Scribd Logo
Carica

Benvenuto in Scribd!

  • 5 4 1TroubleshootACLeNAT

    Caricato da

    Anonymous 8g4v2F
    9 visualizzazioni10 pagine
    TroubleshootACLeNAT

    Titolo originale

    5.4.1TroubleshootACLeNAT (1)

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    TroubleshootACLeNAT

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    9 visualizzazioni10 pagine

    5 4 1TroubleshootACLeNAT

    Caricato da

    Anonymous 8g4v2F
    TroubleshootACLeNAT

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 10

    Troubleshoot ACL e NAT

    1
    Linee Guida Risoluzione Problemi ACL
    La metodologia da utilizzare per risolvere un problema deve essere
    rigorosa e razionale ed è fondamentale procedere di volta in volta per
    passaggi e affinamenti via via successivi fino ad arrivare alla
    motivazione per cui è accaduto l’evento. Come spesso accade un
    problema può essere generato da più cause e non adottando un ben
    determinato criterio potresti perdere molto tempo prima di trovare il
    bandolo della matassa.
    Quando è presente un problema, dovresti innanzitutto:

    1. Stabilire con accuratezza il funzionamento normale e corretto


    dell’infrastruttura. Per predirlo puoi utilizzare oltre a schemi e file

    2
    di configurazione, anche l’output generato dai comandi show e
    debug
    2. Isolare il problema stabilendo da quanto tempo è presente, se
    in concomitanza del malfunzionamento sono stati riscontrate altre
    anomalie ecc.
    3. Analisi della causa che ha generato il problema; una volta
    identificata la causa sarà assai semplice applicare l’azione
    correttiva in grado di ripristinare il tutto.

    Quando sei chiamato a risolvere problemi legati a una non corretta


    implementazione di ACL, tieni sempre bene a mente i seguenti punti:

    3
    • Le ACL Extended devono essere configurate il più vicino
    possibile alla sorgente del pacchetto;
    • Le ACL Standard devono essere configurate il più vicino
    possibile alla destinazione del pacchetto, in quanto potrebbero
    scartare involontariamente traffico autorizzato se poste in
    prossimità della sorgente;
    • Un’ACL è una lista sequenziale di regole. Il router legge le entry
    dalla prima all’ultima e interrompe la lettura una volta che viene
    rilevato un matching. Per questo motivo, è buona norma
    posizionare le regole più specifiche all’inizio della ACL, in modo
    da esser consultate per prime

    4
    • Prima di apportare modifiche ad un’ACL, disabilitala dando il
    comando no ip access-group sull’interfaccia su di cui è applicata.
    • Dando il comando no ip access-lists sono rimosse tutte le entry
    dell’ACL. Per ACL numbered, associa sempre un Sequence
    Number a ciascuna riga.

    La procedura generale da utilizzare per la risoluzione delle


    problematiche è invece la seguente:

     Raccogli quante più informazioni possibili sull’evento: quando


    è accaduto, da cosa è stato generato ecc.

    5
     Stabilisci il percorso fatto dai pacchetti per andare dalla
    Sorgente alla Destinazione
     Iniziando dal router più vicino alla sorgente e spostandoti via
    via verso la destinazione, verifica che non siano presenti ACL che
    possano interferire nel flusso dati
     Verifica che l’ACL di interesse sia presente solo sul router più
    vicino alla sorgente/destinazione del pacchetto
     Verifica che l’ACL sia configurata sull’interfaccia corretta del
    router
     Verifica che il verso configurato sull’interfaccia (In/Out) sia
    corretto

    6
     Verifica il contenuto dell’ACL dando il comando show ip
    access-lists; verifica che non siano presenti regole in grado di
    bloccare il traffico;
     Verifica che la Wildcard Mask sia corretta;

    7
    Linee Guida Problematiche NAT
    Quando sei chiamato a risolvere problemi legati a una non corretta
    implementazione di NAT, tieni sempre bene a mente i seguenti punti:

    • Se si fa uso di Dynamic NAT e se gli indirizzi definiti nel pool


    terminano, il router scarta il pacchetto
    • Il traffico da nattare è definito per mezzo di ACL nel caso in cui si
    utilizzi Dynamic NAT o PAT
    • La corrispondenza indirizzi Local-Global utilizzando Static Nat è
    1:1

    8
    La procedura generale da utilizzare per la risoluzione delle
    problematiche è invece la seguente:

     Verifica che l’ambito configurato sulle interfacce di interesse


    sia corretto. In altre parole verifica la correttezza del comando ip
    nat inside/outside;
     Se fai utilizzo di Static NAT, verifica la presenza del comando
    ip nat inside source static e verifica che contenga come primo
    parametro l’indirizzo Inside Local e come secondo l’indirizzo
    Inside Global;
     Se fai utilizzo di Dynamic NAT, verifica la presenza di un
    ACL e se identifica correttamente il traffico da nattare;

    9
     Se fai utilizzo di Dynamic NAT, verifica la configurazione del
    Pool di indirizzi e accertati che contenga un numero di IP
    sufficienti a nattare tutti gli indirizzi Local;
     Se fai utilizzo di PAT, verifica che sia presente il termine
    overload nel comando utilizzato per abilitare il NAT;

    10

    Potrebbero piacerti anche