网络地址转换(NAT)常见问题
目录
简介通用NAT语音NATNAT与VRF/MPLSNATNVISNATNAT-PT(v6到v4)与平台相关的思科7300/7600/6k与平台相关的思科850NAT部署NAT最佳做法相关信息
简介
本文档将解答有关网络地址转换(NAT)的常见问题。
通用NAT
Q.何谓NAT?
A.网络地址转换(NAT)是为保护IP地址而设计的。
这使得采用未注册IP地址的专用IP网络可以连接到。
NAT在路由器上运行,通常将两个网络连接在一起,并在数据包转发到另一个网络之前,将内部网络中的专用(非全局唯一)地址转换为合法地址。
作为此功能的一部分,NAT可以配置为只向外界通告整个网络的一个地址。
这样可以将整个内部网络有效地隐藏在该地址后面,使其更加安全。
NAT具有确保安全和保护地址的双重功能,通常在远程访问环境中实施。
Q.NAT的工作原理是什么?
A.基本而言,NAT允许单个设备(例如路由器)充当互联网(或公用网络)与本地网络(或专用网络)之间的代理,这意味着只需要一个唯一的IP地址即可向其网络之外的任何对象表示整个计算机组。
Q.如何配置NAT?
A.要配置传统NAT,至少需要在某台路由器上设置一个(NAT外部)接口,并在该路由器上设置另一个(NAT内部)接口,另外还需要配置一组用于转换数据包报信头(以及负载,如果需要)中 IP地址的规则。
要配置NAT虚拟接口(NVI),至少需要配置一个启用了NAT的接口以及上面提到的一组相同的规则。
有关更多信息,请参阅思科IOSIP寻址服务配置指南或配置NAT虚拟接口。
Q.思科IOS®软件与思科PIX安全设备在实施NAT方面的主要区别是什么?
A.思科基于软件的IOSNAT与思科PIX安全设备中的NAT功能没有本质区别。
主要区别包括实施中支持的流量类型不同。
有关在CiscoPIX设备(包括支持的数据流类型)上配置NAT的详细信息,请参阅CiscoPIX500系列安全设备和NAT配置示例。
Q.CiscoIOSNAT在哪个Cisco路由硬件上可用?如何订购硬件?
A.使用思科功能导航器工具,客户可以识别功能(NAT),并查找此思科IOS软件功能可用的发行版本和硬件版本。
要使用此工具,请参阅思科功能导航器。
Q.NAT发生在路由之前还是之后?
A.使用NAT处理事务的顺序基于数据包是从内部网络传递到外部网络,还是从外部网络传递到内部网络。
内部到外部的转换发生在路由之后,外部到内部的转换发生在路由之前。
有关详细信息,请参阅NAT运行顺序。
Q.NAT是否可以部署在公共无线局域网环境中?
A.可以。
NAT静态IP支持功能为具有静态IP地址的用户提供支持,使这些用户能够在公共无线局域网环境中建立IP会话。
Q.NAT是否会对内部网络上的服务器执行TCP负载均衡?
A.可以。
使用NAT,可以在内部网络上建立一个虚拟主机,用以协调真实主机之间的负载共享。
有关更多信息,请参阅使用TCP负载均衡避免服务器过载。
Q.是否可以对NAT转换数量进行速率限制?
A.可以。
使用“NAT转换的速率限制”功能可以限制路由器上并发NAT操作的最大数量。
除了支持用户更好地控制NAT地址的使用外,“NAT转换的速率限制”功能还可用于限制病毒、蠕虫和拒绝服务攻击所产生的影响。
Q.NAT使用的IP子网或地址如何学习或传播路由?
A.在下列情况下,可以察觉由NAT创建的IP地址的路由: q内部全局地址池源自下一跳路由器的子网。
q静态路由条目在下一跳路由器中配置,并在路由网络中重新分配。
当内部全局地址与本地接口匹配时,NAT会设置一个IP别名和一个ARP条目,在这种情况下,路由器将为这些地址代理ARP。
如果不需要此行为,请使用no-alias关键字。
配置NAT池时,可以使用add-route选项进行自动路由注入。
Q.CiscoIOSNAT中支持多少并发NAT会话?
A.NAT会话限制取决于路由器中可用DRAM的数量。
每次NAT转换大约都会使用DRAM中的312个字节。
因此,转换10,000次(超过该次数通常会在单个路由器上处理)大约使用3MB。
因此,典型的路由硬件具有足够多的内存来支持成千上万次NAT转换。
Q.使用CiscoIOSNAT时,可预期的路由性能如何?
A.CiscoIOSNAT支持Cisco快速转发交换、快速交换以及进程交换。
12.4T版和更高版本不再支持快速切换交换路径。
对于Cat6k平台,切换交换顺序为Netflow(硬件切换交换路径)、CEF、过程路径。
性能取决于以下几个因素: q应用类型及其数据流类型qIP地址是否为嵌入式q多条消息的交换与检查q要求的源端口q转换次数q当时运行的其他应用程序q硬件和处理器的类型
Q.CiscoIOSNAT能否应用于子接口?
A.可以。
源NAT和/或目标NAT之间的转换可以应用于任何具有IP地址的接口或子接口(包括拨号器接口)。
无法使用无线虚拟接口配置NAT。
在写入NVRAM时,不存在无线虚拟接口。
因此,在重新启动后,路由器会失去无线虚拟接口上的NAT配置。
Q.CiscoIOSNAT能否与热备用路由器协议(HSRP)配合使用,从而对ISP提供冗余链路?
A.可以。
NAT确实会提供HSRP冗余。
但是,它与SNAT(有状态NAT)不同。
使用HSRP的NAT是一个无状态系统。
发生故障时不保留当前会话。
在静态NAT配置期间(数据包与任何静态规则配置都不匹配),系统直接发送数据包,而不进行任何转换。
Q.思科IOSNAT是否支持在帧中继接口上进行入站转换?是否支持在以太网端进行出站转换?
A.可以。
封装对NAT并不重要。
只要接口上有IP地址并且接口是NAT内部或NAT外部接口,即可执行NAT。
必须有一个内部和外部接口才能让NAT正常工作。
如果您使用NVI,必须至少有一个启用了NAT的接口。
请参阅如何配置NAT?了解更多信息。
Q.启用了NAT的单个路由器是否允许一些用户使用NAT,而同一以太网接口上的其他用户可以继续使用自己的IP地址?
A.可以。
这可通过使用一个访问列表来完成,该访问列表描述需要NAT的一组主机或网络。
同一主机上的所有会话要么进行转换,要么通过路由器而不进行转换。
访问列表、扩展访问列表和路由图映射均可用于定义IP设备的转换规则。
应该始终指定网络地址和 适当的子网掩码。
不应使用关键字any来代替网络地址或子网掩码(有关更多详情,请参阅NAT常见问题解答、最佳做法和部署指南)。
使用静态NAT配置时,如果数据包与任何静态规则配置都不匹配,系统将直接发送数据包,而不进行任何转换。
Q.配置PAT(过载)时,可以为每个内部全局IP地址创建的最大转换次数是多少?
A.PAT(过载)将每个全局IP地址的可用端口分成三个范围:0-511、512-1023和1024-65535。
PAT为每个UDP或TCP会话分配唯一的源端口。
它尝试分配原始请求的相同端口值,但如果原始的源端口已经使用,它将从特定端口范围的开始端口进行扫描,以查找第一个可用端口并将其分配给对话。
但12.2S代码库例外。
12.2S代码库使用不同的端口逻辑,并且不预留端口。
Q.PAT的工作原理是什么?
A.PAT使用一个全局IP地址或多个地址。
使用一个IP地址的PAT 条说明件1NAT/PAT检查数据流并将其与转换规则进行匹配。
2规则与PAT配置相匹配。
如果PAT知晓流量类型并且该流量类型具有它将使用3的“一组特定端口或协商端口”,则PAT会预留这些端 口,而不将它们作为唯一的标识符分配。
如果某个没有特殊端口要求的会话尝试连接到外部网络上,则PAT将转换IP源地址并检查初始源端口(例如433)的可用性。
4注意:对于传输控制协议(TCP)和用户数据报协议(UDP),范围为:1-511、512-1023、1024-65535。
对于控制消息协议(ICMP),第一组范围从0开始。
5如果请求的源端口可用,则PAT将分配该源端口,然后会话继续。
如果请求的源端口不可用,PAT将从相关组的开始处6开始搜索(对于TCP或UDP应用,从1开始;对于ICMP,从0开始)。
7如果有端口可用,则分配该端口,然后会话继续。
8如果没有端口可用,则丢弃数据包。
使用多个IP地址的PAT 条说明件1-前七个条件与处理单个IP地址的情况相同。
7 如果第一个IP地址的相关组中没有可用的端口,NAT8将移动到池中的下一个IP地址并尝试分配所请求的原 始源端口。
9如果请求的源端口可用,则NAT将分配该源端口,然 后会话继续。
如果请求的源端口不可用,则NAT将从相关组的起始10处开始搜索(对于TCP或UDP应用程序,从1开始;对于ICMP,从0开始)。
11如果端口可用,则系统会分配该端口,并继续会话。
12如果没有端口可用,除非池中的另一个IP地址可用,否则丢弃数据包。
Q.什么是NATIP池?
