IP : Conversão de endereços de rede (NAT)

Network Address Translation (NAT) FAQ

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (23 Maio 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento dá respostas às perguntas mais frequentes sobre o Network Address Translation (NAT).

NAT genérico

Q. O que é NAT?

A. O Network Address Translation (NAT) é projetado para a conservação de endereço IP. Permite as redes do IP privado que usam endereços IP não registrados para conectar ao Internet. O NAT opera sobre um roteador, geralmente conectando duas redes junto, e traduz (não globalmente -) os endereços originais privados na rede interna em endereços legais, antes que os pacotes estejam enviados a uma outra rede.

Como parte desta capacidade, o NAT pode ser configurado para anunciar somente um endereço para a toda a rede ao mundo exterior. Isto fornece a segurança adicional eficazmente escondendo a rede interna inteira atrás desse endereço. O NAT oferece as funções duplas da Segurança e da conservação do endereço e é executado tipicamente nos ambientes de acesso remotos.

Q. Como o NAT trabalha?

A. Basicamente, o NAT permite que um dispositivo único, tal como um roteador, atue como um agente entre o Internet (ou rede pública) e uma rede local (ou rede privada), assim que significa que somente um único endereço IP exclusivo está exigido para representar um grupo de computador completo a qualquer coisa fora de sua rede.

Q. Como eu configuro o NAT?

A. A fim configurar o NAT tradicional, você precisa de fazer pelo menos uma relação em um roteador (NAT fora) e uma outra relação no roteador (NAT para dentro) e um conjunto de regras para traduzir os endereços IP de Um ou Mais Servidores Cisco ICM NT nos cabeçalhos de pacote de informação (e em cargas úteis se desejado) para precisar de ser configurado. A fim configurar a interface virtual Nat (NVI), você precisa pelo menos uma relação configurada com NAT permite junto com o mesmo conjunto de regras como mencionado acima.

Para mais informação, refira o manual de configuração dos Serviços de endereçamento IP do Cisco IOS ou configurar a interface virtual NAT.

Q. Que são os principais diferença entre o software do½ do¿Â do Cisco IOSï e as aplicações da ferramenta de segurança de Cisco PIX do NAT?

A. O Cisco IOS NAT com base no software não é fundamentalmente diferente da função NAT na ferramenta de segurança de Cisco PIX. Os principais diferença incluem os tipos de tráfego diferentes apoiados nas aplicações. Refira o Dispositivos de segurança Cisco PIX série 500 e os exemplos da configuração de NAT para obter mais informações sobre da configuração do NAT em dispositivos de PIX de Cisco (inclui os tipos de tráfego apoiados).

Q. Em que Cisco que distribui o hardware está o Cisco IOS NAT disponível? Como pode o hardware ser pedido?

A. A ferramenta do Cisco Feature Navigator permite que os clientes identifiquem uma característica (NAT) e encontrem-na em qual a liberação e a versão de hardware estes recursos do Cisco IOS Software estão disponíveis. Refira o Cisco Feature Navigator a fim usar esta ferramenta.

Q. O NAT ocorre antes ou depois do roteamento?

A. A ordem em que as transações são processadas usando o NAT é baseada sobre se um pacote está indo da rede interna à rede externa ou da rede externa à rede interna. O interior à tradução exterior ocorre após a distribuição, e a parte externa à tradução interna ocorre antes de distribuir. Refira o ordem de operação NAT para mais informação.

Q. Pode o NAT ser distribuído em um ambiente público do Wireless LAN?

A. Sim. O NAT - A característica do apoio do IP Estático fornece o apoio para usuários os endereços IP estáticos, permitindo aqueles usuários de estabelecer uma sessão IP em um ambiente público do Wireless LAN.

Q. O NAT faz a função de balanceamento de carga TCP para server na rede interna?

A. Sim. Usando o NAT, você pode estabelecer um host virtual na rede interna que coordena o compartilhamento de carga entre anfitriões reais. Refira a evitação da sobrecarga do server usando o Balanceamento de carga TCP para mais informação.

Q. Pode o limite de taxa I o número de traduções NAT?

A. Sim. A característica da tradução NAT da taxa limite fornece a capacidade para limitar o número máximo de operações de NAT simultâneas em um roteador. Além do que a doação usuários de mais controle sobre como os endereços NAT são usados, a característica da tradução NAT da taxa limite pode ser usada para limitar os efeitos dos vírus, dos worms, e dos ataques de recusa de serviço.

Q. Como distribuir é aprendida ou propagada para o sub-redes IP ou os endereços que são usados pelo NAT?

A. O roteamento para os endereços IP de Um ou Mais Servidores Cisco ICM NT criados pelo NAT é instruído se:

  • O pool interno de endereços globais é derivado da sub-rede de um roteador de próximo salto.

  • A entrada de rota estática é configurada no roteador de próximo salto e redistribuída dentro da rede do roteamento.

Quando o endereço global interno é combinado com a interface local, o NAT instala um IP aliás e uma entrada de ARP, neste caso o roteador Proxy-arp para estes endereços. Se este comportamento não é querido, use a palavra-chave do nenhum-pseudônimo.

Quando um conjunto NAT é configurado, a opção da adicionar-rota pode ser usada para a injeção automática da rota.

Q. Quantas sessões simultâneas do NAT são suportadas no NAT do Cisco IOT?

A. O limite da sessão NAT é limitado pela quantidade de DRAM disponível no roteador. Cada tradução NAT consome aproximadamente 312 bytes no DRAM. Em consequência, 10,000 traduções (mais do que seja segurado geralmente em um roteador único) consomem sobre o 3 MB. Consequentemente, o hardware típico do roteamento tem mais do que bastante memória para apoiar milhares de traduções NAT.

Q. Que tipo de desempenho de roteamento pode ser esperado ao usar o Cisco IOS NAT?

A. O Cisco IOS NAT apoia o Cisco Express Forwarding Switching, o interruptor rápido, e a comutação do processo. Para 12.4T libere e mais tarde, o caminho de switching rápido é apoiado já não. Para a plataforma do Cat6K, a ordem do interruptor é Netflow (trajeto de switching do HW), CEF, caminho de processo.

O desempenho depende de diversos fatores:

  • O tipo de aplicativo e de seu tipo de tráfego

  • Se os endereços IP de Um ou Mais Servidores Cisco ICM NT estão encaixados

  • Troca e inspeção dos mensagens múltipla

  • Porta de origem exigida

  • O número de traduções

  • Outros aplicativos que são executado naquele tempo

  • O tipo de hardware e de processador

Q. Pode o Cisco IOS NAT ser aplicado às subinterfaces?

A. Sim. As traduções da fonte e/ou do NAT de destino podem ser aplicadas a toda a relação ou subinterfaces que têm um endereço IP de Um ou Mais Servidores Cisco ICM NT (que inclui interfaces do discador). O NAT não pode ser configurado com interface virtual wireless. A interface virtual wireless não existe na altura da escrita ao NVRAM. Assim, após a repartição, o roteador afrouxa a configuração de NAT na interface virtual wireless.

Q. Pode o Cisco IOS NAT ser usado com Hot Standby Router Protocol (HSRP) para fornecer enlaces redundantes a um ISP?

A. Sim. O NAT fornece o HSRP redundante. Contudo, é diferente de SNAT (stateful NAT). O NAT com HSRP é um sistema apátrida. A sessão atual não é mantida quando a falha ocorre. Durante a configuração do NAT estático (quando um pacote não combina nenhuma configuração ESTÁTICA da regra), o pacote é enviado completamente sem nenhuma tradução.

Q. O Cisco IOS NAT apoia traduções de entrada em uma interface do Frame Relay? Ele suporta traduções externas no lado da Ethernet?

A. Sim. O encapsulamento não importa para o NAT. O NAT pode ser feito onde há um endereço IP de Um ou Mais Servidores Cisco ICM NT em uma relação e a relação é NAT interno ou NAT fora. Deve haver um interior e uma parte externa para que o NAT funcione. Se você usa NVI, deve haver pelo menos uma interface ativada NAT. Veja como eu configuro o NAT? para mais detalhes.

Q. Pode um único roteador ativado por NAT permitir que alguns usuários usem o NAT e os outros usuários na mesma interface Ethernet para continuar a usar seus próprios endereços IP de Um ou Mais Servidores Cisco ICM NT?

A. Sim. Isto pode ser realizado com o uso de uma lista de acessos que descreve o grupo de anfitriões ou de redes que exigem o NAT. Todas as sessões no mesmo host serão traduzidas ou passarão através do roteador e não serão traduzidas.

As Listas de acesso, as listas de acesso extendida, e os mapas de rota podem ser usados para definir as regras por que os dispositivos IP obtêm traduzidos. O endereço de rede e a máscara de sub-rede apropriada devem sempre ser especificados. A palavra-chave não deve ser usada no lugar do endereço de rede ou da máscara de sub-rede (veja NAT FAQ, melhores prática e guia de distribuição para mais detalhe). Com configuração do NAT estático, quando o pacote faz não combinado com toda a configuração ESTÁTICA da regra, o pacote será enviado completamente sem nenhuma tradução.

Q. Ao configurar para a PANCADINHA (sobrecarregamento), que é o número máximo de traduções que podem ser criadas pelo endereço IP global interno?

A. A PANCADINHA (sobrecarregamento) divide os portos disponíveis pelo endereço IP global em três escalas: 0-511, 512-1023, e 1024-65535. A PANCADINHA atribui uma porta de origem original para cada UDP ou sessão de TCP. Tenta atribuir o valor de mesma porta da solicitação original, mas se a porta de origem original tem sido usada já, começa fazer a varredura desde o início do alcance particular de porta para encontrar o primeiro porto disponível e atribui-o à conversação. Há uma exceção para a base de código 12.2S. a base de código 12.2S usa a lógica diferente da porta, e não há nenhuma reserva da porta.

Q. Como funciona o PAT?

A. A PANCADINHA trabalha com um endereço IP global ou endereços múltiplos.

PANCADINHA com um endereço IP de Um ou Mais Servidores Cisco ICM NT

Condição Descrição
1 O NAT/PAT inspeciona o tráfego e combina-o a uma regra de tradução.
2 Fósforos da regra a uma configuração da PANCADINHA.
3 Se a PANCADINHA sabe sobre o tipo de tráfego e se esse tipo de tráfego tem “um grupo de portas específicas ou o move ele negocia” o esse ele se usará, a PANCADINHA ajusta-as de lado e não as atribui como identificadores exclusivos.
4 Se uma sessão sem exigências especiais da porta tenta conectar para fora, a PANCADINHA traduz o endereço IP de origem e verifica a Disponibilidade da porta de origem originada (433, por exemplo).

Nota: Para o Transmission Control Protocol (TCP) e o User Datagram Protocol (UDP), as escalas são: 1-511, 512-1023, 1024-65535. Para o Internet Control Message Protocol (ICMP), os primeiros começos do grupo em 0.

5 Se a porta de origem solicitada está disponível, a PANCADINHA atribui a porta de origem, e a sessão continua.
6 Se a porta de origem solicitada não está disponível, a PANCADINHA começa procurar desde o início do grupo relevante (começando em 1 para o TCP ou os aplicativos UDP, e de 0 para o ICMP).
7 Se uma porta está disponível está atribuída, e a sessão continua.
8 Se nenhuma porta estiver disponível, o pacote será derrubado.

PANCADINHA com endereços IP de Um ou Mais Servidores Cisco ICM NT múltiplos

Condição Descrição
1-7 As primeiras sete circunstâncias são as mesmas que com um único endereço IP de Um ou Mais Servidores Cisco ICM NT.
8 Se nenhuma porta está disponível no grupo relevante no primeiro endereço IP de Um ou Mais Servidores Cisco ICM NT, o NAT move-se sobre para o endereço IP de Um ou Mais Servidores Cisco ICM NT seguinte no pool e tenta-se atribuir a porta de origem original pedida.
9 Se a porta de origem solicitada está disponível, o NAT atribui a porta de origem e a sessão continua.
10 Se a porta de origem solicitada não está disponível, o NAT começa procurar desde o início do grupo relevante (começando em 1 para o TCP ou os aplicativos UDP, e de 0 para o ICMP).
11 Se uma porta estiver disponível, ela será atribuída e a sessão continuará.
12 Se nenhuma porta está disponível, o pacote está deixado cair, a menos que um outro endereço IP de Um ou Mais Servidores Cisco ICM NT estiver disponível no pool.

