NetCLI

Kategoria: Pozostałe protokoły warstwy III

  • (TK) vAccess Control List*

    (TK) vAccess Control List*

    Wstęp do list vACL

    • Domyślnie listy ACL umożliwiają filtrowanie ruchu przechodzącego pomiędzy różnymi sieciami VLAN, istnieją jednak specjalne listy VACL (VLAN Access Control List) działające w obrębie jednej sieci wirtualnej VLAN.
    • Lista VACL pełni rolę standardowej listy ACL, w warstwie drugiej modelu OSI, może być to lista standardowa (standard IP), rozszerzona (extended IP) jak i lista oparta o adresy MAC (MAC extended).
    • Kroki postępowania podczas konfiguracji listy VACL są następujące:
    • Należy stworzyć listę bądź wiele list ACL, określających adresy dla których zostanie podjęta ustalona w komendzie akcja. Adresy nie pasujące do przynajmniej jednej z list ACL będą blokowane.
    • Utworzyć wpis Access Map z kolejnym numerem sekwencyjnym, przypisując do niego listę ACL bądź listę MAC.
    • Określić jaka akcja ma być podjęta względem określonych przez listę VACL adresów.
    • Przypisać stworzoną Access Mapę do jednej bądź wielu sieci VLAN.

    Konfiguracja list vACL

    Konfiguracja list vACL

    Przykładowa konfiguracja listy vACL została przedstawiona w artykule: Przykładowa konfiguracja listy vACL.

    Konfiguracja listy adresów MAC PACL (Port Access List)

    (config)# mac access-list extended nazwa

    Tworzy nową rozszerzoną listę adresów MAC.

    (config-ext-macl)# {deny / permit} {any / host / źródłowy-adres-MAC} { any / host / docelowy-adres-MAC}

    Określa adres źródłowy MAC oraz docelowy/e adres/y MAC dla danej listy ACL.

    (config-ext-macl)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# mac access-group nazwa in

    Przypisuje konfigurowaną listę MAC ACL do określonego interfejsu sieciowego przełącznika, filtrując tym samym nadchodzący ruch sieciowy.

    Konfiguracja listy vACL

    (config)# vlan access-map nazwa [numer-sekwencyjny]

    Tworzy nową listę VACL.

    (config-access-map)# match {ip / mac} address {lista-ACL / lista-PACL}

    Określa adresy IP bądź adresy MAC, dla których zostanie wykonana poniższa akcja.

    (config-access-map)# action {drop / forward / redirect interfejs}

    Określa jaka akcja zostanie wykonana dla powyższych adresów. W przypadku opcji „Redirect” nadchodzący ruch sieciowy (Dopasowany na podstawie listy ACL) będzie przekierowywany na określony w komędzie interfejs (Next-Hop).

    (config)# vlan filter nazwa vlan-list {VLAN-id / all}

    Przypisuje listę VACL do danego VLAN-u/ów.

    Konfiguracja access-log

    (config)# vlan access-log threshold 0-2147483647

    Xxx

    (config)# vlan access-log maxflow 0-2048

    Xxx

    Komendy SHOW

    # show vlan access-map nazwa-VACL

    Wyświetla wszystkie skonfigurowane listy VACL.

    # show vlan filter

    Wyświetla konfigurację funkcji VLAN filter.

    # show mac access-group interface interfejs

    Wyświetla interfejs z przypisaną do niego listą PACL.

    # show mac access-group

    Wyświetla wszystkie interfejsy przełącznika wraz z przypisanymi do nich listami PACL.

    # show mac access-log config

    Wyświetla konfigurację ustawień „access-log”.

    # show mac access-log statistics

    Wyświetla statystyki dotyczące blokowanego, przepuszczanego, monitorowanego bądź przetrzymywanego w buforze ruchu sieciowego, względem list VACL.

    # show access-list

    Wyświetla wszystkie listy ACL w tym listy PACL.

    Pozostałe tematy związane z sieciami VLAN

  • (T) Konfiguracja listy Infrastructure ACLs*

    (T) Konfiguracja listy Infrastructure ACLs*

    Konfiguracja listy Infrastructure ACLs

    Blokowanie fragmentów pakietów (Packet Fragments)

    (config)# ip access-list extended nazwa-ACL

    (config-ext-nacl)# deny tcp any any fragments

    (config-ext-nacl)# deny udp any any fragments

    (config-ext-nacl)# deny icmp any any fragments

    (config-ext-nacl)# deny ip any any fragments

    CDN …

    Zezwalanie na ruch protokołów routingu dynamicznego oraz ruch management-owy

    CD …

    (config-ext-nacl)# permit tcp host adres-IP-rutera-ISP host adres-IP-rutera eq bgp

    (config-ext-nacl)# permit tcp host adres-IP-rutera-ISP eq bgp host adres-IP-rutera

    (config-ext-nacl)# permit tcp adres-IP-hosta-management-owego any eq 22

    (config-ext-nacl)# permit tcp adres-IP-hosta-management-owego any eq 161

    (config-ext-nacl)# permit icmp adres-IP-hosta-management-owego any echo

    (config-ext-nacl)# denny ip any pula-adresów-sieci-LAN

    (config-ext-nacl)# permit ip any any log

    Przypisywanie listy ACL do interfejsu

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip access-group nazwa-ACL {in / out}

    Przypisuje listę extended ACL do konfigurowanego interfejsu sieciowego.

    Komendy SHOW

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Pozostałe tematy związane z listami ACL

  • (T) Konfiguracja listy Time-based ACLs*

    (T) Konfiguracja listy Time-based ACLs*

    Konfiguracja listy Time-based ACLs

    (config)# time-range nazwa-zakresu-czasu

    Tworzy nową pulę czasową służącą do określenia powtarzających się zakresów czasu, bądź jednorazowego zakresu czasu.

    (config-time-range)# absolute [start 0-24:0-60(Godzina:minuta) 1-31(Dzień) miesiąc(Np. jan) 1993-2035(Rok)] [end 0-24:0-60(Godzina:minuta) 1-31(Dzień) miesiąc(Np. jan) 1993-2035(Rok)]

    Określa pojedynczy okres czasu, definiujący czas rozpoczęcia oraz zakończenia aktywności listy ACL.

    (config-time-range)# periodic [Friday / Monday / Saturday / Sunday / Thursday / Tuesday / Wednesday daily / weekdays / weekend] 0-24:0-60(Godzina:minuta) to czas-dzień-końcowy

    Określa okresowy zakres czasu, definiujący dzień bądź wiele dni tygodnia, w czasie trwania których konfigurowana lista ACL będzie aktywna.

    (config)# ip access-list {standard / extended} nazwa-ACL

    Tworzy nową listę named ACL.

    (config-ext/std-nacl)# {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port time-range nazwa

    Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
    * eq =równy.
    * ne nie równy.
    * it < mniejszy od.
    * gt > większy od.
    * range range:x to yzakres od x do y.

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip access-group nazwa-ACL {in / out}

    Przypisuje listę Time-based ACL do konfigurowanego interfejsu sieciowego.

    # show time-range [nazwa-zakresu-czasu]

    Wyświetla konfigurację wszystkich skonfigurowanych na danym urządzeniu puli czasowych bądź określonej puli czasu.

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Komendy SHOW

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Pozostałe tematy związane z listami ACL

  • (T) Konfiguracja listy Reflexive ACL*

    (T) Konfiguracja listy Reflexive ACL*

    Konfiguracja listy Reflexive ACL

    (config)# ip access-list {standard / extended} nazwa-ACL

    Tworzy nową listę named ACL.

    (config-ext/std-nacl)# {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port reflect nazwa-ACL [timeout 1-2147483(sekundy)]

    Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
    * eq =równy.
    * ne nie równy.
    * it < mniejszy od.
    * gt > większy od.
    * range range:x to yzakres od x do y.

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip access-group nazwa-ACL {in / out}

    Przypisuje listę extended ACL do konfigurowanego interfejsu sieciowego.

