Часто задаваемые вопросы по трансляции сетевых адресов (NAT)
Содержание
Введение
В этом документе приведены ответы на часто задаваемые вопросы о трансляции сетевых адресов NAT.
Generic NAT
В. Что такое NAT?
A. Технология трансляции сетевых адресов (NAT) разработана специально для сохранения IP-адресов. Она обеспечивает подключение к Интернету закрытых IP-сетей, использующих незарегистрированные IP-адреса. NAT работает на маршрутизаторе, обеспечивая установку соединения между двумя сетями, и транслирует закрытые (не глобально уникальные) адреса во внутренней сети в правомочные адреса до переадресации пакетов в другую сеть.
В рамках этой функции NAT можно настроить для объявления во внешней среде только одного адреса для всей сети. Это обеспечивает дополнительный уровень безопасности благодаря тому, что вся внутренняя сеть скрывается за этим адресом. NAT обеспечивает двойные функции безопасности и сохраняет адрес. Как правило, эта технология применяется в средах с удаленным доступом.
В. Как работает NAT?
A. NAT позволяет использовать одно устройство (например, маршрутизатор) как агент на участке между Интернетом (или общедоступной сетью) и локальной сетью (или закрытой сеть). То есть, для представления всей группы компьютеров любому объекту за пределами их сети требуется только один уникальный IP-адрес.
В. Как настроить NAT?
О. Чтобы настроить стандартный NAT, необходимо создать на маршрутизаторе хотя бы один интерфейс (внешний NAT) и другой интерфейс на маршрутизаторе (внутренний NAT), а также настроить набор правил трансляции IP-адресов в заголовках пакетов (и полезных нагрузок, если это необходимо). Для настройки виртуального интерфейса NAT (NVI) требуется по крайней мере один интерфейс, настроенный с поддержкой NAT, и тот же набор правил, о котором говорилось выше.
Дополнительные сведения см. в Руководство по настройке служб адресации Cisco IOS IP или в разделе Настройка виртуального интерфейса NAT.
В. Чем отличаются реализации NAT в ПО Cisco IOS® и Cisco PIX Security Appliance?
О. Между NAT на основе ПО Cisco IOS и функцией NAT в Cisco PIX Security Appliance нет особенных различий. В основном отличаются типы трафика, которые поддерживаются этими реализациями. Дополнительные сведения о настройке NAT на устройствах Cisco PIX (включая поддерживаемые типы трафика) см. в разделе Cisco PIX 500 Series Security Appliances и Примеры конфигурации NAT.
В. Какое оборудование Cisco для маршрутизации поддерживает Cisco IOS NAT? Как можно заказать такое оборудование?
О. Инструмент Cisco Feature Navigator позволяет заказчикам найти функцию (NAT) и выяснить, в какой версии и выпуске ПО Сisco IOS она поддерживается. Инструкции по работе с этим инструментом см. в разделе Cisco Feature Navigator.
В. NAT происходит до или после маршрутизации?
О. Порядок обработки транзакций с использованием NAT зависит от того, направляется ли пакет из внутренней во внешнюю среду или наоборот. Трансляция из внутренней во внешнюю сеть происходит после маршрутизации, а из внешней во внутреннюю — до маршрутизации. Дополнительная информация содержится в документе "Порядок работы NAT".
В. Можно ли развернуть NAT в общедоступной беспроводной локальной сети?
Ответ: Да. Функция поддержки статических IP-адресов NAT обеспечивает поддержку пользователей со статическими IP-адресами, давая им возможность установить IP-сеанс в общедоступной беспроводной локальной сети.
В. Выполняет ли NAT балансировку нагрузки TCP для серверов во внутренней сети?
Ответ: Да. Используя NAT, можно создать виртуальный хост на внутренней сети, который координирует распределение нагрузки по реальным хостам. Дополнительные сведения см. в разделе Предотвращение перегрузки сервера с помощью балансировки нагрузки TCP.
В. Можно ли ограничить количество трансляций NAT?
Ответ: Да. Функция ограничения трансляции NAT дает возможность ограничить максимальное количество параллельных операций NAT на маршрутизаторе. Помимо того, что эта функция предоставляет пользователям расширенный контроль над использованием адресом NAT, она также может быть использована для предотвращения вирусов, "червей" и DoS-атак.
В. Каким образом данные маршрутизации сообщаются и распространяются по IP-подсетям или адресам, используемым NAT?
A. Маршрутизация для IP-адресов, созданных при помощи NAT, распознается в следующих случаях:
Внутренний пул глобальных адресов формируется в подсети маршрутизатора следующего узла.
Статическая запись маршрутизатора настраивается на маршрутизаторе следующего перехода и перераспределяется в пределах сети маршрутизации.
Если внутренний глобальный адрес соответствует локальному интерфейсу, NAT устанавливает IP-псевдоним и создает запись ARP, и в этом случае маршрутизатор будет использовать ключевое слово proxy-arp для этих адресов. Если такое поведение нежелательно, следует использовать ключевое слово no-alias .
Если настроен пул NAT, можно использовать ключевое слово add-route для автоматического добавления маршрута.
В. Сколько параллельных сеансов NAT поддерживается в NAT Cisco IOS?
A. Ограничение сеанса NAT зависит от объема доступной памяти DRAM на маршрутизаторе. Для каждой трансляции NAT используется примерно 312 байтов DRAM. То есть, 10000 трансляций (больше, чем обычно обрабатывает один маршрутизатор) потребляют примерно 3 МБ. Таким образом, стандартное оборудование маршрутизации располагает достаточным объемом памяти для поддержки нескольких тысяч трансляций NAT.
В. Какой тип операций маршрутизатора доступен при использовании Cisco IOS NAT?
A. Cisco IOS NAT поддерживает коммутацию Cisco Express Forwarding, быструю коммутацию и переключение процессов. Начиная с выпуска 12.4T поддержка быстрой коммутации прекращена. Для платформы Cat6k используется следующий порядок коммутации: Netflow (аппаратный путь коммутации), CEF, путь процесса.
Производительность зависит от нескольких факторов:
Тип приложения и поддерживаемый им тип трафика
Наличие встроенных IP-адресов
Обмен сообщениями и проверка нескольких сообщений
Наличие требуемого исходного порта
Количество преобразований
Другие работающие в этот момент приложения
Тип оборудования и процессора
В. Можно ли применить Cisco IOS NAT к подинтерфейсам?
Ответ: Да. Исходные и/или целевые трансляции NAT можно применить ко всем основным и вспомогательным интерфейсам, имеющим IP-адрес (включая интерфейсы набора номера). NAT нельзя настроить с использованием беспроводного виртуального интерфейса. Беспроводной виртуальный интерфейс не существует на момент записи в NVRAM. То есть, после перезагрузки маршрутизатор теряет конфигурацию NAT в беспроводном виртуальном интерфейсе.
В. Можно ли использовать Cisco IOS NAT вместе с протоколом Hot Standby Router Protocol (HSRP), чтобы предоставить резервные каналы до интернет-провайдера?
Ответ: Да. NAT действительно предоставляет резервный протокол HSRP. Однако он отличается от SNAT (NAT с отслеживанием состояния). NAT с HSRP не предусматривает отслеживание состояния. Текущий сеанс не сохраняется в случае сбоя. В процессе настройки статического NAT (когда пакет не соответствует ни одной из конфигураций правила STATIC) пакет отправляется без трансляции.
В. Поддерживает ли Cisco IOS NAT входящие трансляции в интерфейсе Frame Relay? Он поддерживает исходящую трансляцию на стороне Ethernet?
Ответ: Да. Инкапсуляция не имеет значения для NAT. NAT доступен при наличии IP-адрес в интерфейсе, и интерфейсом является внутренний или наружный NAT. Для нормального функционирования требуется внутренний и внешний NAT. При использовании NVI требуется наличие хотя бы одного интерфейса с поддержкой NAT. См. раздел Как настроить NAT? дополнительные сведения.
В. Может ли один маршрутизатор с поддержкой NAT дать одним пользователям возможность использовать NAT, а другим пользователям в том же интерфейсе Ethernet — возможность продолжать использовать собственные IP-адреса?
Ответ: Да. Для этого можно использовать список доступа, где описан набор хостов или сетей, для которых требуется NAT. Все сеансы на одном хосте либо транслируются, либо передаются через маршрутизатор без трансляции.
Списки доступа, расширенные списки доступа и карты маршрутов можно использовать для определения правил, в соответствии с которыми выполняется трансляция IP-устройств. Всегда необходимо указывать сетевой адрес и соответствующую маску подсети. Ключевое слово any не следует использовать вместо сетевого адреса или маски подсети (дополнительные сведения см. в разделе NAT: руководство по развертыванию, рекомендации и часто задаваемые вопросы). Если при использовании статической конфигурации NAT пакет не соответствует конфигурации какого-либо правила STATIC, отправка пакета осуществляется без трансляции.
В. Какое максимальное число трансляций можно создать в одном глобальном IP-адресе при настройке конфигурации PAT (перегрузка)?
О. PAT (перегрузка) распределяет доступные порты для каждого глобального IP-адреса по трем диапазонам: 0-511, 512-1023 и 1024-65535. PAT назначает уникальный исходный порт для каждого сеанса UDP или TCP. PAT пытается назначить значение порта исходного запроса, однако если первоначальный исходный порт уже использовался, сканирование начинается с начала конкретного диапазона портов, чтобы найти первый доступный порт и назначить его диалогу. Существует исключение для базы кода 12.2S. База кода 12.2S использует другую логику порта, при этом резервирование порта не выполняется.
В. Принципы работы трансляции адресов портов?
A. PAT работает с одним или несколькими глобальными IP-адресами.
PAT с одним IP-адресом
Условие Описание 1 NAT/PAT проверяет трафик и сопоставляет его с правилом трансляции. 2 Правило соответствует конфигурации PAT. 3 Если для PAT указан тип трафика и этот тип трафика будет использовать "набор заданных или согласуемых портов", PAT не выделяет их в качестве уникальных идентификаторов. 4 Если системы пытается отключить сеанс без специальных требований к портам, PAT транслирует исходный IP-адрес и проверяет доступность исходного порта (например, 443). Примечание. Для протоколов TCP и UDP используются следующие диапазоны: 1-511, 512-1023, 1024-65535. Для протокола ICMP первая группа начинается с 0.
5 Если запрашиваемый исходный порт доступен, PAT назначает исходный порт, и сеанс продолжается. 6 Если запрашиваемый исходный порт не доступен, PAT начинает поиск с начала соответствующей группы — начиная с 1 (для приложений TCP/UDP) или с 0 (для ICMP). 7 При наличии доступного порта выполняется назначение, и сеанс продолжается. 8 Если нет доступных портов, пакет отбрасывается. PAT с несколькими IP-адресами
Условие Описание 1-7 Первые 7 условий совпадают с условиями для одного IP-адреса. 8 Если порты вообще недоступны в соответствующей группе первого IP-адреса, NAT переносит его в следующий IP-адрес в полу и пытается выделить запрашиваемый первоначальный исходный порт. 9 Если запрашиваемый исходный порт доступен, NAT назначает исходный порт, и сеанс продолжается. 10 Если запрашиваемый исходный порт недоступен, NAT начинает поиск с начала соответствующей группы — начиная с 1 (для TCP или UDP) или с 0 (для ICMP). 11 При наличии доступного порта выполняется назначение, и сеанс продолжается. 12 Когда порты недоступны, пакет отбрасывается, если в пуле доступен другой IP-адрес.
