Problemen met NAT oplossen op Cat8000-platforms
Inleiding
In dit document wordt beschreven hoe u NAT-problemen op Cat8000-platforms kunt oplossen.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Netwerkadresvertalingen (NAT)
- Cisco IOS XE
Voor meer informatie over deze onderwerpen, zie:
Netwerkadresomzetting configureren
Begrijp de NAT Orde van Operatie
Veelgestelde vragen over Network Address Translation (NAT)
Beperkingen voor het configureren van NAT voor het bewaren van IP-adressen
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco IOS XE-software.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Netwerkdiagram
NAT-topologie
Casestudy: NAT-uitputting (uitgeput zwembad)
Dit logbericht geeft aan dat het apparaat heeft geprobeerd een IP-adres voor NAT toe te wijzen, zoals voor een dynamische NAT- of PAT-vertaling, maar dat de toewijzing niet is gelukt. Dit gebeurt meestal wanneer er geen beschikbare adressen of poorten in de geconfigureerde NAT-pool zijn.
Veel voorkomende oorzaken zijn:
· De NAT-pool is uitgeput (alle beschikbare IP-adressen of poorten zijn in gebruik).
· De NAT-configuratie beschikt niet over voldoende adressen of bronnen om aan de huidige vertaalaanvragen te voldoen.
%NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed; pool 2 may be exhausted [2] port range: NA, non-PATable: NO, for ALG: NO, input intf: GigabitEthernet0/0/3, mapping-id: 1,
created by pkt: src_ip 192.0.2.13 dst_ip 192.x.x.40 src_port 0 dst_port 0 proto 1
Controleer de NAT-pool om het bereik voor adresvertaling te bevestigen.
NAT_R1#show ip nat pool platform
Dump NAT pool config
ID: 2, Name: NAT_Pool, Type: Generic, Mask: 255.255.255.240
Flags: Unknown, Acct name:
Address range blocks: 1
Start: 203.0.113.3, End: 203.0.113.5
Last stats update: 07/31 13:08:43.708061785
Last refcount value: 3
Controleer de NAT-vertaaltabel en bepaal het aantal actieve vertalingen dat momenteel aanwezig is.
NAT_R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.3 192.0.2.10 --- ---
--- 203.0.113.5 192.0.2.12 --- ---
--- 203.0.113.4 192.0.2.11 --- ---
icmp 203.0.113.5:0 192.0.2.12:0 198.51.100.30:0 198.51.100.30:0
icmp 203.0.113.3:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.4:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 6
Controleer of er druppels in de NAT-statistieken verschijnen. Dit resultaat zou erop wijzen dat inkomend verkeer vertaling vereist, maar dat er dalingen optreden als gevolg van NAT-toewijzingsproblemen.
NAT_R1#show ip nat statistics
Total active translations: 6 (0 static, 6 dynamic; 3 extended)
Outside interfaces:
GigabitEthernet0/0/4
Inside interfaces:
GigabitEthernet0/0/3
Hits: 11094661606 Misses: 10
Reserved port setting disabled provisioned no
Expired translations: 1412
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 1 pool NAT_Pool refcount 6 <---- Translations count
pool NAT_Pool: id 2, netmask 255.255.255.240
start 203.0.113.3 end 203.0.113.5
type generic, total addresses 3, allocated 3 (100%), misses 3559386331
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 3559337007 Out-to-in drops: 0 <---- drops from in to out
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT_R1#
Vanuit het platformperspectief bekijkt u de QFP-datapath NAT-statistieken om te bepalen of deze dalingen overeenkomen met het waargenomen probleem.
NAT_R1#show platform hardware qfp active feature nat datapath stats
Counter Value
------------------------------------------------------------------------
number_of_session 3
udp 0
tcp 0
icmp 3
non_extended 3
statics 0
static_net 0
entry_timeouts 1
hits 585149
misses 0
cgn_dest_log_timeouts 0
ipv4_nat_alg_bind_pkts 0
ipv4_nat_alg_sd_not_found 0
ipv4_nat_alg_sd_tail_not_found 0
ipv4_nat_rx_pkt 154
ipv4_nat_tx_pkt 18791285989
<snip>
ipv4_nat_non_natted_in2out_pkts 144
ipv4_nat_non_nated_out2in_pkts 0
<snip>
ipv4_nat_cfg_rcvd 8
ipv4_nat_cfg_rsp 9
Subcode#14 ADDR_ALLOC_FAIL 5216959285
Controleer het huidige aantal vermeldingen en vergelijk de waarden maxhost_count en maxhost_himark:
- MaxHost_Count: toont de huidige vermeldingen op de router.
- Maxhost_Himark: toont 7, dit geeft aan dat de limiet op een bepaald punt is bereikt.
NAT_R1#show platform hardware qfp active feature nat datapath limit
maxhost_limit 131072 maxhost_count 5 maxhost_fail 0 maxhost_himark 7
total limit entries 0 hash tbl 0x0 max entries 0 limit_chunk 0x0 allvrf limit 0
acl limit 0 acl count 0 acl fail 0 acl_id 0x0
Mogelijke oorzaak
Het aantal bruikbare adressen in de NAT-pool varieert van 3 tot 5. Er doen zich problemen voor wanneer inactieve vertalingen in de NAT-tabel blijven staan, waardoor geen ander verkeer kan worden vertaald. Dit gedrag wordt verwacht, aangezien de standaard NAT-vertaling time-out 24 uur is. Als u dit probleem wilt oplossen, configureert u de opdracht time-out voor IP nat-vertaling om inactieve vertalingen te wissen nadat deze actie is uitgevoerd. De NAT-tabel moet leeg zijn.
NAT_R1(config)#ip nat translation timeout 10800
NAT_R1(config)#end
NAT_R1#clear ip nat translation *
NAT_R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.5 192.0.2.11 --- ---
--- 203.0.113.4 192.0.2.10 --- ---
icmp 203.0.113.4:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.5:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 4
Casestudy: NAT vertaalt niet-gedateerde IP-adressen (gatekeeper-probleem)
De NAT Gatekeeper-functie is ontworpen om de routerprestaties te verbeteren door de NAT-engine te beschermen tegen het verwerken van niet-NAT-stromen. Wanneer niet-NAT-pakketten een NAT-compatibele interface passeren, worden ze meestal uitgebreid opgezocht voordat NAT bepaalt dat vertaling niet vereist is. Dit proces is CPU-intensief op de Quantum Flow Processor (QFP). De Gatekeeper beperkt dit door een kleine cache van niet-NAT-stromen te behouden, waardoor deze pakketten de NAT-engine kunnen omzeilen zodra deze is geïdentificeerd, waardoor de CPU-belasting wordt verminderd. Inzendingen in de Gatekeeper cache time-out relatief snel, waardoor stromen opnieuw worden geëvalueerd door de NAT-engine in het geval netwerkomstandigheden veranderen en de stroom kan nu worden onderworpen aan NAT.
Dit mechanisme helpt het gebruik van bronnen te optimaliseren en verbetert de algehele systeemefficiëntie bij het verwerken van gemengd NAT- en niet-NAT-verkeer op dezelfde interface. De cachegrootte voor de Gatekeeper kan worden geconfigureerd voor het volume van niet-NAT-verkeer, met standaardwaarden op basis van het platform. Het aanpassen van de cachegrootte wordt aanbevolen wanneer er aanzienlijk niet-NAT-verkeer aanwezig is op een NAT-interface.
Samengevat: de NAT Gatekeeper:
· Beschermt de NAT-motor tegen onnodige verwerking van niet-NAT-stromen.
· Onderhoudt een cache van niet-NAT-stromen om hen in staat te stellen NAT-verwerking te omzeilen.
· Maakt gebruik van time-outs op cache-items om herevaluatie van stromen mogelijk te maken.
· Helpt het CPU-gebruik op de QFP te verminderen.
· Ondersteunt configureerbare cachegrootte om prestaties te optimaliseren op basis van verkeerspatronen.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
12-Jun-2026
|
Eerste vrijgave |
Feedback