    Komendy SHOW

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Pozostałe tematy związane z listami ACL

  • (T) Konfiguracja listy Established ACL*

    (T) Konfiguracja listy Established ACL*

    Konfiguracja listy Established ACL

    (config)# ip access-list {standard / extended} nazwa-ACL

    Tworzy nową listę named ACL.

    (config-ext/std-nacl)# {permit / deny} tcp {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port established

    Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
    * eq =równy.
    * ne nie równy.
    * it < mniejszy od.
    * gt > większy od.
    * range range:x to yzakres od x do y.

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip access-group nazwa-ACL {in / out}

    Przypisuje listę extended ACL do konfigurowanego interfejsu sieciowego.

    Komendy SHOW

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Pozostałe tematy związane z listami ACL

  • (K) Konfiguracja serwera DHCP Relay**

    (K) Konfiguracja serwera DHCP Relay**

    Konfiguracja serwera DHCP Relay

    Hosty korzystające z dynamicznego przydzielania adresów za pomocą protokołu DHCP, wysyłają zapytanie o swój adres IP za pomocą wiadomości rozgłoszeni-owych. Jeżeli klient i server DHCP znajdują się w innych sieciach oddzielonych przez np. ruter, komunikacja rozgłoszeni-owa staje się nie możliwa. Dlatego konieczne jest ustawienie komendy „ip helper-address”. Umożliwia ona przekazywanie pakietów rozgłoszeni-owych, od klienta do serwera w postaci skierowanego ruchu (unicast).

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip helper-address adres-IP(Adres IP serwera DHCP)

    Przetwarza nadchodzące wiadomości rozgłoszeni-owe protokołu DHCP (Oraz innych protokołów), z docelowego adresu rozgłoszeni-owego 255.255.255.255 na docelowy adres IP określony w komendzie (Broadcast -> Unicast).

    (config-if)# ip helper-address adres-IP(Adres IP serwera DHCP)

    Dodaje opcjonalny adres serwera DHCP w celu zachowania nadmiarowości (Nowa komenda nie nadpisuje poprzednio dodanej komendy), w celu usunięcia powyższej komendy należy skorzystać z opcji [no].
    Po skonfigurowaniu większej liczby wpisów „IP helper-address”, ruter wyśle przetworzoną wiadomość rozgłoszeni-ową, na wszystkie skonfigurowane adresy Unicast.
    Po skonfigurowaniu funkcji „IP helper-address”, ruter zacznie zmieniać nadchodzące wiadomości rozgłoszeni-owe na wiadomości unicast. Oprócz nadchodzących pakietów DHCP przetwarzane będą również inne pakiety rozgłoszeni-owe, nadane przez inne protokołu, związku z tym należy ograniczyć zakres obsługiwanych protokołów do niezbędnego minimum.

    (config-if)# no ip forward-protocol udp {tftp / isakmp / nameserver / netbios-dgm / netbios-ns / netbios-ss / ntp / rip / snmp / snmptrap / syslog / tacacs / tftp}

    Wyłącza przekazywanie rozgłoszeni-owych wiadomości (Broadcast) jednego z powyższych protokołów (Komenda może nie być dostępna w niektórych wersjach systemu Cisco IOS).
    Komenda może być wykorzystywana wielokrotne.

    (config-if)# ip dhcp smart-relay

    Dla interfejsów sieciowych posiadających dwa adresy IP bramy domyślnej, agent relay, będzie wykorzystywał adres główny. Zastosowanie komendy [ip dhcp smart-relay] spowoduje że w przypadku, nie uzyskania odpowiedzi od serwera DHCP na zapytanie wysłane z głównym adresem IP bramy domyślnej, agent ponowi zapytanie z adresem zapasowym.

    Zawansowana konfiguracja agenta relay

    Opcja 82 zawiera dodatkowe informacje ułatwiające przydzielenie adresu IP do urządzeń końcowych.

    (config)# ip dhcp relay information option

    Aktywuje proces dodawania opcji 82 do wysyłanych wiadomości protokołu DHCP.

    (config)# ip dhcp relay information check

    Włącza funkcję sprawdzania czy odesłana przez serwer DHCP wiadomość BOOTREPLY jest ważna. Jeśli tak, to usuwane są z niej dane opcji 82. Jeżeli nie wiadomość zostaje porzucana.

    (config)# ip dhcp relay information policy {drop / keep / replace}

    W przypadku otrzymania wiadomości DHCP zawierającej opcje 82 (od innego agenta relay), lokalne urządzenie może ją dropodrzucić,keepzatrzymać czy replacezastąpić.

    (config)# ip dhcp relay information trust-all

    Domyślnie każda wiadomość zwrotna, otrzymana od serwera DHCP w której adres bramy domyślnej jest ustawiony na zero, jest porzucana. Po zastosowaniu komendy [ip dhcp relay information trust-all] wiadomość tego typu zostanie przetworzona a następnie przekierowana do odpowiedniego urządzenia końcowego.

    Konfiguracja agenta relay względem interfejsu

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip dhcp relay information option-insert

    Aktywuje proces dodawania opcji 82 do wysyłanych wiadomości protokołu DHCP.

    (config-if)# ip dhcp relay information check-reply

    Włącza funkcję sprawdzania czy odesłana przez serwer DHCP wiadomość BOOTREPLY jest ważna. Jeśli tak, to usuwane są z niej dane opcji 82. Jeżeli nie wiadomość zostaje porzucana.

    (config-if)# ip dhcp relay information policy-action {drop / keep  / replace}

    W przypadku otrzymania wiadomości DHCP zawierającej opcje 82 (od innego agenta relay), lokalne urządzenie może ją dropodrzucić,keepzatrzymać czy replacezastąpić.

    (config-if)# ip dhcp relay information trusted

    Domyślnie każda wiadomość zwrotna, otrzymana od serwera DHCP w której adres bramy domyślnej jest ustawiony na zero, jest porzucana. Po zastosowaniu komendy [ip dhcp relay information trust-all] wiadomość tego typu zostanie przetworzona a następnie przekierowana do odpowiedniego urządzenia końcowego.

    Komendy Show, Clear i Debug

    Komendy Show

    Komendy SHOW dotyczące protokołu DHCP

    # show ip dhcp binding

    Wyświetla listę wydzierżawionych adresów IP, wraz z przypisanymi do nich adresami MAC jak iczasem dzierżawy.

    # show ip dhcp conflict

    Wyświetla listę adresów powodujących konflikty w adresacji sieci.

    # show ip dhcp database

    Wyświetla informacje o bazach danych protokołu DHCP, podłączonych do urządzenia lokalnego.

    # show ip dhcp import

    Wyświetla informacje protokołu DHCP, zaimportowane z innych urządzeń (Serwerów).

    # show ip dhcp pool

    Wyświetla informacje o ustawieniach wszystkich puli protokołu DHCP.

    # show ip dhcp pool nazwa-puli

    Wyświetla informacje o ustawieniach konkretnej puli protokołu DHCP.

    # show ip dhcp server statistics

    Wyświetla statystyki serwera na temat wysłanych jak i odebranych wiadomości protokołu DHCP.

    # show ip dhcp relay information trusted-sources

    Wyświetla informacje o zaufanych interfejsach agenta DHCP.

    # show host

    Wyświetla informacje pozyskane za pomocą serwera DHCP (Nazwę domeny czy adres IP serwera DNS).

    # show ip interface interfejs

    Wyświetla informację o danym interfejsie sieciowym, wraz z ustawieniami funkcji „IP helper-address”.

    Komendy SHOW dotyczące protokołu DHCP w systemie Windows

    C:\> arp -a

    Wyświetla zawartość tablicy odwzorowania adresów MAC na adresy IP.

    C:\> netstat -rn

    Wyświetla zawartość lokalnej tablicy routingu.

    C:\> ipconfig

    Wyświetla adresację IP konfigurowanego urządzenia.

    Komendy Clear

    # clear ip dhcp binding [adres-IP]

    Czyści dane o wydzierżawionych adresach / adresie IP.

    # clear ip dhcp conflict

    Czyści dane o występujących w sieci konfliktach, w adresacji IP.

