Verify and Troubleshoot Basic NAT Operations (Eenvoudige NAT-processen verifiëren en troubleshooten)

Bijgewerkt:27 december 2023
Document-id:221481

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u IP-connectiviteitsproblemen in een NAT-omgeving kunt troubleshooten.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Probleem

    Dit document beschrijft hoe u problemen met IP-connectiviteit in een NAT-omgeving kunt oplossen door de volgende twee voorbeelden te bekijken:

    • Eén router pingen maar geen andere router
    • Apparaten voor buitengebruik kunnen niet communiceren met interne routers

    De volgende basisstappen zijn nuttig om te bepalen als er een probleem in de NAT verrichtingen is:

    1. Controleer de configuratie en geef duidelijk aan wat NAT moet bereiken. Gebaseerd op het overzicht, kunt u bepalen als er een probleem met de configuratie is. Zie Netwerkadresomzetting configureren voor meer informatie over de NAT-configuratie.

    2. Controleer of de vertaaltabel de juiste vertalingen bevat.

    3. Gebruik de opdrachten show en debug om te verifiëren dat de vertaling plaatsvindt.

    4. Controleer in detail wat er met het pakket gebeurt en controleer of routers de juiste routerinformatie hebben om het pakket door te sturen.

    Eén router pingen maar geen andere router

    In dit eerste scenario kan router 4 router 5 (172.16.6.5) maar niet router 7 (172.16.11.7) pingen:

    NAT TopologyNAT-topologie

    Router4#ping 172.16.6.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/2 ms
Router4#ping 172.16.11.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router4#

    Belangrijke overwegingen over dit scenario:

    • Er zijn geen dynamische routingprotocollen geconfigureerd bij de routers. Er worden alleen statische routes gebruikt.
    • Router 4 standaardgateway is router 6.
    • Router 6 wordt geconfigureerd met NAT.
    interface GigabitEthernet1
 ip address 172.16.11.6 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
!         
interface GigabitEthernet2
 ip address 172.16.6.6 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet3
 ip address 10.10.10.6 255.255.255.0
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
!
ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24 ip nat inside source static 10.10.10.4 172.16.6.14 ip nat inside source list 7 pool test
!
ip access-list standard 7
 10 permit 10.10.50.4
 20 permit 10.10.60.4
 30 permit 10.10.70.4

    Probleemoplossing

    1. Eerst moet u vaststellen dat NAT correct werkt. Van de vorige configuratie, kan worden bepaald dat router 4 IP-adres 10.10.10.4 statisch wordt vertaald naar 172.16.6.14. U kunt de opdracht NAT-vertaling tonen op router 6 gebruiken om te verifiëren dat de vertaling in de vertaaltabel bestaat:

    NAT-Router#show ip nat translations 
Pro  Inside global         Inside local          Outside local         Outside global
---  172.16.6.14           10.10.10.4            ---                   ---
Total number of translations: 1

NAT-Router#

    2. Zorg ervoor dat deze vertaling gebeurt wanneer router 4 IP-verkeer brondt. U kunt dit op twee manieren doen vanaf router 6. Stel NAT in werking zuiveren of controleren NAT statistieken met het bevel van showip nationaal statistieken. Omdat debug commando's het laatste redmiddel zijn, start je met het show commando.

    3. Controleer de teller om er zeker van te zijn dat de teller toeneemt als u verkeer van router 4 ontvangt. De tellerstoename telkens als de vertaallijst wordt gebruikt om een adres te vertalen.

    4. Wis de statistieken, dan toon de statistieken, dan probeer om router 7 van router 4 te pingelen, en dan toon opnieuw de statistieken.

    NAT-Router#clear ip nat statistics 
NAT-Router#
NAT-Router#show ip nat statistics 
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
  GigabitEthernet1, GigabitEthernet2
Inside interfaces: 
  GigabitEthernet3
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 7 pool test refcount 0
 pool test: id 1, netmask 255.255.255.0
        start 172.16.11.70 end 172.16.11.71
        type generic, total addresses 2, allocated 0 (0%), misses 0
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0  Out-to-in drops: 0
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT-Router#

    Nadat u de opdracht ping 172.16.11.7 op router 4 hebt gebruikt, zijn de NAT-statistieken op router 6:

    Router4#ping 172.16.11.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router4#

NAT-Router#show ip nat statistics 
Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
  GigabitEthernet1, GigabitEthernet2
Inside interfaces: 
  GigabitEthernet3
Hits: 4 Misses: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 7 pool test refcount 0
 pool test: id 1, netmask 255.255.255.0
        start 172.16.11.70 end 172.16.11.71
        type generic, total addresses 2, allocated 0 (0%), misses 0
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0  Out-to-in drops: 0
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT-Router#

    U kunt van de show zien beveelt het aantal verhoogde klappen. In een succesvolle ping van een Cisco-router neemt het aantal hits met tien toe. De Internet Control Message Protocol (ICMP)-echo's die door de bronrouter (router 4) worden verzonden, worden vertaald en de echo-antwoordpakketten van de doelrouter (router 7) moeten ook worden vertaald, voor in totaal tien hits. Het verlies van vijf hits is omdat de echoantwoorden niet vertaald zijn of niet verzonden zijn vanaf router 7.

    Daarna, zie of kunt u om het even welke reden vinden waarom Router 7 de pakketten van het echoantwoord niet naar Router 4 zou verzenden. Op dit moment zijn de volgende stappen gezet:

    • Router 4 verzendt ICMP-echopakketten met een bronadres van 10.10.10.4 en een bestemmingsadres van 172.16.11.7.
    • Nadat NAT plaatsvindt, heeft het pakket dat wordt ontvangen door router 7 een bronadres van 172.16.6.14 en een bestemmingsadres van 172.16.11.7.
    • Router 7 moet antwoorden op 172.16.6.14, en aangezien 172.16.6.14 niet rechtstreeks is verbonden met router 7, heeft het een route voor dit netwerk nodig om te reageren.
    note-icon

    Opmerking: een andere optie om te bevestigen of de pakketten naar de doelrouter gaan, is om een ingesloten pakketvastlegging (EPC) te gebruiken of een debug-ip-icmp/debug-ip-pakket met een toegangslijst (ACL) te gebruiken.

    Nu moet u de routertabel van router 7 controleren om te verifiëren of een route naar 172.16.6.14 bestaat:

    Router7#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

Gateway of last resort is not set

      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.11.0/24 is directly connected, GigabitEthernet1
L        172.16.11.7/32 is directly connected, GigabitEthernet1
Router7#

    Van de vorige output, kunt u opmerken dat router 7 geen route voor 172.16.6.14 subnetadapter in zijn routeringstabel heeft. Zodra dit wordt verbeterd, en een route wordt toegevoegd aan de configuratie, pingel werken. Het is nuttig om NAT statistieken met het bevel van showIP nationaal statistieken te controleren. In een complexere NAT-omgeving met verschillende vertalingen is deze show-opdracht echter niet langer nuttig en is het gebruik van debugs nodig op de router.

    Router7#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router7(config)#ip route 172.16.6.0 255.255.255.0 172.16.11.6
Router7(config)#end
Router7#

    Router4#ping 172.16.11.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms
Router4#

    NAT-Router#show ip nat statistics 
Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
  GigabitEthernet1, GigabitEthernet2
Inside interfaces: 
  GigabitEthernet3
Hits: 9  Misses: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 7 pool test refcount 0
 pool test: id 1, netmask 255.255.255.0
        start 172.16.11.70 end 172.16.11.71
        type generic, total addresses 2, allocated 0 (0%), misses 0
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0  Out-to-in drops: 0
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT-Router#

    Apparaten voor buitengebruik kunnen niet communiceren met interne routers

    In dit probleem, kan router 4 zowel router 5 als router 7 pingelen, maar de apparaten op het 10.10.50.0 netwerk kunnen niet met router 5 of router 7 communiceren. 

