Controleren en oplossen van problemen met NAT-basisconnectiviteit
Inhoud
Inleiding
In dit document wordt beschreven hoe u IP-connectiviteitsproblemen in een NAT-omgeving kunt troubleshooten.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Probleem
In dit document wordt beschreven hoe u problemen met IP-connectiviteit in een NAT-omgeving kunt oplossen door de volgende twee voorbeelden te bekijken:
- De ene router pingen, maar de andere niet
- Externe netwerkapparaten kunnen niet communiceren met interne routers
De volgende basisstappen zijn nuttig om te bepalen of er een probleem is met de NAT-bewerkingen:
1. Controleer de configuratie en definieer duidelijk wat NAT moet bereiken. Op basis van de beoordeling kunt u bepalen of er een probleem is met de configuratie. Raadpleeg Netwerkadresvertaling configureren voor informatie over de NAT-configuratie.
2. Controleer of de vertaaltabel de juiste vertalingen bevat.
3. Gebruik de opdrachten show en debug om te controleren of de vertaling plaatsvindt.
4. Bekijk in detail wat er met het pakket gebeurt en controleer of routers de juiste routeringsinformatie hebben om het pakket mee door te sturen.
De ene router pingen, maar de andere niet
In dit eerste scenario kan Router 4 Router 5 pingen (172.16.6.5) maar niet Router 7 (172.16.11.7):
NAT-topologie
Router4#ping 172.16.6.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/2 ms
Router4#ping 172.16.11.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router4#Belangrijke overwegingen bij dit scenario:
- Er zijn geen dynamische routeringsprotocollen geconfigureerd op de routers, alleen statische routes worden gebruikt.
- De standaard gateway van router 4 is router 6.
- Router 6 is geconfigureerd met NAT.
interface GigabitEthernet1
ip address 172.16.11.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet2
ip address 172.16.6.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet3
ip address 10.10.10.6 255.255.255.0
ip nat inside
negotiation auto
no mop enabled
no mop sysid
!
!
ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24
ip nat inside source static 10.10.10.4 172.16.6.14
ip nat inside source list 7 pool test
!
ip access-list standard 7
10 permit 10.10.50.4
20 permit 10.10.60.4
30 permit 10.10.70.4Probleemoplossing
1. Eerst moet u vaststellen dat NAT correct werkt. Uit de vorige configuratie kan worden bepaald dat Router 4 IP-adres 10.10.10.4 statisch wordt vertaald naar 172.16.6.14. U kunt de opdracht show ip nat translation gebruiken op Router 6 om te controleren of de vertaling wel bestaat in de vertaaltabel:
NAT-Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 172.16.6.14 10.10.10.4 --- ---
Total number of translations: 1
NAT-Router#2. Zorg ervoor dat deze vertaling plaatsvindt wanneer Router 4 IP-verkeer veroorzaakt. Je kunt dit op twee manieren doen vanaf Router 6. Voer een NAT-foutopsporing uit of bewaak NAT-statistieken met de opdracht ip nat-statistieken tonen. Omdat foutopsporingsopdrachten het laatste redmiddel zijn, begint u met de opdracht show.
3. Controleer de teller om ervoor te zorgen dat deze toeneemt naarmate het verkeer van Router 4 ontvangt. De teller neemt toe telkens wanneer de vertaaltabel wordt gebruikt om een adres te vertalen.
4. Wis de statistieken, geef vervolgens de statistieken weer en probeer vervolgens Router 7 vanaf Router 4 te pingen en geef de statistieken opnieuw weer.
NAT-Router#clear ip nat statistics
NAT-Router#
NAT-Router#show ip nat statistics
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
GigabitEthernet1, GigabitEthernet2
Inside interfaces:
GigabitEthernet3
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 7 pool test refcount 0
pool test: id 1, netmask 255.255.255.0
start 172.16.11.70 end 172.16.11.71
type generic, total addresses 2, allocated 0 (0%), misses 0
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0 Out-to-in drops: 0
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT-Router#Nadat u de ping 172.16.11.7-opdracht op Router 4 hebt gebruikt, zijn de NAT-statistieken op Router 6:
Router4#ping 172.16.11.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router4#
NAT-Router#show ip nat statistics
Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
GigabitEthernet1, GigabitEthernet2
Inside interfaces:
GigabitEthernet3
Hits: 4 Misses: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 7 pool test refcount 0
pool test: id 1, netmask 255.255.255.0
start 172.16.11.70 end 172.16.11.71
type generic, total addresses 2, allocated 0 (0%), misses 0
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0 Out-to-in drops: 0
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT-Router# U kunt zien van de show commando's het aantal hits verhoogd. Bij een succesvolle ping van een Cisco-router neemt het aantal hits met tien toe. De Internet Control Message Protocol (ICMP) echo's verzonden door de bron router (Router 4) worden vertaald, en de echo antwoordpakketten van de bestemming router (Router 7) moeten ook worden vertaald, voor een totaal van tien hits. Het verlies van vijf hits is omdat de echo-antwoorden niet worden vertaald of niet worden verzonden vanaf Router 7.
