几个小时后 NAT 转换停止工作

网络工程 思科 纳特
2021-07-22 22:36:41

我有一台 CISCO 1941,有 2 个外部 IP 地址分配给一个接口

interface GigabitEthernet0/1
 description $ETH-WAN$
 ip address X.X.X.X2 255.255.255.240 secondary
 ip address X.X.X.X1 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto

我在主 IP 上有各种端口转换。辅助 IP 静态转换为 IP 为 192.168.19.17 的服务器。这可以正常工作几个小时,然后停止工作。发出以下解决问题:

router(config)#no ip nat inside source static 192.168.129.17 X.X.X.X2
router(config)#ip nat inside source static 192.168.129.17 X.X.X.X2

任何的想法?当它停止工作时,发出 traceroute XXXX2 在 XXXX1 停止

我的配置有问题吗(见下文)?

我该如何调试它?

router#sh run
(...)
!
interface GigabitEthernet0/0
 description $ETH-LAN$
 ip address 192.168.129.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no mop enabled
!
interface GigabitEthernet0/1
 description $ETH-WAN$
 ip address X.X.X.X2 255.255.255.240 secondary
 ip address X.X.X.X1 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/1
 ip mtu 1300
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
!
ip local pool SDM_POOL_1 192.168.129.200 192.168.129.254
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip nat inside source route-map SDM_RMAP_1 interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.129.13 500 X.X.X.X1 500 extendable
ip nat inside source static udp 192.168.129.13 500 X.X.X.X1 500 extendable
ip nat inside source static tcp 192.168.129.13 548 X.X.X.X1 548 extendable
ip nat inside source static udp 192.168.129.13 548 X.X.X.X1 548 extendable
ip nat inside source static tcp 192.168.129.13 1701 X.X.X.X1 1701 extendable
ip nat inside source static udp 192.168.129.13 1701 X.X.X.X1 1701 extendable
ip nat inside source static tcp 192.168.129.13 1723 X.X.X.X1 1723 extendable
ip nat inside source static udp 192.168.129.13 1723 X.X.X.X1 1723 extendable
ip nat inside source static tcp 192.168.129.13 3283 X.X.X.X1 3283 extendable
ip nat inside source static udp 192.168.129.13 3283 X.X.X.X1 3283 extendable
ip nat inside source static tcp 192.168.129.22 3389 X.X.X.X1 3389 extendable
ip nat inside source static tcp 192.168.129.13 4500 X.X.X.X1 4500 extendable
ip nat inside source static udp 192.168.129.13 4500 X.X.X.X1 4500 extendable
ip nat inside source static tcp 192.168.129.13 5900 X.X.X.X1 5900 extendable
ip nat inside source static udp 192.168.129.13 5900 X.X.X.X1 5900 extendable
ip nat inside source static 192.168.129.17 X.X.X.X2
ip route 0.0.0.0 0.0.0.0 X.X.X.gateway 254
ip route 172.17.0.0 255.255.0.0 192.168.129.9
!
access-list 1 permit 192.168.129.0 0.0.0.255
access-list 1 permit 46.182.204.0 0.0.0.255
access-list 100 permit ip 192.168.128.0 0.0.15.255 any
access-list 100 permit ip 172.17.0.0 0.0.0.255 any
access-list 101 remark CCP_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.129.0 0.0.0.255 192.168.130.0 0.0.0.255
access-list 102 remark CCP_ACL Category=2
access-list 102 permit ip 192.168.129.0 0.0.0.255 any
!
!
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 102
!
(...)
2个回答
  1. 如果您没有理由使用 XXXX2 的辅助 IP 而不是作为 192.168.129.17 的自然 IP (192.168.129.17 -> XXXX2),那么您不需要在 WAN 接口 (G0/1) 上将其配置为辅助 IP .

只要为您的网络保留了一个免费的公共 IP(这里是 .X2),您就可以直接在您的 NAT 语句中使用它,而无需首先“启动”和“可ping”。

也就是说,下面的配置就足以让192.168.129.17上网时natted为.X2。

接口 GigabitEthernet0/1
 描述 $ETH-WAN$
  IP 地址 XXXX1 255.255.255.240
 ip nat 外面
 ip 虚拟重组
 双工自动
 速度自动

ip nat 内部源静态 192.168.129.17 XXXX2
  1. 我注意到的一件事是,192.168.129.17 的 iP 位于访问列表 1 和 102 所涵盖的子网 192.168.129.0/24 中,并且该子网被设置为 G0/1(.X1 的 IP),而您想要该 IP 192.168.129.17 被连接到 IP .X2。这会引起混乱。

您可以重新设计您的 ACL,并明确排除 IP 192.168.129.17 涉及到 .X1 的 NAT 语句。

  1. 要调试 NAT 数据包,只需在全局模式下应用“debug ip nat”命令。

这很可能是内存/内存泄漏问题。请参阅验证 NAT 操作和基本 NAT 故障排除

%NAT:系统忙。执行与 NAT 相关的 show 命令或 show running-config 或 write memory 命令时,会出现 Try later 错误消息。此问题是由于 NAT 表的大小增加所致。当 NAT 表的大小增加时,路由器会耗尽内存。

重新加载路由器以解决此问题。如果在配置 HSRP SNAT 时出现错误消息,请配置以下命令以解决问题:

Router(config)#standby delay minimum 20 reload 20
Router(config)#standby 2 preempt delay minimum 20 reload 20 sync 10
其它你可能感兴趣的问题
上一篇如何在路由器协议上正确使用网络? 下一篇Wireshark 广播风暴