- 1、本文档共5页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ASR1kNAT间歇地不能转换一些数据包.PDF
ASR1k NAT间歇地不能转换一些数据包
目录
简介
背景信息
绕过的NAT的演示
对非NAT ED目的地的通信流:
从同样来源的流量尝试发送NAT的目的地:
NAT-ed流量的恢复
问题的示例
应急方案/修正:
解决方案#1 :
解决方案#2 :
解决方案#3 :
摘要
参考
简介
此条款展示数据包应该由在ASR1k的NAT翻译没有翻译的一个情况(绕过的NAT)。因为可能不已配
置的允许未翻译的数据包的下一跳将处理,这可能导致流量失败。
背景信息
默认情况下在软件版本12.2(33)XND中呼叫NAT网守的功能介绍并且启用。 (请注释此与H.323无关
)。 NAT网守设计防止非NAT ED流使用额外的CPU创建NAT转换。 要达到此,两个小缓存(一
in2out方向的和一out2in方向的)根据源地址创建。 每缓存条目包括源地址、VRF ID、计时器值(用
于在10秒之后无效条目)和帧计数器。 有256个条目在组成缓存的表里。 如果有从一些数据包要求
NAT和一些的同一源地址的多个信息数据流运输流量不,可能导致不NAT的数据包,并且发送通过
路由器取消转译。 思科建议客户应该避免在任何可能的情况下NAT和在同一个接口的非NAT ED流
。
绕过的NAT的演示
以下部分描述NAT如何可以绕过的归结于NAT关守功能。 请详细请查看图表。 我们能看到有源路由
器、ASA防火墙、ASR1k和目标路由器。
对非NAT ED目的地的通信流:
1) Ping从来源启动:来源:172.17.250.201目的地:198.51.100.11
2) 数据包在进行源地址地址转换ASA的内部接口到达。 数据包当前将有来源:203.0.113.231目的
地:198.51.100.11
3) 数据包从外部到达在NAT的ASR1k对内部接口。 NAT转换不查找目的地址的转换和,因此网守
“”缓存带有源地址203.0.113.231
4) 数据包到达在目的地。目的地接受ICMP数据包并且返回ICMP echo应答造成ping成功。
从同样来源的流量尝试发送NAT的目的地:
1) Ping从来源启动:来源:172.17.250.201目的地:198.51.100.9
2) 数据包在进行源地址地址转换ASA的内部接口到达。 数据包当前将有来源:203.0.113.231目的
地:198.51.100.9
3) 数据包从外部到达在NAT的ASR1k对内部接口。 NAT首先寻找源和目的一个转换。 不查找一
,它检查网守“”缓存并且发现源地址203.0.113.231。 它(不正确)假设,数据包不需要转换和或者转
发数据包,如果路由为目的地存在或丢弃数据包。 不管怎样,数据包不会到达有意目的地。
NAT-ed流量的恢复
1) 在10秒之后,源地址的203.0.113.231条目在网守计时缓存。(请注意条目在缓存物理的仍然存在
,但是,因为超时,没有使用)。
2) 现在,如果同样来源:,当数据包到达在ASR1K的out2in接口,没有转换将找到对NAT的目的地
198.51.100.9的172.17.250.201发送。 当我们检查网守缓存,我们不会查找一个活动条目,并且
,因此我们将创建目的地和数据包willl流的转换正如所料。
3) 只要转换不被计时的归结于非活动,在此流的流量将继续。如果同时,来源再发送流量对非NAT
ED目的地,造成另一个条目填充在网守请缓存,它不会影响建立的会话,但是那里是从该同样来源
的新建的会话到NAT的目的地失效的10第二个周期。
问题的示例
1) Ping从源路由器启动:来源:172.17.250.201目的地:198.51.100.9。 ping发出与重复计数
2,多次[FLOW1]。
2) 然后请ping没有由ASR1k来源NAT的一个不同的目的地:172.17.250.201
Destination:198.51.100.11 [FLOW2]。
3) 然后请发送更多数据包对198.51.100.9 [FLOW1]。 最初的少数数据包此流将绕过NAT如看到通过
访问列表匹配在目标路由器。
source#ping 198.51.100.9 source lo1 rep 2
Type escape sequence to abort.
Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 172.17.250.201
文档评论(0)