问题
前言
通用的NAT
Voice NAT
与VRF/MPLS的NAT
NAT NVI
SNAT
NAT-PT (对v4的v6)
根据平台的Cisco 7300/7600/6k
根据平台的Cisco 850
NAT部署
NAT最佳实践
本文提供回答关于网络地址转换(NAT)常见问题。
A.网络地址转换(NAT)为IP地址保存设计。 这使得采用未注册 IP 地址的专用 IP 网络可以连接到 Internet。 NAT 在路由器上运行,通常将两个网络连接在一起,并在数据包转发到另一个网络之前,将内部网络中的专用(非全局唯一)地址转换为合法地址。
作为此功能的一部分,NAT 可以配置为只向外界通告整个网络的一个地址。 这样可以将整个内部网络有效地隐藏在该地址后面,使其更加安全。 NAT在远程访问环境提供安全和地址保存的双重功能和典型地实现。
A.基本上, NAT允许单个设备,例如路由器,作为在互联网之间的一个代理程序(或公共网络)和本地网络(或私有网络),因此意味着仅单个唯一IP地址要求代表整个计算机组到任何东西他们的网络的外部。 参考NAT欲知更多信息,如何工作。
A.为了配置传统NAT,您在路由器(从外部NAT需要做一个接口)和在路由器(里面NAT的另一个接口)和翻译的IP地址至少一一套规则在信息包报头(如果需要和有效载荷)需要配置。 为了配置nat虚拟接口(NVI),您需要至少一个接口配置与NAT enable (event)与同一一套规则一起如上所述。
欲知更多信息,请参见寻址服务配置指南或配置NAT虚拟接口的Cisco IOS IP。
A.基于Cisco IOS软件的NAT不是功能上不同的比在Cisco PIX安全工具的NAT功能。 主要区别在实施包括支持的不同的流量类型。 有关在 Cisco PIX 设备(包括支持的数据流类型)上配置 NAT 的详细信息,请参阅 Cisco PIX 500 系列安全设备和 NAT 配置示例。
A. Cisco Feature Navigator工具在哪些允许客户识别功能(NAT)和查找版本和硬件版本此Cisco IOS软件特性是可用的。 请参见Cisco Feature Navigator为了使用此工具。
A. 处理被处理使用NAT的命令根据数据包是否去从网络内部外部网络或从外部网络网络内部。 内部到外部的转换发生在路由之后,外部到内部的转换发生在路由之前。 有关详细信息,请参阅 NAT 运行顺序。
A. 是。 用户的Nat static IP支持功能提供支持用静态IP地址,启用那些用户建立IP会话在一个公共无线局域网环境。 参考Nat static IP支持关于此功能的更多信息。
A. 是。 使用NAT,您能设立在协调共享在实时主机中的负载的网络内部的一台虚拟主机。 使用TCP负载平衡欲知更多信息,参考避免服务器超载。
A. 是。 速率限制NAT转换功能提供能力限制并发NAT操作最大在路由器的。 除产生用户对NAT地址如何的更多控制之外使用,速率限制NAT转换功能可以使用限制病毒、蠕虫病毒和拒绝服务攻击的作用。 参考限制NAT转换欲知更多信息的速率。
答:在下列情况下,可以察觉由 NAT 创建的 IP 地址的路由:
当内部全局地址匹配与本地接口时, NAT安装IP别名和ARP条目,在路由器这些地址的情况下proxy-arp。 如果此行为没有希望,请使用NO-别名关键字。
当NAT池配置时, add-route选项可以为自动路由射入使用。
A. NAT会话限制由相当数量是限定在路由器的联机DRAM。 每个NAT转换消耗大约在DRAM的312个字节。 结果, 10,000个转换(更多比通常处理在单个路由器)消耗关于3 MB。 所以,典型的路由硬件足够有支持的内存千位NAT转换。
答:Cisco IOS NAT 支持 Cisco 快速转发交换、快速交换以及进程交换。 对于12.4T版本和以后,快速交换路径不再支持的。 对于Cat6k平台,交换顺序是NetFlow (HW交换路径), CEF,进程路径。
性能取决于以下几个因素:
