В этом документе приведены ответы на часто задаваемые вопросы о трансляции сетевых адресов NAT.
A. Технология трансляции сетевых адресов (NAT) разработана специально для сохранения IP-адресов. Она обеспечивает подключение к Интернету закрытых IP-сетей, использующих незарегистрированные IP-адреса. NAT работает на маршрутизаторе, обеспечивая установку соединения между двумя сетями, и транслирует закрытые (не глобально уникальные) адреса во внутренней сети в правомочные адреса до переадресации пакетов в другую сеть.
В рамках этой функции NAT можно настроить для объявления во внешней среде только одного адреса для всей сети. Это обеспечивает дополнительный уровень безопасности благодаря тому, что вся внутренняя сеть скрывается за этим адресом. NAT обеспечивает двойные функции безопасности и сохраняет адрес. Как правило, эта технология применяется в средах с удаленным доступом.
A. NAT позволяет использовать одно устройство (например, маршрутизатор) как агент на участке между Интернетом (или общедоступной сетью) и локальной сетью (или закрытой сеть). То есть, для представления всей группы компьютеров любому объекту за пределами их сети требуется только один уникальный IP-адрес.
О. Чтобы настроить стандартный NAT, необходимо создать на маршрутизаторе хотя бы один интерфейс (внешний NAT) и другой интерфейс на маршрутизаторе (внутренний NAT), а также настроить набор правил трансляции IP-адресов в заголовках пакетов (и полезных нагрузок, если это необходимо). Для настройки виртуального интерфейса NAT (NVI) требуется по крайней мере один интерфейс, настроенный с поддержкой NAT, и тот же набор правил, о котором говорилось выше.
Дополнительные сведения см. в Руководство по настройке служб адресации Cisco IOS IP или в разделе Настройка виртуального интерфейса NAT.
О. Между NAT на основе ПО Cisco IOS и функцией NAT в Cisco PIX Security Appliance нет особенных различий. В основном отличаются типы трафика, которые поддерживаются этими реализациями. Дополнительные сведения о настройке NAT на устройствах Cisco PIX (включая поддерживаемые типы трафика) см. в разделе Cisco PIX 500 Series Security Appliances и Примеры конфигурации NAT.
О. Инструмент Cisco Feature Navigator позволяет заказчикам найти функцию (NAT) и выяснить, в какой версии и выпуске ПО Сisco IOS она поддерживается. Инструкции по работе с этим инструментом см. в разделе Cisco Feature Navigator.
О. Порядок обработки транзакций с использованием NAT зависит от того, направляется ли пакет из внутренней во внешнюю среду или наоборот. Трансляция из внутренней во внешнюю сеть происходит после маршрутизации, а из внешней во внутреннюю — до маршрутизации. Дополнительная информация содержится в документе "Порядок работы NAT".
Ответ: Да. Функция поддержки статических IP-адресов NAT обеспечивает поддержку пользователей со статическими IP-адресами, давая им возможность установить IP-сеанс в общедоступной беспроводной локальной сети.
Ответ: Да. Используя NAT, можно создать виртуальный хост на внутренней сети, который координирует распределение нагрузки по реальным хостам. Дополнительные сведения см. в разделе Предотвращение перегрузки сервера с помощью балансировки нагрузки TCP.
Ответ: Да. Функция ограничения трансляции NAT дает возможность ограничить максимальное количество параллельных операций NAT на маршрутизаторе. Помимо того, что эта функция предоставляет пользователям расширенный контроль над использованием адресом NAT, она также может быть использована для предотвращения вирусов, "червей" и DoS-атак.
A. Маршрутизация для IP-адресов, созданных при помощи NAT, распознается в следующих случаях:
Внутренний пул глобальных адресов формируется в подсети маршрутизатора следующего узла.
Статическая запись маршрутизатора настраивается на маршрутизаторе следующего перехода и перераспределяется в пределах сети маршрутизации.
Если внутренний глобальный адрес соответствует локальному интерфейсу, NAT устанавливает IP-псевдоним и создает запись ARP, и в этом случае маршрутизатор будет использовать ключевое слово proxy-arp для этих адресов. Если такое поведение нежелательно, следует использовать ключевое слово no-alias .
Если настроен пул NAT, можно использовать ключевое слово add-route для автоматического добавления маршрута.
A. Ограничение сеанса NAT зависит от объема доступной памяти DRAM на маршрутизаторе. Для каждой трансляции NAT используется примерно 312 байтов DRAM. То есть, 10000 трансляций (больше, чем обычно обрабатывает один маршрутизатор) потребляют примерно 3 МБ. Таким образом, стандартное оборудование маршрутизации располагает достаточным объемом памяти для поддержки нескольких тысяч трансляций NAT.
A. Cisco IOS NAT поддерживает коммутацию Cisco Express Forwarding, быструю коммутацию и переключение процессов. Начиная с выпуска 12.4T поддержка быстрой коммутации прекращена. Для платформы Cat6k используется следующий порядок коммутации: Netflow (аппаратный путь коммутации), CEF, путь процесса.
Производительность зависит от нескольких факторов:
Тип приложения и поддерживаемый им тип трафика
Наличие встроенных IP-адресов
Обмен сообщениями и проверка нескольких сообщений
Наличие требуемого исходного порта
Количество преобразований
Другие работающие в этот момент приложения
Тип оборудования и процессора
Ответ: Да. Исходные и/или целевые трансляции NAT можно применить ко всем основным и вспомогательным интерфейсам, имеющим IP-адрес (включая интерфейсы набора номера). NAT нельзя настроить с использованием беспроводного виртуального интерфейса. Беспроводной виртуальный интерфейс не существует на момент записи в NVRAM. То есть, после перезагрузки маршрутизатор теряет конфигурацию NAT в беспроводном виртуальном интерфейсе.
Ответ: Да. NAT действительно предоставляет резервный протокол HSRP. Однако он отличается от SNAT (NAT с отслеживанием состояния). NAT с HSRP не предусматривает отслеживание состояния. Текущий сеанс не сохраняется в случае сбоя. В процессе настройки статического NAT (когда пакет не соответствует ни одной из конфигураций правила STATIC) пакет отправляется без трансляции.
Ответ: Да. Инкапсуляция не имеет значения для NAT. NAT доступен при наличии IP-адрес в интерфейсе, и интерфейсом является внутренний или наружный NAT. Для нормального функционирования требуется внутренний и внешний NAT. При использовании NVI требуется наличие хотя бы одного интерфейса с поддержкой NAT. См. раздел Как настроить NAT? дополнительные сведения.
Ответ: Да. Для этого можно использовать список доступа, где описан набор хостов или сетей, для которых требуется NAT. Все сеансы на одном хосте либо транслируются, либо передаются через маршрутизатор без трансляции.
Списки доступа, расширенные списки доступа и карты маршрутов можно использовать для определения правил, в соответствии с которыми выполняется трансляция IP-устройств. Всегда необходимо указывать сетевой адрес и соответствующую маску подсети. Ключевое слово any не следует использовать вместо сетевого адреса или маски подсети (дополнительные сведения см. в разделе NAT: руководство по развертыванию, рекомендации и часто задаваемые вопросы). Если при использовании статической конфигурации NAT пакет не соответствует конфигурации какого-либо правила STATIC, отправка пакета осуществляется без трансляции.
О. PAT (перегрузка) распределяет доступные порты для каждого глобального IP-адреса по трем диапазонам: 0-511, 512-1023 и 1024-65535. PAT назначает уникальный исходный порт для каждого сеанса UDP или TCP. PAT пытается назначить значение порта исходного запроса, однако если первоначальный исходный порт уже использовался, сканирование начинается с начала конкретного диапазона портов, чтобы найти первый доступный порт и назначить его диалогу. Существует исключение для базы кода 12.2S. База кода 12.2S использует другую логику порта, при этом резервирование порта не выполняется.
A. PAT работает с одним или несколькими глобальными IP-адресами.
PAT с одним IP-адресом
Условие Описание 1 NAT/PAT проверяет трафик и сопоставляет его с правилом трансляции. 2 Правило соответствует конфигурации PAT. 3 Если для PAT указан тип трафика и этот тип трафика будет использовать "набор заданных или согласуемых портов", PAT не выделяет их в качестве уникальных идентификаторов. 4 Если системы пытается отключить сеанс без специальных требований к портам, PAT транслирует исходный IP-адрес и проверяет доступность исходного порта (например, 443). Примечание. Для протоколов TCP и UDP используются следующие диапазоны: 1-511, 512-1023, 1024-65535. Для протокола ICMP первая группа начинается с 0.
5 Если запрашиваемый исходный порт доступен, PAT назначает исходный порт, и сеанс продолжается. 6 Если запрашиваемый исходный порт не доступен, PAT начинает поиск с начала соответствующей группы — начиная с 1 (для приложений TCP/UDP) или с 0 (для ICMP). 7 При наличии доступного порта выполняется назначение, и сеанс продолжается. 8 Если нет доступных портов, пакет отбрасывается. PAT с несколькими IP-адресами
Условие Описание 1-7 Первые 7 условий совпадают с условиями для одного IP-адреса. 8 Если порты вообще недоступны в соответствующей группе первого IP-адреса, NAT переносит его в следующий IP-адрес в полу и пытается выделить запрашиваемый первоначальный исходный порт. 9 Если запрашиваемый исходный порт доступен, NAT назначает исходный порт, и сеанс продолжается. 10 Если запрашиваемый исходный порт недоступен, NAT начинает поиск с начала соответствующей группы — начиная с 1 (для TCP или UDP) или с 0 (для ICMP). 11 При наличии доступного порта выполняется назначение, и сеанс продолжается. 12 Когда порты недоступны, пакет отбрасывается, если в пуле доступен другой IP-адрес.
