Настройка DNS сервера на FreeBSD

Довольно часто возникает вопрос о внедрении своего ДНС сервера, который мог бы не только обслуживать запросы внешних пользователей к приобретенным ДНС именам, но и обслуживать запросы пользователей в локальной сети. Такая задача относительно просто решается средствами ОС FreeBSD. Подробнее...

DocuWiki

Все, товарищи... Настал тот час. Я начал писать свои технические напоминалки в DocuWiki

Настройка SSH в Cisco

Задача:

Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

Решение:

1. cisco> enable
2. cisco# clock set 17:10:00 28 Aug 2009
3. cisco# configure terminal
4. cisco(config)# ip domain name test.dom
5. cisco(config)# crypto key generate rsa
6. cisco(config)# service password-encryption
7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd
8. cisco(config)# aaa new-model
9. cisco(config)# line vty 0 4
10. cisco(config-line)# transport input ssh
11. cisco(config-line)# logging synchronous
12. cisco(config-line)# exec-timeout 60 0
13. cisco(config-line)# exit
14. cisco(config)# exit
15. cisco# copy running-config startup-config

Пояснение:

1. Входим в привилегированный режим
2. Устанавливаем точное время для генерации ключа
3. Входим в режим конфигурирования
4. Указываем имя домена (необходимо для генерации ключа)
5. Генерируем RSA ключ (необходимо будет выбрать размер ключа)
6. Активируем шифрование паролей в конфигурационном файле
7. Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
8. Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
9. Входим в режим конфигурирования терминальных линий с 0 по 4
10. Указываем средой доступа через сеть по умолчанию SSH
11. Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
12. Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
13. Выходим из режима конфигурирования терминальных линий
14. Выходим из режима конфигурирования
15. Сохраняем конфигурационный файл в энергонезависимую память

IPv4 счетчик: Версия 2

Первая версия публикации о IPv4 счетчике, созданного компанией iNetCore была посвящена тому, что я его нашел. А вторая тому, что завершил его перевод на русский и украинский языки.

Стрельбы завершены. Личный состав не пострадал.

Наконец то мне удалось протестировать, так сказать, в бою оружие вверенное мне по увольнению из части. Очки не считал но по бутылкам попадал. Докладываю, МР-654К работает без сбоев, заряда баллона хватает, приблизительно, на 50-60 выстрелов.

С праздником, связисты!

Поздравляю всех военных связистов Украины с профессиональным праздником. Пришлось немного зацепить эту тему поэтому считаю что тоже в "теме". Тоесть меня тоже с праздником.

Немного истории:

День войск связи ежегодно отмечается в Украине 8 августа согласно Указу Президента № 154/2000 от 1 февраля 2000 года. Военная связь — это неотъемлемая составляющая управления Вооруженными Силами, его техническая основа.

Началом славной истории, а затем и предпосылкой учреждению праздника послужило то, что 8 августа 1920 года в Киеве, на базе прежнего Константиновского юнкерского военного училища началась подготовка связистов на вторых Киевских военно-инженерных курсах.

Исторический опыт развития военной связи подтверждает ту решающую роль, которую они играют в вооруженной борьбе, в достижении победы. Свидетельством тому рост удельного веса связистов на фоне общей численности войск. В годы гражданской войны она составляла около трех процентов от общей численности Красной Армии, а к началу Великой Отечественной войны выросла до пяти процентов.

В конце Великой Отечественной войны почти каждый десятый воин был связистом. На сегодня около двенадцати процентов от общей численности Вооруженных Сил — это специалисты войск связи, и роль войск связи в достижении постоянной боевой готовности Вооруженных Сил выросла еще больше.

Войска связи Вооруженных Сил Украины берут свое начало от войск связи армии Советского Союза. В январе 1992 года было создано Главное управление связи Вооруженных Сил Украины, которое начало формирование войск связи независимого государства. За время существования Вооруженных Сил Украины из разрозненных систем связи создана единая система, которая способна обеспечить надежное управление Вооруженными Силами

Восстановление разделов дисков при переустановке OpenFiler 2.3

Если Вам пришлось переустановить OpenFiler, а Вы не успели, или забыли, сделать бекап после разбивки дисковых накопителей на разделы то на помощь может придти вот такой скрипт

Делаем так в консоли:

openfiler# cd /root
openfiler# wget http://plastilin.org.ua/files/upload/remake_vol_info
openfiler# chmod 700 remake_vol_info
openfiler# ./remake_vol_info

После этого должны подключится все разделы.

Заставляем дружить Citrix XenServer 5.5 и Openfiler 2.3

Если Вы используете в своей работе программное обеспечение виртуализации Citrix XenServer, то не использовать бесплатную функцию XenMotion для "живой" миграции виртуальных машин с одного хостового сервера на другой - просто, так сказать, грешно. Итак для реализации этой функции потребуются 2 вещи:

1. Хостовые сервера под управлением Citrix XenServer - 2 шт.
2. Общее сетевое хранилише для пула серверов Citrix XenServer (SAN, NFS, FC) - 1 шт.

Если с первым пунктом все, в принципе, понятно, то со вторым придется немного подумать о реализации.
Вариантов может быть два. Либо аппаратное ХД, либо программное ХД. Аппаратные хранилища не всегда оправдывают свою цену, поэтому я решил остановить свой выбор на программной реализации, а именно openfiler 2.3. На странице закачки можно выбрать необходимую версию под свою платформу. Установка достаточно проста. Если все делать согласно инструкции то трудностей возникнуть не должно. После установки, рекомендую сразу же обновить OpenFiler через веб интерфейс, а после разметки дисков сохранить бекап, так как, в последствии, если придется переустановить хранилище оно не увидит уже созданные разделы на дисках.

А теперь о нюансах.

При использовании OpenFiler через iSCSI как общее сетевое хранилище для Citrix XenServer, возникает проблема с "отваливанием" хранилища и не восстановлением с ним связи, в случае перезагрузки хранилища. При этом в самом хранилище нельзя сделать unmap созданному для Citrix LUN.

Лечится эта беда следующим образом:

1. Заходим с консоли хранилища и вводим команду:

openfiler# chkconfig aoe off

Данной командой мы отключаем сервис ATA Over Ethernet, который перехватывает на себя управление шарингом дисков по сети и iSCSI сервис уже не может начать управление.

2. Комментируем в редакторе vi или nano, входящих в состав дистрибутива OpenFiler, для версии 2.3, строки 333-337 в файле /etc/rc.sysinit

# if [ -x /sbin/lvm.static ]; then
# if /sbin/lvm.static vgscan --mknodes --ignorelockingfailure > /dev/null 2>&1 ; then
# action $"Setting up Logical Volume Management:" /sbin/lvm.static vgchange -a y --ignorelockingfailure
# fi
# fi

3. Перезагружаемся

openfiler# reboot

После перезагрузки хранилища, оно снова станет доступным для Citrix XenServer и можно начинать создавать виртуальные машины.

П.С.

Альтернативы. Можно же использовать всеми любимый FreeNAS, ведь он тоже позволяет делать iSCSI target..., скажет кто то... Можно но FreeNAS, не делает LUN, а как раз их и требует Citrix XenServer. Также можно использовать как общее хранилище NFS, но для меня iSCSI более унифицированный, хотя по всем показателям NFS меньше грузит систему и практически не проигрывает в скорости iSCSI.

Настройка OSPF между маршрутизаторами Cisco

Задача:

Настроить динамическое обновление маршрутов между двумя маршрутизаторами при помощи OSPF на базе маршрутизаторов Cisco. Маршрутизатор №1 при OSPF анонсирует маршрутизатору №2 маршрут по умолчанию (0.0.0.0/0) и принимает по OSPF от маршрутизатора №2 все маршруты из сети 192.168.0.0/24. Маршрутизатор №2 соответственно наоборот.