    # clear ip dhcp pool nazwa-puli

    Czyści dane puli adresów IP.

    # clear ip dhcp server statistics

    Czyści dane statystyczne serwera DHCP.

    Komendy Debug

    # debug ip dhcp server events

    Włącza debugowanie zwykłych czynności serwera DHCP.

    # debug ip dhcp server packet

    Włącza debugowanie procesu przypisywania adresów IP do adresów MAC.

    Pozostałe tematy związane protokołem DHCP

    DHCPv6

  • (K) Konfigurowanie bazy DHCP**

    (K) Konfigurowanie bazy DHCP**

    Konfigurowanie bazy DHCP

    Konfigurowanie bazy DHCP

    Rozdysponowane przez serwer DHCP adresy IP, są przypisywane do adresów MAC urządzeń końcowych, w tabeli widocznej za pomocą komendy [show ip dhcp database]. Może się jednak zdarzyć, że urządzenie zostanie wyłączone a cała tablica usunięta z pamięci serwera, aby temu zapobiec istnieje możliwość stworzenia kopi zapasowej danych, na serwerze zdalnym, za pomocą protokołu FTP, TFTP lub RCP.

    (config)# ip dhcp database ftp://login:hasło@adres-IP/nazwa-pliku write-delay 60-4294967295(Sekundy) timeout 0-3600(Sekundy)

    Aktywuje funkcję automatycznego przesyłania kopi zapasowych protokołu DHCP do serwera, za pomocą protokołu FTP. Określając login i hasło użytkownika FTP. Dodatkowa opcja „timeout” określa maksymalny czas łączenia z serwerem FTP natomiast „write-delay” częstotliwość).

    (config)# ip dhcp database tftp://adres-IP/nazwa-pliku write-delay 60-4294967295(Sekundy) timeout 0-3600(Sekundy)

    Aktywuje funkcję automatycznego przesyłania kopi zapasowych protokołu DHCP do serwera, za pomocą protokołu TFTP. Dodatkowa opcja „timeout” określa maksymalny czas łączenia z serwerem FTP natomiast „write-delay” częstotliwość).

    (config)# ip dhcp database rcp://login@adres-IP/nazwa-pliku write-delay 60-4294967295(Sekundy) timeout 0-3600(Sekundy)

    Aktywuje funkcję automatycznego przesyłania kopi zapasowych protokołu DHCP do serwera, za pomocą protokołu RCP. Określając login użytkownika RCP. Dodatkowa opcja „timeout” określa maksymalny czas łączenia z serwerem FTP natomiast „write-delay” częstotliwość).

    Importowanie ustawień Sewera DHCP

    (config)# ip dhcp pool nazwa-puli

    Tworzy nową pule DHCP.

    (dhcp-config)# network sieć maska

    Określa pulę adresów jakie będą dzierżawione przez serwer.

    (dhcp-config)# import all

    Umożliwia pobieranie ustawień protokołu DHCP od serwera nadrzędnego (Np. serwera dostawcy ISP).

    Komendy Show, Clear i Debug

    Komendy Show

    Komendy SHOW dotyczące protokołu DHCP

    # show ip dhcp binding

    Wyświetla listę wydzierżawionych adresów IP, wraz z przypisanymi do nich adresami MAC jak iczasem dzierżawy.

    # show ip dhcp conflict

    Wyświetla listę adresów powodujących konflikty w adresacji sieci.

    # show ip dhcp database

    Wyświetla informacje o bazach danych protokołu DHCP, podłączonych do urządzenia lokalnego.

    # show ip dhcp import

    Wyświetla informacje protokołu DHCP, zaimportowane z innych urządzeń (Serwerów).

    # show ip dhcp pool

    Wyświetla informacje o ustawieniach wszystkich puli protokołu DHCP.

    # show ip dhcp pool nazwa-puli

    Wyświetla informacje o ustawieniach konkretnej puli protokołu DHCP.

    # show ip dhcp server statistics

    Wyświetla statystyki serwera na temat wysłanych jak i odebranych wiadomości protokołu DHCP.

    # show ip dhcp relay information trusted-sources

    Wyświetla informacje o zaufanych interfejsach agenta DHCP.

    # show host

    Wyświetla informacje pozyskane za pomocą serwera DHCP (Nazwę domeny czy adres IP serwera DNS).

    # show ip interface interfejs

    Wyświetla informację o danym interfejsie sieciowym, wraz z ustawieniami funkcji „IP helper-address”.

    Komendy SHOW dotyczące protokołu DHCP w systemie Windows

    C:\> arp -a

    Wyświetla zawartość tablicy odwzorowania adresów MAC na adresy IP.

    C:\> netstat -rn

    Wyświetla zawartość lokalnej tablicy routingu.

    C:\> ipconfig

    Wyświetla adresację IP konfigurowanego urządzenia.

    Komendy Clear

    # clear ip dhcp binding [adres-IP]

    Czyści dane o wydzierżawionych adresach / adresie IP.

    # clear ip dhcp conflict

    Czyści dane o występujących w sieci konfliktach, w adresacji IP.

    # clear ip dhcp pool nazwa-puli

    Czyści dane puli adresów IP.

    # clear ip dhcp server statistics

    Czyści dane statystyczne serwera DHCP.

    Komendy Debug

    # debug ip dhcp server events

    Włącza debugowanie zwykłych czynności serwera DHCP.

    # debug ip dhcp server packet

    Włącza debugowanie procesu przypisywania adresów IP do adresów MAC.

    Pozostałe tematy związane protokołem DHCP

    DHCPv6

  • (K) Propagacja trasy statycznej (DHCP)**

    (K) Propagacja trasy statycznej (DHCP)**

    Propagacja trasy statycznej za pomocą serwera DHCP

    Przygotowanie nowej puli DHCP

    Urządzenie końcowe podczas komunikacji z adresem IP, nie należącym do tej samej sieci co lokalne urządzenie, wysyła pakiety na adres bramy domyślnej. Istnieje jednak możliwość przekazania hostowi za pomocą serwera DHCP, informacji o dodatkowej trasie routingu. Przykładowo w poniższej konfiguracji trasę domyślną wyznacza adres bramy domyślnej, natomiast dzięki komendzie [option 121 hex 080AC0A8A805] dla adresów z puli 10.0.0.0/8 będzie to alternatywny adres IP: 192.168.10.5.
    Opcja 33 tworzy trasę względem pojedynczego adresu IP, natomiast opcja 121 dla całej puli adresów.

    (config)# ip dhcp pool nazwa-puli

    Tworzy nową pule protokołu DHCP.

    (dhcp-config)# network sieć maska

    Określa pulę adresów jakie będą dzierżawione przez serwer.

    (dhcp-config)# default-router adres-IP

    Rozpoczyna propagację adres IP, bramy domyślnej.

    (dhcp-config)# dns-server adresy-IP

    Rozpoczyna propagację adresów IP, serwera/serwerów DNS.

    (dhcp-config)# option {121 / 249} hex 080AC0A8A805

    Rozpoczyna propagację trasy statycznej.

    Obliczanie wartości hexadecymalnej (dwa przykłady):

    Adres sieci: 10.0.0.0 (hex – 0A). Maska: 255.0.0.0/8 (hex – 08). Adres trasy: 192.168.10.5 (hex – C0A80A05). 8.10.192.10.168.5 Wartość końcowa: 080AC0A80A05 Adres sieci: 172.16.10.0 (hex – AC100A). Maska: 255.255.255.0/24 (hex – 18). Adres trasy: 172.16.10.10 (hex – AC100A0A). 24.172.16.10.172.16.10.10 Wartość końcowa: 18AC100AAC100A0A

    Routing statyczny na adres DHCP

    (config)# ip route sieć maska interfejs DHCP

    Tworzy trasę routingu statycznego, w kierunku adresu przypisanego dynamiczne, za pomocą protokołu DHCP na określonym interfejsie sieciowym.

    Komendy Show, Clear i Debug

    Komendy Show

    Komendy SHOW dotyczące protokołu DHCP

    # show ip dhcp binding

    Wyświetla listę wydzierżawionych adresów IP, wraz z przypisanymi do nich adresami MAC jak iczasem dzierżawy.