A.NATIP池是根据需要为NAT转换所分配的IP地址范围。
要定义池,请使用配置命令: ipnatpoolmaskmask>|prefix-length}[type{rotary}]
示例
1 以下示例在寻址的内部主机间将192.168.1.0或192.168.2.0网络转换为全局唯一的10.69.233.208/28网络: ipnat-20810.69.233.20810.69.233.223prefix-length28ipnatinsidesourcelist1-208!
interface0ipaddress10.69.232.182255.255.255.240ipnatoutside!
interface1ipaddress192.168.1.94255.255.255.0ipnatinside!
ess-list1permit192.168.1.00.0.0.255ess-list1permit192.168.2.00.0.0.255 示例
2 以下示例的目标是定义一个虚拟地址,并在一组真实主机中分配与该地址的连接。
池定义真实主机的地址。
访问列表定义虚拟地址。
如果不存在转换,则从目标与访问列表匹配的串行接口0(外部接口)发送的TCP数据包将转换为池中的地址。
ipnatpoolreal-hosts192.168.15.2192.168.15.15prefix-length28typerotaryipnatinsidedestinationlist2poolreal-hosts!
interfaceserial0ipaddress192.168.15.129255.255.255.240ipnatoutside!
interface0ipaddress192.168.15.17255.255.255.240ipnatinside!
ess-list2permit192.168.15.1
Q.可配置NATIP池(ipnatpool"name")的最大数量是多少?
A.在实际应用中,可配置的IP池的最大数量取决于特定路由器中可用DRAM的数量。
(思科建议您将池大小配置为255。
)每个池不应超过16位。
在12.4(11)T版和更高版本中,IOS引入了CCE(通用分类引擎)。
这将NAT限制为最多只能有255个池。
在12.2S代码库中,没有最大池数限制。
Q.相较于在NAT池中使用ACL,使用路由图映射有什么优势?
A.路由图映射可以防止不受欢迎的外部用户访问内部用户/服务器。
此外,它还可以根据规则将单个内部IP地址映射到不同的内部全局地址。
有关更多信息,请参阅使用路由图映射对多个池提供NAT支持。
Q.什么是NAT环境中的IP地址“重叠”?
A.IP地址重叠是指两个要互联的位置使用相同的IP地址方案。
这种情况很常见;在公司合并或收购时经常发生。
如果没有特殊支持,这两个位置将无法连接并建立会话。
重叠的IP地址可能是分配给其他公司的公用地址、分配给其他公司的专用地址,也可能是RFC1918所定义的专用地址范围中的一个。
专用IP地址不可路由,需要进行NAT转换才能与外界连接。
解决方案包括拦截从外部到内部的域名系统(DNS)名称查询响应、设置外部地址转换,以及在将DNS响应转发到内部主机之前修复该响应。
NAT设备的两端都需要一个DNS服务器,以满足用户在两个网络之间进行连接的需求。
NAT能够对DNSA和PTR记录的内容进行检查并执行地址转换,如在重叠网络中使用NAT中所述。
Q.什么是静态NAT转换?
A.静态NAT转换在本地地址和全局地址之间具有一对一的映射关系。
用户也可以将静态地址转换配置为端口级,并将剩余的IP地址用于其他转换。
这通常发生在执行端口地址转换(PAT)的位置。
以下示例展示了如何配置路由图映射以便对静态NAT执行外部到内部的转换: ipnatinsidesourcestatic1.1.1.12.2.2.2route-mapR1reversible!
ipess-listextendedACL-Apermitipany30.1.10.1280.0.0.127'route-mapR1permit10matchipaddressACL-
A Q.NAT过载的含义是什么?是指PAT吗?
A.可以。
NAT过载即PAT,涉及使用由一个或多个地址组成的地址范围的池或将接口IP地址与端口结合使用。
过载时,将可以创建完全扩展的转换。
这是一个转换表条目,其中包含IP地址和源/目标端口信息,通常称为PAT或过载。
PAT(或过载)是思科IOSNAT的一项功能,用于将内部(内部本地)专用地址转换为一个或多个外部(内部全局,通常已注册)IP地址。
每次转换的唯一源端口号用于区分不同的会话。
Q.什么是动态NAT转换?
A.在动态NAT转换中,用户可以建立本地地址和全局地址之间的动态映射。
动态映射通过以下操作来完成:定义要转换的本地地址以及要从中分配全局地址的地址池或接口IP地址池,并将两者关联起来。
Q.ALG是什么?
A.ALG即应用层网关(ALG)。
NAT对应用数据流中未携带源和/或目标IP地址的所有传输控制协议/用户数据报协议(TCP/UDP)流量执行转换服务。
这些协议包括FTP、HTTP、SKINNY、H232、DNS、RAS、SIP、TFTP、、archie、finger、NTP、NFS、rlogin、rsh和rcp。
在负载中嵌入IP地址信息的特定协议需要支持应用层网关(ALG)。
有关更多信息,请参阅将应用层网关与NAT结合使用。
Q.能否建立一种同时包含静态和动态NAT转换的配置?
A.可以。
但是,同一IP地址不能用于NAT静态配置,如果在IP地址位于池中,则不能用于NAT动态配置。
所有公共IP地址都必须唯
一。
请注意,如果动态池中包含静态转换中使用的全局地址,则系统不会自动排除这些相同的全局地址。
必须创建动态池才能排除静态条目分配的地址。
有关更多信息,请参阅同时配置静态和动态NAT。
Q.通过NAT路由器执行跟踪路由时,跟踪路由应该显示NAT全局地址还是NAT本地地址?
A.从外部进行的跟踪路由应始终返回全局地址。
Q.PAT如何分配端口?
A.NAT引入了额外的端口功能:全范围和端口映射。
q全范围允许NAT使用所有端口,而不考虑其默认端口范围。
q端口映射允许NAT为特定应用保留用户定义的端口范围。
有关更多信息,请参阅用于PAT的用户定义的源端口范围。
从12.4(20)T2开始,NAT引入了L3/L4端口随机化和对称端口。
q使用端口随机化,NAT可以针对源端口请求随机选择任意全局端口。
q使用对称端口,NAT可以支持终端独立。
有关更多信息,请参阅剖析:深入了解网络地址转换器。
Q.IP分段与TCP分段的区别是什么?
A.IP分段发生在第3层(IP);TCP分段发生在第4层(TCP)。
如果将大于接口最大传输单位(MTU)的数据包从该接口发送出去,将会发生IP分段。
在将这些数据包从该接口发送出去时,必须将其分段或丢弃。
如果在数据包的IP报信头中未设置“不分段(DF)”位,系统将对数据包检分段。
如果在数据包的IP报信头中设置了DF位,系统将丢弃该数据包并显示一条ICMP错误消息,指明 下一跳MTU值将返回给发送者。
IP数据包的所有分段在IP报信头中都具有相同的标识,这样,最终接收者才能将这些分段重组为原始IP数据包。
有关更多信息,请参阅解决GRE和Ipsec中的IP分段、MTU、MSS和PMTUD问题。
当终端站上的应用发送数据时,将会发生TCP分段。
应用数据将分解为TCP认为大小最适合发送的块。
从TCP传递到IP的这一数据单位称为段。
TCP段以IP数据报的形式发送。
之后,这些IP数据报在通过网络时会变成IP分段,并且遇到的MTU链路比适合它们通过的链路要小。
TCP会先将此数据分解成TCP段(基于TCPMSS值),然后添加TCP报信头并将此TCP段传递给IP。
然后,IP将添加一个IP报信头以将数据包发送到远程终端主机。
如果含有TCP段的IP数据包大于TCP主机之间路径上传出接口的IPMTU,则IP将对IP/TCP数据包进行分段,以便调整为合适的大小。
这些IP数据包分段将由IP层在远程主机上进行重组,完整的TCP段(即最初发送的TCP段)将移交给TCP层。
TCP层不知道在传输过程中IP已对数据包进行了分段。
NAT支持IP分段,但不支持TCP段。
Q.NAT是否支持无序的IP分段和TCP分段?
A.由于存在ipvirtual-reassembly,NAT仅支持无序的IP分段。
Q.如何调试IP分段和TCP分段?
A.NAT对IP分段和TCP分段使用相同的调试CLI:debugipnatfrag。
Q.是否有受支持的NATMIB?
A.不能。
没有受支持的NATMIB(包括CISCO-IETF-NAT-MIB在内)。
Q.TCP超时是什么?它与NATTCP计时器的关系有如何关系?
A.如果三方握手未完成,但NAT发现TCP数据包,则NAT将启动60秒计时器。
三方握手完成后,NAT会默认对NAT条目使用24小时计时器。
如果终端主机发送RESET,NAT会将默认计时器从24小时更改为60秒。
对于FIN,NAT在收到FIN和FIN-ACK时会将默认计时器从24小时更改为60秒。
Q.是否可以在NAT转换表中更改NAT转换到超时所需的时间?
