PDF《验证NAT操作和基本NAT故障排除》

6 使用两种方式执行此操 作:通过运行 NAT debug 或通过使用 show ip nat statistics 命令监控 NAT 统计数据.由于 debug 命令应始终用作最后手段,因此请先使用 show 命令. 此处的目的是监控成功次数计数器,查看在从路由器发送数据流时它是否增加.在一个转换在转换 表里用于转换地址时候,命中计数器增加.首先清除统计数据,然后显示统计数据,试着从路由器

4 上ping 路由器 7,然后再显示统计数据. router-6# clear ip nat statistics router-6# router-6# show ip nat statistics Total active translations:

1 (1 static,

0 dynamic;

0 extended) Outside interfaces: Ethernet0, Serial2.7 Inside interfaces: Ethernet1 Hits:

0 Misses:

0 Expired translations:

0 Dynamic mappings: -- Inside Source access-list

7 pool test refcount

0 pool test: netmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated

0 (0%), misses

0 router-6# 在路由器

4 上使用 ping 172.16.11.7 命令后,路由器

6 上的 NAT 统计数据显示如下: router-6# show ip nat statistics Total active translations:

1 (1 static,

0 dynamic;

0 extended) Outside interfaces: Ethernet0, Serial2.7 Inside interfaces: Ethernet1 Hits:

5 Misses:

0 Expired translations:

0 Dynamic mappings: -- Inside Source access-list

7 pool test refcount

0 pool test: netmask 255.255.255.0 start 172.16.11.70 end 172.16.11.71 type generic, total addresses 2, allocated

0 (0%), misses

0 您能从显示看到发出命令命中的数量由五增加了.在从Cisco路由器的一个ping成功,命中的数量应 该增加十.源路由器发送的五互联网控制消息协议(ICMP)响应(应该转换路由器4)和自目的地路由器 的五个回应数据包(应该也转换路由器7),为了总共十命中.五错过的命中很可能归结于从路由器不 被转换或不被发送的ECHO回复7. 检查是否存在可导致路由器

7 不向路由器

4 发达 Echo 回复数据包的任何原因.首先查看 NAT 对 数据包执行的操作.路由器4发送ICMP ECHO数据包和10.10.10.4源地址和172.16.11.7一起的目的 地地址.在NAT发生后路由器收到的信息包7有172.16.6.14源地址和172.16.11.7的一个目的地地址 .路由器7需要回复172.16.6.14,并且,因为172.16.6.14没有直接地被连接到路由器7,需要此网 络的一个路由为了回应.检查验证路由的路由器7'

s路由表存在. router-7# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type

2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted,

4 subnets C 172.16.12.0 is directly connected, Serial0.8 C 172.16.9.0 is directly connected, Serial0.5 C 172.16.11.0 is directly connected, Serial0.6 C 172.16.5.0 is directly connected, Ethernet0 我们发现路由器

7 的路由表没有 172.16.6.14 的路由.一旦添加此路由,优良请连接工作. 问题汇总 您首先定义了什么NAT应该完成.其次,您验证静态NAT条目在转换表里存在了,并且是准确的. 您验证转换通过监控NAT统计数据真发生.那里您查找导致您检查关于路由器7的路由信息的一个问 题,其中您发现路由器7需要路由对路由器4.的Inside Global地址. 注意在此简单实验室环境,监控NAT统计数据用show ip nat statistics命令是有用的.然而,在与发 生几个的转换的一个更加复杂的NAT环境里,此show命令不再是有用的.在这种情况下运行在路由 器的调试可能是必要的.下个故障情况展示使用调试指令. 问题示例:外部网络设备不能与内部路由器通信 在这种情况下,路由器