15 元
下载资源

检验NAT的运行和基本的NAT故障排除

上传人:m**** 文档编号:186926664 上传时间:2023-02-10 格式:DOCX 页数:10 大小:22.93KB
返回 下载 相关 举报
检验NAT的运行和基本的NAT故障排除_第1页
第1页 / 共10页
检验NAT的运行和基本的NAT故障排除_第2页
第2页 / 共10页
检验NAT的运行和基本的NAT故障排除_第3页
第3页 / 共10页
点击查看更多>>
资源描述
检验NAT的运行和基本的NAT故障排除目录介绍开始之前规则前提条件使用的组件如何排除NAT问题实例:可以ping通一台路由器却不能ping通另一台路由器问题总结问题实例:外部网络设备不能与内部路由器通信问题摘要故障排除检验表未在转换表中安装转换未使用正确的转换条目NAT运行正常,但是仍有连接问题结论相关信息介绍在 NAT 环境中出现 IP 连接问题时,通常很难确定问题的原因。事实上在存在潜在问题的时候,常常错误 地归咎于NAT。本文说明如何使用Cisco路由器上现有的工具来验证NAT的运行。我们还将向您说明如何 执行基本的 NAT 故障排除以及如何避免 NAT 故障排除中的常见问题。开始之前规则关于规则资料的更多信息,请参阅Cisco技术提示规则前提条件本文没有特殊的前提条件。使用的组件本文不限于任何特定版本的软件和硬件。本文所包含的信息基于特定试验室环境中的设备。本文使用的所有设备都采用原始(缺省)配置。如果您在正在运行的网络中进行操作,请确保您在使用之前了解所有命令的潜在影响。如何排除NAT在试图确定IP连接问题的原因时,排除NAT很有帮助。采取以下步骤以验证NAT是否在正常运行:1. 根据配置,明确定义NAT要完成的任务。这时您可以确定该配置是否有问题。为了帮助配置NAT,请参阅配置网络地址转换:入门指南2. 检验转换表中是否有正确转换。3. 使用show和debug命令来检验是否正在进行转换。4. 详细观察包的处理过程,并检验路由器是否有传输包需要的正确路由信息。以下是一些问题实例,在这里,我们使用上述步骤来帮助确定问题的原因。问题实例:可以ping通一台路由器却不能ping通另一台路由器在下面的网络图中,我们发现以下症状:Router 4可以ping通Router 5 (172.16.6.5),但却不能ping通 Router 7 (172.16.11.7)。所有路由器都没有运行路由协议,而且Router 4将Router 6当作自己的缺省网关。采用以下方式配置Router 6 的 NAT:Router 6interface EthernetOip address 172.16.6.6 255.255.255.0ip directedbroadcastip nat outsidemediatype lOBaseT!interface Ethernetlip address 10.10.10.6 255.255.255.0ip nat insidemedia-type 10BaseT!interface Serial2.7 point-to-pointip address 172.16.11.6 255.255.255.0ip nat outside frame-relay interface-dlci 101 !ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24ip nat inside source list 7 pool testip nat inside source static 10.10.10.4172.16.6.14 !access-lis t 7 perm it 10.10.50.4access-lis t 7 perm it 10.10.60.4 access-lis t 7 perm it 10.10.70.4首先让我们确定NAT是否正常运行。我们从配置中可以知道,Router 4的IP地址(10.10.10.4 )被假定 为静态地转换成172.16.6.14。通过在Router 6上使用show ip nat t:ranslation命令,我们可以检验 转换表中是否存在该转换。router-6#show ip nat translationPro Inside globalInside localOutside localOutsideglobal- 172.16.6.1410.10.10.4现在,我们可以确定在Router 4发出IP业务时在进行转换。我们可以在Router 6上采用两种方式来确 定这一点:运行NAT debug命令或者利用show ip nat statistics命令来监控NAT的统计信息。由于 debug命令总是用作最终手段,因此我们将以show命令开始。这里的目的是监控计数器,以便查看它是否随着我们从Router 4发送业务而逐渐增加。每一次转换表中 的转换被用于转换一个地址时,计数器就会增加。我们首先清除统计信息,然后显示统计信息,试着从 Router 4 上 ping通Router 7,然后再显示统计信息。router-6#clear ip nat statisticsrouter-6#router-6#show ip nat statisticsTotal active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces:Ethernet0, Serial2.7Inside interfaces:Ethernet1Hits: 0 Misses: 0Expired translations: 0Dynamic mappings:- Inside Sourceaccess-list 7 pool test refcount 0 pool test: netmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated 0 (0%), misses 0 router-6#在Router 4上发出ping 172.16.11.7命令之后,Router 6上的NAT统计信息显示如下:router-6#show ip nat statisticsTotal active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces:Ethernet0, Serial2.7Inside interfaces:Ethernet1Hits: 5 Misses: 0Expired translations: 0Dynamic mappings:- Inside Sourceaccess-list 7 pool test refcount 0 pool test: netmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated 0 (0%), misses 0我们可以从show命令中发现命中数增加5。在每次从Cisco路由器成功完成一次ping操作时,命中数 应该增加10。源路由器(Router 4)发送的5个互联网控制消息协议(ICMP)回波应该被转换,而且来 自目的地路由器(Router 7)的5个回送应答包也应该被转换,总共有10个命中包。5个丢失的命中包 很可能是由回送应答未被转换或者Router 7未发送回送应答造成的。让我们转向Router 7,看看我们是否可以发现一些Router 7不向Router 4发送回送应答包的原因。让 我们首先观察NAT如何对包进行处理。Router 4正在发送ICMP回波包,其源地址为10.10.10.4,目的地 地址为172.16.11.7。完成NAT之后,Router 7接收到的包的源地址为172.16.6.14,目的地地址为 172.16.11.7。Router 7需要对172.16.6.14作出应答,而由于172.16.6.14没有直接连接到Router 7, 因此,它需要网络的一个路由以便作出响应。让我们检查Router 7的路由列表,以便检验是否存在该路 由。router-7#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 4 subnetsC 172.16.12.0 is directly connected, Serial0.8 C 172.16.9.0 is directly connected, Serial0.5C 172.16.11.0 is directly connected, Serial0.6 C 172.16.5.0 is directly connected, Ethernet0我们发现Router 7的路由表没有172.16.6.14的路由。只要我们添加该路由,ping操作就可以正常进行。问题摘要我们首先定义NAT要完成的任务。接下来,我们检验转换表中有静态NAT条目而且是正确的。我们通过监 控NAT的统计信息来检验是否真正在进行转换。我们在那里发现一个问题,使得我们检查Router 7上的 路由信息。我们发现Router 7需要一个到Router 4的内部全局地址的路由。请注意,在这种简单的试验环境中,用show ip nat statistics命令来监控NAT的统计信息很有用。但 是,在进行多个转换的更复杂NAT环境中,该show命令不再有用。在这种情况下,可能需要在路由器上 运行debugs命令。下一种情况的问题说明了 debug命令的使用。问题实例:外部网络设备不能与内部路由器通信I在这种情况下,Router 4既能ping通Router 5,也能ping通Router 7,但是10.10.50.0网络上的设 备却不能与Router 5或Router 7通信(我们在测试实验室中通过从IP地址10.10.50.4的环回接口发出 ping信号来模拟这种情况)。让我们查看其网络图:Router 6interface Ethernet0ip address 172.16.6.6 255.255.255.0ip directedbroadcastip nat outsidemediatype 10BaseT!interface Ethernet1ip address 10.10.10.6 255.255.255.0ip nat insidemediatype 10BaseT!interface Serial2.7 point-to-point ip address 172.16.11.6 255.255.255.0 ip nat outsideframe-relay interface-dlci 101!ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24ip nat inside source list 7 pool testip nat inside source static 10.10.10.4 172.16.6.14!access-lis t 7 perm it 10.10.50.4access-lis t 7 perm it 10.10.60.4access-lis t 7 perm it 10.10.70.4在这种情况下,Router 4既能ping通Router 5,也能ping通Router 7,但是10.10.50.0网络上的设 备却不能与Router 5或Router 7通信(我们在测试实验室中通过从IP地址10.10.50.4的环回接口发出 ping信号来模拟这种情况)。让我们查看其网络图:使用show ip route命令,我们发现Router 5的路由表确实列有172.16.11.0:router-5#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS interarea* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 4 subnetsC 172.16.9.0 is directly connected, Serial1S 172.16.11.0 1/0 via 172.16.6.6C 172.16.6.0 is directly connected, Ethernet0C 172.16.2.0 is directly connected, Serial0使用相同的命令,我们发现Router 7路由表将172.16.11. 0列为直接连接的子网:router-7#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODR P - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 5 subnetsC 172.16.12.0 is directly connected, Serial0.8C 172.16.9.0 is directly connected, Serial0.5C 172.16.11.0 is directly connected, Serial0.6C172.16.5.0 is directly connected, Ethernet0S172.16.6.0 1/0 via 172.16.11.6我们现在已经清楚地说明了 NAT要做的内容,我们需要检验它是否正常运行。我们以检查NAT转换表并检 验预期的转换是否在正在开始。因为我们所关心的转换将被动态创建,因此,我们首先必须从相应地址发送IP业务。在发送一个从10.10.50.4到172.16.11.7的ping信号之后,Router 6的转换表显示如下:translationInside local10.10.10.410.10.50.4Outside local Outsiderouter-6#show ip nat Pro Inside global global- 172.16.6.14- 172.16.11.70由于转换表中存在预期的转换,因此,我们知道ICMP回送包正在得到适当转换,但是回送应答包又如何 呢?如上所述,我们可以监控NAT的统计信息,但是这在复杂的环境中却不是很有用。另一种方法是在NAT路由器(Router 6)上进行NAT调试。本例中,我们将在Router 6上使用debug ip nat命令,同时 发送一个从10.10.50.4到172.16.11.7的ping信号。debug结果如下:注:?/B在路由器上运行任何debug命令时,都有可能使路由器过载并导致该路由器不能运行。请一定 非常谨慎地使用,如果可能的话,没有Cisco技术支援中心(TAC)工程师的指导,不要在关键的生产路由 器上运行debug命令。router-6#show logSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 39 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, 39 messages logged Trap logging: level informational, 33 message lines loggedLog Buffer (4096 bytes):05:32:23: NAT: s=10.10.50.4-172.16.11.70, d=172.16.11.7 7005:32:23: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 70 05:32:25: NAT*: s=10.10.50.4-172.16.11.70, d=172.16.11.7 71 05:32:25: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 71 05:32:27: NAT*: s=10.10.50.4-172.16.11.70, d=172.16.11.7 72 05:32:27: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 72 05:32:29: NAT*: s=10.10.50.4-172.16.11.70, d=172.16.11.7 73 05:32:29: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 73 05:32:31: NAT*: s=10.10.50.4-172.16.11.70, d=172.16.11.7 74 05:32:31: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 74正如我们从以上debug命令输出所见,第一行显示源地址10.10.50.4正在被转换成172.16.11.70。第 二行显示目的地地址172.16.11.70正在被转换成10.10.50.4。整个debug命令执行过程的其余部分会重 复这一情况。这告诉我们Router 6正在两个方向上转换包。我们现在更加详细准确地观察正在发生的情况。Router 4发送一个从10.10.50.4到172.16.11.7的包。 Router 6对该包进行NAT并转发一个源地址为172.16.11.70、目的地地址为172.16.11.7的包。Router 7 发送一个源为172.16.11.7、目的地为172.16.11.70的应答。Router 6对该包进行NAT,产生一个源地 址为172.16.11.7、目的地地址为10.10.50.4.的包。在这时,Router 6应该根据其路由表中的信息将此 包路由到10.10.50.4。我们需要使用show ip route命令来确认Router 6在路由表中有必需的路由。router-6#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 5 subnetsC 172.16.8.0 is directly connected, Serial1C 172.16.10.0 is directly connected, Serial2.8C 172.16.11.0 is directly connected, Serial2.7C 172.16.6.0 is directly connected, Ethernet0C 172.16.7.0 is directly connected, Serial0 10.0.0.0/24 is subnetted, 1 subnetsC 10.10.10.0 is directly connected, Ethernet1问题摘要首先,我们清楚地定义了 NAT要完成的任务。然后,我们检验转换表中是否有必需的转换。再后来,我们 使用debug或show命令来检验是否真正在进行转换。最后,我们更加详细地观察了包的处理情况以及路 由器需要什么条件以便转发或应答包。故障排除检验表您现在掌握了一个基本程序,可找到导致连接问题的原因。以下是排除常见问题的检验表。未在转换表中安装转换如果您发现转换表中未安装相应的转换,请检验:配置是否正确。让NAT完成您希望的目标有时很困难。要获得配置帮助,请参阅配置网络地址转 换:入门指南没有任何拒绝包进入NAT路由器的入局访问列表。如果包从内部传输到外部,NAT路由器是否在路由表中有相应的路由。更多信息,请参阅NAT运 行规则 NAT命令参考的访问列表支持所有必需的网络。 NAT池有足够的地址。这是只在NAT没有配置处理过载时才应出现的问题。路由器接口正确地定义为NAT内部接口或NAT外部接口。如果正在转换域名系统(DNS)包的有效负载,请确定此包的IP头中在对地址进行转换。如果未 进行转换,NAT则不会查看该包的有效负载。未使用正确的转换条目如果转换表中安装了正确的转换条目,但却没有使用,那么请进行以下检查:检验没有任何拒绝包进入NAT路由器的入局访问列表。 对于从内部传输到外部的包,检验是否有到目的地的路由,该检验在转换之前进行。更多信息请参阅NAT运行规则NAT 运行正常,但是仍有连接问题如果NAT运行正常,采用以下步骤排除连接故障: 检验第 2 层连接。 检验第 3 层路由信息。 搜索可能导致问题的包过滤器。结论以上问题说明NAT并不总是IP连接问题的原因。在很多情况下是NAT之外的其他原因,因而需要进一步 的调查。我们解释了故障排除和检验NAT运行时要采取的基本步骤。这些步骤包括: 清楚地定义 NAT 要完成的任务。 检验转换表中是否有正确的转换。 使用 show 和 debug 命令来检验是否正在进行转换。 详细观察包的处理情况,并检验路由器是否有正确传输包所需的路由信息。相关信息 NAT支持网页 技术支持一思科系统公司
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑环境 > 机械电气


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!