Dépannage de la NAT sur les plates-formes Cat8000
Introduction
Ce document décrit comment dépanner les problèmes NAT sur les plates-formes Cat8000.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Traduction d'adresses réseau (NAT)
- Cisco IOS XE
Pour plus d'informations sur ces sujets, consultez :
Configurer la traduction d’adresse réseau
Comprendre l'ordre de fonctionnement de la NAT
Traduction d'adresses de réseau (NAT) - Forum aux questions
Restrictions relatives à la configuration de NAT pour la conservation des adresses IP
Composants utilisés
Les informations contenues dans ce document sont basées sur le logiciel Cisco IOS XE.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Diagramme du réseau
Topologie NAT
Étude de cas : Épuisement NAT (pool épuisé)
Ce message de journal indique que le périphérique a tenté d'allouer une adresse IP pour NAT, par exemple pour une traduction NAT ou PAT dynamique, mais que l'allocation a échoué. Cela se produit généralement lorsqu'il ne reste aucune adresse ou aucun port disponible dans le pool NAT configuré.
Causes courantes :
· Le pool NAT est épuisé (toutes les adresses IP ou ports disponibles sont utilisés).
· La configuration NAT ne dispose pas d’adresses ou de ressources suffisantes pour prendre en charge les demandes de traduction actuelles.
%NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed; pool 2 may be exhausted [2] port range: NA, non-PATable: NO, for ALG: NO, input intf: GigabitEthernet0/0/3, mapping-id: 1,
created by pkt: src_ip 192.0.2.13 dst_ip 192.x.x.40 src_port 0 dst_port 0 proto 1
Vérifiez le pool NAT pour confirmer la plage de traduction d'adresses.
NAT_R1#show ip nat pool platform
Dump NAT pool config
ID: 2, Name: NAT_Pool, Type: Generic, Mask: 255.255.255.240
Flags: Unknown, Acct name:
Address range blocks: 1
Start: 203.0.113.3, End: 203.0.113.5
Last stats update: 07/31 13:08:43.708061785
Last refcount value: 3
Vérifiez la table de traduction NAT et déterminez le nombre de traductions actives actuellement présentes.
NAT_R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.3 192.0.2.10 --- ---
--- 203.0.113.5 192.0.2.12 --- ---
--- 203.0.113.4 192.0.2.11 --- ---
icmp 203.0.113.5:0 192.0.2.12:0 198.51.100.30:0 198.51.100.30:0
icmp 203.0.113.3:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.4:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 6
Vérifiez si les abandons apparaissent dans les statistiques NAT. Ce résultat indique que le trafic entrant nécessite une traduction, mais que des abandons se produisent en raison de problèmes d'allocation NAT.
NAT_R1#show ip nat statistics
Total active translations: 6 (0 static, 6 dynamic; 3 extended)
Outside interfaces:
GigabitEthernet0/0/4
Inside interfaces:
GigabitEthernet0/0/3
Hits: 11094661606 Misses: 10
Reserved port setting disabled provisioned no
Expired translations: 1412
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 1 pool NAT_Pool refcount 6 <---- Translations count
pool NAT_Pool: id 2, netmask 255.255.255.240
start 203.0.113.3 end 203.0.113.5
type generic, total addresses 3, allocated 3 (100%), misses 3559386331
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 3559337007 Out-to-in drops: 0 <---- drops from in to out
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT_R1#
Du point de vue de la plate-forme, passez en revue les statistiques NAT de chemin de données QFP pour déterminer si ces abandons correspondent au problème observé.
NAT_R1#show platform hardware qfp active feature nat datapath stats
Counter Value
------------------------------------------------------------------------
number_of_session 3
udp 0
tcp 0
icmp 3
non_extended 3
statics 0
static_net 0
entry_timeouts 1
hits 585149
misses 0
cgn_dest_log_timeouts 0
ipv4_nat_alg_bind_pkts 0
ipv4_nat_alg_sd_not_found 0
ipv4_nat_alg_sd_tail_not_found 0
ipv4_nat_rx_pkt 154
ipv4_nat_tx_pkt 18791285989
<snip>
ipv4_nat_non_natted_in2out_pkts 144
ipv4_nat_non_nated_out2in_pkts 0
<snip>
ipv4_nat_cfg_rcvd 8
ipv4_nat_cfg_rsp 9
Subcode#14 ADDR_ALLOC_FAIL 5216959285
Vérifiez le nombre actuel d'entrées et comparez les valeurs maxhost_count et maxhost_himark :
- maxhost_count : La présente les entrées actuelles du routeur.
- maxhost_himark : La montre 7, ce qui indique que la limite a été atteinte à un certain point.
NAT_R1#show platform hardware qfp active feature nat datapath limit
maxhost_limit 131072 maxhost_count 5 maxhost_fail 0 maxhost_himark 7
total limit entries 0 hash tbl 0x0 max entries 0 limit_chunk 0x0 allvrf limit 0
acl limit 0 acl count 0 acl fail 0 acl_id 0x0
Cause possible
Le nombre d’adresses utilisables dans le pool NAT est compris entre 3 et 5. Des problèmes se produisent lorsque des traductions inactives restent dans la table NAT, ce qui empêche la traduction d’autres trafics. Ce comportement est attendu, car le délai de traduction NAT par défaut est de 24 heures. Pour résoudre ce problème, configurez la commande ip nat translation timeout pour effacer les traductions inactives après cette action, la table NAT doit être claire.
NAT_R1(config)#ip nat translation timeout 10800
NAT_R1(config)#end
NAT_R1#clear ip nat translation *
NAT_R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.5 192.0.2.11 --- ---
--- 203.0.113.4 192.0.2.10 --- ---
icmp 203.0.113.4:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.5:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 4
Étude de cas : NAT traduit les adresses IP non mises en réseau (problème de portier)
La fonctionnalité NAT Gatekeeper est conçue pour améliorer les performances du routeur en protégeant le moteur NAT du traitement des flux non NAT. Lorsque des paquets non-NAT traversent une interface NAT, ils subissent généralement des recherches approfondies avant que la NAT ne détermine que la traduction n'est pas requise. Ce processus sollicite énormément le processeur sur le processeur de flux quantique (QFP). Le contrôleur d'accès atténue ce problème en conservant un petit cache de flux non-NAT, permettant à ces paquets de contourner le moteur NAT une fois identifiés, réduisant ainsi la charge du CPU. Les entrées du cache du contrôleur d'accès expirent relativement rapidement, ce qui permet aux flux d'être réévalués par le moteur NAT en cas de changement des conditions du réseau et le flux peut maintenant être soumis à la NAT.
Ce mécanisme permet d'optimiser l'utilisation des ressources et améliore l'efficacité globale du système lors du traitement du trafic NAT et non NAT mixte sur la même interface. La taille du cache du contrôleur d'accès peut être configurée pour prendre en charge le volume du trafic non-NAT, avec des valeurs par défaut basées sur la plate-forme. Il est recommandé de régler la taille du cache lorsque le trafic non NAT est important sur une interface NAT.
En résumé, le contrôleur d'accès NAT :
· Protège le moteur NAT du traitement inutile des flux non NAT.
· Gère un cache de flux non-NAT pour leur permettre de contourner le traitement NAT.
· Utilise des délais d'attente sur les entrées de cache pour permettre la réévaluation des flux.
· Aide à réduire l'utilisation du processeur sur le QFP.
· Prend en charge la taille de cache configurable pour optimiser les performances en fonction des modèles de trafic.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
12-Jun-2026
|
Première publication |
Commentaires