ASR1K NAT间歇地不能转换一些数据包
目录
简介
本文描述数据包应该由在Cisco 1000 Series Aggregation Services Router的情况(ASR1K)的网络地址转换(NAT)翻译没有翻译(NAT绕过)。因为可能不已配置的允许未翻译的数据包的下一跳将处理,这可能导致流量失败。
背景信息
默认情况下在软件版本12.2(33)XND中呼叫NAT网守的功能介绍并且启用。NAT网守设计防止非NAT ED流使用额外的CPU创建NAT转换。为了达到此,两个小缓存(一in2out方向的和一out2in方向的)根据源地址创建。每缓存条目包括源地址、虚拟路由和转发(VRF) ID、计时器值(用于在10秒之后无效条目)和帧计数器。有组成缓存的256个条目在表里。如果有从一些数据包要求NAT和一些的同一源地址的多个信息数据流运输流量不,可能导致不NAT的数据包,并且发送通过路由器取消转译。Cisco建议客户应该避免在任何可能的情况下NAT和在同一个接口的非NAT ED流。
绕过的NAT的演示
此部分描述NAT如何可以绕过的归结于NAT关守功能。详细查看图表。您能看到有源路由器、一可适应安全工具(ASA)防火墙、ASR1K和目标路由器。
对非NAT ED目的地的通信流
- Ping从来源启动:来源:172.17.250.201目的地:198.51.100.11。
- 数据包在进行源地址地址转换ASA的内部接口到达。数据包当前将有来源:203.0.113.231目的地:198.51.100.11。
- 数据包从外部到达在NAT的ASR1K对内部接口。NAT转换不查找目的地址的转换和,因此网守“”缓存带有源地址203.0.113.231。
- 数据包到达在目的地。目的地接受互联网控制消息协议(ICMP)数据包并且返回导致ping成功的ICMP echo应答。
从同样来源尝试的流量发送NAT目的地
- .。 Ping从来源启动:来源:172.17.250.201目的地:198.51.100.9。
- 数据包在进行源地址地址转换ASA的内部接口到达。数据包当前将有来源:203.0.113.231目的地:198.51.100.9。
- 数据包从外部到达在NAT的ASR1K对内部接口。NAT首先寻找源和目的一个转换。因为它没找到一,检查网守“”缓存并且发现源地址203.0.113.231。它(不正确)假设,数据包不需要转换和或者转发数据包,如果路由为目的地存在或丢弃数据包。不管怎样,数据包不会到达有意目的地。
NAT的流量的恢复
- 在10秒之后,源地址的203.0.113.231条目在网守计时缓存。
- 现在,如果同一来源172.17.250.201发送对NAT的目的地198.51.100.9.When数据包到达在ASR1K的out2in接口,没有转换将被找到。当您检查网守时请缓存,您不会查找一个活动条目和,因此您创建目的地和数据包willl流的转换正如所料。
- 只要转换不被计时的归结于非活动,在此流的流量将继续。如果,同时,来源再发送流量对非NAT ED目的地,在网守造成另一个条目填充缓存,不会影响建立的会话,但是那里是从该同样来源的新建的会话到NAT的目的地失效的10第二个周期。
问题的示例
- Ping从源路由器启动:来源:172.17.250.201目的地:198.51.100.9。ping发出与重复计数两,多次[FLOW1]。
- 然后请ping没有由ASR1K NAT的一个不同的目的地:来源:172.17.250.201 Destination:198.51.100.11 [FLOW2]。
- 然后请发送更多数据包对198.51.100.9 [FLOW1]。最初的少数数据包此流将绕过NAT如看到通过访问列表匹配在目标路由器。
source#ping 198.51.100.9 source lo1 rep 2
Type escape sequence to abort.
Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
!!
Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms
source#ping 198.51.100.9 source lo1 rep 2
Type escape sequence to abort.
Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
!!
Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms
source#ping 198.51.100.11 source lo1 rep 200000
Type escape sequence to abort.
Sending 200000, 100-byte ICMP Echos to 198.51.100.11, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.
Success rate is 99 percent (3007/3008), round-trip min/avg/max = 1/1/16 ms
source#ping 198.51.100.9 source lo1 rep 10
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
...!!!!!!!
Success rate is 70 percent (7/10), round-trip min/avg/max = 1/1/1 ms
source#
在目标路由器的ACL匹配显示失败未翻译的三数据包:
Router2#show access-list 199
Extended IP access list 199
10 permit udp host 172.17.250.201 host 198.51.100.9
20 permit udp host 172.17.250.201 host 10.212.26.73
30 permit udp host 203.0.113.231 host 198.51.100.9
40 permit udp host 203.0.113.231 host 10.212.26.73 (4 matches)
50 permit icmp host 172.17.250.201 host 198.51.100.9
60 permit icmp host 172.17.250.201 host 10.212.26.73
70 permit icmp host 203.0.113.231 host 198.51.100.9 (3 matches) <<<<<<<
80 permit icmp host 203.0.113.231 host 10.212.26.73 (42 matches)
90 permit udp any any log (2 matches)
100 permit icmp any any log (4193 matches)
110 permit ip any any (5 matches)
Router2#
在ASR1K您能检查网守缓存条目:
PRIMARY#show platform hardware qfp active feature nat datapath gatein
Gatekeeper on
sip 203.0.113.231 vrf 0 cnt 1 ts 0x17ba3f idx 74
sip 10.203.249.226 vrf 0 cnt 0 ts 0x36bab6 idx 218
sip 10.203.249.221 vrf 0 cnt 1 ts 0x367ab4 idx 229
PRIMARY#show platform hardware qfp active feature nat datapath gateout
Gatekeeper on
sip 198.51.100.11 vrf 0 cnt 1 ts 0x36db07 idx 60
sip 10.203.249.225 vrf 0 cnt 0 ts 0x36bb7a idx 217
sip 10.203.249.222 vrf 0 cnt 1 ts 0x367b7c idx 230
应急方案/修正
在多数环境NAT网守功能良好工作和不导致问题。然而,如果遇到此问题有一些个方式解决它。
解决方案 1
首选是升级Cisco IOS XE对包括网守增强的版本:
Cisco Bug ID CSCun06260 XE3.13网守硬化
此增强允许NAT网守缓存来源和目的地址,以及使缓存容量成为可配置。为了打开扩展模式,您需要增加缓存容量用这些命令。您能也监控缓存发现是否需要增加大小。
PRIMARY(config)#ip nat settings gatekeeper-size 1024
PRIMARY(config)#end
扩展模式可以通过检查这些命令验证:
PRIMARY#show platform hardware qfp active feature nat datapath gatein
Gatekeeper on
sip 10.203.249.221 dip 10.203.249.222 vrf 0 ts 0x5c437 idx 631
PRIMARY#show platform hardware qfp active feature nat datapath gateout
Gatekeeper on
sip 10.203.249.225 dip 10.203.249.226 vrf 0 ts 0x5eddf idx 631
PRIMARY#show platform hardware qfp active feature nat datapath gatein active
Gatekeeper on
ext mode Size 1024, Hits 2, Miss 4, Aged 0 Added 4 Active 1
PRIMARY#show platform hardware qfp active feature nat datapath gateout active
Gatekeeper on
ext mode Size 1024, Hits 0, Miss 1, Aged 1 Added 2 Active 0
解决方案 2
对于没有Cisco Bug ID的CSCun06260修正的版本,唯一选择是关闭关守功能。唯一的负面影响将轻微是非NAT ED流量的降低的性能以及在Quantum流处理器(QFP)的更加高的CPU利用率。
PRIMARY(config)#no ip nat service gatekeeper
PRIMARY(config)#end
PRIMARY#PRIMARY#Sh platform hardware qfp active feature nat datapath gatein
Gatekeeper off
PRIMARY#
QFP利用率可以用这些命令监控:
show platform hardware qfp active data utilization summary
show platform hardware qfp active data utilization qfp 0
解决方案 3
分离通信流,以便NAT和非NAT数据包在同一个接口不到达。
摘要
gatekeeper命令的NAT介绍为了提高路由器的性能非NAT ED流的。在某些条件下,当NAT的混合和非NAT数据包从同一来源时,到达功能也许引起问题。解决方案将使用增强版网守功能,或者,如果那不是可能的,禁用关守功能。
参考资料
软件变更将被关闭的允许网守:
Cisco Bug ID CSCty67184 ASR1k NAT CLI -网守开/关
Cisco Bug ID CSCth23984添加cli功能启用开/关nat网守功能
NAT网守增强
Cisco Bug ID CSCun06260 XE3.13网守硬化
反馈