El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
En este documento se describe cómo solucionar problemas de conectividad IP en un entorno NAT.
No hay requisitos específicos para este documento.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Este documento describe cómo resolver problemas de conectividad IP en un entorno NAT revisando los dos ejemplos siguientes:
Los siguientes pasos básicos son útiles para determinar si hay un problema en las operaciones de NAT:
1. Verifique la configuración y defina claramente lo que se supone que debe lograr NAT. Según la revisión, puede determinar si hay un problema con la configuración. Para obtener información sobre la configuración de NAT, consulte Configure Network Address Translation.
2. Verifique que existan traducciones correctas en la tabla de traducción.
3. Utilice los comandos show y debug para verificar que se produce la traducción.
4. Revise en detalle lo que le sucede al paquete y verifique que los routers tengan la información de ruteo correcta para reenviar el paquete.
En esta primera situación, el Router 4 puede hacer ping al Router 5 (172.16.6.5) pero no al Router 7 (172.16.11.7):
Router4#ping 172.16.6.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/2 ms
Router4#ping 172.16.11.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router4#
Consideraciones importantes sobre este escenario:
interface GigabitEthernet1
ip address 172.16.11.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet2
ip address 172.16.6.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet3
ip address 10.10.10.6 255.255.255.0
ip nat inside
negotiation auto
no mop enabled
no mop sysid
!
!
ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24 ip nat inside source static 10.10.10.4 172.16.6.14 ip nat inside source list 7 pool test
!
ip access-list standard 7
10 permit 10.10.50.4
20 permit 10.10.60.4
30 permit 10.10.70.4
1. En primer lugar, debe determinar que NAT funciona correctamente. A partir de la configuración anterior, se puede determinar que la dirección IP 10.10.10.4 del Router 4 se traduce estáticamente a 172.16.6.14. Puede utilizar el comando show ip nat translation en el router 6 para comprobar que la traducción existe en la tabla de traducción:
NAT-Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 172.16.6.14 10.10.10.4 --- ---
Total number of translations: 1
NAT-Router#
2. Asegúrese de que esta traducción ocurra cuando el Router 4 origine tráfico IP. Puede hacer esto de dos maneras desde el router 6. Ejecute un debug de NAT o monitoree las estadísticas de NAT con el comando show ip nat statistics. Debido a que los comandos debug son el último recurso, comience con el comando show.
3. Supervise el contador para asegurarse de que aumente a medida que recibe tráfico del Router 4. El contador aumenta cada vez que se utiliza la tabla de traducción para traducir una dirección.
4. Borre las estadísticas, muéstrelas y, a continuación, intente hacer ping al router 7 desde el router 4 y vuelva a mostrar las estadísticas.
NAT-Router#clear ip nat statistics
NAT-Router#
NAT-Router#show ip nat statistics
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
GigabitEthernet1, GigabitEthernet2
Inside interfaces:
GigabitEthernet3
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 7 pool test refcount 0
pool test: id 1, netmask 255.255.255.0
start 172.16.11.70 end 172.16.11.71
type generic, total addresses 2, allocated 0 (0%), misses 0
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0 Out-to-in drops: 0
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT-Router#
Después de utilizar el comando ping 172.16.11.7 en el Router 4, las estadísticas de NAT en el Router 6 son:
Router4#ping 172.16.11.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Router4#
NAT-Router#show ip nat statistics
Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
GigabitEthernet1, GigabitEthernet2
Inside interfaces:
GigabitEthernet3
Hits: 4 Misses: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 7 pool test refcount 0
pool test: id 1, netmask 255.255.255.0
start 172.16.11.70 end 172.16.11.71
type generic, total addresses 2, allocated 0 (0%), misses 0
nat-limit statistics:
max entry: max allowed 0, used 0, missed 0
In-to-out drops: 0 Out-to-in drops: 0
Pool stats drop: 0 Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0
NAT-Router#
Puede ver en los comandos show el número de aciertos incrementados. En un ping exitoso de un router Cisco, el número de aciertos aumenta en diez. Los ecos del protocolo de mensajes de control de Internet (ICMP) enviados por el router de origen (router 4) se traducen, y los paquetes de respuesta de eco del router de destino (router 7) también deben traducirse para obtener un total de diez resultados. La pérdida de cinco aciertos se debe a que las respuestas de eco no se traducen o no se envían desde el Router 7.
A continuación, vea si puede encontrar alguna razón por la que el Router 7 no enviaría los paquetes de respuesta de eco al Router 4. En este momento, se han dado los siguientes pasos:
Nota: Otra opción para confirmar si los paquetes llegan al router de destino es utilizar una captura de paquetes incrustada (EPC) o un paquete debug ip icmp/debug ip con una lista de acceso (ACL).
Ahora, debe verificar la tabla de ruteo del Router 7 para verificar si existe una ruta a 172.16.6.14:
Router7#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.16.11.0/24 is directly connected, GigabitEthernet1
L 172.16.11.7/32 is directly connected, GigabitEthernet1
Router7#
A partir del resultado anterior, puede observar que el Router 7 no tiene una ruta para la subred 172.16.6.14 en su tabla de ruteo. Una vez que se corrige esto y se agrega una ruta a la configuración, el ping funciona. Es útil monitorear las estadísticas de NAT con el comando show ip nat statistics. Sin embargo, en un entorno NAT más complejo con varias traducciones, este comando show ya no es útil y se necesita el uso de depuraciones en el router.
Router7#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router7(config)#ip route 172.16.6.0 255.255.255.0 172.16.11.6 Router7(config)#end Router7#
Router4#ping 172.16.11.7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms Router4#
NAT-Router#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 1 extended) Outside interfaces: GigabitEthernet1, GigabitEthernet2 Inside interfaces: GigabitEthernet3 Hits: 9 Misses: 1 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list 7 pool test refcount 0 pool test: id 1, netmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated 0 (0%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 In-to-out drops: 0 Out-to-in drops: 0 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 NAT-Router#
Para este problema, el Router 4 puede hacer ping al Router 5 y al Router 7, pero los dispositivos en la red 10.10.50.0 no pueden comunicarse con el Router 5 o el Router 7.
Router4#ping 172.16.11.7 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
.....
Success rate is 0 percent (0/5)
Router4#ping 172.16.6.5 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
.....
Success rate is 0 percent (0/5)
Router4#
El diagrama de red para este problema sigue siendo el mismo:
interface GigabitEthernet1
ip address 172.16.11.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet2
ip address 172.16.6.6 255.255.255.0
ip nat outside
negotiation auto
no mop enabled
no mop sysid
!
interface GigabitEthernet3
ip address 10.10.10.6 255.255.255.0
ip nat inside
negotiation auto
no mop enabled
no mop sysid
!
!
ip nat pool test 172.16.11.70 172.16.11.71 prefix-length 24 ip nat inside source static 10.10.10.4 172.16.6.14 ip nat inside source list 7 pool test
!
ip access-list standard 7
10 permit 10.10.50.4
20 permit 10.10.60.4
30 permit 10.10.70.4
A partir de la configuración del Router 6, puede observar que NAT debe traducir dinámicamente 10.10.50.4 a la primera dirección disponible en el conjunto NAT llamado test. El grupo está formado por las direcciones 172.16.11.70 y 172.16.11.71. A partir de este problema, puede comprender que los paquetes que reciben los routers 5 y 7 tienen una dirección de origen de 172.16.11.70 o 172.16.11.71. Estas direcciones están en la misma subred que el Router 7, por lo que el Router 7 debe tener una ruta conectada directamente a esta subred; sin embargo, si aún no tiene una, el Router 5 necesita una ruta a la subred .
Puede utilizar el comando show ip route para comprobar que la tabla de enrutamiento del router 5 indique 172.16.11.0:
Router5#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.16.6.0/24 is directly connected, GigabitEthernet1
L 172.16.6.5/32 is directly connected, GigabitEthernet1
S 172.16.11.0/24 [1/0] via 172.16.6.6
Puede utilizar el comando show ip route para comprobar que la tabla de enrutamiento del router 7 indique 172.16.11.0 como una subred directamente conectada:
Router7#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
S 172.16.6.0/24 [1/0] via 172.16.11.6
C 172.16.11.0/24 is directly connected, GigabitEthernet1
L 172.16.11.7/32 is directly connected, GigabitEthernet1
Verifique la tabla de traducción NAT y verifique que exista la traducción esperada. Dado que la traducción deseada se crea dinámicamente, primero debe enviar el tráfico IP originado en la dirección apropiada. Después de enviar un ping, originado en 10.10.50.4 y destinado a 172.16.11.7, la tabla de traducción en el Router 6 (Router NAT) muestra el siguiente resultado:
NAT-Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 172.16.6.14 10.10.10.4 --- ---
--- 172.16.11.70 10.10.50.4 --- ---
Total number of translations: 2
Dado que la traducción esperada está en la tabla de traducción, sabe que los paquetes de eco ICMP están traducidos apropiadamente. Una opción es que puede monitorear las estadísticas de NAT, pero eso no es útil en un entorno complejo. Otra opción es ejecutar el depurador NAT en el router NAT (Router 6). Puede ejecutar debug ip nat mientras envía un ping originado desde 10.10.50.4 destinado a 172.16.11.7. Los resultados de la depuración se encuentran en el siguiente ejemplo de código:
Nota: Cuando utiliza cualquier comando debug en un router, puede sobrecargar el router, lo que hace que deje de funcionar. Tenga siempre mucho cuidado y, si es posible, busque la ayuda de un TAC de Cisco antes de ejecutar un debug en un router de producción crítico.
NAT-Router#show logging Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 39 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, 39 messages logged Trap logging: level informational, 33 message lines logged Log Buffer (4096 bytes): 05:32:23: NAT: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [70] 05:32:23: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [70] 05:32:25: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [71] 05:32:25: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [71] 05:32:27: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [72] 05:32:27: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [72] 05:32:29: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [73] 05:32:29: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [73] 05:32:31: NAT*: s=10.10.50.4->172.16.11.70, d=172.16.11.7 [74] 05:32:31: NAT*: s=172.16.11.7, d=172.16.11.70->10.10.50.4 [74]
Router7#show monitor capture cap buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 172.16.11.70 -> 172.16.11.7 0 BE ICMP
1 114 2.000000 172.16.11.70 -> 172.16.11.7 0 BE ICMP
2 114 4.000000 172.16.11.70 -> 172.16.11.7 0 BE ICMP
3 114 6.001999 172.16.11.70 -> 172.16.11.7 0 BE ICMP
4 114 8.001999 172.16.11.70 -> 172.16.11.7 0 BE ICMP
Como puede ver en la salida de depuración anterior, la primera línea muestra la dirección de origen de 10.10.50.4 traducida a 172.16.11.70. La segunda línea muestra que la dirección de destino de 172.16.11.70 se traduce nuevamente a 10.10.50.4. Este patrón se repite durante el resto de la depuración. Esto significa que el router NAT traduce los paquetes en ambas direcciones. Además, de la captura de paquetes se puede ver que el Router 7 está recibiendo los paquetes ICMP con un origen de 172.16.11.70 y un destino de 172.16.11.7.
Los pasos siguientes son una recapitulación del estado actual de este problema:
1. El router 4 envía un paquete originado en 10.10.50.4 destinado a 172.16.11.7 (o 172.16.6.5 dependiendo de la prueba realizada).
2. El router NAT realiza una traducción NAT en el paquete y lo reenvía con un origen de 172.16.11.70 y un destino de 172.16.11.7.
3. El router 7 envía una respuesta con un origen de 172.16.11.7 y un destino de 172.16.11.70.
4. El router NAT (router 6) realiza la NAT en el paquete, lo que da como resultado un paquete con la dirección de origen 172.16.11.7 y la dirección de destino 10.10.50.4.
5. El router NAT (router 6) enruta el paquete a 10.10.50.4 en función de la información de su tabla de routing.
En este punto, debe utilizar los comandos show ip route y show ip cef para confirmar que el router NAT (router 6) tiene las rutas necesarias en su tabla de ruteo.
NAT-Router#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route H - NHRP, G - NHRP registered, g - NHRP registration summary o - ODR, P - periodic downloaded static route, l - LISP a - application route + - replicated route, % - next hop override, p - overrides from PfR & - replicated local route overrides by connected Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, GigabitEthernet3 L 10.10.10.6/32 is directly connected, GigabitEthernet3 172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks C 172.16.6.0/24 is directly connected, GigabitEthernet2 L 172.16.6.6/32 is directly connected, GigabitEthernet2 L 172.16.6.14/32 is directly connected, GigabitEthernet2 C 172.16.11.0/24 is directly connected, GigabitEthernet1 L 172.16.11.6/32 is directly connected, GigabitEthernet1 L 172.16.11.70/32 is directly connected, GigabitEthernet1
NAT-Router#show ip route 10.10.50.4 % Subnet not in table NAT-Router#show ip cef 10.10.50.4 0.0.0.0/0 no route NAT-Router#
Después de agregar la ruta que falta en el router NAT, el ping se realiza correctamente:
NAT-Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
NAT-Router(config)#ip route 10.10.50.4 255.255.255.255 10.10.10.4
NAT-Router(config)#end
NAT-Router#
Router4#ping 172.16.11.7 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.7, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
Router4#ping 172.16.6.5 source 10.10.50.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.6.5, timeout is 2 seconds:
Packet sent with a source address of 10.10.50.4
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Router4#
Utilice esta lista de comprobación para solucionar problemas comunes.
Si encuentra que la traducción apropiada no está instalada en la tabla de traducción, verifique:
Si la entrada de traducción correcta está instalada en la tabla de traducción, pero no se utiliza, verifique:
Solución del problema de conectividad:
El mensaje de error try later aparece cuando se ejecuta un comando show relacionado con NAT o un comando show running-config o write memory. Esto se debe al aumento en el tamaño de la tabla NAT. Si aumenta el tamaño de la tabla de NAT, el router se queda sin memoria.
Un host puede enviar cientos de traducciones, lo que provoca un uso elevado de la CPU. En otras palabras, puede hacer que la tabla sea tan grande que haga funcionar la CPU al 100 por ciento. El comando ip nat translation max-entries 300 crea el límite de 300 por host o un límite agregado de la cantidad de traducciones en el router. La solución consiste en utilizar el comando ip nat translation max-entries all-hosts 300 .
Esto es el resultado de la no-alias
opción en las entradas de NAT. La no-alias
opción significa que el router no responde por las direcciones y no instala una entrada ARP. Si otro router utiliza un grupo de NAT como grupo interior global que consta de direcciones en una subred conectada, se genera un alias para esa dirección a fin de que el router pueda responder a las solicitudes del protocolo de resolución de direcciones (ARP) para dichas direcciones. Esto hace que el router tenga entradas de ARP para direcciones falsas.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
10-Sep-2024 |
Texto alternativo y formato actualizados. |
1.0 |
27-Dec-2023 |
Versión inicial |