Netwerkadresomzetting (NAT) - FAQ

Inleiding

Dit document geeft antwoorden op vaak gestelde vragen over Network Address Translation (NAT).

Generic NAT

Wat is NAT?

A. Network adresomzetting (NAT) is ontworpen voor IP-adresbehoud. Het maakt privé IP-netwerken mogelijk die niet-geregistreerde IP-adressen gebruiken om aan het internet te verbinden. NAT opereert op een router, verbindt meestal twee netwerken samen en vertaalt de privé (niet globaal unieke) adressen in het interne netwerk in wettelijke adressen, voordat pakketten naar een ander netwerk worden doorgestuurd.

Als onderdeel van deze mogelijkheid kan NAT worden geconfigureerd om slechts één adres voor het gehele netwerk naar de buitenwereld te adverteren. Dit biedt extra veiligheid door het gehele interne netwerk effectief achter dat adres te verbergen. NAT biedt de twee functies van beveiliging en adresbehoud en wordt doorgaans geïmplementeerd in omgevingen met toegang op afstand.

V. Hoe werkt NAT?

A. In feite staat NAT één apparaat, zoals een router, toe om als agent tussen het internet (of het openbare netwerk) en een lokaal netwerk (of privaat netwerk) te handelen, wat betekent dat slechts één enkel uniek IP-adres vereist is om een gehele groep computers aan om het even wat buiten hun netwerk te vertegenwoordigen.

Vraag. Hoe vorm ik NAT?

A. Om traditionele NAT te kunnen configureren moet u ten minste één interface op een router (NAT buiten) en een andere interface op de router (NAT binnenin) maken en een reeks regels voor het vertalen van de IP-adressen in de pakketheader (en indien gewenst lading) moeten worden geconfigureerd. Om NAT Virtual Interface (NVI) te kunnen configureren hebt u minimaal één interface nodig die is geconfigureerd met NAT en tegelijkertijd dezelfde reeks regels bevat als hierboven vermeld.

Raadpleeg voor meer informatie de Cisco IOS IP-adresseringsgids voor Cisco of de NAT virtuele interface configureren.

Q. Wat zijn de belangrijkste verschillen tussen de Cisco IOS-software en de Cisco PIX security applicatie implementaties van NAT?

A. Cisco IOS op software gebaseerde NAT is niet fundamenteel anders dan de NAT-functie in Cisco PIX security applicatie. De belangrijkste verschillen omvatten de verschillende verkeerstypes die in de implementaties worden ondersteund. Raadpleeg de voorbeelden van NAT-configuratie voor meer informatie over de configuratie van NAT op Cisco PIX-apparaten (inclusief de ondersteunde verkeerstypen).

Q. Op welke Cisco-routinghardware is Cisco IOS NAT beschikbaar? Hoe kan de hardware worden geordend?

A. Het gereedschap van de Navigator van de Functie van Cisco staat klanten toe om een eigenschap (NAT) te identificeren en te vinden op welke release en hardwareversie deze Cisco IOS Software optie beschikbaar is. Raadpleeg de Cisco Functie Navigator om dit gereedschap te gebruiken.

Q. Komt NAT voor of na de routing voor?

A. De volgorde waarin de transacties worden verwerkt is gebaseerd op de vraag of een pakket van het binnennetwerk naar het buitennetwerk gaat of van het externe netwerk naar het binnennetwerk. Naast externe vertaling vindt plaats na routing, en buiten naar interne vertaling vóór routing. Raadpleeg de NAT-operatievolgorde voor meer informatie.

Q. Kan NAT worden ingezet in een openbare draadloze LAN-omgeving?

A. Ja. De functie NAT - Statische IP Support biedt ondersteuning voor gebruikers met statische IP-adressen, waardoor deze gebruikers een IP-sessie kunnen opzetten in een openbare draadloze LAN-omgeving.

Q. Doet NAT TCP-taakverdeling voor servers op het interne netwerk?

A. Ja. Met NAT kunt u een virtuele host op het binnennetwerk instellen die het delen van de lading tussen echte hosts coördineert.

Kan ik het aantal NAT-vertalingen beperken?

A. Ja. De optie Rate-Limiting NAT omzetting biedt de mogelijkheid om het maximum aantal gelijktijdige NAT operaties op een router te beperken. Naast het geven van meer controle door gebruikers over de manier waarop NAT-adressen worden gebruikt, kan de Rate-Limiting NAT-vertaalfunctie gebruikt worden om de effecten van virussen, wormen en denial-of-service aanvallen te beperken.

Q. Hoe wordt de routing geleerd of verspreid voor IP-subnetwerken of -adressen die door NAT worden gebruikt?

A. Routing voor IP-adressen gemaakt door NAT wordt geleerd als:

• De binnen globale adrepool wordt afgeleid van het netto van een volgende-hoprouter.

• De statische routeingang wordt gevormd in de volgende-hoprouter en herverdeeld binnen het routeringsnetwerk.

Wanneer het binnen globale adres met de lokale interface wordt gematched, installeert NAT een IP alias en een ARP ingang, in welk geval de router volmacht-arp voor deze adressen zal vormen. Als dit gedrag niet gewild is, gebruik het sleutelwoord zonder alias.

Wanneer een NAT-pool is geconfigureerd, kan de bijvoegingsoptie worden gebruikt voor automatische routeinjectie.

Q. Hoeveel gelijktijdige NAT sessies worden ondersteund in Cisco IOS NAT?

A. De NAT sessielimiet wordt begrensd door de hoeveelheid beschikbare DRAM in de router. Elke NAT-vertaling neemt ongeveer 312 bytes in DRAM in beslag. Als resultaat hiervan consumeren 10.000 vertalingen (meer dan normaal gesproken op één router gedaan wordt) ongeveer 3 MB. Daarom heeft de typische routing hardware meer dan genoeg geheugen om duizenden NAT-vertalingen te ondersteunen.

Q. Wat voor soort routing prestaties kunnen worden verwacht bij het gebruik van Cisco IOS NAT?

A. Cisco IOS NAT ondersteunt Cisco Express doorsturen van switching, snelle switching en processwitching. Voor de 12.4T release en later wordt fast-switching pad niet langer ondersteund. Voor Cat6k-platform is de switching-volgorde NetFlow (HW switchingpad), CEF, procespad.