-
应用类型及其数据流类型
-
IP 地址是否为嵌入式
-
多条消息的交换与检查
-
要求的源端口
-
转换次数
-
当时运行的其他应用程序
-
硬件和处理器的类型
A. 是。 源 NAT 和/或目标 NAT 之间的转换可以应用于任何具有 IP 地址的接口或子接口(包括拨号器接口)。 NAT不可能配置与无线虚拟接口。 无线虚拟接口不在文字时存在对NVRAM。 因此,在重新启动以后,路由器疏松在无线虚拟接口的NAT配置。
A. 是。 NAT提供冗余的HSRP。 然而,它是与SNAT (有状态的NAT)不同。 与HSRP的NAT是一个无状态的系统。 当失败发生时,当前会话没有保养。 在静态NAT配置时(当数据包不匹配任何静态规则配置)时,数据包通过发送,不用任何转换。 参考Nat static与HSRP的映射支持高性能的关于此功能的更多信息。
A. 是。 封装不为NAT重要。 NAT可以完成有在接口的地方一个IP地址,并且接口从外部是内部的NAT或NAT。 必须有里面和外部NAT的能作用。 如果使用NVI,必须有至少一NAT启用接口。 请参阅我如何配置NAT ? 了解更多信息。
A. 是。 这可以是实现的通过描述需要NAT的套主机或网络的使用访问列表。 同一台主机的所有会话将翻译或穿过路由器和不翻译。
访问列表、扩展访问列表和路由映射可以使用定义IP设备被转换的规则。 应该始终指定网络地址和适当的子网掩码。 不应该在网络地址或子网掩码位置使用关键字其中任一(请参阅NAT FAQ、最佳实践和部署指南关于更多详细信息)。 使用静态NAT配置,当数据包没匹配与所有静态规则配置,数据包通过将发送,不用任何转换。
答:PAT(过载)将每个全局 IP 地址的可用端口分成三个范围: 0-511、512-1023 和 1024-65535。 PAT 为每个 UDP 或 TCP 会话分配唯一的源端口。 它尝试分配原始请求的相同端口值,但是,如果初始源端口已经使用,开始扫描从最初特定的端口范围查找第一个可用端口并且分配它到会话。 有12.2S代码基址的一例外。 12.2S代码基址使用另外端口逻辑,并且没有端口预约。
A. PAT与一个全局IP地址或多个地址一起使用。
PAT用一个IP地址
条件 |
说明 |
1 |
NAT/PAT 检查数据流并将其与转换规则进行匹配。 |
2 |
规则与 PAT 配置相匹配。 |
3 |
如果PAT知道关于流量类型,并且,如果该流量类型有“一套特定端口或端口它协商”该它将使用, PAT把他们放一边和不分配他们作为唯一标识符。 |
4 |
如果某个没有特殊端口要求的会话尝试连接到外部网络上,则 PAT 将转换 IP 源地址并检查初始源端口(例如 433)的可用性。
注意: 对于传输控制协议 (TCP) 和用户数据报协议 (UDP),范围为: 1-511, 512-1023, 1024-65535。 对于 Internet 控制消息协议 (ICMP),第一组范围从 0 开始。 |
5 |
如果请求的源端口可用,则 PAT 将分配该源端口,然后会话继续。 |
6 |
如果请求的源端口不是可用的, PAT开始搜索从最初相关组(开始在1 TCP或UDP申请的和从0对ICMP)。
|
7 |
如果有端口可用,则分配该端口,然后会话继续。 |
8 |
如果没有端口可用,则丢弃数据包。 |
PAT用多个IP地址
条件 |
说明 |
1-7 |
前七个条件与处理单个 IP 地址的情况相同。 |
8 |
如果端口在第一个IP地址的相关组中不是可用的, NAT继续前进向在池的下个IP地址并且设法分配初始源端口请求的。
|
9 |
如果请求的源端口可用,则 NAT 将分配该源端口,然后会话继续。 |
10 |
如果请求的源端口不可用,则 NAT 将从相关组的起始处开始搜索(对于 TCP 或 UDP 应用程序,从 1 开始;对于 ICMP,从 0 开始)。 |
11 |
如果端口是可用的,已分配,并且会话继续。 |
12 |
如果没有端口可用,除非池中的另一个 IP 地址可用,否则丢弃数据包。 |
