CCNA 学习指南-640-802
测试并诊断 NAT 故障
Cisco 的 NAT 给你一些重要的能力—并且不需要费太多的力气,因为配置真 的比较简单。但是我们都知道,没有什么事是完美的,因此为了防止出现错误, 你需要对下列可能的障碍做出判断:
? 检查动态地址池—它们是否由正确的地址范围组成 ? 检查动态地址池是否有重叠
? 检查被用来静态映射的地址与动态地址池中的地址是否重叠 ? 确定你的访问列表指定正确的转换地址
? 确信列表中该出现的地址没有遗漏,不该出现的地址没有被加入 ? 确信内部和外部接口都已经恰当地界定
需要记住的一点是,在配置新的 NAT 时,最常见的问题和 NAT 没有特别的 关系—它通常涉及到路由选择的问题。因此,确信那是因为你正在改变包中的源 和目的地址,路由器在转换后才知道如何处理新的地址!
想像 NAT 表可以控制没有限制数量的映射。实际上,无论如何,这涉及到 类似内存和 CPU 或是可用地址或端口的边界设置等,实事上,正是这些因素导 致在条目数量上有一些限制。每个 NAT 映射占用大约 160 字节的内存,并且有 时候—但是不是很经常—条目的数景由于性能或是因为策略约束而必须被限制。 对于此类情况,需要使用 ip nat translation max-entries 命令来帮助。
另一个便于用来排除故障的命令是 show ip nat statistics。执行此命令你会得 到 NAT 配置的汇总情况,并且对活动的转换类型进行计数。同时,会把计数结 果与存在的映射匹配,对于没有的—后来会为它尝试创建一个映射。这个命令也 会显示超过期限的转换。
如果你想检查动态地址池,包括它们的类型、可用地址的总数、已经分配了 多少地址和失败了多少,加上已经转换的个数,可使用 pool (refcount)命令。
你知道可以手工从 NAT 表中清除动态 NAT 条目吗?这样做非常方便,如果 你需要去除一个特定的无用条目,就不用坐着等待其过期。手工清除在清除整个
NAT 表重新配置地址池的时候非常有用。 你同样也需要知道,如果地址池中的地
址已经被映射,Cisco IOS 软件便不
允许你更改或删除 NAT 表中的地址池。命令 clear ip nat translations 用来清除条
广东韶关学院 王为群整理
788
CCNA 学习指南-640-802
目—经由全局或本地地址,或是通过 TCP 和 UDP 转换(包括端口)指定一个单独 条目,或者输入星号(*)删除整个条目表。但是要知道,如果你这么做了,仅动 态条目被删除,因为此命令不删除静态条目。
哦,还有更多—对任何内部设备有响应的任何外部设备的数据包目的地址就 是通常所说的 IG 地址。这意味必须在 NAT 表中保存初始化映射,这样,所有从 特定连接到达的数据包才能一直被转换。在 NAT 表中保存条目也将减少相同的 机器发送数据包到相同的外部目标时进行重复查找的次数。
这就是我要表达的意思:当一个条目第一次被放入 NAT 表中,计时器开始 计时,计时器持续的时间就是转换的有效时间。每次包经过路由器被特定条目转 换后,计时器被重置。如果计时器计时期满,条目将从 NAT 表中删除,并且动 态分配的地址将回到地址池中等待再次分配。Cisco 默认转换超时为 86400 秒(24 小时),但是可以使用 ip nat translation timeout 命令对此进行更改。
在我们继续介绍配置内容之前,实际使用一下刚刚讲到的命令,通过一些
NAT 示例看看你是否可以根据需求规划配置。正式开始,观察图 11.4 并且问自 己两个问题:此例中在哪里实施 NAT,配置何种类型的 NAT?
图 11.4 NAT 示例
在图 11.4 中,NAT 配置被放在公司路由器上,并且使用动态 NAT 复用(PAT) 配置。在这个 NAT 示例中,使用了何种类型 NAT?
ip nat pool todd-nat 170.168.10.10 170.168.10.20 netmask 255.255.255.0 上面的命令使用动态 NAT。命令中 pool 给出了答案,另外在地址池中有不 止一个地址,也意味着我们可能不使用 PAT 配置。在下一个 NAT 示例中,我们 在图 11.5 中观察,测试是否可以规划出所需的配置。
广东韶关学院 王为群整理
789
CCNA 学习指南-640-802
图 11.5 的示例中展示了需要配置 NAT 的边界路由器,并且允许使用 6 个公
网 IP 地址,192.1.2.109~192.1.2.114。然而,在内部网络中,我们拥有 63 台主机, 使用的私有地址为 192.168.10.65~192.168.10.126。在边界路由器上应该使用什么 NAT 配置呢?
图 11.5 另一个 NAT 示例 这里两个不同的
答案都可以工作,但是下面的将是我的第一选择:
ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248
access-list 1 permit 192.168.10.64 0.0.0.63 ip nat inside source list 1 pool Todd overload
命令 ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248 设置地 址池的名字为 Todd,并且为 NAT 使用地址 192.1.2.109 创建了一个动态地址池。 为了替换 netmask 命令,你可以使用 prefix-length 29 语句(我知道你在想什么, 但是不行,不能在路由器的接口上也这么做)。第二个答案将与第一个具有相同 的结果,也仅使用 192.1.2.109 作为你的内部全局地址,但是你可以这么输入并 使它工作:ip nat pool Todd192.1.2.109 192.1.2.114 netmask 255.255.255.248。这么 做是在浪费,因为第二个到第六个地址只有在 TCP 端口号冲突的情况下才会被 使用。
如果你不理解设置 access-list 的第二行命令,请查看第 10 章“安全”。 命令 ip nat inside source list 1 pool Todd overload 通过 overload 命令使用端口 地址转换(PAT)设置了动态地址池。
但是要根据适当的接口确定添加 ip nat inside 和 ip nat outside 语句。
广东韶关学院 王为群整理
790
CCNA 学习指南-640-802
在网络中配置 NAT
好的,现在继续开始配置,并且使用 64.1.1.4/30 网络连接 Corp 路由器和 R3 路由器,使用 64.1.l.8/30 网络把 LAN F0/0 连接至 R3 路由器。在 NAT 开始工作 后,通过本章,你将学会如何使用验证命令。
网络如图 11.6 所示,在表 11.3 中列出了正在使用的内部本地地址。
图 11.6 用新地址的互联网络
我知道—图 11.6 展示了我们曾使用的相同的网络,但是这里有一些不同。在
Corp 路由器和 R3 路由器之间的连接现在使用了全局 PAT 地址。它们不能通信, 因为其他的 Corp 连接使用私有 IP 地址。(在真实的环境中,ISP 将会阻塞这些私 有 IP 地址,对吗?所以让我们使它们工作吧!)记住,当使用 NAT 时,我们称
它们为“内部本地”,意思是在转换之前,我们的 ISP 阻塞私有 IP 地址范围。我 们将怎么办?我们首先需要在 Corp 路由器上配置 NAT,让我们开始吧。
广东韶关学院 王为群整理
791
CCNA 学习指南-640-802
表 11.3 IP 网络中的网络地址
路由器 Corp Corp Corp Corp Corp Corp R1 R1 R1 R1 R1 R2 R2 R2 R2 R3 R3 R3 R3 871W 871W 871W 1242AP 1242AP 网络地址 接口 地址 10.1.1.0 10.1.2.0 10.1.3.0 10.1.4.0 64.1.1.4/30 F0/1 S0/0/0 S0/0/1(DCE) S0/1/0 S0/2/0 S0/0/0 (DCE) S0/0/1 F0/0 F0/1 S0/2/0 (DCE) D0/3/0 10.1.2.0 10.1.3.0 10.1.6.0 10.1.7.0 10.1.1.1 10.1.2.1 10.1.3.1 10.1.4.1 64.1.1.5/30 10.1.2.2 10.1.3.2 10.1.6.1 10.1.7.1 10.1.4.2 10.1.8.1 10.1.9.1 64.1.1.6/30 64.1.1.9/30 10.1.11.1 10.1.11.2 10.1.12.1 10.1.1.2 10.1.4.0 10.1.8.0 10.1.9.0 64.1.1.4/30 64.1.1.8/30 10.1.11 F0/0 S0/0/1 (DCE) F0/0 F0/1 Vlan 1 Dot11radio0 BVI 1 10.1.11.0 10.1.12.0 10.1.1.0
现在我们都知道,我们需要所有连接到 Corp 路由器的网络可以和所有连接 到使用 64.1.1.5/30 新全局地址的 R3 路由器的网络进行通信,对吗?你点头认为 是—好的!我们开始吧:
Corp#config t
Corp(config)#ip nat pool Todd 64.1.1.5 64.1.1.5 net 255.255.255.252 Corp(config)#access-list 1 permit 10.1.0.0 0.0.255.255 Corp(config)#ip nat inside source list 1 pool Todd overload 在添加接口配置之前,注意我使用 Corp 路由器的外部接口的 IP 地址 64.1.1.5 作为地址池的开始和结束地址。我这么做是因为,使用 PAT 时它可以很好地工
广东韶关学院 王为群整理
792