De prestaties hangen af van verschillende factoren:

• Het type toepassing en het type verkeer

• Of IP-adressen zijn ingesloten

• Uitwisseling en inspectie van meerdere berichten

• Vereiste bronpoort

• Het aantal vertalingen

• Andere toepassingen die op dat moment actief zijn

• Het type hardware en processor

Q. Kan Cisco IOS NAT op subinterfaces worden toegepast?

A. Ja. De bron- en/of bestemming NAT-vertalingen kunnen worden toegepast op elke interface of subinterfaces met een IP-adres (inclusief dialerinterfaces). NAT kan niet worden geconfigureerd met draadloze virtuele interface. Draadloze virtuele interface bestaat niet op het moment van schrijven naar NVRAM. Dus na het opnieuw opstarten, verliest de router NAT-configuratie op de draadloze virtuele interface.

Q. Kan Cisco IOS NAT met het HSRP-routerprotocol (Hot Standby Router Protocol) worden gebruikt om redundante verbindingen naar een ISP te bieden?

A. Ja. NAT biedt wel HSRP redundantie. Maar het is niet hetzelfde als SNAT (Stateful NAT). NAT met HSRP is een stateloos systeem. De huidige sessie wordt niet onderhouden wanneer er een mislukking plaatsvindt. Tijdens de statische NAT-configuratie (wanneer een pakje niet overeenkomt met een willekeurige STATISCHE regelconfiguratie) wordt het pakje zonder vertaling verzonden.

Q. ondersteunt Cisco IOS NAT inkomende vertalingen op een Frame Relay-interface? Ondersteunt het uitgaande vertalingen aan de Ethernet-kant?

A. Ja. Insluiting is niet van belang voor NAT. NAT kan worden gedaan waar er een IP-adres op een interface is en de interface is NAT binnen of NAT buiten. Er moet een binnen- en buitenkant zijn zodat de NAT kan functioneren. Als u NVI gebruikt, moet er minimaal één NAT-interface zijn. Zie Hoe vorm ik NAT? voor meer informatie .

Q. Kan één enkele NAT-enabled router sommige gebruikers toestaan om NAT en andere gebruikers op de zelfde Ethernet interface te gebruiken om hun eigen IP adressen te blijven gebruiken?

A. Ja. Dit kan worden verwezenlijkt door het gebruik van een toegangslijst die de reeks hosts of netwerken beschrijft die NAT nodig heeft. Alle sessies op dezelfde host worden vertaald of doorgevoerd door de router en worden niet vertaald.

Toegangslijsten, uitgebreide toegangslijsten, en routekaarten kunnen worden gebruikt om regels te definiëren waardoor IP-apparaten worden vertaald. Het netwerkadres en het juiste subnetmasker moeten altijd worden gespecificeerd. Het sleutelwoord om het even welk moet niet in plaats van het netwerkadres of het subnetmasker worden gebruikt. Met Statische NAT-configuratie, wanneer het pakket niet overeenkomt met een STATISCHE regelconfiguratie, wordt het pakket zonder enige vertaling verzonden.

Q. Bij het configureren van PAT (overladen), wat is het maximale aantal vertalingen dat per mondiaal IP-adres kan worden gemaakt?

A. PAT (overbelasting) verdeelt de beschikbare poorten per mondiaal IP-adres in drie bereiken: 0-511, 512-1023 en 1024-65535. PAT wijst een unieke bronpoort toe voor elke UDP- of TCP-sessie. Het probeert de zelfde havenwaarde van het originele verzoek toe te wijzen, maar als de originele bronhaven reeds gebruikt is, begint het scannen van het begin van het bepaalde havenbereik om de eerste beschikbare haven te vinden en wijst het aan het gesprek toe. Er is een uitzondering voor de 12.2S-codebasis. 12.2S codebasis gebruikt verschillende port logica, en er is geen poortreservering.

V. Hoe werkt PAT?

A. PAT werkt met één mondiaal IP-adres of meerdere adressen.

PAT met één IP-adres

conditionering	Beschrijving
1	NAT/PAT inspecteert het verkeer en past het aan een vertaalregel.
2	Regel overeenkomsten met een PAT configuratie.
3	Als PAT weet wat het type verkeer is en als dat type verkeer "een reeks specifieke poorten of havens heeft waarover wordt onderhandeld", dan zet PAT ze terzijde en wijst ze deze niet als unieke identificatoren toe.
4	Als een sessie zonder speciale poortvereisten probeert te verbinden, vertaalt PAT het IP-bronadres en controleert de beschikbaarheid van de oorspronkelijke bronpoort (bijvoorbeeld 433). Opmerking: voor Transmission Control Protocol (TCP) en User Datagram Protocol (UDP) gelden de volgende marges: 1-511, 512-1023, 1024-65535. Voor Internet Control Message Protocol (ICMP) begint de eerste groep op 0.
5	Als de gevraagde bronpoort beschikbaar is, wijst PAT de bronpoort toe en gaat de sessie verder.
6	Als de gevraagde bronpoort niet beschikbaar is, begint PAT te zoeken vanaf het begin van de relevante groep (beginnend bij 1 voor TCP- of UDP-toepassingen en bij 0 voor ICMP).
7	Als een poort beschikbaar is, wordt deze toegewezen, en de sessie gaat verder.
8	Als er geen poorten beschikbaar zijn, wordt het pakje ingetrokken.

PAT met meerdere IP-adressen

conditionering	Beschrijving
1-7	De eerste zeven voorwaarden zijn hetzelfde als met één IP-adres.
8	Als er geen poorten beschikbaar zijn in de betreffende groep op het eerste IP-adres, gaat NAT naar het volgende IP-adres in de pool en probeert de oorspronkelijke bronpoort toe te wijzen die gevraagd is.
9	Als de gevraagde bronpoort beschikbaar is, wijst NAT de bronpoort toe en gaat de sessie verder.
10	Als de gevraagde bronpoort niet beschikbaar is, start NAT het zoeken vanaf het begin van de relevante groep (beginnend bij 1 voor TCP- of UDP-toepassingen en bij 0 voor ICMP).
11	Als een poort beschikbaar is, wordt deze toegewezen en gaat de sessie verder.
12	Als er geen poorten beschikbaar zijn, wordt het pakket verbroken, tenzij er een ander IP-adres in de pool beschikbaar is.

V. Wat zijn NAT IP-pools?

A. NAT IP-pools zijn een reeks IP-adressen die indien nodig voor NAT-vertaling zijn toegewezen. Om een pool te definiëren, wordt de configuratieopdracht gebruikt:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

Voorbeeld 1

Het volgende voorbeeld vertaalt tussen binnengastheren die van of het 192.168.1.0 of 192.168.2.0 netwerk aan het wereldwijd unieke 10.69.233.208/28 netwerk worden gericht:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 10.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

Voorbeeld 2

In het volgende voorbeeld is het doel om een virtueel adres te definiëren, verbindingen waaraan onder een reeks echte hosts wordt verdeeld. De pool definieert de adressen van de echte hosts. De toegangslijst definieert het virtuele adres. Als een vertaling niet reeds bestaat, worden TCP-pakketten van seriële interface 0 (de externe interface) waarvan de bestemming met de toegangslijst overeenkomt, vertaald naar een adres uit de pool.

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1

Q. Wat is het maximum aantal configureerbare NAT IP pools (ip nat pool "name")?

A. In de praktijk wordt het maximale aantal configureerbare IP-pools beperkt door de hoeveelheid beschikbare DRAM in de betreffende router. (Cisco raadt aan om een pool van 255 te configureren.) Elk zwembad mag niet meer dan 16 bits zijn. In 12.4(11)T en later, introduceert IOS CCE (Common Classification Engine). Dit heeft NAT beperkt tot maximaal 255 pools. In de 12.2S-codebasis is er geen maximale poolbeperking.

Wat is het voordeel van het gebruik van routekaart vs ACL op een NAT-pool?

A. Een routekaart beschermt ongewenste buitengebruikers om naar de interne gebruikers/servers te reiken. Het heeft ook de capaciteit om één enkel binnen IP adres aan verschillende binnen globale adressen in kaart te brengen gebaseerd op de regel. Raadpleeg NAT-ondersteuning voor meerdere pools die routekaarten gebruiken voor meer informatie.

Q. Wat is IP-adres "overlappend" in de context van NAT?

A. IP-adresoverlapping verwijst naar een situatie waarin twee locaties die willen onderling verbinden, allebei dezelfde IP-adresregeling gebruiken. Dit is geen ongewone gebeurtenis; het gebeurt vaak wanneer ondernemingen fuseren of worden overgenomen . Zonder speciale ondersteuning kunnen de twee locaties geen verbindingen maken en sessies opzetten. Het overlappende IP-adres kan een openbaar adres zijn dat aan een ander bedrijf is toegewezen, een privéadres dat aan een ander bedrijf is toegewezen, of kan afkomstig zijn uit het bereik van particuliere adressen zoals gedefinieerd in RFC 1918 .

Private IP-adressen zijn onroutabel en vereisen NAT-vertalingen om verbindingen met de buitenwereld mogelijk te maken. De oplossing betreft het onderscheppen van DNS (Domain Name System)-naamantwoorden van de buitenkant naar de binnenkant, het opzetten van een vertaling voor het externe adres en het bevestigen van de DNS-respons voordat het naar de interne host wordt doorgestuurd. Een DNS-server moet aan beide zijden van het NAT-apparaat worden ingeschakeld om gebruikers op te lossen die een verbinding tussen beide netwerken willen hebben.

NAT kan adresomzetting op de inhoud van DNS-A- en PTR-records inspecteren en uitvoeren, zoals bij het gebruik van NAT in Overlappende netwerken wordt getoond.

Q. Wat zijn statische NAT-vertalingen?

A. Statische NAT-vertalingen hebben één-op-één-omzetting tussen lokale en mondiale adressen. De gebruikers kunnen ook de statische adresvertalingen aan het havenniveau vormen, en de rest van het IP adres voor andere vertalingen gebruiken. Dit gebeurt meestal op plaatsen waar u PAT (Port Address Translation) toepast.

Het volgende voorbeeld toont hoe te om routemap te vormen om buiten-aan-binnenvertaling voor statische NAT toe te staan:

ip nat inside source static 1.1.1.1 2.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 30.1.10.128 0.0.0.127'
route-map R1 permit 10
match ip address ACL-A

Q. Wat wordt verstaan onder de term NAT-overbelasting; Is dit PAT?

A. Ja. NAT-overlading is PAT, wat inhoudt dat een pool met een of meer adressen wordt gebruikt of dat een interface-IP-adres in combinatie met de poort wordt gebruikt. Wanneer je overbelasting maakt, creëer je een volledig uitgebreide vertaling. Dit is een invoeging van een vertaaltabel die IP-adres en bron-/doelpoortinformatie bevat, die algemeen PAT wordt genoemd of overladen.

PAT (of overladen) is een eigenschap van Cisco IOS NAT die wordt gebruikt om interne (interne) privé adressen aan één of meer buiten (binnen globale, gewoonlijk geregistreerde) IP adressen te vertalen. Unieke bronpoortnummers op elke vertaling worden gebruikt om een onderscheid te maken tussen de gesprekken.

Q. Wat zijn dynamische NAT-vertalingen?

A. In dynamische NAT-vertalingen kunnen de gebruikers dynamische mapping tussen lokale en mondiale adressen instellen. Dynamische mapping wordt uitgevoerd door de lokale adressen te definiëren die worden vertaald en het pool van adressen of interface-IP-adres te definiëren waarvandaan wereldwijde adressen worden toegewezen en de twee gekoppeld.

Wat is ALG?

A. ALG is een Application Layer Gateway (ALG). NAT voert vertaalservice uit op elk TCP/UDP-verkeer (Transmission Control Protocol/User Datagram Protocol) dat geen IP-adressen van bron en/of bestemming in de toepassingsgegevensstroom bevat.

Deze protocollen omvatten FTP, HTTP, SKINNY, H232, DNS, RAS, SIP, TFTP, telnet, archie, vinger, NTP, NFS, rlogin, rsh, rcp. De specifieke protocollen die IP-adresinformatie binnen de lading insluiten vereisen steun van een Gateway van het Toepassingsniveau (ALG).

Raadpleeg Toepassingsniveau gateways met NAT voor meer informatie.

V. Is het mogelijk een configuratie op te bouwen met zowel statische als dynamische NAT-vertalingen?

A. Ja. Hetzelfde IP-adres kan echter niet worden gebruikt voor de statische NAT-configuratie of in het pool voor de dynamische configuratie van NAT. Alle openbare IP-adressen moeten uniek zijn. Merk op dat de globale adressen die in statische vertalingen worden gebruikt niet automatisch worden uitgesloten met dynamische pools die deze zelfde globale adressen bevatten. Dynamische pools moeten worden gecreëerd om adressen uit te sluiten die door statische items zijn toegewezen. Raadpleeg voor meer informatie het gedeelte Statische en Dynamische NAT tegelijkertijd configureren.

Q. Wanneer een traceroute door een router NAT wordt gedaan, zou Tracoute het NAT-Global adres moeten tonen of zou het het NAT-Lokale adres moeten lekken?

A. Traceroute van buiten moet altijd het mondiale adres teruggeven.

Q. Hoe wijst PAT haven toe?

A. NAT voegt extra poortfuncties toe: groot bereik en poortkaart.

• Full-range staat NAT toe om alle poorten te gebruiken ongeacht het standaard poortbereik.

• Port-map geeft NAT de mogelijkheid om een door de gebruiker gedefinieerde poortbereik voor de specifieke toepassing te reserveren.

Raadpleeg de door de gebruiker gedefinieerde bronpoortbereiken voor PAT voor meer informatie.

In 12.4(20)T2 verderop, introduceert NAT poortrandomisatie voor L3/L4 en symmetrisch-poort.

• Poortrandomisatie laat NAT toe om willekeurig om het even welke globale haven voor het verzoek van de bronhaven te selecteren.

• Met een symmetrische poort kan NAT endpointgebeurtenissen onafhankelijk ondersteunen.

Q. Wat is het verschil tussen IP-fragmentatie en TCP-segmentatie?

A. IP-fragmentatie vindt plaats op Layer 3 (IP); TCP-segmentatie treedt op op Layer 4 (TCP). IP-fragmentatie vindt plaats wanneer pakketten die groter zijn dan de maximale transmissieeenheid (MTU) van een interface, uit deze interface worden verzonden. Deze pakketten moeten gefragmenteerd of weggegooid worden wanneer ze de interface naar buiten worden gestuurd. Als het bit Don (DF)-bit niet in de IP-header van het pakket is ingesteld, wordt het pakket gefragmenteerd. Als het PDF-bit in de IP-header van het pakket is ingesteld, wordt het pakket ingetrokken en wordt een ICMP-foutmelding met de volgende hop-MTU-waarde teruggestuurd naar de zender. Alle fragmenten van een IP-pakket hebben hetzelfde Ident in de IP-header, waarmee de laatste ontvanger de fragmenten in het oorspronkelijke IP-pakket kan reassembleren. Raadpleeg Problemen met IP-fragmentatie, MTU, MSS en PMTUD oplossen met GRE en IPsec voor meer informatie.

TCP-segmentatie vindt plaats wanneer een toepassing op een eindstation gegevens stuurt. De toepassingsgegevens zijn verdeeld in wat TCP de best-grootte acht om te verzenden. Deze eenheid van gegevens die van TCP naar IP wordt doorgegeven wordt een segment genoemd. TCP-segmenten worden verzonden in IP-datagrammen. Deze IP-datagrammen kunnen dan IP-fragmenten worden wanneer zij door het netwerk gaan en wanneer er sprake is van lagere MTU-koppelingen dan wanneer zij door kunnen passen.

TCP zal eerst deze gegevens in TCP segmenten (gebaseerd op TCP MSS-waarde) segmenteren en de TCP header toevoegen en dit TCP-segment doorgeven aan IP. IP voegt vervolgens een IP-header toe om het pakket naar de externe eindhost te verzenden. Als het IP-pakket met het TCP-segment groter is dan de IP-MTU op een uitgaande interface op het pad tussen de TCP-hosts, zal IP het IP/TCP-pakket fragmenteren om te passen. Deze IP-pakketfragmenten zullen op de externe host opnieuw worden gemonteerd door de IP-laag en het volledige TCP-segment (dat oorspronkelijk werd verzonden) zal aan de TCP-laag worden overgedragen. De TCP-laag heeft geen idee dat IP het pakket tijdens het transport had gefragmenteerd.

NAT ondersteunt IP-fragmenten, maar ondersteunt TCP-segmenten niet.

Q. ondersteunt NAT out-of-order voor IP-fragmentatie en TCP-segmentatie?

A. NAT ondersteunt alleen out-of-order IP fragmenten vanwege IP-virtuele reassemblering.

Q. Hoe kan IP-fragmentatie en TCP-segmentatie worden gedetecteerd?

A. NAT gebruikt de zelfde debug CLI voor zowel IP fragmentatie als TCP segmentatie: debug ip nat frag .

Vraag: Is er een ondersteunde NAT MIB?

A. Nee. Er is geen ondersteunde NAT MIB, inclusief CISCO-IETF-NAT-MIB.

Q. Wat is TCP-onderbreking, en hoe houdt het verband met de NAT TCP-timer?

A. Als de drievoudige handdruk niet is voltooid en NAT een TCP-pakket ziet, start NAT een 60 seconden durende timer. Wanneer de drierichtingshanddruk is voltooid, gebruikt NAT een timer van 24 uur voor een NAT-ingang standaard. Als een eindhost een RESET-signaal verstuurt, verandert NAT de standaardinstelling van 24 uur in 60 seconden. In het geval van FIN verandert NAT de standaardinstelling van 24 uur in 60 seconden wanneer deze FIN en FIN-ACK ontvangt.

