أستكشاف أخطاء ترجمة عنوان الشبكة وإصلاحها مع الأسئلة المتداولة

المقدمة

يوضح هذا المستند كيفية عمل عملية موجه ترجمة عنوان الشبكة (NAT) ويقدم إجابات على بعض الأسئلة الشائعة. 

ترجمة عناوين الشبكة (NAT) العامة

س. ما المقصود بترجمة عناوين الشبكة (NAT)؟

ج. ترجمة عناوين الشبكة (NAT) مصممة للحفاظ على عنوان IP. تمكّن شبكات IP الخاصة التي تستخدم عناوين IP غير المسجلة للاتصال بالإنترنت. يعمل NAT على موجه، عادة عند توصيل شبكتين معا، وترجمة العناوين الخاصة (غير الفريدة بشكل عام) في الشبكة الداخلية إلى عناوين قانونية، قبل إعادة توجيه الحزم إلى شبكة أخرى.

كجزء من هذه الإمكانية، يمكن تكوين ترجمة عناوين الشبكة (NAT) للإعلان عن عنوان واحد فقط للشبكة بأكملها للعالم الخارجي. يؤدي هذا إلى إخفاء الشبكة الداخلية بالكامل وراء ذلك العنوان بشكل فعال مما يوفر أمانا إضافيا. وتوفر ترجمة عناوين الشبكة (NAT) الوظائف المزدوجة المتمثلة في الأمان والحفاظ على العناوين، وعادةً ما يتم تنفيذها في بيئات الوصول عن بُعد.

س. ما هي آلية عمل ترجمة عناوين الشبكة (NAT)؟

a.يسمح NAT أساسا لجهاز واحد، مثل موجه، للعمل كعميل بين الإنترنت (أو الشبكة العامة) وشبكة محلية (أو شبكة خاصة)، مما يعني أنه لا يلزم سوى عنوان IP واحد فريد لتمثيل مجموعة كاملة من أجهزة الكمبيوتر إلى أي شيء خارج شبكتهم.

س. كيف يمكنني تكوين ترجمة عناوين الشبكة (NAT)؟

a.in order to شكلت NAT تقليدي، يحتاج أنت أن يجعل على الأقل واحد قارن على مسحاج تخديد (nat خارجي) وآخر قارن على المسحاج تخديد (nat inside) ومجموعة من ترجمة قاعدة لعناوين ال IP في الربط رؤوس (وحمولات إن يريد) وهم يحتاج أن يكون شكلت. لتكوين واجهة NAT الافتراضية (NVI)، تحتاج إلى واجهة واحدة على الأقل تم تكوينها باستخدام تمكين NAT إلى جانب مجموعة القواعد نفسها المذكورة أعلاه.

أحلت ل كثير معلومة، cisco ios ip عنونة خدمة تشكيل مرشد أو قسم على يشكل ال nat قارن ظاهري.

q. ما هي الاختلافات الرئيسية بين عمليات تنفيذ أجهزة الأمان المعدلة (NAT) من Cisco IOS^®؟

لا يختلف NAT الذي يستند إلى برنامج Cisco IOS بشكل أساسي عن وظيفة NAT في Cisco ASA. وتتضمن الاختلافات الرئيسية أنواع حركة المرور المختلفة المدعومة في متطلبات التنفيذ والتصميم. أحلت nat تشكيل مثال ل كثير معلومة على التشكيل من nat على cisco ASA أداة (يتضمن الحركة مرور نوع مدعوم).

س. على أي جهاز توجيه Cisco يتوفر به Cisco IOS NAT؟ كيف يمكن طلب الجهاز؟

a.تتيح أداة متصفح الميزات من Cisco للعملاء تحديد ميزة (NAT) والبحث عن الإصدار وإصدار الجهاز الذي تتوفر عليه ميزة برنامج Cisco IOS software. أحلت cisco سمة متصفح in order to استعملت هذا أداة.

س. هل تحدث ترجمة عناوين الشبكة (NAT) قبل التوجيه أم بعده؟

a.يستند الترتيب الذي تتم فيه معالجة الحركات بواسطة NAT إلى ما إذا كانت الحزمة تنتقل من الشبكة الداخلية إلى الشبكة الخارجية أو من الشبكة الخارجية إلى الشبكة الداخلية. تحدث الترجمة من الداخل إلى الخارج بعد التوجيه، وتحدث الترجمة من الخارج إلى الداخل قبل التوجيه. راجع ترتيب التشغيل nat للحصول على مزيد من المعلومات.

س. هل يمكن نشر NAT في بيئة شبكة محلية لاسلكية عامة؟

أ. نعم. ال nat - ساكن إستاتيكي ip دعم يزود سمة مستاتيكي مستعمل مع عنوان ساكن إستاتيكي ويمكن هذا مستعمل أن يؤسس جلسة IP في عام لاسلكي lan بيئة.

س. هل تقوم NAT بإجراء موازنة حمل بروتوكول TCP للخوادم على الشبكة الداخلية؟

a.نعم. باستخدام NAT، يمكنك إنشاء مضيف ظاهري على الشبكة الداخلية يقوم بتنسيق أرصدة التحميل بين البيئات المضيفة الحقيقية.

س. هل يمكنني تحديد عدد ترجمات NAT؟

أ. نعم. توفر ميزة "ترجمة NAT لتحديد المعدل" القدرة على تحديد الحد الأقصى لعدد عمليات NAT المتزامنة على موجّه. هذا يعطي المستخدمين المزيد من التحكم في كيفية إستخدام عناوين NAT، وميزة ترجمة nat المقيدة للمعدل يمكن إستخدامها للحد من تأثيرات الفيروسات والفيروسات المتنقلة وهجمات رفض الخدمة.

س. كيف يتم التعرُّف على التوجيه أو نشره لشبكات IP الفرعية أو العناوين التي تستخدمها NAT؟

A.يتم تعلم توجيه عناوين IP التي تم إنشاؤها بواسطة NAT إذا:

• يُشتق تجمُّع العناوين العمومية الداخلية من الشبكة الفرعية لموجّه الخطوة التالية.

• يتم تكوين إدخال المسار الثابت في موجّه الخطوة التالية وتتم إعادة توزيعه ضمن شبكة التوجيه.

عندما تتم مطابقة العنوان العام الداخلي مع الواجهة المحلية، يقوم NAT بتثبيت اسم مستعار IP وإدخال ARP، وفي هذه الحالة يقوم الموجه بإنشاء ARP لهذه العناوين. إذا لم يكن هذا السلوك مطلوبا، أستخدم theno-aliaskeyword.

عند تكوين تجمُّع NAT، يمكن استخدام الخيار add-route للحقن التلقائي للمسار.

س. كم عدد جلسات NAT المتزامنة المدعومة في Cisco IOS NAT؟

A.يحد الحد الأقصى لجلسات عمل NAT بمقدار DRAM المتاح في الموجه. تستهلك كل ترجمة NAT حوالي 312 بايت في ذاكرة الوصول العشوائي الديناميكية (DRAM). ونتيجة لذلك، تستهلك 10000 ترجمة (أكثر مما يتم التعامل معه بشكل عام على موجّه واحد) حوالي 3 ميجابايت. لذلك، يحتوي جهاز التوجيه النموذجي على ذاكرة أكثر من الكفاية لدعم الآلاف من ترجمات NAT. ومع ذلك، يوصى أيضا بالتحقق من مواصفات النظام الأساسي. 

q. ما نوع أداء التوجيه الذي يمكن توقعه مع Cisco IOS NAT؟

يدعم A.Cisco IOS NAT تحويل إعادة التوجيه السريع (CEF) والتبديل السريع والتبديل السريع للعملية. بالنسبة لإصدار 12.4T والإصدارات الأحدث، لم يعد مسار التبديل السريع مدعومًا. بالنسبة إلى النظام الأساسي Cat6k، يكون ترتيب التبديل هو Netflow (مسار تبديل HW)، إعادة التوجيه السريع (CEF)، مسار العملية.

ويعتمد الأداء على عدة عوامل:

• نوع التطبيق ونوع حركة المرور الخاصة به

• ما إذا كانت عناوين IP مضمنة أم لا

• تبادل رسائل متعددة وفحصها

• منفذ المصدر مطلوب

• عدد الترجمات

• التطبيقات الأخرى التي يتم تشغيلها في ذلك الوقت

• نوع الجهاز والمعالج

ق. يستطيع cisco ios nat كنت طبقت إلى قارن فرعي؟

أ. نعم. يمكن تطبيق ترجمات NAT للمصدر و/أو الوجهة على أي واجهة أو واجهات فرعية تحتوي على عنوان IP (يتضمن واجهات المتصل). لا يمكن تكوين NAT باستخدام الواجهة اللاسلكية الافتراضية. الواجهة الظاهرية اللاسلكية غير موجودة في الوقت الذي تكتب فيه إلى ذاكرة NVRAM. وبالتالي، بعد إعادة التشغيل، يفقد الموجه تكوين NAT على الواجهة الظاهرية اللاسلكية.

س. هل يمكن استخدام Cisco IOS NAT مع بروتوكول الموجِّه الاحتياطي الفعّال (HSRP) لتوفير ارتباطات متكررة لمزوّد خدمة إنترنت؟

أ. نعم. توفر ترجمة عناوين الشبكة (NAT) HSRP متكررًا. ومع ذلك، فإنها تختلف عن SNAT (Stateful NAT). ترجمة عناوين الشبكة (NAT) مع HSRP عبارة عن نظام عديم الحالة. ولا يتم الاحتفاظ بجلسة العمل الحالية عند حدوث الفشل. أثناء تكوين NAT الثابت (عندما لا تتطابق الحِزمة مع أي تكوين قاعدة ثابتة)، يتم إرسال الحِزمة عبر دون أي ترجمة.

س. هل يدعم Cisco IOS NAT الترجمات الواردة على واجهة ترحيل إطارات؟ هل يدعم الترجمات الصادرة من طرف Ethernet؟

أ. نعم. لا يمثل التضمين أهمية بالنسبة إلى ترجمة عناوين الشبكة (NAT). يمكن إجراء NAT حيث يوجد عنوان IP على الواجهة وتكون الواجهة NAT داخلية أو NAT خارجية. يجب أن يكون هناك NAT داخلية وخارجية لكي تعمل NAT. إذا كنت تستخدم واجهة NAT الافتراضية (NVI)، فيجب أن يكون هناك واجهة NAT واحدة على الأقل ممكّنة. انظر السؤال السابق، كيف يمكنني تكوين NAT؟ للحصول على مزيد من التفاصيل.

س. هل يمكن لموجّه واحد ممكّن عليه NAT أن يتيح لبعض المستخدمين استخدام NAT ومستخدمين آخرين على نفس واجهة Ethernet لمواصلة استخدام عناوين IP الخاصة بهم؟

أ. نعم. ويمكن تحقيق ذلك من خلال إستخدام قائمة الوصول التي تصف مجموعة البيئات المضيفة أو الشبكات التي تتطلب NAT. يمكن ترجمة جميع الجلسات على المضيف نفسه أو تمريرها من خلال الموجه ولا يمكن ترجمتها.

يمكن إستخدام قوائم الوصول وقوائم الوصول الموسعة وخرائط المسار للتعريف بواسطة أجهزة IP التي يتم ترجمتها. يجب دائما تحديد عنوان الشبكة وقناع الشبكة الفرعية المناسب. يجب عدم إستخدام كلمات المفاتيح بدلا من عنوان الشبكة أو قناع الشبكة الفرعية. مع تشكيل ساكن إستاتيكي nat، عندما لا تلاءم ربط مع أي ساكن إستاتيكي قاعدة تشكيل، ربط يستطيع كنت أرسلت خلال دون أي ترجمة.

س. عند تكوين PAT (التحميل الزائد)، ما هو الحد الأقصى لعدد الترجمات التي يمكن إنشاؤها لكل عنوان IP عام داخلي؟

a.PAT (التحميل الزائد) يقسم المنافذ المتاحة لكل عنوان IP عالمي إلى ثلاثة نطاقات: 0-511، 512-1023، و 1024-65535. يعين ضرب مصدر فريد ميناء ل كل UDP أو TCP جلسة. هو يحاول أن يعين ال نفسه ميناء قيمة من الطلب أصلي، غير أن إن المصدر الأصلي استعملت ميناء بالفعل، هو يبدأ أن يفحص من بداية ال خاص ميناء مدى أن يجد أول يتوفر ميناء ويعين هو إلى المحادثة.

س. ما هي آلية عمل ترجمة عناوين المنافذ (PAT)؟

يعمل A.PAT إما مع عنوان IP عمومي واحد أو عناوين متعددة.

ضرب مع واحد عنوان طاولة

الشرط	الوصف
1	تقوم NAT/PAT بفحص حركة المرور ومطابقتها مع قاعدة ترجمة.
2	تتطابق القاعدة مع أحد تكوينات ترجمة عناوين المنافذ (PAT).
3	إن يعرف ضرب حول الحركة مرور نوع وإذا هذا نوع حركة مرور يتلقى "مجموعة من ميناء خاص أو ميناء هو يفاوض" أن هو يستطيع استعملت، ضرب يخصصهم جانبا ولا يخصصهم كمعرفات فريدة.
4	إذا حاولت جلسة بدون متطلبات منفذ خاصة إجراء اتصال، تترجم PAT عنوان مصدر IP وتتحقق من توفّر منفذ المصدر الأصلي (433، على سبيل المثال). راجع الملاحظة.
5	إذا كان منفذ المصدر المطلوب متاحًا، تقوم PAT بتعيين منفذ المصدر، وتستمر الجلسة.
6	إن ليس ال يطلب مصدر ميناء يتوفر، ضرب يبدأ أن يبحث من بداية المجموعة ذو صلة (يبدأ في 1 ل TCP أو UDP تطبيق، ومن 0 ل ICMP).
7	وفي حالة توفر منفذ ما، يتم تعيينه، وتستمر الجلسة.
8	في حالة عدم توفر أي منافذ، يتم إسقاط الحِزمة.

ملاحظة: لبروتوكول التحكم في الإرسال (TCP) وبروتوكول مخطط بيانات المستخدم (UDP)، تكون النطاقات: 1-511، 512-1023، 1024-65535. لبروتوكول رسائل التحكم في الإنترنت (ICMP)، تبدأ المجموعة الأولى في 0.

ترجمة عناوين المنافذ (PAT) بعناوين IP متعددة

الشرط	الوصف
1-7	الشروط السبعة الأولى هي نفسها كما هو الحال مع عنوان IP واحد.
8	في حالة عدم توفّر منافذ في المجموعة ذات الصلة على عنوان IP الأول، تنتقل NAT إلى عنوان IP التالي في المجموعة وتحاول تخصيص منفذ المصدر الأصلي المطلوب.
9	إن ال يطلب مصدر يتوفر ميناء، nat يعين المصدر ميناء، والجلسة تستمر.
10	إن ليس المصدر يتوفر ميناء، nat يبدأ البحث من بداية المجموعة المعنية (يبدأ في 1 ل TCP أو UDP تطبيق، ومن 0 ل ICMP).
11	إن يتوفر ميناء، هو يعين، والجلسة تستمر.
12	في حال لم تتوفر منافذ، فسيتم إسقاط الحِزمة ما لم يتوفر عنوان IP آخر في التجمُّع.

س. ما هي تجمّعات عناوين IP الخاصة بترجمة عناوين الشبكة (NAT)؟

A.nat IP بركة مدى من عنوان أن يكون خصصت ل nat ترجمة حسب الحاجة. لتعريف تجمُّع، يتم استخدام أمر التكوين:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

مثال 1

يترجم المثال التالي بين الأجهزة المضيفة الداخلية التي تم مخاطبتها إما من شبكة 192.168.1.0 أو شبكة 192.168.2.0 إلى الشبكة 10.69.233.208/28 الفريدة عالميا:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
 ip address 10.69.232.182 255.255.255.240
 ip nat outside
!
interface ethernet 1
 ip address 192.168.1.94 255.255.255.0
 ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

مثال 2

في المثال التالي، الهدف هو تحديد عنوان ظاهري، يتم توزيع الاتصالات به بين مجموعة من البيئات المضيفة الحقيقية. ويحدد التجمُّع عناوين الأجهزة المضيفة الحقيقية. تحدد قائمة الوصول العنوان الافتراضي. في حالة عدم وجود ترجمة بالفعل، تتم ترجمة حِزم TCP من الواجهة التسلسلية 0 (الواجهة الخارجية) التي تطابق وجهتها قائمة الوصول إلى عنوان من التجمُّع.

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
 ip address 192.168.15.129 255.255.255.240
 ip nat outside
!
interface ethernet 0
 ip address 192.168.15.17 255.255.255.240
 ip nat inside
!
access-list 2 permit 192.168.15.1

س. ما هو الحد الأقصى لعدد تجمُّعات عناوين IP الخاصة بترجمة عناوين الشبكة (NAT) القابلة للتكوين (IP nat pool "name")؟

أ. في الاستخدام العملي، يتم الحد الأقصى لعدد تجمعات IP القابلة للتكوين بواسطة مقدار DRAM المتاح في الموجه المعين. (تُوصي Cisco بتكوين حجم تجمُّع 255.) يجب ألا يكون كل تجمع أكثر من 16 بت. في الإصدار 12.4(11)T والإصدارات الأحدث، أدخل Cisco IOS نظام CCE (محرك التصنيف الموحد). لقد حد هذا من ترجمة عناوين الشبكة (NAT) بحيث لا تتجاوز عدد 255 تجمُّعًا كحد أقصى.

س. ما هي ميزة تعيين المسار مقابل قائمة التحكم في الوصول (ACL) على تجمع NAT؟

ألف - تحمي خريطة المسار المستخدمين الخارجيين غير المرغوب فيهم للوصول إلى المستخدمين/الخوادم الداخلية. كما أن لديها القدرة على تعيين عنوان IP داخلي واحد لعناوين "عامة داخلية" مختلفة بناءً على القاعدة. راجع دعم NAT للتجمعات المتعددة باستخدام مخططات المسار للحصول على مزيد من المعلومات.

س: ما هو عنوان IP "تداخل" ضمن سياق NAT؟

يشير تداخل عنوان A.IP إلى حالة يستخدم فيها موقعان يريدان التوصيل البيني كلا منهما نظام عنوان IP نفسه. وهذا ليس حدثا غير مألوف، بل يحدث غالبا عندما تندمج الشركات أو تحصل عليها. وبدون دعم خاص، لا يمكن للموقعين الاتصال وإنشاء جلسات. يمكن أن يكون عنوان IP المتداخل عنوانا عاما تم تعيينه لشركة أخرى أو عنوانا خاصا تم تعيينه لشركة أخرى أو يمكن أن يأتي من نطاق العناوين الخاصة كما هو محدد في RFC 1918.

عناوين IP الخاصة غير قابلة للتوجيه وتتطلب ترجمات NAT للسماح بالاتصالات بالعالم الخارجي. يتضمن الحل اعتراض استجابات الاستعلام لاسم نظام اسم المجال (DNS) من الخارج إلى الداخل، وإعداد ترجمة للعنوان الخارجي، ويلزم إصلاح إستجابة DNS قبل إعادة توجيهها إلى المضيف الداخلي. يلزم وجود خادم DNS للمشاركة على كلا جانبي جهاز NAT لحل المستخدمين الذين يرغبون في وجود اتصال بين كلتا الشبكتين.

يمكن أن يفحص NAT وينفذ ترجمة العنوان على محتويات DNSAandPTRrecords، كما هو موضح في إستخدام NAT في الشبكات المتداخلة.

س. ما هي ترجمات NAT الثابتة؟

A.Static NAT يتلقى ترجمة واحد إلى واحد بين عنوان محلي وعالم. يمكن للمستخدمين أيضا تكوين ترجمات العناوين الثابتة إلى مستوى المنفذ واستخدام باقي عنوان IP للترجمات الأخرى. هذا بشكل خاص يقع حيث أنت أنجزت عنوان ترجمة أيسر (ضرب).

يوضح المثال التالي كيفية تكوين خريطة المسار للسماح بترجمة من الخارج إلى الداخل ل NAT الثابت:

ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
 permit ip any 10.1.10.1 0.0.0.127
route-map R1 permit 10
 match ip address ACL-A

س. ما المقصود بمصطلح تحميل NATer، هل هذه ضرب؟

أ. نعم. nat حمل زائد ضرب، أي يتضمن إستعمال بركة مع مدى من one or much عنوان أو الإستعمالمن قارن عنوان مع الميناء. عندما تقوم بحمل زائد، تقوم بإنشاء ترجمة موسّعة بالكامل. هذا ترجمة طاولة مدخل أن يحتوي عنوان ومصدر/غاية ميناء معلومة، أي يكون عادة دعات ضرب أو تحميل زائد.

ضرب (أو تحميل زائد) سمة من cisco ios nat أن يكون استعملت إلى translateinternal (داخل محلي) عنوان خاص إلى واحد أو كثير خارج (داخل شامل، عادة يسجل) عنوان. يتم استخدام أرقام منافذ المصدر الفريدة في كل ترجمة للتمييز بين المحادثات.

س. ما هي ترجمات NAT الديناميكية؟

ج.  في ترجمات NAT الديناميكية، يمكن للمستخدمين إنشاء تعيين ديناميكي بين العناوين المحلية والعالمية. يتم إنجاز التخطيط الديناميكي عند تحديد العناوين المحلية التي سيتم ترجمتها وتجمع العناوين أو عنوان IP للواجهة الذي يتم من خلاله تخصيص العناوين العالمية وعند إقران العنوانين.