答:NAT IP 池是根据需要为 NAT 转换所分配的 IP 地址范围。 要定义池,配置命令使用:
ip nat pool <name> <start-ip> <end-ip>
{netmask <netmask> | prefix-length <prefix-length>}
[type {rotary}]
示例 1
以下示例翻译在从192.168.1.0或192.168.2.0网络寻址的内部主机之间对全局唯一10.69.233.208/28网络:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 10.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
示例 2
在以下示例中,目标是定义虚拟地址的连接在一套是分布式实时主机中。 池定义了实时主机的地址。 访问列表定义了虚拟地址。 如果转换已经不存在,从serial interfaces 0 (外部接口)的TCP信息包目的地匹配访问列表翻译对从池的一个地址。
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1
A. 在实用的使用,可配置IP池最大是由相当数量在特定路由器的联机DRAM限制了。 (Cisco建议您配置库容量255。) 每个池应该是不大于16个位。 在12.4(11)T中和以后, IOS介绍CCE (常见分类引擎)。 这有限制NAT只有最多255个池。 在12.2S代码基址,没有最大数量池限制。
A. 路由映射保护不需要的外部用户到达到内部的用户或服务器。 它也有功能映射单个内部的IP地址到根据规则的不同的内部全局地址。 参考使用路由映射的多个池的NAT支持欲知更多信息。
答:IP 地址重叠是指两个要互联的位置使用相同的 IP 地址方案。 这种情况很常见; 在公司合并或收购时经常发生。 如果没有特别的支持,这两个位置将无法彼此连接并建立会话。 重叠的 IP 地址可能是分配给其他公司的公用地址、分配给其他公司的专用地址,也可能是 RFC 1918 所定义的专用地址范围中的一个。
专用 IP 地址不可路由,需要进行 NAT 转换才能与外界连接。 解决方案包括拦截从外部到内部的域名系统 (DNS) 名称查询响应、设置外部地址转换,以及在将 DNS 响应转发到内部主机之前修复该响应。 NAT 设备的两端都需要一个 DNS 服务器,以满足用户在两个网络之间进行连接的需求。
如使用NAT所显示在重叠网络, NAT能检查和进行在DNS A和PTR记录内容的地址转换。
答:静态 NAT 转换在本地地址和全局地址之间具有一对一的映射关系。 用户也可以将静态地址转换配置为端口级,并将剩余的 IP 地址用于其他转换。 这通常发生在执行端口地址转换 (PAT) 的位置。
以下示例显示如何配置routemap允许外部到内部转换静态NAT :
ip nat inside source static 1.1.1.1 2.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 30.1.10.128 0.0.0.127'
route-map R1 permit 10
match ip address ACL-A
A. 是。 NAT超载是PAT,介入使用池以范围一个或更多地址或使用接口IP地址与端口的组合。 当您超载,您创建充分扩展转换。 这是包含IP地址和源或目的地端口信息的转换表条目,通常称PAT或超载。
PAT (或超载)是使用转换对一个或更多的内部Cisco IOS NAT的功能(Inside local)专用地址外部(Inside Global,通常注册) IP地址。 每次转换的唯一源端口号用于区分不同的会话。
A. 在动态 NAT 转换中,用户可以建立本地地址和全局地址之间的动态映射。 动态映射通过定义分配全局地址和关联二的本地地址将翻译的和地址池或接口IP地址完成。