    Router4#ping 172.16.11.7 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4 
.....
Success rate is 0 percent (0/5)              
Router4#ping 172.16.6.5 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4 
.....
Success rate is 0 percent (0/5)
Router4#

    Het netwerkdiagram voor dit probleem blijft hetzelfde:

    NAT TopologyNAT-topologie

    interface GigabitEthernet1
 ip address 172.16.11.6 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
!         
interface GigabitEthernet2
 ip address 172.16.6.6 255.255.255.0
 ip nat outside
 negotiation auto
 no mop enabled
 no mop sysid
!
interface GigabitEthernet3
 ip address 10.10.10.6 255.255.255.0
 ip nat inside
 negotiation auto
 no mop enabled
 no mop sysid
!
!
ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24 ip nat inside source static 10.10.10.4 172.16.6.14 ip nat inside source list 7 pool test
!
ip access-list standard 7
 10 permit 10.10.50.4
 20 permit 10.10.60.4
 30 permit 10.10.70.4 

    Probleemoplossing

    Van de configuratie van router 6, kunt u opmerken dat NAT verondersteld wordt om 10.10.50.4 aan het eerste beschikbare adres in de NAT pool genoemd test dynamisch te vertalen. De pool bestaat uit adressen 172.16.11.70 en 172.16.11.71. Van dit probleem, kunt u begrijpen dat de pakketten die Routers 5 en 7 ontvangen of een bronadres van 172.16.11.70 of 172.16.11.71 hebben. Deze adressen zijn op hetzelfde subnet als router 7, zodat router 7 een direct verbonden route aan dit subnet moet hebben, echter, als het niet reeds één heeft, heeft router 5 een route aan subnet nodig.

    U kunt het showip routebevel gebruiken om te zien dat Router 5 die lijst maakt van lijst 172.16.11.0:

    Router5#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

Gateway of last resort is not set

      172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C        172.16.6.0/24 is directly connected, GigabitEthernet1
L        172.16.6.5/32 is directly connected, GigabitEthernet1
S 172.16.11.0/24 [1/0] via 172.16.6.6

    U kunt het bevel van de showip route gebruiken om te zien dat router 7 die lijst maakt van de lijst van de routerlijst 172.16.11.0 als direct verbonden Subnet:

    Router7#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

Gateway of last resort is not set

      172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
S        172.16.6.0/24 [1/0] via 172.16.11.6
C 172.16.11.0/24 is directly connected, GigabitEthernet1
L        172.16.11.7/32 is directly connected, GigabitEthernet1

    Controleer de NAT-vertaaltabel en controleer of de verwachte vertaling bestaat. Aangezien de gewenste vertaling dynamisch wordt gemaakt, moet u eerst IP-verkeer verzenden dat afkomstig is van het juiste adres. Nadat een ping is verzonden, afkomstig van 10.10.50.4 en bestemd voor 172.16.11.7, toont de vertaaltabel in router 6 (NAT-router) de volgende uitvoer:

    NAT-Router#show ip nat translations 
Pro  Inside global         Inside local          Outside local         Outside global
---  172.16.6.14           10.10.10.4            ---                   ---
---  172.16.11.70 10.10.50.4            ---                   ---
Total number of translations: 2

    Aangezien de verwachte vertaling in de vertaallijst is, weet u dat de ICMP-echopakketten correct worden vertaald. Één optie is dat u de NAT- statistieken kunt controleren, maar dat is niet nuttig in een complex milieu. Een andere optie is om NAT-debugging op de NAT-router (router 6) uit te voeren. U kunt debug ip Nat uitvoeren terwijl u een ping-bron van 10.10.50.4 verzonden die bestemd is voor 172.16.11.7. De debug resultaten zijn in het volgende codevoorbeeld:

    Opmerking: wanneer u een debug-opdracht op een router gebruikt, kunt u de router overladen, waardoor deze inoperabel wordt. Gebruik altijd extreme voorzichtigheid en indien mogelijk, voer nooit een debug uit op een kritieke productierouterie zonder het toezicht van een Cisco Technical Support Engineer.


    NAT-Router#show logging
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
       Console logging: level debugging, 39 messages logged
       Monitor logging: level debugging, 0 messages logged
       Buffer logging: level debugging, 39 messages logged
       Trap logging: level informational, 33 message lines logged

Log Buffer (4096 bytes):

05:32:23: NAT: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [70]
05:32:23: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [70]
05:32:25: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [71]
05:32:25: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [71]
05:32:27: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [72]
05:32:27: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [72]
05:32:29: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [73]
05:32:29: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [73]
05:32:31: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [74]
05:32:31: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [74]
    Router7#show monitor capture cap buffer brief                                     
 ----------------------------------------------------------------------------
 #   size   timestamp     source             destination      dscp    protocol
 ----------------------------------------------------------------------------
   0  114    0.000000   172.16.11.70     ->  172.16.11.7      0  BE   ICMP
   1  114    2.000000   172.16.11.70     ->  172.16.11.7      0  BE   ICMP
   2  114    4.000000   172.16.11.70     ->  172.16.11.7      0  BE   ICMP
   3  114    6.001999   172.16.11.70     ->  172.16.11.7      0  BE   ICMP
   4  114    8.001999   172.16.11.70     ->  172.16.11.7      0  BE   ICMP

    Zoals u kunt zien van de vorige debug uitvoer, toont de eerste lijn het bronadres van 10.10.50.4 vertaald naar 172.16.11.70. De tweede regel toont het bestemmingsadres van 172.16.11.70 wordt vertaald terug naar 10.10.50.4. Dit patroon herhaalt zich gedurende de rest van de debug. Dit betekent dat NAT Router de pakketten in beide richtingen vertaalt. Ook, van het pakket kan het worden gezien dat router 7 inderdaad de pakketten ICMP met een bron van 172.16.11.70 en een bestemming van 172.16.11.7 ontvangt.

    De volgende stappen geven een overzicht van de huidige status van dit probleem:

    1. Router 4 verzendt een pakket afkomstig van 10.10.50.4 bestemd voor 172.16.11.7 (of 172.16.6.5 afhankelijk van de uitgevoerde test).

    2. NAT-router voert een NAT-vertaling op het pakket uit en doorstuurt het met een bron van 172.16.11.70 en een bestemming van 172.16.11.7.

    3. Router 7 stuurt een antwoord met een bron van 172.16.11.7 en een bestemming van 172.16.11.70.

    4. NAT-router (router 6) voert NAT uit op het pakket, wat resulteert in een pakket met bronadres 172.16.11.7 en bestemmingsadres 10.10.50.4.

    5. NAT-router (router 6) routeert het pakket naar 10.10.50.4 op basis van informatie in zijn routeringstabel.

    Op dit punt moet u de IP-route van de show gebruiken en ip cef-opdrachten tonen om te bevestigen dat NAT-router (router 6) de benodigde routes in de routeringstabel heeft.

    NAT-Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
       n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       H - NHRP, G - NHRP registered, g - NHRP registration summary
       o - ODR, P - periodic downloaded static route, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR
       & - replicated local route overrides by connected

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.10.0/24 is directly connected, GigabitEthernet3
L        10.10.10.6/32 is directly connected, GigabitEthernet3
      172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks
C        172.16.6.0/24 is directly connected, GigabitEthernet2
L        172.16.6.6/32 is directly connected, GigabitEthernet2
L        172.16.6.14/32 is directly connected, GigabitEthernet2
C        172.16.11.0/24 is directly connected, GigabitEthernet1
L        172.16.11.6/32 is directly connected, GigabitEthernet1
L        172.16.11.70/32 is directly connected, GigabitEthernet1