Q. Que são associações IP NAT?

A. As associações IP NAT são uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT que são atribuídos para a tradução NAT como necessários. Para definir um pool, o comando configuration é usado:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

Exemplo 1

O exemplo seguinte traduz entre os host internos endereçados de 192.168.1.0 ou da rede de 192.168.2.0 globalmente - à rede 10.69.233.208/28 original:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 10.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

Exemplo 2

No exemplo seguinte, o objetivo é definir um endereço virtual, as conexões a que são distribuídas entre um grupo de anfitriões reais. O pool define os endereços dos anfitriões reais. A lista de acessos define o endereço virtual. Se uma tradução já não existe, os pacotes de TCP da interface serial 0 (a interface externa) cujo o destino combina a lista de acessos estão traduzidos a um endereço do pool.

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1

Q. Que é o número máximo de associações configuráveis IP NAT (ip nat pool “nome”)?

A. No uso prático, o número máximo de associações configuráveis IP é limitado pela quantidade de DRAM disponível no roteador particular. (Cisco recomenda que você configura um tamanho de pool de 255.) Cada pool deve ser não mais de 16 bit. Em 12.4(11)T e mais tarde, os IO introduzem CCE (motor da classificação comum). Isto limitou o NAT somente para ter um máximo de 255 associações. Na base de código 12.2S, não há nenhuma limitação das associações do máximo.

Q. Que é a vantagem de usar o mapa de rotas contra o ACL em um conjunto NAT?

A. Um mapa de rotas está protegendo usuários externos indesejáveis para alcançar aos usuários/server internos. Igualmente tem a capacidade de traçar um único endereço IP de Um ou Mais Servidores Cisco ICM NT interno aos endereços globais internos diferentes baseados na regra. Refira o apoio NAT para os conjuntos múltiplos que usam mapas de rota para mais informação.

Q. Que é endereço IP de Um ou Mais Servidores Cisco ICM NT “que sobrepõe” dentro do contexto do NAT?

A. A sobreposição do endereço IP de Um ou Mais Servidores Cisco ICM NT refere uma situação onde dois lugar que querem interconectar sejam ambos que usam o mesmo esquema do endereço IP de Um ou Mais Servidores Cisco ICM NT. Esta não é uma ocorrência incomum; acontece frequentemente quando as empresas fundem ou são adquiridas. Sem um suporte especial, os dois locais não poderão se conectar e estabelecer sessões. O endereço IP de Um ou Mais Servidores Cisco ICM NT sobreposto pode ser um endereço público atribuído a uma outra empresa, um endereço privado atribuído a uma outra empresa, ou pode vir da escala dos endereços privados como definido no RFC 1918leavingcisco.com .

Os endereços IP privados são não-roteável e exigem traduções NAT permitir conexões ao mundo exterior. A solução envolve interceptar respostas da consulta de nome do Domain Name System (DNS) da parte externa ao interior, estabelecendo uma tradução para o endereço exterior, e fixando acima a resposta de DNS antes de enviá-la ao host interno. Um servidor DNS é exigido para ser envolvido em ambos os lados do dispositivo NAT para resolver os usuários que querem ter a conexão entre ambas as redes.

O NAT pode inspecionar e executar a tradução de endereços nos índices de registros DNS A e PTR, segundo as indicações de usar o NAT nas redes sobreposta.

Q. Que são traduções NAT estáticas?

A. As traduções NAT estáticas têm o mapeamento um a um entre endereços locais e globais. Os usuários podem igualmente configurar traduções de endereço estático ao nível da porta, e usam o restante do endereço IP de Um ou Mais Servidores Cisco ICM NT para outras traduções. Isto ocorre tipicamente onde você está executando a tradução de endereço de porta (PAT).

O exemplo seguinte mostra como configurar o routemap para permitir a tradução de externo para interno para o NAT estático:

ip nat inside source static 1.1.1.1 2.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 30.1.10.128 0.0.0.127'
route-map R1 permit 10
match ip address ACL-A

Q. O que é significado pela sobrecarga NAT do termo; é esta PANCADINHA?

A. Sim. A sobrecarga NAT é a PANCADINHA, que envolve usar um pool com uma escala de uns ou vários endereços ou usar um endereço IP de Um ou Mais Servidores Cisco ICM NT da relação em combinação com a porta. Quando você sobrecarga, você criar uma tradução totalmente estendida. Esta é uma entrada de tabela de tradução que contém o endereço IP de Um ou Mais Servidores Cisco ICM NT e a fonte/informação de porta do destino, que é chamada geralmente PANCADINHA ou sobrecarregamento.

A PANCADINHA (ou sobrecarregamento) são uma característica do Cisco IOS NAT que seja usada para traduzir endereços privados internos (do Inside Local) a uns ou vários endereços IP de Um ou Mais Servidores Cisco ICM NT da parte externa (interior global, registrado geralmente). Os números exclusivos de porta de origem em cada tradução são usados para diferenciar entre as conversações.

Q. Que são conversões NAT dinâmica?

A. Nas conversões NAT dinâmica, os usuários podem estabelecer o mapeamento dinâmico entre endereços locais e globais. O mapeamento dinâmico é realizado definindo os endereços locais a ser traduzidos e o endereço IP de Um ou Mais Servidores Cisco ICM NT do conjunto de endereço ou da relação de que para atribuir endereços globais e associação dos dois.

Q. Que é ALG?

A. ALG é uma gateway de camada de aplicativo (ALG). O NAT executa o serviço de tradução em todo o tráfego do protocolo Protocolo de control de transmisión (TCP)/protocolo de datagrama de usuário (TCP/UDP) que não levar a fonte e/ou os endereços IP de destino no córrego de dados do aplicativo.

Estes protocolos incluem o FTP, HTTP, MAGRO, H232, DNS, RAS, SORVO, TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh, RCP. Os protocolos específicos que encaixam a informação do endereço IP de Um ou Mais Servidores Cisco ICM NT dentro do payload exigem o apoio de um gateway do nível do aplicativo (ALG).

Refira a utilização de gateways nivelados do aplicativo com o NAT para mais informação.

Q. É possível criar uma configuração com traduções NAT estáticas e dinâmicas?

A. Sim. Contudo, o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT não pode ser usado para a configuração estática NAT ou no pool para a configuração dinâmica NAT. Todos os endereços IP públicos precisam de ser originais. Note que os endereços globais usados nas traduções estáticas não estão excluídos automaticamente com os conjuntos dinâmicos que contêm aqueles mesmos endereços globais. Os conjuntos dinâmicos devem ser criados para excluir os endereços atribuídos por entradas estáticas. Para mais informação, refira configurar o NAT estático e dinâmico simultaneamente.

Q. Quando um traceroute é feito através de um roteador NAT, deve o traceroute mostrar o endereço NAT-global ou deve ele escapar o endereço NAT-local?

A. Traceroute da parte externa deve sempre retornar o endereço global.

Q. Como a PANCADINHA atribui a porta?

A. O NAT introduz características adicionais da porta: gama completa e mapa de porta.

  • A gama completa permite que o NAT use todas as portas apesar de sua escala da porta padrão.

  • O mapa de porta permite que o NAT reserve um usuário define o intervalo de porta para o aplicativo específico.

Refira escalas definidas pelo utilizador da porta de origem para a PANCADINHA para mais informação.

Em 12.4(20)T2 avante, o NAT introduz o randomization da porta para L3/L4 e simétrico-porta.

  • O randomization da porta permite que o NAT selecione aleatoriamente toda a porta global para o pedido da porta de origem.

  • a Simétrico-porta permite que o NAT apoie o independente do valor-limite.

Refira a anatomia: Tradutores de um endereço de rede interna do olhar para mais informação.

Q. Que é a diferença entre a fragmentação de IP e a segmentação TCP?

A. A fragmentação de IP ocorre na camada 3 (IP); A segmentação TCP ocorre na camada 4 (TCP). A fragmentação de IP ocorre quando os pacotes que são maiores do que a unidade de transmissão máxima (MTU) de uma relação são enviados fora desta relação. Estes pacotes terão que ser fragmentados ou rejeitado quando são mandados a relação. Se mordeu don't fragment (DF) não é ajustado no cabeçalho IP do pacote, o pacote será fragmentado. Se o bit DF é ajustado no cabeçalho IP do pacote, o pacote está deixado cair e um mensagem de erro ICMP que indica o vlaue do salto seguinte MTU será retornado ao remetente. Todos os fragmentos de um pacote IP levam a mesma identificação no cabeçalho IP, que permite que o receptor final remonte os fragmentos no pacote IP original. Refira a fragmentação de IP da resolução, as edições MTU, MSS, e PMTUD com GRE e IPsec para mais informação.

A segmentação TCP ocorre quando um aplicativo em uma estação final está enviando dados. Os dados do aplicativo quebram-se no que o TCP considera os pedaços melhor-feitos sob medida enviar. Esta unidade de dados passados do TCP ao IP é chamada um segmento. Os segmentos TCP são enviados em datagramas IP. Estas datagramas IP podem então transformar-se fragmentos IP como passam através dos links do MTU inferior da rede e do encontro do que elas podem caber completamente.

O TCP primeiramente segmentará estes dados nos segmentos TCP (baseados no valor TCP MSS) e adicionará o cabeçalho de TCP e passará este segmento TCP ao IP. Então o IP adicionará um cabeçalho IP para enviar o pacote ao host de extremidade remota. Se o pacote IP com o segmento TCP é maior do que o IP MTU em uma interface enviada no trajeto entre o IP dos anfitriões TCP então fragmentará o pacote IP/TCP a fim caber. Estes fragmentos do pacote IP serão remontados no host remoto pela camada IP e o segmento completo TCP (de que foi enviado originalmente) será entregado à camada TCP. A camada TCP não tem nenhuma ideia que o IP tinha fragmentado o pacote durante o trânsito.

O NAT apoia fragmentos IP, mas não apoia segmentos TCP.

Q. O NAT apoia fora de serviço para a fragmentação de IP e a segmentação TCP?

A. O NAT apoia somente fragmentos foras de serviço IP devido à virtual-remontagem IP.

Q. Como debugar a fragmentação de IP e a segmentação TCP?

A. O NAT usa o mesmos debuga o CLI para a fragmentação de IP e a segmentação TCP: debugar o frag nat IP.

Q. Há um NAT apoiado MIB?

A. Não. Lá em nenhum NAT apoiado MIB, incluindo CISCO-IETF-NAT-MIB.

Q. Que são TCP timeout, e como ele se relacionam ao temporizador de TCP NAT?

A. Se o cumprimento de três vias não é terminado e o NAT vê um pacote de TCP, a seguir o NAT começará um 60-segundo temporizador. Quando o cumprimento de três vias é terminado, o NAT usa um temporizador de 24 horas para uma entrada NAT à revelia. Se um host final envia uma RESTAURAÇÃO, o NAT muda o temporizador padrão de 24 horas a 60 segundos. No caso do FIN, o NAT muda o temporizador padrão de 24 horas a 60 segundos em que recebe o FIN e o FIN-ACK.

Q. Posso eu mudar a quantidade de tempo que toma para que um tranlation NAT cronometre para fora da tabela do tranlation NAT?

A. Sim. Você pode mudar os valores de timeout NAT para todas as entradas ou para tipos diferentes de tranlations NAT (tais como o UDP-intervalo, o dns-intervalo, o TCP-intervalo, o finrst-intervalo, o ICMP-intervalo, o PPTP-intervalo, o SYN-intervalo, o porta-intervalo e o ARP-sibilo-intervalo).

Q. Como eu paro o Lightweight Directory Access Protocol (LDAP) de anexar bytes extra a cada pacote de resposta LDAP?

A. As configurações ldap adicionam os bytes extra (a busca LDAP resulta) ao processar mensagens do tipo Busca-RES-entrada. O LDAP anexa os bytes 10 de resultados da busca a cada um do pacote de resposta LDAP. Caso os bytes de dados este 10 extra conduzirem ao pacote que excede a unidade de transmissão máxima (MTU) em uma rede, o pacote está deixado cair. Neste caso, Cisco recomenda que você desliga este comportamento LDAP usando o comando do serviço adicionar-LDAP-busca-RES do no ip nat CLI para que os pacotes estejam enviados e recebems.

Q. Que é a recomendação da rota para o interior global/endereço IP local da parte externa na caixa NAT?

A. Uma rota tem que ser especificada na caixa configurada NAT para o endereço IP global interno para características tais como NAT-NVI. Similarmente, uma rota deve igualmente ser especificada na caixa NAT para o endereço IP local exterior. Neste caso, todo o pacote do para fora ao sentido que usa a regra estática da parte externa exigirá este tipo da rota. Em tais encenações, ao fornecer a rota para IG/OL, o endereço IP de Um ou Mais Servidores Cisco ICM NT do salto seguinte deve igualmente ser configurado. Se a configuração do salto seguinte falta, esta está considerada um erro de configuração e conduzirá a comportamento indeterminado.

NVI-NAT esta presente no trajeto dos recursos de emissor somente. Se você tem diretamente a sub-rede conectada com NAT-NVI ou a regra exterior da tradução NAT configurada na caixa, a seguir naquelas encenações, você precisa de fornecer um endereço IP de Um ou Mais Servidores Cisco ICM NT do salto seguinte do manequim e igualmente um ARP associado para o salto seguinte. Isto é precisado para que a infraestrutura subjacente entregue o pacote ao NAT para a tradução.

Q. O Cisco IOS NAT apoia ACL com uma palavra-chave do “log”?

A. Quando você configura o Cisco IOS NAT para a conversão NAT dinâmica, um ACL está usado para identificar os pacotes que podem ser traduzidos. A arquitetura de NAT atual não apoia ACL com uma palavra-chave do “log”.

Voz-NAT

Q. O NAT apoia o protocolo skinny client control (SCCP) v17 que é enviado com o gerente das comunicações unificadas de Cisco (CUCM) V7?

A. CUCM 7 e todas as cargas do telefone do padrão para CUCM 7 apoiam SCCPv17. A versão SCCP usada está determinada pela versão comum a mais alta entre CUCM e o telefone quando o telefone se registra.

O NAT não apoia ainda SCCP v17. Até que o apoio NAT para SCCP v17 esteja executado, o firmware deve ser degradado à versão 8-3-5 ou anterior de modo que o SCCP v16 seja negociado. CUCM6 não encontrará o problema NAT com nenhuma carga do telefone enquanto usa SCCP v16. O Cisco IOS não apoia atualmente a versão 17 SCCP.

Q. Que versões da carga CUCM /SCCP/firmware são apoiadas pelo NAT?

A. O NAT apoia liberações da versão 6.x e anterior CUCM. Estas versões CUCM são liberadas com a carga de firmware do telefone do padrão 8.3.x (ou mais cedo) que apoiam SCCP v15 (ou mais cedo).

O NAT não apoia liberações das versões 7.x ou mais recente CUCM. A versão estes CUCM é liberada com a carga de firmware do telefone do padrão 8.4.x que apoia SCCP v17 (ou mais tarde).

Se CUCM é usado 7.x ou mais tarde, uma carga de firmware mais velha deve ser instalada no servidor TFTP CUCM de modo que os telefones usem uma carga de firmware com SCCP v15 ou mais cedo a fim ser apoiada pelo NAT.

O link abaixo confirma que a carga de firmware 8.3.x contém SCCP v15 ou mais cedo e trabalhará com NAT e que a carga de firmware 8.4.x contém SCCP v17 e não trabalhará com NAT.

http://third-gen-phones.gforge.cisco.com/twiki/prod/bin/view/Thirdgenphones/CCMLoadNumberAndCodeNameDecoderRing

Q. Que é realce da atribuição da porta da PANCADINHA do provedor de serviços para o RTP e o RTCP?

A. O realce da atribuição da porta da PANCADINHA do provedor de serviços para a característica RTP e RTCP assegura aquele para o SORVO, o H.323, e chamadas de voz magros. Os números de porta usados para córregos RTP são números de porta uniformes, e os córregos RTCP são o número de porta impar subsequente seguinte. O número de porta é traduzido a um número dentro da conformação especificada escala ao RFC-1889. Um atendimento com um número de porta dentro da escala conduzirá a uma tradução da PANCADINHA a um outro número de porta dentro desta escala. Igualmente, uma tradução da PANCADINHA para um número de porta fora desta escala não conduzirá a uma tradução a um número dentro da escala dada.

Refira o realce da atribuição da porta da PANCADINHA do provedor de serviços para o RTP e o RTCP para mais informação.

Q. Que é Session Initiation Protocol (SIP) e pode SORVER pacotes seja NATted?

A. O Session Initiation Protocol (SIP) é um protocolo de controle ASCII-baseado, da camada de aplicativo que possa ser usado para estabelecer, manter, e terminar atendimentos entre dois ou mais valores-limite. O SORVO é um protocolo alternativo desenvolvido pelo Internet Engineering Task Force (IETF) para Conferências dos multimédios sobre o IP. A aplicação do SIP Cisco permite plataformas Cisco apoiadas de sinalizar a instalação da Voz e os multimédios chamam sobre redes IP.

Os pacotes do SORVO podem ser NATted.

Q. Que é apoio hospedado NAT Traversal para o controlador de limite de sessões (SBC)?

A. O NAT hospedado Cisco IOS Traversal para a característica SBC permite um roteador do gateway do nível de aplicativo do SORVO do Cisco IOS NAT (ALG) de atuar como um SBC em um gateway IP-à-IP multisserviço de Cisco, que ajude a assegurar a entrega lisa da Voz sobre serviços IP (VoIP).

