De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document bevat de veelgestelde vragen over Network Address Translation (NAT).
A. Netwerkadresomzetting (NAT) is ontwikkeld voor het behoud van IP-adressen. Hiermee kunnen private IP-netwerken niet-geregistreerde IP-adressen gebruiken om verbinding te maken met het internet. NAT verbindt doorgaans twee netwerken via een router en zet de private (niet algemeen unieke) adressen in het interne netwerk om naar wettelijke adressen voordat pakketten naar een ander netwerk worden doorgestuurd.
Hierbij kan NAT worden geconfigureerd om slechts één adres voor het gehele netwerk aan de buitenwereld aan te kondigen. Dit zorgt voor extra security doordat het gehele interne netwerk effectief achter dat adres wordt verborgen. NAT biedt security en adresbehoud en wordt doorgaans geïmplementeerd in omgevingen met externe toegang.
A. NAT staat één apparaat, zoals een router, toe om als agent tussen het internet (of openbaar netwerk) en een lokaal netwerk (of private netwerk) te fungeren. Hierbij is slechts één uniek IP-adres nodig om een gehele groep computers te vertegenwoordigen aan alles buiten hun netwerk.
A. Om traditionele NAT te configureren, moet u ten minste één interface op een router (externe NAT) en een andere interface op de router (interne NAT) configureren en moeten een reeks regels voor het omzetten van de IP-adressen in de pakketheaders (en payloads, indien gewenst) worden geconfigureerd. Om NAT Virtual Interface (NVI) te configureren, heeft u ten minste één interface nodig die is geconfigureerd met NAT en dezelfde reeks regels als hierboven genoemd.
Raadpleeg de configuratiehandleiding voor Cisco IOS® IP-adresseringsservices of de NAT virtuele interface configureren voor meer informatie.
A. Op Cisco IOS-software gebaseerde NAT verschilt niet fundamenteel van de NAT-functie in de Cisco PIX security applicatie. De belangrijkste verschillen omvatten de verschillende verkeerstypen die in de implementaties worden ondersteund. Raadpleeg Voorbeelden van NAT-configuraties voor meer informatie over de configuratie van NAT op Cisco PIX-apparaten (inclusief de ondersteunde verkeerstypen).
A.Met de Cisco Feature Navigator-tool kunnen klanten een functie (NAT) identificeren en zoeken op welke release- en hardwareversie deze Cisco IOS-softwarefunctie beschikbaar is. Raadpleeg Cisco Feature Navigator om deze tool te gebruiken.
Opmerking: Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.
A. De volgorde waarin de transacties met NAT worden verwerkt, is afhankelijk van het feit of een pakket van het interne netwerk naar het externe netwerk gaat of andersom. Omzetting van intern naar extern vindt plaats na routing, omzetting van extern naar intern vindt plaats vóór routing. Raadpleeg NAT-operationele volgorde voor meer informatie.
A. Ja. De functie NAT - Static IP Support (NAT-ondersteuning voor statische IP) biedt ondersteuning voor gebruikers met statische IP-adressen die hiermee een IP-sessie kunnen opzetten in een openbare wireless LAN-omgeving.
A. Ja. Met NAT kunt u een virtuele host op het interne netwerk instellen voor het coördineren van de workloadverdeling tussen echte hosts.
A. Ja. Met de functie Rate-Limiting NAT Translation (NAT-omzettingen beperken) kunt u het maximumaantal gelijktijdige NAT-verwerkingen op een router beperken. Met deze functie heeft u niet alleen meer controle op de manier waarop NAT-adressen worden gebruikt, maar kunnen ook de effecten van virussen, wormen en denial-of-service aanvallen worden beperkt.
A. Routing voor IP-adressen gemaakt door NAT wordt geleerd indien:
De interne algemene adresgroep wordt afgeleid van het subnet van een next-hop router.
De statische routevermelding wordt geconfigureerd in de volgende hop-router en wordt geherdistribueerd binnen het routingnetwerk.
Wanneer het binnen globale adres met de lokale interface wordt aangepast, installeert NAT een IP alias en een ARP ingang, waarbij de router volmacht-arp voor deze adressen kan. Als dit gedrag ongewenst is, gebruikt u het trefwoord no-alias.
Wanneer een NAT-groep wordt geconfigureerd, kan de optie add-route worden gebruikt voor automatic route-invoeging.
A. De limiet voor het aantal NAT-sessies wordt bepaald door de hoeveelheid beschikbare DRAM in de router. Elke NAT-omzetting vereist ongeveer 312 bytes DRAM. 10.000 omzettingen (meer dan doorgaans op één router worden verwerkt) vereist dus ongeveer 3 MB. Typische routinghardware heeft dan ook meer dan voldoende geheugen voor duizenden NAT-omzettingen.
A. Cisco IOS NAT ondersteunt Cisco Express Forwarding-switching, fast-switching en proces-switching. In release 12.4T en hoger wordt fast-switchingpad niet langer ondersteund. Op het Cat6k-platform is de switchingvolgorde NetFlow (HW-switchingpad), CEF, procespad.
De prestaties hangen af van verschillende factoren:
Het type toepassing en het type verkeer
Of IP-adressen ingesloten zijn
Uitwisseling en controle van meerdere berichten
Vereiste bronpoort
Het aantal omzettingen
Andere toepassingen die op dat moment actief zijn
Het type hardware en processor
A. Ja. NAT-omzettingen voor bron en/of bestemming kunnen worden toegepast op elke interface of subinterfaces met een IP-adres (inclusief snelkiezerinterfaces). NAT kan niet worden geconfigureerd met een wireless virtuele interface. Er bestaat geen wireless virtuele interface op het moment van schrijven naar NVRAM. Na opnieuw opstarten verliest de router dan ook de NAT-configuratie op de wireless virtuele interface.
A. Ja. NAT biedt HSRP-redundantie. Maar deze verschilt van SNAT (Stateful NAT). NAT met HSRP is een stateless systeem. De huidige sessie blijft niet behouden wanneer een fout optreedt. Tijdens statische NAT-configuratie (wanneer een pakket niet voldoet aan een STATISCHE regelconfiguratie) wordt het pakket zonder omzetting verzonden.
A. Ja. Insluiting is niet van belang voor NAT. NAT kan worden uitgevoerd wanneer er een IP-adres op een interface bestaat en de interface interne of externe NAT betreft. NAT is mogelijk als er een interne en een externe kant is. Als u NVI gebruikt, moet er ten minste één NAT-interface zijn. Zie Hoe configureer ik NAT? voor meer informatie.
A. Ja. Dit kan door een toegangslijst te gebruiken die de reeks hosts of netwerken beschrijft die NAT nodig hebben.
Toegangslijsten, uitgebreide toegangslijsten en routekaarten kunnen worden gebruikt om regels te definiëren voor het omzetten van IP-apparaten. Het netwerkadres en het juiste subnetmasker moeten altijd worden opgegeven. Het sleutelwoord "any" mag niet worden gebruikt in plaats van het netwerkadres of subnetmasker. Met Statische NAT, wanneer het pakket geen STATISCHE regelconfiguratie aanpast, wordt het pakket verzonden door zonder enige vertaling.
A.PAT (overbelasting) verdeelt de beschikbare poorten per wereldwijd IP-adres in drie reeksen: 0-511, 512-1023 en 1024-65535. Voor elke UDP- of TCP-sessie wordt met PAT een unieke bronpoort toegewezen. Met PAT wordt geprobeerd dezelfde poortwaarde van de oorspronkelijke aanvraag toe te wijzen. Als de oorspronkelijke bronpoort echter al gebruikt is, wordt er gescand vanaf het begin van het specifieke poortbereik om de eerste beschikbare poort te vinden en deze aan het gesprek toe te wijzen. Er geldt een uitzondering voor codebasis 12.2S. Codebasis 12.2S gebruikt een andere poortlogica en er is geen sprake van poortreservering.
A. PAT werkt met één algemeen IP-adres of meerdere adressen.
PAT met één IP-adres
Voorwaarde Beschrijving 1 NAT/PAT controleert het verkeer en matcht het met een omzettingsregel. 2 Regel komt overeen met een PAT-configuratie. 3 Als PAT weet van het verkeerstype en als dat verkeerstype "een reeks specifieke poorten of poorten heeft waarover het onderhandelt" dat het gebruikt, zet PAT ze opzij en wijst ze niet toe als unieke identificatoren. 4 Als een sessie zonder speciale poortvereisten een verbinding naar buiten (de externe kant) tot stand probeert te brengen, wordt met PAT het IP-bronadres omgezet en wordt op beschikbaarheid van de oorspronkelijke bronpoort gecontroleerd (bijvoorbeeld 433).
Opmerking: Voor Transmission Control Protocol (TCP) en User Datagram Protocol (UDP) zijn de bereiken: 1-511, 512-1023 en 1024-65535. Bij Internet Control Message Protocol (ICMP) start de eerste groep bij 0.
5 Als de aangevraagde bronpoort beschikbaar is, wordt met PAT de bronpoort toegewezen en de sessie voortgezet. 6 Als de aangevraagde bronpoort niet beschikbaar is, wordt met PAT vanaf het begin van de relevante groep gezocht (beginnend bij 1 voor TCP- of UDP-toepassingen en bij 0 voor ICMP-toepassingen). 7 Als een poort beschikbaar is, wordt deze toegewezen en wordt de sessie voortgezet. 8 Als er geen poorten beschikbaar zijn, wordt het pakket verwijderd (afgewezen). PAT met meerdere IP-adressen
Voorwaarde Beschrijving 1-7 De eerste zeven voorwaarden zijn hetzelfde als bij PAT met één IP-adres. 8 Als er geen poorten beschikbaar zijn in de relevante groep op het eerste IP-adres, gaat NAT naar het volgende IP-adres in de groep en wordt geprobeerd de oorspronkelijke aangevraagde bronpoort toe te wijzen. 9 Als de aangevraagde bronpoort beschikbaar is, wordt met NAT de bronpoort toegewezen en de sessie voortgezet. 10 Als de aangevraagde bronpoort niet beschikbaar is, wordt met NAT vanaf het begin van de relevante groep gezocht (beginnend bij 1 voor TCP- of UDP-toepassingen en bij 0 voor ICMP-toepassingen). 11 Als een poort beschikbaar is, wordt deze toegewezen en wordt de sessie voortgezet. 12 Als er geen poorten beschikbaar zijn, wordt het pakket verwijderd (afgewezen), tenzij er een ander IP-adres in de groep beschikbaar is.
A. NAT IP-adresgroepen zijn reeksen IP-adressen die voor NAT-omzetting worden toegewezen, indien nodig. Om een groep te definiëren, wordt de volgende configuratieopdracht gebruikt:
ip nat pool <name> <start-ip> <end-ip> {netmask <netmask> | prefix-length <prefix-length>} [type {rotary}]Voorbeeld 1
Het volgende voorbeeld vertaalt tussen binnengastheren die van of het 192.168.1.0 of 192.168.2.0 netwerk aan globaal uniek 10.69.233.208/28 netwerk worden gericht:
ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 ip nat inside source list 1 pool net-208 ! interface ethernet 0 ip address 10.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255Voorbeeld 2
In dit voorbeeld is het doel om een virtueel adres te definiëren, verbindingen die worden verdeeld over een verzameling echte hosts. De groep definieert de adressen van de echte hosts. De toegangslijst definieert het virtuele adres. Als een omzetting niet al bestaat, worden TCP-pakketten vanaf seriële interface 0 (de buiteninterface) waarvan de bestemming overeenkomt met de toegangslijst omgezet naar een adres uit de groep .
ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary ip nat inside destination list 2 pool real-hosts ! interface serial 0 ip address 192.168.15.129 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.15.17 255.255.255.240 ip nat inside ! access-list 2 permit 192.168.15.1
A. In de praktijk wordt het maximumaantal configureerbare IP-adresgroepen beperkt door de hoeveelheid beschikbare DRAM in de betreffende router. (Cisco raadt aan maximaal 255 groepen te configureren.) Elke pool mag niet meer dan 16 bits zijn. In 12.4(11)T en hoger introduceert Cisco IOS CCE (Common Classification Engine). Dit heeft NAT beperkt tot maximaal 255 groepen. In codebase 12.2S is er geen beperking met betrekking tot het maximumaantal groepen.
A. Een routekaart voorkomt dat ongewenste externe gebruikers de interne gebruikers/servers bereiken. Bovendien kan met een routekaart één intern IP-adres aan verschillende interne algemene adressen worden toegewezen op basis van de regel. Raadpleeg NAT Support for Multiple Pools Using Route Maps (NAT-ondersteuning voor meerdere groepen met routekaarten) voor meer informatie.
A. IP-adresoverlapping verwijst naar een situatie waarbij twee locaties die onderling verbinding willen maken hetzelfde IP-adresschema gebruiken. Dit is niet ongebruikelijk; het gebeurt vaak wanneer bedrijven fuseren of worden overgenomen. Zonder speciale ondersteuning kunnen de twee locaties geen verbinding maken en geen sessies opzetten. Het overlappende IP-adres kan een publiek adres zijn dat aan een andere onderneming is toegewezen, een privaat adres dat aan een andere onderneming is toegewezen, of kan afkomstig zijn uit het bereik van privaat adressen zoals gedefinieerd in RFC 1918
Privé-IP-adressen zijn niet routeerbaar en vereisen NAT-omzettingen om verbindingen met de buitenwereld mogelijk te maken. De oplossing omvat het onderscheppen van responsen op DNS-query's (Domain Name System) van de externe kant naar de interne kant, het creëren van een omzetting voor het externe adres en het bepalen van de DNS-respons voordat deze naar de interne host wordt doorgestuurd. Een DNS-server moet aan beide zijden van het NAT-apparaat worden ingeschakeld voor gebruikers die een verbinding tussen beide netwerken willen.
NAT kan adresomzetting op de inhoud van DNS A- en PTR-records controleren en uitvoeren, zoals in NAT gebruiken in overlappende netwerken wordt getoond.
A. Bij statische NAT-omzettingen is een één-op-één toewijzing tussen lokale en algemene adressen van toepassing. Gebruikers kunnen ook statische adresomzettingen naar poortniveau configureren en de rest van het IP-adres voor andere omzettingen gebruiken. Dit gebeurt meestal wanneer PAT (Port Address Translation) wordt toegepast.
Het volgende voorbeeld toont hoe te om routemap te vormen om buiten-aan-binnen vertaling voor statische NAT toe te staan:
ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible ! ip access-list extended ACL-A permit ip any 10.1.10.128 0.0.0.127' route-map R1 permit 10 match ip address ACL-A
A. Ja. NAT overloading is PAT, waarbij een groep met een reeks van een of meer adressen wordt gebruikt, of een interface-IP-adres in combinatie met de poort wordt gebruikt. Bij overloading is sprake van een volledige omzetting. Dit is een vermelding in de omzettingstabel met informatie over IP-adres en bron-/bestemmingspoort. Dit wordt PAT of overloading genoemd.
PAT (of overloading) is een functie van Cisco IOS NAT die wordt gebruikt om interne (interne lokale) privéadressen om te zetten naar één of meer externe (externe algemene, doorgaans geregistreerde) IP-adressen. Unieke bronpoortnummers bij elke omzetting worden gebruikt om onderscheid te maken tussen de gesprekken.
A. Bij dynamische NAT-omzettingen kunnen gebruikers dynamische toewijzing tussen lokale en algemene adressen instellen. Dynamische toewijzing wordt uitgevoerd door de lokale adressen te definiëren die moeten worden omgezet en de groep met adressen of het interface-IP-adres te definiëren waarvandaan algemene adressen worden toegewezen en de twee vervolgens te koppelen.
A. ALG is een Application Layer Gateway (ALG). NAT voert omzetting uit op TCP/UDP-verkeer (Transmission Control Protocol/User Datagram Protocol) dat geen IP-adres van bron en/of bestemming in de toepassingsdatastroom bevat.
Deze protocollen omvatten FTP, HTTP, SKINNY, H232, DNS, RAS, SIP, TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh en rcp. Specifieke protocollen die IP-adresinformatie in de payload insluiten, vereisen ondersteuning van een Application Layer Gateway (ALG).
Raadpleeg Application Layer Gateways gebruiken met NAT voor meer informatie.
A. Ja. Het is echter niet mogelijk hetzelfde IP-adres te gebruiken voor de statische NAT-configuratie of in de groep voor dynamische NAT-configuratie. Alle openbare IP-adressen moeten uniek zijn. De algemene adressen die in statische omzettingen worden gebruikt, worden niet automatisch uitgesloten bij dynamische groepen die deze algemene adressen bevatten. Er moeten dynamische groepen worden gecreëerd om adressen uit te sluiten die via statische vermeldingen zijn toegewezen. Raadpleeg Statische en dynamische NAT gelijktijdig configureren voor meer informatie.
A. Traceroute van buiten moet altijd het globale adres terugkeren.
A. NAT voegt extra poortfuncties toe: full-range en port-map.
Met full-range kan NAT alle poorten gebruiken, ongeacht het standaard poortbereik.
Met port-map kan NAT een door de gebruiker gedefinieerd poortbereik reserveren voor een specifieke toepassing.
Raadpleeg Door gebruiker gedefinieerde bronpoortbereiken voor PAT voor meer informatie.
In release 12.4(20)T2 en hoger introduceert NAT poortrandomisatie voor L3/L4 en het kenmerk symmetric-port.
Met poortrandomisatie kan NAT willekeurig een algemeen poort selecteren voor de bronpoortaanvraag.
Met symmetrische poort kan NAT puntonafhankelijk ondersteunen.
A. IP-fragmentatie vindt plaats op Layer 3 (IP); TCP-segmentatie vindt plaats op Layer 4 (TCP). IP-fragmentatie vindt plaats wanneer pakketten die groter zijn dan de maximale verzendeenheid (MTU) van een interface vanuit die interface worden verzonden. Deze pakketten moeten of worden gefragmenteerd of worden verworpen wanneer zij de interface worden verzonden. Als de Do Not Fragment (DF)-bit niet is ingesteld in de IP-header van het pakket, is het pakket gefragmenteerd. Als het DF-bit is ingesteld in de IP-header van het pakket, wordt het pakket verbroken en wordt een ICMP-foutbericht met de volgende hop-MTU-waarde teruggestuurd naar de afzender. Alle fragmenten van een IP-pakket hebben dezelfde Ident in de IP-header, zodat de laatste ontvanger het oorspronkelijke IP-pakket opnieuw kan samenstellen aan de hand van de fragmenten. Raadpleeg Problemen met IP-fragmentatie, MTU, MSS en PMTUD met GRE en IPsec oplossen voor meer informatie.
TCP-segmentatie vindt plaats wanneer een toepassing op een eindstation data verzendt. De toepassingsdata wordt opgedeeld in eenheden met een volgens TCP de beste grootte voor verzending. Een dergelijke eenheid die van TCP naar IP wordt doorgegeven, wordt een segment genoemd. TCP-segmenten worden verzonden in IP-datagrammen. De IP-datagrammen kunnen vervolgens IP-fragmenten worden wanneer deze het netwerk doorkruisen en lagere MTU-links aantreffen dan zij kunnen passeren.
TCP segmenteert deze gegevens eerst in TCP-segmenten (op basis van TCP MSS-waarde) en voegt de TCP-header toe en geeft dit TCP-segment door aan IP. Vervolgens voegt IP-protocol een IP-header toe om het pakket naar de externe eindhost te verzenden. Als het IP-pakket met het TCP-segment groter is dan de IP MTU op een uitgaande interface tussen de TCP-hosts, wordt het IP/TCP-pakket zodanig gefragmenteerd dat het past. Deze IP-pakketfragmenten worden door de IP-laag op de externe host opnieuw geassembleerd en het volledige TCP-segment (dat oorspronkelijk was verzonden) wordt aan de TCP-laag doorgegeven. De TCP-laag heeft geen idee dat IP het pakket gefragmenteerd had tijdens transit.NAT ondersteunt IP-fragmenten, maar het ondersteunt TCP-segmenten niet.
A. NAT ondersteunt alleen IP-fragmenten in verkeerde volgorde vanwege ip virtual-reassembly.
A. Met NAT wordt voor zowel IP-fragmentatie als TCP segmentatie dezelfde opdrachtregelinterface voor foutopsporing gebruikt: debug ip nat frag.
A. Nee. Er is geen ondersteunde NAT MIB, inclusief CISCO-IETF-NAT-MIB.
A. Als de handdruk met drie richtingen niet wordt voltooid en NAT een pakket van TCP ziet, dan begint NAT een 60 tweede tijdopnemer. Wanneer de drierichtings-handshake is voltooid, wordt standaard een timer van 24 uur voor een NAT-vermelding gebruikt. Als een eindhost een RESET-signaal verzendt, verandert NAT de standaardtimer van 24 uur in 60 seconden. Bij een FIN-signaal verandert NAT de standaardtimer van 24 uur in 60 seconden wanneer een FIN- en FIN-ACK-signaal wordt ontvangen.
A. Ja. U kunt de NAT-tijdoutwaarden voor alle items of voor verschillende typen NAT-vertalingen wijzigen (zoals udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout en arp-ping-timeout).
A. De LDAP-instellingen voegen extra bytes (LDAP-zoekresultaten) toe tijdens het verwerken van berichten van het type Search-Res-Entry. LDAP voegt 10 bytes aan zoekresultaten toe aan elk LDAP-antwoordpakket. Als deze 10 extra bytes aan data ertoe leiden dat het pakket de maximale verzendeenheid (MTU) in een netwerk overschrijdt, wordt het pakket verwijderd (afgewezen). Cisco raadt u in dat geval aan dit LDAP-gedrag uit te schakelen via de opdrachtregelinterface met de opdracht no ip nat service append-ldap-search-res zodat de pakketten worden verzonden en ontvangen.
A. Op het geconfigureerde NAT-apparaat moet een route voor het interne algemene IP-adres worden opgegeven voor functies zoals NAT-NVI. Op dezelfde manier moet een route ook worden opgegeven op het NAT-vak voor het externe lokale IP-adres. In dit geval, vereist om het even welk pakket van binnen aan uit richting die de buiten statische regel gebruikt dit soort route. In dergelijke scenario's moet, terwijl de route voor IG/OL wordt verstrekt, het volgende hopIP adres ook worden gevormd. Als de volgende hopconfiguratie ontbreekt, wordt dit beschouwd als een configuratiefout en resulteert in ongedefinieerd gedrag.
NVI-NAT is alleen aanwezig in het pad voor de output-functie. Als u het subnet rechtstreeks heeft verbonden met NAT-NVI of de externe NAT-omzettingsregel die op het apparaat is geconfigureerd, moet u in die scenario’s een dummy IP-adres van de volgende hop en een bijbehorende ARP voor de volgende hop verstrekken. Dit is nodig om de onderliggende infrastructuur het pakket voor omzetting aan NAT te laten overhandigen.
A. Wanneer u Cisco IOS NAT configureert voor dynamische NAT-omzetting, wordt een ACL (toegangscontrolelijst) gebruikt om pakketten te identificeren die kunnen worden omgezet. De huidige NAT-architectuur ondersteunt geen ACL’s met een log-sleutelwoord.
A. CUCM 7 en alle standaard telefoonconfiguraties voor CUCM 7 ondersteunen SCCP v17. De gebruikte SCCP-versie wordt bepaald door de hoogste gemeenschappelijke versie van CUCM en de telefoon wanneer de telefoon wordt geregistreerd.
Op het moment dat dit document werd gemaakt, ondersteunt NAT nog geen SCCP v17. Totdat NAT-ondersteuning voor SCCP v17 is geïmplementeerd, moet de firmware worden gedegradeerd naar versie 8-3-5 of eerder, zodat SCCP v16 wordt besproken. CUCM6 ondervindt het NAT-probleem niet met enige telefoonbelasting zolang SCCP v16 wordt gebruikt. Cisco IOS ondersteunt momenteel geen SCCP versie 17.
A. NAT ondersteunt CUCM-versie 6.x en lager. Deze CUCM-versies worden vrijgegeven met de standaard 8.3.x (of lagere) telefoonfirmware die SCCP v15 (of lager) ondersteunt.
NAT biedt geen ondersteuning voor CUCM-versie 7.x of lager. Deze CUCM-versie wordt vrijgegeven met de standaard 8.4.x telefoonfirmware die SCCP v17 (of hoger) ondersteunt.
Als CUCM-versie 7.x of hoger wordt gebruikt, moet een oudere firmwarelading op de CUCM TFTP-server zijn geïnstalleerd, zodat de telefoons een firmwarelading met SCCP v15 of lager gebruiken voor ondersteuning door NAT.
A. De functie Service Provider PAT Port Allocation Enhancement for RTP and RTCP ondersteunt SIP-, H.323- en Skinny-spraakoproepen. De poortnummers die worden gebruikt voor RTP-stromen zijn even poortnummers; de poortnummers die worden gebruikt voor RTCP-stromen zijn de daaropvolgende oneven poortnummers. Het poortnummer wordt omgezet naar een nummer binnen het bereik dat is opgegeven in navolging van RFC-1889. Een oproep met een poortnummer binnen het bereik resulteert in een PAT-vertaling naar een ander poortnummer binnen dit bereik. Op dezelfde manier resulteert een PAT-vertaling voor een poortnummer buiten dit bereik niet in een vertaling naar een nummer binnen het gegeven bereik.
A. Session Initiation Protocol (SIP) is een op ASCII gebaseerd controleprotocol op de toepassingslaag dat kan worden gebruikt om oproepen tussen twee of meer endpoints tot stand te brengen, te behouden en te beëindigen. SIP is een alternatief protocol dat door de Internet Engineering Task Force (IETF) is ontwikkeld voor multimedia conferencing via IP. Met Cisco’s SIP-implementatie kunnen ondersteunde Cisco-platforms de opzet van spraak- en multimedia-oproepen via IP-netwerken signaleren.
SIP-pakketten kunnen via NAT worden verwerkt.
A. Met de Cisco IOS-functie Hosted NAT Traversal voor SBC kan een Cisco IOS NAT SIP ALG-router (Application Layer Gateway) fungeren als SBC op een Cisco Multiservice IP-to-IP gateway. Hierdoor bent u verzekerd van optimale levering van VoIP-services (Voice-over-IP).
Raadpleeg Cisco IOS Hosted NAT Traversal configureren voor Session Border Controller voor meer informatie.
A. Het aantal oproepen dat door een NAT-router wordt verwerkt, is afhankelijk van de hoeveelheid geheugen die op het apparaat beschikbaar is en de verwerkingskracht van de CPU.
A. Ondersteuning van Cisco IOS-NAT voor TCP-segmentatie voor H323 in 12.4 Mainline en TCP-segmentatieondersteuning voor SKINNY vanaf 12.4(6)T.
A. Ja. Wanneer u NAT-overloading en spraakimplementatie configureert, moet het registratiebericht via NAT verlopen en moet een koppeling worden gemaakt voor extern -> intern om het interne apparaat te bereiken. Het interne apparaat verzendt deze registratie periodiek en NAT werkt deze pin-hole/koppeling bij op basis van de informatie in het signaalbericht.
A. In spraakimplementaties wanneer u een duidelijke IP NAT-trans *-opdracht of een duidelijke ip NAT-opdracht voor transcriptie en dynamische NAT geeft, veegt u de pin-hole/associatie uit en moet u wachten op de volgende registratiecyclus van het interne apparaat om dit opnieuw te installeren. Cisco raadt u aan deze ‘clear’-opdrachten niet in spraakimplementaties te gebruiken.
A. Nee. Dit wordt momenteel niet ondersteund. De volgende implementatie met NAT (op dezelfde doos) wordt beschouwd als een oplossing op dezelfde locatie: CME/DSP-Farm/SCCP/H323.
A. Nee. UDP SIP ALG (gebruikt door de meeste implementaties) wordt overigens niet beïnvloed.
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED
A. Verouderde NAT ondersteunt overlappende adresconfiguratie via verschillende VRF’s. U moet overlapping als een regel definiëren met de optie match-in-vrf en ip nat inside/outside instellen in dezelfde VRF voor verkeer via die specifieke VRF. Ondersteuning voor overlapping omvat niet de algemene routingtabel.
U moet het trefwoord match-in-vrf toevoegen voor de overlappende statische NAT-vermeldingen voor VRF voor verschillende VRF’s. Het is echter niet mogelijk om algemene adressen en NAT-adressen voor VRF te overlappen.
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf 72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf
A. Nee. U moet NVI gebruiken voor verwerking via NAT tussen verschillende VRF’s. U kunt bestaande NAT gebruiken om NAT uit te voeren van VRF naar wereldwijde of NAT binnen dezelfde VRF.
A. NVI staat voor NAT Virtual Interface. Hiermee kan NAT omzetting uitvoeren tussen twee verschillende VRF’s. Deze oplossing moet worden gebruikt in plaats van Network Address Translation on a Stick.
A. Cisco raadt aan verouderde NAT te gebruiken voor VRF naar algemene NAT (ip nat inside/out) en tussen interfaces in dezelfde VRF. NVI wordt gebruikt voor NAT tussen verschillende VRF’s.
A. Er is geen ondersteuning voor TCP-segmentatie voor NAT-NVI.
A. Nee. UDP SIP ALG (gebruikt door de meeste implementaties) wordt overigens niet beïnvloed.
A. SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). TCP-segmentatie wordt dan ook niet ondersteund. UDP SIP en DNS worden echter wel ondersteund.
A. Met SNAT kunnen twee of meer netwerkadresomzetters fungeren als omzettingsgroep. Eén lid van de omzettingsgroep verwerkt verkeer dat omzetting van IP-adresinformatie vereist. Daarnaast wordt de back-upomzetter op de hoogte gesteld van eventuele actieve stromen. De back-upomzetter kan vervolgens informatie van de actieve omzetter gebruiken om dubbele vermeldingen in de omzettingstabel voor te bereiden. Als de actieve omzetter wordt gehinderd door een kritische storing, kan het verkeer snel naar de back-upomzetter worden overgeschakeld. De verkeersstroom blijft doorgaan, aangezien dezelfde netwerkadresomzettingen worden gebruikt en de status van die omzettingen eerder is gedefinieerd.
A. SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). TCP-segmentatie wordt dan ook niet ondersteund. UDP SIP en DNS worden echter wel ondersteund.
A. Asymmetrische routing ondersteunt NAT door inschakelen als wachtrij. Asymmetrische wachtrijen zijn standaard ingeschakeld. Vanaf release 12.4(24)T wordt het gebruik van wachtrijen niet langer ondersteund. Klanten moeten ervoor zorgen dat pakketten correct worden gerouteerd en de juiste vertraging wordt toegevoegd om asymmetrische routing goed te laten verlopen.
A. NAT-PT is omzetting voor NAT van v4 naar v6. Protocolomzetting (NAT-PT) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765 en RFC 2766. Hiermee kunnen IPv6-apparaten alleen communiceren met IPv4-apparaten en vice versa.
A. NAT-PT wordt niet ondersteund in het CEF-pad.
A. NAT-PT ondersteunt TFTP/FTP en DNS. Er is geen ondersteuning voor spraak en SNAT in NAT-PT.
A. Aggregation services routers (ASR) gebruiken NAT64.
A. SNAT is niet beschikbaar op Catalyst 6500 in de SX-softwarereeks.
A. VRF-bewuste NAT wordt niet ondersteund in hardware op dit platform.
A. Op het 65xx/76xx-platform wordt VRF-bewuste NAT niet ondersteund en de CLI’s worden geblokkeerd.
Opmerking: U kunt een ontwerp implementeren door gebruik te maken van een FWSM die in virtuele context transparante modus draait.
A. Nee. Er is geen ondersteuning voor Skinny NAT ALG in release 12.4T voor de 850 Series.
A. NAT maakt particuliere IP-internetwerken die niet-geregistreerde IP-adressen gebruiken, in staat om verbinding met internet te maken. NAT zet het private (RFC1918) adres in het interne netwerk om in wettelijke routeerbare adressen voordat pakketten naar een ander netwerk worden doorgestuurd.
A. Dankzij NAT-ondersteuning voor spraakfuncties kunnen SIP-ingesloten berichten die via een router lopen die is geconfigureerd met Network Address Translation (NAT) worden omgezet naar het pakket. Een Application Layer Gateway (ALG) wordt met NAT gebruikt om de spraakpakketten om te zetten.
A. Dankzij NAT-integratie met MPLS VPN’s kunnen meerdere MPLS VPN’s op één apparaat worden geconfigureerd om samen te werken. NAT kan bepalen van welke MPLS VPN IP-verkeer wordt ontvangen, zelfs als de MPLS VPN’s allemaal hetzelfde IP-adresseringsschema gebruiken. Dankzij deze verbetering kunnen meerdere MPLS VPN-klanten services delen terwijl ze er zeker van zijn dat elke MPLS VPN volledig gescheiden is van de andere.
A. Wanneer een ARP-query (Address Resolution Protocol) wordt geactiveerd voor een adres dat met statische toewijzing via Network Address Translation (NAT) is geconfigureerd en door de router wordt geregeld, reageert NAT met het BIA MAC-adres op de interface waarnaar het ARP verwijst. Twee routers fungeren als actieve en stand-by HSRP. De NAT-binneninterfaces moeten zijn ingeschakeld en geconfigureerd om bij een groep te behoren.
A. NAT NVI maakt een einde aan de noodzaak om een interface te configureren als interne of externe NAT.
A. Er zijn twee typen taakverdeling mogelijk met NAT: u kunt inkomende taken verdelen over een reeks servers en u kunt taken voor gebruikersverkeer verdelen via twee of meer ISP’s voor verwerking via het internet.
Raadpleeg voor meer informatie over uitgaande taakverdeling Cisco IOS NAT-taakverdeling voor twee ISP-verbindingen.
A. IP Security (IPsec) Encapsulating Security Payload (ESP) wordt ondersteund via NAT en IPSec NAT Transparency.
Dankzij de functie IPsec ESP via NAT kunt u meerdere gelijktijdige IPsec ESP-tunnels of -verbindingen ondersteunen via een Cisco IOS NAT-apparaat dat is geconfigureerd voor overloading of PAT-modus (Port Address Translation).
Met IPSec NAT Transparency kan IPSec-verkeer via NAT- of PAT-punten in het netwerk worden verzonden doordat veel bekende incompatibiliteiten tussen NAT en IPsec zijn aangepakt.
A. NAT-PT (Network Address Translation-Protocol Translation) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765 en RFC 2766, dat IPv6-apparaten toestaat om te communiceren met apparaten die alleen IPv4 zijn en vice versa.
A. Het is mogelijk om de bron-IP voor een multicast stream via NAT te verwerken. Er kan geen routekaart worden gebruikt bij dynamische NAT-verwerking voor multicast, alleen een toegangslijst.
Raadpleeg Multicast NAT op Cisco-routers voor meer informatie. De multicast bestemmingsgroep wordt via NAT verwerkt met behulp van een Multicast Service Reflection-oplossing.
A. SNAT maakt doorlopende service mogelijk voor dynamisch toegewezen NAT-sessies. Sessies die statistisch worden gedefinieerd hebben het voordeel van redundantie zonder de inzet van SNAT. Bij afwezigheid van SNAT zouden sessies die dynamische NAT-toewijzingen gebruiken tijdens een kritieke storing worden verbroken en opnieuw tot stand moeten worden gebracht. Alleen de minimale SNAT-configuratie wordt ondersteund. Toekomstige implementaties moeten alleen worden uitgevoerd na overleg met uw Cisco-accountteam om het ontwerp ten opzichte van de huidige beperkingen te valideren.
SNAT wordt aanbevolen voor de volgende scenario's:
Primair/back-up is geen aanbevolen modus, omdat er bepaalde functies ontbreken in vergelijking met HSRP.
Voor failover-scenario’s en voor een configuratie met 2 routers. Als de ene router crasht, neemt de andere router de verwerking naadloos over. (De SNAT-architectuur is niet ontworpen voor het ondervangen van interfacefluctuaties.)
Scenario voor niet-asymmetrische routing wordt ondersteund. Asymmetrische routing is alleen mogelijk als de latentie in het antwoordpakket hoger is dan die tussen 2 SNAT-routers om de SNAT-berichten uit te wisselen.
SNAT-architectuur is momenteel niet ontworpen voor robuustheid; de volgende handelingen zullen dan ook waarschijnlijk niet slagen:
Wissen van NAT-vermeldingen terwijl er verkeer is.
De veranderende interfaceparameters (zoals IP adresverandering, sluit/geen-sluit, etc.) terwijl er verkeer is.
SNAT-specifieke clear- of show-opdrachten zullen waarschijnlijk niet goed worden uitgevoerd en worden niet aanbevolen.
Enkele van de SNAT-gerelateerde clear</strong>en toon opdrachten als volgt:
clear ip snat sessions * clear ip snat sessionsclear ip snat translation distributed * clear ip snat translation peer < IP address of SNAT peer> sh ip snat distributed verbose sh ip snat peer < IP address of peer> Als de gebruiker vermeldingen wil wissen, kunnen duidelijke ip Nat geforceerde</strong> of duidelijke ip Nat trans *-opdrachten worden gebruikt.
Als de gebruiker items wil weergeven, kan de opdracht ip NAT-vertaling tonen, ip Nat-vertalingen overbodig tonen en ip NAT-stats tonen worden gebruikt. Als de dienst intern wordt gevormd, toont het SNAT-specifieke informatie eveneens.
Het wissen van NAT-omzettingen op de back-uprouter wordt niet aanbevolen. Wis de NAT-vermeldingen altijd op de primaire SNAT-router.
SNAT is geen HA; daarom moeten de configuraties op beide routers het zelfde zijn. Beide routers moeten het zelfde beeld hebben dat loopt. Zorg ook dat het onderliggende platform dat voor beide SNAT-routers wordt gebruikt hetzelfde is.
A. Ja. Dit zijn best practices voor NAT:
Wanneer u zowel dynamische als statische NAT gebruikt, moet de ACL die de regel voor dynamische NAT instelt, de statische lokale hosts uitsluiten zodat er geen overlap is.
Wees voorzichtig met het gebruik van ACL voor NAT met permit ip any any omdat dit onvoorspelbare resultaten kan opleveren. Na 12.4(20)T NAT worden lokaal gegenereerde HSRP- en routeringsprotocolpakketten vertaald als deze naar de buiteninterface worden verzonden, evenals lokaal versleutelde pakketten die overeenkomen met de NAT-regel.
Wanneer u overlappende netwerken voor NAT heeft, moet u het trefwoord match-in-vrf gebruiken.
U moet het trefwoord match-in-vrf toevoegen voor de overlappende statische NAT-vermeldingen voor verschillende VRF’s. Het is echter niet mogelijk om algemene adressen en NAT-adressen voor VRF te laten overlappen.
Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrfRouter(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrfNAT-groepen met hetzelfde adresbereik kunnen niet in verschillende VRF’s worden gebruikt, tenzij het trefwoord match-in-vrf wordt gebruikt.
Voorbeeld:
ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24 ip nat inside source list 1 poolA vrf A match-in-vrf ip nat inside source list 2 poolB vrf B match-in-vrfOpmerking: Ook al is de CLI-configuratie geldig, zonder het trefwoord match-in-vrf wordt de configuratie niet ondersteund.
Wanneer u taakverdeling van ISP’s implementeert met overloading van de NAT-interface, is het raadzaam om route-map met interface-matching te gebruiken in plaats van ACL-matching.
Wanneer u pooltoewijzing gebruikt, moet u geen twee verschillende afbeeldingen (ACL of routekaart) gebruiken om hetzelfde NAT-pooladres te delen.
Wanneer u dezelfde NAT-regels op twee verschillende routers in het failover-scenario implementeert, moet u HSRP-redundantie gebruiken.
Definieer niet hetzelfde interne algemene adres voor statische NAT en een dynamische groep. Dat kan tot ongewenste resultaten leiden.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
3.0 |
19-Nov-2024 |
Opmaak is meestal. |
2.0 |
21-Aug-2023 |
Hercertificering |
1.0 |
29-Aug-2002 |
Eerste vrijgave |