限制內(nèi)部地址NAT轉(zhuǎn)換條目

限制內(nèi)部地址NAT轉(zhuǎn)換條目

在配置NAT時(shí)有一條命令是限制主機(jī)的NAT轉(zhuǎn)換條目，可以分別限制所有主機(jī)、單個(gè)主機(jī)、匹配ACL主機(jī)的NAT轉(zhuǎn)換條目。雖然從理論上講，NAT表中的轉(zhuǎn)換條目的數(shù)量沒有限制；但是實(shí)際上，內(nèi)存和CPU或者可用地址范圍或端口空間都會(huì)對轉(zhuǎn)換條目數(shù)量有限制。每一個(gè)NAT轉(zhuǎn)換條目大約用160字節(jié)的內(nèi)存。在有些情況下，為了性能或者策略等原因，需要對條目數(shù)量進(jìn)行限制。限制NAT轉(zhuǎn)換條目的命令格式如下：

Router(config)#ip nat translation max-entries {all-host | host ip-address | list list- number} number_of_entries

例如，命令ip nat translation max-entries host 192.168.1.2 100表示，將IP地址為192.168.1.2的主機(jī)的NAT轉(zhuǎn)換條目限制為100。

下面通過一個(gè)配置案例驗(yàn)證ip nat translation max-entries命令。

圖8.1 限制每個(gè)地址的NAT轉(zhuǎn)換條目實(shí)驗(yàn)拓?fù)鋱D

如圖8.1所示，在路由器R1上配置NAT，PC1為內(nèi)網(wǎng)IP地址10.0.0.7/24，網(wǎng)關(guān)10.0.0.254/24；PC2網(wǎng)外地址為222.222.222.2/24，網(wǎng)關(guān)222.222.222.1/24。

配置信息，如下所示：

interface FastEthernet0/0

ip address 222.222.222.1 255.255.255.0

ip nat outside

!

interface FastEthernet0/1

ip address 10.0.0.254 255.255.255.0

ip nat inside

!

ip route 0.0.0.0 0.0.0.0 222.222.222.2

!

ip nat inside source list 1 interface FastEthernet0/0 overload

!

access-list 1 permit 10.0.0.0 0.0.0.255

配置完成后，在PC1上使用端口掃描軟件掃描PC2主機(jī)的1到1024端口，然后查看NAT轉(zhuǎn)換條目，如下所示：

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:3239 10.0.0.7:3239 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:3240 10.0.0.7:3240 222.222.222.2:2 222.222.222.2:2

tcp 222.222.222.1:3241 10.0.0.7:3241 222.222.222.2:3 222.222.222.2:3

tcp 222.222.222.1:3242 10.0.0.7:3242 222.222.222.2:4 222.222.222.2:4

…省略…

tcp 222.222.222.1:7368 10.0.0.7:7368 222.222.222.2:1021 222.222.222.2:1021

tcp 222.222.222.1:7369 10.0.0.7:7369 222.222.222.2:1022 222.222.222.2:1022

tcp 222.222.222.1:7370 10.0.0.7:7370 222.222.222.2:1023 222.222.222.2:1023

tcp 222.222.222.1:7371 10.0.0.7:7371 222.222.222.2:1024 222.222.222.2:1024

現(xiàn)在在路由器上配置，NAT轉(zhuǎn)換條目限制命令，限制PC1的NAT轉(zhuǎn)換條目為20條：

R1(config)#ip nat translation max-entries host 10.0.0.7 20

配置完成后，再次在PC1上使用端口掃描軟件掃描PC2主機(jī)的1到1024端口，然后查看NAT轉(zhuǎn)換條目， PC1的NAT轉(zhuǎn)換條目只有20條。

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:8428 10.0.0.7:8428 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:8429 10.0.0.7:8429 222.222.222.2:2 222.222.222.2:2

…省略…

tcp 222.222.222.1:8446 10.0.0.7:8446 222.222.222.2:19 222.222.222.2:19

tcp 222.222.222.1:8447 10.0.0.7:8447 222.222.222.2:20 222.222.222.2:20

在實(shí)際工作中可能由于病毒等原因的導(dǎo)致的NAT轉(zhuǎn)換條目占滿，通信出現(xiàn)故障。下面通過一個(gè)例子介紹出現(xiàn)NAT故障時(shí)，一般的處理流程。

例如：公司網(wǎng)絡(luò)使用正常，突然出現(xiàn)無法正常上網(wǎng)情況。由于之前網(wǎng)絡(luò)使用一直正常，所以網(wǎng)絡(luò)正常時(shí)的設(shè)備配置應(yīng)該沒有問題，可以從設(shè)備配置的更改或物理鏈路等方面進(jìn)行分析。

根據(jù)公司情況按如下方法進(jìn)行檢查：

1、檢查內(nèi)網(wǎng)是否正常，判斷交換機(jī)是否正常；

2、檢查網(wǎng)關(guān)設(shè)備的配置和操作記錄，查看配置是否被更改；

3、檢查從網(wǎng)關(guān)設(shè)備到運(yùn)營商鏈路是否正常；

4、如果以上都正常，則在網(wǎng)關(guān)設(shè)備上使用show ip nat translations命令查看設(shè)備上是否存在NAT轉(zhuǎn)換表?xiàng)l目以確定是否NAT問題。檢查發(fā)現(xiàn)NAT轉(zhuǎn)換表?xiàng)l目已滿且有一個(gè)IP地址占用了很多NAT轉(zhuǎn)換表?xiàng)l目，這可能是由于病毒原因使得設(shè)備的NAT轉(zhuǎn)換表被占滿，導(dǎo)致內(nèi)網(wǎng)訪問外網(wǎng)時(shí)無法進(jìn)行NAT轉(zhuǎn)換；

5、 使用clear ip nat translation *命令清除NAT轉(zhuǎn)換表?xiàng)l目，故障清除網(wǎng)絡(luò)恢復(fù)正常；

6、網(wǎng)絡(luò)恢復(fù)后不久故障現(xiàn)象再次出現(xiàn)，通過show ip nat translations查看現(xiàn)象和步驟4一樣，則需要進(jìn)一步對該主機(jī)進(jìn)行檢查；

7、斷開有病毒的主機(jī)并進(jìn)行殺毒，使用clear ip nat translation *命令，故障清除網(wǎng)絡(luò)正常；

8、為預(yù)防此故障再次發(fā)生可以使用ip nat translation max-entries all-host <1- 2147483647>命令限制所以主機(jī)的NAT轉(zhuǎn)換表?xiàng)l目數(shù)，此命令也有限制BT下載的功能；