Bekijk vervolgens of u een reden kunt vinden waarom Router 7 de echo-antwoordpakketten niet naar Router 4 zou sturen. Op dit moment zijn de volgende stappen gezet:
- Router 4 verzendt ICMP echo-pakketten met een bronadres van 10.10.10.4 en een bestemmingsadres van 172.16.11.7.
- Nadat NAT heeft plaatsgevonden, heeft het pakket dat door Router 7 is ontvangen een bronadres van 172.16.6.14 en een bestemmingsadres van 172.16.11.7.
- Router 7 moet reageren op 172.16.6.14 en aangezien 172.16.6.14 niet rechtstreeks is verbonden met Router 7, heeft het een route nodig voor dit netwerk om te reageren.
Opmerking: Een andere optie om te bevestigen of de pakketten naar de bestemmingsrouter gaan, is om een ingesloten pakketopname (EPC) te gebruiken of een debug ip/icmp debug ip-pakket met een toegangslijst (ACL) te gebruiken.
Nu moet u de routeringstabel van Router 7 controleren om te controleren of er een route naar 172.16.6.14 bestaat:
Router7#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.16.11.0/24 is directly connected, GigabitEthernet1
L 172.16.11.7/32 is directly connected, GigabitEthernet1
Router7#Uit de vorige uitvoer kunt u zien dat de Router 7 geen route voor 172.16.6.14-subnet in de routeringstabel heeft. Zodra dit is gecorrigeerd en een route aan de configuratie is toegevoegd, werkt de ping. Het is handig om NAT-statistieken te bewaken met de opdracht show ip nat-statistieken. In een meer complexe NAT-omgeving met verschillende vertalingen is deze show-opdracht echter niet langer nuttig en is het gebruik van debugs op de router nodig.
Router7#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router7(config)#ip route 172.16.6.0 255.255.255.0 172.16.11.6 Router7(config)#end Router7#Router4#ping 172.16.11.7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms Router4#NAT-Router#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 1 extended) Outside interfaces: GigabitEthernet1, GigabitEthernet2 Inside interfaces: GigabitEthernet3 Hits: 9 Misses: 1 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list 7 pool test refcount 0 pool test: id 1, netmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated 0 (0%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 In-to-out drops: 0 Out-to-in drops: 0 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 NAT-Router#
Externe netwerkapparaten kunnen niet communiceren met interne routers
Voor dit probleem kan Router 4 zowel Router 5 als Router 7 pingen, maar apparaten op het 10.10.50.0-netwerk kunnen niet communiceren met Router 5 of Router 7.
Router4#ping 172.16.11.7 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
.....
Success rate is 0 percent (0/5)
Router4#ping 172.16.6.5 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
.....
Success rate is 0 percent (0/5)
Router4#Het netwerkdiagram voor dit probleem blijft hetzelfde:
NAT-topologie
interface GigabitEthernet1
ip address 172.16.11.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet2
ip address 172.16.6.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet3
ip address 10.10.10.6 255.255.255.0
ip nat inside
negotiation auto
no mop enabled
no mop sysid
!
!
ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24
ip nat inside source static 10.10.10.4 172.16.6.14
ip nat inside source list 7 pool test
!
ip access-list standard 7
10 permit 10.10.50.4
20 permit 10.10.60.4
30 permit 10.10.70.4 Probleemoplossing
Uit de configuratie van Router 6 kunt u zien dat NAT wordt verondersteld om dynamisch te vertalen 10.10.50.4 naar het eerste beschikbare adres in de NAT-pool genaamd test. De pool bestaat uit de adressen 172.16.11.70 en 172.16.11.71. Vanuit dit probleem kunt u begrijpen dat de pakketten die Routers 5 en 7 ontvangen een bronadres hebben van 172.16.11.70 of 172.16.11.71. Deze adressen bevinden zich op hetzelfde subnet als Router 7, dus Router 7 moet een direct verbonden route naar dit subnet hebben, maar als het er nog geen heeft, heeft Router 5 een route naar het subnet nodig.
U kunt de opdracht show ip route gebruiken om te zien dat de routeringstabel Router 5 wel lijst 172.16.11.0 bevat:
Router5#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.16.6.0/24 is directly connected, GigabitEthernet1
L 172.16.6.5/32 is directly connected, GigabitEthernet1
S 172.16.11.0/24 [1/0] via 172.16.6.6U kunt de opdracht show ip route gebruiken om te zien dat de routeringstabel Router 7 172.16.11.0 als een direct verbonden subnet vermeldt:
Router7#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
S 172.16.6.0/24 [1/0] via 172.16.11.6
C 172.16.11.0/24 is directly connected, GigabitEthernet1
L 172.16.11.7/32 is directly connected, GigabitEthernet1Controleer de NAT-vertaaltabel en controleer of de verwachte vertaling bestaat. Aangezien de gewenste vertaling dynamisch wordt gemaakt, moet u eerst IP-verkeer verzenden dat afkomstig is van het juiste adres. Nadat een ping is verzonden, afkomstig van 10.10.50.4 en bestemd voor 172.16.11.7, toont de vertaaltabel in Router 6 (NAT Router) de volgende uitvoer:
NAT-Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 172.16.6.14 10.10.10.4 --- ---
--- 172.16.11.70 10.10.50.4 --- ---
Total number of translations: 2Aangezien de verwachte vertaling in de vertaaltabel staat, weet u dat de ICMP-echopakketten naar behoren worden vertaald. Een optie is dat je de NAT-statistieken kunt monitoren, maar dat is niet handig in een complexe omgeving. Een andere optie is om NAT-foutopsporing uit te voeren op de NAT Router (Router 6). U kunt debug ip nat uitvoeren terwijl u een ping verzendt die afkomstig is van 10.10.50.4 en bestemd is voor 172.16.11.7. De foutopsporingsresultaten worden weergegeven in het volgende codevoorbeeld:
NAT-Router#show logging Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 39 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, 39 messages logged Trap logging: level informational, 33 message lines logged Log Buffer (4096 bytes): 05:32:23: NAT: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [70] 05:32:23: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [70] 05:32:25: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [71] 05:32:25: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [71] 05:32:27: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [72] 05:32:27: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [72] 05:32:29: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [73] 05:32:29: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [73] 05:32:31: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [74] 05:32:31: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [74]
Router7#show monitor capture cap buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 172.16.11.70 -> 172.16.11.7 0 BE ICMP
1 114 2.000000 172.16.11.70 -> 172.16.11.7 0 BE ICMP
2 114 4.000000 172.16.11.70 -> 172.16.11.7 0 BE ICMP
3 114 6.001999 172.16.11.70 -> 172.16.11.7 0 BE ICMP
4 114 8.001999 172.16.11.70 -> 172.16.11.7 0 BE ICMPZoals u kunt zien in de vorige debug-uitvoer, toont de eerste regel het bronadres van 10.10.50.4 vertaald naar 172.16.11.70. De tweede regel toont het bestemmingsadres van 172.16.11.70 is terug vertaald naar 10.10.50.4. Dit patroon herhaalt zich gedurende de rest van het debug. Dit betekent dat NAT Router de pakketten in beide richtingen vertaalt. Ook uit de packet capture blijkt dat Router 7 inderdaad de ICMP-pakketten ontvangt met een bron van 172.16.11.70 en een bestemming van 172.16.11.7.
De volgende stappen zijn een samenvatting van de huidige status van dit probleem:
1. Router 4 verzendt een pakket afkomstig van 10.10.50.4 dat bestemd is voor 172.16.11.7 (of 172.16.6.5, afhankelijk van de uitgevoerde test).
2. NAT Router voert een NAT-vertaling uit op het pakket en stuurt het door met een bron van 172.16.11.70 en een bestemming van 172.16.11.7.
3. Router 7 verzendt een antwoord met een bron van 172.16.11.7 en een bestemming van 172.16.11.70.
4. NAT Router (Router 6) voert NAT uit op het pakket, wat resulteert in een pakket met bronadres 172.16.11.7 en bestemmingsadres 10.10.50.4.
5. NAT Router (Router 6) routeert het pakket naar 10.10.50.4 op basis van informatie in de routeringstabel.
Op dit punt moet u de show ip-route gebruiken en ip cef-opdrachten weergeven om te bevestigen dat NAT Router (Router 6) de nodige routes in de routeringstabel heeft.
