Hướng Dẫn Kỹ Thuật
Hướng Dẫn Cấu Hình Và Xác Thực NAT Trên Switch Cisco Catalyst 9000 Series
05
Th1
Th1
TỔNG QUAN VỀ NAT TRÊN SWITCH CISCO CATALYST 9000 SERIES
NAT Trên Cisco Catalyst 9000 Series Là Gì?
NAT là tính năng thường được dùng phổ biến nhất trong các trường hợp cần dịch IP network space riêng tư thành các địa chỉ có thể định tuyến Internet duy nhất trên toàn cầu.
Thiết bị thực hiện NAT bắt buộc phải có giao diện ở mạng bên trong (cục bộ) và giao diện ở mạng bên ngoài (trên toàn cầu). Các thiết bị này chịu trách nhiệm kiểm tra lưu lượng nguồn để xác định xem nó có yêu cầu dịch dựa trên cấu hình quy tắc NAT hay không. Nếu cần phải dịch, thiết bị sẽ dịch địa chỉ IP nguồn cục bộ thành địa chỉ IP duy nhất trên toàn cầu và theo dõi điều này trong bảng dịch NAT của nó.
Khi các gói quay lại với một địa chỉ có thể định tuyến, thiết bị sẽ kiểm tra bảng NAT của nó để xem liệu bản dịch khác có theo thứ tự hay không. Nếu vậy, thiết bị Router sẽ dịch địa chỉ toàn cục bên trong trở lại địa chỉ cục bộ bên trong thích hợp và định tuyến gói tin.
Các Thiết Bị Cisco Catalyst 9000 Hỗ Trợ NAT
Với phiên bản Cisco IOS XE 16.12.1, NAT hiện đã có trên license Network Advantage. Trên tất cả các bản phiên bản trước đó, nó có sẵn trên giấy phép DNA Advantage.
Bảng dưới đây cho thấy các dòng sản phẩm Switch Cisco Catalyst 9000 cùng phiên bản phần mềm hỗ trợ tính năng NAT
| Nền tảng | Tính năng NAT được giới thiệu |
| Switch Cisco 9300 | Phiên bản Cisco IOS XE 16.10.1 |
| Switch Cisco 9400 | Phiên bản Cisco IOS XE 17.1.1 |
| Switch Cisco 9500 | Phiên bản Cisco IOS XE 16.5.1a |
| Switch Cisco 9600 | Phiên bản Cisco IOS XE 16.11.1 |
Các Thuật Ngữ Liên Quan Đến NAT Trên Cisco Catalyst 9000 Series
Bảng dưới đây thể hiện các thuật ngữ liên quan đến tính năng NAT trên các sản phẩm Switch Cisco Catalyst 9000 Series
| Static NAT | Cho phép ánh xạ 1-1 từ địa chỉ cục bộ sang địa chỉ chung. |
| Dynamic NAT | Ánh xạ các địa chỉ cục bộ thành một nhóm các địa chỉ toàn cầu. |
| Overload NAT | Ánh xạ các địa chỉ cục bộ đến một địa chỉ chung duy nhất sử dụng các cổng L4 duy nhất. |
| Inside Local | Địa chỉ IP được gán cho một máy chủ trên mạng bên trong. |
| Inside Global | Đây là địa chỉ IP của máy chủ bên trong khi nó xuất hiện với mạng bên ngoài. Bạn có thể coi đây là địa chỉ mà inside local được dịch sang. |
| Outside Local | Địa chỉ IP của máy chủ bên ngoài khi nó xuất hiện với mạng bên trong. |
| Outside Global | Địa chỉ IP được gán cho máy chủ trên mạng bên ngoài. Trong hầu hết các trường hợp, địa chỉ cục bộ bên ngoài và địa chỉ toàn cầu bên ngoài đều giống nhau. |
| FMAN-RP | Trình quản lý tính năng RP. Đây là mặt phẳng điều khiển của Cisco IOS XE chuyển thông tin lập trình tới FMAN-FP. |
| FMAN-FP | Trình quản lý tính năng FP. FMAN-FP nhận thông tin từ FMAN-RP và chuyển đến FED. |
| FED | Forwarding Engine Driver. FMAN-FP sử dụng FED để lập trình thông tin từ mặt phẳng điều khiển vào Mạch tích hợp dành riêng cho Unified Access Data Plane (UADP) Application Specific Integrated Circuit (ASIC) |
Biểu Đồ Hệ Thống Mạng Với Các Thiết Bị Cisco Catalyst 9000 NAT
HƯỚNG DẪN CẤU HÌNH NAT TRÊN SWITCH CISCO CATALYST 9000 SERIES
Dưới đây là các ví dụ về cấu hình NAT trên các thiết bị Cisco Catalyst 9000 Switch
Cấu hình Static NAT để dịch 192.168.1.100 (inside local) sang 172.16.10.10 (inside global):
NAT-Device#show run interface te1/0/1 Building configuration... Current configuration : 109 bytes ! interface TenGigabitEthernet1/0/1 no switchport ip address 192.168.1.1 255.255.255.0 ip nat inside <-- NAT inside interface end NAT-Device#show run interface te1/0/2 Building configuration... Current configuration : 109 bytes ! interface TenGigabitEthernet1/0/2 no switchport ip address 10.10.10.1 255.255.255.0 ip nat outside <-- NAT outside interface end ip nat inside source static 192.168.1.100 172.16.10.10 <-- static NAT rule NAT-Device#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 172.16.10.10:4 192.168.1.100:4 10.20.30.40:4 10.20.30.40:4 <-- active NAT translation --- 172.16.10.10 192.168.1.100 --- --- <-- static NAT translation added as a result of the configuration
Cấu hình Dynamic NAT để dịch 192.168.1.0/24 sang 172.16.10.1 – 172.16.10.30:
NAT-Device#show run interface te1/0/1 Building configuration... Current configuration : 109 bytes ! interface TenGigabitEthernet1/0/1 no switchport ip address 192.168.1.1 255.255.255.0 ip nat inside <-- NAT inside interface end NAT-Device#show run interface te1/0/2 Building configuration... Current configuration : 109 bytes ! interface TenGigabitEthernet1/0/2 no switchport ip address 10.10.10.1 255.255.255.0 ip nat outside <-- NAT outside interface end ! ip nat pool TAC-POOL 172.16.10.1 172.16.10.30 netmask 255.255.255.224 <-- NAT pool configuration ip nat inside source list hosts pool TAC-POOL <-- NAT rule configuration ! ip access-list standard hosts <-- ACL to match hosts to be translated 10 permit 192.168.1.0 0.0.0.255 NAT-Device#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 172.16.10.10:6 192.168.1.100:6 10.20.30.40:6 10.20.30.40:6 --- 172.16.10.10 192.168.1.100 --- ---
Cấu hình Dynamic NAT Overload (PAT) để dịch 192.168.1.0/24 to 10.10.10.1 (Giao diện ip nat bên ngoài):