س. ما المقصود بعبّارة طبقة التطبيقات (ALG)؟

A.ALG عبارة عن بوابة طبقة تطبيق (ALG). تقوم ترجمة عناوين الشبكة (NAT) بتنفيذ خدمة الترجمة على أي حركة مرور لبروتوكول التحكم في الإرسال/بروتوكول مخطط بيانات المستخدم (TCP/UDP) التي لا تحمل عناوين IP للمصدر و/أو الوجهة في تدفق بيانات التطبيق.

وتتضمن هذه البروتوكولات FTP وHTTP وSKINNY وH232 وDNS وRAS وSIP وTFTP وtelnet وarchie وfinger وNTP وNFS وrlogin وrsh وrcp. تتطلب البروتوكولات المحددة التي تتضمن معلومات عنوان IP داخل الحمولة دعمًا لعبّارة مستوى التطبيقات (ALG).

راجع إستخدام بوابات مستوى التطبيق مع NATs للحصول على مزيد من المعلومات.

س. هل من الممكن إنشاء تكوين مع كل من ترجمات NAT الثابتة والديناميكية؟

أ. نعم. ومع ذلك، لا يمكن استخدام نفس عنوان IP لتكوين NAT الثابت أو في التجمُّع لتكوين NAT الديناميكي. يجب أن تكون جميع عناوين IP العامة فريدة. لاحظ أن العناوين العمومية المستخدمة في الترجمات الثابتة لا يتم إستبعادها تلقائيا مع التجميعات الديناميكية التي تحتوي على نفس العناوين العمومية. يجب إنشاء تجمُّعات ديناميكية لاستبعاد العناوين المعينة بواسطة الإدخالات الثابتة. أحلت ل كثير معلومة، يشكل ساكن إستاتيكي وحركي nat في وقت واحد.

q. عندما يتم traceroute من خلال nat مسحاج تخديد، ينبغي traceroute يبدي ال nat-global عنوان أو ينبغي هو يسرب ال nat-محلي عنوان؟

يجب على A.Traceroute من الخارج إرجاع العنوان العمومي دائما.

س: كيف تقوم ترجمة عناوين المنافذ (PAT) بتخصيص المنفذ؟

يقدم A.nat ميزات منافذ إضافية: مدى كامل وخريطة منفذ.

• يتيح النطاق الكامل لترجمة عناوين الشبكة (NAT) باستخدام جميع المنافذ بغض النظر عن نطاق المنفذ الافتراضي.

• تتيح خريطة المنفذ لترجمة عناوين الشبكة (NAT) حجز مستخدم يحدد نطاق المنفذ لتطبيق معين.

راجع نطاقات منافذ المصدر المحددة من قبل المستخدم ل PATs للحصول على مزيد من المعلومات.

في 12.4(20)T2 فالإصدارات الأحدث، تقدّم ترجمة عناوين الشبكة (NAT) التوزيع العشوائي للمنفذ لـ L3/L4 والمنفذ المتماثل.

• يتيح التوزيع العشوائي للمنافذ لترجمة عناوين الشبكة (NAT) تحديد أي منفذ عام لطلب المنفذ المصدر بشكل عشوائي.

• يتيح Symmetric-Port ل NAT دعم نقطة النهاية المستقلة.

س: ما هو الفرق بين تجزئة IP وتجزئة TCP؟

يحدث تجزئة A.IP في الطبقة 3 (IP)؛ يحدث تجزئة TCP في الطبقة 4 (TCP). تحدث تجزئة IP عندما يتم إرسال الحِزم الأكبر من وحدة الإرسال القصوى (MTU) لواجهة ما من هذه الواجهة. يجب أن تكون هذه الحزم مجزأة أو مهملة عند إرسالها من الواجهة. إذا Don't Fragment (DF) لم يتم تعيين البت في رأس IP للحزمة، ويمكن تجزئة الحزمة. إذا تم تعيين بت DF في رأس IP للحزمة، فإن الحزمة يتم إسقاطها ورسالة خطأ ICMP تشير إلى قيمة MTU للخطوة التالية التي يتم إرجاعها إلى المرسل. تحمل جميع مقاطع إحدى حِزم IP المعرّف نفسه في رأس IP، مما يتيح للجهاز المستقبل النهائي إعادة تجميع الأجزاء في حِزمة IP الأصلية. ارجع إلى حل مشاكل تجزئة IP و MTU و MSS و PMTUD مع GRE وIPsec للحصول على مزيد من المعلومات.

يحدث تجزئة TCP عندما يرسل تطبيق على محطة طرفية بيانات. يتم تقسيم بيانات التطبيق إلى ما يعتبره بروتوكول TCP أفضل الأجزاء حجمًا لإرسالها. وتُسمى هذه الوحدة من البيانات التي يتم تمريرها من TCP إلى IP باسم مقطع. يتم إرسال مقاطع TCP في مخططات بيانات IP. يمكن بعد ذلك أن تصبح مخططات بيانات IP هذه مقاطع IP أثناء مرورها عبر الشبكة وتواجه ارتباطات MTU أقل مما يمكن أن تتناسب معها.

يمكن أن يقوم TCP بتجزئة هذه البيانات إلى شرائح TCP (استنادا إلى قيمة TCP MSS) ويمكن إضافة رأس TCP وتمرير مقطع TCP هذا إلى IP. ثم يمكن أن يضيف IP رأس IP لإرسال الحزمة إلى المضيف الطرفي البعيد. إذا كانت حزمة IP مع مقطع TCP أكبر من IP MTU على واجهة صادرة على المسار بين مضيفي TCP، فيمكن ل IP تجزئة حزمة IP/TCP من أجل الملاءمة. يمكن إعادة تجميع أجزاء حزمة IP هذه على المضيف البعيد بواسطة طبقة IP ويمكن تسليم مقطع TCP الكامل (الذي تم إرساله في الأصل) إلى طبقة TCP. وليس لدى طبقة TCP فكرة عن أن IP قام بتجزئة الحِزمة أثناء النقل.

تدعم ترجمة عناوين الشبكة (NAT) مقاطع بروتوكول الإنترنت، لكنها لا تدعم مقاطع بروتوكول التحكُّم في الإرسال (TCP).

س. هل تدعم ترجمة عناوين الشبكة (NAT) عدم الترتيب لتجزئة IP وتجزئة TCP؟

يدعم A.nat فقط أجزاء IP غير المطلوبة لأن إعادة التجميع الظاهرية OFIP.

س. كيفية تصحيح تجزئة IP وتجزئة TCP إلى مقاطع؟

يستخدم A.nat نفس واجهة سطر الأوامر (CLI) لتصحيح أخطاء IP لكل من تجزئة IP وتجزئة TCP:debug ip nat frag.

س. هل هناك قواعد معلومات إدارة (MIB) لترجمة عناوين الشبكة (NAT) مدعومة؟

ج.م لا يوجد قاعدة معلومات الإدارة (MIB) مدعومة ل NAT ولا يتم دعم Cisco-IETF-NAT-MIB.

س. ما هي مهلة TCP، وكيف ترتبط بمؤقت NAT TCP؟

A. إذا لم يتم إكمال المصافحة ثلاثية الإتجاه ويرى NAT حزمة TCP، فيمكن ل NAT بدء مؤقت لمدة 60 ثانية. عند اكتمال رسائل المزامنة ثلاثية الاتجاهات، تستخدم ترجمة عناوين الشبكة (NAT) مؤقتًا مدته 24 ساعة لإدخال NAT افتراضيًا. إذا أرسل جهاز مضيف نهائي إعادة تعيين (RESET)، تقوم NAT بتغيير المؤقت الافتراضي من 24 ساعة إلى 60 ثانية. في حالة FIN، تقوم NAT بتغيير المؤقت الافتراضي من 24 ساعة إلى 60 ثانية عندما تتلقى FIN وFIN-ACK.

س. يستطيع أنا غيرت المقدار من الوقت يستغرقه ل nat ترجمة إلى وقت من ال nat ترجمة طاولة؟

أ. نعم. أنت يستطيع غيرت ال nat تعطيل قيمة ل كل مدخل أو ل نوع مختلف من ترجمة nat (مثل udp-timeout، dns-timeout، tcp-timeout، finrst-timeout، icmp-timeout، pptp-timeout، syn-timeout، port-timeout، و arp-ping-timeout).

س. كيف يمكنني إيقاف البروتوكول الخفيف للوصول إلى الدليل (LDAP) عندما يقوم بإلحاق وحدات بايت إضافية بكل حزمة رد على LDAP؟

A. يتم تعيين LDAP لإضافة وحدات البايت الإضافية (نتائج بحث LDAP) أثناء معالجة رسائل من النوع Search-Res-Entry. يخصص البروتوكول الخفيف للوصول إلى الدليل (LDAP)، 10 وحدات بايت من نتائج البحث لكل من حِزم رد بروتوكول LDAP. في حالة ما إذا نتج عن هذه الحزمة 10 بايت إضافية من البيانات وتجاوزها الحد الأقصى لوحدة الإرسال (MTU) في شبكة ما، يتم إسقاط الحزمة. في هذه الحالة، توصي Cisco بإيقاف تشغيل سلوك LDAP هذا باستخدام الأمر CLIno ip nat service append-ldap-search-rescommand in order to أرسلت الحزم واستلمت.

س. ما هي توصية المسار لعنوان IP العام الداخلي/المحلي الخارجي على مربع ترجمة عناوين الشبكة (NAT)؟

a.A ينبغي تحديد إتجاه على ال NAT يشكل صندوق ل الداخلي شامل عنوان لميزات مثل NAT-NVI. بالمثل، طريق ينبغي أيضا كنت عينت في ال nat صندوق ل خارجي محلي عنوان. في هذه الحالة، يتطلب أي حزمة من إتجاه الدخول إلى الإخراج مع القاعدة الثابتة الخارجية هذا النوع من المسار. في مثل هذه السيناريوهات، بينما يوفر المسار ل IG/OL، يجب أيضا تكوين عنوان IP للخطوة التالية. إذا لم يتم العثور على تكوين الخطوة التالية، فهذا يعد خطأ تكوين وينتج عنه سلوك غير معرف.

تتوفر NVI-NAT في مسار ميزة الإخراج فقط. إذا كنتَ قد قمتَ بتوصيل شبكة فرعية مباشرة بـ NAT-NVI أو قاعدة ترجمة NAT الخارجية التي تم تكوينها على المربع، فإنك عندئذٍ في هذه السيناريوهات تحتاج إلى توفير عنوان IP وهمي "للخطوة التالية" وأيضًا ARP مرتبط "بالخطوة التالية". ويُعد ذلك ضروريًا لتتمكّن البنية الأساسية من تسليم الحِزمة إلى ترجمة عناوين الشبكة (NAT) للترجمة.

q. هل يدعم Cisco IOS NAT قوائم التحكم في الوصول (ACL) باستخدام الكلمة الأساسية log؟

a.عند تكوين Cisco IOS NAT لترجمة NAT الديناميكية، يتم إستخدام قائمة التحكم في الوصول لتحديد الحزم التي يمكن ترجمتها. لا تدعم بنية NAT الحالية قوائم التحكم في الوصول (ACL) باستخدام الكلمة الأساسية log.

ترجمة عناوين الشبكة (NAT) الصوتية

هل تدعم NAT بروتوكول التحكم في عميل Skinny (SCCP)، الإصدار v17 الذي يتم شحنه مع Cisco Unified Communications Manager (CUCM)، الإصدار 7؟

A.CUCM 7 وجميع أحمال الهاتف الافتراضية لدعم CUCM 7 SCCPv17. يتم تحديد إصدار SCCP المستخدم بواسطة أعلى إصدار مشترك بين CUCM والهاتف عند تسجيل الهاتف.

لا يدعم NAT الإصدار 17 من SCCP. إلى أن يتم تنفيذ دعم NAT ل SCCP v17، يجب تقليل البرنامج الثابت إلى الإصدار 8-3-5 أو أقل بحيث يتم التفاوض مع SCCP v16. لا يمكن أن يواجه CUCM6 مشكلة NAT مع أي تحميل هاتف طالما أنه يستخدم SCCP v16. لا يدعم Cisco IOS حاليا SCCP الإصدار 17.

س. ما هي إصدارات حمل CUCM/SCCP/البرامج الثابتة المدعومة بواسطة NAT؟

يدعم A.NAT الإصدار 6.x من CUCM والإصدارات الأقدم. ويتم طرح إصدارات CUCM هذه مع تحميل البرنامج الثابت للهاتف مع 8.3.x الافتراضي (أو إصدار سابق) والذي يدعم SCCP، الإصدار 15 (أو إصدار سابق).

ترجمة عناوين الشبكة (NAT) لا تدعم إصدارات CUCM 7x أو الإصدارات اللاحقة. ويتم طرح إصدار CUCM مع تحميل البرامج الثابتة للهاتف مع 8.4.x الافتراضي والذي يدعم SCCP، الإصدار 17 (أو إصدار أحدث).

إذا تم استخدام CUCM، الإصدار 7.x أو إصدار أحدث، فيجب تثبيت تحميل برنامج ثابت قديم على خادم CISCO TFTP بحيث تستخدم الهواتف تحميل برنامج ثابت مع SCCP، الإصدار 15 أو إصدار سابق لكي يتم دعمه بواسطة NAT.

س. ما المقصود بتحسين تخصيص منفذ PAT لمزوّد الخدمة لصالح RTP وRTCP؟

a.يضمن مزود الخدمة تحسين تخصيص المنفذ ل RTP و RTCP ذلك ل SIP، H.323، و Skinny مكالمات الصوت. كما تُعد أرقام المنافذ المُستخدمة لتدفقات RTP أرقام منافذ، وتدفقات RTCP رقم المنفذ الفردي التالي. يترجم الرقم أيسر إلى رقم ضمن المدى يعين ويتوافق مع RFC-1889. يمكن أن ينتج عن مكالمة ذات رقم منفذ ضمن النطاق ترجمة ضرب إلى رقم منفذ آخر ضمن هذا النطاق. بالمثل، ضرب ترجمة لرقم أيسر خارج هذا مدى يستطيع لا ينتج ترجمة إلى رقم ضمن المدى معطى.

