Autrefois, le protocole de réseau le plus utilisé pour configurer à distance des périphériques de réseau était Telnet. Cependant, les protocoles tels que Telnet ne permettent pas d'authentification ou de chiffrement des informations entre un client et un serveur Telnet. Par conséquent, un analyseur de réseau peut être utilisé pour intercepter des mots de passe et des informations de configuration. Secure Shell (SSH) est un protocole réseau qui permet d'établir une connexion d'émulation de terminal sécurisée avec un routeur ou un autre périphérique de réseau. SSH chiffre toutes les informations qui transitent via la liaison réseau et assure l'authentification de l'ordinateur distant. Il est en train de remplacer rapidement Telnet en tant qu'outil de connexion à distance de prédilection des professionnels réseau. Ce protocole est très souvent utilisé pour se connecter à une machine distante et exécuter des commandes ; cependant, il peut également transférer des fichiers à l'aide de ses protocoles associés SFTP ou SCP. Pour que SSH fonctionne, les périphériques réseau qui communiquent doivent le prendre en charge. Au cours de ces travaux pratiques, vous allez activer le serveur SSH sur un routeur à configurer et vous vous connecterez à ce routeur à l'aide d'un PC où le client SSH est installé. Pour une utilisation sur un réseau local, la connexion est normalement établie en utilisant Ethernet et IP. Les périphériques réseau connectés via d'autres types de liaisons, comme une liaison série, peuvent également être gérés à l'aide de SSH à condition de prendre en charge IP. Comme Telnet, SSH est un protocole Internet in band basé sur TCP/IP. Dans le cadre de ces travaux pratiques, vous pouvez utiliser Cisco SDM ou les commandes ILC de Cisco IOS pour configurer SSH sur le routeur. Show
IntroductionCe document décrit comment résoudre les problèmes de connectivité IP dans un environnement NAT. Conditions préalablesConditions requisesAucune spécification déterminée n'est requise pour ce document. Components UsedCe document n'est pas limité à des versions de matériel et de logiciel spécifiques. The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes. ConventionsPour plus d'informations sur les conventions des documents, référez-vous à Conventions des conseils techniques Cisco. ProblèmeCe document résout ces problèmes :
Pour déterminer si le problème se trouve dans les opérations NAT :
Dans ce schéma de réseau, le routeur 4 peut envoyer une requête ping au routeur 5 (172.16.6.5), mais pas au routeur 7 (172.16.11.7) : Le routeur 4 ne peut pas envoyer de requête ping au routeur 7 Les protocoles de routage n’exécutent pas les routeurs. La passerelle par défaut du routeur 4 est le routeur 6. Le routeur 6 est configuré avec NAT :
Pour dépanner : 1. Vous devez déterminer si NAT fonctionne correctement. Vous savez, d’après la configuration, que l’adresse IP du routeur 4 (10.10.10.4) est traduite de manière statique en 172.16.6.14. Vous pouvez utiliser la commande show ip nat translation sur le routeur 6 pour vérifier que la traduction existe dans la table de traduction :
2. Assurez-vous que cette traduction se produit lorsque le routeur 4 source le trafic IP. Vous pouvez effectuer cette opération de deux manières à partir du routeur 6, exécuter le débogage NAT ou surveiller les statistiques NAT à l'aide de la commande show ip nat statistics. Comme les commandes debug sont le dernier recours, commencez par la commande show. 3. Surveillez le compteur pour vous assurer qu'il augmente au fur et à mesure qu'il reçoit le trafic du routeur 4. Le compteur s'incrémente chaque fois que la table de traduction est utilisée pour traduire une adresse. 4. Effacez les statistiques, affichez les statistiques, puis essayez d'envoyer une requête ping au routeur 7 à partir du routeur 4, puis affichez à nouveau les statistiques.
Après avoir utilisé la commande ping 172.16.11.7 sur le routeur 4, les statistiques NAT sur le routeur 6 sont les suivantes :
Vous pouvez voir d'après les commandes show que le nombre de résultats est incrémenté par cinq. Dans une requête ping réussie à partir d'un routeur Cisco, le nombre de résultats augmente de dix. Les cinq échos ICMP (Internet Control Message Protocol) envoyés par le routeur source (Router 4) sont traduits et les cinq réponses d’écho aux paquets du routeur de destination (Router 7) doivent être traduites, pour un total de dix résultats. La perte de cinq résultats est due au fait que les réponses d’écho ne sont pas traduites ou ne sont pas envoyées depuis le routeur 7. Recherchez une raison pour laquelle le routeur 7 n'envoie pas de paquets de réponse d'écho au routeur 4. Vous examinez ce que la NAT fait au paquet. Le routeur 4 envoie des paquets d’écho ICMP avec l’adresse source 10.10.10.4 et l’adresse de destination 172.16.11.7. Après la NAT, le paquet reçu par le routeur 7 a une adresse source 172.16.6.14 et une adresse de destination 172.16.11.7. Le routeur 7 doit répondre à 172.16.6.14, et, puisque l'adresse 172.16.6.14 n'est pas directement connectée au routeur 7, il a besoin d'une route pour ce réseau pour pouvoir répondre. Contrôlez la table de routage du routeur 7 pour vérifier que la route existe.
Vous pouvez constater que la table de routage du routeur 7 ne contient pas de route pour 172.16.6.14. Une fois cette route ajoutée, la requête ping fonctionne. Il est utile de surveiller les statistiques NAT à l'aide de la commande show ip nat statistics. Dans un environnement NAT plus complexe avec plusieurs traductions, cette commande show n'est plus utile. Vous pouvez ensuite exécuter des débogages sur le routeur.
Dans ce problème, le routeur 4 peut envoyer une requête ping aux routeurs 5 et 7, mais les périphériques du réseau 10.10.50.0 ne peuvent pas communiquer avec le routeur 5 ou 7. Le schéma de réseau est le suivant : Le réseau ne peut pas communiquer avec le routeur
Indiquez le comportement attendu de la fonction NAT. À partir de la configuration du routeur 6, vous savez que NAT est censé traduire dynamiquement 10.10.50.4 en la première adresse disponible dans le pool NAT « test ». Le pool se compose des adresses 172.16.11.70 et 172.16.11.71. À partir de ce problème, vous pouvez comprendre que les paquets que les routeurs 5 et 7 reçoivent ont soit une adresse source de 172.16.11.70 ou 172.16.11.71. Ces adresses se trouvent sur le même sous-réseau que le routeur 7. Par conséquent, le routeur 7 doit disposer d’une route connectée directement. Toutefois, s’il n’en possède pas déjà, le routeur 5 doit disposer d’une route vers le sous-réseau . Vous pouvez utiliser la commande show ip route pour voir que la table de routage du routeur 5 contient l'adresse 172.16.11.0 :
Vous pouvez utiliser la commande show ip route pour voir que la table de routage du routeur contient l'adresse 7172.16.11.0 comme sous-réseau directement connecté :
Vérifiez la table de traduction NAT et vérifiez que la traduction attendue existe. Puisque la traduction souhaitée est créée dynamiquement, vous devez d'abord envoyer le trafic IP provenant de l'adresse appropriée. Après une requête ping envoyée, provenant de 10.10.50.4 et destinée à 172.16.11.7, la table de traduction du routeur 6 indique :
Puisque la traduction attendue se trouve dans la table de traduction, vous savez que les paquets d'écho ICMP sont correctement traduits. Une option est que vous pouvez surveiller les statistiques NAT, mais ce n'est pas utile dans un environnement complexe. Une autre option consiste à exécuter le débogage NAT sur le routeur NAT (routeur 6). Vous pouvez exécuter debug ip nat sur le routeur 6 pendant que vous envoyez une requête ping provenant de 10.10.50.4 et destinée à 172.16.11.7. Les résultats de débogage figurent dans l'exemple de code suivant. Note: Quand vous utilisez n'importe quelle commande debug sur un routeur, vous pouvez surcharger le routeur et le rendre inopérable. Faites toujours preuve d'une extrême prudence et, si possible, n'exécutez jamais un débogage sur un routeur de production critique sans la supervision d'un ingénieur du support technique Cisco. ::
Comme vous pouvez le voir à partir de la sortie de débogage précédente, la première ligne affiche l'adresse source 10.10.50.4 traduite en 172.16.11.70. La deuxième ligne indique que l'adresse de destination 172.16.11.70 est traduite en 10.10.50.4. Ce schéma se répète dans le reste du débogage. Cela signifie que le routeur 6 traduit les paquets dans les deux directions. Révision : 1. Le routeur 4 envoie un paquet de 10.10.50.4 vers 172.16.11.7. 2. Le routeur 6 effectue la NAT sur le paquet et transfère un paquet avec une source 172.16.11.70 et une destination 172.16.11.7. 3. Le routeur 7 envoie une réponse de 172.16.11.7 vers 172.16.11.70. 4. Le routeur 6 effectue la NAT sur le paquet. Ainsi, le paquet a l'adresse source 172.16.11.7 et l'adresse de destination 10.10.50.4. 5. Le routeur 6 achemine le paquet vers 10.10.50.4 en fonction des informations de la table de routage du routeur 6. Vous devez utiliser la commande show ip route pour confirmer que le routeur 6 dispose de la route nécessaire dans sa table de routage.
Liste de contrôle des problèmes courantsUtilisez cette liste de contrôle pour résoudre les problèmes courants :
Si vous constatez que la traduction appropriée n'est pas installée dans la table de traduction, vérifiez :
Si l'entrée de traduction correcte est installée dans la table de traduction, mais n'est pas utilisée, vérifiez :
Dépannez le problème de connectivité :
Cela signifie que la traduction NAT pour le port 80 ne fonctionne pas, mais la traduction pour les autres ports fonctionne normalement. Pour résoudre ce problème :
Le message d'erreur try later apparaît lorsqu'une commande show liée à NAT ou une commande show running-config ou write memory est exécutée. Ceci est dû à l'augmentation de la taille de la table NAT. Quand la taille de la table NAT augmente, le routeur manque de mémoire.
Un hôte peut envoyer des centaines de traductions, ce qui entraîne une utilisation élevée du CPU. En d'autres termes, la table peut devenir si volumineuse que la CPU fonctionne à 100 pour cent. La commande ip nat translation max-entry 300 crée la limite de 300 par hôte ou une limite globale de la quantité de traductions sur le routeur. La solution consiste à utiliser la commande ip nat translation max-entries all-hosts 300.
Ce message apparaît lorsque vous essayez de configurer deux adresses IP internes sur une adresse IP publique qui écoute sur les mêmes ports.
Afin de corriger ceci, configurez l'adresse IP publique pour qu'elle ait deux adresses IP internes et utilisez deux adresses IP publiques dans le DNS.
Cela résulte du
Ce message d'erreur est juste un message d'information et n'a pas d'incidence sur le comportement normal du périphérique.
L'erreur signifie que la NAT tente d'effectuer une correction de couche 4 sur l'adresse dans un FTP ouvert et ne trouve pas les adresses IP qu'elle doit traduire dans le paquet. La raison pour laquelle le message inclut des jetons est que les adresses IP du paquet sont trouvées par la recherche d'un jeton, ou d'un ensemble de symboles, dans le paquet IP, afin de trouver les détails nécessaires à la traduction. Quand une session FTP est initiée, elle négocie deux canaux, un canal de commande et un canal de transmission de données. Ce sont deux adresses IP avec différents numéros de port. Le client et le serveur FTP négocient un deuxième canal de données vers lequel transférer des fichiers. Le paquet échangé via le canal de contrôle a le format « PORT, i, i, i, i, i, p, p », où i, i, i, i sont les quatre octets d'une adresse IP et p, p spécifie le port. NAT tente de correspondre à ce modèle et de traduire adresse/port, si nécessaire. NAT doit traduire les deux schémas de canaux. La NAT recherche des numéros dans le flux de commande jusqu'à ce qu'elle pense avoir trouvé un commande de port qui requiert une traduction. Il analyse ensuite la traduction, qu'il calcule avec le même format. Si le paquet est endommagé ou si le serveur FTP ou le client a des commandes mal formées, NAT ne peut pas calculer correctement la traduction et génère cette erreur. Vous pouvez définir le client FTP sur « passive » afin qu'il initie les deux canaux. Informations connexes
Quelle est la commande qui permet d'afficher l'état des interfaces ?|La commande Show IP interface brief, permet d'afficher la liste des interfaces du routeur et leurs états ! |La colonne « IP Address » : indique son IP, si elle est configurée.
Comment voir la configuration d'un routeur ?Comment accéder à l'interface de son routeur ? Lancez votre navigateur habituel, puis copiez votre adresse IP dans la barre d'adresse internet (dans notre cas 192.168.1.1). Appuyez sur « Entrée ». Vous arrivez alors sur la page de connexion votre routeur.
Quelle commande permet d'afficher le contenu de la table de routage du routeur ?L'option -r de la commande netstat permet d'afficher la table de routage de l'hôte local. Cette table représente le statut de toutes les routes connues de l'hôte. L'exécution de cette option de la commande netstat peut s'effectuer à l'aide du compte utilisateur.
Quelle commande affiche un résumé des interfaces États et adresses IP actuellement affectés ?show ip interface brief
Affiche un résumé, condensé, des états des interfaces du routeur.
|