A. ALG是应用层网关(ALG)。 NAT进行在不运载source和目的地IP地址在应用程序数据流的所有传输控制协议或用户数据报协议(TCP/UDP)流量的翻译服务。
这些协议包括FTP, HTTP, SKINNY, H232, DNS, RAS, SIP, TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh, rcp。 嵌入在有效负载内的IP地址信息的特定协议要求应用级网关(ALG)的支持。
请参见使用应用级网关以NAT欲知更多信息。
A. 是。 然而,同样IP地址不可能使用为Nat static配置或在NAT动态配置的池。 所有公共IP地址需要是唯一。 注意在静态转换使用的全局地址不自动地是不包括与包含那些同样全局地址的动态池。 动态池必须由静态条目创建排除已分配的地址。 欲知更多信息,同时请参见配置静态和动态NAT。
A. Traceroute从外面应该总是返回全局地址。
A. NAT介绍额外端口功能: 全方位和port-map。
请参见PAT的用户定义的源端口范围欲知更多信息。
在12.4(20)T2中向前, NAT引入L3/L4和对称端口的端口随机化。
参考解剖学: 查看网络内部网络地址译码器欲知更多信息。
A. IP分段发生在第3层(IP); TCP分段发生在第4层(TCP)。 IP分段发生,当大于接口的最大传输单元(MTU)被发送在此接口外面的数据包。 当他们被派出接口,这些数据包将必须被分段或丢弃。 如果不要分段(DF)位在数据包的IP报头没有设置,数据包将被分段。 如果DF位在数据包的IP报头设置,数据包已丢失,并且指示next-hop MTU vlaue的ICMP错误信息将返回到发送方。 IP数据包的所有片段运载在IP报头的同样Ident,允许最终接收方重新组装片段到原始IP数据包。 请参见解决IP分段, MTU、毫秒和PMTUD问题与GRE和IPsec欲知更多信息。
当在终端站的一应用程序是发送的数据, TCP分段发生。 应用程序数据分成什么TCP考虑最大的大块发送。 从TCP通过的数据此单元到IP称为分段。 TCP分段在IP数据包发送。 当他们穿过网络和遭遇更小的MTU链路比他们能通过,适合这些IP数据包能然后变为IP段。
TCP首先将分段此数据到TCP分段(根据TCP毫秒值),并且添加TCP报头并且通过此TCP数据段对IP。 然后IP将添加一IP报头发送数据包到远程终端主机。 如果与TCP数据段的IP数据包大于在一流出接口的IP MTU在TCP主机IP之间的路径然后将分段IP/TCP数据包为了适合。 这些IP数据包片段在远程主机将被重新组装由IP层,并且(最初发送)的完整TCP数据段将被递交到TCP层。 TCP层不知道在传输期间, IP分段数据包。
NAT支持IP段,但是不支持TCP分段。
A. NAT支持仅故障中IP段由于ip虚拟重组。
A. NAT使用IP分段和TCP分段的同样debug CLI : debug ip nat frag。
答:不能。 那里在没有支持的NAT MIB。
A. 如果三方握手没有完成,并且NAT看到TCP数据包,则NAT将启动60秒钟计时器。 当三方握手完成时,默认情况下NAT使用NAT条目的24小时计时器。 如果终端主机发送RESET, NAT更换从24个小时的默认计时器到60秒。 一旦FIN,当接收FIN和FIN-ACK时, NAT更换从24个小时的默认计时器到60秒。
A. 是。 您能更改NAT超时值所有条目的或不同种类的NAT tranlations (例如UDP超时、dns超时、TCP超时、finrst超时、ICMP超时、PPTP超时、SYN超时、端口超时和ARP PING超时)。 关于更改默认值的更多信息关于这些超时设置,请参见ip nat translation (超时)。
A. LDAP设置添加额外的字节(LDAP搜索发生),当处理类型搜索RES条目时消息。 LDAP附加10字节的搜索结果对其中每一LDAP应答数据包。 在此10额外的字节的数据导致超出在网络情况下的数据包最大传输单元(MTU),数据包已丢失。 在这种情况下, Cisco建议您关闭此LDAP行为使用CLI no ip nat服务追加LDAP搜索RES命令为了数据包能发送和接收。
A. 路由在Inside Global IP地址的NAT配置的方框必须指定功能的例如NAT-NVI。 同样地,在外部本地IP地址的NAT方框应该也指定路由。 在这种情况下,从的所有数据包在对方向使用外部静态规则将要求这种路由。 在这样方案中,当提供路由为IG/OL,应该也配置时下一跳IP地址。 如果下一跳配置未命中,这认为配置错误,并且导致未确定行为。
NVI-NAT是存在仅输出功能路径。 如果直接地有与NAT-NVI的连接的子网或在方框配置的外部NAT转换规则,则在那些方案,您需要为下一跳提供一个假的下一跳IP地址并且相关的ARP。 这是需要的为了基础结构能递交数据包到转换的NAT。
A.默认电话负载的CUCM 7和全部CUCM 7支持的SCCPv17。 当电话注册时,使用的SCCP版本取决于在CUCM和电话之间的最高的普通的版本。
NAT不支持SCCP v17。 直到SCCP的v17 NAT支持实现,必须降级固件到版本8-3-5或以下,以便SCCP v16协商。 只要使用SCCP v16, CUCM6不会遇到与任何电话负载的NAT问题。 Cisco IOS当前不支持SCCP版本17。
A. NAT支持CUCM版本6.x和以下版本。 支持SCCP v15的这些CUCM版本发布与默认8.3.x (或及早)电话固件加载(或及早)。
NAT不支持CUCM版本7.x或以上版本。 这些CUCM版本发布与支持SCCP v17的默认8.4.x电话固件加载(或以上)。
如果CUCM 7.x或以后使用,在CUCM Tftp server一定安装一更旧的固件加载,以便电话使用与SCCP v15的一固件加载或为了及早支持的由NAT。
下面的链路确认固件加载8.3.x包含SCCP v15或及早和与NAT一起使用和固件加载8.4.x包含SCCP v17,并且不会与NAT一起使用。
http://third-gen-phones.gforge.cisco.com/twiki/prod/bin/view/Thirdgenphones/CCMLoadNumberAndCodeNameDecoderRing
参考IP电话NAT支持到Cisco CallManager关于NAT和SCCP的更多信息。
A. RTP和RTCP功能的服务提供商PAT端口分配增强保证该SIP、H.323和skinny语音呼叫的。 为RTP数据流使用的端口号是偶数端口号,并且RTCP数据流是下随后的奇端口号。 端口号翻译到在范围内的一个编号指定符合RFC-1889。 一个具有该范围内端口号的呼叫将导致 PAT 转换为此范围内的另一个端口号。 同样,范围之外端口号的 PAT 转换将不会导致转换为给定范围内的编号。
有关详细信息,请参阅 RTP 和 RTCP 的服务提供商 PAT 端口分配增强。
答:会话初始协议 (SIP) 是基于 ASCII 的应用层控制协议,可用于建立、维持和终止两个或多个端点之间的呼叫。 SIP 是 Internet 工程任务组 (IETF) 为在 IP 上实现多媒体会议而开发的备选协议。 Cisco SIP 的实施使支持的 Cisco 平台能够通过 IP 网络用信号通知设置语音和多媒体呼叫。 参考SIP概述欲知更多信息。
SIP数据包可以是NATted。 参考SIP的H.323 v2 RAS NAT支持和NAT支持欲知更多信息。
A. Cisco IOS托管SBC功能的NAT横越使Cisco IOS NAT SIP应用层网关(ALG)路由器作为在Cisco多服务IP到IP网关的SBC,帮助保证VoIP服务平稳的发送。
参考配置Cisco IOS会话边界控制器的托管的NAT横越和SP SIP呼叫的托管的NAT横越使用Cisco IOS会话边界控制器欲知更多信息。
A. 已处理呼叫编号由NAT路由器的是偶发的内存数量在方框和CPU的处理功率的联机。
