检验NAT的运行和基本的NAT故障排除

1、检验NAT的运行和基本的 NAT故障排除目录介绍在NAT环境中岀现IP连接问题时，通常很难确定问题的原因。事实上在存在潜在问题的时候，常常错误地归咎于NAT本文说明如何使用 Cisco路由器上现有的工具来验证 NAT的运行。我们还将向您说明如何 执行基本的NAT故障排除以及如何避免 NAT故障排除中的常见问题。开始之前规则关于规则资料的更多信息，请参阅。前提条件本文没有特殊的前提条件。使用的组件本文不限于任何特定版本的软件和硬件。本文所包含的信息基于特定试验室环境中的设备。本文使用的所有设备都采用原始(缺省)配置。如果您 在正在运行的网络中进行操作，请确保您在使用之前了解所有命令的潜在影响。如

2、何排除NAT在试图确定IP连接问题的原因时，排除NAT很有帮助。采取以下步骤以验证NAT是否在正常运行：1. 根据配置，明确定义 NAT要完成的任务。这时您可以确定该配置是否有问题。为了帮助配置NAT请参阅。2. 检验转换表中是否有正确转换。3. 使用show 和debug命令来检验是否正在进行转换。4. 详细观察包的处理过程，并检验路由器是否有传输包需要的正确路由信息。以下是一些问题实例，在这里，我们使用上述步骤来帮助确定问题的原因。问题实例：可以ping通一台路由器却不能ping通另一台路由器在下面的网络图中，我们发现以下症状：Router 4可以ping通Router 5 ( 172.1

3、665 )，但却不能ping通 Router 7( )。画所有路由器都没有运行路由协议，而且Router 4将Router 6当作自己的缺省网关。采用以下方式配置Router 6 的 NATRouter 6in terface Ether netOip directed-broadcastip nat outsidemedia-type lOBaseT!in terface Ethernetlip nat in sidemedia-type 10BaseT!in terface Serial2.7 poi nt-to-poi ntip nat outsideframe-relay in ter

4、face-dlci 101!prefix-le ngth 24ip nat in side source list 7 pool test!首先让我们确定 NAT是否正常运行。我们从配置中可以知道，Router 4的IP地址()被假定为静态地转换成 。通过在 Router 6 上使用show ip nat translation 命令，我们可以检验 转换表中是否存在该转换。router-6# show ip nat translationPro In side global In side local Outside local Outsideglobal现在，我们可以确定在 Router 4

5、发出IP业务时在进行转换。我们可以在Router 6上采用两种方式来确定这一点：运行 NAT debug命令或者利用show ip nat statistics命令来监控 NAT的统计信息。由于debug命令总是用作最终手段，因此我们将以show命令开始。这里的目的是监控计数器，以便查看它是否随着我们从Router 4发送业务而逐渐增加。每一次转换表中的转换被用于转换一个地址时，计数器就会增加。我们首先清除统计信息，然后显示统计信息，试着从Router 4 上ping通Router 7，然后再显示统计信息。router-6# clear ip nat statisticsrouter-6#ro

6、uter-6# show ip nat statisticsTotal active tran slati ons: 1 (1 static, 0 dyn amic; 0 exte nded)Outside in terfaces:Ethernet0, Serial2.7Inside interfaces:Ethernet1Hits: 0 Misses: 0Expired translations: 0Dynamic mappings:- Inside Sourceaccess-list 7 pool test refcount 0pool test: netmask start end ty

7、pe generic, total addresses 2, allocated 0 (0%), misses 0router-6#在 Router 4 上发出 ping 命令之后， Router 6 上的 NAT 统计信息显示如下：router-6# show ip nat statisticsTotal active translations: 1 (1 static, 0 dynamic; 0 extended)Outside interfaces:Ethernet0, Serial2.7Inside interfaces:Ethernet1Hits: 5 Misses: 0Expire

8、d translations: 0Dynamic mappings:- Inside Sourceaccess-list 7 pool test refcount 0pool test: netmask start end type generic, total addresses 2, allocated 0 (0%), misses 0我们可以从 show 命令中发现命中数增加 5。在每次从 Cisco 路由器成功完成一次 ping 操作时，命中数 应该增加10。源路由器(Router 4 )发送的5个互联网控制消息协议(ICMP)回波应该被转换，而且来 自目的地路由器( Router 7

9、 )的 5个回送应答包也应该被转换，总共有 10个命中包。 5个丢失的命中包 很可能是由回送应答未被转换或者 Router 7 未发送回送应答造成的。让我们转向 Router 7 ，看看我们是否可以发现一些Router 7 不向 Router 4 发送回送应答包的原因。让我们首先观察 NAT如何对包进行处理。Router 4正在发送ICMP回波包，其源地址为 ，目的地 地址为。完成NAT之后，Router 7接收到的包的源地址为 172.16614,目的地地址为。 Router 7 需要对 作出应答，而由于 没有直接连接到 Router 7 ， 因此，它需要网络的一个路由以便作出响应。让我们检

10、查 Router 7 的路由列表，以便检验是否存在该路 由。router-7# show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type

11、2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS in ter area* - can didate default, U - per-user static route, o - ODRP - periodic dow nl oaded static routeGateway of last resort is not set我们发现Router 7的路由表没有的路由。只要我们添加该路由，ping操作就可以正常进行。问题摘要我们首先定义NAT要完成的任务。接下来，我们检验转换表中有静态 NAT条目而

12、且是正确的。 我们通过监 控NAT的统计信息来检验是否真正在进行转换。我们在那里发现一个问题，使得我们检查Router 7上的路由信息。我们发现 Router 7需要一个到Router 4的内部全局地址的路由。请注意，在这种简单的试验环境中，用show ip nat statistics命令来监控NAT的统计信息很有用。但是，在进行多个转换的更复杂NAT环境中，该show命令不再有用。在这种情况下，可能需要在路由器上运行debugs 命令。下一种情况的问题说明了debug命令的使用。问题实例：外部网络设备不能与内部路由器通信I在这种情况下，Router 4既能ping通Router 5，也能p

13、ing通Router 7，但是网络上的设 备却不能与Router 5或Router 7通信（我们在测试实验室中通过从 IP地址的环回接口发出 ping信号来模拟这种情况）。让我们查看其网络图：Router 6in terface Ether net0ip directed-broadcastip nat outsidemedia-type 10BaseT!in terface Ethernet1ip nat in sidemedia-type 10BaseT!in terface Serial2.7 poi nt-to-poi ntip nat outsideframe-relay in te

14、rface-dlci 101!ip nat in side source list 7 pool test!在这种情况下，Router 4既能ping通Router 5，也能ping通Router 7，但是网络上的设 备却不能与Router 5或Router 7通信（我们在测试实验室中通过从 IP地址的环回接口发出 ping信号来模拟这种情况）。让我们查看其网络图：使用show ip route 命令，我们发现 Router 5的路由表确实列有 :router-5# show ip routeCodes: C - conn ected, S - static, I - IGRP, R - RI

15、P, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS in ter area* - can didate def

16、ault, U - per-user static route, o - ODRP - periodic dow nl oaded static routeGateway of last resort is not set使用相同的命令，我们发现Router 7路由表将列为直接连接的子网：router-7# show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter a

17、rea N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGatewa

18、y of last resort is not setis subnetted, 5 subnetsCis directly connected, Serial0.8Cis directly connected, Serial0.5C is directly connected, Serial0.6 Cis directly connected, Ethernet0S via 我们现在已经清楚地说明了NAT要做的内容，我们需要检验它是否正常运行。我们以检查NAT转换表并检验预期的转换是否在正在开始。 因为我们所关心的转换将被动态创建， 因此， 我们首先必须从相应地址发 送 IP 业务。在发送一

19、个从 到 的 ping 信号之后， Router 6 的转换表显示如下：nat translationInside local10.10.10.410.10.50.4Outside local Outsiderouter-6# show ip Pro Inside global global由于转换表中存在预期的转换，因此，我们知道 ICMP 回送包正在得到适当转换，但是回送应答包又如何呢？如上所述，我们可以监控NAT的统计信息，但是这在复杂的环境中却不是很有用。另一种方法是在NAT路由器(Router 6 )上进行NAT调试。本例中，我们将在 Router 6上使用debug ip nat

20、命令，同时发送一个从 到 的 ping 信号。 debug 结果如下：注：？/B在路由器上运行任何 debug命令时，都有可能使路由器过载并导致该路由器不能运行。请一定 非常谨慎地使用，如果可能的话，没有Cisco技术支援中心(TAC)工程师的指导，不要在关键的生产路由器上运行 debug 命令。router-6#show logSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 39 messages logged Monitor loggi

21、ng: level debugging, 0 messages logged Buffer logging: level debugging, 39 messages logged Trap logging: level informational, 33 message lines loggedLog Buffer (4096 bytes):05:32:23: 7005:32:23: 7005:32:25: 7105:32:25: 7105:32:27: 7205:32:27: 7205:32:29: 7305:32:29: 7305:32:31: 7405:32:31: 74正如我们从以上

22、 debug 命令输出所见，第一行显示源地址 正在被转换成 。第 二行显示目的地地址 正在被转换成 。整个 debug 命令执行过程的其余部分会重 复这一情况。这告诉我们 Router 6 正在两个方向上转换包。我们现在更加详细准确地观察正在发生的情况。Router 4 发送一个从 到 的包。Router 6对该包进行 NAT并转发一个源地址为 、目的地地址为 的包。Router 7 发送一个源为、目的地为的应答。Router 6对该包进行NAT产生一个源地 址为 、目的地地址为 的包。在这时， Router 6 应该根据其路由表中的信息将此 包路由到 。我们需要使用 show ip rout

23、e 命令来确认 Router 6 在路由表中有必需的路由。router-6#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2,

24、E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-ISinter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setis subnetted, 5 subnetsC is directly connected, Serial1C is directly connected, Serial2.8C is directly connected, Serial2.7C is directly connected, Ethernet0C is directly connected, Serial0is subnetted, 1 subnetsC is directly connected, Ethernet1问题摘要首先，我们清楚地定义了 NAT要