イベントデータレコードの"；空白のNAT付きIP"；問題のトラブルシューティング

ダウンロードオプション

PDF (343.5 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (122.9 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (95.0 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2022 年 10 月 18 日

Document ID:218323

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

問題

トラブルシュート

シナリオ 1

シナリオ 2

シナリオ 3

シナリオ 4

はじめに

このドキュメントでは、イベントデータレコード(EDR)の「空白のNATされたIP」の問題をトラブルシューティングする方法について説明します。

問題

NATされたIPフィールドが空白の場合は、EDRが表示されます。

06/06/2022 14:53:03:056,01/01/1970 05:30:00:000,a.b.c.d,123,,,e.f.g.h,443,6,0
06/06/2022 14:53:03:098,01/01/1970 05:30:00:000,a1.b1.c1.d1,456,,,e1.f1.g1.h1,443,6,0
06/06/2022 14:53:03:109,01/01/1970 05:30:00:000,a2.b2.c2.d2,789,,,e2.f2.g2.h2,8888,6,0

トラブルシュート

シナリオ 1

最初に、どちらに接続するかを確認します Firewall-and-Nat Policy International Mobile Subscriber Identification(IMSI)がマッピングされ、設定が正しいかどうかが確認されます。

たとえば、 show subscribers full imsi <> ,ネットワークアドレス変換(NAT)ポリシーNAT44: Not-requiredが「Required state」になっていることが確認できます。また、マッピングされたIPプールもここには表示されません。

  Firewall-and-Nat Policy: xyz
  Firewall Policy IPv4: Required
  Firewall Policy IPv6: Not-required
  NAT Policy NAT44: Not-required
  NAT Policy NAT64: Not-required
  CF Policy ID: n/a
  Congestion Mgmt Policy: n/a
  active input plcy grp: n/a             active output plcy grp: n/a            
  S6b Auth Status: N/A

さらに、次の設定を確認します Firewall-and-Nat Policy: xyzNAT変換されたIPプールはマッピングされません。

fw-and-nat policy fw-policy
      access-rule priority 3 access-ruledef acc_P3_Server1 permit 
      access-rule priority 4 access-ruledef acc_P3_Server2 permit 
      access-rule priority 5 access-ruledef acc_P3_Server3 permit 
      access-rule priority 6 access-ruledef acc_P3_Server4 permit 
      access-rule priority 7 access-ruledef acc_P3_Server5 permit 
      access-rule priority 8 access-ruledef acc_P3_Server6 permit 
      access-rule priority 9 access-ruledef acc_P3_Server7 permit 
      access-rule priority 10 access-ruledef acc_P3_Server8 permit 
      access-rule priority 11 access-ruledef acc_P3_ipv6_Server1 permit 
      access-rule priority 16 access-ruledef ACC_ICMP_DENY_ALL deny

問題のないシナリオと同じものを比較すると、次のように表示されます Firewall-and-Nat Policy: abc 、NAT Policy NAT44: RequiredおよびNat Realm: www_nat。

 
Firewall-and-Nat Policy: abc
  Firewall Policy IPv4: Required 
  Firewall Policy IPv6: Required 
  NAT Policy NAT44: Required 
  NAT Policy NAT64: Required 
  Nat Realm: www_nat                     Nat ip address: a.b.c.d  (on-demand) (publicpool1) 
                                         Nexthop ip address: n/a

「abc」の設定を確認すると、 nat-realm www_nat が設定されており、nat-realmにIP-Poolが設定されている場合：

fw-and-nat policy abc
      access-rule priority 12 access-ruledef DNSipv41 permit bypass-nat 
      access-rule priority 13 access-ruledef DNSipv42 permit bypass-nat 
      access-rule priority 20 access-ruledef DNSipv61 permit bypass-nat 
      access-rule priority 21 access-ruledef DNSipv62 permit bypass-nat 
      access-rule priority 36 access-ruledef ACC_ICMP_DENY_ALL deny 
      access-rule priority 59 access-ruledef NAT64-prefix permit nat-realm www_nat
      access-rule priority 60 access-ruledef ipv4_any permit nat-realm www_nat
      access-rule priority 2000 access-ruledef ar-all-ipv6 permit bypass-nat
 
    ip pool public_www8 a.b.c.d 255.255.255.0 napt-users-per-ip-address 1100 group-name public_internet max-chunks-per-user 10 port-chunk-size 32
    ip pool publicpool1 a1.b1.c1.d1 255.255.252.0 napt-users-per-ip-address 1024 group-name www_nat alert-threshold pool-used 80 clear 70 on-demand max-chunks-per-user 8 port-chunk-size 64
    ip pool publicpool2 a2.b2.c2.d2 255.255.252.0 napt-users-per-ip-address 1024 group-name www_nat alert-threshold pool-used 80 clear 70 on-demand max-chunks-per-user 8 port-chunk-size 64
    ip pool test a3.b3.c3.d3 255.255.255.248 private 0 group-name Test

シナリオ 2

サブスクライバに有効なサブスクリプションがあるかどうかを確認します。任意のユーザの場合 Credit-Control is offサブスクライバはパブリックNAT変換されたIPを取得しません。

シナリオ 3

一部のシナリオでは、NAT変換されたIPが表示されず、それらのEDRでは誤った終了時刻が表示されます。

06/29/2022 04:35:57:754,01/01/1970 05:30:00:000,a.b.c.d,51564,,,w.x.y.z,443,6,0
06/29/2022 04:35:57:752,01/01/1970 05:30:00:000,a1.b1.c1.d1,46060,,,w1.x1.y1.z1,443,6,0
06/29/2022 04:35:57:755,01/01/1970 05:30:00:000,a2.b2.c2.d2,60670,,,w1.x1.y1.z1,443,6,0

ログによると、EDRには日付01/01/1970のフロー終了時刻があります。

最初のパケットでNATの障害または何らかの障害があり、フローに最初のパケット時間だけが設定されている場合、最後のパケットの時間は初期化済み状態です。このようなタイプのフロータイムアウトとEDRが生成されると、最後のパケット時間は設定されないため、EDRではエポック時間が表示されます。

シナリオ 4

パブリックIPを使用しないInternet Control Message Protocol(ICMP)EDR:NAT対応のサブスクライバの場合、サーバ側から開始されたフローがあると、このようなフローに対するNAT変換は行われません。つまり、このようなダウンリンクフローに対してはNAT変換が行われません。これは正常な動作であり、設計に従います。

また、アップリンクパケットでは、サーバが到達不能な場合（例）、ICMPエラーが返されます（ダウンリンク方向）。このICMPフローはNAT変換できません。したがって、このICMPフロー用に生成されたEDRは、パブリックIP/ポートを持つことはできません。

サンプルスニペット：

このEDRでは、ブランクのNAT IPを持つ同じサーバに対して、ICMPフローがUDPフローに続いて1秒後にほんの数分の1だけ続くことを確認できます。

更新履歴

改定	発行日	コメント
1.0	18-Oct-2022	初版

シスコエンジニア提供

カルナ・ジャ
Cisco TACエンジニア
クリシュナキショレD V
シスコテクニカルリーダー

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

イベントデータレコードの"；空白のNAT付きIP"；問題のトラブルシューティング

ダウンロード オプション

偏向のない言語

翻訳について

内容

はじめに

問題

トラブルシュート

シナリオ 1

シナリオ 2

シナリオ 3

シナリオ 4

更新履歴

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

シスコに問い合わせ

ダウンロードオプション

シスコエンジニア提供