Refira configurar NAT hospedado Cisco IOS Traversal para o controlador de limite de sessões e NAT hospedado SP Traversal para atendimentos do SORVO usando o controlador de limite de sessões do Cisco IOS para mais informação.

Q. Quanto SORVEM, magro, e atendimentos de H323 podem uma memória do Roteadores e um CPU segurar com NAT?

A. O número de atendimentos segurados por um roteador NAT é contingente na quantidade de memória disponível na caixa e na potência de processamento do CPU.

Q. Um roteador NAT apoia a segmentação TCP de pacotes magros e de H323?

A. Segmentação do apoio TCP IOS-NAT para H323 no Mainline 12.4 e apoio da segmentação TCP para MAGRO de 12.4(6)T avante.

Q. Há alguma advertência a olhar para fora para ao usar uma configuração da sobrecarga NAT em um desenvolvimento da Voz?

A. Sim. Quando você tem configurações da sobrecarga NAT e um desenvolvimento da Voz, você precisa o mensagem de registro de atravessar o NAT e de criar uma associação para que o out->in alcance este dispositivo interno. O dispositivo interno envia este registro em uma forma periódica e o NAT atualiza estes furo de pino/associação da informação como na mensagem de sinalização.

Q. Há algum problema conhecido causado emitindo o transporte nat claro IP * comande ou o comando forçado transporte nat claro IP em um desenvolvimento da Voz?

A. Em disposições da Voz quando você isssue um transporte nat claro IP * comande ou um comando forçado transporte nat claro IP e tenha o NAT dinâmico, você limpará para fora o furo de pino/associação e deve esperar o ciclo seguinte do registro do dispositivo interno a re-estabilish isto. Cisco recomenda que você não usa estes comandos clear em um desenvolvimento da Voz.

Q. O apoio NAT exprime a solução co-localizado?

A. Não. A solução co-localizado não é apoiada atualmente. O seguinte desenvolvimento com NAT (na mesma caixa) é considerado uma solução co-localizado: CME/DSP-Farm/SCCP/H323.

Q. NVI apoia ALG magro, H323 ALG, e SORVO ALG TCP?

A. Não. Note que o SORVO ALG UDP (usado pela maioria de disposições) não está impactado.

NAT com VRF/MPLS

Q. Um roteador NAT apoiará nunca NATting o mesmo espaço de endereços em um VRF que está sendo NATted em um espaço de endereço global? Atualmente, eu recebo este aviso: “% da entrada estática similar (1.1.1.1 ---> 22.2.2.2) já existe” quando eu tento configurar o seguinte:
72UUT(config)#ip nat inside
	 source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static
	 1.1.1.1 22.2.2.2 vrf RED 

A. Apoios do legado NAT que overloapping a configuração do endereço sobre VRF diferentes. Você teria que configurar a sobreposição na regra com a opção fósforo-em-VRF e estabelecer o interior nat IP/fora no mesmo VRF para o tráfego sobre esse VRF específico. O apoio de sobreposição não inclui a tabela de roteamento global.

Você deve adicionar a palavra-chave fósforo-em-VRF para as entradas NAT estáticas de sobreposição VRF para VRF diferentes. Contudo, não é possível sobrepor endereços globais e do vrf NAT.

72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf

Q. O legado NAT apoia VRF-Lite (NATting de um VRF a um VRF diferente)?

A. Não. Você deve usar NVI para NATting entre VRF diferentes. Você pode usar o legado NAT para fazer o NAT do VRF a global ou o NAT dentro do mesmo VRF.

NAT NVI

Q. Que é NAT NVI?

A. NVI representa a interface virtual NAT. Permite que o NAT traduza entre dois VRF diferentes. Esta solução deve ser usada no lugar da tradução de endereço de rede em um stick.

Q. Dever o NAT NVI ser usado quando NATting entre uma relação em global e uma relação em um VRF?

A. Cisco recomenda que você usa o legado NAT para o VRF a NAT global (interior nat IP/para fora) e entre relações no mesmo VRF. NVI é usado para o NAT entre VRF diferentes.

Q. A segmentação TCP para NAT-NVI é apoiada?

A. Não há nenhum apoio para a segmentação TCP para NAT-NVI.

Q. NVI apoia ALG magro, H323 ALG, e SORVO ALG TCP?

A. Não. Note que o SORVO ALG UDP (usado pela maioria de disposições) não está impactado.

Q. Faz a segmentação TCP apoiada com SNAT?

A. O SNAT não apoia nenhum TCP ALGs (como, SORVO, MAGRO, H323, ou DNS). Consequentemente, a segmentação TCP não é apoiada. Contudo, o SORVO UDP e o DNS são apoiados.

SNAT

Q. Que é o stateful NAT (SNAT)?

A. O SNAT permite que dois ou mais tradutores de endereço de rede funcionem como um grupo da tradução. Um membro do grupo da tradução segura o tráfego que exige a tradução de informação do endereço IP de Um ou Mais Servidores Cisco ICM NT. Adicionalmente, informa o tradutor alternativo dos fluxos ativo enquanto ocorrem. O tradutor alternativo pode então usar a informação do tradutor ativo para preparar entradas de tabela de tradução duplicadas. Consequentemente, se o tradutor ativo é impedido por uma falha crítica, o tráfego pode rapidamente ser comutado ao backup. O fluxo de tráfego continua desde que as mesmas traduções de endereço de rede são usadas e o estado daquelas traduções tem sido definido previamente. Refira a elasticidade do IP aprimorado usando o stateful NAT de Cisco para mais informação.

Q. A segmentação TCP é apoiada com SNAT?

A. O SNAT não apoia nenhum TCP ALGs (como, SORVO, MAGRO, H323, ou DNS). Consequentemente, a segmentação TCP não é apoiada. Contudo, o SORVO UDP e o DNS são apoiados.