س. ما هو بروتوكول بدء جلسة العمل (SIP) ويمكن توجيه حزم SIP باستخدام NAT؟

A.بروتوكول بدء جلسة العمل (SIP) هو بروتوكول تحكم من طبقة التطبيقات مستند إلى ASCII يمكن إستخدامه لإنشاء المكالمات وصيانتها وإنهائها بين نقطتي نهاية أو أكثر. بروتوكول بدء جلسة عمل (SIP) هو بروتوكول بديل تم تطويره بواسطة فريق عمل هندسة الإنترنت (IETF) لعقد مؤتمرات الوسائط المتعددة عبر IP. يتيح تنفيذ Cisco SIP للأنظمة الأساسية من Cisco المدعومة الإشارة إلى إعداد مكالمات الصوت والوسائط المتعددة عبر شبكات IP. يمكن تثبيت حِزم بروتوكول بدء جلسة عمل (SIP).

س. ما هو دعم اجتياز NAT المستضاف لوحدة التحكم في حد جلسة العمل (SBC)؟

a.يتيح محول NAT المستضاف من Cisco IOS لميزة SBC لموجه عبارة مستوى تطبيق (ALG) Cisco IOS NAT ليعمل بمثابة SBC على بوابة Cisco IP إلى IP متعددة الخدمات، والتي تساعد على ضمان التسليم السلس لخدمات الصوت عبر IP (VoIP).

راجع تكوين محول NAT المستضاف من Cisco IOS لوحدة التحكم في حد جلسة العمل للحصول على مزيد من المعلومات.

س. كم عدد مكالمات SIP وSkinny وH323 التي يمكن لذاكرة موجّهات ووحدة معالجة مركزية التعامل معها باستخدام NAT؟

A. يتوقف عدد المكالمات التي تتم معالجتها بواسطة موجه NAT على مقدار الذاكرة المتوفرة في المربع وقوة المعالجة الخاصة بوحدة المعالجة المركزية.

س. هل يدعم موجّه NAT تجزئة TCP لحِزم Skinny وH323؟

يدعم A.Cisco IOS-NAT تجزئة TCP ل H323 ودعم تجزئة TCP ل Skinny.

س. هل هناك أي تحذيرات للمراقبة منها عند إستخدام تكوين حمل NAT الزائد في نشر الصوت؟

أ. نعم. عندما يكون لديك تكوينات حمل زائد لترجمة عناوين الشبكة (NAT) ونشر الصوت، فأنت بحاجة إلى رسالة التسجيل للانتقال عبر NAT وإنشاء ارتباط لصالح out-> in للوصول إلى هذا الجهاز الداخلي. يرسل الجهاز الداخلي هذا التسجيل بشكل دوري ويقوم NAT بتحديث ثقب التعريف الشخصي/الاقتران من المعلومات كما في رسالة إرسال الإشارات.

س. هل هناك أي مشاكل معروفة تحدث عند إستخدام الأمر Tele ip nat trans * أو الأمر Switch ip nat trans forcedcommand في نشر الصوت؟

A.في عمليات نشر الصوت عند إصدار الأمر Smart ip nat trans *أو الأمر Card ip nat trans forcedcommand وتزويدك ب NAT الديناميكي، تقوم بمسح الثقب/الاقتران ويجب عليك انتظار دورة التسجيل التالية من الجهاز الداخلي لإنشاء هذا مرة أخرى. تُوصي Cisco بعدم استخدام هذه الأوامر الواضحة في نشر صوتي.

س. هل تدعم NAT الحل المشترك في الموقع بشكل مشترك؟

ج.م الحل الموجود في موقع مشترك غير مدعوم حاليا. عملية النشر التالية مع NAT (في نفس الصندوق) تعتبر حلا في موقع واحد: CME/DSP-Farm/SCCP/H323.

س. هل تقوم واجهة NAT الافتراضية (NVI) بدعم Skinny ALG وH323 ALG وTCP SIP ALG؟

ج.م لاحظ أن UDP SIP ALG (المستخدم من قبل معظم عمليات النشر) غير متأثر.

ترجمة عناوين الشبكة (NAT) مع VRF/MPLS

q. يستطيع مسحاج تخديد nat أبدا دعم نفسه في ال نفسه عنوان مساحة في VRF وفي شامل عنوان مساحة؟ حاليا، أنا أستلم هذا التحذير:"٪ مماثل ساكن إستاتيكي إدخال (10.1.1.1 —> 10.2.2.2) موجود بالفعل"عندما أحاول تكوين هذا: 

Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 
Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED 

يدعم A.Legacy NAT تكوين العنوان المتداخل عبر VRFs مختلفة. أنت سوفت أن يشكل تداخل في قاعدة مع سمة in-vrfoption وعينت upip nat داخل/خارج ال نفسه VRF لحركة مرور عبر أن خاص VRF. لا يتضمن الدعم المتداخل جدول التوجيه العام.

أنت ينبغي أضفت سمة in-vrfkeyword ل ال يتداخل VRF ساكن إستاتيكي nat مدخل ل VRF مختلف. ومع ذلك، لا يمكن تداخل عناوين NAT العامة وvrf.

Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED match-in-vrf
Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf BLUE match-in-vrf

س. هل تدعم NAT القديمة vrf-Lite (المسار من VRF إلى VRF مختلف)؟

ج.م أنت ينبغي استعملت NVI إلى NAT بين VRFs مختلف. أنت يستطيع استعملت قديم nat أن يتم nat من VRF إلى شامل أو nat ضمن ال نفسه VRF.

واجهة ترجمة عناوين الشبكة الافتراضية (NVI)

س. ما المقصود بمصطلح NAT NVI؟

A.NVI يمثل الواجهة الظاهرية NAT. تتيح لترجمة عناوين الشبكة (NAT) الترجمة بين VRFs مختلفة. يجب إستخدام هذا الحل بدلا من ترجمة عنوان الشبكة على عصا.

q. ينبغي أن يتم إستخدام NAT NVI للتوجيه بين واجهة في شامل وواجهة في VRF؟

a.cisco يوصي أن يستعمل أنت legacy nat ل VRF إلى شامل nat (ip nat inside/out) وبين قارن في ال نفسه VRF. يتم استخدام واجهة NAT الافتراضية (NVI) لترجمة عناوين الشبكة (NAT) بين عمليات إعادة توجيه افتراضي (VRFs) مختلفة.

س. هل تجزئة TCP لواجهة NAT-NVI مدعومة؟

a. لا يوجد دعم لتجزئة TCP ل NAT-NVI.

س. هل تقوم واجهة NAT الافتراضية (NVI) بدعم Skinny ALG وH323 ALG وTCP SIP ALG؟

ج.م لاحظ أن UDP SIP ALG (المستخدم من قبل معظم عمليات النشر) غير متأثر.

س. هل تجزئة TCP مدعومة بـ SNAT؟

لا يدعم A.SNAT أي TCP ALGs (مثل SIP أو SKINNY أو H323 أو DNS). وبالتالي، فإن تجزئة TCP غير مدعومة. ومع ذلك، يتم دعم UDP SIP وDNS.

SNAT

س. ما المقصود بمصطلح NAT Stateful (SNAT)؟

A.SNAT يسمح إثنان أو أكثر من مترجم عناوين الشبكة بالعمل كمجموعة ترجمة. يعالج عضو واحد من مجموعة الترجمة حركة مرور البيانات التي تتطلب ترجمة معلومات عنوان IP. بالإضافة إلى ذلك، يقوم بإعلام مترجم النسخ الاحتياطي بالتدفقات النشطة عند حدوثها. يمكن لمترجم النسخ الاحتياطي بعد ذلك استخدام المعلومات من المترجم النشط لإعداد إدخالات مكررة لجدول الترجمة. لذلك، في حال تمت إعاقة المترجم النشط بسبب فشل فادح، يمكن تحويل حركة المرور بسرعة إلى النسخة الاحتياطية. يستمر تدفق حركة المرور منذ استخدام نفس ترجمات عناوين الشبكة وتم تحديد حالة تلك الترجمات مسبقًا.

س. هل تجزئة TCP مدعومة بـ SNAT؟

لا يدعم A.SNAT أي TCP ALGs (مثل SIP أو SKINNY أو H323 أو DNS). وبالتالي، فإن تجزئة TCP غير مدعومة. ومع ذلك، يتم دعم UDP SIP وDNS.

س. هل دعم SNAT للتوجيه غير المتماثل؟

ج.  يدعم التوجيه غير المتماثل NAT عندما يمكن as-queuing . وبشكل افتراضي، يتم تمكين وضع قائمة الانتظار. ومع ذلك، ومنذ الإصدار 12.4(24)T، as-queuing لم يعد مدعوما. يجب على العملاء التأكد من توجيه الحِزم بشكل صحيح وإضافة التأخير المناسب حتى يعمل التوجيه غير المتماثل بشكل صحيح.

NAT-PT (الإصدار 6 إلى الإصدار 4)

س. ما المقصود بمصطلح NAT-PT؟

ترجمة A.NAT-PT هي من v4 إلى v6 ل NAT. ترجمة البروتوكول (NAT-PT) هي آلية ترجمة IPv6-IPv4، كما هو محدد في RFC 2765 وRFC 2766، وتسمح للأجهزة التي تعتمد على بروتوكول IPv6 فقط بالاتصال بأجهزة تعمل عبر بروتوكول IPv4 فقط والعكس صحيح.

س. هل NAT-PT مدعومة في مسار Cisco Express Forwarding (CEF)؟

A.nat-pt غير مدعوم في مسار CEF.

س. ما هي عبّارات مستوى التطبيقات (ALGs) المدعومة في NAT-PT؟

يدعم A.nat-pt بروتوكول TFTP/FTP و DNS. لا يوجد دعم للصوت وSNAT في NAT-PT.

س. هل يقوم الموجّه ASR 1004 بدعمNAT-PT؟

تستخدم موجهات خدمات التجميع (ASR) NAT64.

Cisco 7600/6k المعتمدة على النظام الأساسي

س. هل تتوفر ميزة Stateful NAT (SNAT) على Catalyst 6500 على مجموعة SX؟

لا يتوفر A.SNAT على Catalyst 6500 في قطار SX.

س. هل يتم دعم VRF-aware NAT في الأجهزة على 6k؟

لا يتم دعم NAT المتوافق مع معيار A.VRF في الأجهزة الموجودة على هذا النظام الأساسي.

س. هل يقوم كل من 7600 وCat6000 بدعم VRF-aware NAT؟

A. في النظام الأساسي 65xx/76xx، لا يتم دعم NAT القائمة على مراعاة التردد اللاسلكي (VRF)، ويتم حظر شبكات واجهة سطر الأوامر (CLI).

ملاحظة: يمكنك تنفيذ تصميم إذا قمت بالاستفادة من بروتوكول FWSM الذي يتم تشغيله في الوضع الشفاف للسياق الظاهري.

Cisco 850 المعتمد على المنصة

س. هل يقوم Cisco 850 بدعم Skinny NAT ALG في الإصدار 12.4T؟

ج.م لا يوجد دعم ل Skinny NAT ALG في 12.4T في السلسلة 850.

نشر ترجمة عناوين الشبكة (NAT)

س. كيف يمكنني تنفيذ NAT؟

يمكن A.nat شبكات IP الخاصة التي تستخدم عناوين IP غير المسجلة للاتصال بالإنترنت. تقوم ترجمة عناوين الشبكة (NAT) بترجمة العنوان الخاص (RFC1918) في الشبكة الداخلية إلى عناوين قانونية قابلة للتوجيه قبل إعادة توجيه الحِزم إلى شبكة أخرى.

س. كيف يمكنني تنفيذ NAT بالصوت؟

a.يسمح دعم NAT لميزة الصوت الرسائل المضمنة ل SIP التي تمر عبر موجه تم تكوينه باستخدام ترجمة عنوان الشبكة (NAT) أن تتم ترجمتها مرة أخرى إلى الحزمة. تُستخدم عبّارة طبقة التطبيقات (ALG) مع NAT لترجمة الحِزم الصوتية.

س. كيف يمكنني دمج NAT مع شبكات MPLS VPNs؟

a. يسمح دمج NAT مع ميزة MPLS VPNs بتكوين شبكات VPN متعددة MPLS على جهاز واحد للعمل معا. يمكن لترجمة عناوين الشبكة (NAT) التمييز بين MPLS VPN الذي يتلقى حركة مرور IP حتى إذا كانت MPLS VPNS تستخدم نفس نظام عنونة IP. ويتيح هذا التحسين للعديد من عملاء MPLS VPN إمكانية مشاركة الخدمات بينما يضمن أن كل MPLS VPN منفصلة بالكامل عن الأخرى.

س. هل تعيين NAT الثابتة يدعم بروتوكول HSRP لتحقيق التوفّر العالي؟

a.عندما يتم تشغيل استعلام بروتوكول تحليل العنوان (ARP) لعنوان يتم تكوينه باستخدام التعيين الثابت لترجمة عنوان الشبكة (NAT) ويملك بواسطة الموجه، NAT يستجيب مع عنوان BIA MAC على الواجهة التي يشير إليها ARP. يعمل موجّهان يعمل بمثابة HSRP نشطًا واستعدادًا. ويجب تمكين واجهات NAT الداخلية الخاصة بها وتكوينها بحيث تنتمي إلى مجموعة.

س. كيف يمكنني تنفيذ NAT NVI؟

a.تقوم ميزة الواجهة الظاهرية (NVI) لشبكة NAT بإزالة متطلبات تكوين الواجهة إما ك NAT في الداخل أو NAT في الخارج.

س. كيف يمكنني تنفيذ موازنة الحمل باستخدام NAT؟

a.هناك نوعان من موازنة الأحمال يمكن إنجازها باستخدام NAT: يمكنك تحميل التوازن الوارد إلى مجموعة من الخوادم لتوزيع الحمل على الخوادم، ويمكنك موازنة حركة مرور المستخدم إلى الإنترنت عبر موفري خدمة الإنترنت (ISP) أو أكثر.

للحصول على مزيد من المعلومات حول موازنة التحميل الصادرة، ارجع إلى موازنة حمل Cisco IOS NAT لاتصالات ISP إثنين.

س. كيف يمكنني تنفيذ NAT بالاقتران مع IPSec؟

ألف - هناك دعم ل IP Security (IPSec) Encapsulating Security Payload (ESP) through NAT وشفافية IPSec NAT.

توفر ميزة IPSec ESP من خلال NAT القدرة على دعم أنفاق أو اتصالات IPSec متعددة متزامنة عبر جهاز Cisco IOS NAT تم تكوينه في وضع الحمل الزائد أو ترجمة عنوان المنفذ (PAT). توفر ميزة الشفافية ل IPSec NAT الدعم لحركة مرور IPSec للسفر عبر NAT أو نقاط PAT في الشبكة عندما تعالج العديد من أوجه عدم التوافق المعروفة بين NAT و IPSec.

س. كيف يمكنني تنفيذ NAT-PT؟

A.NAT-PT (ترجمة عنوان الشبكة - بروتوكول الترجمة) هي آلية ترجمة IPv6-IPv4، كما هو محدد في RFC 2765 وRFC 2766، والتي تسمح للأجهزة التي تستخدم بروتوكول IPv6 فقط بالاتصال بأجهزة تعمل عبر بروتوكول IPv4 فقط والعكس.

س. كيف يمكنني تنفيذ NAT متعددة البث؟

a.من الممكن ربط IP المصدر لتدفق البث المتعدد. لا يمكن إستخدام خريطة المسار عند إجراء NAT ديناميكي للبث المتعدد، ويتم دعم قائمة الوصول فقط لهذا.

أحلت ل كثير معلومة، كيف يعمل multicast nat على cisco مسحاج تخديد. الغاية multicast يستعمل مجموعة NAT مع multicast خدمة حل الانعكاس.

س. كيف يمكنني تنفيذ ميزة stateful NAT (SNAT)؟

يقوم A.SNAT بتمكين الخدمة المستمرة لجلسات عمل NAT التي تم تعيينها ديناميكيا. الجلسات المحددة بشكل ثابت تستفيد من التكرار دون الحاجة إلى SNAT. في حالة عدم وجود SNAT، سيتم قطع الجلسات التي تستخدم تعيينات NAT الديناميكية في حالة حدوث فشل خطير وسيتعين إعادة تأسيسها. يتم دعم تكوين SNAT الأدنى فقط. يجب تنفيذ عمليات النشر المستقبلية فقط بعد التحدث إلى فريق حساب Cisco للتحقق من صحة التصميم المتعلق بالقيود الحالية.

يوصى ب SNAT للسيناريوهات التالية:

• لا يعد الوضع الأساسي/النسخ الاحتياطي وضعا مستحسنا نظرا لعدم وجود بعض الميزات مقارنة ب HSRP.

• بالنسبة لسيناريوهات تجاوز الفشل ولإعداد جهازين. وهذا يعني أنه في حالة تعطل أحد الموجّهات، يتولى الموجّه الآخر مهامه بسلاسة. (بنية SNAT التحتية ليست مصممة للتعامل مع حالات عدم ثبات الواجهة).

• يتم دعم سيناريو التوجيه غير المتماثل. لا يمكن التعامل مع التوجيه غير المتماثل إلا إذا كان زمن الانتقال في حِزمة الرد أعلى من ذلك بين موجّهي SNAT لتبادل رسائل SNAT.

لم يتم تصميم بنية SNAT حاليا لمعالجة المتانة؛ لذلك، لا يتوقع نجاح هذه الاختبارات:

• عندما يكون هناك NAT خلت مدخل بينما هناك حركة مرور.

• عندما يتم تغيير معلمات الواجهة (مثل تغيير عنوان IP، الإيقاف/عدم الإيقاف، وما إلى ذلك) أثناء وجود حركة مرور.

• لا يتوقع تنفيذ أوامر SNAT SpecificClearShowCommands بشكل صحيح ولا يوصى بها.

  بعض أوامر SNAT المتصلة ClearandShow هي كما يلي:

  clear ip snat sessions *
  clear ip snat sessions 
           
           
  clear ip snat translation distributed *
  clear ip snat translation peer < IP address of SNAT peer>
  sh ip snat distributed verbose
  sh ip snat peer < IP address of peer>
  

• إذا كان المستخدم يريد مسح الإدخالات، يمكن إستخدام أوامر مسح IP nat trans forClear ip nat *.

  إن يريد المستخدم أن يشاهد مدخل، يبدي ip nat ترجمة، يبدي ip nat ترجمة، وأعرض ip nat وضع أمر يستطيع كنت استعملت. في حالة تكوين الواجهة الداخلية، يمكنها عرض معلومات SNAT المحددة أيضا.

• لا يوصى بمسح ترجمات NAT في الموجه الخلفي. احرص دائمًا على مسح إدخالات NAT على موجّه SNAT الأساسي.

• SNAT ليس HA، لذلك، يجب أن تكون التكوينات الموجودة على كلا الموجهين هي نفسها. يجب أن يقوم كلا الموجهين بتشغيل نفس الصورة. أيضا، تأكد من أن النظام الأساسي المستخدم لكل من موجهات SNAT هو نفسه.

أفضل الممارسات لترجمة عناوين الشبكة (NAT)

س. هل توجد أي إجراءات مُحدَّدة كأفضل ممارسات لترجمة عناوين الشبكة (NAT)؟

أ. نعم. وفيما يلي أفضل الممارسات لترجمة عناوين الشبكة (NAT):

1. عندما يستعمل أنت على حد سواء حركي وساكن إستاتيكي NAT، ال ACL أن يعين القاعدة ل NAT حركي ينبغي استبعدت المضيف محلي ساكن إستاتيكي لذلك هناك ما من تداخل.

2. إذا كنت تستخدم قائمة التحكم في الوصول (ACL) ل NAT مع السماح بالإصدار أي شيء يمكنك الحصول على نتائج غير متوقعة. بعد 12.4(20)T nat يمكن أن يترجم HSRP الذي تم إنشاؤه محليا وبروتوكول التوجيه حزم إذا تم إرسالها من الواجهة الخارجية، بالإضافة إلى الحزم المشفرة محليا التي تطابق قاعدة NAT.

3. عندما يكون لديك شبكات متداخلة ل NAT، أستخدم الكلمة المفتاح سمة in-vrfkeyword.

   أنت ينبغي أضفت سمة in-VRFKEY ل ال يتداخل VRF ساكن إستاتيكي nat مدخل ل VRF مختلف، غير أن هو لا يمكن أن يتداخل شامل و VRF nat عنوان.

   Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED match-in-vrf
   

   Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf BLUE match-in-vrf
   

4. لا يمكن إستخدام تجمعات NAT ذات نطاق العنوان نفسه في VRFs مختلفة ما لم يتم إستخدام الكلمة الأساسية معلومات في vrfkeyword. على سبيل المثال:

     ip nat pool poolA 172.31.1.1 172.31.1.10 prefix-length 24
     ip nat pool poolB 172.31.1.1 172.31.1.10 prefix-length 24
     ip nat inside source list 1 poolA vrf A match-in-vrf
     ip nat inside source list 2 poolB vrf B match-in-vrf 
   

   ملاحظة: على الرغم من أن تكوين CLI صالح، إلا أن التكوين غير مدعوم بدون الكلمة الأساسية match-in-vrf.

5. عند نشر موازنة حمل ISPs مع التحميل الزائد لواجهة NAT، فإن أفضل ممارسة هي إستخدام خريطة المسار مع تطابق الواجهة عبر مطابقة قائمة التحكم في الوصول (ACL).

6. عندما يستعمل أنت بركة يخطط، أنت ينبغي لا يستعمل إثنان مختلف يخطط (ACL أو ممر-map) أن يتشارك ال نفسه nat بركة عنوان.

7. عندما تقوم بنشر قواعد NAT نفسها على موجهين مختلفين في سيناريو تجاوز الفشل، يجب أن تستخدم تكرار HSRP.

8. لا تقم بتحديد نفس العنوان العام الداخلي في NAT الثابتة والتجمُّع الديناميكي. يمكن أن يؤدي هذا الإجراء إلى نتائج غير مرغوب فيها.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems