ASR1K NAT falla intermitentemente al traducir algunos paquetes

Opciones de descarga

  • PDF     (302.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (270.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (170.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de marzo de 2020
ID del documento:210869

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe una situación en la que los paquetes que deben ser traducidos por la traducción de direcciones de red (NAT) en un router de servicios de agregación Cisco serie 1000 (ASR1K) no se traducen (se omite NAT). Esto podría resultar en una falla de tráfico ya que es probable que el salto siguiente no esté configurado para permitir que se procesen los paquetes no traducidos.

    Antecedentes

    En la versión de software 12.2(33)XND se introdujo y habilitó de forma predeterminada una función denominada NAT Gatekeeper. El control de acceso NAT se diseñó para evitar que los flujos no NAT usaran CPU excesiva en un esfuerzo por crear una traducción NAT. Para lograr esto, se crean dos memorias caché pequeñas (una para la dirección in2out y otra para la dirección out2in) en función de la dirección de origen. Cada entrada de caché consta de una dirección de origen, una ID de ruteo y reenvío virtual (VRF), un valor de temporizador (utilizado para invalidar la entrada después de 10 segundos) y un contador de tramas. Hay 256 entradas en la tabla que conforman la memoria caché. Si hay varios flujos de tráfico desde la misma dirección de origen donde algunos paquetes requieren NAT y otros no, podría dar como resultado que los paquetes no se NAT-ed y se envíen a través del router sin traducir. Cisco recomienda que los clientes eviten tener flujos NAT-ed y no NAT-ed en la misma interfaz siempre que sea posible.

    Nota: Esto no tiene nada que ver con H.323.

    Demostración de que se omite NAT

    Esta sección describe cómo se puede omitir NAT debido a la función de gatekeeper NAT. Revise el diagrama en detalle. Puede ver que hay un router de origen, un firewall Adaptive Security Appliance (ASA), ASR1K y el router de destino.

    El tráfico fluye a un destino no NAT

    1. El ping se inicia desde el origen: Fuente: 172.17.250.201 Destino: 198.51.100.11.
    2. El paquete llega a la interfaz interna del ASA que realiza la traducción de la dirección de origen. El paquete tendrá ahora el origen: 203.0.113.231 Destino: 198.51.100.11.
    3. El paquete llega al ASR1K en la interfaz NAT externa a la interfaz interna. La traducción NAT no encuentra ninguna traducción para la dirección de destino y por lo tanto la memoria caché "out" del gatekeeper se completa con la dirección de origen 203.0.113.231.
    4. El paquete llega al destino. El destino acepta el paquete de protocolo de mensajes de control de Internet (ICMP) y devuelve una respuesta de ECHO ICMP que da como resultado un ping exitoso.

    El Tráfico del Mismo Origen Intenta Enviar el Destino NAT-ed

    1. .Ping se inicia desde el origen: Fuente: 172.17.250.201 Destino: 198.51.100.9.
    2. El paquete llega a la interfaz interna del ASA que realiza la traducción de la dirección de origen. El paquete tendrá ahora el origen: 203.0.113.231 Destino: 198.51.100.9.
    3. El paquete llega al ASR1K en la interfaz NAT externa a la interfaz interna. NAT busca primero una traducción para el origen y el destino. Como no encuentra uno, verifica la memoria caché "out" del gatekeeper y encuentra la dirección de origen 203.0.113.231. Supone (erróneamente) que el paquete no necesita traducción y reenvía el paquete si existe una ruta para el destino o descarta el paquete. De cualquier manera, el paquete no alcanzará el destino deseado.

    Restauración del tráfico NAT-ed

    1. Después de 10 segundos, la entrada para la dirección de origen 203.0.113.231 se agota en la memoria caché de salida del gatekeeper.

      Nota: La entrada aún existe físicamente en la memoria caché, pero debido a que ha caducado no se utiliza.

    2. Ahora, si el mismo origen 172.17.250.201 envía al destino con NAT 198.51.100.9.Cuando el paquete llega a la interfaz out2in en el ASR1K, no se encontrará ninguna traducción. Cuando verifique la memoria caché de salida del gatekeeper, no encontrará una entrada activa y, por lo tanto, creará la traducción para el destino y los paquetes fluirán según lo esperado.
    3. El tráfico en este flujo continuará mientras no se agote el tiempo de espera de las traducciones debido a la inactividad. Si, mientras tanto, el origen vuelve a enviar el tráfico a un destino no NAT, lo que hace que otra entrada se llene en la memoria caché de salida del gatekeeper, no afectará a las sesiones establecidas pero habrá un período de 10 segundos en el que las nuevas sesiones de ese mismo origen a los destinos de NAT fallarán.

    Ejemplo del problema

    1. El ping se inicia desde el router de origen : Fuente: 172.17.250.201 Destino: 198.51.100.9. El ping se emite con el conteo repetido de dos, una y otra vez [FLOW1].
    2. Luego, haga ping a un destino diferente que no está siendo NAT por el ASR1K: Fuente: 172.17.250.201 Destino:198.51.100.11 [FLOW2]. 
    3. A continuación, envíe más paquetes a 198.51.100.9 [FLOW1]. Los primeros paquetes de este flujo omitirán la NAT tal como la ve la coincidencia de la lista de acceso en el router de destino. 
    source#ping 198.51.100.9 source lo1 rep 2

    Type escape sequence to abort.
    Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
    Packet sent with a source address of 172.17.250.201 
    !!
    Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms
    source#ping 198.51.100.9 source lo1 rep 2

    Type escape sequence to abort.
    Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
    Packet sent with a source address of 172.17.250.201 
    !!
    Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms
    source#ping 198.51.100.11 source lo1 rep 200000

