检验NAT的运行和基本的NAT故障排除

1、检验NAT的运行和基本的NAT故障排除目录介绍 开始之前 规则 前提条件 使用的组件 如何排除NAT 问题实例：可以ping通一台路由器却不能ping通另一台路由器 问题总结 问题实例：外部网络设备不能与内部路由器通信 问题摘要 故障排除检验表 未在转换表中安装转换 未使用正确的转换条目 NAT运行正常，但是仍有连接问题 结论 相关信息 介绍在NAT环境中出现IP连接问题时，通常很难确定问题的原因。事实上在存在潜在问题的时候，常常错误地

2、归咎于NAT。本文说明如何使用Cisco 路由器上现有的工具来验证NAT的运行。我们还将向您说明如何执行基本的NAT故障排除以及如何避免NAT故障排除中的常见问题。开始之前规则关于规则资料的更多信息，请参阅 Cisco技术提示规则。前提条件本文没有特殊的前提条件。使用的组件本文不限于任何特定版本的软件和硬件。本文所包含的信息基于特定试验室环境中的设备。本文使用的所有设备都采用原始（缺省）配置。如果您在正在运行的网络中进行操作，请确保您在使用之前了解所有命令的潜在影响。如何排除NAT在试图确定IP连接问题的原因时，排除NAT很有帮助。采取以下步骤以验证NAT是否在正常运行：1. 根据配置，明确定

3、义NAT要完成的任务。这时您可以确定该配置是否有问题。为了帮助配置NAT，请参阅配置网络地址转换：入门指南。2. 检验转换表中是否有正确转换。3. 使用show 和debug命令来检验是否正在进行转换。4. 详细观察包的处理过程，并检验路由器是否有传输包需要的正确路由信息。以下是一些问题实例，在这里，我们使用上述步骤来帮助确定问题的原因。问题实例：可以ping通一台路由器却不能ping通另一台路由器在下面的网络图中，我们发现以下症状：Router 4可以ping通Router 5（172.16.6.5），但却不能ping通Router 7（172.16.11.7）。所有路由器都没有运

4、行路由协议，而且Router 4将Router 6当作自己的缺省网关。采用以下方式配置Router 6的NAT：Router 6interface Ethernet0 ip address 172.16.6.6 255.255.255.0 ip directed-broadcast ip nat outside media-type 10BaseT ! interface Ethernet1 ip address 10.10.10.6 255.255.255.0 ip nat inside media-type 10BaseT ! interface Serial2.7 point-to-po

5、int ip address 172.16.11.6 255.255.255.0 ip nat outside frame-relay interface-dlci 101 ! ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24 ip nat inside source list 7 pool test ip nat inside source static 10.10.10.4 172.16.6.14 ! access-list 7 permit 10.10.50.4 access-list 7 permit 10.10.6

6、0.4 access-list 7 permit 10.10.70.4 首先让我们确定NAT是否正常运行。我们从配置中可以知道，Router 4的IP地址（10.10.10.4）被假定为静态地转换成172.16.6.14。通过在Router 6上使用show ip nat translation命令，我们可以检验转换表中是否存在该转换。router-6#show ip nat translation Pro Inside global Inside local Outside local Outside global - 172.16.6.14 10.10.10.4 - - 现在，我们可以确定

7、在Router 4发出IP业务时在进行转换。我们可以在Router 6上采用两种方式来确定这一点：运行NAT debug 命令或者利用show ip nat statistics命令来监控NAT的统计信息。由于debug 命令总是用作最终手段，因此我们将以show命令开始。这里的目的是监控计数器，以便查看它是否随着我们从Router 4发送业务而逐渐增加。每一次转换表中的转换被用于转换一个地址时,计数器就会增加。我们首先清除统计信息，然后显示统计信息，试着从Router 4上ping通Router 7，然后再显示统计信息。router-6#clear ip nat statistic

8、s router-6# router-6#show ip nat statistics Total active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces: Ethernet0, Serial2.7 Inside interfaces: Ethernet1 Hits: 0 Misses: 0 Expired translations: 0 Dynamic mappings: - Inside Source access-list 7 pool test refcount 0 pool test: n

9、etmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated 0 (0%), misses 0 router-6#在Router 4上发出ping 172.16.11.7命令之后，Router 6 上的NAT统计信息显示如下：router-6#show ip nat statistics Total active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces: Eth

10、ernet0, Serial2.7 Inside interfaces: Ethernet1 Hits: 5 Misses: 0 Expired translations: 0 Dynamic mappings: - Inside Source access-list 7 pool test refcount 0 pool test: netmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated 0 (0%), misses 0 我们可以从show

11、0;命令中发现命中数增加5。在每次从Cisco路由器成功完成一次ping操作时，命中数应该增加10。源路由器（Router 4）发送的5个互联网控制消息协议（ICMP）回波应该被转换，而且来自目的地路由器（Router 7）的5个回送应答包也应该被转换，总共有10个命中包。5个丢失的命中包很可能是由回送应答未被转换或者Router 7未发送回送应答造成的。让我们转向Router 7，看看我们是否可以发现一些Router 7不向Router 4发送回送应答包的原因。让我们首先观察NAT如何对包进行处理。Router 4正在发送ICMP回波包，其源地址为10.10.10.4，目的地地址为172.1

12、6.11.7。完成NAT之后，Router 7接收到的包的源地址为172.16.6.14,目的地地址为172.16.11.7。Router 7需要对172.16.6.14作出应答，而由于172.16.6.14没有直接连接到Router 7，因此，它需要网络的一个路由以便作出响应。让我们检查Router 7的路由列表，以便检验是否存在该路由。router-7#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O

13、 - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic d

14、ownloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnets C 172.16.12.0 is directly connected, Serial0.8 C 172.16.9.0 is directly connected, Serial0.5 C 172.16.11.0 is directly connected, Serial0.6 C 172.16.5.0 is directly connected, Ethernet0我们发现Router 7的路由表没有17

15、2.16.6.14的路由。只要我们添加该路由，ping操作就可以正常进行。问题摘要我们首先定义NAT要完成的任务。接下来，我们检验转换表中有静态NAT条目而且是正确的。我们通过监控NAT的统计信息来检验是否真正在进行转换。我们在那里发现一个问题，使得我们检查Router 7上的路由信息。我们发现Router 7需要一个到Router 4的内部全局地址的路由。请注意，在这种简单的试验环境中，用show ip nat statistics命令来监控NAT的统计信息很有用。但是，在进行多个转换的更复杂NAT环境中，该show命令不再有用。在这种情况下，可能需要在路由器上运行debugs 命

16、令。下一种情况的问题说明了debug 命令的使用。问题实例：外部网络设备不能与内部路由器通信I在这种情况下，Router 4既能ping通Router 5，也能ping通Router 7，但是10.10.50.0网络上的设备却不能与Router 5或Router 7通信（我们在测试实验室中通过从IP地址10.10.50.4的环回接口发出ping信号来模拟这种情况）。让我们查看其网络图：Router 6interface Ethernet0 ip address 172.16.6.6 255.255.255.0 ip directed-broadcast ip nat outside

17、media-type 10BaseT ! interface Ethernet1 ip address 10.10.10.6 255.255.255.0 ip nat inside media-type 10BaseT ! interface Serial2.7 point-to-point ip address 172.16.11.6 255.255.255.0 ip nat outside frame-relay interface-dlci 101 ! ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24 ip nat i

18、nside source list 7 pool test ip nat inside source static 10.10.10.4 172.16.6.14 ! access-list 7 permit 10.10.50.4 access-list 7 permit 10.10.60.4 access-list 7 permit 10.10.70.4 在这种情况下，Router 4既能ping通Router 5，也能ping通Router 7，但是10.10.50.0网络上的设备却不能与Router 5或Router 7通信（我们在测试实验室中通过从IP地址10.10.50.4的环回接口发