NAT-Router#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route H - NHRP, G - NHRP registered, g - NHRP registration summary o - ODR, P - periodic downloaded static route, l - LISP a - application route + - replicated route, % - next hop override, p - overrides from PfR & - replicated local route overrides by connected Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, GigabitEthernet3 L 10.10.10.6/32 is directly connected, GigabitEthernet3 172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks C 172.16.6.0/24 is directly connected, GigabitEthernet2 L 172.16.6.6/32 is directly connected, GigabitEthernet2 L 172.16.6.14/32 is directly connected, GigabitEthernet2 C 172.16.11.0/24 is directly connected, GigabitEthernet1 L 172.16.11.6/32 is directly connected, GigabitEthernet1 L 172.16.11.70/32 is directly connected, GigabitEthernet1NAT-Router#show ip route 10.10.50.4 % Subnet not in table NAT-Router#show ip cef 10.10.50.4 0.0.0.0/0 no route NAT-Router#
Na het toevoegen van de ontbrekende route in de NAT Router, is de ping nu succesvol:
NAT-Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
NAT-Router(config)#ip route 10.10.50.4 255.255.255.255 10.10.10.4
NAT-Router(config)#end
NAT-Router#
Router4#ping 172.16.11.7 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
Router4#ping 172.16.6.5 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Router4# Checklist voor veelvoorkomende problemen
Gebruik deze checklist om veelvoorkomende problemen op te lossen.
Vertaling niet geïnstalleerd in de vertaaltabel
Als u vindt dat de juiste vertaling niet in de vertaaltabel is geïnstalleerd, controleert u:
- De configuratie is correct. Het is moeilijk om NAT te krijgen om te krijgen wat je soms wilt. Raadpleeg Netwerkadresvertaling configureren voor hulp bij de configuratie.
- Er zijn geen inkomende toegangslijsten die de invoer van pakketten van de NAT-router weigeren.
- De NAT-router heeft de juiste route in de routeringstabel als het pakket van binnen naar buiten gaat. Raadpleeg Volgorde van NAT-bewerkingen voor meer informatie.
- De toegangslijst waarnaar wordt verwezen door de NAT-opdracht maakt alle noodzakelijke netwerken mogelijk.
- Er zijn genoeg adressen in de NAT-pool. Dit kan alleen een probleem zijn als NAT niet is geconfigureerd voor congestie.
- Dat de routerinterfaces op passende wijze worden gedefinieerd als NAT binnen of NAT buiten.
- Zorg ervoor dat de vertaling van de payload van DNS-pakketten (Domain Name System) plaatsvindt op het adres in de IP-header van het pakket. Gebeurt dit niet, dan kijkt NAT niet naar de payload van het pakket.
Juiste vertaalvermelding wordt niet gebruikt
Als de juiste vertaalvermelding in de vertaaltabel is geïnstalleerd, maar niet wordt gebruikt, controleert u:
- Controleer of er geen inkomende toegangslijsten zijn die toegang van de pakketten van de NAT-router weigeren.
- Voor pakketten die van binnen naar buiten gaan, moet u controleren of er een route naar de bestemming is, omdat dit vóór vertaling wordt gecontroleerd. Raadpleeg Volgorde van NAT-bewerkingen voor meer informatie.
NAT werkt correct, maar er zijn nog steeds verbindingsproblemen
Problemen met de connectiviteit oplossen:
- Controleer de connectiviteit van laag 2.
- Controleer de routeringsgegevens van laag 3.
- Zoek naar pakketfilters die het probleem veroorzaken.
"%NAT-systeem bezig - probeer het later"
De foutmelding try later verschijnt wanneer een show-opdracht met betrekking tot NAT of een show running-config of write memory opdracht wordt uitgevoerd. Dit wordt veroorzaakt door de toename van de grootte van de NAT-tabel. Wanneer de grootte van de NAT-tabel toeneemt, raakt de router zonder geheugen.
- Laad de router opnieuw om dit probleem op te lossen.
- Deze fout wordt meestal gezien in oudere platforms. Het wordt aanbevolen om de apparaatsoftware bijgewerkt te houden.
Grote vertaaltabel verhoogt de CPU
Een host kan honderden vertalingen verzenden, wat een hoog CPU-gebruik veroorzaakt. Met andere woorden, het kan de tabel zo groot maken dat het ervoor zorgt dat de CPU op 100 procent draait. Met de opdracht max-entries 300 voor IP nat-vertaling wordt de limiet van 300 per host of een geaggregeerde limiet voor het aantal vertalingen op de router ingesteld. De oplossing is om de opdracht ip nat translation max-entries all-hosts 300 te gebruiken.
Geen items in de ARP-tabel
Dit is een gevolg van de no-alias optie op de NAT-vermeldingen. De no-alias optie betekent dat de router niet reageert op de adressen en geen ARP-vermelding installeert. Als een andere router een NAT-pool gebruikt als een interne globale pool die bestaat uit adressen op een gekoppeld subnet, wordt een alias gegenereerd voor dat adres, zodat de router verzoeken van het Address Resolution Protocol (ARP) voor die adressen kan beantwoorden. Dit zorgt ervoor dat de router ARP-vermeldingen heeft voor de valse adressen.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
10-Sep-2024
|
Bijgewerkt Alt tekst en opmaak. |
1.0 |
27-Dec-2023
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)