    NAT-Router#show ip route 10.10.50.4
% Subnet not in table
NAT-Router#show ip cef 10.10.50.4
0.0.0.0/0
  no route
NAT-Router#  

    Na het toevoegen van de ontbrekende route in de NAT router, is pingelen nu succesvol:

    NAT-Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
NAT-Router(config)#ip route 10.10.50.4 255.255.255.255 10.10.10.4
NAT-Router(config)#end
NAT-Router#

Router4#ping 172.16.11.7 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
Router4#ping 172.16.6.5 source 10.10.50.4 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Router4#  

    Controlelijst voor gemeenschappelijke problemen

    Gebruik deze controlelijst om veelvoorkomende problemen op te lossen:

    Vertaling niet geïnstalleerd in de vertaaltabel

    Als u vindt dat de juiste vertaling niet in de vertaaltabel is geïnstalleerd, controleert u:

    1. De configuratie is correct. Het is soms moeilijk om NAT te krijgen om te krijgen wat je wilt. Zie Netwerkadresomzetting configureren voor de Help-functie bij het configureren van de configuratie.
    2. Er zijn geen inkomende toegangslijsten die de ingang van pakketten van de NAT router ontkennen.
    3. De NAT router heeft de juiste route in de routeringstabel als het pakket van binnen naar buiten gaat. Raadpleeg Volgorde van NAT-bewerkingen voor meer informatie.
    4. De toegangslijst die door het NAT-commando als referentie wordt gebruikt, maakt alle benodigde netwerken mogelijk.
    5. Er zijn genoeg adressen in het NAT zwembad. Dit kan alleen een probleem zijn als NAT niet voor congestie is geconfigureerd.
    6. Dat de routerinterfaces geschikt als NAT binnen of NAT buiten worden gedefinieerd.
    7. Voor de vertaling van de payload van Domain Name System (DNS)-pakketten, zorg ervoor dat de vertaling plaatsvindt op het adres in de IP-header van het pakket. Als dit niet gebeurt, dan kijkt NAT niet in de payload van het pakket.

    De juiste vertaalingang wordt niet gebruikt

    Als de juiste vertaalgegevens in de vertaaltabel zijn geïnstalleerd maar niet worden gebruikt, controleert u:

    1. Controleer of er geen inkomende toegangslijsten zijn die het invoeren van de pakketten vanaf de NAT router ontkennen.
    2. Voor pakketten die van binnen naar buiten gaan, controleer dat er een route naar de bestemming is zoals dit vóór vertaling wordt gecontroleerd. Raadpleeg Volgorde van NAT-bewerkingen voor meer informatie.

    NAT werkt correct maar er zijn nog steeds connectiviteitsproblemen

    Probleemoplossing voor het connectiviteitsprobleem:

    1. Controleer Layer 2-connectiviteit.
    2. Controleer Layer 3-routing-informatie.
    3. Zoek naar pakketfilters die het probleem veroorzaken.

    NAT-omzetting voor poort 80 werkt niet

    NAT-vertaling voor poort 80 werkt niet, maar de vertaling voor andere poorten werkt normaal.

    U lost dit probleem als volgt op:

    1. Draai de opdrachten voor debug ip Nat-vertalingen en debug ip-pakket om te zien of de vertalingen correct zijn en of de juiste vertaalingang in de vertaaltabel is geïnstalleerd.
    2. Controleer of de server reageert.
    3. Schakel de HTTP-server uit.
    4. Schakel de NAT- en ARP-tabellen uit.

    %NAT systeem bezig - probeer later

    De poging later foutmelding verschijnt wanneer een show opdracht met betrekking tot NAT of een show in werking stellen-config of schrijf geheugen opdracht wordt uitgevoerd. Dit wordt veroorzaakt door de verhoging van de grootte van de NAT-tabel. Wanneer de grootte van de NAT-tabel toeneemt, raakt de router door geheugen heen.

    1. Herlaad de router om dit probleem op te lossen.
    2. Als de foutmelding verschijnt wanneer HSRP SNAT is geconfigureerd, configureer dan deze opdrachten om het probleem op te lossen:
      • Router (configuratie)#standby vertragingsminimum 20 herladen 20
      • Router (configuratie)#standby 2 Vooraf ingestelde vertragingsminimum 20 herladen 20 sync 10

    Grote vertaaltabel vergroot de CPU

    Een host kan honderden vertalingen verzenden, wat veel CPU-gebruik veroorzaakt. Met andere woorden, de tabel kan zo groot worden dat de CPU 100 procent draait. De opdracht max-ingangen voor IP-NAT-omzetting 300 maakt de 300 per host-limiet of een geaggregeerde limiet van de hoeveelheid vertalingen op de router. De tijdelijke oplossing is om de ip Nat vertaling max-ingangen all-hosts 300 opdracht te gebruiken.

    % openbaar IP-adres reeds in kaart gebracht (intern IP-adres > openbaar IP-adres)

    Dit bericht verschijnt wanneer u probeert om twee interne IP adressen aan één openbaar IP adres te vormen dat op de zelfde havens luistert.

    % X.X.X.X already mapped (172.30.62.101 -> X.X.X.X)

    Om dit te corrigeren, moet u het openbare IP-adres configureren om twee interne IP-adressen te hebben en twee openbare IP-adressen in de DNS te gebruiken.

    Geen items in de ARP-tabel

    Dit is een gevolg van de no-alias optie op de NAT-vermeldingen. Het no-alias optie betekent dat de router niet antwoordt voor de adressen en geen ARP ingang installeert. Als een andere router een NAT-pool gebruikt als een binnen-globale pool die bestaat uit adressen op een aangehechte subnetverbinding, wordt er een alias gegenereerd voor dat adres, zodat de router ARP-verzoeken (Address Resolution Protocol) voor die adressen kan beantwoorden. Dit veroorzaakt de router om ARP ingangen voor de valse adressen te hebben.

    Bad token 0 Gezocht TOK_NUMBER|TOK_PUNCT

    Deze foutmelding is slechts een informatieve melding en heeft geen enkele invloed op het normale gedrag van het apparaat.

    Bad token 0, wanted TOK_NUMBER|TOK_PUNCT

    De fout betekent dat NAT probeert om een Layer 4 fix op het adres in een FTP open te doen en kan niet vinden de IP-adressen die het moet vertalen in het pakket. De reden waarom het bericht tokens bevat is dat IP-adressen in het pakket worden gevonden door de zoektocht naar een token, of een set symbolen, in het IP-pakket, om de details te vinden die nodig zijn om te vertalen.

    Wanneer een FTP-sessie wordt gestart, onderhandelt deze over twee kanalen, een opdrachtkanaal en een gegevenskanaal. Dit zijn beide IP-adressen met verschillende poortnummers. De FTP-client en -server onderhandelen over een tweede gegevenskanaal om bestanden naar over te brengen. Het pakket dat via het controlekanaal wordt uitgewisseld heeft de indeling "PORT, i, i, i, i, p, p", waarin i, i, i, i, i de vier bytes van een IP-adres zijn en p,p de poort specificeert. NAT probeert dit patroon aan te passen en adres/poort te vertalen, indien nodig. NAT moet beide kanaalschema's vertalen. NAT scant naar getallen in de opdrachtstroom, totdat hij denkt dat hij een poortopdracht heeft gevonden die vertaling vereist. Vervolgens wordt de vertaling geparseerd, die met hetzelfde formaat wordt berekend.

    Als het pakket beschadigd is, of als de FTP-server of client opdrachten heeft misvormd, kan NAT de vertaling niet goed berekenen en wordt die fout gegenereerd. U kunt de FTP-client passief instellen, zodat beide kanalen worden gestart. 

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    27-Dec-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Julio Jimenez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten