかにかかわらず常にクリアされます。

ステップ 7

clear ip nat translation outside local-ip global-ip [ forced ]

 

Router# clear ip nat translation *

(任意)ダイナミック設定で作成された外部変換を含む、単一のダイナミックなハーフエントリとその子変換を強制的にクリアします。

ダイナミックなハーフエントリは、子変換を持つかどうかにかかわらず常にクリアされます。

NAT 変換をロギングするための syslog のイネーブル化

NAT 変換のロギングは syslog コマンドでイネーブルまたはディセーブルに設定できます。

Syslog Analysis を使用すると、システム エラー メッセージ、例外、およびその他の情報(NAT 変換など)を集中的にロギングおよび追跡できます。ロギングされたエラー メッセージ データを使用して、ルータとネットワークのパフォーマンスを分析できます。Syslog Analysis をカスタマイズして、動作に関する重要なメッセージ レポートを作成できます。

前提条件

この作業を行う前に、ロギングがイネーブルかどうかの確認、サーバの IP アドレスの設定、トラップするメッセージ レベルの確立など、必要な作業を行う syslog コマンドを指定する必要があります。

手順の概要

1. enable

2. configure terminal

3. ip nat log translations syslog

4. no logging console

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip nat log translations syslog

 

Router(config)# ip nat log translations syslog

NAT 変換をロギングするために syslog をイネーブルにします。

ステップ 4

no logging console

 

Router(config)# no logging console

(任意)コンソールへのログ表示をディセーブルにします。

コンソールへのロギングはデフォルトでイネーブルになっています。

NAT のモニタリングおよびメンテナンスの例

ここでは、次の設定例について説明します。

「UDP NAT 変換のクリア:例」

「Syslog のイネーブル化:例」

UDP NAT 変換のクリア:例

次に、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)エントリがクリアされる前と後の NAT エントリの例を示します。

Router# show ip nat translation

 

Pro Inside global Inside local Outside local Outside global
 
udp 192.168.2.20:1220 192.168.2.95:1220 192.168.2.22:53 192.168.2.20:53
 
tcp 192.168.2.20:11012 192.168.2.209:11012 171.69.1.220:23 192.168.2.20:23
 
tcp 192.168.2.20:1067 192.168.2.20:1067 192.168.2.20:23 192.168.2.20:23
 
Router# clear ip nat translation udp inside 192.168.2.20:1067 192.168.2.20:1067 outside 192.168.2.20:23 192.168.2.20:23
 
Router# show ip nat translation
 
Pro Inside global Inside local Outside local Outside global
 
udp 192.168.2.20:1220 192.168.2.95:1220 192.168.2.22:53 192.168.2.20:53
 
tcp 192.168.2.20:11012 192.168.2.209:11012 171.69.1.220:23 192.168.2.20:23
 

Syslog のイネーブル化:例

次に、NAT エントリを syslog にロギングする例を示します。

Router(config)# logging on
Router(config)# logging 1.1.1.1
Router(config)# logging trap informational
Router(Config)# ip nat log translations syslog

 

NAT 情報(NAT オーバーロード設定による ICMP Ping など)は次の形式でロギングされます。

Apr 25 11:51:29 [10.0.19.182.204.28] 1: 00:01:13: NAT:Created icmp
135.135.5.2:7 171 12.106.151.30:7171 54.45.54.45:7171
54.45.54.45:7171
Apr 25 11:52:31 [10.0.19.182.204.28] 8: 00:02:15: NAT:Deleted icmp
135.135.5.2:7 172 12.106.151.30:7172 54.45.54.45:7172
54.45.54.45:7172
 

関連情報

アプリケーション レベル ゲートウェイで使用するように NAT を設定するには、「アプリケーション レベル ゲートウェイでの NAT の使用」モジュールを参照してください。

NAT と MPLS VPN の統合については、「MPLS VPN と NAT の統合」モジュールを参照してください。

ハイ アベイラビリティを実現するために NAT を設定するには、「ハイ アベイラビリティ用 NAT の設定」モジュールを参照してください。

その他の関連資料

次に、NAT のモニタリングおよびメンテナンスに関連する関連資料を示します。

関連資料

関連項目
参照先

NAT コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services , Release 12.3 』の「 IP Addressing Commands」の章

規格

規格
タイトル

なし

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、資料やツールなど幅広いオンライン リソースが用意されており、シスコの製品およびテクノロジーに関するトラブルシューティングや技術的な問題の解決などに役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

コマンド リファレンス

次に示すコマンドは、このモジュールに記載されている機能または機能群において、新たに導入または変更されたものです。これらのコマンドの詳細については、『 Cisco IOS <Technology> Command Reference 』( http://www.cisco.com/en/US/docs/ios/ipaddr/command/reference/iad_cr_book.html )を参照してください。すべての Cisco IOS コマンドの詳細については、 http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、 http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html にある、『 Cisco IOS Master Command List, All Releases 』を参照してください。

この機能には新しいコマンドまたは変更されたコマンドはありません。

NAT のモニタリングおよびメンテナンスの機能情報

表 1 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(1)、Cisco IOS Releases 12.2(1) または 12.0(3)S 以降のリリースで初めて導入されたか変更された機能だけを示しています。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していない限り、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 NAT のモニタリングおよびメンテナンスの機能情報

機能名
リリース
機能情報

NAT:ダイナミック NAT ハーフエントリの強制クリア

Cisco IOS 12.2 (33) XND

子変換を持つかどうかにかかわらずハーフエントリの削除をイネーブルにするための 2 番目の forced キーワードが clear ip nat translation コマンドに追加されました。