Troubleshooting de NAT en Plataformas Cat8000
Introducción
Este documento describe cómo resolver problemas de NAT en plataformas Cat8000.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Traducción de direcciones de red (NAT)
- Cisco IOS XE
Para obtener más información sobre estos temas, consulte:
Configuración de Traducción de dirección de red
Comprender el orden de funcionamiento de NAT
Preguntas frecuentes sobre la traducción de direcciones de red (NAT)
Restricciones de la Configuración de NAP para la Conservación de Direcciones IP
Componentes Utilizados
La información de este documento se basa en el software Cisco IOS XE.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Diagrama de la red
Topología NAT
Caso Práctico: Agotamiento de NAT (conjunto agotado)
Este mensaje de registro indica que el dispositivo intentó asignar una dirección IP para NAT, como para una traducción NAT o PAT dinámica, pero la asignación no se realizó correctamente. Esto suele ocurrir cuando no quedan direcciones o puertos disponibles en el conjunto NAT configurado.
Las causas comunes incluyen:
· El conjunto NAT está agotado (todas las direcciones IP o puertos disponibles están en uso).
· La configuración NAT no tiene direcciones o recursos suficientes para acomodar las solicitudes de traducción actuales.
%NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed; pool 2 may be exhausted [2] port range: NA, non-PATable: NO, for ALG: NO, input intf: GigabitEthernet0/0/3, mapping-id: 1,
created by pkt: src_ip 192.0.2.13 dst_ip 192.x.x.40 src_port 0 dst_port 0 proto 1
Verifique el conjunto NAT para confirmar el intervalo de traducción de direcciones.
NAT_R1#show ip nat pool platform
Dump NAT pool config
ID: 2, Name: NAT_Pool, Type: Generic, Mask: 255.255.255.240
Flags: Unknown, Acct name:
Address range blocks: 1
Start: 203.0.113.3, End: 203.0.113.5
Last stats update: 07/31 13:08:43.708061785
Last refcount value: 3
Verifique la tabla de traducción NAT y determine el número de traducciones activas presentes actualmente.
NAT_R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.3 192.0.2.10 --- ---
--- 203.0.113.5 192.0.2.12 --- ---
--- 203.0.113.4 192.0.2.11 --- ---
icmp 203.0.113.5:0 192.0.2.12:0 198.51.100.30:0 198.51.100.30:0
icmp 203.0.113.3:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.4:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 6
Verifique si las caídas aparecen en las estadísticas de NAT. Este resultado indicaría que el tráfico entrante requiere traducción pero se producen caídas debido a problemas de asignación de NAT.
NAT_R1#show ip nat statistics
Total active translations: 6 (0 static, 6 dynamic; 3 extended)
Outside interfaces:
GigabitEthernet0/0/4
Inside interfaces:
GigabitEthernet0/0/3
Hits: 11094661606 Misses: 10
Reserved port setting disabled provisioned no
Expired translations: 1412
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 1 pool NAT_Pool refcount 6 <---- Translations count
pool NAT_Pool: id 2, netmask 255.255.255.240
start 203.0.113.3 end 203.0.113.5
type generic, total addresses 3, allocated 3 (100%), misses 3559386331
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 3559337007 Out-to-in drops: 0 <---- drops from in to out
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT_R1#
Desde la perspectiva de la plataforma, revise las estadísticas de NAT del trayecto de datos QFP para determinar si estas caídas corresponden al problema observado.
NAT_R1#show platform hardware qfp active feature nat datapath stats
Counter Value
------------------------------------------------------------------------
number_of_session 3
udp 0
tcp 0
icmp 3
non_extended 3
statics 0
static_net 0
entry_timeouts 1
hits 585149
misses 0
cgn_dest_log_timeouts 0
ipv4_nat_alg_bind_pkts 0
ipv4_nat_alg_sd_not_found 0
ipv4_nat_alg_sd_tail_not_found 0
ipv4_nat_rx_pkt 154
ipv4_nat_tx_pkt 18791285989
<snip>
ipv4_nat_non_natted_in2out_pkts 144
ipv4_nat_non_nated_out2in_pkts 0
<snip>
ipv4_nat_cfg_rcvd 8
ipv4_nat_cfg_rsp 9
Subcode#14 ADDR_ALLOC_FAIL 5216959285
Verifique el número actual de entradas y compare entre los valores maxhost_count y maxhost_himark :
- maxhost_count: muestra las entradas actuales en el router.
- maxhost_himark: muestra 7, esto indica que el límite se alcanzó en algún momento.
NAT_R1#show platform hardware qfp active feature nat datapath limit
maxhost_limit 131072 maxhost_count 5 maxhost_fail 0 maxhost_himark 7
total limit entries 0 hash tbl 0x0 max entries 0 limit_chunk 0x0 allvrf limit 0
acl limit 0 acl count 0 acl fail 0 acl_id 0x0
Posible Causa
El número de direcciones utilizables en el conjunto NAT varía de 3 a 5. Los problemas ocurren cuando las traducciones inactivas permanecen en la tabla NAT, lo que evita que otro tráfico se traduzca. Se espera este comportamiento, ya que el tiempo de espera de traducción NAT predeterminado es de 24 horas. Para resolver este problema, configure el comando ip nat translation timeout para borrar las traducciones inactivas después de esta acción, la tabla NAT debe estar despejada.
NAT_R1(config)#ip nat translation timeout 10800
NAT_R1(config)#end
NAT_R1#clear ip nat translation *
NAT_R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.5 192.0.2.11 --- ---
--- 203.0.113.4 192.0.2.10 --- ---
icmp 203.0.113.4:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.5:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 4
Caso Práctico: NAT traduce direcciones IP no nativas (problema de gatekeeper)
La función NAT Gatekeeper está diseñada para mejorar el rendimiento del router al proteger el motor NAT del procesamiento de flujos que no son NAT. Cuando los paquetes que no son NAT atraviesan una interfaz habilitada para NAT, normalmente se someten a amplias búsquedas antes de que NAT determine que la traducción no es necesaria. Este proceso es intensivo para la CPU en el procesador Quantum Flow Processor (QFP). El gatekeeper mitiga esto al mantener una pequeña memoria caché de flujos no NAT, permitiendo que estos paquetes eludan el motor NAT una vez identificado, reduciendo así la carga de la CPU. Las entradas en la memoria caché del Gatekeeper agotan el tiempo de espera relativamente rápido, lo que permite que el motor NAT reevalúe los flujos en caso de que las condiciones de la red cambien y el flujo pueda estar sujeto a NAT.
Este mecanismo ayuda a optimizar la utilización de los recursos y mejora la eficacia general del sistema cuando se maneja tráfico combinado NAT y no NAT en la misma interfaz. El tamaño de la memoria caché para el control de acceso se puede configurar para acomodar el volumen de tráfico no NAT, con valores predeterminados basados en la plataforma. Se recomienda ajustar el tamaño de la memoria caché cuando hay un tráfico no NAT significativo en una interfaz NAT.
En resumen, el Gatekeeper NAT:
· Protege el motor NAT del procesamiento innecesario de flujos que no son NAT.
· Mantiene una memoria caché de flujos que no son NAT para permitirles omitir el procesamiento NAT.
· Utiliza tiempos de espera en entradas de caché para permitir la reevaluación de flujos.
· Ayuda a reducir el uso de la CPU en el QFP.
· Admite un tamaño de caché configurable para optimizar el rendimiento según los patrones de tráfico.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
12-Jun-2026
|
Versión inicial |
Comentarios