Q. É o apoio SNAT para o roteamento asymetric?

A. Suportes de roteamento NAT de Asymetric permitindo como o Enfileiramento. À revelia, como-enfileirar-se é permite. Contudo, de 12.4(24)T avante, o como-Enfileiramento é apoiado já não. Os clientes devem certificar-se que os pacotes estão distribuídos corretamente e o atraso apropriado está adicionado para que o roteamento assimétrico trabalhe corretamente.

NAT-PT (v6 a v4)

Q. Que é NAT-PT?

A. O NAT-PT é v4 à tradução v6 para o NAT. A Conversão de protocolo (NAT-PT) é um mecanismo da tradução IPv6-IPv4, como definido no RFC 2765leavingcisco.com e no RFC 2766leavingcisco.com , permitindo que os dispositivos IPv6-only comuniquem-se com os dispositivos IPv4-only e vice-versa. Refira a aplicação do NAT-PT para o IPv6 para obter mais informações sobre desta característica

Q. O NAT-PT é apoiado no trajeto do Cisco Express Forwarding (CEF)?

A. O NAT-PT não é apoiado no trajeto CEF.

Q. Que ALGs é apoiado no NAT-PT?

A. Apoios TFTP/FTP e DNS do NAT-PT. Não há nenhum apoio para a Voz e o SNAT no NAT-PT.

Q. O ASR 1004 apoia o NAT-PT?

A. O Roteadores dos serviços da agregação (ASR) usa NAT64. Para obter mais informações sobre de configurar NAT64, refira configurar uma rede do roteamento para NAT64 apátrida.

Dependente da plataforma Cisco 7300/7600/6k

Q. Está o stateful NAT (SNAT) disponível no Catalyst 6500 no trem SX?

A. O SNAT não está disponível no Catalyst 6500 no trem SX.

Q. O NAT VRF-ciente é apoiado no hardware no 6k?

A. o NAT VRF-ciente não é apoiado no hardware nesta plataforma.

Q. Os 7600 e Cat6000 apoiam o NAT VRF-ciente?

A. Na plataforma 65xx/76xx, o NAT VRF-ciente não é apoiado, e os CLI são obstruídos.

Nota: Você pode executar um projeto leveraging um FWSM que seja executado no modo transparente virtual do contexto.

Dependente da plataforma Cisco 850

Q. Cisco 850 apoia NAT magro ALG na liberação 12.4T?

A. Não. Não há nenhum apoio para NAT magro ALG em 12.4T no 850 Series.

Desenvolvimento NAT

Q. Como eu executo o NAT?

A. O NAT permite inter-redes do IP privado endereços IP de Um ou Mais Servidores Cisco ICM NT nonregistered desse uso de conectar ao Internet. O NAT traduz o endereço privado (do RFC1918) na rede interna em endereços roteável legais antes que os pacotes estejam enviados em uma outra rede.

Para obter mais informações sobre de executar o NAT, refira configurar o NAT para a conservação de endereço IP.

Q. Como eu executo o NAT com Voz?

A. O apoio NAT para os recursos da voz permite as mensagens encaixadas SORVO que passam através de um roteador configurado com Network Address Translation (NAT) a ser traduzidos de volta ao pacote. Uma gateway de camada de aplicativo (ALG) é usada com NAT para traduzir os pacotes de voz.

Para obter mais informações sobre de executar o NAT com Voz, refira o apoio NAT para ALGs.

Q. Como faz a integração NAT I com MPLS VPNs?

A. A integração NAT com característica do MPLS VPNs permite que o MPLS VPNs múltiplo seja configurado em um dispositivo único para trabalhar junto. O NAT pode diferenciar-se de que MPLS VPN recebe o tráfego IP mesmo se todo o MPLS VPNS usa o mesmo esquema de endereçamento de IP. Este realce permite clientes múltiplos do MPLS VPN de compartilhar de serviços ao se assegurar de que cada MPLS VPN seja separe completamente do outro.

Q. O mapeamento estático NAT apoia o HSRP para a Alta disponibilidade?

A. Quando uma pergunta do Address Resolution Protocol (ARP) é provocada para um endereço que esteja configurado com mapeamento estático do Network Address Translation (NAT) e possuído pelo roteador, o NAT responde com o MAC address BIA na relação a que o ARP está apontando. Dois Roteadores atuam como o active e o apoio HSRP. Suas interfaces internas NAT devem ser permitidas e configurado de pertencer a um grupo.

Q. Como faz o implemet NAT NVI I?

A. A característica da interface virtual NAT (NVI) remove a exigência configurar fora uma relação como o NAT interno ou o NAT. Para obter mais informações sobre de NAT NVI, refira configurar a interface virtual NAT.

Q. Como eu executo o Balanceamento de carga com NAT?

A. Há dois tipos do Balanceamento de carga que podem ser feitos com NAT: você pode carregar o equilíbrio de entrada a um grupo de server para distribuir a carga nos server, e você pode carregar o equilíbrio seu tráfego de usuário ao Internet sobre dois ou mais ISP.

Para obter mais informações sobre do Balanceamento de carga de entrada, refira a evitação da sobrecarga do server usando o Balanceamento de carga TCP.

Para obter mais informações sobre da carga externa que equilibra, refira a função de balanceamento de carga IO NAT para duas conexões ISP.

Q. Como eu executo o NAT no conjucntion com IPsec?

A. Há um apoio para o Encapsulating Security Payload (ESP) da Segurança IP (IPsec) através do NAT e da transparência de NAT de IPSec.

O IPsec ESP através dos recursos NAT fornece a capacidade para apoiar túneis ou conexões simultâneas múltiplas do IPsec ESP através de um dispositivo do Cisco IOS NAT configurado na sobrecarga ou no modo da tradução de endereço de porta (PAT).

A característica da transparência de NAT de IPSec introduz o apoio para que o tráfego de IPSec viaje através dos pontos NAT ou de PANCADINHA na rede endereçando muitas incompatibilidades conhecidas entre o NAT e o IPsec.

Q. Como eu executo o NAT-PT?

A. O NAT-PT (tradução do protocolo de tradução de endereços de rede) é um mecanismo da tradução IPv6-IPv4, como definido no RFC 2765leavingcisco.com e no RFC 2766leavingcisco.com , que permita que os dispositivos IPv6-only se comuniquem com os dispositivos IPv4-only e vice-versa.

Para obter mais informações sobre de executar e de configurar o NAT-PT, refira a aplicação do NAT-PT para o IPv6.

Q. Como eu executo o Multicast NAT?

A. É possível ao NAT o IP da fonte para um fluxo de transmissão múltipla. Um mapa de rotas não pode ser usado ao fazer o NAT dinâmico para o Multicast, simplesmente uma lista de acessos é apoiada para esta.

Para mais informação, refira como faz o trabalho do Multicast NAT em roteadores Cisco. O grupo da transmissão múltipla de destino é NATted usando uma solução da reflexão do serviço de transmissão múltipla.

Q. Como eu executo o stateful NAT (SNAT)?

A. O SNAT permite o serviço contínuo para sessões NAT dinamicamente traçadas. As sessões que são definidas estaticamente recebem o benefício da Redundância sem a necessidade para o SNAT. Na ausência do SNAT, as sessões que se usam mapeamentos dinâmicos NAT seriam separadas no caso de uma falha crítica e teriam que ser restabelecidas. Somente a configuração mínima SNAT é apoiada. As disposições futuras devem ser executadas somente depois que falando a seu Equipe de Conta da Cisco a fim validar as restrições atual relativas a do projeto.

O SNAT é recomendado para as seguintes encenações:

  • Modo HSRP como descrito no White Paper SNAT: Elasticidade do IP aprimorado usando o stateful NAT de Cisco.

  • Preliminar/backup não é um modo recomendado desde que há uma falta de algumas características comparada ao HSRP.

  • Para encenações do failover e para a instalação 2-router. Isto é, se os ruídos bondes de roteador um, o outro roteador tomam sobre continuamente. (A arquitetura SNAT não é projetada segurar Relação-aletas.)

  • a encenação NON-assimétrica do roteamento é apoiada. O roteamento assimétrico pode ser segurado somente se a latência no pacote de resposta é mais alta do que aquela entre 2 Roteadores SNAT para trocar as mensagens SNAT.

A arquitetura SNAT não é projetada atualmente segurar o vigor; consequentemente, estes testes não são esperados suceder:

  • Cancelando entradas NAT quando houver um tráfego.

  • Mudando parâmetros da relação (como a mudança do endereço IP de Um ou Mais Servidores Cisco ICM NT, o encerramento/não-encerramento, etc.) quando houver um tráfego.

  • Claros específicos ou os comandos show SNAT não são esperados executar corretamente e não recomendado.

    Algum do SNAT relacionou-se claramente e os comandos show são como segue:

    clear ip snat sessions *
    clear ip snat sessions <ip address of the peer>
    clear ip snat translation distributed *
    clear ip snat translation peer < IP address of SNAT peer>
    sh ip snat distributed verbose
    sh ip snat peer < IP address of peer>
    
  • Se o usuário quer cancelar entradas, o transporte nat forçado ou claro transporte nat claro IP IP * comandos pode ser usado.

    Se o usuário quer ver entradas, para mostrar a IP a tradução nat, para mostrar a IP traduções nat os comandos nat verbosos, e da mostra IP stats podem ser usados. Se o serviço interno é configurado, mostrará a SNAT a informação específica também.

  • Cancelar traduções NAT no roteador alternativo não é recomendado. Sempre claro as entradas NAT no roteador preliminar SNAT.

  • O SNAT não é HA; consequentemente, as configurações em ambo o Roteadores devem ser as mesmas. Ambo o Roteadores deve ter o mesmo corredor da imagem. Igualmente certifique-se de que a plataforma subjacente usada para ambo o Roteadores SNAT é a mesma.

Melhores prática NAT

Q. Há algum melhor prática NAT?

A. Sim. Estes são os melhores prática NAT:

  1. Quando a utilização dinâmica e o NAT estático, o ACL que ajusta a regra para o NAT dinâmico devem excluir os host locais estáticos assim não há nenhuma sobreposição.

  2. Ter cuidado com usando o ACL para o NAT com a licença IP alguma como você pode obter resultados imprevisíveis. Depois que 12.4(20)T NAT traduzirá o HSRP localmente gerado e os pacotes de protocolo de roteamento se é mandado a interface externa, assim como localmente os pacotes criptografado que combinam a regra NAT.

  3. Quando você tem redes sobreposta para o NAT, use a palavra-chave fósforo-em-VRF.

    Você deve adicionar a palavra-chave fósforo-em-VRF para as entradas NAT estáticas de sobreposição VRF para VRF diferentes, mas não é possível sobrepor endereços globais e do vrf NAT.

    Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
    
    Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
    
  4. Os conjuntos NAT com a mesma escala de endereço não podem ser usados em VRF diferentes a menos que a palavra-chave fósforo-em-VRF for usada.

    Por exemplo:

      ip nat pool poolA 171.1.1.1 171.1.1.10 prefix-length 24
      ip nat pool poolB 171.1.1.1 171.1.1.10 prefix-length 24
      ip nat inside source list 1 poolA vrf A match-in-vrf
      ip nat inside source list 2 poolB vrf B match-in-vrf 
    

    Nota: Wven embora a configuração de CLI é válida, sem a palavra-chave fósforo-em-VRF a configuração não é apoiado.

  5. Ao distribuir o Balanceamento de carga ISP com a sobrecarga da relação NAT, o melhor prática é usar o mapa de rotas com fósforo da relação sobre a harmonização ACL.

  6. Ao usar o pool que traça, você não deve usar o mapeamento dois diferente (ACL ou mapa de rotas) para compartilhar do mesmo endereço do conjunto NAT.

  7. Ao distribuir o mesmo NAT ordena em dois Roteadores diferentes no cenário de failover, você deve usar a Redundância HSRP.

  8. Não defina o mesmo endereço global interno no NAT estático e em um conjunto dinâmico. Esta ação pode conduzir aos resultados indesejados.


Informações Relacionadas


Document ID: 26704