В. Что такое пулы IP-адресов NAT?
О.Пулы IP-адресов NAT представляют собой диапазон IP-адресов, выделяемых при необходимости для трансляции NAT. Для определения пула используется следующая команда конфигурации:
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]Пример 1
В следующем примере выполняется трансляция между внутренними хостами, адресуемыми из сети 192.168.1.0 или 192.168.2.0 в глобально уникальную сеть 10.69.233.208/28:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255Пример 2
В следующем примере целью является определение виртуального адреса, соединения с которыми распределяются по реальным хостам. Пул определяет адреса реальных хостов. Список доступа определяет виртуальный адрес. Если трансляция уже не существует, TCP-пакеты последовательного интерфейса 0 (внешний интерфейс), целевое местоположение которых соответствует списку доступа, транслируются в адрес из пула.
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
В. Каково максимальное число настраиваемых пулов IP-адресов NAT (ip nat pool "name")?
A.На практике максимальное количество настраиваемых пулов IP-адресов ограничено объемом доступной DRAM на конкретном маршрутизаторе. (Cisco рекомендует настроить размер пула равный 255. ) Каждый пул должен иметь размер не более 16 битов. В 12.4(11)T и более поздних версий IOS представлен механизм CCE (Common Classification Engine). Это ограничивает NAT максимум до 255 пулов. В базе кода 12.2S нет ограничения по максимальному числу пулов.
В. В чем преимущества использования карт маршрута в пуле NAT по сравнению со списками контроля доступа?
A.Карта маршрута защищает внутренних пользователей и внутренние серверы от нежелательного доступа внешних пользователей. Кроме того, есть также возможность сопоставить один внутренний IP-адрес с различными внутренними глобальными адресами на основе правила. Дополнительные сведения см. в разделе Поддержка нескольких пулов в NAT с использованием карт маршрута.
В. Что означает "совмещение" IP-адреса в контексте NAT?
A.Совмещением IP-адреса называется ситуация, когда два местоположения, между которыми устанавливается соединение, используют одну и ту же схему IP-адресов. Такое случается нередко; зачастую происходит при слиянии и поглощении компаний. Без специальной поддержки установка связи и сеансов между двумя расположениями невозможна. Совмещенный IP-адрес может быть общедоступным адресом, который назначен другой компанией, закрытым адресом, назначенным другой компании, или же может относиться к диапазону закрытых адресов, определенному в RFC 1918 .
Закрытые IP-адреса не маршрутизируются, и для установки соединений с внешней средой требуются трансляции NAT. Решение предлагает перехват откликов на запросы имен DNS, отправляемых из внешней во внутреннюю среду, настройку трансляции для внешнего адреса и регистрацию отклика DNS перед переадресацией его на внутренний хост. DNS-сервер должен быть задействован на обеих сторонах устройства NAT, выполняя анализ пользователей, устанавливающих соединение между обеими сетями.
NAT поддерживает проверку и трансляцию адресов в записи DNS A и PTR, как описывается в разделе Использование NAТ в совмещенных сетях.
В. Что такое статические трансляции NAT?
A. Статические трансляции NAT предполагают однозначное сопоставление между локальными и глобальными адресами. Пользователи также могут настроить статические трансляции адресов на уровне порта и использовать оставшиеся IP-адреса для других трансляций. Как правило это происходит при выполнении трансляции адресов портов (PAT).
В следующем примере показано, как настроить карту маршрута для разрешения трансляции внешнего статического NAT во внутренний:
ip nat inside source static 1.1.1.1 2.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 30.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
В. Что означает термин "перегрузка NAT; имеется в виду PAT?
Ответ: Да. Перегрузка NAT — это PAT, и это предполагает использование комбинации пула с диапазоном из одного или нескольких IP-адресов интерфейса и порта. При перегрузке создается полностью развернутая трансляция. Это запись в таблице трансляции, содержащая IP-адрес и данные исходного/целевого порта, которая обычно называется PAT или перегрузкой.
PAT (или перегрузка) — функция Cisco IOS NAT, используемая для трансляции внутренних (внутри локальной сети) закрытых адресов в один или несколько внешних (внутри глобальной сети, обычно зарегистрированных) IP-адресов. Уникальные номера портов источника для каждого преобразования позволяют отличать один диалог от другого.
В. Что такое динамические трансляции NAT?
О.В динамических трансляциях NAT пользователи могут выполнять динамическое сопоставление локальных адресов с глобальными. Динамическое сопоставление выполняется путем определения локальных адресов для трансляции, а также пула адресов или IP-адреса интерфейса, из которого выделяются глобальные адреса, и настройки ассоциаций для них.
В. Что такое ALG?
О. ALG — это шлюз уровня приложения (Application Layer Gateway). NAT выполняет трансляцию для всего трафика TCP/UDP, который не содержит исходных и/или целевых IP-адресов в потоке данных приложения.
К этим протоколам относятся FTP, HTTP, SKINNY, H232, DNS, RAS, SIP ,TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh, rcp. Для отдельных протоколов, которые встраивают данные IP-адреса в полезную нагрузку, требуется поддержка ALG.
Дополнительные сведения см. в разделе Использование NAT для шлюзов уровня приложений.
В. Можно ли создать конфигурацию с динамической и статической трансляцией сетевых адресов?
Ответ: Да. Однако этот же IP-адрес нельзя использовать для статической конфигурации NAT или в пуле для динамической конфигурации NAT. Все открытые IP-адреса должны быть уникальными. Обратите внимание, что глобальные адреса, используемые в статических трансляциях, не исключаются автоматически из динамических пулов, которые содержат те же самые глобальные адреса. Необходимо создать динамические пулы для исключения адресов, назначенных статическими записями. Дополнительные сведения см. в разделе Одновременная настройка статического и динамического NAT.
В. Когда трассировка маршрута выполняется с помощью маршрутизатора NAT, должна ли трассировка отображать глобальный или локальный адрес NAT?
О. Трассировка маршрута из внешней среды должна всегда возвращать глобальный адрес.
В. Как PAT выделяет порт?
A.NAT предоставляет дополнительные функции порта: полный диапазон и распределение портов.
Полный диапазон позволяет NAT использовать все порты независимо от диапазона портов по умолчанию.
Распределение портов позволяет NAT резервировать определяемый пользователем диапазон портов для конкретного приложения.
Дополнительные сведения см. в разделе Определяемые пользователем диапазоны портов для PAT.
Начиная с версии 12.4(20)T2, NAT вводит рандомизацию портов для портов L3/L4 и симметричного порта.
Рандомизация портов позволяет NAT случайным образом выбирать любой глобальный порт для запроса исходного порта.
Симметричный порт позволяет NAT поддерживать независимые терминальные устройства.
Дополнительные сведения см. в разделе Анатомия: Подробный анализ трансляторов сетевых адресов.
В. Чем отличается фрагментация IP от фрагментации TCP?
A. Фрагментация IP выполняется на уровне 3 (IP); Сегментация TCP выполняется на уровне 4 (TCP). Фрагментация IP происходит в тех случаях, когда из интерфейса отправляются пакеты, размер которых превышает размер максимального блока передачи данных (MTU) для этого интерфейса. При отправке из интерфейса эти пакеты должны либо фрагментироваться, либо уничтожаться. Если бит "Не фрагментировать (НФ)" не задан в заголовке IP пакета, пакет будет фрагментирован. Если в заголовке IP пакета задан бит "НФ", пакет отбрасывается и отправителю возвращается сообщение об ошибке ICMP, в котором указано значение MTU следующего перехода. Все фрагменты пакета IP имеют одинаковый идентификатор в заголовке IP, что позволяет конечному получателю повторно собрать фрагменты в исходный пакет IP. Дополнительные сведения см. в разделе Разрешение фрагментации IP, MTU, MSS и проблемы PMTUD, связанные с GRE и IPsec.
Сегментация TCP происходит при передаче данных приложением на конечной станции. В В В Данные прикладной программы раделяются на то, что TCP считает блоками оптимального размера для передачи. Этот блок данных, передаваемый из TCP в IP, называется сегментом. Сегменты TCP передаются в дейтаграммах IP. Эти дейтаграммы IP могут впоследствии стать фрагментами IP, поскольку при прохождении через сеть им встречаются каналы MTU меньшей пропускной способности, чем требуется для их прохождения.
TCP сначала разделяет эти данные на сегменты TCP (на основе значения TCP MSS), добавляет заголовок TCP и передает этот сегмент TCP в IP. После этого IP добавляет заголовок IP для отправки пакета на хост приемного конца линии. Если пакет IP с сегментом TCP будет иметь размер больше, чем IP MTU в исходящем интерфейсе на пути между хостами TCP, то в этом случае IP фрагментирует пакет IP/TCP. Эти фрагменты пакета IP будут повторно собраны на удаленном хосте уровнем IP, и в уровень TCP будет отправлен полный сегмент TCP (который отправлялся изначально). Уровень TCP не знает, что в процессе передачи пакет фрагментирован IP.
NAT поддерживает фрагменты IP, но не поддерживает сегменты TCP.
В. Поддерживает ли NAT неисправные фрагменты IP и сегменты TCP?
O. NAT поддерживает только неисправные фрагменты IP из-за ip virtual-reassembly.
В. Как выполняется фрагментация IP и сегментация TCP?
O. NAT использует один и тот же интерфейс командной строки для отладки как для фрагментации IP, так и для сегментации TCP: debug ip nat frag.
В. Поддерживаются ли какие-либо MIB NAT?
О. Нет. MIB NAT не поддерживаются, включая CISCO-IETF-NAT-MIB.
В. Что такое тайм-аут TCP и как он связан с таймером NAT TCP?
О.Если трехэтапный процесс установления связи не завершен и NAT получает пакет TCP, в этом случае NAT запускает таймер на 60 секунд. По завершении трехэтапного процесса установления связи NAT использует таймер на 24 часа для записи NAT по умолчанию. Если конечный хост отправляет команду RESET, NAT изменяет таймер по умолчанию с 24 часов на 60 секунд. В случае FIN NAT изменяет таймер по умолчанию с 24 часов на 60 секунд при получении FIN и FIN-ACK.
В. Можно ли изменить время, которое проходит с момента трансляции NAT до тайм-аута в таблице трансляции NAT?
Ответ: Да. Можно изменить значения тайм-аута NAT для всех записей или для различных типов трансляции NAT (например, udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout и arp-ping-timeout).
В. Как запретить протоколу LDAP присоединять дополнительные байты к каждому ответному пакету LDAP?
A.Параметры LDAP добавляют дополнительные байты (результаты поиска LDAP) в процессе обработки сообщений типа Search-Res-Entry. LDAP присоединяет 10 байтов результатов поиска к каждому ответному пакету LDAP. В случае если из-за этих 10 дополнительных байтов размер пакета превысит величину максимального блока передачи данных (MTU) в сети, пакет отбрасывается. В этом случае Cisco рекомендует отключить это поведение LDAP с помощью команды no ip nat service append-ldap-search-res в CLI, чтобы отправлять и получать пакеты.
В. Какой маршрут рекомендуется указать в поле NAT для внутреннего глобального/внешнего локального IP-адреса?
О. Необходимо указать маршрут в настроенном поле NAT внутреннего глобального IP-адреса для таких компонентов, как NAT-NVI. Точно так же необходимо указать маршрут в поле NAT для внешнего локального IP-адреса. В этом случае для всех пакетов на входящем и исходящем направлении, которые используют внешнее статическое правило, потребуется маршрут такого типа. В таких сценариях в процессе указания маршрута для IG/OL необходимо также настроить IP-адрес следующего перехода. Если следующий переход не настроен, это считается ошибкой конфигурации и приводит к непредвиденному поведению.
NVI-NAT содержится только в выходном пути функции. Если вы напрямую настроили соединение подсети с NAT-NVI или внешним правилом трансляции NAT, настроенным в поле, то в этом случае в данных сценариях потребуется указать фиктивный IP-адрес следующего перехода, а также связанный ARP для следующего перехода. Это позволяет базовой инфраструктуре отправлять пакет в NAT для трансляции.
В. Поддерживает ли Cisco IOS NAT списки контроля доступа с ключевым словом "log"?
Ответ: При настройке Cisco IOS NAT для динамического преобразования NAT, для идентификации пакетов, которые могут быть преобразованы, используется список управления доступом. Текущая архитектура NAT не поддерживает списки контроля доступа с ключевым словом "log".
Voice-NAT
В. Поддерживает ли NAT протокол SCCP версии 17, доступный в рамках Cisco Unified Communications Manager (CUCM) версии 7?
О. CUCM 7 и все стандартные нагрузки телефона для CUCM 7 поддерживают SCCPv17. Используемая версия SCCP зависит от того, какая максимальная версия CUCM и телефона используется в процессе регистрации телефона.
NAT еще не поддерживает SCCP версии17. Пока поддержка NAT SCCP версии 17 не реализована, необходимо использовать микропрограммное обеспечение более ранней версии (8-3-5 или более ранняя), чтобы обеспечить согласование SCCP версии 16. CUCM6 предотвращает появление проблем с NAT в нагрузках телефона, поскольку используется SCCP версии 16. Cisco IOS в настоящее время не поддерживает SCCP версии 17.
В. Какие версии CUCM/SCCP/микропрограммного обеспечения поддерживаются NAT?
О. NAT поддерживает CUCM версии 6.x и более ранних выпусков. Эти версии CUCM выпускаются с микропрограммным обеспечением версии 8.3.x (или более ранних версий), поддерживающим SCCP версии 15 (или более ранних версий).
NAT не поддерживает CUCM 7.x или более поздних версий. Эта версия CUCM выпускается с микропрограммным обеспечением телефона 8.4.х, которое поддерживает SCCP 17 (или более поздних версий).
Если используется CUCM 7.x или более поздней версии, необходимо установить на сервер CUCM TFTP более раннюю версию микропрограммного обеспечения, чтобы телефоны использовали микпрограммное обеспечение с SCCP 15 или более ранней версии и поддерживались NAT.
Ссылка ниже подтверждает, что микропрограммное обеспечение версии 8.3.х содержит SCCP 15 или более ранней версии и поддерживает использование NAT; а микропрограммное обеспечение версии 8.4.х содержит SCCP 17 и НЕ поддерживает использование NAT.
В. Что такое функция Service Provider PAT Port Allocation Enhancement for RTP and RTCP?
О. Функция Service Provider PAT Port Allocation Enhancement for RTP and RTCP обеспечивает возможность голосовых вызовов SIP, H.323 и Skinny. Номера портов, используемых для потоков RTP, — это четные номера портов, а потоки RTCP используют следующий нечетный номер порта. Номер порта преобразуется в номер в пределах диапазона, заданного в соответствии с RFC-1889. Вызов с номером порта в этом диапазоне приведет к преобразованию PAT в другой номер порта в этом же диапазоне. Точно так же трансляция PAT для номера порта вне диапазона не приводит к преобразованию в номер в пределах заданного диапазона.
В. Что такое протокол SIP? Можно ли преобразовать пакеты SIP посредством NAT?
A. Протокол SIP представляет собой управляющий протокол уровня приложений на основе ASCII, который можно использовать для установления, поддержания и завершения вызовов между двумя или несколькими терминальными устройствами. SIP является альтернативным протоколом, разработанным инженерной группой по развитию Интернета (IETF) для мультимедийной конференц-связи по IP. Реализация Cisco SIP позволяет поддерживаемым платформам Cisco сообщать о настройке голосовых и мультимедийных вызовов посредством IP-сетей.
Пакеты SIP можно преобразовать посредством NAT.
В. Что такое поддержка обхода размещенного NAT для контроллера границы сеанса (SBC)?
О. Обход размещенного NAT Cisco IOS для функции SBC позволяет использовать маршрутизатор шлюза уровня приложений (ALG) Cisco IOS NAT SIP в качестве SBC в шлюзе Cisco Multiservice IP-to-IP, что обеспечивает согласованную доставку служб VoIP.
Дополнительные сведения см. в разделе Настройка обхода размещенного NAT Cisco IOS для контроллера границы сеанса и Обход размещенного NAT SP для SIP-вызовов с помощью контроллера границы сеанса Cisco IOS.
