In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beantwortet häufig gestellte Fragen zur Network Address Translation (NAT).
A: Network Address Translation (NAT) wurde für die Erhaltung von IP-Adressen entwickelt. Es ermöglicht privaten IP-Netzwerken, die nicht registrierte IP-Adressen verwenden, eine Verbindung zum Internet herzustellen. NAT arbeitet auf einem Router, verbindet in der Regel zwei Netzwerke miteinander und übersetzt die privaten (nicht global eindeutigen) Adressen im internen Netzwerk in legale Adressen, bevor Pakete an ein anderes Netzwerk weitergeleitet werden.
Als Teil dieser Funktion kann NAT so konfiguriert werden, dass nur eine Adresse für das gesamte Netzwerk nach außen bekannt gegeben wird. Dies bietet zusätzliche Sicherheit, da das gesamte interne Netzwerk hinter dieser Adresse versteckt wird. NAT bietet die beiden Funktionen Sicherheit und Adresserhaltung und wird normalerweise in Remote Access-Umgebungen implementiert.
A. Grundsätzlich ermöglicht NAT, dass ein einzelnes Gerät, z. B. ein Router, als Agent zwischen dem Internet (oder einem öffentlichen Netzwerk) und einem lokalen Netzwerk (oder einem privaten Netzwerk) agiert. Dies bedeutet, dass nur eine einzige eindeutige IP-Adresse für eine ganze Gruppe von Computern mit Objekten außerhalb ihres Netzwerks erforderlich ist.
Antwort:Für die Konfiguration einer traditionellen NAT müssen Sie mindestens eine Schnittstelle auf einem Router (NAT-extern) und eine weitere Schnittstelle auf dem Router (NAT-intern) erstellen. Ferner müssen eine Reihe von Regeln für die Übersetzung der IP-Adressen in den Paket-Headern (und ggf. Payloads) konfiguriert werden. Für die Konfiguration der NAT Virtual Interface (NVI) benötigen Sie mindestens eine Schnittstelle, die mit aktivierter NAT und den gleichen Regeln wie oben beschrieben konfiguriert ist.
Weitere Informationen finden Sie im Konfigurationshandbuch zu IP-Adressierungsservices von Cisco IOS oder unter Konfigurieren der NAT Virtual Interface.
A.Die auf Cisco IOS-Software basierende NAT unterscheidet sich nicht grundlegend von der NAT-Funktion in der Cisco PIX Security Appliance. Die Hauptunterschiede sind die unterschiedlichen Datenverkehrsarten, die in den Implementierungen unterstützt werden. Unter NAT-Konfigurationsbeispiele finden Sie weitere Informationen zur Konfiguration von NAT auf Cisco PIX-Geräten (einschließlich der unterstützten Datenverkehrsarten).
A.Mit dem Cisco Feature Navigator können Kunden eine Funktion (NAT) identifizieren und herausfinden, auf welcher Version und Hardwareversion diese Cisco IOS-Softwarefunktion verfügbar ist. Informationen zur Verwendung dieses Tools finden Sie im Cisco Feature Navigator.
Hinweis: Nur registrierte Cisco BenutzerInnen können auf interne Cisco Tools und Informationen zugreifen.
A.Die Reihenfolge, in der die Transaktionen mit NAT verarbeitet werden, basiert darauf, ob ein Paket vom internen Netzwerk zum externen Netzwerk oder vom externen Netzwerk zum internen Netzwerk weitergeleitet wird. Die Übersetzung von innen nach außen erfolgt nach dem Routing, die Übersetzung von außen nach innen vor dem Routing. Weitere Informationen finden Sie unter NAT-Reihenfolge der Vorgänge.
A: Ja. Die Funktion „NAT – Static IP Support“ (NAT – statische IP-Unterstützung) unterstützt Benutzer mit statischen IP-Adressen und ermöglicht diesen Benutzer, eine IP-Sitzung in einer öffentlichen WLAN-Umgebung einzurichten.
A: Ja. Mithilfe von NAT können Sie einen virtuellen Host im internen Netzwerk einrichten, der die Lastverteilung auf echte Hosts koordiniert.
A: Ja. Die Funktion zur NAT-Übersetzung zur Ratenbegrenzung bietet die Möglichkeit, die maximale Anzahl gleichzeitiger NAT-Operationen auf einem Router zu begrenzen. Mit der Funktion zur NAT-Übersetzung zur Ratenbegrenzung erhalten Benutzer nicht nur mehr Kontrolle darüber, wie NAT-Adressen verwendet werden, sondern sie können auch die Auswirkungen von Viren, Würmern und Denial-of-Service-Angriffen begrenzen.
A: Das Routing für von NAT erstellte IP-Adressen wird erlernt, wenn:
der interne globale Adressen-Pool aus dem Subnetz eines Next-Hop-Routers abgeleitet wird,
der Eintrag für statische Routen im Next-Hop-Router konfiguriert und innerhalb des Routing-Netzwerks neu verteilt wird.
Wenn die interne globale Adresse mit der lokalen Schnittstelle übereinstimmt, installiert NAT einen IP-Alias und einen ARP-Eintrag. In diesem Fall kann der Router einen Proxy-ARP für diese Adressen durchführen. Wenn dieses Verhalten nicht erwünscht ist, verwenden Sie das Schlüsselwort no-alias.
Wenn ein NAT-Pool konfiguriert ist, kann die Option add-route für die automatische Routeninjektion verwendet werden.
A: Das NAT-Sitzungslimit ist durch die Menge des verfügbaren DRAM im Router begrenzt. Jede NAT-Übersetzung verbraucht ca. 312 Byte im DRAM. Infolgedessen verbrauchen 10.000 Übersetzungen (mehr als normalerweise auf einem einzelnen Router) etwa 3 MB. Daher verfügt typische Routing-Hardware über mehr als genug Speicher, um Tausende von NAT-Übersetzungen zu unterstützen.
A: Cisco IOS NAT unterstützt Cisco Express Forwarding Switching, Fast Switching und Process Switching. Ab Version 12.4T wird der Fast-Switching-Pfad nicht mehr unterstützt. Für die Cat6k-Plattform ist die Switching-Reihenfolge Netflow (HW-Switching-Pfad), CEF, Prozesspfad.
Die Leistung hängt von mehreren Faktoren ab:
der Art der Anwendung und der Art des Datenverkehrs
davon, ob IP-Adressen eingebettet sind
Austausch und Prüfung mehrerer Nachrichten
Quellport erforderlich
Anzahl der umgewandelten Pakete
anderen Anwendungen, die gerade ausgeführt werden
dem Typ der Hardware und des Prozessors
A: Ja. Quell- und/oder Ziel-NAT-Übersetzungen können auf jede Schnittstelle oder Unterschnittstellen angewendet werden, die eine IP-Adresse haben (einschließlich Dialer-Schnittstellen). NAT kann nicht mit Wireless Virtual Interface konfiguriert werden. Wireless Virtual Interface ist zum Zeitpunkt des Schreibens in den NVRAM nicht vorhanden. Daher verliert der Router nach dem Neustart die NAT-Konfiguration auf der Wireless Virtual Interface.
A: Ja. NAT stellt HSRP über eine redundante Verbindung bereit. Es unterscheidet sich jedoch von SNAT (Stateful NAT). NAT mit HSRP ist ein Stateless-System. Die aktuelle Sitzung wird nicht beibehalten, wenn ein Fehler auftritt. Während der statischen NAT-Konfiguration (wenn ein Paket keiner STATISCHEN Regelkonfiguration entspricht) wird das Paket ohne Übersetzung übertragen.
A: Ja. Für NAT spielt die Kapselung keine Rolle. NAT kann verwendet werden, wenn eine IP-Adresse an einer Schnittstelle vorhanden ist und die Schnittstelle NAT-intern oder NAT-extern ist. Es muss eine interne und eine externe Funktion geben, damit NAT funktioniert. Wenn Sie NVI verwenden, muss mindestens eine NAT-fähige Schnittstelle vorhanden sein. Nähere Informationen finden Sie unter Wie konfiguriere ich NAT?.
A: Ja. Dies kann durch die Verwendung einer Zugriffsliste erreicht werden, in der die Gruppe der Hosts oder Netzwerke beschrieben wird, die NAT benötigen.
Zugriffslisten, erweiterte Zugriffslisten und eine Routenzuordnung können verwendet werden, um Regeln zu definieren, nach denen IP-Geräte übersetzt werden. Die Netzwerkadresse und die entsprechende Subnetzmaske müssen immer angegeben werden. Das Schlüsselwort any darf nicht anstelle der Netzwerkadresse oder der Subnetzmaske verwendet werden. Bei statischer NAT wird das Paket, wenn es keiner STATISCHEN Regelkonfiguration entspricht, ohne Übersetzung gesendet.
A.PAT (Overloading) unterteilt die verfügbaren Ports pro globaler IP-Adresse in drei Bereiche: 0–511, 512–1023 und 1024–65535. PAT weist jeder UDP- oder TCP-Sitzung einen eindeutigen Quellport zu. Es versucht, den Portwert der ursprünglichen Anfrage zuzuweisen. Wenn der ursprüngliche Quellport bereits verwendet wurde, beginnt der Scan jedoch am Anfang des bestimmten Portbereichs, um den ersten verfügbaren Port zu finden, und weist ihn der Konversation zu. Es gibt eine Ausnahme für die 12.2S-Codebasis. Die 12.2S-Codebasis verwendet eine andere Portlogik, und es gibt keine Portreservierung.
A: PAT verwendet entweder eine globale IP-Adresse oder mehrere Adressen.
PAT mit einer IP-Adresse
Bedingung Beschreibung 1 NAT/PAT überprüft den Datenverkehr und ordnet ihn einer Übersetzungsregel zu. 2 Die Regel entspricht einer PAT-Konfiguration. 3 Wenn PAT über den Datenverkehrstyp Bescheid weiß und dieser Datenverkehrstyp „eine Reihe von spezifischen Ports oder Ports, die er aushandelt“, verwendet, werden diese von PAT weggelassen und nicht als eindeutige Kennungen zugewiesen. 4 Wenn eine Sitzung ohne besondere Portanforderungen versucht, eine Link herzustellen, übersetzt PAT die IP-Quelladresse und überprüft die Verfügbarkeit des ursprünglichen Quellports (z. B. 433). Hinweis: Die Bereiche für Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) lauten: 1–511, 512–1023, 1024–65535. Beim Internet Control Message Protocol (ICMP) beginnt die erste Gruppe bei 0.
5 Wenn der angeforderte Quellport verfügbar ist, weist PAT den Quellport zu, und die Sitzung wird fortgesetzt. 6 Wenn der angeforderte Quellport nicht verfügbar ist, beginnt PAT mit der Suche am Anfang der entsprechenden Gruppe (beginnend bei 1 für TCP- oder UDP-Anwendungen und bei 0 für ICMP). 7 Wenn ein Port verfügbar ist, wird er zugewiesen, und die Sitzung wird fortgesetzt. 8 Wenn keine Ports verfügbar sind, wird das Paket verworfen. PAT mit mehreren IP-Adressen
Bedingung Beschreibung 1-7 Die ersten sieben Bedingungen sind entsprechen denen für eine einzelne IP-Adresse. 8 Wenn in der relevanten Gruppe für die erste IP-Adresse keine Ports verfügbar sind, wechselt NAT zur nächsten IP-Adresse im Pool und versucht, den angeforderten ursprünglichen Quellport zuzuweisen. 9 Wenn der angeforderte Quellport verfügbar ist, weist NAT den Quellport zu und die Sitzung wird fortgesetzt. 10 Wenn der angeforderte Quellport nicht verfügbar ist, beginnt NAT mit der Suche am Anfang der entsprechenden Gruppe (beginnend bei 1 für TCP- oder UDP-Anwendungen und bei 0 für ICMP). 11 Wenn ein Port verfügbar ist, wird er zugewiesen, und die Sitzung wird fortgesetzt. 12 Wenn keine Ports verfügbar sind, wird das Paket verworfen, es sei denn, eine andere IP-Adresse ist im Pool verfügbar.
A: Bei NAT-IP-Pools handelt es sich um einen Bereich von IP-Adressen, die je nach Bedarf für die NAT-Übersetzung zugewiesen werden. Zum Definieren eines Pools wird der Konfigurationsbefehl verwendet:
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]Beispiel 1
Im nächsten Beispiel wird zwischen internen Hosts, die vom Netzwerk 192.168.1.0 oder 192.168.2.0 adressiert werden, in das global eindeutige Netzwerk 10.69.233.208/28 übersetzt:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255Beispiel 2
In diesem Beispiel soll eine virtuelle Adresse definiert werden, deren Verbindungen auf eine Reihe realer Hosts verteilt werden. Der Pool definiert die Adressen der realen Hosts. Die Zugriffsliste definiert die virtuelle Adresse. Wenn noch keine Übersetzung vorhanden ist, werden TCP-Pakete von der seriellen Schnittstelle 0 (die externe Schnittstelle), deren Ziel mit der Zugriffsliste übereinstimmt, in eine Adresse aus dem Pool übersetzt.
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
A: In der Praxis wird die maximale Anzahl konfigurierbarer IP-Pools durch die Menge an verfügbarem DRAM auf dem jeweiligen Router begrenzt. (Cisco empfiehlt, dass Sie eine Poolgröße von 255 konfigurieren.) Jeder Pool darf höchstens 16 Bit umfassen. Ab Version 12.4(11)T führt Cisco IOS CCE (Common Classification Engine) ein. Dadurch wird NAT auf maximal 255 Pools beschränkt. In der 12.2S-Codebasis gibt es keine Beschränkung der maximalen Anzahl von Pools.
A: Eine Routenzuordnung verhindert, dass unerwünschte externe Benutzer die internen Benutzer/Server erreichen. Außerdem kann eine einzelne interne IP-Adresse basierend auf der Regel verschiedenen internen globalen Adressen zugeordnet werden. Weitere Informationen finden Sie unter NAT-Unterstützung für mehrere Pools mit Routenzuordnungen.
A: IP-Adressüberschneidung bezieht sich auf eine Situation, in der zwei Standorte, die miteinander kommunizieren möchten, das gleiche IP-Adressschema verwenden. Dies ist nicht ungewöhnlich. Das Szenario tritt oft bei Fusionen oder Übernahmen von Unternehmen auf. Ohne spezielle Unterstützung können die beiden Standorte keine Verbindung herstellen und keine Sitzungen einrichten. Die überlappende IP-Adresse kann eine öffentliche Adresse sein, die einem anderen Unternehmen zugewiesen ist, eine private Adresse, die einem anderen Unternehmen zugewiesen ist, oder sie kann aus dem in RFC 1918 definierten Bereich privater Adressen stammen.
Private IP-Adressen sind nicht routbar und erfordern NAT-Übersetzungen, um Verbindungen mit der Außenwelt zu ermöglichen. Die Lösung beinhaltet das Abfangen von DNS-Namensantworten (DNS = Domain Name System) von außen nach innen, das Einrichten einer Übersetzung für die externe Adresse und das Korrigieren der DNS-Antwort, bevor sie an den internen Host weitergeleitet wird. Ein DNS-Server muss auf beiden Seiten des NAT-Geräts beteiligt sein, um Benutzer auflösen zu können, die eine Verbindung zwischen beiden Netzwerken wünschen.
NAT kann die Inhalte von DNS-A- und PTR-Einträgen prüfen und eine Adressübersetzung durchführen, wie unter Verwenden von NAT in überlappenden Netzwerken zu sehen ist.
A: Statische NAT-Übersetzungen sind eine 1:1-Zuordnung zwischen lokalen und globalen Adressen. Benutzer können auch statische Adressübersetzungen auf Portebene konfigurieren und den Rest der IP-Adresse für andere Übersetzungen verwenden. Dies ist in der Regel der Fall, wenn Sie Port Address Translation (PAT) durchführen.
Das nächste Beispiel zeigt, wie Sie routemap so konfigurieren, dass eine statische NAT-Übersetzung von außen nach innen möglich ist:
ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 10.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
A: Ja. NAT-Overloading ist PAT, bei dem ein Pool mit einer oder mehreren Adressen oder eine Schnittstellen-IP-Adresse in Kombination mit dem Port verwendet wird. Bei einer Überlastung erstellen Sie eine vollständig erweiterte Übersetzung. Dies ist ein Übersetzungstabelleneintrag mit IP-Adresse und Informationen zum Quell-/Zielport, der häufig als PAT oder Overloading bezeichnet wird.
PAT (oder Overloading) ist eine Funktion von Cisco IOS NAT, die verwendet wird, um interne (interne lokale) private Adressen in eine oder mehrere externe (interne globale, normalerweise registrierte) IP-Adressen zu übersetzen. Eindeutige Quellportnummern auf jeder Übersetzung dienen zur Unterscheidung zwischen den Konversationen.
A: Bei dynamischen NAT-Übersetzungen können die Benutzer eine dynamische Zuordnung zwischen lokalen und globalen Adressen einrichten. Die dynamische Zuordnung wird erreicht, indem die zu übersetzenden lokalen Adressen und der Pool von Adressen oder die Schnittstellen-IP-Adresse definiert werden, von denen globale Adressen zugeordnet und die beiden Adressen zugewiesen werden.
A: ALG steht für „Application Layer Gateway“. NAT führt für jeden TCP/UDP-Datenverkehr (Transmission Control Protocol/User Datagram Protocol) Übersetzungsservices durch, der keine Quell- und/oder Ziel-IP-Adressen im Anwendungsdatenstrom überträgt.
Zu diesen Protokollen gehören FTP, HTTP, SKINNY, H232, DNS, RAS, SIP, TFTP, Telnet, Archie, Finger, NTP, NFS, rlogin, rsh und rcp. Bestimmte Protokolle, die IP-Adressinformationen in die Payload einbetten, erfordern die Unterstützung eines Application Level Gateway (ALG).
Weitere Informationen finden Sie unter Verwenden von Application Level Gateways mit NAT.
A: Ja. Allerdings kann dieselbe IP-Adresse nicht für die statische NAT-Konfiguration oder im Pool für die dynamische NAT-Konfiguration verwendet werden. Alle öffentlichen IP-Adressen müssen eindeutig sein. Beachten Sie, dass die in statischen Übersetzungen verwendeten globalen Adressen bei dynamischen Pools, die die gleichen globalen Adressen enthalten, nicht automatisch ausgeschlossen werden. Dynamische Pools müssen erstellt werden, um Adressen ausschließen zu können, die durch statische Einträge zugewiesen wurden. Weitere Informationen finden Sie unter Gleichzeitiges Konfigurieren dynamischer und statischer NAT.
A: Traceroute von außen muss immer die globale Adresse zurückgeben.
A: NAT bietet zusätzliche Portfunktionen: full-range und port-map.
Full-range ermöglicht NAT, alle Ports unabhängig vom Standardportbereich zu verwenden.
Mit port-map kann NAT einen benutzerdefinierten Portbereich für eine bestimmte Anwendung reservieren.
Weitere Informationen finden Sie unter Benutzerdefinierte Quellport-Bereiche für PAT.
Ab Version 12.4(20)T2 führt NAT die Portrandomisierung für L3/L4 und symmetric-port ein.
Durch die Portrandomisierung kann NAT zufällig einen beliebigen globalen Port für die Quellportanfrage auswählen.
Symmetric-port ermöglicht NAT die endpunktunabhängige Unterstützung.
A: Die IP-Fragmentierung findet auf Layer 3 (IP) statt. Die TCP-Segmentierung erfolgt auf Layer 4 (TCP). Die IP-Fragmentierung erfolgt, wenn Pakete, die größer als die Maximum Transmission Unit (MTU) einer Schnittstelle sind, von dieser Schnittstelle gesendet werden. Diese Pakete müssen entweder fragmentiert oder verworfen werden, wenn sie über die Schnittstelle gesendet werden. Wenn das DF-Bit (Do Not Fragment) nicht im IP-Header des Pakets festgelegt ist, wird das Paket fragmentiert. Wenn das DF-Bit im IP-Header des Pakets festgelegt ist, wird das Paket verworfen und eine ICMP-Fehlermeldung mit dem MTU-Wert des nächsten Hops an den Absender zurückgesendet. Alle Fragmente eines IP-Pakets enthalten die gleiche Ident im IP-Header, sodass der endgültige Empfänger die Fragmente wieder in das ursprüngliche IP-Paket einbauen kann. Weitere Informationen finden Sie unter Behebung von IP-Fragmentierung, MTU-, MSS- und PMTUD-Problemen mit GRE und IPSec.
Die TCP-Segmentierung erfolgt, wenn eine Anwendung an einer Endstation Daten sendet. Die Anwendungsdaten werden so aufgeteilt, wie TCP sie für am besten geeignete Chunks zum Senden hält. Diese Dateneinheit, die von TCP an IP übertragen wird, wird als Segment bezeichnet. TCP-Segmente werden in IP-Datagrammen gesendet. Diese IP-Datagramme können dann zu IP-Fragmenten werden, wenn sie das Netzwerk passieren und auf niedrigere MTU-Verbindungen treffen, als passend für sie sind.
TCP segmentiert diese Daten zunächst in TCP-Segmente (basierend auf dem TCP-MSS-Wert), fügt den TCP-Header hinzu und übergibt dieses TCP-Segment an IP. Dann fügt IP einen IP-Header hinzu, um das Paket an den Remote-End-Host zu senden. Wenn das IP-Paket mit dem TCP-Segment größer als die IP-MTU an einer ausgehenden Schnittstelle auf dem Pfad zwischen den TCP-Hosts ist, fragmentiert IP das IP/TCP-Paket, damit es passt. Diese IP-Paketfragmente werden auf dem Remote-Host von dem IP-Layer wieder zusammengesetzt, und das gesamte TCP-Segment (das ursprünglich gesendet wurde) wird an den TCP-Layer übergeben. Die TCP-Ebene kann nicht erkennen, dass IP das Paket während der Übertragung fragmentiert hat. NAT unterstützt IP-Fragmente, aber keine TCP-Segmente.