    # show ip dhcp conflict

    Wyświetla listę adresów powodujących konflikty w adresacji sieci.

    # show ip dhcp database

    Wyświetla informacje o bazach danych protokołu DHCP, podłączonych do urządzenia lokalnego.

    # show ip dhcp import

    Wyświetla informacje protokołu DHCP, zaimportowane z innych urządzeń (Serwerów).

    # show ip dhcp pool

    Wyświetla informacje o ustawieniach wszystkich puli protokołu DHCP.

    # show ip dhcp pool nazwa-puli

    Wyświetla informacje o ustawieniach konkretnej puli protokołu DHCP.

    # show ip dhcp server statistics

    Wyświetla statystyki serwera na temat wysłanych jak i odebranych wiadomości protokołu DHCP.

    # show ip dhcp relay information trusted-sources

    Wyświetla informacje o zaufanych interfejsach agenta DHCP.

    # show host

    Wyświetla informacje pozyskane za pomocą serwera DHCP (Nazwę domeny czy adres IP serwera DNS).

    # show ip interface interfejs

    Wyświetla informację o danym interfejsie sieciowym, wraz z ustawieniami funkcji „IP helper-address”.

    Komendy SHOW dotyczące protokołu DHCP w systemie Windows

    C:\> arp -a

    Wyświetla zawartość tablicy odwzorowania adresów MAC na adresy IP.

    C:\> netstat -rn

    Wyświetla zawartość lokalnej tablicy routingu.

    C:\> ipconfig

    Wyświetla adresację IP konfigurowanego urządzenia.

    Komendy Clear

    # clear ip dhcp binding [adres-IP]

    Czyści dane o wydzierżawionych adresach / adresie IP.

    # clear ip dhcp conflict

    Czyści dane o występujących w sieci konfliktach, w adresacji IP.

    # clear ip dhcp pool nazwa-puli

    Czyści dane puli adresów IP.

    # clear ip dhcp server statistics

    Czyści dane statystyczne serwera DHCP.

    Komendy Debug

    # debug ip dhcp server events

    Włącza debugowanie zwykłych czynności serwera DHCP.

    # debug ip dhcp server packet

    Włącza debugowanie procesu przypisywania adresów IP do adresów MAC.

    Pozostałe tematy związane protokołem DHCP

    DHCPv6

  • (K) Konfiguracja translacji PAT**

    (K) Konfiguracja translacji PAT**

    Konfiguracja translacji PAT

    Określenie roli interfejsów sieciowych

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się wewnątrz sieci LAN.

    (config-if)# ip nat inside

    Określa role konfigurowanego interfejs sieciowego, jako interfejsu wewnętrznego względem translacji PAT.

    (config-if)# interface interfejs

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się na zewnątrz sieci LAN.

    (config-if)# ip nat outside

    Określa role konfigurowanego interfejs sieciowego, jako interfejsu zewnętrznego względem translacji PAT.

    Konfiguracja listy ACL

    Aby określić jakie wewnętrzne adresy IP (Inside local IP address) mogą uczestniczyć w translacji NAT, należy stworzyć listę ACL.

    Konfiguracja Access Listy została opisana w artykule: Konfiguracja listy ACL.

    (config)# ip access-list {extend / standard} nazwa-ACL

    Tworzy nową listę named ACL.

    (config-ext-nacl)# {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port [log / log-input]

    Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
    * eq =równy.
    * ne nie równy.
    * it < mniejszy od.
    * gt > większy od.
    * range range:x to yzakres od x do y.

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Połączenie listy ACL z interfejsem zewnętrznym

    (config)# ip nat inside source list ACL-ID interface interfejs overload

    Przypisuje listę ACL, określającą wewnętrzne adresy IP (Inside local IP address) do translacji PAT.

    # show running-config | section nat inside

    Wyświetla konfigurację protokołu NAT.

    Komendy Show, Clear oraz Debug

    Komendy Show

    # show ip nat translations

    Wyświetla listę przeprowadzonych translacji NAT oraz PAT.

    # show ip nat statistics

    Wyświetla statystyki protokołu NAT oraz PAT.

    Komendy Clear

    # clear ip nat statistics

    Czyści wszystkie zapisane statystyki protokołu NAT oraz PAT.

    # clear ip nat translations*

    Czyści wszystkie zapisane statystyki translacji protokołu NAT oraz PAT. 
    Przypadku usuwania konfiguracji protokołu PAT, wpierw należy użyć komendę [clear ip nat translations *].

    Komendy Debug

    # debug ip nat

    Rozpoczyna debugowanie zdarzeń protokołu NAT oraz PAT.

    # debug ip icmp

    Rozpoczyna debugowanie zdarzeń protokołu ICMP, dzięki czemu możemy zobaczyć z jakiego adresu IP nadchodzą wysyłane wiadomości ICMP, a tym samym potwierdzić czy translacja NAT doszła do skutku.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (K) Konfiguracja dynamicznej translacji NAT**

    (K) Konfiguracja dynamicznej translacji NAT**

    Konfiguracja dynamicznej translacji NAT

    Określenie roli interfejsów sieciowych

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się wewnątrz sieci LAN.

    (config-if)# ip nat inside

    Określa role konfigurowanego interfejs sieciowego, jako interfejsu wewnętrznego względem dynamicznej translacji NAT.

    (config-if)# interface interfejs

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się na zewnątrz sieci LAN.

    (config-if)# ip nat outside

    Określa role konfigurowanego interfejs sieciowego, jako interfejsu zewnętrznego względem dynamicznej translacji NAT.

    Konfiguracja listy ACL

    Aby określić jakie wewnętrzne adresy IP (Inside local IP address) mogą uczestniczyć w translacji NAT, należy stworzyć listę ACL.

    Konfiguracja Access Listy została opisana w artykule: Konfiguracja listy ACL.

    (config)# ip access-list {extended / standard} nazwa-ACL

    Tworzy nową listę named ACL.

    (config-ext-nacl)# {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port [log / log-input]

    Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
    * eq =równy.
    * ne nie równy.
    * it < mniejszy od.
    * gt > większy od.
    * range range:x to yzakres od x do y.

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Konfiguracja puli zewnętrznych adresów IP

    (config)# ip nat pool nazwa-puli startowy-adres-IP końcowy-adres-IP {netmask maska / prefix-length prefix}

    Tworzy pulę publicznych adresów IP (Inside global IP address). Maska określa sieć do jakiej należą wskazane adresy IP.

    # show running-config | section pool

    Wyświetla konfigurację puli publicznych adresów IP (Inside global IP address) .

    Opcjonalna konfiguracja puli zewnętrznych adresów IP

    (config)# ip nat pool nazwa-puli startowy-adres-IP końcowy-adres-IP {netmask maska / prefix-length prefix}

    Tworzy pulę publicznych adresów IP (Inside global IP address). Maska określa sieć do jakiej należą wskazane adresy IP.

    (config)# ip nat pool nazwa-puli {netmask maska / prefix-length prefix}

    Umożliwia wprowadzenie wielu niezależnych zakresów adresacji IP, w postaci jednej puli protokołu NAT.

    (config-ipnat-pool)# address startowy-adres-IP-zakresu1 końcowy-adres-IP-zakresu1

    (config-ipnat-pool)# address startowy-adres-IP-zakresu2 końcowy-adres-IP-zakresu2

    Połączenie listy ACL z pulą adresów publicznych

    (config)# ip nat inside source list ACL pool nazwa-puli [overload]

    Przypisuje określone poprzez listę ACL adresy wewnętrzne (Inside local IP address) do puli adresów zewnętrznych (Inside global IP address). Opcjonalna Pod-komenda „overload” umożliwia przypisanie wielu adresów wewnętrznych do jednego adresu zewnętrznego.

    # show running-config | section nat inside

    Wyświetla konfigurację protokołu NAT.

    Komendy Show, Clear oraz Debug

    Komendy Show

    # show ip nat translations

    Wyświetla listę przeprowadzonych translacji NAT oraz PAT.