О.Пулы IP-адресов NAT представляют собой диапазон IP-адресов, выделяемых при необходимости для трансляции NAT. Для определения пула используется следующая команда конфигурации:
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]Пример 1
В следующем примере выполняется трансляция между внутренними хостами, адресуемыми из сети 192.168.1.0 или 192.168.2.0 в глобально уникальную сеть 10.69.233.208/28:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255Пример 2
В следующем примере целью является определение виртуального адреса, соединения с которыми распределяются по реальным хостам. Пул определяет адреса реальных хостов. Список доступа определяет виртуальный адрес. Если трансляция уже не существует, TCP-пакеты последовательного интерфейса 0 (внешний интерфейс), целевое местоположение которых соответствует списку доступа, транслируются в адрес из пула.
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
A.На практике максимальное количество настраиваемых пулов IP-адресов ограничено объемом доступной DRAM на конкретном маршрутизаторе. (Cisco рекомендует настроить размер пула равный 255. ) Каждый пул должен иметь размер не более 16 битов. В 12.4(11)T и более поздних версий IOS представлен механизм CCE (Common Classification Engine). Это ограничивает NAT максимум до 255 пулов. В базе кода 12.2S нет ограничения по максимальному числу пулов.
A.Карта маршрута защищает внутренних пользователей и внутренние серверы от нежелательного доступа внешних пользователей. Кроме того, есть также возможность сопоставить один внутренний IP-адрес с различными внутренними глобальными адресами на основе правила. Дополнительные сведения см. в разделе Поддержка нескольких пулов в NAT с использованием карт маршрута.
A.Совмещением IP-адреса называется ситуация, когда два местоположения, между которыми устанавливается соединение, используют одну и ту же схему IP-адресов. Такое случается нередко; зачастую происходит при слиянии и поглощении компаний. Без специальной поддержки установка связи и сеансов между двумя расположениями невозможна. Совмещенный IP-адрес может быть общедоступным адресом, который назначен другой компанией, закрытым адресом, назначенным другой компании, или же может относиться к диапазону закрытых адресов, определенному в RFC 1918 .
![]()
Закрытые IP-адреса не маршрутизируются, и для установки соединений с внешней средой требуются трансляции NAT. Решение предлагает перехват откликов на запросы имен DNS, отправляемых из внешней во внутреннюю среду, настройку трансляции для внешнего адреса и регистрацию отклика DNS перед переадресацией его на внутренний хост. DNS-сервер должен быть задействован на обеих сторонах устройства NAT, выполняя анализ пользователей, устанавливающих соединение между обеими сетями.
NAT поддерживает проверку и трансляцию адресов в записи DNS A и PTR, как описывается в разделе Использование NAТ в совмещенных сетях.
A. Статические трансляции NAT предполагают однозначное сопоставление между локальными и глобальными адресами. Пользователи также могут настроить статические трансляции адресов на уровне порта и использовать оставшиеся IP-адреса для других трансляций. Как правило это происходит при выполнении трансляции адресов портов (PAT).
В следующем примере показано, как настроить карту маршрута для разрешения трансляции внешнего статического NAT во внутренний:
ip nat inside source static 1.1.1.1 2.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 30.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
Ответ: Да. Перегрузка NAT — это PAT, и это предполагает использование комбинации пула с диапазоном из одного или нескольких IP-адресов интерфейса и порта. При перегрузке создается полностью развернутая трансляция. Это запись в таблице трансляции, содержащая IP-адрес и данные исходного/целевого порта, которая обычно называется PAT или перегрузкой.
PAT (или перегрузка) — функция Cisco IOS NAT, используемая для трансляции внутренних (внутри локальной сети) закрытых адресов в один или несколько внешних (внутри глобальной сети, обычно зарегистрированных) IP-адресов. Уникальные номера портов источника для каждого преобразования позволяют отличать один диалог от другого.
О.В динамических трансляциях NAT пользователи могут выполнять динамическое сопоставление локальных адресов с глобальными. Динамическое сопоставление выполняется путем определения локальных адресов для трансляции, а также пула адресов или IP-адреса интерфейса, из которого выделяются глобальные адреса, и настройки ассоциаций для них.
О. ALG — это шлюз уровня приложения (Application Layer Gateway). NAT выполняет трансляцию для всего трафика TCP/UDP, который не содержит исходных и/или целевых IP-адресов в потоке данных приложения.
К этим протоколам относятся FTP, HTTP, SKINNY, H232, DNS, RAS, SIP ,TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh, rcp. Для отдельных протоколов, которые встраивают данные IP-адреса в полезную нагрузку, требуется поддержка ALG.
Дополнительные сведения см. в разделе Использование NAT для шлюзов уровня приложений.
Ответ: Да. Однако этот же IP-адрес нельзя использовать для статической конфигурации NAT или в пуле для динамической конфигурации NAT. Все открытые IP-адреса должны быть уникальными. Обратите внимание, что глобальные адреса, используемые в статических трансляциях, не исключаются автоматически из динамических пулов, которые содержат те же самые глобальные адреса. Необходимо создать динамические пулы для исключения адресов, назначенных статическими записями. Дополнительные сведения см. в разделе Одновременная настройка статического и динамического NAT.
О. Трассировка маршрута из внешней среды должна всегда возвращать глобальный адрес.
A.NAT предоставляет дополнительные функции порта: полный диапазон и распределение портов.
Полный диапазон позволяет NAT использовать все порты независимо от диапазона портов по умолчанию.
Распределение портов позволяет NAT резервировать определяемый пользователем диапазон портов для конкретного приложения.
Дополнительные сведения см. в разделе Определяемые пользователем диапазоны портов для PAT.
Начиная с версии 12.4(20)T2, NAT вводит рандомизацию портов для портов L3/L4 и симметричного порта.
Рандомизация портов позволяет NAT случайным образом выбирать любой глобальный порт для запроса исходного порта.
Симметричный порт позволяет NAT поддерживать независимые терминальные устройства.
Дополнительные сведения см. в разделе Анатомия: Подробный анализ трансляторов сетевых адресов.
A. Фрагментация IP выполняется на уровне 3 (IP); Сегментация TCP выполняется на уровне 4 (TCP). Фрагментация IP происходит в тех случаях, когда из интерфейса отправляются пакеты, размер которых превышает размер максимального блока передачи данных (MTU) для этого интерфейса. При отправке из интерфейса эти пакеты должны либо фрагментироваться, либо уничтожаться. Если бит "Не фрагментировать (НФ)" не задан в заголовке IP пакета, пакет будет фрагментирован. Если в заголовке IP пакета задан бит "НФ", пакет отбрасывается и отправителю возвращается сообщение об ошибке ICMP, в котором указано значение MTU следующего перехода. Все фрагменты пакета IP имеют одинаковый идентификатор в заголовке IP, что позволяет конечному получателю повторно собрать фрагменты в исходный пакет IP. Дополнительные сведения см. в разделе Разрешение фрагментации IP, MTU, MSS и проблемы PMTUD, связанные с GRE и IPsec.
Сегментация TCP происходит при передаче данных приложением на конечной станции. В В В Данные прикладной программы раделяются на то, что TCP считает блоками оптимального размера для передачи. Этот блок данных, передаваемый из TCP в IP, называется сегментом. Сегменты TCP передаются в дейтаграммах IP. Эти дейтаграммы IP могут впоследствии стать фрагментами IP, поскольку при прохождении через сеть им встречаются каналы MTU меньшей пропускной способности, чем требуется для их прохождения.
TCP сначала разделяет эти данные на сегменты TCP (на основе значения TCP MSS), добавляет заголовок TCP и передает этот сегмент TCP в IP. После этого IP добавляет заголовок IP для отправки пакета на хост приемного конца линии. Если пакет IP с сегментом TCP будет иметь размер больше, чем IP MTU в исходящем интерфейсе на пути между хостами TCP, то в этом случае IP фрагментирует пакет IP/TCP. Эти фрагменты пакета IP будут повторно собраны на удаленном хосте уровнем IP, и в уровень TCP будет отправлен полный сегмент TCP (который отправлялся изначально). Уровень TCP не знает, что в процессе передачи пакет фрагментирован IP.
NAT поддерживает фрагменты IP, но не поддерживает сегменты TCP.
O. NAT поддерживает только неисправные фрагменты IP из-за ip virtual-reassembly.
O. NAT использует один и тот же интерфейс командной строки для отладки как для фрагментации IP, так и для сегментации TCP: debug ip nat frag.
О. Нет. MIB NAT не поддерживаются, включая CISCO-IETF-NAT-MIB.
О.Если трехэтапный процесс установления связи не завершен и NAT получает пакет TCP, в этом случае NAT запускает таймер на 60 секунд. По завершении трехэтапного процесса установления связи NAT использует таймер на 24 часа для записи NAT по умолчанию. Если конечный хост отправляет команду RESET, NAT изменяет таймер по умолчанию с 24 часов на 60 секунд. В случае FIN NAT изменяет таймер по умолчанию с 24 часов на 60 секунд при получении FIN и FIN-ACK.
Ответ: Да. Можно изменить значения тайм-аута NAT для всех записей или для различных типов трансляции NAT (например, udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout и arp-ping-timeout).
A.Параметры LDAP добавляют дополнительные байты (результаты поиска LDAP) в процессе обработки сообщений типа Search-Res-Entry. LDAP присоединяет 10 байтов результатов поиска к каждому ответному пакету LDAP. В случае если из-за этих 10 дополнительных байтов размер пакета превысит величину максимального блока передачи данных (MTU) в сети, пакет отбрасывается. В этом случае Cisco рекомендует отключить это поведение LDAP с помощью команды no ip nat service append-ldap-search-res в CLI, чтобы отправлять и получать пакеты.
О. Необходимо указать маршрут в настроенном поле NAT внутреннего глобального IP-адреса для таких компонентов, как NAT-NVI. Точно так же необходимо указать маршрут в поле NAT для внешнего локального IP-адреса. В этом случае для всех пакетов на входящем и исходящем направлении, которые используют внешнее статическое правило, потребуется маршрут такого типа. В таких сценариях в процессе указания маршрута для IG/OL необходимо также настроить IP-адрес следующего перехода. Если следующий переход не настроен, это считается ошибкой конфигурации и приводит к непредвиденному поведению.
NVI-NAT содержится только в выходном пути функции. Если вы напрямую настроили соединение подсети с NAT-NVI или внешним правилом трансляции NAT, настроенным в поле, то в этом случае в данных сценариях потребуется указать фиктивный IP-адрес следующего перехода, а также связанный ARP для следующего перехода. Это позволяет базовой инфраструктуре отправлять пакет в NAT для трансляции.
Ответ: При настройке Cisco IOS NAT для динамического преобразования NAT, для идентификации пакетов, которые могут быть преобразованы, используется список управления доступом. Текущая архитектура NAT не поддерживает списки контроля доступа с ключевым словом "log".
О. CUCM 7 и все стандартные нагрузки телефона для CUCM 7 поддерживают SCCPv17. Используемая версия SCCP зависит от того, какая максимальная версия CUCM и телефона используется в процессе регистрации телефона.
NAT еще не поддерживает SCCP версии17. Пока поддержка NAT SCCP версии 17 не реализована, необходимо использовать микропрограммное обеспечение более ранней версии (8-3-5 или более ранняя), чтобы обеспечить согласование SCCP версии 16. CUCM6 предотвращает появление проблем с NAT в нагрузках телефона, поскольку используется SCCP версии 16. Cisco IOS в настоящее время не поддерживает SCCP версии 17.
О. NAT поддерживает CUCM версии 6.x и более ранних выпусков. Эти версии CUCM выпускаются с микропрограммным обеспечением версии 8.3.x (или более ранних версий), поддерживающим SCCP версии 15 (или более ранних версий).
NAT не поддерживает CUCM 7.x или более поздних версий. Эта версия CUCM выпускается с микропрограммным обеспечением телефона 8.4.х, которое поддерживает SCCP 17 (или более поздних версий).
Если используется CUCM 7.x или более поздней версии, необходимо установить на сервер CUCM TFTP более раннюю версию микропрограммного обеспечения, чтобы телефоны использовали микпрограммное обеспечение с SCCP 15 или более ранней версии и поддерживались NAT.
Ссылка ниже подтверждает, что микропрограммное обеспечение версии 8.3.х содержит SCCP 15 или более ранней версии и поддерживает использование NAT; а микропрограммное обеспечение версии 8.4.х содержит SCCP 17 и НЕ поддерживает использование NAT.
О. Функция Service Provider PAT Port Allocation Enhancement for RTP and RTCP обеспечивает возможность голосовых вызовов SIP, H.323 и Skinny. Номера портов, используемых для потоков RTP, — это четные номера портов, а потоки RTCP используют следующий нечетный номер порта. Номер порта преобразуется в номер в пределах диапазона, заданного в соответствии с RFC-1889. Вызов с номером порта в этом диапазоне приведет к преобразованию PAT в другой номер порта в этом же диапазоне. Точно так же трансляция PAT для номера порта вне диапазона не приводит к преобразованию в номер в пределах заданного диапазона.
A. Протокол SIP представляет собой управляющий протокол уровня приложений на основе ASCII, который можно использовать для установления, поддержания и завершения вызовов между двумя или несколькими терминальными устройствами. SIP является альтернативным протоколом, разработанным инженерной группой по развитию Интернета (IETF) для мультимедийной конференц-связи по IP. Реализация Cisco SIP позволяет поддерживаемым платформам Cisco сообщать о настройке голосовых и мультимедийных вызовов посредством IP-сетей.
Пакеты SIP можно преобразовать посредством NAT.
О. Обход размещенного NAT Cisco IOS для функции SBC позволяет использовать маршрутизатор шлюза уровня приложений (ALG) Cisco IOS NAT SIP в качестве SBC в шлюзе Cisco Multiservice IP-to-IP, что обеспечивает согласованную доставку служб VoIP.
Дополнительные сведения см. в разделе Настройка обхода размещенного NAT Cisco IOS для контроллера границы сеанса и Обход размещенного NAT SP для SIP-вызовов с помощью контроллера границы сеанса Cisco IOS.
О.Количество вызовов, обрабатываемых маршрутизатором NAT, зависит от объема памяти, доступного на устройстве, и мощности ЦП.
О. Начиная с версии 12.4(6), реализована поддержка IOS-NAT сегментации TCP для H323 в 12.4 Mainline и поддержка сегментации TCP для SKINNY.
Ответ: Да. При наличии конфигураций перегрузки NAT и среды голосовой связи необходимо передать сообщение о регистрации посредством NAT и создать связь между внешней и внутренней средой для доступа к внутреннему устройству. Внутреннее устройство периодически отправляет эту регистрацию, а NAT обновляет этот микроканал/связь, используя информацию, указанную в сигнальном сообщении.
О. Если в средах голосовой связи при выполнении команды clear ip nat trans * или clear ip nat trans forced используется NAT, необходимо очистить микроканал/связь и дождаться следующего цикла регистрации с внутреннего устройства, чтобы восстановить его. Cisco не рекомендует использовать эти однозначные команды в средах голосовой связи.
О. Нет. Совмещенное решение в настоящее время не поддерживается. Следующая среда с NAT (на том же устройстве) считается совмещенным решением: CME/DSP-Farm/SCCP/H323.
О. Нет. Обратите внимание на то, что на SIP UDP ALG (используемый большинством развертываний) не затронут.
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED
О.Устаревший NAT поддерживает частичное совпадение конфигураций адресов в различных VRF. Необходимо настроить частичное совпадение по правилу, используя опцию match-in-vrf , и настроить ip nat inside/outside в том же VRF для передачи трафика через этот конкретный VRF. Поддержка частичного совпадения не охватывает глобальную таблицу маршрутизации.
Необходимо добавить ключевое слово match-in-vrf для частично совпадающих записей статического NAT для различных VRF. Однако частичное совпадение глобальных адресов и адресов VRF NAT невозможно.
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
О. Нет. Необходимо использовать NVI для преобразования различных VRF с использованием NAT. Можно использовать устаревшую версию NAT, чтобы выполнить преобразование адреса NAT VRF в глобальный адрес в пределах одного VRF.
A.NVI расшифровывается как виртуальный интерфейс NAT (NAT Virtual Interface). Это позволяет NAT выполнять трансляцию между двумя другими VRF. Это решение рекомендуется использовать вместо Трансляция сетевых адресов на накопитель.
О.Cisco рекомендует использовать устаревшую версию NAT для преобразования VRF в глобальный NAT (ip nat inside/out) и между интерфейсами в одном VRF. NVI используется для применения NAT между различными VRF.
A.Сегментация TCP для NAT-NVI не поддерживается.
О. Нет. Обратите внимание на то, что на SIP UDP ALG (используемый большинством развертываний) не затронут.
A. SNAT не поддерживает шлюзы уровня приложений TCP (например, SIP, SKINNY, H323 или DNS). Таким образом, сегментация TCP не поддерживается. Однако SIP UDP и DNS поддерживаются.
О.SNAT позволяет использовать два или более трансляторов сетевых адресов как группу трансляций. Один участник группы трансляции обрабатывает трафик, для которого требуются данные о трансляции IP-адреса. Кроме того, он сообщает резервному транслятору об активных потоках по мере их возникновения. Резервный транслятор может использовать данные, полученные от активного транслятора, для подготовки дубликатов записей в таблице трансляции. Таким образом, если активный транслятор вышел из строя вследствие критического сбоя, трафик можно оперативно переключить на резервный транслятор. Поток трафика продолжается, поскольку используются те же трансляции сетевых адресов и состояние этих трансляций уже определено ранее. Дополнительные сведения см. в разделе Дополнительная отказоустойчивость IP за счет использования Cisco Stateful NAT.
A. SNAT не поддерживает шлюзы уровня приложений TCP (например, SIP, SKINNY, H323 или DNS). Таким образом, сегментация TCP не поддерживается. Однако SIP UDP и DNS поддерживаются.
О. Асимметричная маршрутизация поддерживает NAT за счет включения параметра as queuing. По умолчанию для параметра as-queiuing установлено значение enable. Однако начиная с версии 12.4(24)T, параметр as-queuing больше не поддерживается. Заказчики должны убедиться в том, что пакеты правильно маршрутизируются и добавлено корректное значение задержки, что обеспечивает исправную работу асимметричной маршрутизации.
A. NAT-PT обеспчивает трансляцию из версии 4 в версию 6 для NAT. Трансляция протокола (NAT-PT) представляет собой механизм трансляции IPv6-IPv4 в соответствии с определением RFC 2765 и RFC 2766 , который позволяет устройствам с поддержкой только IPv6 обмениваться данными с устройствами, поддерживающими только IPv4, и наоборот.
![]()
Дополнительные сведения об этой функции см. в разделе Реализация NAT-PT для IPv6
A. NAT-PT не поддерживается в пути CEF.
A. NAT-PT поддерживает TFTP/FTP и DNS. Голосовая связь и SNAT в NAT-PT не поддерживаются.
A. Маршрутизаторы служб агрегирования (ASR) используют NAT64. Дополнительные сведения о настройке NAT64 см. в разделе Настройка сети маршрутизатора для NAT64 без отслеживания состояния.
A.SNAT не доступен на Catalyst 6500 на платформе SX.
О. NAT с поддержкой VRF не поддерживается для оборудования на этой платформе.
О. На платформе 65xx/76xx NAT с поддержкой VRF не поддерживается, интерфейсы командной строки (CLI) заблокированы.
Примечание. Для реализации проекта можно использовать FWSM, запускаемого в прозрачном режиме виртуального контекста.
О. Нет. Устройства серии 850 не поддерживает Skinny NAT ALG в версии 12.4T.
О.NAT включает частные IP-сети Интернет, использующие незарегистрированные IP-адреса для подключения к Инернету. NAT транслирует закрытый адрес (RFC1918) во внутренней сети в правомочные маршрутизируемые адреса до переадресации пакетов в другую сеть.
Дополнительные сведения о реализации NAT см. в разделе Настройка NAT для сохранения IP-адресов.
О.Поддержка функции голосового управления NAT позволяет транслировать встроенные сообщения SIP через маршрутизатор, настроенный с использованием NAT, обратно в пакет. Для трансляции голосовых пакетов используется шлюз уровня приложения (ALG) вместе с NAT.
О. Интеграция NAT с функцией VPN-соединений MPLS позволяет настроить несколько VPN-соединений MPLS на одном устройстве для совместной работы. NAT различает, от какого VPN-соединения MPLS он принимает IP-трафик, даже если VPN-соединения MPLS используют одинаковую схему IP-адресации. Это усовершенствование позволяет нескольким пользователям VPN-соедиения MPLS использовать службы совместно и в то же время полностью отделять все VPN-соедиения MPLS друг от друга.
О. На запрос адреса ARP, настроенного с использованием статического сопоставления NAT, который принадлежит маршрутизатору, NAT отвечает, отправляя MAC-адрес BIA на интерфейс, на который указывает ARP. Два маршрутизатора выполняют функции активного и резервного HSRP. Их внутренние интерфейсы NAT должны быть включены и настроены как принадлежащие группе.
О. Виртуальный интерфейс NAT (NVI) позволяет избежать настройки интерейса в качестве внутреннего или внешнего интерфейса NAT. Дополнительные сведения о NAT NVI см. в разделе Настройка виртуального интерфейса NAT.
О. Доступно два типа балансировки нагрузки с использованием NAT: можно балансировать нагрузку, поступающую на ряд серверов, чтобы распределить нагрузку по серверам, а кроме того, можно балансировать нагрузку пользовательского интернет-трафика, поступающего по каналам двух или более интернет-провайдеров.
О. Предусмотрена поддержка безопасной инкапсуляции полезной нагрузки (ESP) IPSec посредством NAT и IPSec NAT Transparency.
Функция NAT в ESP IPSec обеспечивает поддержку нескольких параллельных туннелей или соединений ESP IPSec с помощью устройства Cisco IOS NAT, настроенного в режиме перегрузки или трансляции адресов портов (PAT).
Функция прозрачности IPSec NAT обеспечивает поддержку перемещения трафика IPSec по точкам NAT или PAT в сети, устраняя множество несовместимостей NAT и IPSec.
О. NAT-PT (Network Address Translation—Protocol Translation) — механизм трансляции IPv6-IPv4, определенный в RFC 2765 и RFC 2766 , который позволяет устройствам с поддержкой только IPv6 обмениваться данными с устройствами, поддерживающими только IPv4, и наоборот.
![]()
Дополнительные сведения о применении и настройке NAT-PT см. в разделе Применение NAT-PT для IPv6.
О.Доступна NAT-переадресация исходного IP для потока многоадресной рассылки. Карту маршрута нельзя использовать при выполнении динамического NAT для многоадресной рассылки. В этом случае используется только список доступа.
Дополнительные сведения см. в разделе Использование NAT многоадресной рассылки на маршрутизаторах Cisco. Трансляция целевой группы многоадресной рассылки с помощью NAT выполняется с использованием решения Multicast Service Reflection.
O.SNAT обеспечивает непрерывное обслуживание динамично сопоставляемых сеансов NAT. Сеансы, которые определены статически, используют возможности резервирования без использования SNAT. В отсутствие SNAT сеансы, использующие динамические сопоставления NAT, отключаются в случае критического сбоя и требуют восстановления. Поддерживается только минимальная конфигурация SNAT. Будущие развертывания необходимо выполнять только после консультации со специалистами отдела Cisco по работе с ключевыми клиентами, цель которой — проверить проект на соответствие текущим ограничениям.
SNAT рекомендуется использовать в следующих сценариях:
Режим HSRP, как описано в технической документации SNAT: Расширенная отказоустойчивость IP с использованием Cisco Stateful NAT.
Основной/резервный режим не является рекомендуемым, так как он не предоставляет ряд функций, доступных в HSRP.
Для сценариев переключения при отказе и настройке двух маршрутизаторов. Таким образом, если на одном из маршрутизаторов происходит сбой, выполняется переключение на второй. (Архитектура SNAT не предназначена для переключения интерфейса.
Поддерживается сценарий неасимметричной маршрутизации. Асимметричная маршрутизация поддерживается только в том случае, если задержка при передаче ответных пакетов больше, чем задержка между двумя маршрутизаторами SNAT при обмене сообщениями SNAT.
В настоящее время архитектура SNAT не предназначена для обеспечения устойчивости; таким образом, не ожидается, что эти тесты будут успешными:
Очистка записей NAT при наличии трафика.
Изменение параметров интерфейса (изменение IP-адреса, shut/no-shut и т. д.) при наличии трафика.
Команды SNAT clear или show, вероятнее всего, не будут выполняться корректно, поэтому не рекомендуется их использовать.
Некоторые команды SNAT (clear и show):
clear ip snat sessions * clear ip snat sessions <ip address of the peer> clear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer>Если пользователю требуется очистить записи, можно использовать команду clear ip nat trans forced или clear ip nat trans *.
Для просмотра записей можно использовать команду show ip nat translation, show ip nat translations verbose и show ip nat stats. Если настроен параметр service internal, он также отображает данные SNAT.
При При Не рекомендуется удалять трансляции NAT с резервного маршрутизатора. Всегда удаляйте записи NAT с основного маршрутизатора SNAT.
SNAT не является высокодоступным; поэтому, конфигурации на обоих маршрутизаторах должны быть одинаковыми. На обоих маршрутизаторах должен быть запущен один и тот же образ. Кроме того, необходимо убедиться в том, что для обоих маршрутизаторов SNAT используется одна и та же базовая платформа.
Ответ: Да. Далее приведены рекомендации по использованию NAT:
При использовании одновременно динамического и статического NAT из списка контроля доступа, который задает правило для динамического NAT, необходимо исключить статические локальные хосты, чтобы предотвратить частичное совпадение.
Не следует использовать список контроля доступа для NAT с параметром permit ip any any, так как результаты могут быть непредсказуемыми. Начиная с версии 12.4(20)T, NAT выполняет трансляцию локально созданных пакетов HSRP и протокола маршрутизации, если они отправляют из внешнего интерфейса, как и трансляцию локально зашифрованных пакетов, соответствующих правилу NAT.
При наличии частично совпадающих сетей для NAT можно использовать ключевое слово match-in-vrf.
Необходимо добавить ключевое слово match-in-vrf для частично совпадающих записей VRF статического NAT для различных VRF, однако частичное совпадение глобальных адресов и адресов VRF NAT.
Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrfПулы NAT с одинаковым диапазоном адресов нельзя использовать в разных VRF, если используется ключевое слово match-in-vrf.
Пример:
ip nat pool poolA 171.1.1.1 171.1.1.10 prefix-length 24 ip nat pool poolB 171.1.1.1 171.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrfПримечание.Даже притом что конфигурация CLI является допустимой, без ключевого слова match-in-vrf она не поддерживается.
При развертывании системы балансировки нагрузки интернет-провайдера с перегрузкой интерфейса NAT рекомендуется использовать карту маршрута с сопоставлением интерфейс по списку контроля доступа.
Если используется сопоставление пула, не следует использовать два различных сопоставления (по списку контроля доступа и по карте маршрута) для совместного использования одного адреса из пула NAT.
При развертывании одних и тех же правил NAT на двух различных маршрутизаторах в сценарии переключения при отказе рекомендуется использовать резервирование HSRP.
Не следует определять один и тот же внутренний глобальный адрес в пуле статического NAT и в динамическом пуле. Это действие может привести к нежелательным результатам.