ASR1k NAT间歇地不能转换一些信息包
Contents
Introduction
此条款展示信息包应该由在ASR1k的NAT转换没有被转换的一个情况(被绕过的NAT)。因为是可能的没被配置的下一跳允许未翻译的信息包被处理,这可能导致数据流故障。
背景信息
默认情况下在软件版本12.2(33)XND中介绍了称为NAT网守的功能并且被启用了。 (请注释此与H.323无关)。 NAT网守设计防止非NAT ED流使用额外的CPU创建NAT转换。 要达到此,两个小的高速缓冲存储器(一in2out方向的和一out2in方向的)根据源地址被创建。 每缓存条目包括源地址、VRF ID、计时器值(用于在10秒之后无效条目)和帧计数器。 有256个条目在组成高速缓冲存储器的表里。 如果有从一些信息包要求NAT和一些的同一源地址的多通信流不,可能导致通过路由器不NAT和被发送的信息包未翻译。 Cisco建议用户应该避免在任何可能的情况下NAT和在同一个接口的非NAT ED流。
被绕过的NAT的演示
以下部分描述NAT如何可以被绕过的归结于NAT关守功能。 请详细请查看图表。 我们能看到有源路由器、ASA防火墙、ASR1k和目的地路由器。
对非NAT ED目的地的通信流:
1) Ping从来源被起动:来源:172.17.250.201目的地:198.51.100.11
2) 信息包在进行源地址地址转换ASA的内部接口到达。 信息包当前将有来源:203.0.113.231目的地:198.51.100.11
3) 信息包从外部到达在NAT的ASR1k对内部接口。 NAT转换不查找目的地地址的转换和,因此网守“”缓存带有源地址203.0.113.231
4) 信息包到达目的地。目的地接受ICMP信息包并且返回ICMP回音应答造成ping成功。
从同样来源的数据流尝试发送NAT的目的地:
1) Ping从来源被起动:来源:172.17.250.201目的地:198.51.100.9
2) 信息包在进行源地址地址转换ASA的内部接口到达。 信息包当前将有来源:203.0.113.231目的地:198.51.100.9
3) 信息包从外部到达在NAT的ASR1k对内部接口。 NAT首先寻找来源和目的地的一个转换。 不查找一,它检查网守“”缓存并且发现源地址203.0.113.231。 它(不正确)假设,信息包不需要转换和转发信息包,如果路由为目的地存在或丢弃信息包。 不管怎样,信息包不会到达有意目的地。
NAT-ed数据流的恢复
1) 在10秒之后,源地址的203.0.113.231条目在网守计时缓存。(请注意条目物理的仍然存在于高速缓冲存储器,但是,因为到期了,没有使用)。
2) 现在,如果同一个来源:172.17.250.201发送到NAT的目的地198.51.100.9,当信息包到达在ASR1K时的out2in接口,没有转换将被找到。 当我们检查网守缓存,我们不会查找一个活动条目,并且,因此我们将创建目的地和信息包willl流的转换正如所料。
3) 只要转换不被计时的归结于非活动,在此流的数据流将继续。如果同时,来源再发送数据流到非NAT ED目的地,造成另一个条目被填充在网守请缓存,它不会影响建立的会话,但是那里是从该同样来源的新的会话到NAT的目的地失效的10第二个周期。
问题的示例
1) Ping从源路由器被起动:来源:172.17.250.201目的地:198.51.100.9。 ping发出与重复计数2,多次[FLOW1]。
2) 然后请连接没有由ASR1k来源NAT的一个不同的目的地:172.17.250.201 Destination:198.51.100.11 [FLOW2]。
3) 然后请发送更多信息包到198.51.100.9 [FLOW1]。 此流最初的少数信息包将绕过NAT如看到由配比在目的地路由器的访问列表。
source#ping 198.51.100.9 source lo1 rep 2
Type escape sequence to abort.
Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
!!
Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms
source#ping 198.51.100.9 source lo1 rep 2
Type escape sequence to abort.
Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
!!
Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms
source#ping 198.51.100.11 source lo1 rep 200000
Type escape sequence to abort.
Sending 200000, 100-byte ICMP Echos to 198.51.100.11, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.
Success rate is 99 percent (3007/3008), round-trip min/avg/max = 1/1/16 ms
source#ping 198.51.100.9 source lo1 rep 10
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
...!!!!!!!
Success rate is 70 percent (7/10), round-trip min/avg/max = 1/1/1 ms
source#
在目的地路由器的ACL匹配显示失败,未被转换的3个信息包:
Router2#show access-list 199
Extended IP access list 199
10 permit udp host 172.17.250.201 host 198.51.100.9
20 permit udp host 172.17.250.201 host 10.212.26.73
30 permit udp host 203.0.113.231 host 198.51.100.9
40 permit udp host 203.0.113.231 host 10.212.26.73 (4 matches)
50 permit icmp host 172.17.250.201 host 198.51.100.9
60 permit icmp host 172.17.250.201 host 10.212.26.73
70 permit icmp host 203.0.113.231 host 198.51.100.9 (3 matches) <<<<<<<
80 permit icmp host 203.0.113.231 host 10.212.26.73 (42 matches)
90 permit udp any any log (2 matches)
100 permit icmp any any log (4193 matches)
110 permit ip any any (5 matches)
Router2#
在ASR1k我们能检查网守缓存条目:
PRIMARY#show platform hardware qfp active feature nat datapath gatein
Gatekeeper on
sip 203.0.113.231 vrf 0 cnt 1 ts 0x17ba3f idx 74
sip 10.203.249.226 vrf 0 cnt 0 ts 0x36bab6 idx 218
sip 10.203.249.221 vrf 0 cnt 1 ts 0x367ab4 idx 229
PRIMARY#show platform hardware qfp active feature nat datapath gateout
Gatekeeper on
sip 198.51.100.11 vrf 0 cnt 1 ts 0x36db07 idx 60
sip 10.203.249.225 vrf 0 cnt 0 ts 0x36bb7a idx 217
sip 10.203.249.222 vrf 0 cnt 1 ts 0x367b7c idx 230
解决方法/修正:
在多数环境里良好NAT关守功能工作没有导致问题。 然而,如果遇到此问题有一些个方式解决它。
解决方案#1 :
首选是升级IOS-XE到包括网守增进的版本:
CSCun06260 XE3.13网守硬化
此增进允许NAT网守缓存来源和目的地地址,以及使高速缓存大小成为可配置。 为了打开扩展模式,您需要增加高速缓存大小用以下命令。 您能也监控高速缓冲存储器发现是否需要增加大小。
PRIMARY(config)#ip nat settings gatekeeper-size 1024
PRIMARY(config)#end
扩展模式可以通过检查以下命令验证:
PRIMARY#show platform hardware qfp active feature nat datapath gatein
Gatekeeper on
sip 10.203.249.221 dip 10.203.249.222 vrf 0 ts 0x5c437 idx 631
PRIMARY#show platform hardware qfp active feature nat datapath gateout
Gatekeeper on
sip 10.203.249.225 dip 10.203.249.226 vrf 0 ts 0x5eddf idx 631
PRIMARY#show platform hardware qfp active feature nat datapath gatein active
Gatekeeper on
ext mode Size 1024, Hits 2, Miss 4, Aged 0 Added 4 Active 1
PRIMARY#show platform hardware qfp active feature nat datapath gateout active
Gatekeeper on
ext mode Size 1024, Hits 0, Miss 1, Aged 1 Added 2 Active 0
解决方案#2 :
对于没有CSCun06260的修正的版本,唯一选择是关闭关守功能。 唯一的负面影响将轻微是非NAT ED数据流的降低的性能以及在QFP的高CPU利用率。
PRIMARY(config)#no ip nat service gatekeeper
PRIMARY(config)#end
PRIMARY#PRIMARY#Sh platform hardware qfp active feature nat datapath gatein
Gatekeeper off
PRIMARY#
QFP利用率可以监控与:
show platform hardware qfp active data utilization summary
show platform hardware qfp active data utilization qfp 0
解决方案#3 :
分离通信流,以便NAT和非NAT信息包在同一个接口不到达。
摘要
介绍gatekeeper命令的NAT提高路由器的性能非NAT ED流的。 在某些条件下,当NAT的混合和非NAT信息包从同一个来源时,到达功能可能引起问题。 解决方案将使用被提高的关守功能,或者,如果那不是可能的,禁用关守功能。
参考
允许网守被关闭的软件改变:
CSCty67184 ASR1k NAT CLI -开/关的网守
CSCth23984添加cli功能启用开/关nat关守功能
NAT网守增进
CSCun06260 XE3.13网守硬化
反馈