A.可以。
可以为所有条目或不同类型的NAT转换更改NAT超时值(例如,udp-timeout、dnstimeout、tcp-timeout、finrst-timeout、icmp-timeout、pptp-timeout、syn-timeout、port-timeout
和arp-ping-timeout)。
Q.如何阻止轻量级目录访问协议(LDAP)将额外字节附加到每个LDAP应答数据包?
A.LDAP设置在处理Search-Res-Entry类型的消息时会添加额外字节(LDAP搜索结果)。
LDAP会将搜索结果的10个字节附加到每个LDAP应答数据包。
如果这额外的10字节数据导致数据包超过网络中的最大传输单位(MTU),则该数据包将被丢弃。
在这种情况下,思科建议您使用CLI命令noipnatserviceappend-ldap-search-res禁用此LDAP行为,以便正常发送和接收数据包。
Q.对NAT设备上的内部全局/外部本地IP地址有何路由建议?
A.必须在配置了NAT的设备上指定内部全局IP地址的路由,以便实现NAT-NVI等功能。
同样,还应当在NAT设备上指定外部本地IP地址的路由。
在这种情况下,使用外部静态规则从内向外发送的任何数据包都需要此类路由。
此时,虽然为IG/OL提供路由,但也应配置下一跳IP地址。
如果缺少下一跳配置,这会被视为配置错误,并因此而出现未定义的行为。
NVI-NAT仅出现在输出功能路径中。
如果子网与NAT-NVI直接连接,或者在设备上配置了外部NAT转换规则,则在这些情况下,您需要提供一个虚拟的下一跳IP地址以及下一跳的关联ARP。
底层基础设施必须使用它们才能将数据包交给NAT进行转换。
Q.思科IOSNAT是否支持带有“log”关键字的ACL?
A.为动态NAT转换配置CiscoIOSNAT时,将使用ACL标识可转换的数据包。
当前NAT体系结构不支持包含“log”关键字的ACL。
语音NAT
Q.NAT是否支持思科统一通信管理器(CUCM)V7随附的瘦客户端控制协议(SCCP)v17?
A.CUCM7及其所有默认电话负载都支持SCCPv17。
使用的SCCP版本取决于电话注册时CUCM和电话之间最高的通用版本。
NAT尚不支持SCCPv17。
在实现NAT对SCCPv17的支持之前,必须将固件降级到8-3-5版或更低版本,以便协商SCCPv16。
只要使用SCCPv16,CUCM6就不会在电话负载方面遇到NAT问题。
思科IOS目前不支持SCCPv17。
Q.NAT支持哪些CUCM/SCCP/固件负载版本?
A.NAT支持CUCM6.x版和更早版本。
这些CUCM版本在发布时具有支持SCCPv15(或更早版本)的默认8.3.x版(或更早版本)电话固件负载。
NAT不支持CUCM7.x版或更高版本。
这些CUCM版本在发布时具有支持SCCPv17(或更高版本)的默认8.4.x版电话固件负载。
如果使用CUCM7.x或更高版本,则必须在CUCMTFTP服务器上安装较早的固件负载,以便电话使用包含SCCPv15或更早版本的固件负载,从而得到NAT的支持。
以下链接确认固件负载8.3.x包含SCCPv15或更早版本并且将使用NAT,而固件负载8.4.x包含SCCPv17,但无法使用NAT。
/twiki/prod/bin/view/Thirdgenphones/CCMLoadNumberAndCodeNameDecoderRing
Q.什么是RTP和RTCP的服务提供商PAT端口分配增强?
A.RTP和RTCP的运营商PAT端口分配增强功能确保对SIP、H.323和Skinny语音呼叫进行增强。
用于RTP流的端口号为偶数端口号,而RTCP流是随后的下一个奇数端口号。
端口号将转换 为符合RFC-1889的指定范围内的数字。
一个具有该范围内端口号的呼叫将导致PAT转换为此范围内的另一个端口号。
同样,范围之外端口号的PAT转换将不会导致转换为给定范围内的编号。
有关详细信息,请参阅RTP和RTCP的服务提供商PAT端口分配增强。
Q.什么是会话初始协议(SIP)?SIP数据包是否可以进行NAT?
A.会话初始协议(SIP)是基于ASCII的应用层控制协议,可用于建立、维持和终止两个或多个端点之间的呼叫。
SIP是工程任务组(IETF)为在IP上实现多媒体会议而开发的备选协议。
CiscoSIP的实施使支持的Cisco平台能够通过IP网络用信号通知设置语音和多媒体呼叫。
SIP数据包可以进行NAT。
Q.什么是对会话边界控制器(SBC)的托管NAT遍历支持?
A.通过适用于SBC的思科IOS托管NAT遍历功能,思科IOSNATSIP应用层网关(ALG)路由器可以充当思科多业务IP到IP网关上的SBC,这有助于确保顺利提供IP网络语音(VoIP)服务。
有关更多信息,请参阅为会话边界控制器配置思科IOS托管的NAT遍历和使用思科IOS会话边界控制器对SIP呼叫进行SP托管的NAT遍历。
Q.路由器内存和CPU可以使用NAT处理多少SIP呼叫、Skinny呼叫和H323呼叫?
A.NAT路由器处理的呼叫数取决于设备上可用的内存量和CPU处理能力。
Q.NAT路由器是否支持对Skinny数据包和H323数据包进行TCP分段?
A.在12.4主要产品系列中,IOS-NAT支持对H323进行TCP分段,自12.4
(6)T开始,支持对SKINNY进行TCP分段。
Q.在语音部署中使用NAT过载配置时,是否有任何需要注意的警告?
A.可以。
使用NAT过载配置和语音部署时,注册消息需要通过NAT,并且您需要创建一个关联,以便从外部向内部发送的数据到达该内部设备。
内部设备定期发送此注册,NAT根据信令消息中的信息更新此针孔/关联。
Q.在语音部署中发出clearipnattrans?
命令或clearipnattransforced命令是否会导致已知问题?
A.在语音部署中,如果发出clearipnattrans?
命令或clearipnattransforced命令并且使用动态NAT,则会清除针孔/关联,必须等待来自内部设备的下一个注册周期才能重新建立针孔/关联。
思科建议您不要在语音部署中使用这些清除命令。
Q.NAT是否支持语音联合定位解决方案?
A.不能。
目前不支持联合定位解决方案。
以下使用NAT的部署(在同一台设备上)被视为联合定位解决方案:CME/DSP-Farm/SCCP/H323。
Q.NVI是否支持SkinnyALG、H323ALG和TCPSIPALG?
A.不能。
请注意,UDPSIPALG(为大多数部署所用)不受影响。
NAT与VRF/MPLS
Q.就像在全局地址空间中进行NAT那样,NAT路由器是否支持对VRF中的同一地址空间进行NAT?目前,我收到了以下警告:"%“%类似的静态条目(1.1.1.1--->22.2.2.2)已存在”,当时我在尝试以下配置: 72UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.272UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfRED
A.传统NAT支持在不同VRF上重叠地址配置。
对于特定VRF上的流量,您必须使用match-in-vrf选项在规则中配置重叠,并在同一VRF中设置ipnatinside/outside。
不支持全局路由表重叠。
对于不同的VRF,必须为重叠VRF静态NAT条目添加match-in-vrf关键字。
但是,无法重叠全局和VRFNAT地址。
72UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfREDmatch-in-vrf72UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfBLUEmatch-in-vrf
Q.传统NAT是否支持VRF-Lite(在两个VRF之间进行NAT)?
A.不能。
您必须使用NVI才能在两个不同的VRF之间进行NAT。
可以使用传统NAT对VRF到全局接口进行NAT或者对同一VRF中的接口进行NAT。
NATNVI
Q.NATNVI是什么?
A.NVI代表NAT虚拟接口。
它允许NAT在两个不同的VRF之间进行转换。
此解决方案应当替代单接口网络地址转换。
Q.在全局接口与VRF中的接口之间进行NAT时,是否应使用NATNVI?
A.思科建议您使用传统NAT将VRF转换为全局NAT(ipnatinside/out)以及在同一VRF中的两个接口之间转换。
NVI用于不同VRF之间的NAT。
Q.NATNVI是否支持TCP分段?
A.NATNVI不支持TCP分段。
Q.NVI是否支持SkinnyALG、H323ALG和TCPSIPALG?
A.不能。
请注意,UDPSIPALG(为大多数部署所用)不受影响。
Q.SNAT是否支持TCP分段?
A.SNAT不支持任何TCPALG(例如SIP、SKINNY、H323或DNS)。
因此,不支持TCP分段。
但是,支持UDPSIP和DNS。
SNAT
Q.什么是有状态NAT(SNAT)?
A.SNAT允许两个或多个网络地址转换器充当转换组。
转换组中的一个成员负责处理需要转换IP地址信息的流量。
此外,它还会在出现活动流时通知备份转换器。
然后,备份转换器可以使用活动转换器中的信息来准备重复的转换表条目。
因此,如果活动转换器受到严重故障的阻碍,流量可以快速切换到备份转换器。
由于使用相同的网络地址转换并且之前已对这些转换的状态进行了定义,因此,流量可以继续流动。
有关更多信息,请参阅使用思科有状态NAT增强的IP恢复能力。
Q.SNAT是否支持TCP分段?
A.SNAT不支持任何TCPALG(例如SIP、SKINNY、H323或DNS)。
因此,不支持TCP分段。
但是,支持UDPSIP和DNS。
Q.非对称路由是否支持SNAT?
A.非对称路由通过启用“排队时”支持NAT。
默认情况下,“排队时”处于启用状态。
不过,从12.4(24)T开始,不再支持“排队时”。
客户必须确保正确路由数据包,并增加适当的延迟,以使非对称路由正常工作。
NAT-PT(v6到v4)
Q.NAT-PT是什么?
A.NAT-PT是NAT的v4到v6转换。
协议转换(NAT-PT)是一种IPv6-IPv4转换机制(如RFC2765和RFC2766中定义),允许仅使用IPv6的设备与仅使用IPv4的设备进行通信,反之亦然。
有关此功能的更多信息,请参阅为IPv6实施NAT-PT。
Q.思科快速转发(CEF)路径是否支持NAT-PT?
A.CEF路径不支持NAT-PT。
Q.NAT-PT支持哪些ALG?
A.NAT-PT支持TFTP/FTP和DNS。
NAT-PT不支持语音和SNAT。
Q.ASR1004是否支持NAT-PT?
A.汇聚多业务路由器(ASR)使用NAT64。
有关配置NAT64的更多信息,请参阅为无状态NAT64配置路由网络。
与平台相关的思科7300/7600/6k
Q.有状态NAT(SNAT)是否可用于SX系列的Catalyst6500?
A.SNAT不可用于SX系列的Catalyst6500。
Q.6k上的硬件是否支持VRF感知型NAT?
A.此平台上的硬件不支持VRF感知型NAT。
Q.7600和Cat6000是否支持VRF感知型NAT? A.65xx/76xx平台不支持VRF感知型NAT,并且会阻止CLI。
注意:可以利用在虚拟上下文透明模式下运行的FWSM来实施设计。
与平台相关的思科850
Q.思科850是否支持12.4T版本中的SkinnyNATALG?
A.不能。
850系列不支持12.4T中的SkinnyNATALG。
NAT部署
Q.如何实施NAT?
A.NAT支持使用非注册IP地址的私有IP网际网络连接到互联网。
在将数据包转发到另一个网络之前,NAT将内部网络中的私有(RFC1918)地址转换为合法的可路由地址。
有关实施NAT的更多信息,请参阅配置NAT以保护IP地址。
Q.如何使用语音实施NAT?
A.使用NAT语音支持功能,通过配置有网络地址转换(NAT)的路由器传递的SIP嵌入消息可以转换回数据包。
将应用层网关(ALG)与NAT结合使用可转换语音数据包。
有关使用语音实施NAT的更多信息,请参阅NAT对ALG的支持。
Q.如何将NAT与MPLSVPN相集成?
A.使用NAT与MPLSVPN的集成功能,可以在单个设备上配置多个MPLSVPN,从而实现协同工作。
NAT可以区分其接收的IP流量来自哪个MPLSVPN,即使多个MPLSVPN都使用相同的IP寻址方案也是如此。
利用这一增强功能,多个MPLSVPN客户可以在共享服务的同时确保每个MPLSVPN彼此完全独立。
Q.NAT静态映射是否支持HSRP以实现高可用性?
A.如果某个地址配置了网络地址转换(NAT)静态映射并且由路由器所有,则针对该地址触发地址解析协议(ARP)查询时,NAT将使用ARP所指向的接口上的BIAMAC地址做出响应。
两个路由器分别充当HSRP活动路由器和备用路由器。
必须启用并配置它们的NAT内部接口才能属于某个组。
Q.如何实施NATNVI?
A.使用NAT虚拟接口(NVI)功能时,无需将接口配置为NAT内部或NAT外部接口。
有关NATNVI的更多信息,请参阅配置NAT虚拟接口。
Q.如何使用NAT实现负载均衡?
A.有两种负载均衡可以使用NAT来完成:您可以对一组服务器进行入站负载均衡,以便在各服务器上分配负载,也可以通过两个或多个ISP对互联网上的用户流量进行负载均衡。
有关入站负载均衡的更多信息,请参阅使用TCP负载均衡避免服务器过载。
有关出站负载均衡的更多信息,请参阅两个ISP连接的IOSNAT负载均衡。
Q.如何结合IPSec实施NAT?
A.我们支持通过NAT和IPSecNAT透明功能实现的IP安全(IPSec)封装安全负载(ESP)。
利用“通过NAT的IPSecESP”功能,可以借助在过载或端口地址转换(PAT)模式下配置的思科IOSNAT设备支持多个并发IPSecESP隧道或连接。
IPSecNAT透明功能解决了NAT与IPSec之间的许多已知不兼容问题,可以支持IPSec流量通过网络中的NAT或PAT点。
Q.如何实施NAT-PT?
A.NAT-PT(网络地址转换-协议转换)是一种IPv6-IPv4转换机制(如RFC2765和RFC2766中定义),允许仅使用IPv6的设备与仅使用IPv4的设备进行通信,反之亦然。
有关实施和配置NAT-PT的更多信息,请参阅为IPv6实施NAT-PT。
Q.如何实施组播NAT?
A.可以对组播流的源IP进行NAT。
在对组播执行动态NAT时不能使用路由图映射,因此,仅支持访问列表。
有关更多信息,请参阅组播NAT在思科路由器上如何工作。
目标组播组使用组播服务反射解决方案进行NAT。
Q.如何实施有状态NAT(SNAT)?
A.SNAT可以为动态映射的NAT会话提供连续服务。
静态定义的会话无需SNAT即可获得冗余带来的益处。
如果缺少SNAT,则使用动态NAT映射的会话将在发生严重故障时中断,并且必须重新建立。
系统仅支持最低的SNAT配置。
为了根据当前的限制验证设计,未来的部署应当仅在与思科客户团队进行沟通后再执行。
建议在以下情况下使用SNAT: qHSRP模式(如SNAT白皮书使用思科有状态NAT增强的IP恢复能力中所述)。
q由于与HSRP相比,主/备份模式缺少一些功能,因此不建议此模式。
q故障切换场景以及使用2个路由器的设置。
也就是说,如果一个路由器崩溃,另一个路由器可 以无缝接管。
(SNAT架构无法用来处理接口震荡问题。
)q支持对称路由场景。
只有在应答数据包中的延迟大于2个SNAT路由器之间交换SNAT消息的 延迟时,才能处理非对称路由。
目前,SNAT架构无法用来处理稳健性问题。
因此,以下测试应该不会成功: q有流量时,清除NAT条目。
q有流量时,更改接口参数(如IPaddresschange、shut/no-shut等)。
qSNAT特定的clear或show命令应当不会正常执行,也不推荐使用。
与SNAT相关的部分 clear和show命令如下所示: clearclearclearclearshipship ipsnatsessions*ipsnatsessionsipsnattranslationdistributed*ipsnattranslationpeer
peer>
q如果用户要清除条目,可以使用clearipnattransforced或clearipnattrans?
命令。
如果用户要查看条目,可以使用showipnattranslation、showipnattranslationsverbose和showipnatstats命令。
如果已配置内部服务,它也会显示SNAT特定的信息。
q建议不要清除备份路由器上的NAT转换。
始终清除主SNAT路由器上的NAT条目。
qSNAT不是HA;因此,两个路由器上的配置应该相同。
两个路由器应该运行相同的映像。
此外 ,还要确保两个SNAT路由器使用相同的基础平台。
NAT最佳做法
Q.是否有NAT最佳做法?
A.可以。
NAT最佳做法如下所示:
1.同时使用动态NAT和静态NAT时,为动态NAT设置规则的ACL应排除静态本地主机,这样便不会出现重叠。
2.将NAT的ACL与permitipanyany配合使用时要谨慎,因为您会获得不可预知的结果。
在12.4(20)T之后,NAT将转换在本地生成的HSRP和路由协议数据包(前提是它们从外部接口发送出去)以及与NAT规则匹配的本地加密数据包。
3.如果将重叠网络用于NAT,请使用match-in-vrf关键字。
对于不同的VRF,必须为重叠VRF静态NAT条目添加match-in-vrf关键字,但不能重叠全局和VRFNAT地址。
Router(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfREDmatch-in-vrf Router(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfBLUEmatch-in-vrf
4.除非使用match-in-vrf关键字,否则不能在不同的VRF中使用地址范围相同的NAT池。
例如: ipnatpoolpoolA171.1.1.1171.1.1.10prefix-length24ipnatpoolpoolB171.1.1.1171.1.1.10prefix-length24ipnatinsidesourcelist1poolAvrfAmatch-in-vrfipnatinsidesourcelist2poolBvrfBmatch-in-vrf 注意:尽管CLI配置有效,但不支持没有match-in-vrf关键字的配置。
5.使用NAT接口过载部署ISP负载均衡时,最佳做法是通过ACL匹配将路由图映射用于接口匹 配。
6.使用池映射时,不应使用两个不同的映射(ACL或路由图映射)来共享相同的NAT池地址。
7.在故障切换场景中的两个不同路由器上部署相同的NAT规则时,应使用HSRP冗余。
8.不要在静态NAT和动态池中定义相同的内部全局地址。
否则,将会导致意外的结果。
相关信息 qIP路由技术支持q技术支持和文档-CiscoSystems
通用NAT
Q.何谓NAT?
A.网络地址转换(NAT)是为保护IP地址而设计的。
这使得采用未注册IP地址的专用IP网络可以连接到。
NAT在路由器上运行,通常将两个网络连接在一起,并在数据包转发到另一个网络之前,将内部网络中的专用(非全局唯一)地址转换为合法地址。
作为此功能的一部分,NAT可以配置为只向外界通告整个网络的一个地址。
这样可以将整个内部网络有效地隐藏在该地址后面,使其更加安全。
NAT具有确保安全和保护地址的双重功能,通常在远程访问环境中实施。
Q.NAT的工作原理是什么?
A.基本而言,NAT允许单个设备(例如路由器)充当互联网(或公用网络)与本地网络(或专用网络)之间的代理,这意味着只需要一个唯一的IP地址即可向其网络之外的任何对象表示整个计算机组。
Q.如何配置NAT?
A.要配置传统NAT,至少需要在某台路由器上设置一个(NAT外部)接口,并在该路由器上设置另一个(NAT内部)接口,另外还需要配置一组用于转换数据包报信头(以及负载,如果需要)中 IP地址的规则。
要配置NAT虚拟接口(NVI),至少需要配置一个启用了NAT的接口以及上面提到的一组相同的规则。
有关更多信息,请参阅思科IOSIP寻址服务配置指南或配置NAT虚拟接口。
Q.思科IOS®软件与思科PIX安全设备在实施NAT方面的主要区别是什么?
A.思科基于软件的IOSNAT与思科PIX安全设备中的NAT功能没有本质区别。
主要区别包括实施中支持的流量类型不同。
有关在CiscoPIX设备(包括支持的数据流类型)上配置NAT的详细信息,请参阅CiscoPIX500系列安全设备和NAT配置示例。
Q.CiscoIOSNAT在哪个Cisco路由硬件上可用?如何订购硬件?
A.使用思科功能导航器工具,客户可以识别功能(NAT),并查找此思科IOS软件功能可用的发行版本和硬件版本。
要使用此工具,请参阅思科功能导航器。
Q.NAT发生在路由之前还是之后?
A.使用NAT处理事务的顺序基于数据包是从内部网络传递到外部网络,还是从外部网络传递到内部网络。
内部到外部的转换发生在路由之后,外部到内部的转换发生在路由之前。
有关详细信息,请参阅NAT运行顺序。
Q.NAT是否可以部署在公共无线局域网环境中?
A.可以。
NAT静态IP支持功能为具有静态IP地址的用户提供支持,使这些用户能够在公共无线局域网环境中建立IP会话。
Q.NAT是否会对内部网络上的服务器执行TCP负载均衡?
A.可以。
使用NAT,可以在内部网络上建立一个虚拟主机,用以协调真实主机之间的负载共享。
有关更多信息,请参阅使用TCP负载均衡避免服务器过载。
Q.是否可以对NAT转换数量进行速率限制?
A.可以。
使用“NAT转换的速率限制”功能可以限制路由器上并发NAT操作的最大数量。
除了支持用户更好地控制NAT地址的使用外,“NAT转换的速率限制”功能还可用于限制病毒、蠕虫和拒绝服务攻击所产生的影响。
Q.NAT使用的IP子网或地址如何学习或传播路由?
A.在下列情况下,可以察觉由NAT创建的IP地址的路由: q内部全局地址池源自下一跳路由器的子网。
q静态路由条目在下一跳路由器中配置,并在路由网络中重新分配。
当内部全局地址与本地接口匹配时,NAT会设置一个IP别名和一个ARP条目,在这种情况下,路由器将为这些地址代理ARP。
如果不需要此行为,请使用no-alias关键字。
配置NAT池时,可以使用add-route选项进行自动路由注入。
Q.CiscoIOSNAT中支持多少并发NAT会话?
A.NAT会话限制取决于路由器中可用DRAM的数量。
每次NAT转换大约都会使用DRAM中的312个字节。
因此,转换10,000次(超过该次数通常会在单个路由器上处理)大约使用3MB。
因此,典型的路由硬件具有足够多的内存来支持成千上万次NAT转换。
Q.使用CiscoIOSNAT时,可预期的路由性能如何?
A.CiscoIOSNAT支持Cisco快速转发交换、快速交换以及进程交换。
12.4T版和更高版本不再支持快速切换交换路径。
对于Cat6k平台,切换交换顺序为Netflow(硬件切换交换路径)、CEF、过程路径。
性能取决于以下几个因素: q应用类型及其数据流类型qIP地址是否为嵌入式q多条消息的交换与检查q要求的源端口q转换次数q当时运行的其他应用程序q硬件和处理器的类型
Q.CiscoIOSNAT能否应用于子接口?
A.可以。
源NAT和/或目标NAT之间的转换可以应用于任何具有IP地址的接口或子接口(包括拨号器接口)。
无法使用无线虚拟接口配置NAT。
在写入NVRAM时,不存在无线虚拟接口。
因此,在重新启动后,路由器会失去无线虚拟接口上的NAT配置。
Q.CiscoIOSNAT能否与热备用路由器协议(HSRP)配合使用,从而对ISP提供冗余链路?
A.可以。
NAT确实会提供HSRP冗余。
但是,它与SNAT(有状态NAT)不同。
使用HSRP的NAT是一个无状态系统。
发生故障时不保留当前会话。
在静态NAT配置期间(数据包与任何静态规则配置都不匹配),系统直接发送数据包,而不进行任何转换。
Q.思科IOSNAT是否支持在帧中继接口上进行入站转换?是否支持在以太网端进行出站转换?
A.可以。
封装对NAT并不重要。
只要接口上有IP地址并且接口是NAT内部或NAT外部接口,即可执行NAT。
必须有一个内部和外部接口才能让NAT正常工作。
如果您使用NVI,必须至少有一个启用了NAT的接口。
请参阅如何配置NAT?了解更多信息。
Q.启用了NAT的单个路由器是否允许一些用户使用NAT,而同一以太网接口上的其他用户可以继续使用自己的IP地址?
A.可以。
这可通过使用一个访问列表来完成,该访问列表描述需要NAT的一组主机或网络。
同一主机上的所有会话要么进行转换,要么通过路由器而不进行转换。
访问列表、扩展访问列表和路由图映射均可用于定义IP设备的转换规则。
应该始终指定网络地址和 适当的子网掩码。
不应使用关键字any来代替网络地址或子网掩码(有关更多详情,请参阅NAT常见问题解答、最佳做法和部署指南)。
使用静态NAT配置时,如果数据包与任何静态规则配置都不匹配,系统将直接发送数据包,而不进行任何转换。
Q.配置PAT(过载)时,可以为每个内部全局IP地址创建的最大转换次数是多少?
A.PAT(过载)将每个全局IP地址的可用端口分成三个范围:0-511、512-1023和1024-65535。
PAT为每个UDP或TCP会话分配唯一的源端口。
它尝试分配原始请求的相同端口值,但如果原始的源端口已经使用,它将从特定端口范围的开始端口进行扫描,以查找第一个可用端口并将其分配给对话。
但12.2S代码库例外。
12.2S代码库使用不同的端口逻辑,并且不预留端口。
Q.PAT的工作原理是什么?
A.PAT使用一个全局IP地址或多个地址。
使用一个IP地址的PAT 条说明件1NAT/PAT检查数据流并将其与转换规则进行匹配。
2规则与PAT配置相匹配。
如果PAT知晓流量类型并且该流量类型具有它将使用3的“一组特定端口或协商端口”,则PAT会预留这些端 口,而不将它们作为唯一的标识符分配。
如果某个没有特殊端口要求的会话尝试连接到外部网络上,则PAT将转换IP源地址并检查初始源端口(例如433)的可用性。
4注意:对于传输控制协议(TCP)和用户数据报协议(UDP),范围为:1-511、512-1023、1024-65535。
对于控制消息协议(ICMP),第一组范围从0开始。
5如果请求的源端口可用,则PAT将分配该源端口,然后会话继续。
如果请求的源端口不可用,PAT将从相关组的开始处6开始搜索(对于TCP或UDP应用,从1开始;对于ICMP,从0开始)。
7如果有端口可用,则分配该端口,然后会话继续。
8如果没有端口可用,则丢弃数据包。
使用多个IP地址的PAT 条说明件1-前七个条件与处理单个IP地址的情况相同。
7 如果第一个IP地址的相关组中没有可用的端口,NAT8将移动到池中的下一个IP地址并尝试分配所请求的原 始源端口。
9如果请求的源端口可用,则NAT将分配该源端口,然 后会话继续。
如果请求的源端口不可用,则NAT将从相关组的起始10处开始搜索(对于TCP或UDP应用程序,从1开始;对于ICMP,从0开始)。
11如果端口可用,则系统会分配该端口,并继续会话。
12如果没有端口可用,除非池中的另一个IP地址可用,否则丢弃数据包。
Q.什么是NATIP池?