    Type escape sequence to abort.
    Sending 200000, 100-byte ICMP Echos to 198.51.100.11, timeout is 2 seconds:
    Packet sent with a source address of 172.17.250.201 
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.
    Success rate is 99 percent (3007/3008), round-trip min/avg/max = 1/1/16 ms
    source#ping 198.51.100.9 source lo1 rep 10  

    Type escape sequence to abort.
    Sending 10, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
    Packet sent with a source address of 172.17.250.201 
    ...!!!!!!!
    Success rate is 70 percent (7/10), round-trip min/avg/max = 1/1/1 ms
    source#

    La coincidencia de ACL en el router de destino muestra los tres paquetes que fallaron no fueron traducidos:

    Router2#show access-list 199
    Extended IP access list 199
        10 permit udp host 172.17.250.201 host 198.51.100.9
        20 permit udp host 172.17.250.201 host 10.212.26.73
        30 permit udp host 203.0.113.231 host 198.51.100.9
        40 permit udp host 203.0.113.231 host 10.212.26.73 (4 matches)
        50 permit icmp host 172.17.250.201 host 198.51.100.9
        60 permit icmp host 172.17.250.201 host 10.212.26.73
        70 permit icmp host 203.0.113.231 host 198.51.100.9 (3 matches) <<<<<<<
        80 permit icmp host 203.0.113.231 host 10.212.26.73 (42 matches)
        90 permit udp any any log (2 matches)
        100 permit icmp any any log (4193 matches)
        110 permit ip any any (5 matches)
    Router2#

    En ASR1K puede verificar las entradas de la memoria caché del gatekeeper:

    PRIMARY#show platform hardware qfp active feature nat datapath gatein
    Gatekeeper on
    sip 203.0.113.231 vrf 0 cnt 1 ts 0x17ba3f idx 74
    sip 10.203.249.226 vrf 0 cnt 0 ts 0x36bab6 idx 218
    sip 10.203.249.221 vrf 0 cnt 1 ts 0x367ab4 idx 229

    PRIMARY#show platform hardware qfp active feature nat datapath gateout
    Gatekeeper on
    sip 198.51.100.11 vrf 0 cnt 1 ts 0x36db07 idx 60
    sip 10.203.249.225 vrf 0 cnt 0 ts 0x36bb7a idx 217
    sip 10.203.249.222 vrf 0 cnt 1 ts 0x367b7c idx 230

    Solución alternativa/corrección

    En la mayoría de los entornos, la funcionalidad del gatekeeper NAT funciona bien y no causa problemas. Sin embargo, si se encuentra con este problema hay algunas maneras de resolverlo. 

    Solución 1

    La opción preferida sería actualizar Cisco IOS® XE a una versión que incluya la mejora del gatekeeper:

    ID de bug de Cisco CSCun06260 XE3.13 Consolidación del control de acceso

    Esta mejora permite que el gatekeeper NAT almacene en caché las direcciones de origen y de destino, así como hace que el tamaño de la memoria caché sea configurable. Para activar el modo extendido, necesita aumentar el tamaño de la memoria caché con estos comandos. También puede supervisar la caché para ver si necesita aumentar el tamaño.

    PRIMARY(config)#ip nat settings gatekeeper-size 1024 
    PRIMARY(config)#end

    El modo extendido se puede verificar mediante la verificación de estos comandos:

    PRIMARY#show platform hardware qfp active feature nat datapath gatein
    Gatekeeper on
    sip 10.203.249.221 dip 10.203.249.222 vrf 0 ts 0x5c437 idx 631

    PRIMARY#show platform hardware qfp active feature nat datapath gateout
    Gatekeeper on
    sip 10.203.249.225 dip 10.203.249.226 vrf 0 ts 0x5eddf idx 631

    PRIMARY#show platform hardware qfp active feature nat datapath gatein active
    Gatekeeper on
    ext mode Size 1024, Hits 2, Miss 4, Aged 0 Added 4 Active 1

    PRIMARY#show platform hardware qfp active feature nat datapath gateout active
    Gatekeeper on
    ext mode Size 1024, Hits 0, Miss 1, Aged 1 Added 2 Active 0

    Solución 2

    Para las versiones que no tienen la corrección para el Id. de bug Cisco CSCun06260, la única opción es desactivar la función de gatekeeper. El único impacto negativo será una ligera reducción del rendimiento para el tráfico que no sea NAT, así como una mayor utilización de la CPU en el procesador de flujo cuántico (QFP).

    PRIMARY(config)#no ip nat service gatekeeper
    PRIMARY(config)#end
    PRIMARY#PRIMARY#Sh platform hardware qfp active feature nat datapath gatein
    Gatekeeper off

    PRIMARY#

    La utilización de QFP se puede monitorear con estos comandos:

    show platform hardware qfp active data utilization summary
    show platform hardware qfp active data utilization qfp 0

    Solución 3

    Separe los flujos de tráfico para que los paquetes NAT y los paquetes no NAT no lleguen a la misma interfaz.

    Summary

    El comando NAT Gatekeeper se introdujo para mejorar el rendimiento del router para los flujos no NAT-ed. En algunas condiciones, la función podría causar problemas cuando una combinación de paquetes NAT y no NAT llega del mismo origen. La solución es utilizar la funcionalidad de gatekeeper mejorada o, si no es posible, inhabilitar la función de gatekeeper.

    Referencias

    Cambios de software que permitieron que se desactivara el gatekeeper:
    Id. de error de Cisco CSCty67184 ASR1k NAT CLI - Gatekeeper On/Off
    Id. de error de Cisco CSCth23984 Agregar capacidad cli para activar/desactivar la funcionalidad del gatekeeper nat


    mejora del gatekeeper NAT
    ID de bug de Cisco CSCun06260 XE3.13 Consolidación del control de acceso

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Richard Furr
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos