检验NAT的运行和基本的NAT故障排除Word下载.docx
- 文档编号:20627331
- 上传时间:2023-01-24
- 格式:DOCX
- 页数:11
- 大小:22.81KB
检验NAT的运行和基本的NAT故障排除Word下载.docx
《检验NAT的运行和基本的NAT故障排除Word下载.docx》由会员分享,可在线阅读,更多相关《检验NAT的运行和基本的NAT故障排除Word下载.docx(11页珍藏版)》请在冰豆网上搜索。
我们还将向您说明如何执行基本的NAT故障排除以及如何避免NAT故障排除中的常见问题。
开始之前
规则
关于规则资料的更多信息,请参阅Cisco技术提示规则。
前提条件
本文没有特殊的前提条件。
使用的组件
本文不限于任何特定版本的软件和硬件。
本文所包含的信息基于特定试验室环境中的设备。
本文使用的所有设备都采用原始(缺省)配置。
如果您在正在运行的网络中进行操作,请确保您在使用之前了解所有命令的潜在影响。
如何排除NAT
在试图确定IP连接问题的原因时,排除NAT很有帮助。
采取以下步骤以验证NAT是否在正常运行:
1.根据配置,明确定义NAT要完成的任务。
这时您可以确定该配置是否有问题。
为了帮助配置NAT,请参阅配置网络地址转换:
入门指南。
2.检验转换表中是否有正确转换。
3.使用show
和debug命令来检验是否正在进行转换。
4.详细观察包的处理过程,并检验路由器是否有传输包需要的正确路由信息。
以下是一些问题实例,在这里,我们使用上述步骤来帮助确定问题的原因。
可以ping通一台路由器却不能ping通另一台路由器
在下面的网络图中,我们发现以下症状:
Router4可以ping通Router5(172.16.6.5),但却不能ping通Router7(172.16.11.7)。
所有路由器都没有运行路由协议,而且Router4将Router6当作自己的缺省网关。
采用以下方式配置Router6的NAT:
Router6
interfaceEthernet0
ipaddress172.16.6.6255.255.255.0
ipdirected-broadcast
ipnatoutside
media-type10BaseT
!
interfaceEthernet1
ipaddress10.10.10.6255.255.255.0
ipnatinside
interfaceSerial2.7point-to-point
ipaddress172.16.11.6255.255.255.0
frame-relayinterface-dlci101
ipnatpooltest172.16.11.70172.16.11.71prefix-length24
ipnatinsidesourcelist7pooltest
ipnatinsidesourcestatic10.10.10.4172.16.6.14
access-list7permit10.10.50.4
access-list7permit10.10.60.4
access-list7permit10.10.70.4
首先让我们确定NAT是否正常运行。
我们从配置中可以知道,Router4的IP地址(10.10.10.4)被假定为静态地转换成172.16.6.14。
通过在Router6上使用showipnattranslation命令,我们可以检验转换表中是否存在该转换。
router-6#showipnattranslation
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
---172.16.6.1410.10.10.4------
现在,我们可以确定在Router4发出IP业务时在进行转换。
我们可以在Router6上采用两种方式来确定这一点:
运行NATdebug命令或者利用showipnatstatistics命令来监控NAT的统计信息。
由于debug
命令总是用作最终手段,因此我们将以show命令开始。
这里的目的是监控计数器,以便查看它是否随着我们从Router4发送业务而逐渐增加。
每一次转换表中的转换被用于转换一个地址时,计数器就会增加。
我们首先清除统计信息,然后显示统计信息,试着从Router4上ping通Router7,然后再显示统计信息。
router-6#clearipnatstatistics
router-6#
router-6#showipnatstatistics
Totalactivetranslations:
1(1static,0dynamic;
0extended)
Outsideinterfaces:
Ethernet0,Serial2.7
Insideinterfaces:
Ethernet1
Hits:
0Misses:
0
Expiredtranslations:
Dynamicmappings:
--InsideSource
access-list7pooltestrefcount0
pooltest:
netmask255.255.255.0
start172.16.11.70end172.16.11.71
typegeneric,totaladdresses2,allocated0(0%),misses0
router-6#
在Router4上发出ping172.16.11.7命令之后,Router6上的NAT统计信息显示如下:
router-6#showipnatstatistics
5Misses:
我们可以从show
命令中发现命中数增加5。
在每次从Cisco路由器成功完成一次ping操作时,命中数应该增加10。
源路由器(Router4)发送的5个互联网控制消息协议(ICMP)回波应该被转换,而且来自目的地路由器(Router7)的5个回送应答包也应该被转换,总共有10个命中包。
5个丢失的命中包很可能是由回送应答未被转换或者Router7未发送回送应答造成的。
让我们转向Router7,看看我们是否可以发现一些Router7不向Router4发送回送应答包的原因。
让我们首先观察NAT如何对包进行处理。
Router4正在发送ICMP回波包,其源地址为10.10.10.4,目的地地址为172.16.11.7。
完成NAT之后,Router7接收到的包的源地址为172.16.6.14,目的地地址为172.16.11.7。
Router7需要对172.16.6.14作出应答,而由于172.16.6.14没有直接连接到Router7,因此,它需要网络的一个路由以便作出响应。
让我们检查Router7的路由列表,以便检验是否存在该路由。
router-7#showiproute
Codes:
C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP
i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea
*-candidatedefault,U-per-userstaticroute,o-ODR
P-periodicdownloadedstaticroute
Gatewayoflastresortisnotset
172.16.0.0/24issubnetted,4subnets
C172.16.12.0isdirectlyconnected,Serial0.8
C172.16.9.0isdirectlyconnected,Serial0.5
C172.16.11.0isdirectlyconnected,Serial0.6
C172.16.5.0isdirectlyconnected,Ethernet0
我们发现Router7的路由表没有172.16.6.14的路由。
只要我们添加该路由,ping操作就可以正常进行。
问题摘要
我们首先定义NAT要完成的任务。
接下来,我们检验转换表中有静态NAT条目而且是正确的。
我们通过监控NAT的统计信息来检验是否真正在进行转换。
我们在那里发现一个问题,使得我们检查Router7上的路由信息。
我们发现Router7需要一个到Router4的内部全局地址的路由。
请注意,在这种简单的试验环境中,用showipnatstatistics命令来监控NAT的统计信息很有用。
但是,在进行多个转换的更复杂NAT环境中,该show命令不再有用。
在这种情况下,可能需要在路由器上运行debugs
命令。
下一种情况的问题说明了debug
命令的使用。
外部网络设备不能与内部路由器通信
I在这种情况下,Router4既能ping通Router5,也能ping通Router7,但是10.10.50.0网络上的设备却不能与Router5或Router7通信(我们在测试实验室中通过从IP地址10.10.50.4的环回接口发出ping信号来模拟这种情况)。
让我们查看其网络图:
在这种情况下,Router4既能ping通Router5,也能ping通Router7,但是10.10.50.0网络上的设备却不能与Router5或Router7通信(我们在测试实验室中通过从IP地址10.10.50.4的环回接口发出ping信号来模拟这种情况)。
使用showiproute命令,我们发现Router5的路由表确实列有172.16.11.0:
router-5#showiproute
C172.16.9.0isdirectlyconnected,Serial1
S172.16.11.0[1/0]via172.16.6.6
C172.16.6.0isdirectlyconnected,Ethernet0
C172.16.2.0isdirectlyconnected,Serial0
使用相同的命令,我们发现Router7路由表将172.16.11.0列为直接连接的子网:
172.16.0.0/24issubnetted,5subnets
C172.16.5.0isdirectlyconnected,Ethernet0
S172.16.6.0[1/0]via172.16.11.6
我们现在已经清楚地说明了NAT要做的内容,我们需要检验它是否正常运行。
我们以检查NAT转换表并检验预期的转换是否在正在开始。
因为我们所关心的转换将被动态创建,因此,我们首先必须从相应地址发送IP业务。
在发送一个从10.10.50.4到172.16.11.7的ping信号之后,Router6的转换表显示如下:
---172.16.11.7010.10.50.4------
由于转换表中存在预期的转换,因此,我们知道ICMP回送包正在得到适当转换,但是回送应答包又如何呢?
如上所述,我们可以监控NAT的统计信息,但是这在复杂的环境中却不是很有用。
另一种方法是在NAT路由器(Router6)上进行NAT调试。
本例中,我们将在Router6上使用debugipnat命令,同时发送一个从10.10.50.4到172.16.11.7的ping信号。
debug结果如下:
注:
?
/B>
在路由器上运行任何debug命令时,都有可能使路由器过载并导致该路由器不能运行。
请一定非常谨慎地使用,如果可能的话,没有Cisco技术支援中心(TAC)工程师的指导,不要在关键的生产路由器上运行debug命令。
router-6#showlog
Sysloglogging:
enabled(0messagesdropped,0flushes,0overruns)
Consolelogging:
leveldebugging,39messageslogged
Monitorlogging:
leveldebugging,0messageslogged
Bufferlogging:
Traplogging:
levelinformational,33messagelineslogged
LogBuffer(4096bytes):
05:
32:
23:
NAT:
s=10.10.50.4->
172.16.11.70,d=172.16.11.7[70]
NAT*:
s=172.16.11.7,d=172.16.11.70->
10.10.50.4[70]
25:
172.16.11.70,d=172.16.11.7[71]
10.10.50.4[71]
27:
172.16.11.70,d=172.16.11.7[72]
10.10.50.4[72]
29:
172.16.11.70,d=172.16.11.7[73]
10.10.50.4[73]
31:
172.16.11.70,d=172.16.11.7[74]
10.10.50.4[74]
正如我们从以上debug
命令输出所见,第一行显示源地址10.10.50.4正在被转换成172.16.11.70。
第二行显示目的地地址172.16.11.70正在被转换成10.10.50.4。
整个debug命令执行过程的其余部分会重复这一情况。
这告诉我们Router6正在两个方向上转换包。
我们现在更加详细准确地观察正在发生的情况。
Router4发送一个从10.10.50.4到172.16.11.7的包。
Router6对该包进行NAT并转发一个源地址为172.16.11.70、目的地地址为172.16.11.7的包。
Router7发送一个源为172.16.11.7、目的地为172.16.11.70的应答。
Router6对该包进行NAT,产生一个源地址为172.16.11.7、目的地地址为10.10.50.4.的包。
在这时,Router6应该根据其路由表中的信息将此包路由到10.10.50.4。
我们需要使用
showiproute命令来确认Router6在路由表中有必需的路由。
router-6#showiproute
Gatewayo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 检验 NAT 运行 基本 故障 排除