检验nat的运行和基本的nat故障排除

1、.在 NAT 环境中出现 IP连接问题时，通常很难确定问题的原因。事实上在存在潜在问题的时候，常常错误地归咎于 NAT。本文说明如何使用Cisco 路由器上现有的工具来验证 NAT 的运行。我们还将向您说明如何执行基本的 NAT 故障排除以及如何避免NAT 故障排除中的常见问题。. 学习.资料.规则关于规则资料的更多信息，请参阅 Cisco技术提示规则。前提条件本文没有特殊的前提条件。使用的组件本文不限于任何特定版本的软件和硬件。本文所包含的信息基于特定试验室环境中的设备。本文使用的所有设备都采用原始（缺省）配置。如果您在正在运行的网络中进行操作，请确保您在使用之前了解所有命令的潜在影响。在试

2、图确定 IP连接问题的原因时，排除NAT很有帮助。采取以下步骤以验证NAT是否在正常运行：1. NAT NAT，请参阅配置网络地址转换：入门指南。2. 检验转换表中是否有正确转换。3. 使用 show 和 debug 命令来检验是否正在进行转换。4. 详细观察包的处理过程，并检验路由器是否有传输包需要的正确路由信息。以下是一些问题实例，在这里，我们使用上述步骤来帮助确定问题的原因。在下面的网络图中，我们发现以下症状：Router 4可以 ping通 Router 5（172.16.6.5），但却不能 ping通 Router 7（172.16.11.7）。所有路由器都没有运行路由协议，而且 R

3、outer 4将 Router 6当作自己的缺省网关。采用以下方式配置Router 6的 NAT：ip address 172.16.6.6 255.255.255.0ip directed-broadcastip nat outside. 学习.资料.ip nat pool test 172.16.11.70 172.16.11.71prefix-length 24ip nat inside source list 7 pool testip nat inside source static 10.10.10.4172.16.6.14access-list 7 permit 10.10.50

4、.4access-list 7 permit 10.10.60.4access-list 7 permit 10.10.70.4首先让我们确定 NAT是否正常运行。我们从配置中可以知道，Router 4的 IP地址（）被假定为静态地转换成 172.16.6.14。通过在Router 6上使用 show ip nat translation表中是否存在该转换。router-6#show ip nat translationPro Inside global- 172.16.6.14Inside local10.10.10.4Outside local-Outside global- Router

5、 4发出 IP业务时在进行转换。我们可以在Router 6上采用两种方式来确定NAT debug 命令或者利用show ip nat statistics命令来监控NATdebug 命令总是用作最终手段，因此我们将以 show命令开始。这里的目的是监控计数器，以便查看它是否随着我们从 Router 4发送业务而逐渐增加。每一次转换表中的转换被用于转换一个地址时,计数器就会增加。我们首先清除统计信息，然后显示统计信息，试着从Router 4上 ping通 Router 7，然后再显示统计信息。router-6#clear ip nat statisticsrouter-6#router-6#sh

6、ow ip nat statisticsTotal active translations: 1 (1 static, 0 dynamic; 0 extended)Outside interfaces:Ethernet0, Serial2.7. 学习.资料.Inside interfaces:Ethernet1Hits: 0 Misses: 0Expired translations: 0Dynamic mappings:- Inside Sourceaccess-list 7 pool test refcount 0pool test: netmask 255.255.255.0start

7、172.16.11.70 end 172.16.11.71type generic, total addresses 2, allocated 0 (0%), misses 0router-6#在 Router 4上发出 ping 172.16.11.7Router 6 上的 NAT统计信息显示如下：router-6#show ip nat statisticsTotal active translations: 1 (1 static, 0 dynamic; 0 extended)Outside interfaces:Ethernet0, Serial2.7Inside interfaces

8、:Ethernet1Hits: 5 Misses: 0Expired translations: 0Dynamic mappings:- Inside Sourceaccess-list 7 pool test refcount 0pool test: netmask 255.255.255.0start 172.16.11.70 end 172.16.11.71type generic, total addresses 2, allocated 0 (0%), misses 0我们可以从 show命令中发现命中数增加 Cisco路由器成功完成一次 ping该增加 。源路由器（Router 4

9、）发送的 5个互联网控制消息协议（ICMP）回波应该被转换，而且来自目的地路由器（Router 7）的5个回送应答包也应该被转换，总共有 10个命中包。5个丢失的命中包很可能是由回送应答未被转换或者 Router 7未发送回送应答造成的。让我们转向 Router ，看看我们是否可以发现一些 Router 7不向 Router 4发送回送应答包的原因。让我们首先观察 NAT如何对包进行处理。Router 4正在发送 ICMP 10.10.10.4址为 172.16.11.7。完成 NAT之后，Router 7接收到的包的源地址为172.16.6.14,目的地地址为172.16.11.7Route

10、r 7需要对 172.16.6.14作出应答，而由于172.16.6.14没有直接连接到 Router ，因此，它需要网络的一个路由以便作出响应。让我们检查Router 7的路由列表，以便检验是否存在该路由。router-7#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSP

11、F NSSA external type 2. 学习.资料.E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set172.16.0.0/

12、24 is subnetted, 4 subnetsCCCC172.16.12.0 is directly connected, Serial0.8172.16.9.0 is directly connected, Serial0.5172.16.11.0 is directly connected, Serial0.6172.16.5.0 is directly connected, Ethernet0我们发现 Router 7的路由表没有172.16.6.14ping操作就可以正常进行。问题摘要我们首先定义 NAT要完成的任务。接下来，我们检验转换表中有静态NAT条目而且是正确的。我们通过

13、监控 NAT的统计信息来检验是否真正在进行转换。我们在那里发现一个问题，使得我们检查 Router 7上的路由信息。我们发现 Router 7需要一个到 Router 4的部全局地址的路由。请注意，在这种简单的试验环境中，用show ip nat statistics命令来监控 NAT的统计信息很有用。但是，在进行多个转换的更复杂 NAT环境中，该 show命令不再有用。在这种情况下，可能需要在路由器上运行 debugs 命令。下一种情况的问题说明了debug 命令的使用。I在这种情况下，Router 4既能ping通 Router ，也能ping通 Router ，但是 10.10.50.0

14、网络上的设备却不能与 Router 5或 Router 7通信（我们在测试实验室过从 IP地址 10.10.50.4的环回接口发出 ping信号来模拟这种情况）。让我们查看其网络图：media-type 10BaseT. 学习.资料.ip nat pool test 172.16.11.70 172.16.11.71prefix-length 24ip nat inside source list 7 pool testip nat inside source static 10.10.10.4172.16.6.14access-list 7 permit 10.10.50.4access-l

15、ist 7 permit 10.10.60.4access-list 7 permit 10.10.70.4在这种情况下，Router 4既能ping通 Router 5，也能ping通 Router 7，但是 10.10.50.0网络上的设备却不能与 Router 5或 Router 7通信（我们在测试实验室过从 IP地址 10.10.50.4的环回接口发出 ping信号来模拟这种情况）。让我们查看其网络图：使用 show ip route命令，我们发现 Router 5的路由表确实列有172.16.11.0：router-5#show ip routeCodes: C - connecte

16、d, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS

17、inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 4 subnetsC 172.16.9.0 is directly connected, Serial1S 172.16.11.0 1/0 via 172.16.6.6C 172.16.6.0 is directly connected, Ethernet0C 172.1

18、6.2.0 is directly connected, Serial0使用相同的命令，我们发现 Router 7路由表将 172.16.11.0列为直接连接的子网：router-7#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area. 学习.资料.N1 - OSPF NSSA external type 1, N2 - OSPF NSSA extern

19、al type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 5 su

20、bnetsCCCCS172.16.12.0 is directly connected, Serial0.8172.16.9.0 is directly connected, Serial0.5172.16.11.0 is directly connected, Serial0.6172.16.5.0 is directly connected, Ethernet0172.16.6.0 1/0 via 172.16.11.6我们现在已经清楚地说明了 NAT要做的容，我们需要检验它是否正常运行。我们以检查NAT转换表并检送 IP业务。在发送一个从 10.10.50.4到 172.16.11.7的

21、 ping信号之后，Router 6的转换表显示如下：router-6#show ip nat translationPro Inside global- 172.16.6.14- 172.16.11.70Inside local10.10.10.410.10.50.4Outside localOutside global-由于转换表中存在预期的转换，因此，我们知道ICMP 回送包正在得到适当转换，但是回送应答包又如何呢？如上所述，我们可以监控 NAT的统计信息，但是这在复杂的环境中却不是很有用。另一种方法是在NAT路由器（Router ）上进行NAT调试。本例中，我们将在Router 6上使

22、用 debug ip nat命令，同时发送一个从 10.10.50.4到 172.16.11.7的 ping信号。debug结果如下：注：在路由器上运行任何 debug命令时，都有可能使路由器过载并导致该路由器不能运行。请一定非常谨慎地使用，如果可能的话，没有 Cisco技术支援中心(TAC)工程师的指导，不要在关键的生产路由器上运行 debug命令。router-6#show logSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)Console logging: level debugging, 39 me

23、ssages loggedMonitor logging: level debugging, 0 messages loggedBuffer logging: level debugging, 39 messages loggedTrap logging: level informational, 33 message lines loggedLog Buffer (4096 bytes):05:32:23: NAT: s=10.10.50.4-172.16.11.70, d=172.16.11.7 7005:32:23: NAT*: s=172.16.11.7, d=172.16.11.70

24、-10.10.50.4 70. 学习.资料.05:32:25: NAT*: s=10.10.50.4-172.16.11.70, d=172.16.11.7 7105:32:25: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 7105:32:27: NAT*: s=10.10.50.4-172.16.11.70, d=172.16.11.7 7205:32:27: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 7205:32:29: NAT*: s=10.10.50.4-172.16.11.70,

25、 d=172.16.11.7 7305:32:29: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 7305:32:31: NAT*: s=10.10.50.4-172.16.11.70, d=172.16.11.7 7405:32:31: NAT*: s=172.16.11.7, d=172.16.11.70-10.10.50.4 74正如我们从以上 debug 命令输出所见，第一行显示源地址10.10.50.4正在被转换成 172.16.11.70。第二行显示目的地地址 172.16.11.70正在被转换成 10.10.50.4。整个 deb

26、ug命令执行过程的其余部分会重复这一情况。这告诉我们 Router 6正在两个方向上转换包。我们现在更加详细准确地观察正在发生的情况。Router 4发送一个从10.10.50.4到 172.16.11.7的包。Router 6对该包进行 NAT并转发一个源地址为172.16.11.70 172.16.11.7的包。Router 7发送一个源为 172.16.11.7、目的地为172.16.11.70Router 6对该包进行 NAT，产生一个源地址为 172.16.11.7、目的地地址为10.10.50.4.的包。在这时，Router 6应该根据其路由表中的信息将此包路由到 10.10.50

27、.4。我们需要使用 show ip route命令来确认 Router 6在路由表中有必需的路由。router-6#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - O

28、SPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 5 subnetsC 172.16.8.0 is directly connected, Serial1C 172.16.10.0 is directly connected, Serial2.8C 172.16.11.0 is directly connected, Serial2.7C 172.16.6.0 is directly connected, Ethernet0C 172.16.7.0 i