    # show ip nat statistics

    Wyświetla statystyki protokołu NAT oraz PAT.

    Komendy Clear

    # clear ip nat statistics

    Czyści wszystkie zapisane statystyki protokołu NAT oraz PAT.

    # clear ip nat translations*

    Czyści wszystkie zapisane statystyki translacji protokołu NAT oraz PAT. 
    Przypadku usuwania konfiguracji protokołu PAT, wpierw należy użyć komendę [clear ip nat translations *].

    Komendy Debug

    # debug ip nat

    Rozpoczyna debugowanie zdarzeń protokołu NAT oraz PAT.

    # debug ip icmp

    Rozpoczyna debugowanie zdarzeń protokołu ICMP, dzięki czemu możemy zobaczyć z jakiego adresu IP nadchodzą wysyłane wiadomości ICMP, a tym samym potwierdzić czy translacja NAT doszła do skutku.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (KP) NAT Dynamic High Availability**

    (KP) NAT Dynamic High Availability**

    Połączenie do dwóch dostawców ISP (Dynamic NAT)

    Konfiguracja interfejsów

    (config)# interface interfejs(LAN)

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się wewnątrz sieci LAN.

    (config-if)# ip nat inside

    Określa konfigurowany interfejs, jako interfejs wewnętrzny względem, translacji NAT.

    (config-if)# interface interfejs(WAN-1)

    Przechodzi do poziomu konfiguracji pierwszego interfejsu zewnętrznego.

    (config-if)# ip nat outside

    Określa konfigurowany interfejs, jako pierwszy interfejs zewnętrzny, względem translacji NAT.

    (config-if)# interface interfejs(WAN-2)

    Przechodzi do poziomu konfiguracji drugiego interfejsu zewnętrznego.

    (config-if)# ip nat outside

    Określa konfigurowany interfejs, jako drugi interfejs zewnętrzny, względem translacji NAT.

    Konfiguracja listy ACL

    Aby określić jakie wewnętrzne adresy IP (Inside local IP address) mogą uczestniczyć w translacji NAT, należy stworzyć listę ACL.

    Konfiguracja Access Listy została opisana w artykule: Konfiguracja listy ACL.

    (config)# ip access-list {extend / standard} nazwa-ACL

    Tworzy nową listę named ACL.

    (config-ext-nacl)# {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port [log / log-input]

    Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
    * eq =równy.
    * ne nie równy.
    * it < mniejszy od.
    * gt > większy od.
    * range range:x to yzakres od x do y.

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Konfiguracja ruter mapy

    Konfiguracja Router Mapy została opisana w artykule: Router Map.

    (config)# route-map nazwa-1 permit sequence

    Tworzy router mapę względem pierwszego interfejsu zewnętrznego WAN.

    (config-route-map)# match ip address nazwa-ACL

    Przypisuje do konfigurowanej router mapy, adresy IP które będą tłumaczone przez translację PAT.

    (config-route-map)# match interface interfejs-1

    Przypisuje do konfigurowanej router mapy, pierwszy interfejs sieciowy WAN-owy.

    (config-route-map)# route-map nazwa-2 permit sequence

    Tworzy router mapę względem drugiego interfejsu zewnętrznego WAN.

    (config-route-map)# match ip address nazwa-ACL

    Przypisuje do konfigurowanej router mapy, adresy IP które będą tłumaczone przez translację PAT.

    (config-route-map)# match interface interfejs-2

    Przypisuje do konfigurowanej router mapy, drugi interfejs sieciowy WAN-owy.

    # show route-map [nazwa-router-mapy]

    Wyświetla określoną / wszystkie skonfigurowane na danym urządzeniu Router Mapy.

    Konfiguracja puli zewnętrznych adresów IP

    (config)# ip nat pool nazwa-puli-1 startowy-adres-IP-1 końcowy-adres-IP-1 {netmask maska / prefix-length prefix}

    Tworzy pulę publicznych adresów IP (Inside global IP address). Maska określa sieć do jakiej należą wskazane adresy IP.

    (config)# ip nat pool nazwa-puli-2 startowy-adres-IP-2 końcowy-adres-IP-2 {netmask maska / prefix-length prefix}

    Tworzy pulę publicznych adresów IP (Inside global IP address). Maska określa sieć do jakiej należą wskazane adresy IP.

    # show running-config | section pool

    Wyświetla konfigurację puli publicznych adresów IP (Inside global IP address) .

    Konfiguracja dynamicznej translacji NAT

    (config)# ip nat inside source route-map nazwa-1 pool nazwa-puli-1

    Przypisuje pierwszą router mapę, określającą wewnętrzne adresy IP (Inside local IP address) do translacji PAT, względem pierwszej puli adresów zewnętrznych WAN.

    (config)# ip nat inside source route-map nazwa-2 pool nazwa-puli-2

    Przypisuje drugą router mapę, określającą wewnętrzne adresy IP (Inside local IP address) do translacji PAT, względem drugiej puli adresów zewnętrznych WAN.

    (config)# ip route 0.0.0.0 0.0.0.0 {interfejs-1 10(1)(AD) / adres-IP 10(1)(AD))

    Dodaje pierwszy statyczny wpis, względem pierwszego interfejsu sieciowego WAN do tablicy routingu z wartością dystansu administracyjnego (AD) wynoszącą 10.

    (config)# ip route 0.0.0.0 0.0.0.0 {interfejs-2 20(1)(AD) / adres-IP 20(1)(AD)}

    Dodaje pierwszy statyczny wpis, względem pierwszego interfejsu sieciowego WAN do tablicy routingu z wartością dystansu administracyjnego (AD) wynoszącą 20.

    # show running-config | section nat inside

    Wyświetla konfigurację protokołu NAT.

    Komendy Show, Clear oraz Debug

    Komendy Show

    # show ip nat translations

    Wyświetla listę przeprowadzonych translacji NAT oraz PAT.

    # show ip nat statistics

    Wyświetla statystyki protokołu NAT oraz PAT.

    Komendy Clear

    # clear ip nat statistics

    Czyści wszystkie zapisane statystyki protokołu NAT oraz PAT.

    # clear ip nat translations*

    Czyści wszystkie zapisane statystyki translacji protokołu NAT oraz PAT. 
    Przypadku usuwania konfiguracji protokołu PAT, wpierw należy użyć komendę [clear ip nat translations *].

    Komendy Debug

    # debug ip nat

    Rozpoczyna debugowanie zdarzeń protokołu NAT oraz PAT.

    # debug ip icmp

    Rozpoczyna debugowanie zdarzeń protokołu ICMP, dzięki czemu możemy zobaczyć z jakiego adresu IP nadchodzą wysyłane wiadomości ICMP, a tym samym potwierdzić czy translacja NAT doszła do skutku.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (KP) PAT Dynamic High Availability**

    (KP) PAT Dynamic High Availability**

    Połączenie do dwóch dostawców ISP (PAT)

    Konfiguracja interfejsów

    (config)# interface interfejs(LAN)

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się wewnątrz sieci LAN.

    (config-if)# ip nat inside

    Określa konfigurowany interfejs, jako interfejs wewnętrzny względem, translacji NAT.

    (config-if)# interface interfejs(WAN-1)

    Przechodzi do poziomu konfiguracji pierwszego interfejsu zewnętrznego.

    (config-if)# ip nat outside

    Określa konfigurowany interfejs, jako pierwszy interfejs zewnętrzny, względem translacji NAT.

    (config-if)# interface interfejs(WAN-2)

    Przechodzi do poziomu konfiguracji drugiego interfejsu zewnętrznego.

    (config-if)# ip nat outside

    Określa konfigurowany interfejs, jako drugi interfejs zewnętrzny, względem translacji NAT.

    Konfiguracja listy ACL

    Aby określić jakie wewnętrzne adresy IP (Inside local IP address) mogą uczestniczyć w translacji NAT, należy stworzyć listę ACL.

    Konfiguracja Access Listy została opisana w artykule: Konfiguracja listy ACL.

    (config)# ip access-list {extend / standard} nazwa-ACL

    Tworzy nową listę named ACL.

    (config-ext-nacl)# {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port [log / log-input]

    Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
    * eq =równy.
    * ne nie równy.
    * it < mniejszy od.
    * gt > większy od.
    * range range:x to yzakres od x do y.

    # show ip access-list [ACL]

    Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

    Konfiguracja ruter mapy

    Konfiguracja Router Mapy została opisana w artykule: Router Map.

    (config)# route-map nazwa-1 permit sequence

    Tworzy router mapę względem pierwszego interfejsu zewnętrznego WAN.

    (config-route-map)# match ip address nazwa-ACL

    Przypisuje do konfigurowanej router mapy, adresy IP które będą tłumaczone przez translację PAT.

    (config-route-map)# match interface interfejs-1

    Przypisuje do konfigurowanej router mapy, pierwszy interfejs sieciowy WAN-owy.

    (config-route-map)# route-map nazwa-2 permit sequence

    Tworzy router mapę względem drugiego interfejsu zewnętrznego WAN.

    (config-route-map)# match ip address nazwa-ACL

    Przypisuje do konfigurowanej router mapy, adresy IP które będą tłumaczone przez translację PAT.

    (config-route-map)# match interface interfejs-2

    Przypisuje do konfigurowanej router mapy, drugi interfejs sieciowy WAN-owy.

    # show route-map [nazwa-router-mapy]

    Wyświetla określoną / wszystkie skonfigurowane na danym urządzeniu Router Mapy.

    Konfiguracja translacji PAT

    (config)# ip nat inside source route-map nazwa-1 interface interfejs-1 overload

    Przypisuje pierwszą router mapę, określającą wewnętrzne adresy IP (Inside local IP address) do translacji PAT, względem pierwszego interfejsu sieciowego WAN.

    (config)# ip nat inside source route-map nazwa-2 interface interfejs-2 overload

    Przypisuje drugą router mapę, określającą wewnętrzne adresy IP (Inside local IP address) do translacji PAT, względem drugiego interfejsu sieciowego WAN.

    (config)# ip route 0.0.0.0 0.0.0.0 {interfejs-1 10(1)(AD) / adres-IP 10(1)(AD))

    Dodaje pierwszy statyczny wpis, względem pierwszego interfejsu sieciowego WAN do tablicy routingu z wartością dystansu administracyjnego (AD) wynoszącą 10.

    (config)# ip route 0.0.0.0 0.0.0.0 {interfejs-2 20(1)(AD) / adres-IP 20(1)(AD)}

    Dodaje pierwszy statyczny wpis, względem pierwszego interfejsu sieciowego WAN do tablicy routingu z wartością dystansu administracyjnego (AD) wynoszącą 20.

    # show running-config | section nat inside

    Wyświetla konfigurację protokołu NAT.

    Komendy Show, Clear oraz Debug

    Komendy Show

    # show ip nat translations

    Wyświetla listę przeprowadzonych translacji NAT oraz PAT.

    # show ip nat statistics

    Wyświetla statystyki protokołu NAT oraz PAT.

    Komendy Clear

    # clear ip nat statistics

    Czyści wszystkie zapisane statystyki protokołu NAT oraz PAT.

    # clear ip nat translations*

    Czyści wszystkie zapisane statystyki translacji protokołu NAT oraz PAT. 
    Przypadku usuwania konfiguracji protokołu PAT, wpierw należy użyć komendę [clear ip nat translations *].

    Komendy Debug

    # debug ip nat

    Rozpoczyna debugowanie zdarzeń protokołu NAT oraz PAT.

    # debug ip icmp

    Rozpoczyna debugowanie zdarzeń protokołu ICMP, dzięki czemu możemy zobaczyć z jakiego adresu IP nadchodzą wysyłane wiadomości ICMP, a tym samym potwierdzić czy translacja NAT doszła do skutku.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (K) Konfiguracja protokołu NAT64*

    (K) Konfiguracja protokołu NAT64*

    Konfiguracja protokołu NAT64

    Konfiguracja interfejsu IPv6

    (config)# ipv6 unicast-routing

    Aktywuje funkcję routingu względem protokołu IPv6.

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego (IPv6).

    (config-if)# ipv6 address prefix/prefix-length

    Przypisuje adres IPv6, do konfigurowanego interfejsu sieciowego.

    (config-if)# nat64 enable

    Aktywuje protokół NAT64, na konfigurowanym interfejsie sieciowym.

    Konfiguracja interfejsu IPv4

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego (IPv4).

    (config-if)# ip address adres-IPv4 maska

    Przypisuje adres IPv4, do konfigurowanego interfejsu sieciowego.

    (config-if)# nat64 enable

    Aktywuje protokół NAT64, na konfigurowanym interfejsie sieciowym.

    Pozostałe tematy związane z konfiguracją protokołu IPv6

    Przydzielanie adresów IPv6

    Protokół NAT względem protokołu IPv6

  • (T) Teoria protokołu NAT**

    (T) Teoria protokołu NAT**

    Wstęp do translacji adresów IPv4

    • NAT (Network Address Translation) – Umożliwia statyczną bądź dynamiczną translację prywatnych adresów IPv4 na adresy publiczne. W przypadku protokołu IPv6, translacja adresów nie jest powszechnie stosowana.
      • Statyczna translacja NAT – Umożliwia zamianę jednego adresu IP na inny, statycznie określony adres IP.
      • Dynamiczna translacja NAT – Umożliwia zamianę puli adresów IP, na inną pulę w proporcji jeden do jednego.
    Network Address Translation
    • PAT (Port Address Translation) – Umożliwia translację wielu adresów IP na jeden adres statyczny, bądź wiele adresów IP z możliwością przepełnienia.
    • Zarówno w przypadku translacji NAT jak i PAT rutery Cisco wyróżniają cztery rodzaje adresów, z których każdy uczestniczy w procesie translacji:
      • Wewnętrzny Lokalny (Inside Local) – Adres urządzenia inicjującego ruch sieciowy.
      • Wewnętrzny Globalny (Inside Global) – Adres publiczny rutera brzegowego.
      • Zewnętrzny Globalny (Outside Global) – Adres hosta docelowego.
    Port Address Translation

    Wstępne założenia

    • Publiczne adresy IP w przeciwieństwie do adresów prywatnych, są routowalne w Internecie, a tym samym pakiety na nie kierowane są globalnie dostępne. Aby hosty adresowane z prywatnej puli adresów IP, mogły uczestniczyć w globalnym ruchu sieciowym, muszą posiadać adres publiczny bądź skorzystać z translacji NAT czy PAT.
    • Istnieją dwie wersje protokołu NAT: Dynamiczna Dynamic NAT(DNAT) oraz statyczna Static NAT (SNAT).
      • DNAT – Przypisuje nadchodzący adres prywatny ,do adresu publicznego wybranego z puli wolnych adresów IP.
      • SNAT – Wprowadza statyczne przypisywanie jednego adresu prywatnego do jednego adresu publicznego.
    • Protokół PAT zwany również przeciążonym NAT-em (Overload NAT), umożliwia przypisanie wielu adresów prywatnych do jednego adresu publicznego. Dzięki czemu wszystkie komputery z sieci lokalnej mogą współdzielić jeden adres publiczny, pozostawiając resztę wolnych adresów publicznych dla serwerów czy innych usług zewnętrznych.

    Zalety protokołu NAT, PAT

    • Zwiększa bezpieczeństwo sieci, ukrywając topologię sieci lokalnej LAN.
    • Umożliwia stworzenie nadmiarowych połączeń, w komunikacji z siecią Internet.
    • Zmniejsza zapotrzebowanie na publiczne adresy IP.
    • Umożliwia zmianę adresacji publicznej, bez wpływu na adresację wewnętrzną (Np. zmiana ISP).

    Wady protokołu NAT, PAT

    • Performance is degraded – Zmniejsza wydajność przetwarzania nachodzących pakietów.
    • End-to-end functionality is degraded – Niektóre aplikacje związane np. z głosem (VoIP), umieszczają w swoich pakietach informacje o adresie nadawcy. Przy próbie odesłania takiej wiadomości odbiorca może kierować swoją odpowiedź na docelowy adres IP przed translacją NAT zapisany przez nadawcę w pakiecie, zamiast właściwego adresu IP wynikającego z translacji NAT. Dodatkowy problem może stanowić również port źródłowy, zamieniony przez translację PAT na inny losowo wygenerowany.
    • End-to-end IP tracebility is lost – Wielokrotna zmiana adresu IP utrudnia proces troubleshooting-u sieci.
    • Tunneling is more complicated – NAT utrudnia proces tunelowania ruchu sieciowego, poprzez wprowadzanie zmian w zawartość nagłówka pakietu. Co wpływa na sumę kontrolną wykorzystywaną przez np. protokół IPsec-a.
    • Service can be disrupted – Praca serwisów wymagających wstępnej inicjacji, może być zakłócona.

    Nazewnictwo związane z protokołem NAT, PAT

    • NVI (NAT Virtual Interface) – Określa interfejs stworzony przez instancję protokołu NAT.
    • Adres Inside Local (10.1.1.1) – Określa prywatny adres IP znajdujący się wewnątrz sieci lokalnej LAN (Adres IP hosta).
    • Adres Inside Global (198.51.100.1) – Określa publiczny adres IP znajdujący się na brzegu sieci lokalnej (Jest to adres IP jakim posługuje się urządzenia w sieci zewnętrznej (Adres ten widziany jest przez inne urządzenia znajdujące się w sieci globalnej, jako adres źródłowy nadającego hosta)).
    • Adres Outside Global (203.0.113.2) – Określa publiczny adres IP urządzenia będącego drugą stroną komunikacji, z punktu widzenia sieci globalnej.
    • Adres Outside Local (203.0.113.2) – Określa publiczny adres IP urządzenia będącego drugą stroną komunikacji, z punktu widzenia sieci lokalnej.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (Ts) Troubleshooting protokołu NAT**

    (Ts) Troubleshooting protokołu NAT**

    Błędy popełniane podczas konfiguracji protokołu NAT

    • Zła konfiguracja interfejsów – W przypadku pomylenia roli jaką pełnią interfejsy sieciowe (Zewnętrze bądź wewnętrzne), translacja NAT nie będzie działać prawidłowo [show ip nat statistics].
    • Błędna konfiguracja puli adresów – Pula adresów może zawierać błędne adresy IP [show ip nat statistics].
    • Adres publiczny jest nie osiągalny poprzez Internet – Pakiety odesłane przez drugą stronę komunikacji (Serwer) muszą dotrzeć do adresu publicznego firmy, jeśli nie jest on osiągalny komunikacja nie będzie możliwa.
    • Problem z błędną konfiguracją list ACL – Lista ACL określa jakie adresy wewnętrzne, będą tłumaczone na adresy zewnętrzne, w procesie translacji protokołu NAT. Jeśli zostaną one źle określone, translacja NAT może nie dojść do skutku, bądź też dotyczyć będzie niewłaściwych adresów IP.
    • Złe mapowanie list ACL oraz puli adresów – Do translacji NAT może zostać przypisana niewłaściwa lista ACL.
    • Brak komendy przeładowującej – W przypadku konfiguracji protokołu PAT, należy użyć pod-komendy [overload] na końcu komendy [ip nat inside source ].

    Coś nie działa, Co sprawdzić !

    • Jeżeli proces translacji protokołu NAT czy PAT nie działa prawidłowo, należy sprawdzić konfigurację:
      • Interfejsów zewnętrznych oraz wewnętrznych pod kontem ustawień [ip nat inside] oraz [ip nat outside].
      • Konfiguracją list ACL oraz ich przypisanie do translacji NAT bądź PAT.
      • Komedę przeładowującą [overload] w przypadku translacji PAT.
      • Inne listy ACL uniemożliwiające przepływ ruchu sieciowego.
      • Główną komendę [ip nat inside …].
      • Pulę adresów [ip nat pool].
      • Wpisy w tablicy routingu.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (K) Konfiguracja statycznej translacji NAT**

    (K) Konfiguracja statycznej translacji NAT**

    Konfiguracja statycznej translacji NAT

    Określenie roli interfejsów sieciowych

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się wewnątrz sieci LAN.

    (config-if)# ip nat inside

    Określa role konfigurowanego interfejs sieciowego, jako interfejsu wewnętrznego względem statycznej translacji NAT.

    (config-if)# interface interfejs

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się na zewnątrz sieci LAN.

    (config-if)# ip nat outside

    Określa role konfigurowanego interfejs sieciowego, jako interfejsu zewnętrznego względem statycznej translacji NAT.

    Mapowanie prywatnego adresu IP na adres publiczny

    (config)# ip nat inside source static wewnętrzny-adres-IP(Inside local) zewnętrzny-adres-IP(Inside global)

    Przypisuje wewnętrzny adres IP (Inside local IP address) do adresu zewnętrznego (Inside global IP address), tworząc statyczną translację NAT.

    (config)# ip nat inside source static {tcp / udp} wewnętrzny-adres-IP(Inside local) port-lokalny zewnętrzny-adres-IP(Inside global) port-zewnętrzny

    Przypisuje wewnętrzny adres IP (Inside local IP address) do adresu zewnętrznego (Inside global IP address), tworząc statyczną translację NAT. Pod-komendy TCP / UDP umożliwiają określenie źródłowego oraz docelowego portu warstwy czwartej modelu OSI.

    # show running-config | section nat inside

    Wyświetla konfigurację protokołu NAT.

    Komendy Show, Clear oraz Debug

    Komendy Show

    # show ip nat translations

    Wyświetla listę przeprowadzonych translacji NAT oraz PAT.

    # show ip nat statistics

    Wyświetla statystyki protokołu NAT oraz PAT.

    Komendy Clear

    # clear ip nat statistics

    Czyści wszystkie zapisane statystyki protokołu NAT oraz PAT.

    # clear ip nat translations*

    Czyści wszystkie zapisane statystyki translacji protokołu NAT oraz PAT. 
    Przypadku usuwania konfiguracji protokołu PAT, wpierw należy użyć komendę [clear ip nat translations *].

    Komendy Debug

    # debug ip nat

    Rozpoczyna debugowanie zdarzeń protokołu NAT oraz PAT.

    # debug ip icmp

    Rozpoczyna debugowanie zdarzeń protokołu ICMP, dzięki czemu możemy zobaczyć z jakiego adresu IP nadchodzą wysyłane wiadomości ICMP, a tym samym potwierdzić czy translacja NAT doszła do skutku.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (KP) NAT Static High Availability**

    (KP) NAT Static High Availability**

    Połączenie do dwóch dostawców ISP (Static NAT)

    Konfiguracja interfejsów

    (config)# interface interfejs(LAN)

    Przechodzi do poziomu konfiguracji interfejsu znajdującego się wewnątrz sieci LAN.

    (config-if)# ip nat inside

    Określa konfigurowany interfejs, jako interfejs wewnętrzny względem, translacji NAT.

    (config-if)# interface interfejs(WAN-1)

    Przechodzi do poziomu konfiguracji pierwszego interfejsu zewnętrznego.

    (config-if)# ip nat outside

    Określa konfigurowany interfejs, jako pierwszy interfejs zewnętrzny, względem translacji NAT.

    (config-if)# interface interfejs(WAN-2)

    Przechodzi do poziomu konfiguracji drugiego interfejsu zewnętrznego.

    (config-if)# ip nat outside

    Określa konfigurowany interfejs, jako drugi interfejs zewnętrzny, względem translacji NAT.

    Konfiguracja ruter mapy

    Konfiguracja Router Mapy została opisana w artykule: Router Map.

    (config)# route-map nazwa-1 permit sequence

    Tworzy router mapę względem pierwszego interfejsu zewnętrznego WAN.

    (config-route-map)# match interface interfejs-1

    Przypisuje do konfigurowanej router mapy, pierwszy interfejs sieciowy WAN-owy.