A. NAT unterstützt aufgrund der virtuellen Reassemblierung der IP nur Out-of-Order-IP-Fragmente.
A: NAT verwendet für die IP-Fragmentierung und TCP-Segmentierung dieselbe Debug-CLI: debug ip nat frag.
A: Nein. Es gibt keine unterstützte NAT-MIB, einschließlich CISCO-IETF-NAT-MIB.
A: Wenn der Drei-Wege-Handshake nicht durchgeführt wird und NAT ein TCP-Paket erkennt, startet NAT einen 60-Sekunden-Timer. Wenn der Drei-Wege-Handshake abgeschlossen ist, verwendet NAT standardmäßig einen 24-Stunden-Timer für einen NAT-Eintrag. Wenn ein End-Host ein RESET sendet, ändert NAT den Standard-Timer von 24 Stunden in 60 Sekunden. Im Fall von FIN ändert NAT den Standard-Timer von 24 Stunden auf 60 Sekunden, wenn FIN und FIN-ACK empfangen wird.
A: Ja. Sie können die NAT-Zeitüberschreitungswerte für alle Einträge oder für verschiedene Arten von NAT-Übersetzungen (z. B. udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port- timeout und arp-ping-timeout) ändern.
A: Durch die LDAP-Einstellungen werden die zusätzlichen Byte (LDAP-Suchergebnisse) hinzugefügt, wenn Nachrichten vom Typ „Search-Res-Entry“ verarbeitet werden. LDAP fügt jedem der LDAP-Antwortpakete 10 Byte Suchergebnisse hinzu. Für den Fall, dass diese 10 zusätzlichen Datenbyte dazu führen, dass das Paket die MTU (Maximum Transmission Unit) in einem Netzwerk überschreitet, wird das Paket verworfen. In diesem Fall empfiehlt Cisco, dass Sie dieses LDAP-Verhalten mit dem CLI-Befehl no ip nat service append-ldap-search-res deaktivieren, damit die Pakete gesendet und empfangen werden können.
A: Für die interne globale IP-Adresse muss für Funktionen wie NAT-NVI eine Route in der für NAT konfigurierten Box angegeben werden. Ebenso muss für die externe lokale IP-Adresse eine Route in der NAT-Box angegeben werden. In diesem Fall ist für jedes Paket aus einer Richtung von innen nach außen mit der externen statischen Regel eine solche Route erforderlich. In solchen Szenarien muss neben der Route für IG/OL auch die IP-Adresse des nächsten Hops konfiguriert werden. Wenn die Konfiguration des nächsten Hops fehlt, wird dies als Konfigurationsfehler gewertet und führt zu undefiniertem Verhalten.
NVI-NAT ist nur im Featurepfad der Ausgabe vorhanden. Wenn Sie das Subnetz direkt mit NAT-NVI oder der auf der Box konfigurierten externen NAT-Übersetzungsregel verbunden haben, müssen Sie in diesen Szenarien eine Dummy-IP-Adresse für den nächsten Hop und ein zugeordnetes ARP für den nächsten Hop angeben. Dies ist erforderlich, damit die zugrunde liegende Infrastruktur das Paket zur Übersetzung an NAT weiterleitet.
A: Wenn Sie Cisco IOS NAT für die dynamische NAT-Übersetzung konfigurieren, wird eine ACL verwendet, um Pakete zu identifizieren, die übersetzt werden können. Die aktuelle NAT-Architektur unterstützt keine ACLs mit dem Schlüsselwort log.
A: CUCM 7 und alle standardmäßigen Telefonlasten für CUCM 7 unterstützen SCCPv17. Die verwendete SCCP-Version wird durch die höchste gemeinsame Version zwischen CUCM und dem Telefon bei der Registrierung des Telefons bestimmt.
Zum Zeitpunkt der Erstellung dieses Dokuments unterstützt NAT SCCP v17 noch nicht. Bis die NAT-Unterstützung für SCCP v17 implementiert ist, muss die Firmware auf Version 8-3-5 oder niedriger heruntergestuft werden, damit SCCP v16 ausgehandelt werden kann. Bei CUCM 6 tritt das NAT-Problem bei keiner Telefonlast auf, solange SCCP v16 verwendet wird Cisco IOS unterstützt derzeit nicht SCCP Version 17.
A: NAT unterstützt CUCM Version 6.x und frühere Versionen. Diese CUCM-Versionen werden mit der standardmäßigen Telefon-Firmwareversion 8.3.x (oder früher) veröffentlicht, die SCCP v15 (oder eine frühere Version) unterstützt.
NAT unterstützt nicht CUCM-Versionen ab 7.x. Diese CUCM-Version wird mit der standardmäßigen Telefon-Firmware-version 8.4.x veröffentlicht, die SCCP v17 (oder höher) unterstützt.
Wenn CUCM 7.x oder höher verwendet wird, muss auf dem CUCM-TFTP-Server eine ältere Firmwareversion installiert werden, damit die Telefone eine Firmwareversion mit SCCP v15 oder einer früheren Version verwenden, um von NAT unterstützt zu werden.
A: Service Provider PAT Port Allocation Enhancement for RTP and RTCP ist eine Funktion zur Unterstützung von SIP-, H.323- und Skinny-Sprachanrufen. Die für RTP-Streams verwendeten Portnummern sind gerade Portnummern, und die RTCP-Streams sind die nächste ungerade Portnummer. Die Portnummer wird in eine Zahl innerhalb des angegebenen Bereichs übersetzt, die RFC-1889 entspricht. Ein Anruf mit einer Portnummer innerhalb des Bereichs führt zu einer PAT-Übersetzung in eine andere Portnummer innerhalb dieses Bereichs. Ebenso führt eine PAT-Übersetzung für eine Portnummer außerhalb dieses Bereichs nicht zu einer Übersetzung in eine Zahl innerhalb des angegebenen Bereichs.
A: Session Initiation Protocol (SIP) ist ein ASCII-basiertes Steuerprotokoll auf Anwendungsebene, das zum Einrichten, Aufrechterhalten und Beenden von Anrufen zwischen zwei oder mehr Endpunkten verwendet werden kann. SIP ist ein von der Internet Engineering Task Force (IETF) entwickeltes alternatives Protokoll für Multimedia-Konferenzen über IP. Die Cisco SIP-Implementierung ermöglicht unterstützten Cisco Plattformen, die Einrichtung von Sprach- und Multimedia-Anrufen über IP-Netzwerke zu signalisieren.
SIP-Pakete können NAT-fähig sein.
A: Mit der Funktion Cisco IOS Hosted NAT Traversal for SBC kann ein Cisco IOS NAT-SIP-ALG-Router (Application-Level Gateway) als SBC auf einem Cisco Multiservice IP-to-IP-Gateway agieren, wodurch eine reibungslose Übertragung von Voice over IP (VoIP) sichergestellt wird.
Weitere Informationen finden Sie unter Konfigurieren von Cisco IOS Hosted NAT Traversal for Session Border Controller.
A: Die Anzahl der Anrufe, die von einem NAT-Router verarbeitet werden können, hängt von der auf der Box verfügbaren Arbeitsspeicherkapazität und der Verarbeitungsleistung der CPU ab.
A: Cisco IOS NAT unterstützt TCP-Segmentierung für H.323 in 12.4 Mainline und TCP-Segmentierung für Skinny ab Version 12.4(6)T.
A: Ja. Wenn Sie über Konfigurationen von NAT-Overloads und eine Voice-Bereitstellung verfügen, benötigen Sie die Registrierungsnachricht, um NAT zu durchlaufen und eine Zuordnung für Out->In zu erstellen, um dieses interne Gerät zu erreichen. Das interne Gerät sendet diese Registrierung in regelmäßigen Abständen, und NAT aktualisiert diese Pinhole/Zuordnung aus den Informationen wie in der Signalisierungsnachricht.
A. Wenn Sie bei Sprachbereitstellungen einen Befehl clear ip nat trans * oder einen Befehl clear ip nat trans forced ausgeben und über eine dynamische NAT verfügen, löschen Sie die Pin-Hole/Zuordnung und müssen auf den nächsten Registrierungszyklus vom internen Gerät warten, um dies wiederherzustellen. Cisco empfiehlt, diese Befehle zum Löschen nicht in einer Sprachbereitstellung zu verwenden.
A: Nein. Eine Co-Location-Lösung wird derzeit nicht unterstützt. Die nächste Bereitstellung mit NAT (in derselben Box) gilt als Co-Location-Lösung: CME/DSP-Farm/SCCP/H.323.
A: Nein. Beachten Sie, dass UDP SIP ALG (von den meisten Bereitstellungen verwendet) nicht betroffen ist.
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED
A: Legacy-NAT unterstützt das Überlappen von Adresskonfigurationen über verschiedene VRFs. Sie müssten die Überlappung bei der Regel mit der Option match-in-vrf konfigurieren und ip nat inside/outside in derselben VRF für den Datenverkehr über diese spezifische VRF einrichten. Die Unterstützung für Überlappungen umfasst nicht die globale Routing-Tabelle.
Sie müssen das Schlüsselwort match-in-vrf für die überlappenden statischen VRF-NAT-Einträge für verschiedene VRFs hinzufügen. Es ist jedoch nicht möglich, globale und VRF-NAT-Adressen zu überlappen.
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf
A: Nein. Für NAT zwischen verschiedenen VRFs müssen Sie NVI verwenden. Sie können veraltete NAT verwenden, um NAT von VRF zu global oder NAT in demselben VRF durchzuführen.
A: NVI steht für „NAT Virtual Interface“ (virtuelle NAT-Schnittstelle). Es ermöglicht NAT, zwischen zwei verschiedenen VRFs zu übersetzen. Diese Lösung muss anstelle von Network Address Translation auf einem Stick verwendet werden.
A: Cisco empfiehlt die Verwendung von Legacy-NAT für VRF in globale NAT (ip nat inside/out) und zwischen Schnittstellen im selben VRF. NVI wird für NAT zwischen verschiedenen VRFs verwendet.
A: TCP-Segmentierung für NAT-NVI wird nicht unterstützt.
A: Nein. Beachten Sie, dass UDP SIP ALG (von den meisten Bereitstellungen verwendet) nicht betroffen ist.
S: SNAT unterstützt keine TCP ALGs (wie SIP, Skinny, H.323 oder DNS). Daher wird die TCP-Segmentierung nicht unterstützt. UDP SIP und DNS werden jedoch unterstützt.
A: Mit SNAT können zwei oder mehr Netzwerkadressübersetzer als Übersetzungsgruppe fungieren. Ein Mitglied der Übersetzungsgruppe verarbeitet den Datenverkehr, der die Übersetzung von IP-Adressinformationen erfordert. Darüber hinaus informiert er den Backup-Translator über aktive Flows, wenn sie auftreten. Der Backup-Translator kann dann Informationen aus dem aktiven Umsetzer verwenden, um doppelte Einträge in der Übersetzungstabelle vorzubereiten. Daher kann der Datenverkehr schnell auf das Backup umgeschaltet werden, wenn der aktive Translator durch einen kritischen Fehler behindert wird. Der Datenfluss wird fortgesetzt, da dieselben Netzwerkadressübersetzungen verwendet werden und der Status dieser Übersetzungen zuvor definiert wurde.
S: SNAT unterstützt keine TCP ALGs (wie SIP, Skinny, H.323 oder DNS). Daher wird die TCP-Segmentierung nicht unterstützt. UDP SIP und DNS werden jedoch unterstützt.
A: Asymmetrisches Routing unterstützt NAT bei Aktivierung von As-Queuing. Standardmäßig ist As-Queuing aktiviert. Ab 12.4(24)T wird As-Queuing jedoch nicht mehr unterstützt. Kunden müssen sicherstellen, dass die Pakete ordnungsgemäß geroutet und die richtige Verzögerung hinzugefügt wird, damit das asymmetrische Routing ordnungsgemäß funktioniert.
A: NAT-PT ist eine Übersetzung für NAT von v4 in v6. Protocol Translation (NAT-PT) ist ein IPv6-IPv4-Übersetzungsmechanismus, wie in RFC 2765 und RFC 2766 definiert. Es ermöglicht reinen IPv6-Geräten die Kommunikation mit reinen IPv4-Geräten und umgekehrt.
A: NAT-PT wird auf dem CEF-Pfad nicht unterstützt.
A: NAT-PT unterstützt TFTP/FTP und DNS. Es gibt keine Unterstützung für Sprache und SNAT in NAT-PT.
A: Der Aggregation Services Router (ASR) verwendet NAT64.
A: SNAT ist auf Catalyst 6500 im SX-Train nicht verfügbar.
A: VRF-fähige NAT wird von der Hardware auf dieser Plattform nicht unterstützt.
A: Auf der 65xx/76xx-Plattform wird VRF-fähige NAT nicht unterstützt. Die CLIs werden blockiert.
Hinweis: Sie können ein Design implementieren, indem Sie ein FWSM nutzen, das im transparenten virtuellen Kontextmodus ausgeführt wird.
A: Nein. Bei Version 12.4T wird Skinny NAT ALG von der 850-Serie nicht unterstützt.
A: NAT ermöglicht privaten internen IP-Netzwerken, die nicht registrierte IP-Adressen verwenden, eine Verbindung zum Internet. NAT übersetzt die private Adresse (RFC 1918) im internen Netzwerk in legale routbare Adressen, bevor Pakete an ein anderes Netzwerk weitergeleitet werden.
A: Die Funktion für NAT mit Sprachunterstützung ermöglicht es, eingebettete SIP-Nachrichten, die einen mit Network Address Translation (NAT) konfigurierten Router passieren, zurück in das Paket zu übersetzen. Ein Application Layer Gateway (ALG) wird mit NAT verwendet, um die Sprachpakete zu übersetzen.
A: Die NAT-Integration mit MPLS-VPNs ermöglicht die Konfiguration mehrerer MPLS-VPNs auf einem einzelnen Gerät für die Zusammenarbeit. NAT kann unterscheiden, von welchem MPLS-VPN IP-Datenverkehr empfangen wird, selbst wenn alle MPLS-VPNS dasselbe IP-Adressierungsschema verwenden. Diese Verbesserung ermöglicht es mehreren MPLS-VPN-Kunden, Services gemeinsam zu nutzen und gleichzeitig sicherzustellen, dass die einzelnen MPLS-VPNs vollständig voneinander getrennt sind
A: Wenn eine ARP-Abfrage (Address Resolution Protocol) für eine Adresse ausgelöst wird, die mit NAT (Network Address Translation) konfiguriert ist und dem Router gehört, antwortet NAT mit der BIA-MAC-Adresse auf der Schnittstelle, auf die ARP verweist. Zwei Router fungieren als HSRP Active und Standby. Ihre NAT-internen Schnittstellen müssen aktiviert und konfiguriert sein, um zu einer Gruppe zu gehören.
A: Durch die Funktion NAT Virtual Interface (NVI) ist es nicht mehr nötig, eine Schnittstelle entweder als interne NAT oder als externe NAT zu konfigurieren.
A. Es gibt zwei Arten von Lastverteilung, die mit NAT durchgeführt werden können: Lastverteilung des eingehenden Datenverkehrs, bei der die eingehende Last auf eine Reihe von Servern verteilt wird, oder Lastverteilung für den Benutzerdatenverkehr zum Internet, der auf zwei oder mehr ISPs verteilt wird.
Weitere Informationen zur Lastverteilung bei ausgehendem Datenverkehr finden Sie unter Cisco IOS NAT-Lastverteilung für zwei ISP-Verbindungen.
A: IP Security Encapsulating Security Payload (IPsec ESP) wird durch NAT- und IPsec-NAT-Transparenz unterstützt.
Die IPSec ESP-durch-NAT-Funktion bietet die Möglichkeit, mehrere gleichzeitige IPSec ESP-Tunnel oder -Verbindungen über ein Cisco IOS NAT-Gerät zu unterstützen, das im Overload- oder Port Address Translation(PAT)-Modus konfiguriert ist.
Die IPSec-NAT-Transparenzfunktion bietet Unterstützung für IPSec-Datenverkehr, der NAT- oder PAT-Punkte im Netzwerk durchläuft, indem viele bekannte Inkompatibilitäten zwischen NAT und IPSec behoben werden.
A. NAT-PT (Network Address Translation - Protocol Translation) ist ein in RFC 2765 und RFC 2766 definierter IPv6-IPv4-Übersetzungsmechanismus, der Geräten mit ausschließlichem IPv6-Datenaustausch mit Geräten mit ausschließlichem IPv4-Datenaustausch ermöglicht und umgekehrt.
A: Es ist möglich, NAT für die Quell-IP bei einem Multicast-Stream durchzuführen. Eine Routenzuordnung kann nicht verwendet werden, wenn dynamische NAT für Multicast durchgeführt wird. Hierfür wird nur eine Zugriffsliste unterstützt.
Weitere Informationen finden Sie unter Funktionsweise von Multicast-NAT auf Cisco Routern. Die Multicast-Zielgruppe wird mithilfe einer Multicast Service Reflection-Lösung NAT-basiert.
A: SNAT ermöglicht kontinuierlichen Service für dynamisch zugeordnete NAT-Sitzungen. Sitzungen, die statisch definiert sind, erhalten den Vorteil der Redundanz ohne SNAT. Ohne SNAT würden Sitzungen, die dynamische NAT-Zuordnungen verwenden, im Falle eines kritischen Ausfalls getrennt und müssten neu eingerichtet werden. Nur die minimale SNAT-Konfiguration wird unterstützt. Zukünftige Bereitstellungen dürfen nur nach Rücksprache mit Ihrem Cisco Account Team durchgeführt werden, um das Design in Bezug auf die aktuellen Einschränkungen zu validieren.
SNAT wird für folgende Szenarien empfohlen:
Primär/Backup ist kein empfohlener Modus, da im Vergleich zu HSRP einige Funktionen fehlen.
Für Failover-Szenarien und für die Einrichtung mit zwei Routern. Das heißt, wenn ein Router abstürzt, übernimmt der andere Router nahtlos. (Die SNAT-Architektur ist nicht für den Umgang mit Interface-Flaps konzipiert.)
Nicht asymmetrisches Routing-Szenario wird unterstützt. Asymmetrisches Routing kann nur verarbeitet werden, wenn die Latenz im Antwortpaket höher ist als die zwischen zwei SNAT-Routern, um die SNAT-Nachrichten auszutauschen.
Derzeit ist die SNAT-Architektur nicht für den Umgang mit Robustheit konzipiert. Daher ist nicht zu erwarten, dass folgende Tests erfolgreich sind:
Löschen von NAT-Einträgen bei vorhandenem Datenverkehr.
Ändern von Schnittstellenparametern (z. B. Änderung der IP-Adresse, shut/no-shut usw.), während Datenverkehr übertragen wird.
SNAT-spezifische clear- oder show-Befehle werden wahrscheinlich nicht ordnungsgemäß ausgeführt und werden nicht empfohlen.
Einige der SNAT-bezogenen clear< /strong>- und show-Befehle lauten wie folgt:
clear ip snat sessions * clear ip snat sessions <ip address of the peer> clear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer>Wenn Benutzer Einträge löschen möchten, können die Befehle clear ip nat trans forced < /strong>oder clear ip nat trans * verwendet werden.
- Wenn Benutzer Einträge anzeigen möchten, können die Befehle show ip nat translation, xshow ip nat translations verbose und show ip nat stats verwendet werden. Wenn service internal konfiguriert wird, werden auch SNAT-spezifische Informationen angezeigt.
Das Löschen von NAT-Übersetzungen auf dem Backup-Router wird nicht empfohlen. Löschen Sie immer die NAT-Einträge auf dem primären SNAT-Router.
SNAT ist nicht hochverfügbar. Daher sollten die Konfigurationen auf beiden Routern identisch sein. Auf beiden Routern muss dasselbe Image ausgeführt werden. Stellen Sie außerdem sicher, dass die zugrunde liegende Plattform, die für beide SNAT-Router verwendet wird, identisch ist.
A: Ja. Dies sind die Best Practices für NAT:
Bei Verwendung von dynamischer und statischer NAT sollte die ACL, welche die Regel für dynamische NAT festlegt, die statischen lokalen Hosts ausschließen, damit es nicht zu Überschneidungen kommt.
Passen Sie auf, wenn Sie ACL für NAT mit der Berechtigung ip any any verwenden, da dies zu unvorhersehbaren Ergebnissen führen kann. Nach 12.4(20)T übersetzt NAT lokal generierte HSRP- und Routing-Protokollpakete, wenn sie über die externe Schnittstelle gesendet werden, sowie lokal verschlüsselte Pakete, die der NAT-Regel entsprechen.
Wenn sich Netzwerke für NAT überlappen, verwenden Sie das Schlüsselwort match-in-vrf.
Sie müssen das Schlüsselwort match-in-vrf für die überlappenden statischen VRF-NAT-Einträge für verschiedene VRFs hinzufügen. Eine Überlappung von globalen und VRF-NAT-Adressen ist jedoch nicht möglich.
Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrfNAT-Pools mit demselben Adressbereich können in verschiedenen VRFs nur verwendet werden, wenn das Schlüsselwort match-in-vrf verwendet wird.
Beispiele:
ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrfHinweis: Auch wenn die CLI-Konfiguration gültig ist, wird die Konfiguration ohne das Schlüsselwort match-in-vrf nicht unterstützt.
Bei der Bereitstellung von ISP-Load Balancing mit NAT-Schnittstellenüberlastung empfiehlt es sich, „route-map“ mit Schnittstellenübereinstimmung über ACL-Zuordnung zu verwenden.
Bei der Pool-Zuordnung dürfen Sie nicht zwei verschiedene Zuordnungen (ACL oder route-map) verwenden, um dieselbe NAT-Pooladresse zu verwenden.
Wenn Sie im Failover-Szenario dieselben NAT-Regeln auf zwei verschiedenen Routern bereitstellen, müssen Sie HSRP-Redundanz verwenden.
Definieren Sie in statischer NAT und in einem dynamischen Pool nicht dieselbe interne globale Adresse. Diese Aktion kann zu unerwünschten Ergebnissen führen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
21-Aug-2023 |
Rezertifizierung |
1.0 |
29-Aug-2002 |
Erstveröffentlichung |