NAT-Device#show run interface te1/0/1 Building configuration... Current configuration : 109 bytes ! interface TenGigabitEthernet1/0/1 no switchport ip address 192.168.1.1 255.255.255.0 ip nat inside <-- NAT inside interface end NAT-Device#show run interface te1/0/2 Building configuration... Current configuration : 109 bytes ! interface TenGigabitEthernet1/0/2 no switchport ip address 10.10.10.1 255.255.255.0 ip nat outside <-- NAT outside interface end ! ip nat inside source list hosts interface TenGigabitEthernet1/0/2 overload <-- NAT configuration to use PAT ! ip access-list standard hosts <-- ACL to match hosts for translation 10 permit 192.168.1.0 0.0.0.255
Lưu ý số cổng tăng trên địa chỉ inside global là 1 cho mỗi bản dịch:
NAT-Device#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 10.10.10.1:1024 192.168.1.100:1 10.20.30.40:1 10.20.30.40:1024 <-- Notice layer 4 port increments icmp 10.10.10.1:1025 192.168.1.100:2 10.20.30.40:2 10.20.30.40:1025 <-- Notice layer 4 port increments icmp 10.10.10.1:1026 192.168.1.100:3 10.20.30.40:3 10.20.30.40:1026 icmp 10.10.10.1:1027 192.168.1.100:4 10.20.30.40:4 10.20.30.40:1027 icmp 10.10.10.1:1028 192.168.1.100:5 10.20.30.40:5 10.20.30.40:1028 icmp 10.10.10.1:1029 192.168.1.100:6 10.20.30.40:6 10.20.30.40:1029 icmp 10.10.10.1:1030 192.168.1.100:7 10.20.30.40:7 10.20.30.40:1030 icmp 10.10.10.1:1031 192.168.1.100:8 10.20.30.40:8 10.20.30.40:1031 10.10.10.1:1024 = inside global 192.168.1.100:1 = inside local
HƯỚNG DẪN XÁC THỰC NAT TRÊN SWITCH CISCO CATALYST 9000 SERIES
Hướng Dẫn Xác Thực Static NAT Trên Cisco Catalyst 9000 Series
Xác Thực Phần Mềm Static NAT
Dự kiến sẽ thấy một nửa bản dịch với static NAT khi không có luồng hoạt động nào được dịch. Khi quy trình hoạt động, một bản dịch động sẽ được tạo
NAT-Device#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 172.16.10.10:10 192.168.1.100:10 10.20.30.40:10 10.20.30.40:10 <-- dynamic translation --- 172.16.10.10 192.168.1.100 --- --- <-- static configuration from NAT rule configuration
Với lệnh ,bạn có thể xác định thời gian luồng được tạo và lượng thời gian còn lại trên bản dịch
NAT-Device#show ip nat translations verbose Pro Inside global Inside local Outside local Outside global icmp 172.16.10.10:10 192.168.1.100:10 10.20.30.40:10 10.20.30.40:10 create 00:00:13, use 00:00:13, left 00:00:46, <-- NAT timers flags: extended, use_count: 0, entry-id: 10, lc_entries: 0 --- 172.16.10.10 192.168.1.100 --- --- create 00:09:47, use 00:00:13, flags: static, use_count: 1, entry-id: 9, lc_entries: 0
Kiểm tra thống kê NAT. Bộ đếm lượt truy cập NAT tăng lên khi luồng phù hợp với quy tắc NAT và được tạo.
NAT bỏ lỡ bộ đếm tăng lên khi lưu lượng truy cập khớp với một quy tắc nhưng chúng tôi không thể tạo bản dịch.
NAT-DEVICE#show ip nat statistics Total active translations: 1 (1 static, 0 dynamic; 0 extended) <-- 1 static translation Outside interfaces: TenGigabitEthernet1/0/1 <-- NAT outside interface Inside interfaces: TenGigabitEthernet1/0/2 <-- NAT inside interface Hits: 0 Misses: 0 <-- NAT hit and miss counters. CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list hosts interface TenGigabitEthernet1/0/1 refcount 0
Để quá trình dịch diễn ra, cần phải có nguồn và đích của luồng NAT. Ghi lại ID gần kề.
NAT-Device#show ip route 10.20.30.40 Routing entry for 10.20.30.40/32 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: * 10.10.10.2 Route metric is 0, traffic share count is 1 NAT-Device#show platform software adjacency switch active f0 Adjacency id: 0x29(41) <-- adjacency ID Interface: TenGigabitEthernet1/0/1, IF index: 52, Link Type: MCP_LINK_IP Encap: 0:ca:e5:27:3f:e4:70:1f:53:0:b8:e4:8:0 Encap Length: 14, Encap Type: MCP_ET_ARPA, MTU: 1500 Flags: no-l3-inject Incomplete behavior type: None Fixup: unknown Fixup_Flags_2: unknown Nexthop addr: 192.168.1.100 <-- source adjacency IP FRR MCP_ADJ_IPFRR_NONE 0 aom id: 464, HW handle: (nil) (created) Adjacency id: 0x24 (36) <-- adjacency ID Interface: TenGigabitEthernet1/0/2, IF index: 53, Link Type: MCP_LINK_IP Encap: 34:db:fd:ee:ce:e4:70:1f:53:0:b8:d6:8:0 Encap Length: 14, Encap Type: MCP_ET_ARPA, MTU: 1500 Flags: no-l3-inject Incomplete behavior type: None Fixup: unknown Fixup_Flags_2: unknown Nexthop addr: 10.10.10.2 <-- next hop to 10.20.30.40 IP FRR MCP_ADJ_IPFRR_NONE 0 aom id: 452, HW handle: (nil) (created)
Gỡ lỗi NAT có thể được bật để xác minh switch nhận được lưu lượng truy cập và nếu nó tạo ra luồng NAT
NAT-Device#debug ip nat detailed IP NAT detailed debugging is on NAT-Device# *Mar 8 23:48:25.672: NAT: Entry assigned id 11 <-- receive traffic and flow created *Mar 8 23:48:25.672: NAT: i: icmp (192.168.1.100, 11) -> (10.20.30.40, 11) [55] *Mar 8 23:48:25.672: NAT: s=192.168.1.100->172.16.10.10, d=10.20.30.40 [55]NAT: dyn flow info download suppressed for flow 11 <-- source is translated *Mar 8 23:48:25.673: NAT: o: icmp (10.20.30.40, 11) -> (172.16.10.10, 11) [55] *Mar 8 23:48:25.674: NAT: s=10.20.30.40, d=172.16.10.10->192.168.1.100 [55]NAT: dyn flow info download suppressed for flow 11 <-- return source is translated *Mar 8 23:48:25.675: NAT: i: icmp (192.168.1.100, 11) -> (10.20.30.40, 11) [56] <snip>
Khi port hết hạn hoặc bị xóa, bạn sẽ thấy hành động DELETE trong các gỡ lỗi
*Mar 31 17:58:31.344: FMANRP-NAT: Received flow data, action: DELETE <-- action is delete *Mar 31 17:58:31.344: id 2, flags 0x1, domain 0 src_local_addr 192.168.1.100, src_global_addr 172.16.10.10, dst_local_addr 10.20.30.40, dst_global_addr 10.20.30.40, src_local_port 31783, src_global_port 31783, dst_local_port 23, dst_global_port 23, proto 6, table_id 0 inside_mapping_id 0, outside_mapping_id 0, inside_mapping_type 0, outside_mapping_type 0
Xác Thực Phần Cứng Static NAT
Khi quy tắc NAT được cấu hình, thiết bị sẽ lập trình quy tắc này trong TCAM dưới NAT Vùng 5. Xác nhận quy tắc được lập trình trong TCAM.
Các đầu ra ở dạng hex vì vậy cần phải chuyển đổi sang địa chỉ IP.
NAT-Device#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (370) type 6 asic 3 ======================================================== Printing entries for region NAT_2 (371) type 6 asic 3 ======================================================== Printing entries for region NAT_3 (372) type 6 asic 3 ======================================================== Printing entries for region NAT_4 (373) type 6 asic 3 ======================================================== Printing entries for region NAT_5 (374) type 6 asic 3 <-- NAT Region 5 ======================================================== TAQ-2 Index-128 (A:1,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 3300f000:00000000:00000000:00000000:00000000:00000000:00000000:ffffffff Key1 21009000:00000000:00000000:00000000:00000000:00000000:00000000:c0a80164 <-- inside local IP address 192.168.1.100 in hex (c0a80164) AD 10087000:00000073 TAQ-2 Index-129 (A:1,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 0300f000:00000000:00000000:00000000:00000000:00000000:ffffffff:00000000 Key1 02009000:00000000:00000000:00000000:00000000:00000000:ac100a0a:00000000 <-- inside global IP address 172.16.10.10 in hex (ac100a0a) AD 10087000:00000073
Cuối cùng, khi luồng hoạt động, lập trình phần cứng có thể được xác nhận bằng cách xác minh TCAM theo NAT Vùng 1.
NAT-Device#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (370) type 6 asic 1 <-- NAT Region 1 ======================================================== TAQ-2 Index-32 (A:0,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 0000f000:ff00ffff:00000000:0000ffff:00000000:00000000:ffffffff:ffffffff Key1 00009000:06005ac9:00000000:00000017:00000000:00000000:0a141e28:c0a80164 AD 10087000:000000b0 TAQ-2 Index-33 (A:0,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 0000f000:ff00ffff:00000000:0000ffff:00000000:00000000:ffffffff:ffffffff Key1 00009000:06000017:00000000:00005ac9:00000000:00000000:ac100a0a:0a141e28 AD 10087000:000000b1 Starting at Index-32 Key1 from right to left: c0a80164 = 192.168.1.100 (Inside Local) 0a141e28 = 10.20.30.40 (Outside Global) 00000017 = 23 (TCP destination port) 06005ac9 = 06 for TCP and 5ac9 is 23241 which is source port from "show ip nat translations" of the inside host Repeat the same for Index-33 which is the reverse translation: 0a141e28 = 10.20.30.40 (Outside Global) ac100a0a = 172.16.10.10 (Inside Global) 00005ac9 = 23241 TCP Destination port 06000017 = 06 for TCP and 17 for TCP source port 23
Hướng Dẫn Xác Thực Dynamic NAT Trên Cisco Catalyst 9000 Series
Xác Thực Phần Mềm Dynamic NAT
Xác nhận nhóm địa chỉ để dịch các địa chỉ IP bên trong được định cấu hình.
Cấu hình này cho phép dịch mạng 192.168.1.0/24 thành các địa chỉ 172.16.10.1 đến 172.16.10.254
NAT-Device#show run | i ip nat ip nat inside <-- ip nat inside on inside interface ip nat outside <-- ip nat outside on outside interface ip nat pool MYPOOL 172.16.10.1 172.16.10.254 netmask 255.255.255.0 <-- Pool of addresses to translate to ip nat inside source list hosts pool MYPOOL <-- Enables hosts that match ACL "hosts" to be translated to MYPOOL addresses NAT-Device#show ip access-list 10 <-- ACL to match hosts to be translated Standard IP access list 10 10 permit 192.168.1.0, wildcard bits 0.0.0.255 NAT-Device#
Lưu ý với dynamic NAT, nó không tạo bất kỳ mục nhập nào chỉ với cấu hình. Một quy trình hoạt động cần được tạo trước khi bảng dịch được điền.
NAT-Device#show ip nat translations <...empty...>
Kiểm tra thống kê NAT. Bộ đếm lượt truy cập NAT tăng lên khi luồng phù hợp với quy tắc NAT và được tạo.
NAT bỏ lỡ bộ đếm tăng lên khi lưu lượng truy cập khớp với một quy tắc nhưng chúng tôi không thể tạo bản dịch.
NAT-DEVICE#show ip nat statistics Total active translations: 3794 (1 static, 3793 dynamic; 3793 extended) <-- dynamic translations Outside interfaces: TenGigabitEthernet1/0/1 <-- NAT outside interface Inside interfaces: TenGigabitEthernet1/0/2 <-- NAT inside interface Hits: 3793 Misses: 0 <-- 3793 hits CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: <-- rule for dynamic mappings -- Inside Source [Id: 1] access-list hosts interface TenGigabitEthernet1/0/1 refcount 3793 <-- NAT rule displayed
Xác nhận thời gian liền kề với nguồn và đích là hiện tại
NAT-Device#show platform software adjacency switch active f0 Number of adjacency objects: 4 Adjacency id: 0x24(36) <-- adjacency ID Interface: TenGigabitEthernet1/0/2, IF index: 53, Link Type: MCP_LINK_IP Encap: 34:db:fd:ee:ce:e4:70:1f:53:0:b8:d6:8:0 Encap Length: 14, Encap Type: MCP_ET_ARPA, MTU: 1500 Flags: no-l3-inject Incomplete behavior type: None Fixup: unknown Fixup_Flags_2: unknown Nexthop addr: 10.10.10.2 <-- adjacency to destination IP FRR MCP_ADJ_IPFRR_NONE 0 aom id: 449, HW handle: (nil) (created) Adjacency id: 0x25 (37) <-- adjacency ID Interface: TenGigabitEthernet1/0/1, IF index: 52, Link Type: MCP_LINK_IP Encap: 0:ca:e5:27:3f:e4:70:1f:53:0:b8:e4:8:0 Encap Length: 14, Encap Type: MCP_ET_ARPA, MTU: 1500 Flags: no-l3-inject Incomplete behavior type: None Fixup: unknown Fixup_Flags_2: unknown Nexthop addr: 192.168.1.100 <-- source adjacency IP FRR MCP_ADJ_IPFRR_NONE 0 aom id: 451, HW handle: (nil) (created)
Sau khi điều chỉnh được xác nhận nếu có vấn đề với NAT, bạn có thể bắt đầu với gỡ lỗi NAT độc lập với nền tảng
NAT-Device#debug ip nat IP NAT debugging is on NAT-Device#debug ip nat detailed IP NAT detailed debugging is on NAT-Device#show logging *May 13 01:00:41.136: NAT: Entry assigned id 6 *May 13 01:00:41.136: NAT: Entry assigned id 7 *May 13 01:00:41.136: NAT: i: tcp (192.168.1.100, 48308) -> (10.20.30.40, 23) [30067] <-- first packet ingress without NAT *May 13 01:00:41.136: NAT: TCP Check for Limited ALG Support *May 13 01:00:41.136: NAT: s=192.168.1.100->172.16.10.10, d=10.20.30.40 [30067]NAT: dyn flow info download suppressed for flow 7 <-- confirms source address translation *May 13 01:00:41.136: NAT: attempting to setup alias for 172.16.10.10 (redundancy_name , idb NULL, flags 0x2), rg_id 0 tableid 0 use_tableid 0 *May 13 01:00:41.139: NAT: o: tcp (10.20.30.40, 23) -> (172.16.10.10, 48308) [40691] <-- return packet from destination to be translated *May 13 01:00:41.139: NAT: TCP Check for Limited ALG Support *May 13 01:00:41.139: NAT: s=10.20.30.40, d=172.16.10.10->192.168.1.100 [40691]NAT: dyn flow info download suppressed for flow 7 <-- return packet is translated *May 13 01:00:41.140: NAT: i: tcp (192.168.1.100, 48308) -> (10.20.30.40, 23) [30068]
Bạn cũng có thể gỡ lỗi hoạt động NAT FMAN-RP:
NAT-Device#debug platform software nat all NAT platform all events debugging is on Log Buffer (100000 bytes): *May 13 01:04:16.098: FMANRP-NAT: Received flow data, action: ADD <-- first packet in flow so we ADD an entry *May 13 01:04:16.098: id 9, flags 0x1, domain 0 src_local_addr 192.168.1.100, src_global_addr 172.16.10.10, dst_local_addr 10.20.30.40, <-- verify inside local/global and outside local/global dst_global_addr 10.20.30.40, src_local_port 32529, src_global_port 32529, dst_local_port 23, dst_global_port 23, <-- confirm ports, in this case they are for Telnet proto 6, table_id 0 inside_mapping_id 1, outside_mapping_id 0, inside_mapping_type 2, outside_mapping_type 0 *May 13 01:04:16.098: FMANRP-NAT: Created TDL message for flow info: ADD id 9 *May 13 01:04:16.098: FMANRP-NAT: Sent TDL message for flow data config: ADD id 9 *May 13 01:04:16.098: FMANRP-NAT: Received flow data, action: MODIFY <-- subsequent packets are MODIFY *May 13 01:04:16.098: id 9, flags 0x1, domain 0 src_local_addr 192.168.1.100, src_global_addr 172.16.10.10, dst_local_addr 10.20.30.40, dst_global_addr 10.20.30.40, src_local_port 32529, src_global_port 32529, dst_local_port 23, dst_global_port 23, proto 6, table_id 0 inside_mapping_id 1, outside_mapping_id 0, inside_mapping_type 2, outside_mapping_type 0 *May 13 01:04:16.098: FMANRP-NAT: Created TDL message for flow info: MODIFY id 9 *May 13 01:04:16.098: FMANRP-NAT: Sent TDL message for flow data config: MODIFY id 9
Nếu quy tắc bị xóa vì bất kỳ lý do gì, chẳng hạn như hết hạn hoặc bị xóa theo cách thủ công, hành động DELETE sẽ được tuân theo:
*May 13 01:05:20.276: FMANRP-NAT: Received flow data, action: DELETE <-- DELETE action *May 13 01:05:20.276: id 9, flags 0x1, domain 0 src_local_addr 192.168.1.100, src_global_addr 172.16.10.10, dst_local_addr 10.20.30.40, dst_global_addr 10.20.30.40, src_local_port 32529, src_global_port 32529, dst_local_port 23, dst_global_port 23, proto 6, table_id 0 inside_mapping_id 0, outside_mapping_id 0, inside_mapping_type 0, outside_mapping_type 0
Xác Thực Phần Cứng Dynamic NAT
Kiểm tra xem quy tắc NAT khớp với lưu lượng cần dịch có được thêm đúng cách vào phần cứng trong NAT Region 5 hay không:
NAT-Device#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (370) type 6 asic 1 <<<< empty due to no active flow ======================================================== Printing entries for region NAT_2 (371) type 6 asic 1 ======================================================== Printing entries for region NAT_3 (372) type 6 asic 1 ======================================================== Printing entries for region NAT_4 (373) type 6 asic 1 ======================================================== Printing entries for region NAT_5 (374) type 6 asic 1 ======================================================== TAQ-2 Index-128 (A:0,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 0300f000:00000000:00000000:00000000:00000000:00000000:fffffff8:00000000 Key1 02009000:00000000:00000000:00000000:00000000:00000000:ac100a00:00000000 AD 10087000:00000073 TAQ-2 Index-129 (A:0,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 3300f000:00000000:00000000:00000000:00000000:00000000:00000000:ffffff00 Key1 21009000:00000000:00000000:00000000:00000000:00000000:00000000:c0a80100 AD 10087000:00000073 ffffff00 = 255.255.255.0 in hex c0a80100 = 192.168.1.0 in hex which matches our network in the NAT ACL
Cuối cùng, bạn cần xác nhận bản dịch đang hoạt động được lập trình chính xác trong NAT TCAM Region 1
NAT-Device#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 172.16.10.10:54854 192.168.1.100:54854 10.20.30.40:23 10.20.30.40:23 --- 172.16.10.10 192.168.1.100 --- --- NAT-Device#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (370) type 6 asic 1 ======================================================== TAQ-2 Index-32 (A:0,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 0000f000:ff00ffff:00000000:0000ffff:00000000:00000000:ffffffff:ffffffff Key1 00009000:0600d646:00000000:00000017:00000000:00000000:0a141e28:c0a80164 AD 10087000:000000b0 TAQ-2 Index-33 (A:0,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 0000f000:ff00ffff:00000000:0000ffff:00000000:00000000:ffffffff:ffffffff Key1 00009000:06000017:00000000:0000d646:00000000:00000000:ac100a0a:0a141e28 AD 10087000:000000b1 Printing entries for region NAT_2 (371) type 6 asic 1 ======================================================== Printing entries for region NAT_3 (372) type 6 asic 1 ======================================================== Printing entries for region NAT_4 (373) type 6 asic 1 ======================================================== Printing entries for region NAT_5 (374) type 6 asic 1 ======================================================== Starting at Index-32 Key 1 from right to left: c0a80164 - 192.168.1.100 (inside local) 0a141e28 - 10.20.30.40 (outside local/global) 00000017 - TCP port 23 0600d646 - 6 for TCP protocol and 54854 for TCP source port Starting at Index-33 Key 1 from right to left 0a141e28 - 10.20.30.40 destination address ac100a0a - 172.16.10.10 (inside global source IP address) 0000d646 - TCP source port 06000017 - TCP protocol 6 and 23 for the TCP destination port
Xác Thực Dynamic NAT Overload (PAT)
Xác Thực Phần Mềm Dynamic NAT Overload (PAT)
Các quy trình log để xác minh PAT cũng giống như với dynamic NAT. Bạn chỉ cần xác nhận bản dịch port chính xác và các port được lập trình chính xác trong phần cứng
PAT hoàn thành khi từ khóa “overload” được thêm vào quy tắc NAT
NAT-Device#show run | i ip nat ip nat inside <-- ip nat inside on NAT inside interface ip nat outside <-- ip nat outside on NAT outside interface ip nat pool MYPOOL 172.16.10.1 172.16.10.254 netmask 255.255.255.0 <-- Address pool to translate to ip nat inside source list hosts pool MYPOOL overload <-- Links ACL hosts to address pool
Xác nhận nguồn và điểm đến liền kề là hiện tại
NAT-Device#show ip route 10.20.30.40 Routing entry for 10.20.30.40/32 Known via "static", distance 1, metric 0 Routing Descriptor Blocks: * 10.10.10.2 Route metric is 0, traffic share count is 1 NAT-Device#show platform software adjacency switch active f0 Number of adjacency objects: 4 Adjacency id: 0x24 (36) <-- adjacency ID Interface: TenGigabitEthernet1/0/2, IF index: 53, Link Type: MCP_LINK_IP Encap: 34:db:fd:ee:ce:e4:70:1f:53:0:b8:d6:8:0 Encap Length: 14, Encap Type: MCP_ET_ARPA, MTU: 1500 Flags: no-l3-inject Incomplete behavior type: None Fixup: unknown Fixup_Flags_2: unknown Nexthop addr: 10.10.10.2 <-- adjacency to destination IP FRR MCP_ADJ_IPFRR_NONE 0 aom id: 449, HW handle: (nil) (created) Adjacency id: 0x25 (37) <-- adjacency ID Interface: TenGigabitEthernet1/0/1, IF index: 52, Link Type: MCP_LINK_IP Encap: 0:ca:e5:27:3f:e4:70:1f:53:0:b8:e4:8:0 Encap Length: 14, Encap Type: MCP_ET_ARPA, MTU: 1500 Flags: no-l3-inject Incomplete behavior type: None Fixup: unknown Fixup_Flags_2: unknown Nexthop addr: 192.168.1.100 <-- source adjacency IP FRR MCP_ADJ_IPFRR_NONE 0 aom id: 451, HW handle: (nil) (created)
Xác nhận bản dịch được thêm vào bảng dịch khi luồng đang hoạt động. Lưu ý với PAT không có mục nhập một nửa được tạo như với Dynamic NAT.
Theo dõi số cổng trên địa chỉ inside local và địa chỉ inside global
NAT-Device#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 172.16.10.10:1024 192.168.1.100:52448 10.20.30.40:23 10.20.30.40:23
Kiểm tra thống kê NAT. Bộ đếm lượt truy cập NAT tăng lên khi luồng phù hợp với quy tắc NAT và được tạo.
NAT bỏ lỡ bộ đếm tăng lên khi lưu lượng truy cập khớp với một quy tắc nhưng chúng tôi không thể tạo bản dịch.
NAT-DEVICE#show ip nat statistics Total active translations: 3794 (1 static, 3793 dynamic; 3793 extended) <-- dynamic translations Outside interfaces: TenGigabitEthernet1/0/1 <-- NAT outside interface Inside interfaces: TenGigabitEthernet1/0/2 <-- NAT inside interface Hits: 3793 Misses: 0 <-- 3793 hits CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: <-- rule for dynamic mappings -- Inside Source [Id: 1] access-list hosts interface TenGigabitEthernet1/0/1 refcount 3793 <-- NAT rule displayed
Gỡ lỗi nền tảng NAT độc lập hiển thị phiên dịch port xảy ra
NAT-Device#debug ip nat detailed IP NAT detailed debugging is on NAT-Device#debug ip nat IP NAT debugging is on NAT-device#show logging Log Buffer (100000 bytes): *May 18 23:52:20.296: NAT: address not stolen for 192.168.1.100, proto 6 port 52448 *May 18 23:52:20.296: NAT: Created portlist for proto tcp globaladdr 172.16.10.10 *May 18 23:52:20.296: NAT: Allocated Port for 192.168.1.100 -> 172.16.10.10: wanted 52448 got 1024<-- confirms PAT is used *May 18 23:52:20.296: NAT: Entry assigned id 5 *May 18 23:52:20.296: NAT: i: tcp (192.168.1.100, 52448) -> (10.20.30.40, 23) [63338] *May 18 23:52:20.296: NAT: TCP Check for Limited ALG Support *May 18 23:52:20.296: NAT: TCP s=52448->1024, d=23 <-- confirms NAT overload with PAT *May 18 23:52:20.296: NAT: s=192.168.1.100->172.16.10.10, d=10.20.30.40 [63338]NAT: dyn flow info download suppressed for flow 5 <-- shows inside translation *May 18 23:52:20.297: NAT: attempting to setup alias for 172.16.10.10 (redundancy_name , idb NULL, flags 0x2), rg_id 0 tableid 0 use_tableid 0 *May 18 23:52:20.299: NAT: o: tcp (10.20.30.40, 23) -> (172.16.10.10, 1024) [55748] *May 18 23:52:20.299: NAT: TCP Check for Limited ALG Support *May 18 23:52:20.299: NAT: TCP s=23, d=1024->52448 <-- shows PAT on return traffic *May 18 23:52:20.299: NAT: s=10.20.30.40, d=172.16.10.10->192.168.1.100 [55748]NAT: dyn flow info download suppressed for flow 5
NAT-Device#debug platform software nat all NAT platform all events debugging is on NAT-Device# *May 18 23:52:20.301: FMANRP-NAT: Received flow data, action: ADD <-- first packet in flow ADD operation *May 18 23:52:20.301: id 5, flags 0x5, domain 0 src_local_addr 192.168.1.100, src_global_addr 172.16.10.10, dst_local_addr 10.20.30.40, <-- source translation dst_global_addr 10.20.30.40, src_local_port 52448, src_global_port 1024, <-- port translation dst_local_port 23, dst_global_port 23, proto 6, table_id 0 inside_mapping_id 1, outside_mapping_id 0, inside_mapping_type 2, outside_mapping_type 0 <snip>
Xác Thực Phần Cứng Dynamic NAT Overload (PAT)
Xác nhận quy tắc NAT được cài đặt đúng cách trong phần cứng trong NAT Region 5
NAT-Device#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (370) type 6 asic 1 <-- NAT_1 empty due to no active flow ======================================================== Printing entries for region NAT_2 (371) type 6 asic 1 ======================================================== Printing entries for region NAT_3 (372) type 6 asic 1 ======================================================== Printing entries for region NAT_4 (373) type 6 asic 1 ======================================================== Printing entries for region NAT_5 (374) type 6 asic 1 ======================================================== TAQ-2 Index-128 (A:0,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 0300f000:00000000:00000000:00000000:00000000:00000000:fffffffc:00000000 Key1 02009000:00000000:00000000:00000000:00000000:00000000:ac100a00:00000000 AD 10087000:00000073 TAQ-2 Index-129 (A:0,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 3300f000:00000000:00000000:00000000:00000000:00000000:00000000:ffffff00 Key1 21009000:00000000:00000000:00000000:00000000:00000000:00000000:c0a80100 AD 10087000:00000073 ffffff00 = 255.255.255.0 in hex for our subnet mask in NAT ACL c0a80100 = 192.168.1.0 in hex for our network address in NAT ACL
Cuối cùng, bạn có thể kiểm tra luồng NAT được lập trình trong TCAM phần cứng theo NAT_Region 1 khi luồng hoạt động
NAT-Device#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 172.16.10.10:1024 192.168.1.100:20027 10.20.30.40:23 10.20.30.40:23 NAT-Device#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (370) type 6 asic 1 <-- NAT region 1 ======================================================== TAQ-2 Index-32 (A:0,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 0000f000:ff00ffff:00000000:0000ffff:00000000:00000000:ffffffff:ffffffff Key1 00009000:06004e3b:00000000:00000017:00000000:00000000:0a141e28:c0a80164 AD 10087000:000000b0 TAQ-2 Index-33 (A:0,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 0000f000:ff00ffff:00000000:0000ffff:00000000:00000000:ffffffff:ffffffff Key1 00009000:06000017:00000000:00000400:00000000:00000000:0a141e28:0a141e28 AD 10087000:000000b1 Starting at Index-32 Key1 from right to left: c0a80164 - 192.168.1.100 (inside local source address) 0a141e28 - 10.20.30.40 (inside global address/outside local address) 00000017 - 23 (TCP destination port) 06004e3b - TCP source port 20027 (4e3b) and TCP protocol 6 Starting at Index-33 Key1 from right to left: 0a141e28 - 10.20.30.40 (outside global address/outside local address) ac100a0a - 172.16.10.10 (inside global) 00000400 - TCP inside global source port 1024 06000017 - TCP protocol 6 and TCP source port 23
HƯỚNG DẪN SỬA CÁC LỖI LIÊN QUAN ĐẾN NAT TRÊN SWITCH CISCO CATALYST 9000
Sửa Lỗi Packet Level
Gói đầu tiên trong luồng phù hợp với quy tắc NAT trong phần cứng phải được chuyển tới CPU của thiết bị để xử lý. Để xem kết quả gỡ lỗi liên quan đến đường dẫn punt, bạn có thể bật các dấu vết đường dẫn punt của FED đến gỡ lỗi level để đảm bảo gói tin được ngắt. Lưu lượng NAT cần tài nguyên CPU đi vào hàng đợi CPU Transit Traffic.
Kiểm tra xem Transit Traffic CPU Queue có thấy các gói actively đóng góp vào nó hay không
NAT-DEVICE#show platform software fed switch active punt cpuq clear <-- clear statistics NAT-DEVICE#show platform software fed switch active punt cpuq 18 <-- transit traffic queue Punt CPU Q Statistics =========================================== CPU Q Id : 18 CPU Q Name : CPU_Q_TRANSIT_TRAFFIC Packets received from ASIC : 0 <-- no punt traffic for NAT Send to IOSd total attempts : 0 Send to IOSd failed count : 0 RX suspend count : 0 RX unsuspend count : 0 RX unsuspend send count : 0 RX unsuspend send failed count : 0 RX consumed count : 0 RX dropped count : 0 RX non-active dropped count : 0 RX conversion failure dropped : 0 RX INTACK count : 0 RX packets dq'd after intack : 0 Active RxQ event : 0 RX spurious interrupt : 0 RX phy_idb fetch failed: 0 RX table_id fetch failed: 0 RX invalid punt cause: 0 Replenish Stats for all rxq: ------------------------------------------- Number of replenish : 0 Number of replenish suspend : 0 Number of replenish un-suspend : 0 ------------------------------------------- NAT-DEVICE#show platform software fed switch active punt cpuq 18 <-- after new translation Punt CPU Q Statistics =========================================== CPU Q Id : 18 CPU Q Name : CPU_Q_TRANSIT_TRAFFIC Packets received from ASIC : 5 <-- confirms the UADP ASIC punts to CPU to create translation Send to IOSd total attempts : 5 Send to IOSd failed count : 0 RX suspend count : 0 RX unsuspend count : 0 RX unsuspend send count : 0 RX unsuspend send failed count : 0 RX consumed count : 0 RX dropped count : 0 RX non-active dropped count : 0 RX conversion failure dropped : 0 RX INTACK count : 5 RX packets dq'd after intack : 0 Active RxQ event : 5 RX spurious interrupt : 0 RX phy_idb fetch failed: 0 RX table_id fetch failed: 0 RX invalid punt cause: 0 Replenish Stats for all rxq: ------------------------------------------- Number of replenish : 18 Number of replenish suspend : 0 Number of replenish un-suspend : 0 -------------------------------------------
Sửa Lỗi NAT Scale
Số lượng mục nhập NAT TCAM tối đa được phần cứng hỗ trợ được thể hiện trong bảng dưới đây
| Nền Tảng | Số Mục TCAM Tối Đa |
| Catalyst 9300 | 5000 |
| Catalyst 9400 | 14000 |
| Catalyst 9500 | 14000 |
| Catalyst 9500 High Performance | 15500 |
| Catalyst 9600 | 15500 |
Nếu bạn nghi ngờ có vấn đề với quy mô, bạn có thể xác nhận tổng số bản dịch TCP/UDP NAT để kiểm tra giới hạn của mỗi nền tảng
NAT-Device#show ip nat translations | count tcp Number of lines which match regexp = 621 <-- current number of TCP translations NAT-Device#show ip nat translations | count udp Number of lines which match regexp = 4894 <-- current number of UDP translations
Nếu bạn đã sử dụng hết dung lượng NAT TCAM thì mô-đun NAT trong phần cứng chuyển đổi không thể xử lý các bản dịch này. Trong trường hợp này, lưu lượng truy cập tuân theo bản dịch NAT được chuyển sang CPU của thiết bị để xử lý ..
Điều này có thể gây ra độ trễ và có thể được xác nhận thông qua các giọt gia tăng trong hàng đợi trình kiểm soát mặt phẳng điều khiển, chịu trách nhiệm về lưu lượng truy cập NAT. Hàng đợi CPU nơi lưu lượng NAT đi là “Transit Traffic”.
NAT-Device#show platform hardware fed switch active qos queue stats internal cpu policer CPU Queue Statistics ============================================================================================ (default) (set) Queue Queue QId PlcIdx Queue Name Enabled Rate Rate Drop(Bytes) Drop(Frames) -------------------------------------------------------------------------------------------- <snip> 14 13 Sw forwarding Yes 1000 1000 0 0 15 8 Topology Control Yes 13000 16000 0 0 16 12 Proto Snooping Yes 2000 2000 0 0 17 6 DHCP Snooping Yes 500 500 0 0 18 13 Transit Traffic Yes 1000 1000 34387271 399507 <-- drops for NAT traffic headed towards the CPU 19 10 RPF Failed Yes 250 250 0 0 20 15 MCAST END STATION Yes 2000 2000 0 0 <snip>
Xác nhận không gian NAT TCAM có sẵn trong phiên bản 17.x. Đầu ra này là từ Cisco Catalyst 9300 với mẫu NAT được kích hoạt để không gian được tối đa hóa.
NAT-DEVICE#show platform hardware fed switch active fwd-asic resource tcam utilization Codes: EM - Exact_Match, I - Input, O - Output, IO - Input & Output, NA - Not Applicable CAM Utilization for ASIC [0] Table Subtype Dir Max Used %Used V4 V6 MPLS Other ------------------------------------------------------------------------------------------------------ Mac Address Table EM I 32768 22 0.07% 0 0 0 22 Mac Address Table TCAM I 1024 21 2.05% 0 0 0 21 L3 Multicast EM I 8192 0 0.00% 0 0 0 0 L3 Multicast TCAM I 512 9 1.76% 3 6 0 0 L2 Multicast EM I 8192 0 0.00% 0 0 0 0 L2 Multicast TCAM I 512 11 2.15% 3 8 0 0 IP Route Table EM I 24576 16 0.07% 15 0 1 0 IP Route Table TCAM I 8192 25 0.31% 12 10 2 1 QOS ACL TCAM IO 1024 85 8.30% 28 38 0 19 Security ACL TCAM IO 5120 148 2.89% 27 76 0 45 Netflow ACL TCAM I 256 6 2.34% 2 2 0 2 PBR ACL TCAM I 5120 24 0.47% 18 6 0 0 <-- NAT usage in PBR TCAM Netflow ACL TCAM O 768 6 0.78% 2 2 0 2 Flow SPAN ACL TCAM IO 1024 13 1.27% 3 6 0 4 Control Plane TCAM I 512 281 54.88% 130 106 0 45 Tunnel Termination TCAM I 512 18 3.52% 8 10 0 0 Lisp Inst Mapping TCAM I 512 1 0.20% 0 0 0 1 Security Association TCAM I 256 4 1.56% 2 2 0 0 Security Association TCAM O 256 5 1.95% 0 0 0 5 CTS Cell Matrix/VPN Label EM O 8192 0 0.00% 0 0 0 0 CTS Cell Matrix/VPN Label TCAM O 512 1 0.20% 0 0 0 1 Client Table EM I 4096 0 0.00% 0 0 0 0 Client Table TCAM I 256 0 0.00% 0 0 0 0 Input Group LE TCAM I 1024 0 0.00% 0 0 0 0 Output Group LE TCAM O 1024 0 0.00% 0 0 0 0 Macsec SPD TCAM I 256 2 0.78% 0 0 0 2
Xác nhận không gian NAT TCAM có sẵn trong phiên bản 16.x. Đầu ra này là từ Cisco Catalyst 9300 với mẫu SDM Access nên không gian khả dụng cho các mục NAT TCAM không được tối đa hóa.
NAT-DEVICE#show platform hardware fed switch active fwd-asic resource tcam utilization CAM Utilization for ASIC [0] Table Max Values Used Values -------------------------------------------------------------------------------- Unicast MAC addresses 32768/1024 20/21 L3 Multicast entries 8192/512 0/9 L2 Multicast entries 8192/512 0/11 Directly or indirectly connected routes 24576/8192 5/23 QoS Access Control Entries 5120 85 Security Access Control Entries 5120 145 Ingress Netflow ACEs 256 8 Policy Based Routing ACEs 1024 24 <-- NAT usage in PRB TCAM Egress Netflow ACEs 768 8 Flow SPAN ACEs 1024 13 Control Plane Entries 512 255 Tunnels 512 17 Lisp Instance Mapping Entries 2048 3 Input Security Associations 256 4 SGT_DGT 8192/512 0/1 CLIENT_LE 4096/256 0/0 INPUT_GROUP_LE 1024 0 OUTPUT_GROUP_LE 1024 0 Macsec SPD 256 2
Không gian phần cứng có sẵn cho NAT TCAM có thể được tăng lên bằng cách thay đổi mẫu SDM để thích NAT hơn. Điều này phân bổ hỗ trợ phần cứng cho số lượng mục TCAM tối đa.
NAT-Device#conf t Enter configuration commands, one per line. End with CNTL/Z. NAT-Device(config)#sdm prefer nat
Nếu bạn so sánh SDM trước và sau khi chuyển đổi sang mẫu NAT, bạn có thể xác nhận rằng không gian TCAM có thể sử dụng được hoán đổi cho QoS Access Control Entries và Policy Based Routing (PBR) ACE’s.
PBR TCAM là nơi NAT được lập trình.
NAT-Device#show sdm prefer Showing SDM Template Info This is the Access template. Number of VLANs: 4094 Unicast MAC addresses: 32768 Overflow Unicast MAC addresses: 1024 L2 Multicast entries: 8192 Overflow L2 Multicast entries: 512 L3 Multicast entries: 8192 Overflow L3 Multicast entries: 512 Directly connected routes: 24576 Indirect routes: 8192 Security Access Control Entries: 5120 QoS Access Control Entries: 5120 Policy Based Routing ACEs: 1024 <-- NAT <...snip...> NAT-Device#show sdm prefer Showing SDM Template Info This is the NAT template. Number of VLANs: 4094 Unicast MAC addresses: 32768 Overflow Unicast MAC addresses: 1024 L2 Multicast entries: 8192 Overflow L2 Multicast entries: 512 L3 Multicast entries: 8192 Overflow L3 Multicast entries: 512 Directly connected routes: 24576 Indirect routes: 8192 Security Access Control Entries: 5120 QoS Access Control Entries: 1024 Policy Based Routing ACEs: 5120 <-- NAT <snip>
Address Only Translation (AOT)
AOT là một cơ chế có thể được sử dụng khi yêu cầu đối với NAT là chỉ dịch trường địa chỉ IP chứ không phải các cổng layer 4 của luồng. Nếu điều này đáp ứng các yêu cầu thì AOT có thể tăng đáng kể số lượng luồng được dịch và chuyển tiếp trong phần cứng.
- AOT hiệu quả nhất khi phần lớn các luồng NAT được hướng đến một hoặc một nhóm nhỏ các điểm đến.
- AOT bị tắt theo mặc định. Sau khi nó được kích hoạt, cần phải xóa các bản dịch NAT hiện tại.
Điều này có nghĩa là các cấu hình NAT khả thi duy nhất cho phép AOT là:
#ip nat inside source static <source> <destination> #ip nat inside source list <list> pool <pool name>
Bạn có thể kích hoạt AOT bằng lệnh này:
NAT-Device(config)#no ip nat create flow-entries
Xác nhận quy tắc AOT NAT được lập trình chính xác. Đầu ra này là từ bản dịch static NAT
NAT-DEVICE#show running-config | include ip nat ip nat outside ip nat inside no ip nat create flow-entries <-- AOT enabled ip nat inside source static 10.10.10.100 172.16.10.10 <-- static NAT enabled NAT-DEVICE#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (376) type 6 asic 1 ======================================================== Printing entries for region NAT_2 (377) type 6 asic 1 ======================================================== Printing entries for region NAT_3 (378) type 6 asic 1 ======================================================== Printing entries for region NAT_4 (379) type 6 asic 1 ======================================================== Printing entries for region NAT_5 (380) type 6 asic 1 ======================================================== TAQ-1 Index-864 (A:0,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 3300f000:00000000:00000000:00000000:00000000:00000000:00000000:ffffffff Key1 21009000:00000000:00000000:00000000:00000000:00000000:00000000:0a0a0a64 AD 10087000:00000073 TAQ-1 Index-865 (A:0,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 0300f000:00000000:00000000:00000000:00000000:00000000:ffffffff:00000000 Key1 02009000:00000000:00000000:00000000:00000000:00000000:ac100a0a:00000000 AD 10087000:00000073 0a0a0a64 = 10.10.10.100 (inside local) ac100a0a = 172.16.10.10 (inside global)
Xác minh mục nhập AOT trong TCAM thông qua xác nhận rằng chỉ địa chỉ IP nguồn và đích được lập trình khi luồng hoạt động.
NAT-DEVICE#show platform hardware fed switch active fwd-asic resource tcam table pbr record 0 format 0 | begin NAT_1 Printing entries for region NAT_1 (376) type 6 asic 1 ======================================================== Printing entries for region NAT_2 (377) type 6 asic 1 ======================================================== TAQ-1 Index-224 (A:0,C:1) Valid StartF-1 StartA-1 SkipF-0 SkipA-0 Mask1 0000f000:00000000:00000000:00000000:00000000:00000000:ffffffff:ffffffff Key1 00009000:00000000:00000000:00000000:00000000:00000000:c0a80164:0a0a0a64 <-- no L4 ports, only source and destination IP is programmed AD 10087000:000000b2 TAQ-1 Index-225 (A:0,C:1) Valid StartF-0 StartA-0 SkipF-0 SkipA-0 Mask1 0000f000:00000000:00000000:00000000:00000000:00000000:ffffffff:00000000 Key1 00009000:00000000:00000000:00000000:00000000:00000000:ac100a0a:00000000 AD 10087000:000000b3 0a0a0a64 = 10.10.10.100 in hex (inside local IP address) c0a80164 = 192.168.1.100 in hex (outside local/outside global) ac100a0a = 172.16.10.10 (inside global)
KẾT LUẬN
Như vậy là qua bài viết này, quản trị viên của Cisco Việt Nam ™ đã gửi đến quý khách hàng cũng như các bạn độc giả hướng dẫn cấu hình và xác thực NAT trên dòng sản phẩm Switch Cisco Catalyst 9000.
Cisco Việt Nam ™ là một địa chỉ phân phối Switch Cisco chính hãng uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của nhà sản xuất. Hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.
Cisco Việt Nam ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn). Giúp thuận tiện cho khách hàng có như cầu mua Switch Cisco Catalyst 9000 Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm máy chủ chính hãng đến với khách hàng..
Ngoài ra thì chúng tôi phân phối Cisco chính hãng trên toàn quốc, Do đó nếu khách hàng không ở có điều kiện để đến trực tiếp văn phòng của chúng tôi tại Hà Nội và Sài Gòn thì có thể liên hệ với chúng tôi để nhận thông tin về báo giá, tình trạng hàng hoá, chương trình khuyến mại…
Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Đặt Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Switch Cisco Catalyst 9000 Chính Hãng, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của Cisco Việt Nam ™. Quý khách cũng có thể liên hệ tới văn phòng của chúng tôi tại Hà Nội và Sài Gòn theo thông tin sau:
Địa Chỉ Phân Phối Cisco Catalyst 9000 Chính Hãng Giá Tốt Tại Hà Nội
- Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
- Hotline/Zalo: 0967.40.70.80
- Email: info@anbinhnet.com.vn
- Website: https://ciscovietnam.com/
Địa Chỉ Phân Phối Cisco Catalyst 9000 Chính Hãng Giá Tốt Tại Sài Gòn (TP HCM)
- Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
- Hotline/Zalo: 0967.40.70.80
- Email: info@anbinhnet.com.vn
- Website: https://ciscovietnam.com/
Nguồn: https://anbinhnet.com.vn/cau-hinh-va-xac-thuc-nat-tren-cisco-catalyst-9000/
