Review Network Address Translation (NAT) FAQ (Veelgestelde vragen over Network Address Translation (NAT) bekijken)
Inleiding
Dit document bevat de veelgestelde vragen over Network Address Translation (NAT).
Generieke NAT
V. Wat is NAT?
A. Netwerkadresomzetting (NAT) is ontwikkeld voor het behoud van IP-adressen. Hiermee kunnen private IP-netwerken niet-geregistreerde IP-adressen gebruiken om verbinding te maken met het internet. NAT verbindt doorgaans twee netwerken via een router en zet de private (niet algemeen unieke) adressen in het interne netwerk om naar wettelijke adressen voordat pakketten naar een ander netwerk worden doorgestuurd.
Hierbij kan NAT worden geconfigureerd om slechts één adres voor het gehele netwerk aan de buitenwereld aan te kondigen. Dit zorgt voor extra security doordat het gehele interne netwerk effectief achter dat adres wordt verborgen. NAT biedt security en adresbehoud en wordt doorgaans geïmplementeerd in omgevingen met externe toegang.
V. Hoe werkt NAT?
A. NAT staat één apparaat, zoals een router, toe om als agent tussen het internet (of openbaar netwerk) en een lokaal netwerk (of private netwerk) te fungeren. Hierbij is slechts één uniek IP-adres nodig om een gehele groep computers te vertegenwoordigen aan alles buiten hun netwerk.
V. Hoe configureer ik NAT?
A. Om traditionele NAT te configureren, moet u ten minste één interface op een router (externe NAT) en een andere interface op de router (interne NAT) configureren en moeten een reeks regels voor het omzetten van de IP-adressen in de pakketheaders (en payloads, indien gewenst) worden geconfigureerd. Om NAT Virtual Interface (NVI) te configureren, heeft u ten minste één interface nodig die is geconfigureerd met NAT en dezelfde reeks regels als hierboven genoemd.
Raadpleeg de configuratiehandleiding voor Cisco IOS® IP-adresseringsservices of de NAT virtuele interface configureren voor meer informatie.
V. Wat zijn de belangrijkste verschillen tussen de Cisco IOS-software en de implementaties van Cisco PIX security applicatie van NAT?
A. Op Cisco IOS-software gebaseerde NAT verschilt niet fundamenteel van de NAT-functie in de Cisco PIX security applicatie. De belangrijkste verschillen omvatten de verschillende verkeerstypen die in de implementaties worden ondersteund. Raadpleeg Voorbeelden van NAT-configuraties voor meer informatie over de configuratie van NAT op Cisco PIX-apparaten (inclusief de ondersteunde verkeerstypen).
V. Op welke Cisco-routinghardware is Cisco IOS NAT beschikbaar? Hoe kan de hardware worden besteld?
A.Met de Cisco Feature Navigator-tool kunnen klanten een functie (NAT) identificeren en zoeken op welke release- en hardwareversie deze Cisco IOS-softwarefunctie beschikbaar is. Raadpleeg Cisco Feature Navigator om deze tool te gebruiken.
Opmerking: alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.
V. Vindt NAT voor of na routing plaats?
A. De volgorde waarin de transacties met NAT worden verwerkt, is afhankelijk van het feit of een pakket van het interne netwerk naar het externe netwerk gaat of andersom. Omzetting van intern naar extern vindt plaats na routing, omzetting van extern naar intern vindt plaats vóór routing. Raadpleeg Volgorde van NAT-bewerkingen voor meer informatie.
V. Kan NAT worden geïmplementeerd in een openbare wireless LAN-omgeving?
A. Ja. De functie NAT - Static IP Support (NAT-ondersteuning voor statische IP) biedt ondersteuning voor gebruikers met statische IP-adressen die hiermee een IP-sessie kunnen opzetten in een openbare wireless LAN-omgeving.
V. Ondersteunt NAT TCP-taakverdeling voor servers op het interne netwerk?
A. Ja. Met NAT kunt u een virtuele host op het interne netwerk instellen voor het coördineren van de workloadverdeling tussen echte hosts.
V. Kan ik het aantal NAT-omzettingen beperken?
A. Ja. Met de functie Rate-Limiting NAT Translation (NAT-omzettingen beperken) kunt u het maximumaantal gelijktijdige NAT-verwerkingen op een router beperken. Met deze functie heeft u niet alleen meer controle op de manier waarop NAT-adressen worden gebruikt, maar kunnen ook de effecten van virussen, wormen en denial-of-service aanvallen worden beperkt.
V. Hoe wordt de routing geleerd of verspreid voor IP-subnetten of -adressen die door NAT worden gebruikt?
A. Routing voor IP-adressen gemaakt door NAT wordt geleerd indien:
De interne algemene adresgroep wordt afgeleid van het subnet van een next-hop router.
De statische routevermelding wordt geconfigureerd in de volgende hop-router en wordt geherdistribueerd binnen het routingnetwerk.
Wanneer het binnen globale adres met de lokale interface wordt aangepast, installeert NAT een IP alias en een ARP ingang, waarbij de router volmacht-arp voor deze adressen kan. Als dit gedrag ongewenst is, gebruikt u het trefwoord no-alias.
Wanneer een NAT-groep wordt geconfigureerd, kan de optie add-route worden gebruikt voor automatic route-invoeging.
V. Hoeveel gelijktijdige NAT-sessies worden er ondersteund in Cisco IOS NAT?
A. De limiet voor het aantal NAT-sessies wordt bepaald door de hoeveelheid beschikbare DRAM in de router. Elke NAT-omzetting vereist ongeveer 312 bytes DRAM. 10.000 omzettingen (meer dan doorgaans op één router worden verwerkt) vereist dus ongeveer 3 MB. Typische routinghardware heeft dan ook meer dan voldoende geheugen voor duizenden NAT-omzettingen.