Kan ik de tijd die nodig is voor een NAT-omzetting veranderen in tijd uit de NAT-tabel?

A. Ja. U kunt de NAT timeout waarden voor alle ingangen of voor verschillende typen NAT-tranlaties (zoals udp-timeout, dns-timeout, tcp-timeout, finst-timeout, icmp-timeout, ppp-timeout, syn-timeout, port-timeout en arp-ping-timeout) wijzigen.

Vraag. Hoe kan ik voorkomen dat Lichtgewicht Directory Access Protocol (LDAP) extra bytes aan elk LDAP-antwoordpakket toevoegt?

A. De LDAP-instellingen voegen de extra bytes (LDAP-zoekresultaten) toe tijdens het verwerken van berichten van het type Search-Res-Entry. LDAP hecht 10 bytes aan zoekresultaten aan elk van het pakket met de LDAP-antwoorden. Als deze 10 extra bytes van gegevens resulteren in het pakket dat de Max Transmission Unit (MTU) in een netwerk overschrijdt, wordt het pakket ingetrokken. In dit geval, raadt Cisco u aan dit LDAP gedrag uit te schakelen met behulp van de CLI geen IP-service-opdracht toevoegen-zonder-zoekopdrachten, zodat de pakketten verzonden en ontvangen kunnen worden.

Q. Wat is de routeaanbeveling voor het binnenmondiale/buitenlokale IP-adres in het NAT-vak?

A. Een route moet in het NAT geconfigureerde vak worden gespecificeerd voor het globale IP-adres binnen voor functies zoals NAT-NVI. Op dezelfde manier zou een route ook op het NAT-vakje voor het buitenlokale IP-adres moeten worden gespecificeerd. In dit geval zal elk pakje van een in naar een uitrichting met de externe statische regel dit soort route vereisen. In dergelijke scenario's, terwijl het de route voor IG/OL verstrekt, zou het volgende IP adres van de hop ook moeten worden gevormd. Als de volgende hopconfiguratie ontbreekt, wordt dit beschouwd als een configuratie fout en zal onbepaald gedrag opleveren.

NVI-NAT is alleen in het uitvoerfunctiepad aanwezig. Als u direct netwerk met NAT-NVI of de buiten vertaalregel NAT in het vakje hebt verbonden, dan moet u in die scenario's een pop van het volgende IP adres van de Hop en ook een geassocieerd ARP voor de Volgende Hop verstrekken. Dit is nodig om de onderliggende infrastructuur het pakket voor de vertaling aan NAT te kunnen geven.

Q. steunt Cisco IOS NAT ACL’s met een "logsleutelwoord"?

A. Wanneer u Cisco IOS NAT voor dynamische NAT-vertaling configureren wordt een ACL gebruikt om pakketten te identificeren die kunnen worden vertaald. De huidige NAT architectuur steunt geen ACL's met een "logsleutelwoord".

Voice-NAT

Q. ondersteunt NAT Skinny Client Control Protocol (SCCP) v17 dat wordt verzonden met Cisco Unified Communications Manager (CUCM) V7?

A. CUCM 7 en alle standaardtelefoonladingen voor CUCM 7 ondersteunen SCCPv17. De gebruikte SCCP-versie wordt bepaald door de hoogste gemeenschappelijke versie tussen CUCM en de telefoon wanneer de telefoon wordt geregistreerd.

NAT ondersteunt SCCP v17 nog niet. Totdat NAT-ondersteuning voor SCCP v17 is geïmplementeerd, moet de firmware gedownload worden naar versie 8-3-5 of eronder, zodat SCCP v16 is overeengekomen. CUCM6 zal het NAT-probleem niet met enige telefoonlading tegenkomen zolang het SCCP v16 gebruikt. Cisco IOS ondersteunt momenteel geen SCCP versie 17.

Q. Welke versies van CUCM/SCCP/firmware worden ondersteund door NAT?

A. NAT ondersteunt CUCM versie 6.x en eerdere releases. Deze CUCM-versies worden vrijgegeven met de standaard 8.3.x (of eerder) telefoon firmware-lading die SCCP v15 (of eerder) ondersteunt.

NAT ondersteunt CUCM-versies 7.x of latere releases niet. Deze CUCM-versie wordt vrijgegeven met de standaard 8.4.x-telefoon firmware-lading die SCCP v17 (of hoger) ondersteunt.

Als CUCM 7.x of hoger wordt gebruikt, moet er een oudere firmware-lading op de CUCM TFTP-server geïnstalleerd zijn, zodat de telefoons een firmware-lading met SCCP v15 of eerder gebruiken om door NAT ondersteund te worden.

Q. Wat is de Verbetering in PAT-poorttoewijzing voor serviceproviders voor RTP en RTCP?

A. De verbetering van de poorttoewijzing voor serviceproviders PAT voor RTP en RTCP zorgt ervoor dat er bij SIP-, H.323- en Skinny-spraakoproepen worden opgeroepen. De poortnummers die gebruikt worden voor RTP-stromen zijn zelfs poortnummers en de RTCP-stromen zijn het volgende oneven poortnummer. Het poortnummer wordt vertaald naar een nummer binnen het bereik dat gespecificeerd is volgens RFC-1889. Een aanroep met een poortnummer binnen het bereik resulteert in een PAT-vertaling naar een ander poortnummer binnen dit bereik. Ook zal een PAT-vertaling voor een poortnummer buiten dit bereik niet resulteren in een vertaling naar een nummer binnen het gegeven bereik.

Q. Wat is Session Initiation Protocol (SIP) en kunnen SIP-pakketten worden NATted?

A. Session Initiation Protocol (SIP) is een op ASCII gebaseerd, op toepassing gebaseerde, controlelaag-protocol dat kan worden gebruikt om oproepen tussen twee of meer endpoints op te zetten, te onderhouden en te beëindigen. SIP is een alternatief protocol dat door de Internet Engineering Task Force (IETF) is ontwikkeld voor multimedia conferencing via IP. De implementatie van Cisco SIP maakt ondersteunde Cisco-platforms in staat om de installatie van spraak- en multimedia-oproepen via IP-netwerken te signaleren.

SIP-pakketten kunnen NATted zijn.

Q. Wat is Hosted NAT Traversal ondersteuning voor Session border-controller (SBC)?

A. De Cisco IOS Hosted NAT Traversal voor SBC-functie stelt een Cisco IOS NAT SIP Application-Level Gateway (ALG) router in staat om als een SBC op een Cisco Multiservice IP-to-IP gateway te fungeren, die helpt bij het correct leveren van spraak via IP-services (VoIP).

Raadpleeg Cisco IOS Hosted NAT Traversal configureren voor Session border-controller voor meer informatie.

Q. Hoeveel SIP-, Skinny- en H323-oproepen kunnen een routergeheugen en CPU-handgreep met NAT?

A. Het aantal oproepen dat door een NAT-router wordt verwerkt, is afhankelijk van de hoeveelheid geheugen die in het vak beschikbaar is en de verwerkingscapaciteit van de CPU.

Q. Ondersteunt een NAT-router TCP-segmentatie van pakketten Skinny en H323?

A. IOS-NAT ondersteunt TCP-segmentatie voor H323 in 12.4 Ondersteuning van hiphline en TCP-segmentatie voor SKINNY vanaf 12.4(6)T voorwaarts.

V. Zijn er voorbehouden om uit te kijken bij gebruik van een NAT-overlastconfiguratie in een spraakinstallatie?

A. Ja. Wanneer u NAT-overloadformaten en een spraakontwikkeling hebt, hebt u het registratieservice nodig om door NAT te gaan en een associatie voor uitzending te maken om dit interne apparaat te bereiken. Het interne apparaat stuurt deze registratie periodiek en NAT werkt deze spelden/associatie bij van de informatie zoals in het signaleringsbericht.

Zijn er bekende problemen veroorzaakt door de afgifte van de duidelijke ip nat trans * opdracht of de duidelijke ip nat trans opdracht in een spraakinstallatie?

A. Bij spraakimplementaties als u een heldere ip-nat-trans *-opdracht uitgeeft of een heldere ip-nat trans-geforceerde opdracht en dynamische NAT hebt, veegt u het speld-gat/de associatie uit en wacht u tot de volgende registratiecyclus van het interne apparaat om dit weer op te bouwen. Cisco raadt u aan deze duidelijke opdrachten niet in een spraaktoepassing te gebruiken.

V. steunt NAT spraakoplossing op basis van co-locatie?

A. Nee. De gecodeerde oplossing wordt momenteel niet ondersteund. De volgende plaatsing met NAT (in hetzelfde vakje) wordt beschouwd als een gecodeerde oplossing: CME/DSP-Farm/SCCP/H323.

V. ondersteunt NVI Skinny ALG, H323 ALG en TCP SIP ALG?

A. Nee. Merk op dat UDP SIP ALG (gebruikt door de meeste implementaties) niet wordt beïnvloed.

NAT met VRF/MPLS

Q. Zal een NAT-router NAT ooit ondersteunen bij het bieden van dezelfde adresruimte in een VRF zoals NATted is in een globale adresruimte? Op dit moment krijg ik deze waarschuwing: "% gelijkaardige statische ingang (1.1.1.1 —> 22.2.2) bestaat reeds" wanneer ik probeer het volgende te configureren:

72UUT(config)#ip nat inside
	 source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static
	 1.1.1.1 22.2.2.2 vrf RED 

A. Verouderde NAT ondersteunt het overladen van adresconfiguratie boven verschillende VRF's. U moet overlappende systemen op regel met de optie match-in-vrf configureren en in- en uitzetten van ip binnen/buiten dezelfde VRF-verbinding voor verkeer via die specifieke VRF. De overlappende ondersteuning bevat niet de wereldwijde routingtabel.

U moet het trefwoord voor matchen-in-vrf toevoegen voor de overlappende statische NAT-items van VRF’s. Het is echter niet mogelijk om de globale en vrf NAT-adressen te overlappen.

72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf

Q. steunt NAT van de erfenis VRF-Lite (NATting van een VRF aan een andere VRF)?

A. Nee. U moet NVI gebruiken voor NATting tussen verschillende VRF's. U kunt bestaande NAT gebruiken om NAT van VRF naar global of NAT met dezelfde VRF te doen.

NAT NVI

V. Wat is NAT NVI?

A. NVI staat voor NAT virtuele interface. Hiermee kan NAT tussen twee verschillende VRF’s vertalen. Deze oplossing moet worden gebruikt in plaats van Netwerkadresomzetting op een vaste schijf.

V. Moet NAT NVI worden gebruikt bij NATting tussen een interface in mondiaal en een interface in een VRF?

A. Cisco raadt u bestaande NAT voor VRF aan globale NAT (ip nationaal binnen/uit) en tussen interfaces in het zelfde VRF te gebruiken. NVI wordt gebruikt voor NAT tussen verschillende VRF’s.

Q. wordt TCP-segmentatie voor NAT-NVI ondersteund?

A. Er is geen ondersteuning voor TCP-segmentatie voor NAT-NVI.

V. ondersteunt NVI Skinny ALG, H323 ALG en TCP SIP ALG?

A. Nee. Merk op dat UDP SIP ALG (gebruikt door de meeste implementaties) niet wordt beïnvloed.

Q. Wordt TCP-segmentatie ondersteund met SNAT?

A. SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). Daarom wordt TCP-segmentatie niet ondersteund. UDP SIP en DNS worden echter ondersteund.

SNAT

V. Wat is stateful NAT (SNAT)?

A. SNAT staat twee of meer netwerkadresvertalers toe om als vertaalgroep te functioneren. Eén lid van de vertaalgroep verwerkt verkeer dat een vertaling van IP-adresinformatie vereist. Daarnaast stelt het de back-upvertaler op de hoogte van actieve stromen zodra ze zich voordoen. De back-upvertaler kan vervolgens informatie van de actieve vertaler gebruiken om dubbele vermeldingen op de vertaaltabel voor te bereiden. Als de actieve vertaler wordt gehinderd door een kritische storing, kan het verkeer snel naar de back-up worden overgeschakeld. De verkeersstroom duurt voort aangezien dezelfde netwerkadresvertalingen worden gebruikt en de staat van die vertalingen is eerder gedefinieerd.

Q. wordt TCP-segmentatie ondersteund met SNAT?

A. SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). Daarom wordt TCP-segmentatie niet ondersteund. UDP SIP en DNS worden echter ondersteund.

Q. Is SNAT ondersteuning voor asymmetrische routing?

A. Asyrische routing ondersteunt NAT door in de wachtrij te plaatsen. Standaard is de wachtrij ingeschakeld. Vanaf 12.4(24)T naar achteren wordt as-wachtrij niet langer ondersteund. Klanten moeten ervoor zorgen dat pakketten correct worden routeerd en de juiste vertraging wordt toegevoegd om asymmetrische routing correct te laten werken.

NAT-PT (v6 tot v4)

V. Wat is NAT-PT?

A. NAT-PT is v4 tot v6-vertaling voor NAT. Protocol Translation (NAT-PT) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765 en RFC 2766 , waardoor IPv6-apparaten alleen kunnen communiceren met IPv4-apparaten en vice versa.

Q. wordt NAT-PT ondersteund in het Cisco Express Forwarding (CEF)-pad?

A. NAT-PT wordt niet ondersteund in het CEF-pad.

Q. Welke ALG's worden in NAT-PT ondersteund?

A. NAT-PT ondersteunt TFTP/FTP en DNS. Er is geen ondersteuning voor spraak en SNAT in NAT-PT.

Ondersteunt ASR 1004 NAT-PT?

A. Aggregation Services Routers (ASR) gebruikt NAT64.

Platform-afhankelijke Cisco 7300/7600/6k

V. is Stateful NAT (SNAT) beschikbaar op Catalyst 6500 op de SX-trein?

A. SNAT is niet beschikbaar op Catalyst 6500 op de SX-trein.

Q. Is VRF-bewuste NAT ondersteund in hardware op de 6k?

A. VRF-bewuste NAT wordt niet ondersteund in hardware op dit platform.

V. Ondersteuning van de 7600 en Cat6000 VRF-bewuste NAT?

A. Op het 65xx/76xx-platform wordt VRF-bewuste NAT niet ondersteund en de CLIs worden geblokkeerd.

Opmerking: U kunt een ontwerp implementeren door gebruik te maken van een FWSM dat in virtuele context-transparante modus draait.

Platform-afhankelijke Cisco 850

V. steunt Cisco 850 Skinny NAT ALG in release 12.4T?

A. Nee. Er is geen ondersteuning voor Skinny NAT ALG in 12.4T voor de 850-serie.

NAT-implementatie

V. Hoe implementeer ik NAT?

A. NAT maakt privé IP-netwerken mogelijk die niet-geregistreerde IP-adressen gebruiken om verbinding te maken met internet. NAT vertaalt het privé (RFC1918) adres in het interne netwerk in wettelijke routeerbare adressen voordat pakketten naar een ander netwerk worden verzonden.

Vraag. Hoe implementeren we NAT met een stem?

A. Met de NAT-ondersteuning voor spraakfuncties kunnen SIP-ingesloten berichten die door een router lopen die is geconfigureerd met Network Address Translation (NAT), worden vertaald naar het pakket. Een gateway van de toepassingslaag (ALG) wordt met NAT gebruikt om de spraakpakketten te vertalen.

V. Hoe integreer ik NAT met MPLS VPN’s?

A. De NAT-integratie met MPLS VPN’s maakt het mogelijk dat meerdere MPLS VPN’s op één apparaat worden geconfigureerd om samen te werken. NAT kan differentiëren van welke MPLS VPN het IP-verkeer ontvangt zelfs als de MPLS VPN’s allemaal hetzelfde IP-adresseringsschema gebruiken. Deze verbetering maakt het mogelijk dat meerdere MPLS VPN-klanten services delen terwijl ze er zeker van zijn dat elke MPLS VPN volledig gescheiden is van de andere.

Q. ondersteunt NAT statische mapping HSRP voor een hoge beschikbaarheid?

A. Wanneer een vraag van de Resolutie van het Adres Protocol (ARP) wordt geactiveerd voor een adres dat met statische mapping (NAT) van Network Address Translation (NAT) wordt ingesteld en door de router in bezit is, reageert NAT met het MAC-adres van de BIA op de interface waarop het ARP wijst. Twee routers fungeren als actieve en stand-by HSRP. Hun NAT binnen interfaces moeten in staat en geconfigureerd zijn om tot een groep te behoren.

V. Hoe implementeren we NAT NVI?

A. De NAT virtuele interface (NVI) verwijdert de noodzaak om een interface te configureren als NAT binnen of NAT buiten.

Vraag. Hoe implementeer ik het taakverdeling met NAT?

A. Er zijn twee soorten taakverdeling die met NAT kunnen worden uitgevoerd: u kunt de balans naar een reeks servers laden om de lading op de servers te verdelen en u kunt uw gebruikersverkeer naar het internet over twee of meer ISP's laden.

Raadpleeg voor meer informatie over taakverdeling bij uitgaande lading IOS NAT-taakverdeling voor twee ISP-verbindingen.

V. Hoe implementeer ik NAT in combinatie met IPSec?

A. Er is ondersteuning voor IP Security (IPSec) Encapsulating Security Payload (ESP) via NAT en IPSec NAT Transparency.

Dankzij de functie IPSec ESP via NAT kan u meerdere gelijktijdige IPSec ESP-tunnels of verbindingen ondersteunen via een Cisco IOS NAT-apparaat dat is geconfigureerd in overload of Port Address Translation (PAT)-modus.

De transparantiefunctie van IPSec NAT introduceert ondersteuning voor IPSec-verkeer om door NAT of PAT punten in het netwerk te reizen door vele bekende incompacten tussen NAT en IPSec aan te pakken.

V. Hoe implementeren we NAT-PT?

A. NAT-PT (Network Address Translation—Protocol Translation) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765 en RFC 2766 , waardoor IPv6-only apparaten kunnen communiceren met IPv4-only apparaten en vice versa.

V. Hoe implementeer ik multicast NAT?

A. Het is mogelijk om NAT de bron IP te gebruiken voor een multicast stream. Een route-kaart kan niet worden gebruikt bij het doen van dynamisch NAT voor multicast, slechts wordt een toegangslijst voor dit ondersteund.

Raadpleeg voor meer informatie Hoe werkt Multicast NAT bij Cisco-routers. De bestemming multicast groep wordt NATted met behulp van een oplossing voor multicast serviceresources.

V. Hoe implementeer ik stateful NAT (SNAT)?

A. SNAT maakt continue service mogelijk voor dynamisch in kaart gebrachte NAT-sessies. Sessies die statistisch worden gedefinieerd krijgen het voordeel van redundantie zonder SNAT. Bij gebrek aan SNAT zouden sessies die dynamische NAT-mappings gebruiken in het geval van een kritieke storing worden doorbroken en moeten worden hersteld. Alleen de minimale SNAT-configuratie wordt ondersteund. Toekomstige implementaties mogen alleen worden uitgevoerd nadat u met uw Cisco-accountteam hebt gepraat om het ontwerp te valideren relatief tot de huidige beperkingen.

SNAT wordt aanbevolen voor de volgende scenario's:

• Primair/back-up is geen aanbevolen modus, omdat er bepaalde functies ontbreken in vergelijking met HSRP.

• Voor failover-scenario's en voor 2-routerinstellingen. Dat wil zeggen, als een router crasht, neemt de andere router deze naadloos over. (SNAT architectuur is niet ontworpen om interfacekaarten aan te kunnen.)

• Niet-asymmetrisch routingscenario wordt ondersteund. De asymmetrische routing kan alleen worden verwerkt als de latentie in het antwoordpakket hoger is dan die tussen 2 SNAT-routers om de SNAT-berichten te ruilen.

De huidige SNAT-architectuur is niet ontworpen om robuustheid aan te kunnen; derhalve wordt niet verwacht dat deze tests zullen slagen :

• NAT-items reinigen terwijl er verkeer is.

• Veranderende interfaceparameters (zoals IP adresverandering, gesloten/niet-gesloten, enz.) terwijl er verkeer is.

• Van SNAT specifieke duidelijke of show opdrachten wordt niet verwacht dat ze correct worden uitgevoerd en niet aanbevolen.

  Sommige SNAT gerelateerde duidelijke en show opdrachten zijn als volgt:

  clear ip snat sessions *
  clear ip snat sessions 
          
          
  clear ip snat translation distributed *
  clear ip snat translation peer < IP address of SNAT peer>
  sh ip snat distributed verbose
  sh ip snat peer < IP address of peer>
  

• Als de gebruiker de items wil wissen, kan de opdrachten ip-nat-geforceerde of duidelijke ip-nat-trans * worden gebruikt.

  Als de gebruiker de items wil bekijken, toon dan IP-vertaalsoftware, toon dan ip-nat vertaalbreedband en laat u ip nat stats opdrachten gebruiken. Als de service interne is geconfigureerd zal deze ook SNAT specifieke informatie tonen.

• Het reinigen van NAT-vertalingen in de router voor back-up wordt niet aanbevolen. Wis altijd de NAT ingangen op de primaire SNAT router.

• SNAT is geen HA; daarom moeten de configuraties op beide routers hetzelfde zijn . Beide routers moeten dezelfde afbeelding hebben. Zorg ook dat het onderliggende platform dat voor beide SNAT routers wordt gebruikt, hetzelfde is.

NAT-beste praktijken

V. Zijn er NAT-goede praktijken?

A. Ja. Dit zijn de beste NAT-praktijken:

1. Wanneer u zowel dynamische als statische NAT gebruikt, moet ACL die de regel voor dynamisch NAT instelt de statische lokale hosts uitsluiten zodat er geen overlapping is.

2. Houd er rekening mee dat u ACL voor NAT gebruikt met behulp van een bestand dat op elk gewenst moment onvoorspelbare resultaten oplevert. Na 12.4(20)T zal NAT lokaal gegenereerde HSRP- en routeringsprotocol-pakketten vertalen als ze de externe interface worden verzonden, evenals lokaal versleutelde pakketten die overeenkomen met de NAT-regel.

3. Wanneer u overlappende netwerken voor NAT hebt, gebruik het match-in-vrf sleutelwoord.

   U moet het match-in-vrf sleutelwoord toevoegen voor de overlappende statische NAT-ingangen van VRF voor verschillende VRFs, maar het is niet mogelijk om globale en vrf NAT adressen te overlappen.

   Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
   

   Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
   

4. NAT-pools met hetzelfde adresbereik kunnen niet in verschillende VRF's worden gebruikt, tenzij het match-in-vrf-trefwoord wordt gebruikt.

   Bijvoorbeeld:

     ip nat pool poolA 171.1.1.1 171.1.1.10 prefix-length 24
     ip nat pool poolB 171.1.1.1 171.1.1.10 prefix-length 24
     ip nat inside source list 1 poolA vrf A match-in-vrf
     ip nat inside source list 2 poolB vrf B match-in-vrf 
   

   Opmerking: Zelfs al is de CLI configuratie geldig, zonder het match-in-vrf sleutelwoord wordt de configuratie niet ondersteund.

5. Wanneer u taakverdeling van ISP's met de NAT-interfaceoverload implementeert, is de beste praktijk om route-kaart met interfacekaart te gebruiken via matching van ACL.

6. Wanneer u poolmapping gebruikt, dient u twee verschillende mapping (ACL of route-kaart) niet te gebruiken om hetzelfde NAT-pooladres te delen.

7. Wanneer u dezelfde NAT-regels instelt op twee verschillende routers in het failover-scenario, dient u HSRP-redundantie te gebruiken.

8. Bepaal hetzelfde binnen het wereldwijde adres niet in Static NAT en Dynamic Pool. Deze actie kan tot ongewenste resultaten leiden.

Gerelateerde informatie

• Technische ondersteuning en documentatie – Cisco Systems