网络地址转换(NAT)常见问题
目录
简介
本文档将解答有关网络地址转换 (NAT) 的常见问题。
通用 NAT
问:什么是NAT?
答:网络地址转换(NAT)旨在保护IP地址。这使得采用未注册 IP 地址的专用 IP 网络可以连接到 Internet。NAT 在路由器上运行,通常将两个网络连接在一起,并在数据包转发到另一个网络之前,将内部网络中的专用(非全局唯一)地址转换为合法地址。
作为此功能的一部分,NAT 可以配置为只向外界通告整个网络的一个地址。这样可以将整个内部网络有效地隐藏在该地址后面,使其更加安全。NAT 具有确保安全和保护地址的双重功能,通常在远程访问环境中实施。
问:NAT如何工作?
答:基本上,NAT允许单个设备(如路由器)充当Internet(或公共网络)和本地网络(或专用网络)之间的代理,这意味着只需一个唯一的IP地址即可代表整个计算机组,以访问其网络外的任何设备。
问:如何配置NAT?
答:要配置传统NAT,需要配置路由器(NAT外部)和路由器(NAT内部)上的至少一个接口,以及转换数据包报头(如果需要,还有负载)中IP地址的一组规则。要配置 NAT 虚拟接口 (NVI),至少需要配置一个启用了 NAT 的接口以及上面提到的一组相同的规则。
有关更多信息,请参阅思科 IOS IP 寻址服务配置指南或配置 NAT 虚拟接口。
问:Cisco IOS®软件和Cisco PIX安全设备实施NAT的主要区别是什么?
答:基于Cisco IOS软件的NAT与Cisco PIX安全设备中的NAT功能没有根本区别。主要区别包括实施中支持的流量类型不同。有关在Cisco PIX设备上配置NAT(包括支持的流量类型)的详细信息,请参阅NAT配置示例。
问:Cisco IOS NAT在哪些思科路由硬件上可用?如何订购硬件?
答:通过Cisco Feature Navigator工具,客户可以识别功能(NAT),并查找此Cisco IOS软件功能在哪个版本和硬件版本上可用。要使用此工具,请参阅思科功能导航器。
问:NAT是在路由之前还是之后发生的?
答:使用NAT处理事务的顺序取决于数据包是从内部网络传输到外部网络还是从外部网络传输到内部网络。内部到外部的转换发生在路由之后,外部到内部的转换发生在路由之前。有关详细信息,请参阅 NAT 运行顺序。
问:NAT能否部署在公共无线LAN环境中?
是的。NAT 静态 IP 支持功能为具有静态 IP 地址的用户提供支持,使这些用户能够在公共无线局域网环境中建立 IP 会话。
问:NAT是否对内部网络上的服务器执行TCP负载均衡?
是的。使用 NAT,可以在内部网络上建立一个虚拟主机,用以协调真实主机之间的负载共享。
问:我能否限制NAT转换的数量?
是的。使用“NAT 转换的速率限制”功能可以限制路由器上并发 NAT 操作的最大数量。除了支持用户更好地控制 NAT 地址的使用外,“NAT 转换的速率限制”功能还可用于限制病毒、蠕虫和拒绝服务攻击所产生的影响。
问:NAT使用的IP子网或地址如何获知或传播路由?
A.如下情况,将获知NAT创建的IP地址的路由:
内部全局地址池源自下一跳路由器的子网。
静态路由条目在下一跳路由器中配置,并在路由网络中重新分配。
当内部全局地址与本地接口匹配时,NAT 会设置一个 IP 别名和一个 ARP 条目,在这种情况下,路由器将为这些地址代理 ARP。如果不需要此行为,请使用 no-alias 关键字。
配置 NAT 池时,可以使用 add-route 选项进行自动路由注入。
问:Cisco IOS NAT支持多少个并发NAT会话?
答:NAT会话限制受路由器中可用DRAM的数量限制。每次 NAT 转换大约都会使用 DRAM 中的 312 个字节。因此,转换 10,000 次(超过该次数通常会在单个路由器上处理)大约使用 3 MB。因此,典型的路由硬件具有足够多的内存来支持成千上万次 NAT 转换。
问:使用Cisco IOS NAT时,可能会获得哪种路由性能?
答:Cisco IOS NAT支持Cisco快速转发交换、快速交换和进程交换。12.4T 版和更高版本不再支持快速切换交换路径。对于 Cat6k 平台,切换交换顺序为 Netflow(硬件切换交换路径)、CEF、过程路径。
性能取决于以下几个因素:
应用类型及其数据流类型
IP 地址是否为嵌入式
多条消息的交换与检查
要求的源端口
转换次数
当时运行的其他应用程序
硬件和处理器的类型
问:Cisco IOS NAT能否应用于子接口?
是的。源 NAT 和/或目标 NAT 之间的转换可以应用于任何具有 IP 地址的接口或子接口(包括拨号器接口)。无法使用无线虚拟接口配置 NAT。在写入 NVRAM 时,不存在无线虚拟接口。因此,在重新启动后,路由器会失去无线虚拟接口上的 NAT 配置。
问:Cisco IOS NAT能否与热备份路由器协议(HSRP)配合使用,以提供到ISP的冗余链路?
是的。NAT 确实会提供 HSRP 冗余。但是,它与 SNAT(有状态 NAT)不同。使用 HSRP 的 NAT 是一个无状态系统。发生故障时不保留当前会话。在静态 NAT 配置期间(数据包与任何静态规则配置都不匹配),系统直接发送数据包,而不进行任何转换。
问:Cisco IOS NAT是否支持帧中继接口上的入站转换?是否支持在以太网端进行出站转换?
是的。封装对 NAT 并不重要。只要接口上有 IP 地址并且接口是 NAT 内部或 NAT 外部接口,即可执行 NAT。必须有一个内部和外部接口才能让 NAT 正常工作。如果您使用 NVI,必须至少有一个启用了 NAT 的接口。请参阅如何配置 NAT?了解更多信息。
问:启用NAT的路由器能否允许某些用户使用NAT,而同一以太网接口上的其他用户继续使用自己的IP地址?
是的。这可通过使用一个访问列表来完成,该访问列表描述需要 NAT 的一组主机或网络。同一主机上的所有会话要么进行转换,要么通过路由器而不进行转换。
访问列表、扩展访问列表和路由图映射均可用于定义 IP 设备的转换规则。应该始终指定网络地址和适当的子网掩码。不应使用关键字any代替网络地址或子网掩码。使用静态 NAT 配置时,如果数据包与任何静态规则配置都不匹配,系统将直接发送数据包,而不进行任何转换。
问:当配置PAT(过载)时,每个内部全局IP地址可创建的最大转换数是多少?
答:PAT(过载)将每个全局IP地址的可用端口划分为三个范围:0-511、512-1023和1024-65535。PAT为每个UDP或TCP会话分配一个唯一的源端口。它尝试分配原始请求的相同端口值,但如果原始的源端口已经使用,它将从特定端口范围的开始端口进行扫描,以查找第一个可用端口并将其分配给对话。但 12.2S 代码库例外。12.2S 代码库使用不同的端口逻辑,并且不预留端口。
问:PAT如何工作?
答:PAT可以使用一个全局IP地址或多个地址。
使用一个 IP 地址的 PAT
条件 描述 1 NAT/PAT 检查数据流并将其与转换规则进行匹配。 2 规则与 PAT 配置相匹配。 3 如果 PAT 知晓流量类型并且该流量类型具有它将使用的“一组特定端口或协商端口”,则 PAT 会预留这些端口,而不将它们作为唯一的标识符分配。 4 如果某个没有特殊端口要求的会话尝试连接到外部网络上,则 PAT 将转换 IP 源地址并检查初始源端口(例如 433)的可用性。 注意:对于传输控制协议(TCP)和用户数据报协议(UDP),范围为:1-511, 512-1023, 1024-65535。对于Internet控制消息协议(ICMP),第一组从0开始。
5 如果请求的源端口可用,则 PAT 将分配该源端口,然后会话继续。 6 如果请求的源端口不可用,PAT 将从相关组的开始处开始搜索(对于 TCP 或 UDP 应用,从 1 开始;对于 ICMP,从 0 开始)。 7 如果有端口可用,则分配该端口,然后会话继续。 8 如果没有端口可用,则丢弃数据包。 使用多个 IP 地址的 PAT
条件 描述 1-7 前七个条件与处理单个 IP 地址的情况相同。 8 如果第一个 IP 地址的相关组中没有可用的端口,NAT 将移动到池中的下一个 IP 地址并尝试分配所请求的原始源端口。 9 如果请求的源端口可用,则 NAT 将分配该源端口,然后会话继续。 10 如果请求的源端口不可用,则 NAT 将从相关组的起始处开始搜索(对于 TCP 或 UDP 应用程序,从 1 开始;对于 ICMP,从 0 开始)。 11 如果端口可用,则系统会分配该端口,并继续会话。 12 如果没有端口可用,除非池中的另一个 IP 地址可用,否则丢弃数据包。
问:什么是NAT IP池?
答:NAT IP池是根据需要为NAT转换分配的IP地址范围。要定义池,请使用配置命令:
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]示例 1
以下示例在寻址的内部主机间将 192.168.1.0 或 192.168.2.0 网络转换为全局唯一的 10.69.233.208/28 网络:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255示例 2
以下示例的目标是定义一个虚拟地址,并在一组真实主机中分配与该地址的连接。池定义真实主机的地址。访问列表定义虚拟地址。如果不存在转换,则从目标与访问列表匹配的串行接口 0(外部接口)发送的 TCP 数据包将转换为池中的地址。
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
问:可配置NAT IP池(ip nat pool "name")的最大数量是多少?
答:在实际使用中,可配置IP池的最大数量受特定路由器中可用DRAM的数量限制。(思科建议您将池大小配置为 255。) 每个池不应超过 16 位。在 12.4(11)T 版和更高版本中,IOS 引入了 CCE(通用分类引擎)。 这将 NAT 限制为最多只能有 255 个池。在 12.2S 代码库中,没有最大池数限制。
问:在NAT池上使用路由映射与ACL有何优点?
答:路由映射保护不需要的外部用户到达内部用户/服务器。此外,它还可以根据规则将单个内部 IP 地址映射到不同的内部全局地址。有关更多信息,请参阅使用路由图映射对多个池提供 NAT 支持。
问:在NAT环境中,什么是IP地址“重叠”?
答: IP地址重叠是指两个要互连的位置都使用相同的IP地址方案的情况。这种情况很常见;在公司合并或收购时经常发生。如果没有特别的支持,这两个位置将无法彼此连接并建立会话。重叠的 IP 地址可能是分配给其他公司的公用地址、分配给其他公司的专用地址,也可能是 RFC 1918 所定义的专用地址范围中的一个。
专用 IP 地址不可路由,需要进行 NAT 转换才能与外界连接。解决方案包括拦截从外部到内部的域名系统 (DNS) 名称查询响应、设置外部地址转换,以及在将 DNS 响应转发到内部主机之前修复该响应。NAT 设备的两端都需要一个 DNS 服务器,以满足用户在两个网络之间进行连接的需求。
NAT 能够对 DNS A 和 PTR 记录的内容进行检查并执行地址转换,如在重叠网络中使用 NAT 中所述。
问:什么是静态NAT转换?
答:静态NAT转换在本地地址和全局地址之间具有一对一映射。用户也可以将静态地址转换配置为端口级,并将剩余的 IP 地址用于其他转换。这通常发生在执行端口地址转换 (PAT) 的位置。
以下示例展示了如何配置路由图映射以便对静态 NAT 执行外部到内部的转换:
ip nat inside source static 1.1.1.1 2.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 30.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
问:术语“NAT过载”是指什么;是指 PAT 吗?
是的。NAT 过载即 PAT,涉及使用由一个或多个地址组成的地址范围的池或将接口 IP 地址与端口结合使用。过载时,将可以创建完全扩展的转换。这是一个转换表条目,其中包含 IP 地址和源/目标端口信息,通常称为 PAT 或过载。
PAT(或过载)是思科 IOS NAT 的一项功能,用于将内部(内部本地)专用地址转换为一个或多个外部(内部全局,通常已注册)IP 地址。每次转换的唯一源端口号用于区分不同的会话。
问:什么是动态NAT转换?
答:在动态NAT转换中,用户可以在本地地址和全局地址之间建立动态映射。动态映射通过以下操作来完成:定义要转换的本地地址以及要从中分配全局地址的地址池或接口 IP 地址池,并将两者关联起来。
什么是ALG?
答:ALG是应用层网关(ALG)。NAT 对应用数据流中未携带源和/或目标 IP 地址的所有传输控制协议/用户数据报协议 (TCP/UDP) 流量执行转换服务。
这些协议包括 FTP、HTTP、SKINNY、H232、DNS、RAS、SIP、TFTP、telnet、archie、finger、NTP、NFS、rlogin、rsh 和 rcp。在负载中嵌入 IP 地址信息的特定协议需要支持应用层网关 (ALG)。
有关更多信息,请参阅将应用层网关与 NAT 结合使用。
问:是否可以同时使用静态和动态NAT转换构建配置?
是的。但是,同一 IP 地址不能用于 NAT 静态配置,如果在 IP 地址位于池中,则不能用于 NAT 动态配置。所有公共 IP 地址都必须唯一。请注意,如果动态池中包含静态转换中使用的全局地址,则系统不会自动排除这些相同的全局地址。必须创建动态池才能排除静态条目分配的地址。有关更多信息,请参阅同时配置静态和动态 NAT。
问:当通过NAT路由器执行traceroute时,traceroute应显示NAT全局地址,还是应该泄漏NAT本地地址?
答:外部的Traceroute应始终返回全局地址。
问:PAT如何分配端口?
答:NAT引入了其他端口功能:全范围和端口映射。
全范围允许 NAT 使用所有端口,而不考虑其默认端口范围。
端口映射允许 NAT 为特定应用保留用户定义的端口范围。
有关更多信息,请参阅用于 PAT 的用户定义的源端口范围。
从 12.4(20)T2 开始,NAT 引入了 L3/L4 端口随机化和对称端口。
使用端口随机化,NAT 可以针对源端口请求随机选择任意全局端口。
使用对称端口,NAT 可以支持终端独立。
问:IP分段和TCP分段有何区别?
A. IP分段发生在第3层(IP);TCP 分段发生在第 4 层 (TCP)。如果将大于接口最大传输单位 (MTU) 的数据包从该接口发送出去,将会发生 IP 分段。在将这些数据包从该接口发送出去时,必须将其分段或丢弃。如果在数据包的 IP 报信头中未设置“不分段 (DF)”位,系统将对数据包检分段。如果在数据包的 IP 报信头中设置了 DF 位,系统将丢弃该数据包并显示一条 ICMP 错误消息,指明下一跳 MTU 值将返回给发送者。IP 数据包的所有分段在 IP 报信头中都具有相同的标识,这样,最终接收者才能将这些分段重组为原始 IP 数据包。有关更多信息,请参阅解决 GRE 和 Ipsec 中的 IP 分段、MTU、MSS 和 PMTUD 问题。
当终端站上的应用发送数据时,将会发生 TCP 分段。应用数据将分解为 TCP 认为大小最适合发送的块。从 TCP 传递到 IP 的这一数据单位称为段。TCP 段以 IP 数据报的形式发送。之后,这些 IP 数据报在通过网络时会变成 IP 分段,并且遇到的 MTU 链路比适合它们通过的链路要小。
TCP 会先将此数据分解成 TCP 段(基于 TCP MSS 值),然后添加 TCP 报信头并将此 TCP 段传递给 IP。然后,IP 将添加一个 IP 报信头以将数据包发送到远程终端主机。如果含有 TCP 段的 IP 数据包大于 TCP 主机之间路径上传出接口的 IP MTU,则 IP 将对 IP/TCP 数据包进行分段,以便调整为合适的大小。这些 IP 数据包分段将由 IP 层在远程主机上进行重组,完整的 TCP 段(即最初发送的 TCP 段)将移交给 TCP 层。TCP 层不知道在传输过程中 IP 已对数据包进行了分段。
NAT 支持 IP 分段,但不支持 TCP 段。
问:NAT是否支持无序的IP分段和TCP分段?
答:由于ip virtual-reassembly,NAT仅支持无序的IP分段。
问:如何调试IP分段和TCP分段?
答:NAT对IP分段和TCP分段使用相同的调试CLI:debug ip nat frag。
问:是否有受支持的NAT MIB?
答:否。没有支持的NAT MIB,包括CISCO-IETF-NAT-MIB。
问:TCP超时是什么?它与NAT TCP计时器有何关系?
答:如果三次握手未完成,并且NAT看到TCP数据包,则NAT将启动60秒的计时器。三方握手完成后,NAT 会默认对 NAT 条目使用 24 小时计时器。如果终端主机发送 RESET,NAT 会将默认计时器从 24 小时更改为 60 秒。对于 FIN,NAT 在收到 FIN 和 FIN-ACK 时会将默认计时器从 24 小时更改为 60 秒。
问:我能否将NAT转换所需的时间从NAT转换表更改为超时?
是的。可以为所有条目或不同类型的 NAT 转换更改 NAT 超时值(例如,udp-timeout、dns-timeout、tcp-timeout、finrst-timeout、icmp-timeout、pptp-timeout、syn-timeout、port-timeout 和 arp-ping-timeout)。
问:如何阻止轻量级目录访问协议(LDAP)向每个LDAP应答数据包附加额外字节?
A. LDAP设置在处理Search-Res-Entry类型的消息时添加额外的字节(LDAP搜索结果)。LDAP 会将搜索结果的 10 个字节附加到每个 LDAP 应答数据包。如果这额外的 10 字节数据导致数据包超过网络中的最大传输单位 (MTU),则该数据包将被丢弃。在这种情况下,思科建议您使用 CLI 命令 no ip nat service append-ldap-search-res 禁用此 LDAP 行为,以便正常发送和接收数据包。
问:对于NAT框中的内部全局/外部本地IP地址,路由建议是什么?
答:必须在NAT配置框中为NAT-NVI等功能的内部全局IP地址指定路由。同样,还应当在 NAT 设备上指定外部本地 IP 地址的路由。在这种情况下,使用外部静态规则从内向外发送的任何数据包都需要此类路由。此时,虽然为 IG/OL 提供路由,但也应配置下一跳 IP 地址。如果缺少下一跳配置,这会被视为配置错误,并因此而出现未定义的行为。
NVI-NAT 仅出现在输出功能路径中。如果子网与 NAT-NVI 直接连接,或者在设备上配置了外部 NAT 转换规则,则在这些情况下,您需要提供一个虚拟的下一跳 IP 地址以及下一跳的关联 ARP。底层基础设施必须使用它们才能将数据包交给 NAT 进行转换。
问:Cisco IOS NAT是否支持带有“log”关键字的ACL?
答:当您为动态NAT转换配置Cisco IOS NAT时,ACL用于标识可转换的数据包。当前 NAT 体系结构不支持包含“log”关键字的 ACL。
语音 NAT
问:NAT是否支持随Cisco Unified Communications Manager(CUCM)V7一起提供的瘦客户端控制协议(SCCP)v17?
答:CUCM 7和CUCM 7的所有默认电话负载都支持SCCPv17。使用的SCCP版本由CUCM和电话注册时的最高通用版本决定。
NAT尚不支持SCCP v17。在实施对SCCP v17的NAT支持之前,必须将固件降级到8-3-5或更低版本,以便协商SCCP v16。只要CUCM6使用SCCP v16,就不会遇到任何电话负载的NAT问题。Cisco IOS当前不支持SCCP版本17。
问:NAT支持哪些CUCM /SCCP/固件加载版本?
答:NAT支持CUCM 6.x版和更早版本。这些 CUCM 版本在发布时具有支持 SCCP v15(或更早版本)的默认 8.3.x 版(或更早版本)电话固件负载。
NAT 不支持 CUCM 7.x 版或更高版本。这些 CUCM 版本在发布时具有支持 SCCP v17(或更高版本)的默认 8.4.x 版电话固件负载。
如果使用 CUCM 7.x 或更高版本,则必须在 CUCM TFTP 服务器上安装较早的固件负载,以便电话使用包含 SCCP v15 或更早版本的固件负载,从而得到 NAT 的支持。
问:RTP和RTCP的服务提供商PAT端口分配增强功能是什么?
答:服务提供商PAT RTP和RTCP端口分配增强功能可确保SIP、H.323和瘦语音呼叫。用于 RTP 流的端口号为偶数端口号,而 RTCP 流是随后的下一个奇数端口号。端口号将转换为符合 RFC-1889 的指定范围内的数字。一个具有该范围内端口号的呼叫将导致 PAT 转换为此范围内的另一个端口号。同样,范围之外端口号的 PAT 转换将不会导致转换为给定范围内的编号。
问:什么是会话发起协议(SIP),SIP数据包是否可以NAT?
答:会话发起协议(SIP)是基于ASCII的应用层控制协议,可用于在两个或多个终端之间建立、维护和终止呼叫。SIP 是 Internet 工程任务组 (IETF) 为在 IP 上实现多媒体会议而开发的备选协议。Cisco SIP 的实施使支持的 Cisco 平台能够通过 IP 网络用信号通知设置语音和多媒体呼叫。
SIP 数据包可以进行 NAT。
问:对会话边界控制器(SBC)的托管NAT穿越支持是什么?
答:Cisco IOS托管NAT穿越SBC功能使Cisco IOS NAT SIP应用级网关(ALG)路由器能够在Cisco多服务IP到IP网关上充当SBC,有助于确保IP语音(VoIP)的顺利传输)服务。
有关详细信息,请参阅配置会话边界控制器的 Cisco IOS 托管 NAT 遍历。
问:路由器内存和CPU可通过NAT处理多少个SIP、Skinny和H323呼叫?
A. NAT路由器处理的呼叫数取决于机箱中可用的内存量和CPU的处理能力。
问:NAT路由器是否支持Skinny和H323数据包的TCP分段?
答:从12.4(6)T开始,IOS-NAT支持H323的TCP分段(在12.4 Mainline中)和TCP分段(从12.4(6)T开始)。
问:在语音部署中使用NAT过载配置时,是否需要注意?
是的。使用 NAT 过载配置和语音部署时,注册消息需要通过 NAT,并且您需要创建一个关联,以便从外部向内部发送的数据到达该内部设备。内部设备定期发送此注册,NAT 根据信令消息中的信息更新此针孔/关联。
问:在语音部署中发出clear ip nat trans *命令或clear ip nat trans forced 命令是否存在任何已知问题?
答:在语音部署中,当您发出clear ip nat trans *命令或clear ip nat trans forced 命令并且具有动态NAT时,您将清除pin-hole/association,并且必须等待从内部设备进行下一个注册周期才能重新建立此功能。思科建议您不要在语音部署中使用这些清除命令。
问:NAT是否支持语音共置解决方案?
答:否。当前不支持共置解决方案。以下使用 NAT 的部署(在同一台设备上)被视为联合定位解决方案:CME/DSP-Farm/SCCP/H323。
问:NVI是否支持Skinny ALG、H323 ALG和TCP SIP ALG?
答:否。请注意,UDP SIP ALG(大多数部署使用)不受影响。
NAT 与 VRF/MPLS
问:NAT路由器是否支持NAT在VRF中使用与在全局地址空间中使用NAT相同的地址空间?目前,我收到了以下警告:“%类似静态条目(1.1.1.1 —> 22.2.2.2)已存在”,当我尝试配置以下内容时:
72UUT(config)#ip nat inside
source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static
1.1.1.1 22.2.2.2 vrf RED
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED
答:传统NAT支持通过不同VRF进行重叠地址配置。对于特定 VRF 上的流量,您必须使用 match-in-vrf 选项在规则中配置重叠,并在同一 VRF 中设置 ip nat inside/outside。不支持全局路由表重叠。
对于不同的 VRF,必须为重叠 VRF 静态 NAT 条目添加 match-in-vrf 关键字。但是,无法重叠全局和 VRF NAT 地址。
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
问:传统NAT是否支持VRF-Lite(从VRF到不同VRF的NAT转换)?
答:不能。您必须使用NVI在不同VRF之间进行NAT处理。可以使用传统 NAT 对 VRF 到全局接口进行 NAT 或者对同一 VRF 中的接口进行 NAT。
NAT NVI
问:什么是NAT NVI?
A. NVI代表NAT虚拟接口。它允许 NAT 在两个不同的 VRF 之间进行转换。此解决方案应当替代单接口网络地址转换。
问:在全局接口和VRF接口之间进行NAT时,是否应使用NAT NVI?
答:思科建议您使用传统NAT进行VRF到全局NAT(ip nat inside/out)以及同一VRF中的接口之间。NVI 用于不同 VRF 之间的 NAT。
问:是否支持NAT-NVI的TCP分段?
答:不支持NAT-NVI的TCP分段。
问:NVI是否支持Skinny ALG、H323 ALG和TCP SIP ALG?
答:否。请注意,UDP SIP ALG(大多数部署使用)不受影响。
问:SNAT是否支持TCP分段?
答:SNAT不支持任何TCP ALG(例如SIP、SKINNY、H323或DNS)。 因此,不支持 TCP 分段。但是,支持 UDP SIP 和 DNS。
SNAT
问:什么是状态NAT(SNAT)?
答:SNAT允许两个或多个网络地址转换器充当转换组。转换组中的一个成员负责处理需要转换 IP 地址信息的流量。此外,它还会在出现活动流时通知备份转换器。然后,备份转换器可以使用活动转换器中的信息来准备重复的转换表条目。因此,如果活动转换器受到严重故障的阻碍,流量可以快速切换到备份转换器。由于使用相同的网络地址转换并且之前已对这些转换的状态进行了定义,因此,流量可以继续流动。
问:SNAT是否支持TCP分段?
答:SNAT不支持任何TCP ALG(例如SIP、SKINNY、H323或DNS)。 因此,不支持 TCP 分段。但是,支持 UDP SIP 和 DNS。
问:SNAT是否支持非对称路由?
答:非对称路由通过启用为队列来支持NAT。默认情况下,“排队时”处于启用状态。不过,从 12.4(24)T 开始,不再支持“排队时”。客户必须确保正确路由数据包,并增加适当的延迟,以使非对称路由正常工作。
NAT-PT(v6 到 v4)
问:什么是NAT-PT?
答:NAT-PT是NAT的v4到v6转换。协议转换(NAT-PT)是IPv6-IPv4转换机制,如RFC 2765
和RFC 2766
和
问:思科快速转发(CEF)路径是否支持NAT-PT?
答:CEF路径不支持NAT-PT。
问:NAT-PT支持哪些ALG?
答:NAT-PT支持TFTP/FTP和DNS。NAT-PT 不支持语音和 SNAT。
问:ASR 1004是否支持NAT-PT?
答:聚合服务路由器(ASR)使用NAT64。
与平台相关的思科 7300/7600/6k
问:SX系列上的Catalyst 6500上是否提供状态NAT(SNAT)?
答:SX系列的Catalyst 6500上不提供SNAT。
问:6k的硬件是否支持VRF感知NAT?
答:此平台的硬件不支持VRF感知NAT。
问:7600和Cat6000是否支持VRF感知NAT?
答:在65xx/76xx平台上,不支持VRF感知NAT,并且CLI被阻止。
注意:您可以通过利用在虚拟上下文透明模式下运行的FWSM来实施设计。
与平台相关的思科 850
问:Cisco 850是否在版本12.4T中支持Skinny NAT ALG?
答:不。850系列不支持12.4T中的Skinny NAT ALG。
NAT 部署
问:如何实施NAT?
答:NAT允许使用未注册IP地址的私有IP网际网络连接到Internet。在将数据包转发到另一个网络之前,NAT 将内部网络中的私有 (RFC1918) 地址转换为合法的可路由地址。
问:如何使用语音实施NAT?
答:对语音功能的NAT支持允许通过配置了网络地址转换(NAT)的路由器的SIP嵌入消息转换回数据包。将应用层网关 (ALG) 与 NAT 结合使用可转换语音数据包。
问:如何将NAT与MPLS VPN集成?
答:NAT与MPLS VPN的集成功能允许在单个设备上配置多个MPLS VPN以协同工作。NAT 可以区分其接收的 IP 流量来自哪个 MPLS VPN,即使多个 MPLS VPN 都使用相同的 IP 寻址方案也是如此。利用这一增强功能,多个 MPLS VPN 客户可以在共享服务的同时确保每个 MPLS VPN 彼此完全独立。
问:NAT静态映射是否支持HSRP以实现高可用性?
A.当为配置了网络地址转换(NAT)静态映射且由路由器拥有的地址触发地址解析协议(ARP)查询时,NAT会在ARP指向的接口上以BIA MAC地址作出响应。两个路由器分别充当 HSRP 活动路由器和备用路由器。必须启用并配置它们的 NAT 内部接口才能属于某个组。
问:如何实施NAT NVI?
答:NAT虚拟接口(NVI)功能消除了将接口配置为NAT内部或NAT外部的要求。
问:如何使用NAT实施负载均衡?
答:NAT可以执行两种负载均衡:您可以对一组服务器进行入站负载均衡,以便在各服务器上分配负载,也可以通过两个或多个 ISP 对互联网上的用户流量进行负载均衡。
有关出站负载均衡的更多信息,请参阅两个 ISP 连接的 IOS NAT 负载均衡。
问:如何与IPSec一起实施NAT?