V. Welke routingprestaties kunnen worden verwacht bij gebruik van Cisco IOS NAT?
A. Cisco IOS NAT ondersteunt Cisco Express Forwarding-switching, fast-switching en proces-switching. In release 12.4T en hoger wordt fast-switchingpad niet langer ondersteund. Op het Cat6k-platform is de switchingvolgorde NetFlow (HW-switchingpad), CEF, procespad.
De prestaties hangen af van verschillende factoren:
Het type toepassing en het type verkeer
Of IP-adressen ingesloten zijn
Uitwisseling en controle van meerdere berichten
Vereiste bronpoort
Het aantal omzettingen
Andere toepassingen die op dat moment actief zijn
Het type hardware en processor
V. Kan Cisco IOS NAT op subinterfaces worden toegepast?
A. Ja. NAT-omzettingen voor bron en/of bestemming kunnen worden toegepast op elke interface of subinterfaces met een IP-adres (inclusief snelkiezerinterfaces). NAT kan niet worden geconfigureerd met een wireless virtuele interface. Er bestaat geen wireless virtuele interface op het moment van schrijven naar NVRAM. Na opnieuw opstarten verliest de router dan ook de NAT-configuratie op de wireless virtuele interface.
V. Kan Cisco IOS NAT worden gebruikt met het Hot Standby Router Protocol (HSRP) om redundante links naar een ISP te bieden?
A. Ja. NAT biedt HSRP-redundantie. Maar deze verschilt van SNAT (Stateful NAT). NAT met HSRP is een stateless systeem. De huidige sessie blijft niet behouden wanneer een fout optreedt. Tijdens statische NAT-configuratie (wanneer een pakket niet voldoet aan een STATISCHE regelconfiguratie) wordt het pakket zonder omzetting verzonden.
V. Ondersteunt Cisco IOS NAT inkomende omzettingen op een Frame Relay-interface? Ondersteunt Cisco IOS NAT uitgaande omzettingen aan de Ethernet-zijde?
A. Ja. Insluiting is niet van belang voor NAT. NAT kan worden uitgevoerd wanneer er een IP-adres op een interface bestaat en de interface interne of externe NAT betreft. NAT is mogelijk als er een interne en een externe kant is. Als u NVI gebruikt, moet er ten minste één NAT-interface zijn. Zie Hoe configureer ik NAT? voor meer informatie.
V. Kan één NAT-router sommige gebruikers toestaan om NAT te gebruiken en andere gebruikers op dezelfde Ethernet-interface om hun eigen IP-adres te blijven gebruiken?
A. Ja. Dit kan door een toegangslijst te gebruiken die de reeks hosts of netwerken beschrijft die NAT nodig hebben.
Toegangslijsten, uitgebreide toegangslijsten en routekaarten kunnen worden gebruikt om regels te definiëren voor het omzetten van IP-apparaten. Het netwerkadres en het juiste subnetmasker moeten altijd worden opgegeven. Het sleutelwoord mag niet worden gebruikt in plaats van het netwerkadres of subnetmasker. Met Statische NAT, wanneer het pakket geen STATISCHE regelconfiguratie aanpast, wordt het pakket verzonden door zonder enige vertaling.
V. Wat is bij het configureren voor PAT (overloading) het maximumaantal omzettingen dat per intern algemeen IP-adres mogelijk is?
A.PAT (overbelasting) verdeelt de beschikbare poorten per wereldwijd IP-adres in drie reeksen: 0-511, 512-1023 en 1024-65535. PAT wijst een unieke bronpoort toe aan elke UDP- of TCP-sessie. Met PAT wordt geprobeerd dezelfde poortwaarde van de oorspronkelijke aanvraag toe te wijzen. Als de oorspronkelijke bronpoort echter al gebruikt is, wordt er gescand vanaf het begin van het specifieke poortbereik om de eerste beschikbare poort te vinden en deze aan het gesprek toe te wijzen. Er geldt een uitzondering voor codebasis 12.2S. Codebasis 12.2S gebruikt een andere poortlogica en er is geen sprake van poortreservering.
V. Hoe werkt PAT?
A. PAT werkt met één algemeen IP-adres of meerdere adressen.
PAT met één IP-adres
Voorwaarde Beschrijving 1 NAT/PAT controleert het verkeer en matcht het met een omzettingsregel. 2 Regel komt overeen met een PAT-configuratie. 3 Als PAT weet van het verkeerstype en als dat verkeerstype "een reeks specifieke poorten of poorten heeft waarover het onderhandelt" dat het gebruikt, zet PAT ze opzij en wijst ze niet toe als unieke identificatoren. 4 Als een sessie zonder speciale poortvereisten een verbinding naar buiten (de externe kant) tot stand probeert te brengen, wordt met PAT het IP-bronadres omgezet en wordt op beschikbaarheid van de oorspronkelijke bronpoort gecontroleerd (bijvoorbeeld 433). Opmerking: voor TCP (Transmission Control Protocol) en User Datagram Protocol (UDP) zijn de bereiken: 1-511, 512-1023, 1024-65535. Voor Internet Control Message Protocol (ICMP) begint de eerste groep op 0.
5 Als de aangevraagde bronpoort beschikbaar is, wordt met PAT de bronpoort toegewezen en de sessie voortgezet. 6 Als de aangevraagde bronpoort niet beschikbaar is, wordt met PAT vanaf het begin van de relevante groep gezocht (beginnend bij 1 voor TCP- of UDP-toepassingen en bij 0 voor ICMP-toepassingen). 7 Als een poort beschikbaar is, wordt deze toegewezen en wordt de sessie voortgezet. 8 Als er geen poorten beschikbaar zijn, wordt het pakket verwijderd (afgewezen). PAT met meerdere IP-adressen
Voorwaarde Beschrijving 1-7 De eerste zeven voorwaarden zijn hetzelfde als bij PAT met één IP-adres. 8 Als er geen poorten beschikbaar zijn in de relevante groep op het eerste IP-adres, gaat NAT naar het volgende IP-adres in de groep en wordt geprobeerd de oorspronkelijke aangevraagde bronpoort toe te wijzen. 9 Als de aangevraagde bronpoort beschikbaar is, wordt met NAT de bronpoort toegewezen en de sessie voortgezet. 10 Als de aangevraagde bronpoort niet beschikbaar is, wordt met NAT vanaf het begin van de relevante groep gezocht (beginnend bij 1 voor TCP- of UDP-toepassingen en bij 0 voor ICMP-toepassingen). 11 Als een poort beschikbaar is, wordt deze toegewezen en wordt de sessie voortgezet. 12 Als er geen poorten beschikbaar zijn, wordt het pakket verwijderd (afgewezen), tenzij er een ander IP-adres in de groep beschikbaar is.
V. Wat zijn NAT IP-adresgroepen?
A. NAT IP-adresgroepen zijn reeksen IP-adressen die voor NAT-omzetting worden toegewezen, indien nodig. Om een groep te definiëren, wordt de volgende configuratieopdracht gebruikt:
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]Voorbeeld 1
Het volgende voorbeeld vertaalt tussen binnengastheren die van of het 192.168.1.0 of 192.168.2.0 netwerk aan globaal uniek 10.69.233.208/28 netwerk worden gericht:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255Voorbeeld 2
In dit voorbeeld is het doel om een virtueel adres te definiëren, verbindingen die worden verdeeld over een verzameling echte hosts. De groep definieert de adressen van de echte hosts. De toegangslijst definieert het virtuele adres. Als een omzetting niet al bestaat, worden TCP-pakketten vanaf seriële interface 0 (de buiteninterface) waarvan de bestemming overeenkomt met de toegangslijst omgezet naar een adres uit de groep .
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
V. Wat is het maximale aantal configureerbare NAT IP-pools (ip Nat-pool <naam>)?
A. In de praktijk wordt het maximumaantal configureerbare IP-adresgroepen beperkt door de hoeveelheid beschikbare DRAM in de betreffende router. (Cisco raadt aan maximaal 255 groepen te configureren.) Elke pool mag niet meer dan 16 bits zijn. In 12.4(11)T en hoger introduceert Cisco IOS CCE (Common Classification Engine). Dit heeft NAT beperkt tot maximaal 255 groepen. In codebase 12.2S is er geen beperking met betrekking tot het maximumaantal groepen.
V. Wat is het voordeel van het gebruik van een routekaart in plaats van een toegangscontrolelijst bij een NAT-groep?
A. Een routekaart voorkomt dat ongewenste externe gebruikers de interne gebruikers/servers bereiken. Bovendien kan met een routekaart één intern IP-adres aan verschillende interne algemene adressen worden toegewezen op basis van de regel. Raadpleeg NAT Support for Multiple Pools Using Route Maps (NAT-ondersteuning voor meerdere groepen met routekaarten) voor meer informatie.
V. Wat overlapt IP-adres in de context van NAT?
A. IP-adresoverlapping verwijst naar een situatie waarbij twee locaties die onderling verbinding willen maken hetzelfde IP-adresschema gebruiken. Dit is geen ongebruikelijk verschijnsel; het gebeurt vaak wanneer bedrijven fuseren of worden overgenomen. Zonder speciale ondersteuning kunnen de twee locaties geen verbinding maken en geen sessies opzetten. Het overlappende IP-adres kan een publiek adres zijn dat aan een andere onderneming is toegewezen, een privaat adres dat aan een andere onderneming is toegewezen, of kan afkomstig zijn uit het bereik van privaat adressen zoals gedefinieerd in RFC 1918
Privé-IP-adressen zijn niet routeerbaar en vereisen NAT-omzettingen om verbindingen met de buitenwereld mogelijk te maken. De oplossing omvat het onderscheppen van responsen op DNS-query's (Domain Name System) van de externe kant naar de interne kant, het creëren van een omzetting voor het externe adres en het bepalen van de DNS-respons voordat deze naar de interne host wordt doorgestuurd. Een DNS-server moet aan beide zijden van het NAT-apparaat worden ingeschakeld voor gebruikers die een verbinding tussen beide netwerken willen.
NAT kan adresomzetting op de inhoud van DNS A- en PTR-records controleren en uitvoeren, zoals in NAT gebruiken in overlappende netwerken wordt getoond.
V. Wat zijn statische NAT-omzettingen?
A. Bij statische NAT-omzettingen is een één-op-één toewijzing tussen lokale en algemene adressen van toepassing. Gebruikers kunnen ook statische adresomzettingen naar poortniveau configureren en de rest van het IP-adres voor andere omzettingen gebruiken. Dit gebeurt meestal wanneer PAT (Port Address Translation) wordt toegepast.
Het volgende voorbeeld toont hoe te om routemap te vormen om buiten-aan-binnen vertaling voor statische NAT toe te staan:
ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 10.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
Q. Wat wordt bedoeld met de term NAToverloading; is dit PAT?
A. Ja. NAT overloading is PAT, waarbij een groep met een reeks van een of meer adressen wordt gebruikt, of een interface-IP-adres in combinatie met de poort wordt gebruikt. Bij overloading is sprake van een volledige omzetting. Dit is een vermelding in de omzettingstabel met informatie over IP-adres en bron-/bestemmingspoort. Dit wordt PAT of overloading genoemd.
PAT (of overloading) is een functie van Cisco IOS NAT die wordt gebruikt om interne (interne lokale) privéadressen om te zetten naar één of meer externe (externe algemene, doorgaans geregistreerde) IP-adressen. Unieke bronpoortnummers bij elke omzetting worden gebruikt om onderscheid te maken tussen de gesprekken.
V. Wat zijn dynamische NAT-omzettingen?
A. Bij dynamische NAT-omzettingen kunnen gebruikers dynamische toewijzing tussen lokale en algemene adressen instellen. Dynamische toewijzing wordt uitgevoerd door de lokale adressen te definiëren die moeten worden omgezet en de groep met adressen of het interface-IP-adres te definiëren waarvandaan algemene adressen worden toegewezen en de twee vervolgens te koppelen.
V. Wat is ALG?
A. ALG is een Application Layer Gateway (ALG). NAT voert omzetting uit op TCP/UDP-verkeer (Transmission Control Protocol/User Datagram Protocol) dat geen IP-adres van bron en/of bestemming in de toepassingsdatastroom bevat.
Deze protocollen omvatten FTP, HTTP, SKINNY, H232, DNS, RAS, SIP, TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh en rcp. Specifieke protocollen die IP-adresinformatie in de payload insluiten, vereisen ondersteuning van een Application Layer Gateway (ALG).
Raadpleeg Application Layer Gateways gebruiken met NAT voor meer informatie.
V. Is het mogelijk een configuratie te creëren met zowel statische als dynamische NAT-omzettingen?
A. Ja. Het is echter niet mogelijk hetzelfde IP-adres te gebruiken voor de statische NAT-configuratie of in de groep voor dynamische NAT-configuratie. Alle openbare IP-adressen moeten uniek zijn. De algemene adressen die in statische omzettingen worden gebruikt, worden niet automatisch uitgesloten bij dynamische groepen die deze algemene adressen bevatten. Er moeten dynamische groepen worden gecreëerd om adressen uit te sluiten die via statische vermeldingen zijn toegewezen. Raadpleeg Statische en dynamische NAT gelijktijdig configureren voor meer informatie.
Q. Wanneer een traceroute door een NAT router wordt gedaan, toont traceroute het NAT-Globale adres of lekt het het NAT-Lokale adres?
A. Traceroute van buiten moet altijd het globale adres terugkeren.
V. Hoe worden via PAT poorten toegewezen?
A. NAT introduceert extra poortfuncties: volledig bereik en poortkaart.
Met full-range kan NAT alle poorten gebruiken, ongeacht het standaard poortbereik.
Met port-map kan NAT een door de gebruiker gedefinieerd poortbereik reserveren voor een specifieke toepassing.
Raadpleeg Door gebruiker gedefinieerde bronpoortbereiken voor PAT voor meer informatie.
In release 12.4(20)T2 en hoger introduceert NAT poortrandomisatie voor L3/L4 en het kenmerk symmetric-port.
Met poortrandomisatie kan NAT willekeurig een algemeen poort selecteren voor de bronpoortaanvraag.
Met symmetrische poort kan NAT puntonafhankelijk ondersteunen.
V. Wat is het verschil tussen IP-fragmentatie en TCP-segmentatie?
A. IP-fragmentatie vindt plaats op Layer 3 (IP); TCP-segmentatie vindt plaats op Layer 4 (TCP). IP-fragmentatie vindt plaats wanneer pakketten die groter zijn dan de maximale verzendeenheid (MTU) van een interface vanuit die interface worden verzonden. Deze pakketten moeten of worden gefragmenteerd of worden verworpen wanneer zij de interface worden verzonden. Als de Don't Fragment (DF)-bit niet is ingesteld in de IP-header van het pakket, is het pakket gefragmenteerd. Als het DF-bit is ingesteld in de IP-header van het pakket, wordt het pakket verbroken en wordt een ICMP-foutbericht met de volgende hop-MTU-waarde teruggestuurd naar de afzender. Alle fragmenten van een IP-pakket hebben dezelfde Ident in de IP-header, zodat de laatste ontvanger het oorspronkelijke IP-pakket opnieuw kan samenstellen aan de hand van de fragmenten. Raadpleeg Problemen met IP-fragmentatie, MTU, MSS en PMTUD met GRE en IPsec oplossen voor meer informatie.
TCP-segmentatie vindt plaats wanneer een toepassing op een eindstation data verzendt. De toepassingsdata wordt opgedeeld in eenheden met een volgens TCP de beste grootte voor verzending. Een dergelijke eenheid die van TCP naar IP wordt doorgegeven, wordt een segment genoemd. TCP-segmenten worden verzonden in IP-datagrammen. De IP-datagrammen kunnen vervolgens IP-fragmenten worden wanneer deze het netwerk doorkruisen en lagere MTU-links aantreffen dan zij kunnen passeren.
TCP segmenteert deze gegevens eerst in TCP-segmenten (op basis van TCP MSS-waarde) en voegt de TCP-header toe en geeft dit TCP-segment door aan IP. Vervolgens voegt IP-protocol een IP-header toe om het pakket naar de externe eindhost te verzenden. Als het IP-pakket met het TCP-segment groter is dan de IP MTU op een uitgaande interface tussen de TCP-hosts, wordt het IP/TCP-pakket zodanig gefragmenteerd dat het past. Deze IP-pakketfragmenten worden door de IP-laag op de externe host opnieuw geassembleerd en het volledige TCP-segment (dat oorspronkelijk was verzonden) wordt aan de TCP-laag doorgegeven. De TCP-laag heeft geen idee dat IP het pakket gefragmenteerd had tijdens transit.NAT ondersteunt IP-fragmenten, maar het ondersteunt TCP-segmenten niet.
V. Ondersteunt NAT ‘verkeerde volgorde’ bij IP-fragmentatie en TCP-segmentatie?
A. NAT ondersteunt alleen IP-fragmenten in verkeerde volgorde vanwege ip virtual-reassembly.
V. Hoe kunnen fouten met IP-fragmentatie en TCP-segmentatie worden opgespoord?
A. NAT gebruikt hetzelfde debug CLI voor zowel IP-fragmentatie als TCP-segmentatie: debug ip NAT-fragmentatie.
V: Is er een ondersteunde NAT MIB?
A. Nee. Er is geen ondersteunde NAT MIB, inclusief CISCO-IETF-NAT-MIB.
V. Wat is TCP-time-out en wat is het verband met de NAT TCP-timer?
A. Als de handdruk met drie richtingen niet wordt voltooid en NAT een pakket van TCP ziet, dan begint NAT een 60 tweede tijdopnemer. Wanneer de drierichtings-handshake is voltooid, wordt standaard een timer van 24 uur voor een NAT-vermelding gebruikt. Als een eindhost een RESET-signaal verzendt, verandert NAT de standaardtimer van 24 uur in 60 seconden. Bij een FIN-signaal verandert NAT de standaardtimer van 24 uur in 60 seconden wanneer een FIN- en FIN-ACK-signaal wordt ontvangen.
Q. Kan ik de hoeveelheid tijd veranderen het voor een NAT vertaling aan tijd uit de NAT vertaallijst vergt?
A. Ja. U kunt de NAT-tijdoutwaarden voor alle items of voor verschillende typen NAT-vertalingen wijzigen (zoals udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout en arp-ping-timeout).
V. Hoe kan ik voorkomen dat Lightweight Directory Access Protocol (LDAP) extra bytes aan elk LDAP-antwoordpakket toevoegt?
A. De LDAP-instellingen voegen extra bytes (LDAP-zoekresultaten) toe tijdens het verwerken van berichten van het type Search-Res-Entry. LDAP voegt 10 bytes aan zoekresultaten toe aan elk LDAP-antwoordpakket. Als deze 10 extra bytes aan data ertoe leiden dat het pakket de maximale verzendeenheid (MTU) in een netwerk overschrijdt, wordt het pakket verwijderd (afgewezen). Cisco raadt u in dat geval aan dit LDAP-gedrag uit te schakelen via de opdrachtregelinterface met de opdracht no ip nat service append-ldap-search-res zodat de pakketten worden verzonden en ontvangen.
V. Wat is de routeaanbeveling voor het interne algemene/externe lokale IP-adres op het NAT-apparaat?
A. Op het geconfigureerde NAT-apparaat moet een route voor het interne algemene IP-adres worden opgegeven voor functies zoals NAT-NVI. Op dezelfde manier moet een route ook worden opgegeven op het NAT-vak voor het externe lokale IP-adres. In dit geval, vereist om het even welk pakket van binnen aan uit richting die de buiten statische regel gebruikt dit soort route. In dergelijke scenario's moet, terwijl de route voor IG/OL wordt verstrekt, het volgende hopIP adres ook worden gevormd. Als de volgende hopconfiguratie ontbreekt, wordt dit beschouwd als een configuratiefout en resulteert in ongedefinieerd gedrag.
NVI-NAT is alleen aanwezig in het pad voor de output-functie. Als u het subnet rechtstreeks heeft verbonden met NAT-NVI of de externe NAT-omzettingsregel die op het apparaat is geconfigureerd, moet u in die scenario’s een dummy IP-adres van de volgende hop en een bijbehorende ARP voor de volgende hop verstrekken. Dit is nodig om de onderliggende infrastructuur het pakket voor omzetting aan NAT te laten overhandigen.
V. Ondersteunt Cisco IOS NAT ACL’s met een logboeksleutelwoord?
A. Wanneer u Cisco IOS NAT configureert voor dynamische NAT-omzetting, wordt een ACL (toegangscontrolelijst) gebruikt om pakketten te identificeren die kunnen worden omgezet. De huidige NAT-architectuur ondersteunt geen ACL’s met een log-sleutelwoord.
NAT met spraak
V. Ondersteunt NAT het Skinny Client Control Protocol (SCCP) v17 dat wordt meegeleverd met Cisco Unified Communications Manager (CUCM) v7?
A. CUCM 7 en alle standaardtelefoonladingen voor CUCM 7 ondersteunen SCCPv17. De gebruikte versie SCCP wordt bepaald door de hoogste gemeenschappelijke versie tussen CUCM en de telefoon wanneer de telefoonregisters.
Op het moment dat dit document werd gemaakt, ondersteunt NAT nog geen SCCP v17. Totdat NAT-ondersteuning voor SCCP v17 is geïmplementeerd, moet de firmware worden gedowngraded naar versie 8-3-5 of eerder, zodat SCCP v16 wordt besproken. CUCM6 ondervindt het NAT-probleem niet bij elke telefoonlading zolang er SCCP v16 wordt gebruikt. Cisco IOS ondersteunt momenteel geen SCCP versie 17.
V. Welke versies van CUCM/SCCP/firmware worden ondersteund door NAT?
A. NAT ondersteunt CUCM-versie 6.x en lager. Deze CUCM-versies worden vrijgegeven met de standaard 8.3.x (of lagere) telefoonfirmware die SCCP v15 (of lager) ondersteunt.
NAT biedt geen ondersteuning voor CUCM-versie 7.x of lager. Deze CUCM-versie wordt vrijgegeven met de standaard 8.4.x telefoonfirmware die SCCP v17 (of hoger) ondersteunt.
Als CUCM-versie 7.x of hoger wordt gebruikt, moet een oudere firmwarelading op de CUCM TFTP-server zijn geïnstalleerd, zodat de telefoons een firmwarelading met SCCP v15 of lager gebruiken voor ondersteuning door NAT.
V. Wat is Service Provider PAT Port Allocation Enhancement for RTP and RTCP (Verbeterde toewijzing van PAT-poorten voor RTP en RTCP voor serviceproviders)?
A. De functie Service Provider PAT Port Allocation Enhancement for RTP and RTCP ondersteunt SIP-, H.323- en Skinny-spraakoproepen. De poortnummers die worden gebruikt voor RTP-stromen zijn even poortnummers; de poortnummers die worden gebruikt voor RTCP-stromen zijn de daaropvolgende oneven poortnummers. Het poortnummer wordt omgezet naar een nummer binnen het bereik dat is opgegeven in navolging van RFC-1889. Een oproep met een poortnummer binnen het bereik resulteert in een PAT-vertaling naar een ander poortnummer binnen dit bereik. Op dezelfde manier resulteert een PAT-vertaling voor een poortnummer buiten dit bereik niet in een vertaling naar een nummer binnen het gegeven bereik.
V. Wat is Session Initiation Protocol (SIP) en kunnen SIP-pakketten via NAT worden verwerkt?
A. Session Initiation Protocol (SIP) is een op ASCII gebaseerd controleprotocol op de toepassingslaag dat kan worden gebruikt om oproepen tussen twee of meer endpoints tot stand te brengen, te behouden en te beëindigen. SIP is een alternatief protocol dat door de Internet Engineering Task Force (IETF) is ontwikkeld voor multimedia conferencing via IP. Met Cisco’s SIP-implementatie kunnen ondersteunde Cisco-platforms de opzet van spraak- en multimedia-oproepen via IP-netwerken signaleren.
SIP-pakketten kunnen via NAT worden verwerkt.
V. Wat houdt ondersteuning van Hosted NAT Traversal voor Session Border Controller (SBC) in?
A. Met de Cisco IOS-functie Hosted NAT Traversal voor SBC kan een Cisco IOS NAT SIP ALG-router (Application Layer Gateway) fungeren als SBC op een Cisco Multiservice IP-to-IP gateway. Hierdoor bent u verzekerd van optimale levering van VoIP-services (Voice-over-IP).
Raadpleeg Cisco IOS Hosted NAT Traversal configureren voor Session Border Controller voor meer informatie.
V. Hoeveel SIP-, Skinny- en H323-oproepen kunnen via het geheugen en de CPU van een router met NAT worden verwerkt?
A. Het aantal oproepen dat door een NAT-router wordt verwerkt, is afhankelijk van de hoeveelheid geheugen die op het apparaat beschikbaar is en de verwerkingskracht van de CPU.
Q. Ondersteunt een NAT router TCP-segmentatie van Skinny- en H323-pakketten?
A. Ondersteuning van Cisco IOS-NAT voor TCP-segmentatie voor H323 in 12.4 Mainline en TCP-segmentatieondersteuning voor SKINNY vanaf 12.4(6)T.
V. Zijn er voorbehouden ten aanzien van de configuratie van NAT-overloading bij spraakimplementatie?
A. Ja. Wanneer u NAT-overloading en spraakimplementatie configureert, moet het registratiebericht via NAT verlopen en moet een koppeling worden gemaakt voor extern -> intern om het interne apparaat te bereiken. Het interne apparaat verzendt deze registratie periodiek en NAT werkt deze pin-hole/koppeling bij op basis van de informatie in het signaalbericht.
V. Zijn er bekende problemen die worden veroorzaakt door de opdracht clear ip nat trans * of clear ip nat trans forced in spraakimplementaties?
A. In spraakimplementaties wanneer u een duidelijke IP NAT-trans *-opdracht of een duidelijke ip NAT-opdracht voor transcriptie en dynamische NAT geeft, veegt u de pin-hole/associatie uit en moet u wachten op de volgende registratiecyclus van het interne apparaat om dit opnieuw te installeren. Cisco raadt u aan deze ‘clear’-opdrachten niet in spraakimplementaties te gebruiken.
V. Ondersteunt NAT spraak op basis van colocatie?
A. Nee. Dit wordt momenteel niet ondersteund. De volgende implementatie met NAT (op dezelfde doos) wordt beschouwd als een op dezelfde locatie geplaatste oplossing: CME/DSP-Farm/SCCP/H323.
V. Ondersteunt NVI Skinny ALG, H323 ALG en TCP SIP ALG?
A. Nee. UDP SIP ALG (gebruikt door de meeste implementaties) wordt overigens niet beïnvloed.
NAT met VRF/MPLS
Q. Steunt een NAT router ooit NATting de zelfde adresruimte in VRF tezelfdertijd het NATted in een globale adresruimte is? Op dit moment krijg ik deze waarschuwing: "% gelijksoortige statische vermelding (10.1.1.1 —> 10.210.2.2) bestaat al" wanneer ik dit probeer te configureren:
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED
A. Verouderde NAT ondersteunt overlappende adresconfiguratie via verschillende VRF’s. U moet overlapping als een regel definiëren met de optie match-in-vrf en ip nat inside/outside instellen in dezelfde VRF voor verkeer via die specifieke VRF. Ondersteuning voor overlapping omvat niet de algemene routingtabel.
U moet het trefwoord match-in-vrf toevoegen voor de overlappende statische NAT-vermeldingen voor VRF voor verschillende VRF’s. Het is echter niet mogelijk om algemene adressen en NAT-adressen voor VRF te overlappen.
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf
V. Ondersteunt verouderde NAT VRF-Lite (verwerking via NAT van een VRF naar een andere VRF)?
A. Nee. U moet NVI gebruiken voor verwerking via NAT tussen verschillende VRF’s. U kunt bestaande NAT gebruiken om NAT uit te voeren van VRF naar wereldwijde of NAT binnen dezelfde VRF.
NAT NVI
V. Wat is NAT NVI?
A. NVI staat voor NAT Virtual Interface. Hiermee kan NAT omzetting uitvoeren tussen twee verschillende VRF’s. Deze oplossing moet worden gebruikt in plaats van Network Address Translation on a Stick.
Q. Moet NAT NVI worden gebruikt wanneer NATting tussen een interface in globale en een interface in VRF?
A. Cisco raadt aan verouderde NAT te gebruiken voor VRF naar algemene NAT (ip nat inside/out) en tussen interfaces in dezelfde VRF. NVI wordt gebruikt voor NAT tussen verschillende VRF’s.
V. Wordt TCP-segmentatie voor NAT-NVI ondersteund?
A. Er is geen ondersteuning voor TCP-segmentatie voor NAT-NVI.
V. Ondersteunt NVI Skinny ALG, H323 ALG en TCP SIP ALG?
A. Nee. UDP SIP ALG (gebruikt door de meeste implementaties) wordt overigens niet beïnvloed.
V. Wordt TCP-segmentatie ondersteund met SNAT?
A. SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). TCP-segmentatie wordt dan ook niet ondersteund. UDP SIP en DNS worden echter wel ondersteund.
SNAT
V. Wat is Stateful NAT (SNAT)?
A. Met SNAT kunnen twee of meer netwerkadresomzetters fungeren als omzettingsgroep. Eén lid van de omzettingsgroep verwerkt verkeer dat omzetting van IP-adresinformatie vereist. Daarnaast wordt de back-upomzetter op de hoogte gesteld van eventuele actieve stromen. De back-upomzetter kan vervolgens informatie van de actieve omzetter gebruiken om dubbele vermeldingen in de omzettingstabel voor te bereiden. Als de actieve omzetter wordt gehinderd door een kritische storing, kan het verkeer snel naar de back-upomzetter worden overgeschakeld. De verkeersstroom blijft doorgaan, aangezien dezelfde netwerkadresomzettingen worden gebruikt en de status van die omzettingen eerder is gedefinieerd.
V. Wordt TCP-segmentatie ondersteund door SNAT?
A. SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). TCP-segmentatie wordt dan ook niet ondersteund. UDP SIP en DNS worden echter wel ondersteund.
Q. Is SNAT-ondersteuning voor asymmetrische routing?
A. Asymmetrische routing ondersteunt NAT door inschakelen als wachtrij. Asymmetrische wachtrijen zijn standaard ingeschakeld. Vanaf release 12.4(24)T wordt het gebruik van wachtrijen niet langer ondersteund. Klanten moeten ervoor zorgen dat pakketten correct worden gerouteerd en de juiste vertraging wordt toegevoegd om asymmetrische routing goed te laten verlopen.
NAT-PT (v6 naar v4)
V. Wat is NAT-PT?
A. NAT-PT is omzetting voor NAT van v4 naar v6. Protocolomzetting (NAT-PT) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765 en RFC 2766. Hiermee kunnen IPv6-apparaten alleen communiceren met IPv4-apparaten en vice versa.
V. Wordt NAT-PT ondersteund in het CEF-pad (Cisco Express Forwarding)?
A. NAT-PT wordt niet ondersteund in het CEF-pad.
V. Welke ALG’s worden in NAT-PT ondersteund?
A. NAT-PT ondersteunt TFTP/FTP en DNS. Er is geen ondersteuning voor spraak en SNAT in NAT-PT.
V. Wordt NAT-PT ondersteund door ASR 1004?
A. Aggregation services routers (ASR) gebruiken NAT64.
Platformafhankelijke Cisco 7300/7600/6k
V. Is Stateful NAT (SNAT) beschikbaar op Catalyst 6500 in de SX-softwarereeks?
A. SNAT is niet beschikbaar op Catalyst 6500 in de SX-softwarereeks.
V. Wordt VRF-bewuste NAT ondersteund in hardware op de 6k?
A. VRF-bewuste NAT wordt niet ondersteund in hardware op dit platform.
V. Ondersteunen 7600 en Cat6000 VRF-bewuste NAT?
A. Op het 65xx/76xx-platform wordt VRF-bewuste NAT niet ondersteund en de CLI’s worden geblokkeerd.
Opmerking: U kunt een ontwerp implementeren door gebruik te maken van een FWSM dat in virtuele contexttransparante modus draait.
Platformafhankelijke Cisco 850
V. Wordt Skinny NAT ALG ondersteund door Cisco 850 in release 12.4T?
A. Nee. Er is geen ondersteuning voor Skinny NAT ALG in release 12.4T voor de 850 Series.
Implementatie van NAT
V. Hoe implementeer ik NAT?
A. NAT maakt particuliere IP-internetwerken die niet-geregistreerde IP-adressen gebruiken, in staat om verbinding met internet te maken. NAT zet het private (RFC1918) adres in het interne netwerk om in wettelijke routeerbare adressen voordat pakketten naar een ander netwerk worden doorgestuurd.
V. Hoe implementeer ik NAT met spraak?
A. Dankzij NAT-ondersteuning voor spraakfuncties kunnen SIP-ingesloten berichten die via een router lopen die is geconfigureerd met Network Address Translation (NAT) worden omgezet naar het pakket. Een Application Layer Gateway (ALG) wordt met NAT gebruikt om de spraakpakketten om te zetten.
V. Hoe integreer ik NAT met MPLS VPN’s?
A. Dankzij NAT-integratie met MPLS VPN’s kunnen meerdere MPLS VPN’s op één apparaat worden geconfigureerd om samen te werken. NAT kan bepalen van welke MPLS VPN IP-verkeer wordt ontvangen, zelfs als de MPLS VPN’s allemaal hetzelfde IP-adresseringsschema gebruiken. Dankzij deze verbetering kunnen meerdere MPLS VPN-klanten services delen terwijl ze er zeker van zijn dat elke MPLS VPN volledig gescheiden is van de andere.
V. Wordt HSRP voor hoge beschikbaarheid ondersteund door statische toewijzing via NAT?
A. Wanneer een ARP-query (Address Resolution Protocol) wordt geactiveerd voor een adres dat met statische toewijzing via Network Address Translation (NAT) is geconfigureerd en door de router wordt geregeld, reageert NAT met het BIA MAC-adres op de interface waarnaar het ARP verwijst. Twee routers fungeren als actieve en stand-by HSRP. De NAT-binneninterfaces moeten zijn ingeschakeld en geconfigureerd om bij een groep te behoren.
V. Hoe implementeer ik NAT NVI?
A. NAT NVI maakt een einde aan de noodzaak om een interface te configureren als interne of externe NAT.
V. Hoe implementeer ik taakverdeling met NAT?
A. Er zijn twee soorten taakverdeling die met NAT kunnen worden gedaan: u kunt de taakverdeling naar een aantal servers toe uitvoeren om de werklast op de servers te verdelen en u kunt de taakverdeling van uw gebruikersverkeer naar het internet over twee of meer ISP's toepassen.
Raadpleeg voor meer informatie over uitgaande taakverdeling Cisco IOS NAT-taakverdeling voor twee ISP-verbindingen.
V. Hoe implementeer ik NAT in combinatie met IPSec?
A. IP Security (IPsec) Encapsulating Security Payload (ESP) wordt ondersteund via NAT en IPSec NAT Transparency.
Dankzij de functie IPsec ESP via NAT kunt u meerdere gelijktijdige IPsec ESP-tunnels of -verbindingen ondersteunen via een Cisco IOS NAT-apparaat dat is geconfigureerd voor overloading of PAT-modus (Port Address Translation).
Met IPSec NAT Transparency kan IPSec-verkeer via NAT- of PAT-punten in het netwerk worden verzonden doordat veel bekende incompatibiliteiten tussen NAT en IPsec zijn aangepakt.
V. Hoe implementeer ik NAT-PT?
A. NAT-PT (Network Address Translation-Protocol Translation) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765 en RFC 2766, dat IPv6-apparaten toestaat om te communiceren met apparaten die alleen IPv4 zijn en vice versa.
V. Hoe implementeer ik multicast NAT?
A. Het is mogelijk om de bron-IP voor een multicast stream via NAT te verwerken. Er kan geen routekaart worden gebruikt bij dynamische NAT-verwerking voor multicast, alleen een toegangslijst.
Raadpleeg Multicast NAT op Cisco-routers voor meer informatie. De multicast bestemmingsgroep wordt via NAT verwerkt met behulp van een Multicast Service Reflection-oplossing.
V. Hoe implementeer ik stateful NAT (SNAT)?
A. SNAT maakt doorlopende service mogelijk voor dynamisch toegewezen NAT-sessies. Sessies die statistisch worden gedefinieerd hebben het voordeel van redundantie zonder de inzet van SNAT. Bij afwezigheid van SNAT zouden sessies die dynamische NAT-toewijzingen gebruiken tijdens een kritieke storing worden verbroken en opnieuw tot stand moeten worden gebracht. Alleen de minimale SNAT-configuratie wordt ondersteund. Toekomstige implementaties moeten alleen worden uitgevoerd na overleg met uw Cisco-accountteam om het ontwerp ten opzichte van de huidige beperkingen te valideren.
SNAT wordt aanbevolen voor de volgende scenario's:
Primair/back-up is geen aanbevolen modus, omdat er bepaalde functies ontbreken in vergelijking met HSRP.
Voor failover-scenario’s en voor een configuratie met 2 routers. Als de ene router crasht, neemt de andere router de verwerking naadloos over. (De SNAT-architectuur is niet ontworpen voor het ondervangen van interfacefluctuaties.)
Scenario voor niet-asymmetrische routing wordt ondersteund. Asymmetrische routing is alleen mogelijk als de latentie in het antwoordpakket hoger is dan die tussen 2 SNAT-routers om de SNAT-berichten uit te wisselen.
Op dit moment is de SNAT-architectuur niet ontworpen om robuustheid aan te kunnen; daarom worden deze tests niet verwacht te slagen:
Wissen van NAT-vermeldingen terwijl er verkeer is.
De veranderende interfaceparameters (zoals IP adresverandering, sluit/geen-sluit, etc.) terwijl er verkeer is.
SNAT-specifieke clear- of show-opdrachten zullen waarschijnlijk niet goed worden uitgevoerd en worden niet aanbevolen.
Enkele van de SNAT-gerelateerde clear</strong>en toon opdrachten als volgt:
clear ip snat sessions * clear ip snat sessionsclear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer> Als de gebruiker vermeldingen wil wissen, kunnen duidelijke ip Nat geforceerde</strong> of duidelijke ip Nat trans *-opdrachten worden gebruikt.
- Als de gebruiker items wil weergeven, kan de opdracht ip Nat-vertaling tonen, ip Nat-vertalingen overbodig tonen en ip Nat-stats tonen worden gebruikt. Als de dienst intern wordt gevormd, toont het SNAT-specifieke informatie eveneens.
Het wissen van NAT-omzettingen op de back-uprouter wordt niet aanbevolen. Wis de NAT-vermeldingen altijd op de primaire SNAT-router.
SNAT is niet HA; daarom moeten de configuraties op beide routers hetzelfde zijn. Beide routers moeten het zelfde beeld hebben dat loopt. Zorg ook dat het onderliggende platform dat voor beide SNAT-routers wordt gebruikt hetzelfde is.
Best practices voor NAT
V. Zijn er best practices voor NAT?
A. Ja. Dit zijn best practices voor NAT:
Wanneer u zowel dynamische als statische NAT gebruikt, moet de ACL die de regel voor dynamische NAT instelt, de statische lokale hosts uitsluiten zodat er geen overlap is.
Wees voorzichtig met het gebruik van ACL voor NAT met permit ip any any omdat dit onvoorspelbare resultaten kan opleveren. Na 12.4(20)T NAT worden lokaal gegenereerde HSRP- en routeringsprotocolpakketten vertaald als deze naar de buiteninterface worden verzonden, evenals lokaal versleutelde pakketten die overeenkomen met de NAT-regel.
Wanneer u overlappende netwerken voor NAT heeft, moet u het trefwoord match-in-vrf gebruiken.
U moet het trefwoord match-in-vrf toevoegen voor de overlappende statische NAT-vermeldingen voor verschillende VRF’s. Het is echter niet mogelijk om algemene adressen en NAT-adressen voor VRF te laten overlappen.
Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrfNAT-groepen met hetzelfde adresbereik kunnen niet in verschillende VRF’s worden gebruikt, tenzij het trefwoord match-in-vrf wordt gebruikt.
Voorbeeld:
ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrfOpmerking: ook al is CLI-configuratie geldig, zonder het trefwoord match-in-vrf wordt de configuratie niet ondersteund.
Wanneer u taakverdeling van ISP’s implementeert met overloading van de NAT-interface, is het raadzaam om route-map met interface-matching te gebruiken in plaats van ACL-matching.
Wanneer u pooltoewijzing gebruikt, moet u geen twee verschillende afbeeldingen (ACL of routekaart) gebruiken om hetzelfde NAT-pooladres te delen.
Wanneer u dezelfde NAT-regels op twee verschillende routers in het failover-scenario implementeert, moet u HSRP-redundantie gebruiken.
Definieer niet hetzelfde interne algemene adres voor statische NAT en een dynamische groep. Dat kan tot ongewenste resultaten leiden.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
21-Aug-2023 |
Hercertificering |
1.0 |
29-Aug-2002 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)