Дано:

Маршрутизатор №1

Интерфейс в внешнюю сеть (FastEthernet0/0) - 10.10.10.2/32
Интерфейс к маршрутизатору №2 (FastEthernet0/1) - 192.168.0.1/32

Маршрутизатор №2

Интерфейсы к внутренним ресурсам (FastEthernet0/0) - 192.168.0.4/29
Интерфейс к маршрутизатору №1 (FastEthernet0/1) - 192.168.0.2/32

Решение:

1. На маршрутизаторе №1 проводим следующие настройки:

1. router#configure terminal
2. router(config)#interface FastEthernet0/0
3. router(config-if)#no shutdown
4. router(config-if)#description --==EXTERNAL==--
5. router(config-if)#ip address 10.10.10.2 255.255.255.252
6. router(config-if)#exit
7. router(config)#interface FastEthernet0/1
8. router(config-if)#no shutdown
9. router(config-if)#description --==TO ROUTER 2==--
10. router(config-if)#ip address 192.168.0.1 255.255.255.252
11. router(config-if)#ip ospf message-digest-key 1 md5 Pa$$w0rd
12. router(config-if)#ip ospf network point-to-point
13. router(config-if)#exit
14. router(config)#ip routing
15. router(config)#ip cef
16. router(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/0
17. router(config)#router ospf 1
18. router(config-router)#router-id 192.168.0.1
19. router(config-router)#log-adjacency-changes detail
20. router(config-router)#passive-interface default
21. router(config-router)#no passive-interface FastEthernet0/1
22. router(config-router)#network 192.168.0.0 0.0.0.3 area 0.0.0.0
23. router(config-router)#default-information originate always
24. router(config-router)#exit
25. router(config)#exit
26. router#copy running-config startup-config

где:

1. Входим в режим конфигурирования маршрутизатора
2. Входим режим конфигурирования интерфейса в внешнюю сеть
3. Включаем интерфейс
4. Назначаем описание интерфейса
5. Назначаем IP адрес и маску подсети
6. Выходим из режима конфигурирования интерфейса в внешнюю сеть
7. Входим режим конфигурирования интерфейса к маршрутизатору №2
8. Включаем интерфейс
9. Назначаем описание интерфейса
10. Назначаем IP адрес и маску подсети
11. Назначаем ключ аутентификации OSPF на данном интерфейсе (Ключи на обоих сторонах должны быть одинаковы)
12. Так как планируется построение OSPF только между 2 маршрутизаторами, явно указываем среду передачи
13. Выходим из режима конфигурирования внешнего интерфейса
14. Включаем маршрутизацию между интерфейсами
15. Включаем режим Cisco Express Forwarding (При включенном режиме уменьшается нагрузка на процессор маршрутизатора)
16. Устанавливаем маршрут по умолчанию. (Без него не будет работать)
17. Входим в режим конфигурирования протокола OSPF с номером 1
18. Назначаем идентификатор маршрутизатора
19. Включаем журналирование протокола и выставляем его уровень
20. Включаем принудительное подавление OSPF обновлений на всех интерфейсах
21. Разрешаем обмен OSPF обновлениями через интерфейс FastEthernet0/1
22. Анонсируем по OSPF сеть 192.168.0.0/32 в области 0 (BACKBONE) (Будут проаносированы все подсети попадающие под маску /32)
23. Включаем постоянную генерацию маршрута по умолчанию
24. Выходим из режима конфигурирования протокола OSPF
25. Выходим из режима конфигурирования маршрутизатора
26. Сохраняем конфигурацию в энергонезависимую память

2. На маршрутизаторе №2 проводим следующие настройки:

1. router#configure terminal
2. router(config)#interface FastEthernet0/0
3. router(config-if)#no shutdown
4. router(config-if)#description --==CLIENTS==--
5. router(config-if)#ip address 192.168.0.4 255.255.255.252
6. router(config-if)#exit
7. router(config)#interface FastEthernet0/1
8. router(config-if)#no shutdown
9. router(config-if)#description --==TO ROUTER 1==--
10. router(config-if)#ip address 192.168.0.2 255.255.255.252
11. router(config-if)#ip ospf message-digest-key 1 md5 Pa$$w0rd
12. router(config-if)#ip ospf network point-to-point
13. router(config-if)#exit
14. router(config)#ip routing
15. router(config)#ip cef
16. router(config)#router ospf 1
17. router(config-router)#router-id 192.168.0.2
18. router(config-router)#log-adjacency-changes detail
19. router(config-router)#passive-interface default
20. router(config-router)#no passive-interface FastEthernet0/1
21. router(config-router)#network 192.168.0.0 0.0.0.255 area 0.0.0.0
22. router(config-router)#exit
23. router(config)#exit
24. router#copy running-config startup-config

где:

1. Входим в режим конфигурирования маршрутизатора
2. Входим режим конфигурирования интерфейса к внутренним ресурсам
3. Включаем интерфейс
4. Назначаем описание интерфейса
5. Назначаем IP адрес и маску подсети
6. Выходим из режима конфигурирования интерфейса к внутренним ресурсам
7. Входим режим конфигурирования интерфейса к маршрутизатору №1
8. Включаем интерфейс
9. Назначаем описание интерфейса
10. Назначаем IP адрес и маску подсети
11. Назначаем ключ аутентификации OSPF на данном интерфейсе (Ключи на обоих сторонах должны быть одинаковы)
12. Так как планируется построение OSPF только между 2 маршрутизаторами, явно указываем среду передачи
13. Выходим из режима конфигурирования внешнего интерфейса
14. Включаем маршрутизацию между интерфейсами
15. Включаем режим Cisco Express Forwarding (При включенном режиме уменьшается нагрузка на процессор маршрутизатора)
16. Входим в режим конфигурирования протокола OSPF с номером 1
17. Назначаем идентификатор маршрутизатора
18. Включаем журналирование протокола и выставляем его уровень
19. Включаем принудительное подавление OSPF обновлений на всех интерфейсах
20. Разрешаем обмен OSPF обновлениями через интерфейс FastEthernet0/1
21. Анонсируем по OSPF сеть 192.168.0.0/24 в области 0 (BACKBONE) (Будут проаносированы все подсети попадающие под маску /24)
22. Выходим из режима конфигурирования протокола OSPF
23. Выходим из режима конфигурирования маршрутизатора
24. Сохраняем конфигурацию в энергонезависимую память

Примечание:

Управление процессом OSPF происходит при помощи следующих команд:

1. router#clear ip ospf process
2. router#show ip ospf
3. router#show ip ospf neighbor
4. router#show ip route ospf

Где:

1. Перезапуск OSPF процесса
2. Просмотр информации о состоянии OSPF процесса
3. Просмотр информации о OSPF соседях
4. Просмотр маршрутов полученных по OSPF

Настройка NAT и шейпера на FreeBSD

Задача:

Настроить NAT для локальной сети используя FreeBSD и ограничить скорость доступа при помощи шейпера на аплоад 10 мегабит в секунду, на даунлоад 1 мегабит в секунду.

Дано:

Внутренний интерфейс de0 (192.168.0.1/24)
Внешний интерфейс de1 (10.10.10.2/32)

Решение:

1. Пересобираем ядро с такими опциями:

1. options IPFIREWALL
2. options IPFIREWALL_VERBOSE
3. options IPFIREWALL_VERBOSE_LIMIT=10
4. options IPFIREWALL_DEFAULT_TO_ACCEPT
5. options IPDIVERT
6. options DUMMYNET
7. options HZ=1000

где:

1. Активируем Firewall при загрузке
2. Включаем возможность журналирования
3. Ограничиваем журналирование до 10 записей в секунду
4. По умолчанию разрешаем прохождение любого трафика, тоесть ничего не блокируем
5. Включаем демон NAT
6. Включаем демон шейпера
7. Устанавливаем таймер точности работы для шейпера (Начинает интенсивнее использоваться процессор)

2. Дописываем в файл /etc/rc.conf следующие строки:

1. ifconfig_de0="inet 192.168.0.1 netmask 255.255.255.0 up media 100baseTX mediaopt full-duplex"
2. ifconfig_de1="inet 10.10.10.2 netmask 255.255.255.252 up media 100baseTX mediaopt full-duplex"
3. defaultrouter="10.10.10.1"
4. gateway_enable="YES"
5. firewall_enable="YES"
6. firewall_type="firewall"
7. firewall_quiet="YES"
8. firewall_logging="YES"
9. firewall_script="/usr/local/etc/rc.firewall"
10. natd_enable="YES"
11. natd_flags="-f /etc/natd.conf"

где:

1. Конфигурируем внутренний интерфейс
2. Конфигурируем внешний интерфейс
3. Указываем шлюз по умолчанию
4. Активируем режим пересылки пакетов между интерфейсами
5. Активируем Firewall
6. Указываем тип Firewall (Идентификатор. Мы используем свои настройки, поэтому выбираем название отличное от стандартных типовых - OPEN, CLIENT, SIMPLE, CLOSED, UNKNOWN)
7. Активируем "тихий" режим Firewall (при загрузке/перезагрузке правил не будут выдаваться предупредительные сообщения)
7. Активируем режим журналирования
8. Указываем путь к файлу для загрузки правил Firewall
10. Активируем демон natd
11. Указываем путь к файлу для загрузки опций natd

3. Создаем скрипт /usr/local/etc/rc.firewall и добавляем в него следующие строки:

1. #!/bin/sh
2. ipfw -f flush
3. ipfw -f pipe flush
4. ipfw add 100 allow ip from any to any via lo0
5. ipfw add 200 deny ip from any to 127.0.0.0/8
6. ipfw add 300 deny ip from 127.0.0.1/8 to any
7. ipfw add 400 divert natd all from any to any via de1
8. ipfw add 500 pipe 500 ip from 192.168.0.0/24 to any via de0
9. ipfw add 600 pipe 600 ip from any to 192.168.0.0/24 via de1
10. ipfw pipe 500 config bw 1024Kbit
11. ipfw pipe 600 config bw 10240Kbit
12. ipfw add 65535 allow ip from any to any

где:

1. Указываем интерпретатор в начале скрипта
2. Очищаем правила Firewall
3. Очищаем пайпы (трубы) шейпера
4. Добавляем разрешающее правило 100 для прохода всего трафика через лупбек
5. Добавляем запрещающее правило 200 для доступа к сети 127.0.0.0/8
6. Добавляем запрещающее правило 300 для доступа из сети 127.0.0.0/8
7. Добавляем разрешающее правило 400 для запуска NAT через интерфейс de1
8. Добавляем правило 500, добавляющее пайп 500 от сети 192.168.0.0/24 через интерфейс de0
9. Добавляем правило 600, добавляющее пайп 600 к сети 192.168.0.0/24 через интерфейс de1
10. Конфигурируем пайп соответствующий номеру 500. Устанавливаем скорость 1 мегабит
11. Конфигурируем пайп соответствующий номеру 600. Устанавливаем скорость 10 мегабит.

3. Создаем файл /etc/natd.conf, описывающий настройки демона natd

1. use_sockets yes
2. same_ports yes
3. unregistered_only yes
4. interface de1

где:

1. Выделять для NAT соединений сокеты. Используется больше ресурсов, но уменьшается вероятность некорректной трансляции
2. Пытаться сохранять тот же номер порта если данные для исходящих соединений изменились, полезно для протокола RPC
3. Транслировать только "серые" адреса, читать RFC 1918
4. Указываем имя исходящего NAT интерфейса, полезно в случае если на внешнем интерфейсе IP изменяется динамически.

4. Управляем IPFW при помощи команд

1. freebsd# /etc/rc.d/ipfw start
2. freebsd# ipfw list
3. freebsd# ipfw show
4. freebsd# ipfw pipe list
5. freebsd# ipfw -f flush
6. freebsd# ipfw -f pipe flush

где:

1. Стартуем IPFW. Также доступны опции restart, stop, status
2. Просмотр правил IPFW
3. Просмотр правил IPFW с счетчиками трафика
4. Просмотр пайпов
5. Очистка в тихом режиме правил IPFW
6. Очистка в тихом режиме пайпов

Тестирование FreeBSD 7.2 AMD64 под Citrix XenServer 5.5.0-15119t

Задача:

Провести тестирование производительности виртуального сервера под управлением FreeBSD 7.2 AMD64 на базе хостовой платформы Citrix XenServer 5.5.0-15119t при помощи утилиты unixbench 4.1. А также проверить пропускную способность сети помощи утилиты iperf 2.0.4

Дано:

CPU: Intel Xeon E5310 4 x 1,6 Ghz
RAM: 5000 Mb
HDD: 40 Gb
LAN: Realtek 8139C+ 10/100BaseTX


Результаты:

Производительность: 177,9

Пропускная способность на аплоад: 239 Мегабит в секунду

Пропускная способность на даунлоад: 337 Мегабит в секунду

Примечания:

1. В целом система корректно установилась, распознала всю отведенную ей память и виртуальные процессоры. Но при всем положительном присутствует один недостаток, так как для FreeBSD недоступны XenServer Tools, машине невозможно сделать Suspend, Reboot или Shutdown. Доступны только опции Force Reboot и Force Shutdown. Вероятнее всего что не будет доступна опция LiveMigration.

2. Система на "ральном железе" показала результаты:

- Общая производительность: 409, 6

- Пропускная способность на аплоад: 937 Мегабит в секунду

- Пропускная способность на даунлоад: 583 Мегабита в секунду

3. Виртуализированная система под управлением Hyper-V показала результаты:

- Общая производительность: 144, 6

- Пропускная способность на аплоад: 46, 22 Мегабита в секунду

- Пропускная способность на даунлоад: 47, 27 Мегабита в секунду

Настройка NAT и шейпера на маршрутизаторе Cisco

Задача:

Настроить NAT для локальной сети 192.168.0.0/24 на новом маршрутизаторе и обрезать скорость на даунлоад 10 Мегабит на аплоад 1 Мегабит.

Дано:

Внутренний интерфейс (FastEthernet 0/0) - 192.168.0.1/24
Внешний интерфейс (FastEthernet 0/1) - 10.10.10.2/32

Решение:

1. router#configure terminal
2. router(config)#interface FastEthernet 0/0
3. router(config)#no shutdown
4. router(config-if)#description --==Internal==--
5. router(config-if)#ip address 192.168.0.1 255.255.255.0
6. router(config-if)#ip nat inside
7. router(config-if)#rate-limit input 1024000 192000 384000 conform-action transmit exceed-action drop
8. router(config-if)#rate-limit output 10240000 1920000 3840000 conform-action transmit exceed-action drop
9. router(config-if)#exit
10. router(config)#interface FastEthernet 0/1
11. router(config)#no shutdown
12. router(config-if)#description --==External==--
13. router(config-if)#ip address 10.10.10.2 255.255.255.252
14. router(config-if)#ip nat outside
15. router(config-if)#exit
16. router(config)#ip routing
17. router(config)#ip cef
18. router(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/1
19. router(config)#access-list 10 permit 192.168.0.0 0.0.0.255
20. router(config)#ip nat inside source list 10 interface FastEthernet0/0 overload
21. router(config)#exit
22. router#copy running-config startup-config

Пояснение:

1. Входим в режим конфигурирования маршрутизатора
2. Входим режим конфигурирования внутреннего интерфейса
3. Включаем интерфейс
4. Назначаем описание интерфейса
5. Назначаем IP адрес и маску подсети
6. Указываем, что это внутренний интерфейс для NAT
7. Задаем ограничение скорости на вход интерфейса (Аплоад для клиентов)
8. Задаем ограничение скорости на выход интерфейса (Даунлоад для клиентов)
9. Выходим из режима конфигурирования внешнего интерфейса
10. Входим режим конфигурирования внутреннего интерфейса
11. Включаем интерфейс
12. Назначаем описание интерфейса
13. Назначаем IP адрес и маску подсети
14. Указываем, что это внешний интерфейс для NAT
15. Выходим из режима конфигурирования внешнего интерфейса
16. Включаем маршрутизацию между интерфейсами
17. Включаем режим Cisco Express Forwarding (При включенном режиме уменьшается нагрузка на процессор маршрутизатора)
18. Устанавливаем маршрут по умолчанию. (Без него не будет работать)
19. Создаем список доступа с номер 10, в котором разрешаем подсеть 192.168.0.0 с обратной маской 0.0.0.255
20. Включаем NAT и разрешаем доступ из списка номер 10 через интерфейс FastEthernet 0/0 в режиме трансляции всех внутренних адресов в один внешний
21. Выходим из режима конфигурирования маршрутизатора
22. Сохраняем конфигурацию в энергонезависимую память

Примечания:

1. Для расчета данных по рекомендациям Cisco для ограничения скорости используются 3 числа, которые расчитываются по следующей формуле:

Число 1 = Количество бит в секунду задается пользователем
Число 2 = Число 1 / 8 * 1,5
Число 3 = Число 2 * 2

2. Информацию о работе NAT можно просмотреть командами:

router#show ip nat statistics (Общее состояние)
router#show ip nat translations (Активные NAT трансляции)