答:通过NAT和IPSec NAT透明性支持IP安全(IPSec)封装安全负载(ESP)。
利用“通过 NAT 的 IPSec ESP”功能,可以借助在过载或端口地址转换 (PAT) 模式下配置的思科 IOS NAT 设备支持多个并发 IPSec ESP 隧道或连接。
IPSec NAT 透明功能解决了 NAT 与 IPSec 之间的许多已知不兼容问题,可以支持 IPSec 流量通过网络中的 NAT 或 PAT 点。
问:如何实施NAT-PT?
答:NAT-PT(网络地址转换 — 协议转换)是IPv6-IPv4转换机制,如RFC 2765
问:如何实施组播NAT?
答:可以对组播流的源IP进行NAT。在对组播执行动态 NAT 时不能使用路由图映射,因此,仅支持访问列表。
有关更多信息,请参阅组播 NAT 在思科路由器上如何工作。目标组播组使用组播服务反射解决方案进行 NAT。
问:如何实施有状态NAT(SNAT)?
答:SNAT支持动态映射NAT会话的连续服务。静态定义的会话无需 SNAT 即可获得冗余带来的益处。如果缺少 SNAT,则使用动态 NAT 映射的会话将在发生严重故障时中断,并且必须重新建立。系统仅支持最低的 SNAT 配置。为了根据当前的限制验证设计,未来的部署应当仅在与思科客户团队进行沟通后再执行。
建议在以下情况下使用 SNAT:
由于与 HSRP 相比,主/备份模式缺少一些功能,因此不建议此模式。
故障切换场景以及使用 2 个路由器的设置。也就是说,如果一个路由器崩溃,另一个路由器可以无缝接管。(SNAT 架构无法用来处理接口震荡问题。)
支持对称路由场景。只有在应答数据包中的延迟大于 2 个 SNAT 路由器之间交换 SNAT 消息的延迟时,才能处理非对称路由。
目前,SNAT 架构无法用来处理稳健性问题。因此,以下测试应该不会成功:
有流量时,清除 NAT 条目。
有流量时,更改接口参数(如 IP address change、shut/no-shut 等)。
SNAT 特定的 clear 或 show 命令应当不会正常执行,也不推荐使用。
与 SNAT 相关的部分 clear 和 show 命令如下所示:
clear ip snat sessions * clear ip snat sessionsclear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer> 如果用户要清除条目,可以使用 clear ip nat trans forced 或 clear ip nat trans * 命令。
如果用户要查看条目,可以使用 show ip nat translation、show ip nat translations verbose 和 show ip nat stats 命令。如果已配置内部服务,它也会显示 SNAT 特定的信息。
建议不要清除备份路由器上的 NAT 转换。始终清除主 SNAT 路由器上的 NAT 条目。
SNAT 不是 HA;因此,两个路由器上的配置应该相同。两个路由器应该运行相同的映像。此外,还要确保两个 SNAT 路由器使用相同的基础平台。
NAT 最佳做法
问:是否有任何NAT最佳实践?
是的。NAT 最佳做法如下所示:
同时使用动态 NAT 和静态 NAT 时,为动态 NAT 设置规则的 ACL 应排除静态本地主机,这样便不会出现重叠。
将 NAT 的 ACL 与 permit ip any any 配合使用时要谨慎,因为您会获得不可预知的结果。在 12.4(20)T 之后,NAT 将转换在本地生成的 HSRP 和路由协议数据包(前提是它们从外部接口发送出去)以及与 NAT 规则匹配的本地加密数据包。
如果将重叠网络用于 NAT,请使用 match-in-vrf 关键字。
对于不同的 VRF,必须为重叠 VRF 静态 NAT 条目添加 match-in-vrf 关键字,但不能重叠全局和 VRF NAT 地址。
Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf除非使用 match-in-vrf 关键字,否则不能在不同的 VRF 中使用地址范围相同的 NAT 池。
例如:
ip nat pool poolA 171.1.1.1 171.1.1.10 prefix-length 24 ip nat pool poolB 171.1.1.1 171.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrf注意:尽管CLI配置有效,但没有match-in-vrf关键字,则不支持配置。
使用 NAT 接口过载部署 ISP 负载均衡时,最佳做法是通过 ACL 匹配将路由图映射用于接口匹配。
使用池映射时,不应使用两个不同的映射(ACL 或路由图映射)来共享相同的 NAT 池地址。
在故障切换场景中的两个不同路由器上部署相同的 NAT 规则时,应使用 HSRP 冗余。
不要在静态 NAT 和动态池中定义相同的内部全局地址。否则,将会导致意外的结果。
反馈