Identificar e Solucionar Problemas de NAT em Plataformas Cat8000

Opções de download

  • PDF     (287.4 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:12 de junho de 2026
ID do documento:226027

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como solucionar problemas de NAT em plataformas Cat8000.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conversões de endereço de rede (NAT)
  • Cisco IOS XE

Para obter mais informações sobre esses tópicos, consulte:

Configurar Network Address Translation
Entender a ordem de operação do NAT
Perguntas mais frequentes sobre a conversão de endereço de rede (NAT)
Restrições para configurar NAT para conservação de endereço IP

Componentes Utilizados

As informações neste documento são baseadas no software Cisco IOS XE.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Diagrama de Rede

NAT TopologyTopologia NAT

Casos Práticos: Esgotamento de NAT (pool esgotado)

Essa mensagem de log indica que o dispositivo tentou alocar um endereço IP para NAT, como para uma conversão de NAT ou PAT dinâmica, mas a alocação não foi bem-sucedida. Isso geralmente ocorre quando não há endereços ou portas disponíveis restantes no pool NAT configurado.

As causas comuns incluem:

· O pool NAT está esgotado (todos os endereços IP ou portas disponíveis estão em uso).
· A configuração NAT não tem endereços ou recursos suficientes para acomodar as solicitações de conversão atuais.

%NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed; pool 2 may be exhausted [2] port range: NA, non-PATable: NO, for ALG: NO, input intf: GigabitEthernet0/0/3, mapping-id: 1, 
created by pkt: src_ip 192.0.2.13 dst_ip 192.x.x.40 src_port 0 dst_port 0 proto 1

Verifique o pool NAT para confirmar o intervalo de conversão de endereço.

NAT_R1#show ip nat pool platform
Dump NAT pool config

ID: 2, Name: NAT_Pool, Type: Generic, Mask: 255.255.255.240
Flags: Unknown, Acct name: 
Address range blocks: 1
Start: 203.0.113.3, End: 203.0.113.5
Last stats update: 07/31 13:08:43.708061785
Last refcount value: 3

Verifique a tabela de conversão NAT e determine o número de conversões ativas presentes no momento.

NAT_R1#show ip nat translations 
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.3 192.0.2.10 --- ---
--- 203.0.113.5 192.0.2.12 --- ---
--- 203.0.113.4 192.0.2.11 --- ---
icmp 203.0.113.5:0 192.0.2.12:0 198.51.100.30:0 198.51.100.30:0
icmp 203.0.113.3:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.4:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 6

Verifique se as quedas aparecem nas estatísticas de NAT. Esse resultado indicaria que o tráfego de entrada requer conversão, mas as quedas ocorrem devido a problemas de alocação de NAT.

NAT_R1#show ip nat statistics 
Total active translations: 6 (0 static, 6 dynamic; 3 extended)
Outside interfaces:
GigabitEthernet0/0/4
Inside interfaces: 
GigabitEthernet0/0/3
Hits: 11094661606 Misses: 10
Reserved port setting disabled provisioned no
Expired translations: 1412
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 1 pool NAT_Pool refcount 6 <---- Translations count
pool NAT_Pool: id 2, netmask 255.255.255.240
start 203.0.113.3 end 203.0.113.5
type generic, total addresses 3, allocated 3 (100%), misses 3559386331
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 3559337007 Out-to-in drops: 0  <---- drops from in to out 
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT_R1#

Da perspectiva da plataforma, revise as estatísticas de NAT do caminho de dados QFP para determinar se esses descartes correspondem ao problema observado.

NAT_R1#show platform hardware qfp active feature nat datapath stats

Counter                                                         Value
------------------------------------------------------------------------
number_of_session                                                 3
udp                                                               0
tcp                                                               0
icmp                                                              3
non_extended                                                      3
statics                                                           0
static_net                                                        0
entry_timeouts                                                    1
hits                                                         585149
misses                                                            0
cgn_dest_log_timeouts                                             0
ipv4_nat_alg_bind_pkts                                            0
ipv4_nat_alg_sd_not_found                                         0
ipv4_nat_alg_sd_tail_not_found                                    0
ipv4_nat_rx_pkt                                                 154
ipv4_nat_tx_pkt                                         18791285989
<snip>
ipv4_nat_non_natted_in2out_pkts                                 144 
ipv4_nat_non_nated_out2in_pkts                                    0
<snip>
ipv4_nat_cfg_rcvd                                                 8
ipv4_nat_cfg_rsp                                                  9
Subcode#14 ADDR_ALLOC_FAIL                               5216959285

Verifique o número atual de entradas e compare entre os valores maxhost_count e maxhost_himark :

  • maxhost_count: mostra as entradas atuais no roteador.
  • maxhost_himark: mostra 7, isso indica que o limite foi atingido em algum momento.

NAT_R1#show platform hardware qfp active feature nat datapath limit
maxhost_limit 131072 maxhost_count 5 maxhost_fail 0 maxhost_himark 7
total limit entries 0 hash tbl 0x0 max entries 0 limit_chunk 0x0 allvrf limit 0
acl limit 0 acl count 0 acl fail 0 acl_id 0x0

Possível causa

O número de endereços utilizáveis no pool NAT varia de 3 a 5. Ocorrem problemas quando as conversões inativas permanecem na tabela NAT, o que impede que outro tráfego seja convertido. Esse comportamento é esperado, pois o tempo limite de conversão de NAT padrão é de 24 horas. Para resolver esse problema, configure o comando ip nat translation timeout para limpar as conversões inativas depois que essa ação ocorrer, a tabela NAT precisará ser limpa.

NAT_R1(config)#ip nat translation timeout 10800 
NAT_R1(config)#end 
NAT_R1#clear ip nat translation *
NAT_R1#show ip nat translations 
Pro Inside global Inside local Outside local Outside global
--- 203.0.113.5 192.0.2.11 --- ---
--- 203.0.113.4 192.0.2.10 --- ---
icmp 203.0.113.4:0 192.0.2.10:0 198.51.100.10:0 198.51.100.10:0
icmp 203.0.113.5:0 192.0.2.11:0 198.51.100.20:0 198.51.100.20:0
Total number of translations: 4

Casos Práticos: O NAT converte endereços IP não classificados (problema de gatekeeper)

O recurso NAT Gatekeeper foi projetado para melhorar o desempenho do roteador, protegendo o mecanismo NAT do processamento de fluxos não-NAT. Quando pacotes não NAT atravessam uma interface habilitada para NAT, eles normalmente passam por pesquisas extensas antes que o NAT determine que a conversão não é necessária. Esse processo usa muito a CPU no Quantum Flow Processor (QFP). O Gatekeeper mitiga isso mantendo um pequeno cache de fluxos não-NAT, permitindo que esses pacotes ignorem o mecanismo NAT depois de identificados, reduzindo assim a carga da CPU. As entradas no cache do Gatekeeper expiram relativamente rapidamente, permitindo que os fluxos sejam reavaliados pelo mecanismo NAT, caso as condições de rede mudem e o fluxo agora possa estar sujeito ao NAT.

Esse mecanismo ajuda a otimizar a utilização de recursos e melhora a eficiência geral do sistema ao lidar com tráfego misto de NAT e não-NAT na mesma interface. O tamanho do cache do Gatekeeper pode ser configurado para acomodar o volume de tráfego não-NAT, com valores default baseados na plataforma. O ajuste do tamanho do cache é recomendado quando um tráfego não-NAT significativo está presente em uma interface NAT.

Em resumo, o Gatekeeper NAT:

· Protege o mecanismo NAT contra o processamento desnecessário de fluxos não NAT.
· Mantém um cache de fluxos não NAT para permitir que eles ignorem o processamento de NAT.
· Usa timeouts em entradas de cache para permitir a reavaliação de fluxos.
· Ajuda a reduzir a utilização da CPU no QFP.
· Suporta tamanho de cache configurável para otimizar o desempenho com base em padrões de tráfego.


Histórico de revisões

Revisão Data de publicação Comentários
1.0
12-Jun-2026
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Adriana Pacheco
    Engenheiro de consultoria técnica

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco