IP アドレッシング:NAT コンフィギュレーション ガイド、Cisco IOS XE Release 3S(ASR 1000)
NAT のモニタリングおよびメンテナンス
NAT のモニタリングおよびメンテナンス
発行日;2013/07/22   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

NAT のモニタリングおよびメンテナンス

このモジュールでは、次の内容について説明します。

  • 変換情報と統計表示を使用したネットワーク アドレス変換(NAT)のモニタリング。
  • タイムアウトの期限切れ前に NAT 変換をクリアすることによる、NAT のメンテナンス。
  • システム エラー メッセージ、例外、他の情報の syslog によるログとトラッキングを利用した、NAT 変換のロギングのイネーブル化。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

NAT のモニタリングおよびメンテナンスの前提条件

このモジュールの作業を実行する前に、「IP アドレス節約のための NAT 設定」モジュールで説明されている概念をよく理解し、ご使用のネットワークで NAT を設定しておく必要があります。

NAT のモニタリングおよびメンテナンスの制約事項

一連のルールを設定してネットワーク アドレス変換(NAT)データベースに変更を加えると、NAT データベースが過渡状態となります。 データベースは、これらの変更が同期されると動作を開始します。 過渡状態の NAT では、NAT データベースへのアクセスを必要とする操作は許可されません。NAT データベースにアクセスしようとすると、「% NAT: System Busy. Try later.」メッセージがデバイスのコンソールに表示されます。 debug コマンドのログに、この過渡状態期間にドロップされたパケットに関する情報が表示されます。

この動作を回避するには、NAT 設定の変更をずらして行います。 または、NAT ルールの適用時に、no ip nat inside および no ip nat outside コマンドを使用して、インターフェイス レベルで NAT を一時的にディセーブルにします。

NAT のモニタリングとメンテナンスについて

NAT の表示内容

IP ネットワーク アドレス変換(NAT)の変換情報には、2 つの基本タイプがあります。

変換エントリ

次の内容を含む、変換エントリ情報。

  • アドレスを識別するポートのプロトコル。
  • 1 つ以上の内部のローカル IP アドレスを外部に対して表すために使用できる合法的な IP アドレス。
  • 内部ネットワーク上のホストに割り当てられた IP アドレス(多くの場合 NIC やサービス プロバイダーにより割り当てられた合法的アドレスではない)。
  • 外部ホストが内部ネットワークに出現するときの IP アドレス(多くの場合 NIC やサービス プロバイダーにより割り当てられた合法的アドレスではない)。
  • 外部ネットワーク上のホストに、所有者が割り当てた IP アドレス。
  • エントリが作成されてからの経過時間(「時間:分:秒」形式)。
  • エントリが最後に使用されてからの経過時間(「時間:分:秒」形式)。
  • 変換タイプを示すフラグ。 次のようなフラグがあります。
    • extended:拡張変換。
    • static:スタティック変換。
    • destination:循環式変換。
    • outside:外部変換。
    • timing out:TCP finish(FIN)または reset(RST)フラグにより、以後変換を使用しない。

スタティック情報

スタティック情報には次のような内容が含まれます。

  • システム内でアクティブな変換の総数。 この数値は、変換が作成されるたびに増加し、変換がクリアまたはタイムアウトになるたびに減少します。
  • ip nat outside コマンドで outside とマークされたインターフェイスのリスト。
  • ip nat inside コマンドで inside とマークされたインターフェイスのリスト。
  • ソフトウェアが変換テーブル参照を行ってエントリを発見した回数。
  • ソフトウェアが変換テーブル参照を行ったが、エントリが見つからず、エントリ作成を試行する必要があった回数。
  • ルータが起動されてから、期限切れになった変換の累積数。
  • ダイナミック マッピングについての情報。
  • 内部送信元変換についての情報。
  • 変換に使用されているアクセス リスト番号。
  • プールの名前。
  • そのプールを使用している変換の数。
  • プールで使用されている IP ネットワーク マスク。
  • プール範囲の開始 IP アドレス。
  • プール範囲の終了 IP アドレス。
  • プールのタイプ。 汎用タイプまたは循環タイプです。
  • 変換に使用可能なプール内のアドレスの数。
  • 使用されているアドレスの数。
  • プールからの割り当てに失敗した数。

NAT では、ログ オプションを持つアクセス コントロール リスト(ACL)をサポートしません。 同様の機能は、次のオプションのいずれかを使用して実現できます。

  • ロギング オプションを持つ物理インターフェイスまたは仮想 LAN(VLAN)
  • NetFlow の使用。
  • syslog 機能の使用。

Syslog の使用方法

Syslog 分析により、システム エラー メッセージ、例外、他の情報(デバイス コンフィギュレーションの変更など)の集約的なログ作成とトラッキングが行えます。 記録されたエラー メッセージ データを使用して、ルータとネットワーク パフォーマンスの分析が行えます。 業務に重要な情報とメッセージをまとめたレポートを作成するよう、Syslog 分析をカスタマイズすることが可能です。

詳しくは、『Resource Manager Essentials and Syslog Analysis: How-To』マニュアルを参照してください。

http:/​/​www.cisco.com/​warp/​public/​477/​RME/​rme_​syslog.html

NAT のモニタリング方法とメンテナンス方法

NAT 変換情報の表示

手順の概要

    1.    enable

    2.    show ip nat translations [verbose]

    3.    show ip nat statistics


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 show ip nat translations [verbose]


    例:
    Device# show ip nat translations
     

    (任意)アクティブな NAT 変換を表示します。

     
    ステップ 3 show ip nat statistics


    例:
    Device# show ip nat statistics
     

    (任意)アクティブな NAT 変換の統計を表示します。

     

    例:

    次に、show ip nat translations コマンドの出力例を示します。

    Device# show ip nat translations
    
    Pro Inside global         Inside local       Outside local        Outside global
    tcp 192.168.1.1:514      192.168.2.3:53     192.168.2.22:256     192.168.2.22:256
    tcp 192.168.1.1:513      192.168.2.2:53     192.168.2.22:256     192.168.2.22:256
    tcp 192.168.1.1:512      192.168.2.4:53     192.168.2.22:256     192.168.2.22:256
    Total number of translations: 3

    次に、show ip nat translations verbose コマンドの出力例を示します。

    Device# show ip nat translations verbose
    
    Pro Inside global        Inside local       Outside local      Outside global
    tcp 192.168.1.1:514      192.168.2.3:53     192.168.2.22:256     192.168.2.22:256
             create 04/09/11 10:51:48, use 04/09/11 10:52:31, timeout: 00:01:00
             Map-Id(In):1, Mac-Address: 0000.0000.0000 Input-IDB: GigabitEthernet0/3/1
              entry-id: 0x8ef80350, use_count:1
    tcp 192.168.1.1:513      192.168.2.2:53     192.168.2.22:256     192.168.2.22:256
             create 04/09/11 10:51:48, use 04/09/11 10:52:31, timeout: 00:01:00
             Map-Id(In):1, Mac-Address: 0000.0000.0000 Input-IDB: GigabitEthernet0/3/1
              entry-id: 0x8ef801b0, use_count:1
    tcp 192.168.1.1:512      192.168.2.4:53     192.168.2.22:256     192.168.2.22:256
             create 04/09/11 10:51:48, use 04/09/11 10:52:31, timeout: 00:01:00
             Map-Id(In):1, Mac-Address: 0000.0000.0000 Input-IDB: GigabitEthernet0/3/1
              entry-id: 0x8ef80280, use_count:1
    Total number of translations: 3

    次に、show ip nat statistics コマンドの出力例を示します。

    Device# show ip nat statistics
    
    Total active translations: 3 (0 static, 3 dynamic; 3 extended) 
    Outside interfaces: 
    GigabitEthernet0/3/0 
    Inside interfaces: 
    GigabitEthernet0/3/1 
    Hits: 3228980 Misses: 3 
    CEF Translated packets: 0, CEF Punted packets: 0 
    Expired translations: 0 
    Dynamic mappings: 
    -- Inside Source 
    [Id: 1] access-list 1 pool pool1 refcount 3 
      pool pool1: netmask 255.255.255.0 
      start 198.168.1.1 end 198.168.254.254 
      type generic, total addresses 254, allocated 0 (0%), misses 0 
      longest chain in pool: pool1's addr-hash: 0, average len 0,chains 0/256 
      Pool stats drop: 0 Mapping stats drop: 0 
      Port block alloc fail: 0 
      IP alias add fail: 0 
      Limit entry add fail: 0 
    

    タイムアウト前の NAT エントリのクリア

    デフォルトでは、ある時点でダイナミック アドレス変換は NAT 変換テーブルからタイムアウトになります。 タイムアウトの前にエントリをクリアするには、次の作業を実行します。

    手順の概要

      1.    enable

      2.    clear ip nat translation inside global-ip local-ip outside local-ip global-ip

      3.    clear ip nat translation outside global-ip local-ip

      4.    clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port global-ip global-port

      5.    clear ip nat translation {* | [forced] | [inside global-ip local-ip] [outside local-ip global-ip]}

      6.    clear ip nat translation inside global-ip local-ip [forced]

      7.    clear ip nat translation outside local-ip global-ip [forced]


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。
       
      ステップ 2 clear ip nat translation inside global-ip local-ip outside local-ip global-ip


      例:
      Device# clear ip nat translation inside 192.168.2.209 192.168.2.95 outside 192.168.2.100 192.168.2.101
       

      (任意)内部変換を含む単一のダイナミック ハーフエントリ、またはダイナミック設定で作成された内部変換と外部変換の両方をクリアします。

      • ダイナミック ハーフエントリがクリアされるのは、子変換を持たない場合だけです。
       
      ステップ 3 clear ip nat translation outside global-ip local-ip


      例:
      Device# clear ip nat translation outside 192.168.2.100 192.168.2.80
       

      (任意)ダイナミック設定で作成された外部変換を含む単一のダイナミック ハーフエントリをクリアします。

      • ダイナミック ハーフエントリがクリアされるのは、子変換を持たない場合だけです。
       
      ステップ 4 clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port global-ip global-port


      例:
      Device # clear ip nat translation udp inside 192.168.2.209 1220 192.168.2.195 1220 outside 192.168.2.13 53 192.168.2.132 53
       

      (任意)UDP 変換エントリだけをクリアします。

       
      ステップ 5 clear ip nat translation {* | [forced] | [inside global-ip local-ip] [outside local-ip global-ip]}


      例:
      Device# clear ip nat translation * 
       

      (任意)ダイナミック変換すべて(* もしくは forced キーワードを使用)、内部変換を含む単一のダイナミック ハーフエントリ、外部変換を含む単一のダイナミック ハーフエントリのいずれかをクリアします。

      • 単一のダイナミック ハーフエントリがクリアされるのは、子変換を持たない場合だけです。
       
      ステップ 6 clear ip nat translation inside global-ip local-ip [forced]


      例:
      Device# clear ip nat translation inside 192.168.2.209 192.168.2.195 forced
       

      (任意)対応する外部変換の有無にかかわらず、ダイナミック設定で作成された内部変換を含む単一のダイナミック ハーフエントリおよびその子変換を、強制的にクリアします。

      • ダイナミック ハーフエントリは、子変換の有無に関係なく、必ずクリアされます。
       
      ステップ 7 clear ip nat translation outside local-ip global-ip [forced]


      例:
      Device# clear ip nat translation outside 192.168.2.100 192.168.2.80 forced
       

      (任意)ダイナミック設定で作成された外部変換を含む単一のダイナミック ハーフエントリおよびその子変換を、強制的にクリアします。

      • ダイナミック ハーフエントリは、子変換の有無に関係なく、必ずクリアされます。
       

      Syslog での NAT 変換ロギングのイネーブル化

      ネットワーク アドレス変換(NAT)をイネーブルにするには、syslog コマンドを使用します。

      Syslog 分析により、システム エラー メッセージ、例外、他の情報(NAT 変換など)の集約的なログ作成とトラッキングが行えます。 記録されたエラー メッセージ データを使用して、ルータとネットワーク パフォーマンスの分析が行えます。 業務に重要な情報とメッセージをまとめたレポートを作成するよう、Syslog 分析をカスタマイズすることが可能です。