    (config-route-map)# route-map nazwa-2 permit sequence

    Tworzy router mapę względem drugiego interfejsu zewnętrznego WAN.

    (config-route-map)# match interface interfejs-2

    Przypisuje do konfigurowanej router mapy, drugi interfejs sieciowy WAN-owy.

    # show route-map [nazwa-router-mapy]

    Wyświetla określoną / wszystkie skonfigurowane na danym urządzeniu Router Mapy.

    Konfiguracja statycznej translacji NAT (Z portami)

    (config)# ip nat inside source static {tcp / udp} wewnętrzny-adres-IP(Inside local) port-lokalny zewnętrzny-adres-IP(Inside global) port-zewnętrzny route-map nazwa-1

    Przypisuje wewnętrzny adres IP (Inside local IP address) do adresu zewnętrznego (Inside global IP address), tworząc statyczną translację NAT.
    * tcp / udp – Umożliwia określenie źródłowego oraz docelowego portu warstwy czwartej modelu OSI.
    * router-map – Tworzy wpis względem pierwszego interfejsu sieciowego WAN.

    (config)# ip nat inside source static {tcp / udp} wewnętrzny-adres-IP(Inside local) port-lokalny zewnętrzny-adres-IP(Inside global) port-zewnętrzny route-map nazwa-2

    Przypisuje wewnętrzny adres IP (Inside local IP address) do adresu zewnętrznego (Inside global IP address), tworząc statyczną translację NAT.
    * tcp / udp – Umożliwia określenie źródłowego oraz docelowego portu warstwy czwartej modelu OSI.
    * router-map – Tworzy wpis względem drugiego interfejsu sieciowego WAN.

    Konfiguracja statycznej translacji NAT (Bez portów)

    (config)# ip nat inside source static wewnętrzny-adres-IP(Inside local) zewnętrzny-adres-IP(Inside global) route-map nazwa-1

    Przypisuje wewnętrzny adres IP (Inside local IP address) do adresu zewnętrznego (Inside global IP address), tworząc statyczną translację NAT.
    * router-map – Tworzy wpis względem pierwszego interfejsu sieciowego WAN.

    (config)# ip nat inside source static wewnętrzny-adres-IP(Inside local) zewnętrzny-adres-IP(Inside global) route-map nazwa-2

    Przypisuje wewnętrzny adres IP (Inside local IP address) do adresu zewnętrznego (Inside global IP address), tworząc statyczną translację NAT.
    * router-map – Tworzy wpis względem drugiego interfejsu sieciowego WAN.

    # show running-config | section nat inside

    Wyświetla konfigurację protokołu NAT.

    Komendy Show, Clear oraz Debug

    Komendy Show

    # show ip nat translations

    Wyświetla listę przeprowadzonych translacji NAT oraz PAT.

    # show ip nat statistics

    Wyświetla statystyki protokołu NAT oraz PAT.

    Komendy Clear

    # clear ip nat statistics

    Czyści wszystkie zapisane statystyki protokołu NAT oraz PAT.

    # clear ip nat translations*

    Czyści wszystkie zapisane statystyki translacji protokołu NAT oraz PAT. 
    Przypadku usuwania konfiguracji protokołu PAT, wpierw należy użyć komendę [clear ip nat translations *].

    Komendy Debug

    # debug ip nat

    Rozpoczyna debugowanie zdarzeń protokołu NAT oraz PAT.

    # debug ip icmp

    Rozpoczyna debugowanie zdarzeń protokołu ICMP, dzięki czemu możemy zobaczyć z jakiego adresu IP nadchodzą wysyłane wiadomości ICMP, a tym samym potwierdzić czy translacja NAT doszła do skutku.

    Pozostałe tematy związane z protokołem NAT

    NATv6

  • (K) Konfiguracja funkcji VRF**

    (K) Konfiguracja funkcji VRF**

    Konfiguracja wirtualizacji VRF

    Konfiguracja funkcji VRF

    (config)# ip vrf nazwa-VRF

    Tworzy nową instancję wirtualizacji VRF.

    (config-vrf)# rd ASN:liczba

    Określa parametry funkcji VRF Distinguisher.

    (config-vrf)# descryption opis

    Definiuje opis nowej instancji VFR.

    (config-vrf)# interface interfejs[.pod-interfejs]

    Przechodzi do poziomu konfiguracji określonego interfejsu / pod-interfejsu sieciowego.

    (config-if)# encapsulation dot1Q 2-4094(vlan-ID)

    Określa metodę enkapsulacji sieci VLAN.

    (config-if)# ip vrf forwarding nazwa-VRF

    Przypisuje konfigurowany interfejs / pod-interfejs do określonej instancji VRF.

    (config-if)# router ospf ASN vrf nazwa-VRF

    Przechodzi do poziomu konfiguracji protokołu OSPF względem określonej instancji funkcji VRF.

    # show ip vfr

    Wyświetla wszystkie instancje VRF, skonfigurowane na danym urządzeniu.

    Konfiguracja protokołu EIGRP pod kontem funkcji VRF

    (config)# router eigrp [ASN]

    Przechodzi do poziomu konfiguracji protokołu EIGRP.

    (config-if)# address-family ipv4 vrf nazwa-VRF autonomous-system ASN

    Przypisuje konfigurowaną instancję protokołu EIGRP do wskazanej instancji funkcji VRF.

    Konfiguracja wirtualizacji EVN

    Definicja VRF

    (config)# vrf definition nazwa-EVN

    Tworzy nową instancję wirtualizacji EVN.

    (config-vrf)# vnet tag 2-4094(vlan-ID)

    Określa wartość ID (Sieć VLAN) przypisaną do konfigurowanej instancji EVN.

    (config-vrf)# descryption opis

    Definiuje opis nowej instancji EVN.

    (config-vrf)# address-family {ipv4 / ipv6}

    Określa wykorzystywany protokół warstwy trzeciej.

    # show ip vfr

    Wyświetla wszystkie instancje VRF, skonfigurowane na danym urządzeniu.

    Przypisanie interfejsu do jednej instancji VRF

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip address adres-IP

    Przypisuje adres IP do konfigurowanego interfejsu sieciowego.

    (config-if)# vrf forwarding nazwa-EVN

    Przypisuje konfigurowany interfejs sieciowy do określonej instancji EVN.

    Przypisanie interfejsu do wielu instancji VRF (EVN)

    (config)# interface interfejs

    Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

    (config-if)# ip address adres-IP

    Przypisuje adres IP do konfigurowanego interfejsu sieciowego.

    (config-if)# vnet trunk [list nazwa-EVN]

    Przypisuje konfigurowany interfejs sieciowy do wszystkich skonfigurowanych instancji EVN. Pod-komenda [list] zawęża zasięg funkcji EVN do jednej określonej w komendzie instancji.

    (config-if)# vnet name nazwa-EVN

    Przechodzi do trybu konfiguracji określonej instancji EVN.

    (config-if-vnet)# ip address adres-IP

    Przypisuje adres IP do konfigurowanej instancji EVN.

    Komendy SHOW

    # show vrf

    Wyświetla wszystkie instancje VRF, skonfigurowane na danym urządzeniu.

    # show vrf detail

    Wyświetla szczegółowe informacje na temat wszystkich instancji VRF, skonfigurowanych na danym urządzeniu.

    # show running-config | section vrf

    Wyświetla konfigurację funkcji VRF.

    # show [running-config / derived-config]

    Wyświetla bieżącą konfigurację urządzenia bądź pełną bieżącą konfigurację wraz z domyślnie ukrytymi komendami funkcji EVN. Jako że funkcja EVN stanowi jedynie uproszczenie konfiguracji VRF-Lite, wykonanie komendy [vnet trunk] pociąga za sobą wiele ukrytych przed administratorem komend CLI, wykonywanych względem utworzonych przez funkcję EVN pod-interfejsów. Komenda [show derived-config] wyświetla pełną konfigurację wraz z utworzonymi pod-interfejsami.

    Pozostałe tematy związane z funkcją VRF, EVN