A.NATIP池是根据需要为NAT转换所分配的IP地址范围。
要定义池,请使用配置命令: ipnatpool
1 以下示例在寻址的内部主机间将192.168.1.0或192.168.2.0网络转换为全局唯一的10.69.233.208/28网络: ipnat-20810.69.233.20810.69.233.223prefix-length28ipnatinsidesourcelist1-208!
interface0ipaddress10.69.232.182255.255.255.240ipnatoutside!
interface1ipaddress192.168.1.94255.255.255.0ipnatinside!
ess-list1permit192.168.1.00.0.0.255ess-list1permit192.168.2.00.0.0.255 示例
2 以下示例的目标是定义一个虚拟地址,并在一组真实主机中分配与该地址的连接。
池定义真实主机的地址。
访问列表定义虚拟地址。
如果不存在转换,则从目标与访问列表匹配的串行接口0(外部接口)发送的TCP数据包将转换为池中的地址。
ipnatpoolreal-hosts192.168.15.2192.168.15.15prefix-length28typerotaryipnatinsidedestinationlist2poolreal-hosts!
interfaceserial0ipaddress192.168.15.129255.255.255.240ipnatoutside!
interface0ipaddress192.168.15.17255.255.255.240ipnatinside!
ess-list2permit192.168.15.1
Q.可配置NATIP池(ipnatpool"name")的最大数量是多少?
A.在实际应用中,可配置的IP池的最大数量取决于特定路由器中可用DRAM的数量。
(思科建议您将池大小配置为255。
)每个池不应超过16位。
在12.4(11)T版和更高版本中,IOS引入了CCE(通用分类引擎)。
这将NAT限制为最多只能有255个池。
在12.2S代码库中,没有最大池数限制。
Q.相较于在NAT池中使用ACL,使用路由图映射有什么优势?
A.路由图映射可以防止不受欢迎的外部用户访问内部用户/服务器。
此外,它还可以根据规则将单个内部IP地址映射到不同的内部全局地址。
有关更多信息,请参阅使用路由图映射对多个池提供NAT支持。
Q.什么是NAT环境中的IP地址“重叠”?
A.IP地址重叠是指两个要互联的位置使用相同的IP地址方案。
这种情况很常见;在公司合并或收购时经常发生。
如果没有特殊支持,这两个位置将无法连接并建立会话。
重叠的IP地址可能是分配给其他公司的公用地址、分配给其他公司的专用地址,也可能是RFC1918所定义的专用地址范围中的一个。
专用IP地址不可路由,需要进行NAT转换才能与外界连接。
解决方案包括拦截从外部到内部的域名系统(DNS)名称查询响应、设置外部地址转换,以及在将DNS响应转发到内部主机之前修复该响应。
NAT设备的两端都需要一个DNS服务器,以满足用户在两个网络之间进行连接的需求。
NAT能够对DNSA和PTR记录的内容进行检查并执行地址转换,如在重叠网络中使用NAT中所述。
Q.什么是静态NAT转换?
A.静态NAT转换在本地地址和全局地址之间具有一对一的映射关系。
用户也可以将静态地址转换配置为端口级,并将剩余的IP地址用于其他转换。
这通常发生在执行端口地址转换(PAT)的位置。
以下示例展示了如何配置路由图映射以便对静态NAT执行外部到内部的转换: ipnatinsidesourcestatic1.1.1.12.2.2.2route-mapR1reversible!
ipess-listextendedACL-Apermitipany30.1.10.1280.0.0.127'route-mapR1permit10matchipaddressACL-
A Q.NAT过载的含义是什么?是指PAT吗?
A.可以。
NAT过载即PAT,涉及使用由一个或多个地址组成的地址范围的池或将接口IP地址与端口结合使用。
过载时,将可以创建完全扩展的转换。
这是一个转换表条目,其中包含IP地址和源/目标端口信息,通常称为PAT或过载。
PAT(或过载)是思科IOSNAT的一项功能,用于将内部(内部本地)专用地址转换为一个或多个外部(内部全局,通常已注册)IP地址。
每次转换的唯一源端口号用于区分不同的会话。
Q.什么是动态NAT转换?
A.在动态NAT转换中,用户可以建立本地地址和全局地址之间的动态映射。
动态映射通过以下操作来完成:定义要转换的本地地址以及要从中分配全局地址的地址池或接口IP地址池,并将两者关联起来。
Q.ALG是什么?
A.ALG即应用层网关(ALG)。
NAT对应用数据流中未携带源和/或目标IP地址的所有传输控制协议/用户数据报协议(TCP/UDP)流量执行转换服务。
这些协议包括FTP、HTTP、SKINNY、H232、DNS、RAS、SIP、TFTP、、archie、finger、NTP、NFS、rlogin、rsh和rcp。
在负载中嵌入IP地址信息的特定协议需要支持应用层网关(ALG)。
有关更多信息,请参阅将应用层网关与NAT结合使用。
Q.能否建立一种同时包含静态和动态NAT转换的配置?
A.可以。
但是,同一IP地址不能用于NAT静态配置,如果在IP地址位于池中,则不能用于NAT动态配置。
所有公共IP地址都必须唯
一。
请注意,如果动态池中包含静态转换中使用的全局地址,则系统不会自动排除这些相同的全局地址。
必须创建动态池才能排除静态条目分配的地址。
有关更多信息,请参阅同时配置静态和动态NAT。
Q.通过NAT路由器执行跟踪路由时,跟踪路由应该显示NAT全局地址还是NAT本地地址?
A.从外部进行的跟踪路由应始终返回全局地址。
Q.PAT如何分配端口?
A.NAT引入了额外的端口功能:全范围和端口映射。
q全范围允许NAT使用所有端口,而不考虑其默认端口范围。
q端口映射允许NAT为特定应用保留用户定义的端口范围。
有关更多信息,请参阅用于PAT的用户定义的源端口范围。
从12.4(20)T2开始,NAT引入了L3/L4端口随机化和对称端口。
q使用端口随机化,NAT可以针对源端口请求随机选择任意全局端口。
q使用对称端口,NAT可以支持终端独立。
有关更多信息,请参阅剖析:深入了解网络地址转换器。
Q.IP分段与TCP分段的区别是什么?
A.IP分段发生在第3层(IP);TCP分段发生在第4层(TCP)。
如果将大于接口最大传输单位(MTU)的数据包从该接口发送出去,将会发生IP分段。
在将这些数据包从该接口发送出去时,必须将其分段或丢弃。
如果在数据包的IP报信头中未设置“不分段(DF)”位,系统将对数据包检分段。
如果在数据包的IP报信头中设置了DF位,系统将丢弃该数据包并显示一条ICMP错误消息,指明 下一跳MTU值将返回给发送者。
IP数据包的所有分段在IP报信头中都具有相同的标识,这样,最终接收者才能将这些分段重组为原始IP数据包。
有关更多信息,请参阅解决GRE和Ipsec中的IP分段、MTU、MSS和PMTUD问题。
当终端站上的应用发送数据时,将会发生TCP分段。
应用数据将分解为TCP认为大小最适合发送的块。
从TCP传递到IP的这一数据单位称为段。
TCP段以IP数据报的形式发送。
之后,这些IP数据报在通过网络时会变成IP分段,并且遇到的MTU链路比适合它们通过的链路要小。
TCP会先将此数据分解成TCP段(基于TCPMSS值),然后添加TCP报信头并将此TCP段传递给IP。
然后,IP将添加一个IP报信头以将数据包发送到远程终端主机。
如果含有TCP段的IP数据包大于TCP主机之间路径上传出接口的IPMTU,则IP将对IP/TCP数据包进行分段,以便调整为合适的大小。
这些IP数据包分段将由IP层在远程主机上进行重组,完整的TCP段(即最初发送的TCP段)将移交给TCP层。
TCP层不知道在传输过程中IP已对数据包进行了分段。
NAT支持IP分段,但不支持TCP段。
Q.NAT是否支持无序的IP分段和TCP分段?
A.由于存在ipvirtual-reassembly,NAT仅支持无序的IP分段。
Q.如何调试IP分段和TCP分段?
A.NAT对IP分段和TCP分段使用相同的调试CLI:debugipnatfrag。
Q.是否有受支持的NATMIB?
A.不能。
没有受支持的NATMIB(包括CISCO-IETF-NAT-MIB在内)。
Q.TCP超时是什么?它与NATTCP计时器的关系有如何关系?
A.如果三方握手未完成,但NAT发现TCP数据包,则NAT将启动60秒计时器。
三方握手完成后,NAT会默认对NAT条目使用24小时计时器。
如果终端主机发送RESET,NAT会将默认计时器从24小时更改为60秒。
对于FIN,NAT在收到FIN和FIN-ACK时会将默认计时器从24小时更改为60秒。
Q.是否可以在NAT转换表中更改NAT转换到超时所需的时间?
A.可以。
可以为所有条目或不同类型的NAT转换更改NAT超时值(例如,udp-timeout、dnstimeout、tcp-timeout、finrst-timeout、icmp-timeout、pptp-timeout、syn-timeout、port-timeout
和arp-ping-timeout)。
Q.如何阻止轻量级目录访问协议(LDAP)将额外字节附加到每个LDAP应答数据包?
A.LDAP设置在处理Search-Res-Entry类型的消息时会添加额外字节(LDAP搜索结果)。
LDAP会将搜索结果的10个字节附加到每个LDAP应答数据包。
如果这额外的10字节数据导致数据包超过网络中的最大传输单位(MTU),则该数据包将被丢弃。
在这种情况下,思科建议您使用CLI命令noipnatserviceappend-ldap-search-res禁用此LDAP行为,以便正常发送和接收数据包。
Q.对NAT设备上的内部全局/外部本地IP地址有何路由建议?
A.必须在配置了NAT的设备上指定内部全局IP地址的路由,以便实现NAT-NVI等功能。
同样,还应当在NAT设备上指定外部本地IP地址的路由。
在这种情况下,使用外部静态规则从内向外发送的任何数据包都需要此类路由。
此时,虽然为IG/OL提供路由,但也应配置下一跳IP地址。
如果缺少下一跳配置,这会被视为配置错误,并因此而出现未定义的行为。
NVI-NAT仅出现在输出功能路径中。
如果子网与NAT-NVI直接连接,或者在设备上配置了外部NAT转换规则,则在这些情况下,您需要提供一个虚拟的下一跳IP地址以及下一跳的关联ARP。
底层基础设施必须使用它们才能将数据包交给NAT进行转换。
Q.思科IOSNAT是否支持带有“log”关键字的ACL?
A.为动态NAT转换配置CiscoIOSNAT时,将使用ACL标识可转换的数据包。
当前NAT体系结构不支持包含“log”关键字的ACL。
语音NAT
Q.NAT是否支持思科统一通信管理器(CUCM)V7随附的瘦客户端控制协议(SCCP)v17?
A.CUCM7及其所有默认电话负载都支持SCCPv17。
使用的SCCP版本取决于电话注册时CUCM和电话之间最高的通用版本。
NAT尚不支持SCCPv17。
在实现NAT对SCCPv17的支持之前,必须将固件降级到8-3-5版或更低版本,以便协商SCCPv16。
只要使用SCCPv16,CUCM6就不会在电话负载方面遇到NAT问题。
思科IOS目前不支持SCCPv17。
Q.NAT支持哪些CUCM/SCCP/固件负载版本?
A.NAT支持CUCM6.x版和更早版本。
这些CUCM版本在发布时具有支持SCCPv15(或更早版本)的默认8.3.x版(或更早版本)电话固件负载。
NAT不支持CUCM7.x版或更高版本。
这些CUCM版本在发布时具有支持SCCPv17(或更高版本)的默认8.4.x版电话固件负载。
如果使用CUCM7.x或更高版本,则必须在CUCMTFTP服务器上安装较早的固件负载,以便电话使用包含SCCPv15或更早版本的固件负载,从而得到NAT的支持。
以下链接确认固件负载8.3.x包含SCCPv15或更早版本并且将使用NAT,而固件负载8.4.x包含SCCPv17,但无法使用NAT。
/twiki/prod/bin/view/Thirdgenphones/CCMLoadNumberAndCodeNameDecoderRing
Q.什么是RTP和RTCP的服务提供商PAT端口分配增强?
A.RTP和RTCP的运营商PAT端口分配增强功能确保对SIP、H.323和Skinny语音呼叫进行增强。
用于RTP流的端口号为偶数端口号,而RTCP流是随后的下一个奇数端口号。
端口号将转换 为符合RFC-1889的指定范围内的数字。
一个具有该范围内端口号的呼叫将导致PAT转换为此范围内的另一个端口号。
同样,范围之外端口号的PAT转换将不会导致转换为给定范围内的编号。
有关详细信息,请参阅RTP和RTCP的服务提供商PAT端口分配增强。
Q.什么是会话初始协议(SIP)?SIP数据包是否可以进行NAT?
A.会话初始协议(SIP)是基于ASCII的应用层控制协议,可用于建立、维持和终止两个或多个端点之间的呼叫。
SIP是工程任务组(IETF)为在IP上实现多媒体会议而开发的备选协议。
CiscoSIP的实施使支持的Cisco平台能够通过IP网络用信号通知设置语音和多媒体呼叫。
SIP数据包可以进行NAT。
Q.什么是对会话边界控制器(SBC)的托管NAT遍历支持?
A.通过适用于SBC的思科IOS托管NAT遍历功能,思科IOSNATSIP应用层网关(ALG)路由器可以充当思科多业务IP到IP网关上的SBC,这有助于确保顺利提供IP网络语音(VoIP)服务。
有关更多信息,请参阅为会话边界控制器配置思科IOS托管的NAT遍历和使用思科IOS会话边界控制器对SIP呼叫进行SP托管的NAT遍历。
Q.路由器内存和CPU可以使用NAT处理多少SIP呼叫、Skinny呼叫和H323呼叫?
A.NAT路由器处理的呼叫数取决于设备上可用的内存量和CPU处理能力。
Q.NAT路由器是否支持对Skinny数据包和H323数据包进行TCP分段?
A.在12.4主要产品系列中,IOS-NAT支持对H323进行TCP分段,自12.4
(6)T开始,支持对SKINNY进行TCP分段。
Q.在语音部署中使用NAT过载配置时,是否有任何需要注意的警告?
A.可以。
使用NAT过载配置和语音部署时,注册消息需要通过NAT,并且您需要创建一个关联,以便从外部向内部发送的数据到达该内部设备。
内部设备定期发送此注册,NAT根据信令消息中的信息更新此针孔/关联。
Q.在语音部署中发出clearipnattrans?
命令或clearipnattransforced命令是否会导致已知问题?
A.在语音部署中,如果发出clearipnattrans?
命令或clearipnattransforced命令并且使用动态NAT,则会清除针孔/关联,必须等待来自内部设备的下一个注册周期才能重新建立针孔/关联。
思科建议您不要在语音部署中使用这些清除命令。
Q.NAT是否支持语音联合定位解决方案?
A.不能。
目前不支持联合定位解决方案。
以下使用NAT的部署(在同一台设备上)被视为联合定位解决方案:CME/DSP-Farm/SCCP/H323。
Q.NVI是否支持SkinnyALG、H323ALG和TCPSIPALG?
A.不能。
请注意,UDPSIPALG(为大多数部署所用)不受影响。
NAT与VRF/MPLS
Q.就像在全局地址空间中进行NAT那样,NAT路由器是否支持对VRF中的同一地址空间进行NAT?目前,我收到了以下警告:"%“%类似的静态条目(1.1.1.1--->22.2.2.2)已存在”,当时我在尝试以下配置: 72UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.272UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfRED
A.传统NAT支持在不同VRF上重叠地址配置。
对于特定VRF上的流量,您必须使用match-in-vrf选项在规则中配置重叠,并在同一VRF中设置ipnatinside/outside。
不支持全局路由表重叠。
对于不同的VRF,必须为重叠VRF静态NAT条目添加match-in-vrf关键字。
但是,无法重叠全局和VRFNAT地址。
72UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfREDmatch-in-vrf72UUT(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfBLUEmatch-in-vrf
Q.传统NAT是否支持VRF-Lite(在两个VRF之间进行NAT)?
A.不能。
您必须使用NVI才能在两个不同的VRF之间进行NAT。
可以使用传统NAT对VRF到全局接口进行NAT或者对同一VRF中的接口进行NAT。
NATNVI
Q.NATNVI是什么?
A.NVI代表NAT虚拟接口。
它允许NAT在两个不同的VRF之间进行转换。
此解决方案应当替代单接口网络地址转换。
Q.在全局接口与VRF中的接口之间进行NAT时,是否应使用NATNVI?
A.思科建议您使用传统NAT将VRF转换为全局NAT(ipnatinside/out)以及在同一VRF中的两个接口之间转换。
NVI用于不同VRF之间的NAT。
Q.NATNVI是否支持TCP分段?
A.NATNVI不支持TCP分段。
Q.NVI是否支持SkinnyALG、H323ALG和TCPSIPALG?
A.不能。
请注意,UDPSIPALG(为大多数部署所用)不受影响。
Q.SNAT是否支持TCP分段?
A.SNAT不支持任何TCPALG(例如SIP、SKINNY、H323或DNS)。
因此,不支持TCP分段。
但是,支持UDPSIP和DNS。
SNAT
Q.什么是有状态NAT(SNAT)?
A.SNAT允许两个或多个网络地址转换器充当转换组。
转换组中的一个成员负责处理需要转换IP地址信息的流量。
此外,它还会在出现活动流时通知备份转换器。
然后,备份转换器可以使用活动转换器中的信息来准备重复的转换表条目。
因此,如果活动转换器受到严重故障的阻碍,流量可以快速切换到备份转换器。
由于使用相同的网络地址转换并且之前已对这些转换的状态进行了定义,因此,流量可以继续流动。
有关更多信息,请参阅使用思科有状态NAT增强的IP恢复能力。
Q.SNAT是否支持TCP分段?
A.SNAT不支持任何TCPALG(例如SIP、SKINNY、H323或DNS)。
因此,不支持TCP分段。
但是,支持UDPSIP和DNS。
Q.非对称路由是否支持SNAT?
A.非对称路由通过启用“排队时”支持NAT。
默认情况下,“排队时”处于启用状态。
不过,从12.4(24)T开始,不再支持“排队时”。
客户必须确保正确路由数据包,并增加适当的延迟,以使非对称路由正常工作。
NAT-PT(v6到v4)
Q.NAT-PT是什么?
A.NAT-PT是NAT的v4到v6转换。
协议转换(NAT-PT)是一种IPv6-IPv4转换机制(如RFC2765和RFC2766中定义),允许仅使用IPv6的设备与仅使用IPv4的设备进行通信,反之亦然。
有关此功能的更多信息,请参阅为IPv6实施NAT-PT。
Q.思科快速转发(CEF)路径是否支持NAT-PT?
A.CEF路径不支持NAT-PT。
Q.NAT-PT支持哪些ALG?
A.NAT-PT支持TFTP/FTP和DNS。
NAT-PT不支持语音和SNAT。
Q.ASR1004是否支持NAT-PT?
A.汇聚多业务路由器(ASR)使用NAT64。
有关配置NAT64的更多信息,请参阅为无状态NAT64配置路由网络。
与平台相关的思科7300/7600/6k
Q.有状态NAT(SNAT)是否可用于SX系列的Catalyst6500?
A.SNAT不可用于SX系列的Catalyst6500。
Q.6k上的硬件是否支持VRF感知型NAT?
A.此平台上的硬件不支持VRF感知型NAT。
Q.7600和Cat6000是否支持VRF感知型NAT? A.65xx/76xx平台不支持VRF感知型NAT,并且会阻止CLI。
注意:可以利用在虚拟上下文透明模式下运行的FWSM来实施设计。
与平台相关的思科850
Q.思科850是否支持12.4T版本中的SkinnyNATALG?
A.不能。
850系列不支持12.4T中的SkinnyNATALG。
NAT部署
Q.如何实施NAT?
A.NAT支持使用非注册IP地址的私有IP网际网络连接到互联网。
在将数据包转发到另一个网络之前,NAT将内部网络中的私有(RFC1918)地址转换为合法的可路由地址。
有关实施NAT的更多信息,请参阅配置NAT以保护IP地址。
Q.如何使用语音实施NAT?
A.使用NAT语音支持功能,通过配置有网络地址转换(NAT)的路由器传递的SIP嵌入消息可以转换回数据包。
将应用层网关(ALG)与NAT结合使用可转换语音数据包。
有关使用语音实施NAT的更多信息,请参阅NAT对ALG的支持。
Q.如何将NAT与MPLSVPN相集成?
A.使用NAT与MPLSVPN的集成功能,可以在单个设备上配置多个MPLSVPN,从而实现协同工作。
NAT可以区分其接收的IP流量来自哪个MPLSVPN,即使多个MPLSVPN都使用相同的IP寻址方案也是如此。
利用这一增强功能,多个MPLSVPN客户可以在共享服务的同时确保每个MPLSVPN彼此完全独立。
Q.NAT静态映射是否支持HSRP以实现高可用性?
A.如果某个地址配置了网络地址转换(NAT)静态映射并且由路由器所有,则针对该地址触发地址解析协议(ARP)查询时,NAT将使用ARP所指向的接口上的BIAMAC地址做出响应。
两个路由器分别充当HSRP活动路由器和备用路由器。
必须启用并配置它们的NAT内部接口才能属于某个组。
Q.如何实施NATNVI?
A.使用NAT虚拟接口(NVI)功能时,无需将接口配置为NAT内部或NAT外部接口。
有关NATNVI的更多信息,请参阅配置NAT虚拟接口。
Q.如何使用NAT实现负载均衡?
A.有两种负载均衡可以使用NAT来完成:您可以对一组服务器进行入站负载均衡,以便在各服务器上分配负载,也可以通过两个或多个ISP对互联网上的用户流量进行负载均衡。
有关入站负载均衡的更多信息,请参阅使用TCP负载均衡避免服务器过载。
有关出站负载均衡的更多信息,请参阅两个ISP连接的IOSNAT负载均衡。
Q.如何结合IPSec实施NAT?
A.我们支持通过NAT和IPSecNAT透明功能实现的IP安全(IPSec)封装安全负载(ESP)。
利用“通过NAT的IPSecESP”功能,可以借助在过载或端口地址转换(PAT)模式下配置的思科IOSNAT设备支持多个并发IPSecESP隧道或连接。
IPSecNAT透明功能解决了NAT与IPSec之间的许多已知不兼容问题,可以支持IPSec流量通过网络中的NAT或PAT点。
Q.如何实施NAT-PT?
A.NAT-PT(网络地址转换-协议转换)是一种IPv6-IPv4转换机制(如RFC2765和RFC2766中定义),允许仅使用IPv6的设备与仅使用IPv4的设备进行通信,反之亦然。
有关实施和配置NAT-PT的更多信息,请参阅为IPv6实施NAT-PT。
Q.如何实施组播NAT?
A.可以对组播流的源IP进行NAT。
在对组播执行动态NAT时不能使用路由图映射,因此,仅支持访问列表。
有关更多信息,请参阅组播NAT在思科路由器上如何工作。
目标组播组使用组播服务反射解决方案进行NAT。
Q.如何实施有状态NAT(SNAT)?
A.SNAT可以为动态映射的NAT会话提供连续服务。
静态定义的会话无需SNAT即可获得冗余带来的益处。
如果缺少SNAT,则使用动态NAT映射的会话将在发生严重故障时中断,并且必须重新建立。
系统仅支持最低的SNAT配置。
为了根据当前的限制验证设计,未来的部署应当仅在与思科客户团队进行沟通后再执行。
建议在以下情况下使用SNAT: qHSRP模式(如SNAT白皮书使用思科有状态NAT增强的IP恢复能力中所述)。
q由于与HSRP相比,主/备份模式缺少一些功能,因此不建议此模式。
q故障切换场景以及使用2个路由器的设置。
也就是说,如果一个路由器崩溃,另一个路由器可 以无缝接管。
(SNAT架构无法用来处理接口震荡问题。
)q支持对称路由场景。
只有在应答数据包中的延迟大于2个SNAT路由器之间交换SNAT消息的 延迟时,才能处理非对称路由。
目前,SNAT架构无法用来处理稳健性问题。
因此,以下测试应该不会成功: q有流量时,清除NAT条目。
q有流量时,更改接口参数(如IPaddresschange、shut/no-shut等)。
qSNAT特定的clear或show命令应当不会正常执行,也不推荐使用。
与SNAT相关的部分 clear和show命令如下所示: clearclearclearclearshipship ipsnatsessions*ipsnatsessions
命令。
如果用户要查看条目,可以使用showipnattranslation、showipnattranslationsverbose和showipnatstats命令。
如果已配置内部服务,它也会显示SNAT特定的信息。
q建议不要清除备份路由器上的NAT转换。
始终清除主SNAT路由器上的NAT条目。
qSNAT不是HA;因此,两个路由器上的配置应该相同。
两个路由器应该运行相同的映像。
此外 ,还要确保两个SNAT路由器使用相同的基础平台。
NAT最佳做法
Q.是否有NAT最佳做法?
A.可以。
NAT最佳做法如下所示:
1.同时使用动态NAT和静态NAT时,为动态NAT设置规则的ACL应排除静态本地主机,这样便不会出现重叠。
2.将NAT的ACL与permitipanyany配合使用时要谨慎,因为您会获得不可预知的结果。
在12.4(20)T之后,NAT将转换在本地生成的HSRP和路由协议数据包(前提是它们从外部接口发送出去)以及与NAT规则匹配的本地加密数据包。
3.如果将重叠网络用于NAT,请使用match-in-vrf关键字。
对于不同的VRF,必须为重叠VRF静态NAT条目添加match-in-vrf关键字,但不能重叠全局和VRFNAT地址。
Router(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfREDmatch-in-vrf Router(config)#ipnatinsidesourcestatic1.1.1.122.2.2.2vrfBLUEmatch-in-vrf
4.除非使用match-in-vrf关键字,否则不能在不同的VRF中使用地址范围相同的NAT池。
例如: ipnatpoolpoolA171.1.1.1171.1.1.10prefix-length24ipnatpoolpoolB171.1.1.1171.1.1.10prefix-length24ipnatinsidesourcelist1poolAvrfAmatch-in-vrfipnatinsidesourcelist2poolBvrfBmatch-in-vrf 注意:尽管CLI配置有效,但不支持没有match-in-vrf关键字的配置。
5.使用NAT接口过载部署ISP负载均衡时,最佳做法是通过ACL匹配将路由图映射用于接口匹 配。
6.使用池映射时,不应使用两个不同的映射(ACL或路由图映射)来共享相同的NAT池地址。
7.在故障切换场景中的两个不同路由器上部署相同的NAT规则时,应使用HSRP冗余。
8.不要在静态NAT和动态池中定义相同的内部全局地址。
否则,将会导致意外的结果。
相关信息 qIP路由技术支持q技术支持和文档-CiscoSystems
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
上一篇产品手册,ios怎么降级