      はじめる前に

      この作業の実行前に、ロギングのイネーブル化の確認、サーバの IP アドレスの設定、捕捉するメッセージのレベル確定など、必要な syslog コマンドを特定しておく必要があります。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    ip nat log translations syslog

        4.    no logging console


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。
         
        ステップ 2 configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 ip nat log translations syslog


        例:
        Device(config)# ip nat log translations syslog
         

        syslog の NAT 変換のロギングをイネーブルにします。

         
        ステップ 4 no logging console


        例:
        Device(config)# no logging console 
         

        (任意)ログのコンソールへの表示をディセーブルにします。

        • コンソールへのロギングは、デフォルトでイネーブルになっています。
         

        NAT のモニタリングおよびメンテナンスの例

        例:Syslog での NAT 変換ロギングのイネーブル化

        次の例に、syslog にネットワーク アドレス変換(NAT)エントリを記録する方法を示します。

        Device(config)# logging on
        Device(config)# logging 10.1.1.1
        Device(config)# logging trap informational
        Device(config)# ip nat log translations syslog
        

        NAT 情報の記録フォーマット(インターネット制御メッセージプロトコル(ICMP)ping には NAT オーバーロード設定を介するなど)は、次のとおりです。

        Apr 25 11:51:29 [10.0.19.182.204.28] 1: 00:01:13: NAT:Created icmp
        10.135.5.2:7 171 10.106.151.30:7171 192.168.2.209:7171
        192.168.2.209:7171
        Apr 25 11:52:31 [10.0.19.182.204.28] 8: 00:02:15: NAT:Deleted icmp
        10.135.5.2:7 172 10.106.151.30:7172 192.168.2.209:7172
        192.168.2.209:7172
        

        例:UDP NAT 変換のクリア

        次に、UDP エントリのクリア前後のネットワーク アドレス変換(NAT)エントリの例を示します。

        Device# show ip nat translation
        Pro Inside global        Inside local         Outside local      Outside global
        udp 192.168.2.20:1220  		192.168.2.95:1220    192.168.2.22:53 			192.168.2.20:53
        tcp 192.168.2.20:11012   192.168.2.209:11012  171.69.1.220:23    192.168.2.20:23
        tcp 192.168.2.20:1067    192.168.2.20:1067    192.168.2.20:23    192.168.2.20:23
        
        Device# clear ip nat translation udp inside 192.168.2.20:1067 192.168.2.20:1067 outside 192.168.2.20:23 192.168.2.20:23
        Device# show ip nat translation
         
        Pro Inside global      Inside local        Outside local      Outside global
        udp 192.168.2.20:1220  192.168.2.95:1220   192.168.2.22:53 			192.168.2.20:53
        tcp 192.168.2.20:11012 192.168.2.209:11012 171.69.1.220:23    192.168.2.20:23
        

        次の作業

        • アプリケーション レベル ゲートウェイで使用するための NAT の設定については、「NAT でのアプリケーション レベル ゲートウェイの使用」モジュールを参照してください。
        • NAT と MPLS VPN の統合については、「MPLS VPN と NAT の統合」モジュールを参照してください。
        • ハイ アベイラビリティを得るための NAT の設定については、「ハイ アベイラビリティ用 NAT の設定」モジュールを参照してください。

        NAT のモニタリングおよびメンテナンスに関するその他の関連資料

        関連資料

        関連項目

        マニュアル タイトル

        Cisco IOS コマンド

        『Cisco IOS Master Command List, All Releases』

        NAT コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト、使用に関する注意事項、および例

        『Cisco IOS IP Addressing Services Command Reference』

        Resource Manager Essentials と Syslog 分析:方法

        『Resource Manager Essentials and Syslog Analysis: How to』

        IP アドレス節約のための NAT

        「Configuring NAT for IP Address Conservation」モジュール

        シスコのテクニカル サポート

        説明

        リンク

        シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

        NAT のモニタリングとメンテナンスの機能情報

        次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

        表 1 NAT のモニタリングとメンテナンスの機能情報

        機能名

        リリース

        機能情報

        NAT:ダイナミック NAT ハーフエントリの強制的クリア

        12.2(15)T

        2 つ目の forced キーワードが clear ip nat translation コマンドに追加され、子変換の有無にかかわらずハーフエントリを削除できるようになりました。