19、出ping信号来模拟这种情况）。让我们查看其网络图：使用show ip route命令，我们发现Router 5的路由表确实列有172.16.11.0：router-5#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1

20、 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnets

21、C 172.16.9.0 is directly connected, Serial1 S 172.16.11.0 1/0 via 172.16.6.6 C 172.16.6.0 is directly connected, Ethernet0 C 172.16.2.0 is directly connected, Serial0使用相同的命令，我们发现Router 7路由表将172.16.11.0列为直接连接的子网：router-7#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B

22、 - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-u

23、ser static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 5 subnets C 172.16.12.0 is directly connected, Serial0.8 C 172.16.9.0 is directly connected, Serial0.5 C 172.16.11.0 is directly connected, Serial0.6 C 172.16.5.0 is directly

24、connected, Ethernet0 S 172.16.6.0 1/0 via 172.16.11.6 我们现在已经清楚地说明了NAT要做的内容，我们需要检验它是否正常运行。我们以检查NAT转换表并检验预期的转换是否在正在开始。因为我们所关心的转换将被动态创建，因此，我们首先必须从相应地址发送IP业务。在发送一个从10.10.50.4到172.16.11.7的ping信号之后，Router 6的转换表显示如下：router-6#show ip nat translation Pro Inside global Inside local Outside local Outside globa

25、l - 172.16.6.14 10.10.10.4 - - - 172.16.11.70 10.10.50.4 - -由于转换表中存在预期的转换，因此，我们知道ICMP 回送包正在得到适当转换，但是回送应答包又如何呢？如上所述，我们可以监控NAT的统计信息，但是这在复杂的环境中却不是很有用。另一种方法是在NAT路由器（Router 6）上进行NAT调试。本例中，我们将在Router 6上使用debug ip nat命令，同时发送一个从10.10.50.4到172.16.11.7的ping信号。debug结果如下：注：?/B>在路由器上运行任何debug命令时，都有可能使路由器过载并导致

26、该路由器不能运行。请一定非常谨慎地使用，如果可能的话，没有Cisco技术支援中心(TAC)工程师的指导，不要在关键的生产路由器上运行debug命令。router-6#show log Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 39 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, 39

27、 messages logged Trap logging: level informational, 33 message lines logged Log Buffer (4096 bytes): 05:32:23: NAT: s=10.10.50.4->172.16.11.70, d=172.16.11.7 70 05:32:23: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 70 05:32:25: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 71 05:32:25

28、: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 71 05:32:27: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 72 05:32:27: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 72 05:32:29: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 73 05:32:29: NAT*: s=172.16.11.7, d=172.16.11.70->10

29、.10.50.4 73 05:32:31: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 74 05:32:31: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 74正如我们从以上debug 命令输出所见，第一行显示源地址10.10.50.4正在被转换成172.16.11.70。第二行显示目的地地址172.16.11.70正在被转换成10.10.50.4。整个debug命令执行过程的其余部分会重复这一情况。这告诉我们Router 6正在两个方向上转换包。我们现在更加详细准确

30、地观察正在发生的情况。Router 4发送一个从10.10.50.4到172.16.11.7的包。Router 6对该包进行NAT并转发一个源地址为172.16.11.70、目的地地址为172.16.11.7的包。Router 7发送一个源为172.16.11.7、目的地为172.16.11.70的应答。Router 6对该包进行NAT，产生一个源地址为172.16.11.7、目的地地址为10.10.50.4.的包。在这时，Router 6应该根据其路由表中的信息将此包路由到10.10.50.4。我们需要使用 show ip route命令来确认Router 6在路由表中有必需的路由

31、。router-6#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 -

32、 IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 5 subnets C 172.16.8.0 is directly connected, Serial1 C 172.16.10.0 is directly connected, Serial2.8 C 172.16.11.0 is directly connected, Serial2.7 C 172.16.6.0 is directly connected, Ethernet0 C 172.16.7.0 is directly connecte