В. Сколько вызовов SIP, Skinny и H323 обрабатывает память и ЦП маршрутизаторов с помощью NAT?
О.Количество вызовов, обрабатываемых маршрутизатором NAT, зависит от объема памяти, доступного на устройстве, и мощности ЦП.
В. Поддерживает ли маршрутизатор NAT сегментацию TCP для пакетов H323 и Skinny?
О. Начиная с версии 12.4(6), реализована поддержка IOS-NAT сегментации TCP для H323 в 12.4 Mainline и поддержка сегментации TCP для SKINNY.
В. Какие факторы следует учитывать при использовании конфигурации перегрузки NAT в среде голосовой связи?
Ответ: Да. При наличии конфигураций перегрузки NAT и среды голосовой связи необходимо передать сообщение о регистрации посредством NAT и создать связь между внешней и внутренней средой для доступа к внутреннему устройству. Внутреннее устройство периодически отправляет эту регистрацию, а NAT обновляет этот микроканал/связь, используя информацию, указанную в сигнальном сообщении.
В. Какие известные проблемы вызваны выполнением команды clear ip nat trans * или clear ip nat trans forced в среде голосовой связи?
О. Если в средах голосовой связи при выполнении команды clear ip nat trans * или clear ip nat trans forced используется NAT, необходимо очистить микроканал/связь и дождаться следующего цикла регистрации с внутреннего устройства, чтобы восстановить его. Cisco не рекомендует использовать эти однозначные команды в средах голосовой связи.
В. Поддерживает ли NAT совмещенное решение голосовой связи?
О. Нет. Совмещенное решение в настоящее время не поддерживается. Следующая среда с NAT (на том же устройстве) считается совмещенным решением: CME/DSP-Farm/SCCP/H323.
В. Поддерживает ли NVI шлюзы уровня приложений Skinny, H323 и SIP TCP?
О. Нет. Обратите внимание на то, что на SIP UDP ALG (используемый большинством развертываний) не затронут.
NAT с VRF/MPLS
В. Будет ли маршрутизатор NAT поддерживать такое же преобразование того же адресного пространства посредством NAT в VRF, как и в глобальном адресном пространстве? В настоящее время отображается предупреждение: "% аналогичная статическая запись (1.1.1.1 ---> 22.2.2.2) уже существует" при попытке настроить следующие параметры:
72UUT(config)#ip nat inside
source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static
1.1.1.1 22.2.2.2 vrf RED
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED
О.Устаревший NAT поддерживает частичное совпадение конфигураций адресов в различных VRF. Необходимо настроить частичное совпадение по правилу, используя опцию match-in-vrf , и настроить ip nat inside/outside в том же VRF для передачи трафика через этот конкретный VRF. Поддержка частичного совпадения не охватывает глобальную таблицу маршрутизации.
Необходимо добавить ключевое слово match-in-vrf для частично совпадающих записей статического NAT для различных VRF. Однако частичное совпадение глобальных адресов и адресов VRF NAT невозможно.
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
В. Поддерживает ли устаревший NAT VRF-Lite (NAT-преобразование из одного VRF в другой)?
О. Нет. Необходимо использовать NVI для преобразования различных VRF с использованием NAT. Можно использовать устаревшую версию NAT, чтобы выполнить преобразование адреса NAT VRF в глобальный адрес в пределах одного VRF.
NAT NVI
В. Что такое NAT NVI?
A.NVI расшифровывается как виртуальный интерфейс NAT (NAT Virtual Interface). Это позволяет NAT выполнять трансляцию между двумя другими VRF. Это решение рекомендуется использовать вместо Трансляция сетевых адресов на накопитель.
В. Следует ли использовать NAT NVI при преобразовании интерфейса в глобальном NAT и интерфейса в VRF?
О.Cisco рекомендует использовать устаревшую версию NAT для преобразования VRF в глобальный NAT (ip nat inside/out) и между интерфейсами в одном VRF. NVI используется для применения NAT между различными VRF.
В. Поддерживается ли сегментация TCP для NAT-NVI?
A.Сегментация TCP для NAT-NVI не поддерживается.
В. Поддерживает ли NVI шлюзы уровня приложений Skinny, H323 и SIP TCP?
О. Нет. Обратите внимание на то, что на SIP UDP ALG (используемый большинством развертываний) не затронут.
В. Поддерживается ли сегментация TCP в SNAT?
A. SNAT не поддерживает шлюзы уровня приложений TCP (например, SIP, SKINNY, H323 или DNS). Таким образом, сегментация TCP не поддерживается. Однако SIP UDP и DNS поддерживаются.
SNAT
В. Что такое Stateful NAT (SNAT)?
О.SNAT позволяет использовать два или более трансляторов сетевых адресов как группу трансляций. Один участник группы трансляции обрабатывает трафик, для которого требуются данные о трансляции IP-адреса. Кроме того, он сообщает резервному транслятору об активных потоках по мере их возникновения. Резервный транслятор может использовать данные, полученные от активного транслятора, для подготовки дубликатов записей в таблице трансляции. Таким образом, если активный транслятор вышел из строя вследствие критического сбоя, трафик можно оперативно переключить на резервный транслятор. Поток трафика продолжается, поскольку используются те же трансляции сетевых адресов и состояние этих трансляций уже определено ранее. Дополнительные сведения см. в разделе Дополнительная отказоустойчивость IP за счет использования Cisco Stateful NAT.
В. Поддерживается ли сегментация TCP в SNAT?
A. SNAT не поддерживает шлюзы уровня приложений TCP (например, SIP, SKINNY, H323 или DNS). Таким образом, сегментация TCP не поддерживается. Однако SIP UDP и DNS поддерживаются.
В. Поддерживает ли SNAT асимметричную маршрутизацию?
О. Асимметричная маршрутизация поддерживает NAT за счет включения параметра as queuing. По умолчанию для параметра as-queiuing установлено значение enable. Однако начиная с версии 12.4(24)T, параметр as-queuing больше не поддерживается. Заказчики должны убедиться в том, что пакеты правильно маршрутизируются и добавлено корректное значение задержки, что обеспечивает исправную работу асимметричной маршрутизации.
NAT-PT (v6 – v4)
В. Что такое NAT-PT?
A. NAT-PT обеспчивает трансляцию из версии 4 в версию 6 для NAT. Трансляция протокола (NAT-PT) представляет собой механизм трансляции IPv6-IPv4 в соответствии с определением RFC 2765 и RFC 2766 , который позволяет устройствам с поддержкой только IPv6 обмениваться данными с устройствами, поддерживающими только IPv4, и наоборот.
В. Поддерживается ли NAT-PT в пути Cisco Express Forwarding (CEF)?
A. NAT-PT не поддерживается в пути CEF.
В. Какие ALG поддерживаются в NAT-PT?
A. NAT-PT поддерживает TFTP/FTP и DNS. Голосовая связь и SNAT в NAT-PT не поддерживаются.
В. Поддерживает ли ASR 1004 NAT-PT?
A. Маршрутизаторы служб агрегирования (ASR) используют NAT64. Дополнительные сведения о настройке NAT64 см. в разделе Настройка сети маршрутизатора для NAT64 без отслеживания состояния.
Зависимые от платформы Cisco 7300/7600/6k
В. Доступен ли Stateful NAT (SNAT) на Catalyst 6500 на платформе SX?
A.SNAT не доступен на Catalyst 6500 на платформе SX.
В. Поддерживается ли NAT с поддержкой VRF на оборудовании на платформе 6k?
О. NAT с поддержкой VRF не поддерживается для оборудования на этой платформе.
В. Поддерживают ли 7600 и Cat6000 NAT с поддержкой VRF?
О. На платформе 65xx/76xx NAT с поддержкой VRF не поддерживается, интерфейсы командной строки (CLI) заблокированы.
Примечание. Для реализации проекта можно использовать FWSM, запускаемого в прозрачном режиме виртуального контекста.
Зависимые от платформы Cisco 850
В. Cisco 850 поддерживает шлюз Skinny NAT ALG в вып. 12.4T?
О. Нет. Устройства серии 850 не поддерживает Skinny NAT ALG в версии 12.4T.
Развертывание NAT
В. Как внедрить NAT?
О.NAT включает частные IP-сети Интернет, использующие незарегистрированные IP-адреса для подключения к Инернету. NAT транслирует закрытый адрес (RFC1918) во внутренней сети в правомочные маршрутизируемые адреса до переадресации пакетов в другую сеть.
Дополнительные сведения о реализации NAT см. в разделе Настройка NAT для сохранения IP-адресов.
В. Как применять NAT с использованием голосового управления?
О.Поддержка функции голосового управления NAT позволяет транслировать встроенные сообщения SIP через маршрутизатор, настроенный с использованием NAT, обратно в пакет. Для трансляции голосовых пакетов используется шлюз уровня приложения (ALG) вместе с NAT.
В. Как интегрировать NAT с VPN-соединениями MPLS?
О. Интеграция NAT с функцией VPN-соединений MPLS позволяет настроить несколько VPN-соединений MPLS на одном устройстве для совместной работы. NAT различает, от какого VPN-соединения MPLS он принимает IP-трафик, даже если VPN-соединения MPLS используют одинаковую схему IP-адресации. Это усовершенствование позволяет нескольким пользователям VPN-соедиения MPLS использовать службы совместно и в то же время полностью отделять все VPN-соедиения MPLS друг от друга.
В. Поддерживает ли статическое сопоставление NAT HSRP в целях обеспечения высокой доступности?
О. На запрос адреса ARP, настроенного с использованием статического сопоставления NAT, который принадлежит маршрутизатору, NAT отвечает, отправляя MAC-адрес BIA на интерфейс, на который указывает ARP. Два маршрутизатора выполняют функции активного и резервного HSRP. Их внутренние интерфейсы NAT должны быть включены и настроены как принадлежащие группе.
В. Как применяется NAT NVI?
О. Виртуальный интерфейс NAT (NVI) позволяет избежать настройки интерейса в качестве внутреннего или внешнего интерфейса NAT. Дополнительные сведения о NAT NVI см. в разделе Настройка виртуального интерфейса NAT.
В. Как применяется балансировка нагрузки с использованием NAT?
О. Доступно два типа балансировки нагрузки с использованием NAT: можно балансировать нагрузку, поступающую на ряд серверов, чтобы распределить нагрузку по серверам, а кроме того, можно балансировать нагрузку пользовательского интернет-трафика, поступающего по каналам двух или более интернет-провайдеров.
В. Как применяется NAT вместе с IPSec?
О. Предусмотрена поддержка безопасной инкапсуляции полезной нагрузки (ESP) IPSec посредством NAT и IPSec NAT Transparency.
Функция NAT в ESP IPSec обеспечивает поддержку нескольких параллельных туннелей или соединений ESP IPSec с помощью устройства Cisco IOS NAT, настроенного в режиме перегрузки или трансляции адресов портов (PAT).
Функция прозрачности IPSec NAT обеспечивает поддержку перемещения трафика IPSec по точкам NAT или PAT в сети, устраняя множество несовместимостей NAT и IPSec.
В. Как применяется NAT-PT?
О. NAT-PT (Network Address Translation—Protocol Translation) — механизм трансляции IPv6-IPv4, определенный в RFC 2765 и RFC 2766 , который позволяет устройствам с поддержкой только IPv6 обмениваться данными с устройствами, поддерживающими только IPv4, и наоборот.
Дополнительные сведения о применении и настройке NAT-PT см. в разделе Применение NAT-PT для IPv6.
В. Как применяется многоадресный NAT?
О.Доступна NAT-переадресация исходного IP для потока многоадресной рассылки. Карту маршрута нельзя использовать при выполнении динамического NAT для многоадресной рассылки. В этом случае используется только список доступа.
Дополнительные сведения см. в разделе Использование NAT многоадресной рассылки на маршрутизаторах Cisco. Трансляция целевой группы многоадресной рассылки с помощью NAT выполняется с использованием решения Multicast Service Reflection.
В. Как применяется Stateful NAT (SNAT)?
O.SNAT обеспечивает непрерывное обслуживание динамично сопоставляемых сеансов NAT. Сеансы, которые определены статически, используют возможности резервирования без использования SNAT. В отсутствие SNAT сеансы, использующие динамические сопоставления NAT, отключаются в случае критического сбоя и требуют восстановления. Поддерживается только минимальная конфигурация SNAT. Будущие развертывания необходимо выполнять только после консультации со специалистами отдела Cisco по работе с ключевыми клиентами, цель которой — проверить проект на соответствие текущим ограничениям.
SNAT рекомендуется использовать в следующих сценариях:
Режим HSRP, как описано в технической документации SNAT: Расширенная отказоустойчивость IP с использованием Cisco Stateful NAT.
Основной/резервный режим не является рекомендуемым, так как он не предоставляет ряд функций, доступных в HSRP.
Для сценариев переключения при отказе и настройке двух маршрутизаторов. Таким образом, если на одном из маршрутизаторов происходит сбой, выполняется переключение на второй. (Архитектура SNAT не предназначена для переключения интерфейса.
Поддерживается сценарий неасимметричной маршрутизации. Асимметричная маршрутизация поддерживается только в том случае, если задержка при передаче ответных пакетов больше, чем задержка между двумя маршрутизаторами SNAT при обмене сообщениями SNAT.
В настоящее время архитектура SNAT не предназначена для обеспечения устойчивости; таким образом, не ожидается, что эти тесты будут успешными:
Очистка записей NAT при наличии трафика.
Изменение параметров интерфейса (изменение IP-адреса, shut/no-shut и т. д.) при наличии трафика.
Команды SNAT clear или show, вероятнее всего, не будут выполняться корректно, поэтому не рекомендуется их использовать.
Некоторые команды SNAT (clear и show):
clear ip snat sessions * clear ip snat sessions <ip address of the peer> clear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer>Если пользователю требуется очистить записи, можно использовать команду clear ip nat trans forced или clear ip nat trans *.
Для просмотра записей можно использовать команду show ip nat translation, show ip nat translations verbose и show ip nat stats. Если настроен параметр service internal, он также отображает данные SNAT.
При При Не рекомендуется удалять трансляции NAT с резервного маршрутизатора. Всегда удаляйте записи NAT с основного маршрутизатора SNAT.
SNAT не является высокодоступным; поэтому, конфигурации на обоих маршрутизаторах должны быть одинаковыми. На обоих маршрутизаторах должен быть запущен один и тот же образ. Кроме того, необходимо убедиться в том, что для обоих маршрутизаторов SNAT используется одна и та же базовая платформа.
Практические рекомендации по работе с NAT
В. Доступны ли практические рекомендации по использованию NAT?
Ответ: Да. Далее приведены рекомендации по использованию NAT:
При использовании одновременно динамического и статического NAT из списка контроля доступа, который задает правило для динамического NAT, необходимо исключить статические локальные хосты, чтобы предотвратить частичное совпадение.
Не следует использовать список контроля доступа для NAT с параметром permit ip any any, так как результаты могут быть непредсказуемыми. Начиная с версии 12.4(20)T, NAT выполняет трансляцию локально созданных пакетов HSRP и протокола маршрутизации, если они отправляют из внешнего интерфейса, как и трансляцию локально зашифрованных пакетов, соответствующих правилу NAT.
При наличии частично совпадающих сетей для NAT можно использовать ключевое слово match-in-vrf.
Необходимо добавить ключевое слово match-in-vrf для частично совпадающих записей VRF статического NAT для различных VRF, однако частичное совпадение глобальных адресов и адресов VRF NAT.
Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrfПулы NAT с одинаковым диапазоном адресов нельзя использовать в разных VRF, если используется ключевое слово match-in-vrf.
Пример:
ip nat pool poolA 171.1.1.1 171.1.1.10 prefix-length 24 ip nat pool poolB 171.1.1.1 171.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrfПримечание.Даже притом что конфигурация CLI является допустимой, без ключевого слова match-in-vrf она не поддерживается.
При развертывании системы балансировки нагрузки интернет-провайдера с перегрузкой интерфейса NAT рекомендуется использовать карту маршрута с сопоставлением интерфейс по списку контроля доступа.
Если используется сопоставление пула, не следует использовать два различных сопоставления (по списку контроля доступа и по карте маршрута) для совместного использования одного адреса из пула NAT.
При развертывании одних и тех же правил NAT на двух различных маршрутизаторах в сценарии переключения при отказе рекомендуется использовать резервирование HSRP.
Не следует определять один и тот же внутренний глобальный адрес в пуле статического NAT и в динамическом пуле. Это действие может привести к нежелательным результатам.
Обратная связь