A. IOS-NAT H323的支持TCP分段12.4主线和TCP SKINNY的分段支持从向前12.4(6)T。
A. 是。 当您有NAT超载配置和一语音部署时,您需要注册消息通过NAT和创建out->in的一个关联能到达此内部设备。 内部设备在一个定期方式发送此注册,并且NAT更新此针孔或关联从信息正如在信令消息。
A. 在语音部署,当您isssue清楚ip nat trans *请发出命令或一清楚ip nat trans被强制的命令并且有动态NAT,您将消除针孔或关联,并且必须等待从内部设备的下个注册周期到再estabilish这。 Cisco建议您不使用这些清楚in命令语音部署。
答:不能。 并行定位解决方案当前不支持的。 与NAT的下列的部署(在同一个方框)认为一并行定位解决方案: CME/DSP-Farm/SCCP/H323.
答:不能。 注意UDP SIP ALG (使用由多数部署)没有被影响。
72UUT(config)#ip nat inside
source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static
1.1.1.1 22.2.2.2 vrf RED
A. overloapping地址的传统NAT支持在不同的VRF配置。 您会必须配置重叠在与匹配在VRF选项的规则和设置ip nat inside或外部在同样VRF流量的在该特定VRF。 重叠支持不包括全球路由表。
您必须添加交迭的VRF静态NAT条目的匹配在VRF关键字不同的VRF的。 然而,交迭全局和VRF NAT地址是不可能的。
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
答:不能。 您必须使用NATting的NVI区别VRF之间。 参考NAT虚拟接口欲知更多信息和示例。 您能使用传统NAT执行从VRF的在同样VRF内的NAT到全局或NAT。
A. NVI代表NAT虚拟接口。 它允许NAT翻译二区别VRF之间。 应该使用此解决方案代替单接口网络地址转换。 参考NAT虚拟接口欲知更多信息。
a. Cisco建议您使用VRF的传统NAT对全局NAT (ip nat inside或)和在同样VRF的接口之间。 NVI为区别VRF之间的NAT使用。
A. 没有TCP分段的支持NAT-NVI的。
答:不能。 注意UDP SIP ALG (使用由多数部署)没有被影响。
A. SNAT不支持任何TCP ALGs (例如, SIP、SKINNY、H323或者DNS)。 所以, TCP分段不支持的。 然而, UDP SIP和DNS支持的。
A. SNAT允许两个或多个网络地址转换器功能作为转换组。 处理流量要求IP地址信息的转换的转换组的一个成员。 另外,当他们发生,它通知备份译码器活动流。 备份译码器能然后使用从活动译码器的信息准备重复的转换表条目。 所以,如果活动译码器由致命故障妨害,流量可能迅速地交换到备份。 通信流继续,因为同样网络地址转换使用,并且那些转换的状态以前定义。 使用Cisco有状态的NAT欲知更多信息,参考增强的IP RTP优先策略弹性。
A. SNAT不支持任何TCP ALGs (例如, SIP、SKINNY、H323或者DNS)。 所以, TCP分段不支持的。 然而, UDP SIP和DNS支持的。
a. Asymetric路由支持NAT通过启用作为队列。 默认情况下,和队列是enable (event)。 然而,从向前12.4(24)T,和队列不再支持的。 客户必须确保数据包适当地已路由,并且适当的延迟是已添加为了不对称路由能正确地运作。
A. NAT-PT是v4对v6 NAT的转换。 协议转换(NAT-PT)是IPv6-IPv4转换机制,如对RFC 2765和RFC 2766定义,允许IPv6-only设备用IPv4-only设备通信反之亦然。 参考实现IPv6的IPv6的NAT-PT和Cisco IOS NAT关于此功能的更多信息
A. NAT-PT不是支持的在CEF路径。
A. NAT-PT支持TFTP/FTP和DNS。 没有语音和SNAT的支持在NAT-PT。
A. SNAT不是可用的在SX系列的Catalyst 6500。
A. VRF感知NAT不是支持的在此平台的硬件方面。
A. 在65xx/76xx平台上, VRF感知NAT不支持的,并且CLIs阻塞。
注意: 您能通过在虚拟上下文透明模式运行的有效利用FWSM实现设计。
答:不能。 没有skinny NAT ALG的支持在850系列的12.4T。
A. NAT启用使用未注册的IP地址连接到互联网的私有IP互联网络。 NAT转换在内部网络的私有(RFC1918)地址成法律可路由地址,在数据包转发在另一网络上前。
关于实现NAT的更多信息,请参见配置IP地址保存的NAT。
A. 语音功能的NAT支持允许SIP通过通过路由器的被嵌入的消息配置与将翻译的网络地址转换(NAT)回到数据包。 应用层网关(ALG)使用与NAT转换语音数据包。
关于实现与语音的NAT的更多信息,请参见ALGs的NAT支持。
A. 与MPLS VPN功能的NAT集成允许在单个设备将配置的多个MPLS VPN。 NAT能从哪MPLS VPN区分收到IP数据流,即使MPLS VPN全部使用同样IP编址方案。 此增强使广泛MPLS VPN客户共享服务,当保证时每MPLS VPN是完全从其他中分离出。
欲知更多信息,请参见与MPLS VPN的NAT集成和与MPLS VPN的集成NAT。
A. 当地址解析协议(ARP)查询为配置与网络地址转换(NAT)静态映射和拥有的由路由器的地址时被触发, NAT回应在ARP指向的接口的BIA MAC地址。 二个路由器作为暂挂的HSRP活动和。 必须启用和配置他们的NAT内部接口属于组。
欲知更多信息,请参见Nat static与HSRP的映射支持高性能的。
A. NAT虚拟接口(NVI)功能去除需求从外部配置接口作为内部的NAT或NAT。 关于NAT NVI的更多信息,请参见配置NAT虚拟接口。
A. 有可以是完成与NAT:的二负载平衡 您能负荷平衡入站对一套服务器分配在服务器的负载,并且您能负荷平衡您的用户数据流到在两个或多个ISP的互联网。
使用TCP负载平衡,关于入站负载平衡的更多信息,请参见避免服务器超载。
关于平衡的出站负载的更多信息,请参见二ISP连接的IOS NAT负载均衡。
A. 有IP安全(IPSec)封装安全有效载荷(ESP)的支持通过NAT和IPSec NAT透明度。
IPSec ESP通过NAT功能提供能力通过在超载或端口地址转换(PAT)模式的一Cisco IOS NAT已配置设备支持多个并发IPSec ESP通道或连接。 关于此功能的更多信息,通过NAT请参见IPSec ESP的IPSec ESP的支持和NAT支持-第II阶段。
IPSec NAT透明度功能引入IPSec数据流的支持能游遍在网络的NAT或PAT点通过寻址许多已知incompatabilites在NAT和IPSec之间。 关于此功能的更多信息,请参见IPSec NAT透明度。
A. NAT-PT (网络地址转换-协议转换)是IPv6-IPv4转换机制,如对RFC 2765和RFC 2766定义,允许IPv6-only设备与IPv4-only设备联络反之亦然。
关于实现和配置NAT-PT的更多信息,请参见实现IPv6的NAT-PT。
A. 它是可能的NAT组播流的source IP。 路由映射不可能使用,当执行组播的时动态NAT,只有访问列表为此是支持的。
欲知更多信息,请参见如何组播在Cisco路由器的NAT工作。 使用多点传送服务器反射解决方案,目的地组播组是NATted。
A. SNAT启用动态地被映射的NAT会话的持续服务。 静态定义的会话得到冗余的好处,不用对SNAT的需要。 在没有SNAT时,使用的会话动态NAT映射会被切断在致命故障情形下,并且必须被重建。 仅最小SNAT配置支持的。 应该进行将来部署,在谈与您的思科客户团队为了验证设计相对当前限制之后。
关于实现SNAT的更多信息,请参见配置高性能的NAT。
SNAT为以下方案是推荐:
-
正如SNAT白皮书所描述的HSRP模式: 增强的IP RTP优先策略弹性使用Cisco有状态的NAT。
-
因为有一些功能与HSRP比较,主要的或备份不一个推荐模式。
-
故障切换方案和2路由器设置的。 即,如果一个路由器失败,另一个路由器接管无缝地。 (SNAT体系结构没有设计处理接口飘荡。)
-
非不对称路由方案支持的。 不对称路由可以是处理,只有当在应答数据包的延迟高于那在2个SNAT路由器之间交换SNAT消息。
目前SNAT体系结构没有设计处理稳健性; 因此,这些测验不是预计成功:
-
清除NAT条目,当有流量时。
-
更改接口参数(类似IP地址更改、shut/no-shut等等),当有流量时。
-
清楚SNAT的特定或显示命令不是预计执行适当地和不推荐。
某些SNAT相关结算和显示命令如下:
clear ip snat sessions *
clear ip snat sessions <ip address of the peer>
clear ip snat translation distributed *
clear ip snat translation peer < IP address of SNAT peer>
sh ip snat distributed verbose
sh ip snat peer < IP address of peer>
-
如果用户要清除条目,清楚ip nat trans强制了或结算ip nat trans *命令可以使用。
如果用户要查看条目, show ip nat translation, show ip nat translations verbose,并且显示ip nat stats命令可以使用。 如果service internal配置,将显示SNAT特定信息。
-
清除NAT转换在备用路由器不推荐。 总是清楚在主要的SNAT路由器的NAT条目。
-
SNAT不是HA; 因此,在两个路由器的配置应该是相同的。 两个路由器应该有同一图像运行。 并且请确保为两个SNAT路由器使用的基础平台是相同的。
A. 是。 这些是NAT最佳实践:
-
当曾经动态和静态NAT,设置动态NAT的时规则的ACL应该如此屏蔽静态本地主机没有重叠。
-
当心使用ACL NAT与permit ip any any,您能取得不可预知的结果。 在12.4(20)T NAT将转换本地生成的HSRP和路由协议信息包后,如果被派出外部接口,以及本地加密的信息包匹配NAT规则的他们。
-
当您有NAT的时重叠网络,请使用匹配在VRF关键字。
您必须添加交迭的VRF静态NAT条目的匹配在VRF关键字不同的VRF的,但是交迭全局和VRF NAT地址是不可能的。
Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
-
除非匹配在VRF关键字使用,有同样地址范围的NAT池不可能使用用不同的VRF。
例如:
ip nat pool poolA 171.1.1.1 171.1.1.10 prefix-length 24
ip nat pool poolB 171.1.1.1 171.1.1.10 prefix-length 24
ip nat inside source list 1 poolA vrf A match-in-vrf
ip nat inside source list 2 poolB vrf B match-in-vrf
注意: Wven,虽然CLI配置有效,没有匹配在VRF关键字配置不支持的。
-
当部署ISP负载平衡与NAT接口超载时,最佳实践是使用与接口匹配的路由映射在ACL匹配。
-
当曾经池映射时,您不应该使用二不同的映射(ACL或路由映射)共享同一个NAT池地址。
-
当部署同样NAT在故障切换方案时的二个不同的路由器规定,您应该使用HSRP冗余。