تجنب حلقات التوجيه عند إستخدام NAT الديناميكي
المحتويات
المقدمة
يصف هذا وثيقة سيناريو في أي ربط أنشوطة بين ال NAT مسحاج تخديد والموجه مجاور على القارن خارجي عندما يستعمل شبكة عنوان ترجمة (NAT) حركي بسبب حركة مرور معد ل ل غير يستعمل عنوان في nat بركة ووجود تقصير طريق على ال NAT مسحاج تخديد هذا ربط back to خارجي.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات المُقدمة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كنت تعمل في شبكة مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر قبل استخدامه.
الرسم التخطيطي للشبكة
تم إستخدام المخطط التالي لإنشاء سيناريو المثال.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.
مثال سيناريو
في المخطط أعلاه، يتم تكوين الموجه-A باستخدام NAT لذلك يترجم الحزم المستمدة من الشبكة 171.68.200.0/24 إلى نطاق من العناوين المعرفة بواسطة تجمع NAT "حلقة إختبار". تكوين الموجه-A كما يلي (يتم تكوين جميع الموجهات الأخرى باستخدام المسارات الثابتة للحصول على الاتصال):
hostname Router-A ! ! ip nat pool test-loop 172.16.47.161 172.16.47.165 prefix-length 28 ip nat inside source list 7 pool test-loop ! interface Loopback0 ip address 1.1.1.1 255.0.0.0 ! interface Ethernet0 ip address 135.135.1.2 255.255.255.0 shutdown ! interface Serial0 ip address 171.68.200.49 255.255.255.0 ip nat inside no ip mroute-cache no ip route-cache no fair-queue ! interface Serial1 ip address 172.16.47.146 255.255.255.240 ip nat outside no ip mroute-cache no ip route-cache ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.47.145 access-list 7 permit 171.68.200.0 0.0.0.255 ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end
باستخدام أوامر تصحيح أخطاء ترجمة NAT وتصحيح حزم IP، قمنا بإنشاء إختبار اتصال من الموجه على الجهاز الداخلي. تم تشغيل إختبار الاتصال، وتم إنشاء إدخال جدول ترجمة. في الإخراج أدناه، نرى أن تصحيح أخطاء حزم IP وتصحيح أخطاء IP NAT قيد التشغيل، وأنه لا توجد إدخالات في جدول الترجمة في هذا الوقت.
ملاحظة: تقوم أوامر تصحيح الأخطاء بإنشاء كمية كبيرة من الإخراج. يمكنك إستخدامها فقط عندما تكون حركة المرور على شبكة IP منخفضة، وبالتالي لا تتأثر الأنشطة الأخرى على النظام بشكل سلبي.
Router-A# show debug Generic IP: IP packet debugging is on (detailed) IP NAT debugging is on Router-A# show ip nat translations Router-A#
يقوم الموجه الداخلي (الجهاز الداخلي) بإنشاء حزمة ICMP بعنوان مصدر 171.68.200.48 وعنوان وجهة 171.68.191.1 (عنوان الجهاز الخارجي). يظهر إخراج تصحيح الأخطاء التالي حزمة IP مع عنوان IP للمصدر 171.68.200.48 يتم ترجمته إلى 172.16.47.161. تأتي الحزمة في الواجهة Serial0 ويتم توجيهها إلى خارج الواجهة Serial1.
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [401]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
يظهر إخراج تصحيح الأخطاء التالي حزمة IP العائدة بعنوان IP للوجهة 172.16.47.161 الذي تتم ترجمته مرة أخرى إلى 171.68.200.48. تأتي الحزمة في الواجهة Serial1 ويتم توجيهها إلى خارج الواجهة Serial0.
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [401]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=0, code=0
يعرض إخراج تصحيح الأخطاء تبادل إختبار الاتصال الناجح بين الجهاز الداخلي والجهاز الخارجي:
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [402]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [402]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=0, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [403]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [403]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=0, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [404]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [404]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=0, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [405]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [405]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=0, code=0
باستخدام الأمر show ip nat translations، نرى إدخالا في جدول الترجمة للجهاز الداخلي.
Router-A# show ip nat translations Pro Inside global Inside local Outside local Outside global --- 172.16.47.161 171.68.200.48 --- ---
الآن توجد ترجمة للجهاز الداخلي في جدول الترجمة، يمكننا إختبار الاتصال بنجاح من الجهاز الخارجي إلى العنوان العام للجهاز الداخلي، كما هو موضح في إخراج تصحيح الأخطاء الذي تم إنشاؤه بواسطة الموجه-A أدناه.
ملاحظة: تحتوي الحزمة التي تم إنشاؤها بواسطة الجهاز الخارجي على عنوان مصدر 171.68.191.1 وعنوان وجهة 172.16.47.161 (العنوان العام الداخلي في جدول الترجمة).
Router-A#
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [108]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=8, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [108]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=0, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [109]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=8, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [109]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=0, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [110]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=8, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [110]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=0, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [111]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=8, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [111]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=0, code=0
NAT*: s=171.68.191.1, d=172.16.47.161->171.68.200.48 [112]
IP: s=171.68.191.1 (Serial1), d=171.68.200.48 (Serial0), g=171.68.200.48, len 100, forward
ICMP type=8, code=0
NAT: s=171.68.200.48->172.16.47.161, d=171.68.191.1 [112]
IP: s=172.16.47.161 (Serial0), d=171.68.191.1 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=0, code=0
يوضح إخراج تصحيح الأخطاء التالي ما يمكن أن يحدث عندما يحاول جهاز خارجي بدء الاتصال بعنوان وجهة يكون عنوان IP غير مستخدم في تجمع تكرار التجارب. تم إستخدام الأمر clear ip nat translation لمسح جدول الترجمة وتم إرسال إختبار اتصال إلى عنوان IP غير مستخدم داخل تجمع حلقة الاختبار.
يرسل الجهاز الخارجي حزمة ICMP موجهة للعنوان العام الداخلي 172.16.47.161. مهما، الإنتاج قارن ال نفسه بما أن المدخل قارن ل هذا ربط.
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
IP: s=171.68.191.1 (Serial1), d=172.16.47.161 (Serial1), g=172.16.47.145, len 100, forward
ICMP type=8, code=0
nat يترجم ربط يذهب من الخارج إلى الداخل قبل يوجه الربط. في هذه الحالة، لا يوجد إدخال في جدول الترجمة، لذلك يمكن للموجه-A توجيه الحزمة فقط. يعتمد الموجه-A على مساره الافتراضي لتوجيه الحزم، وإرسال الحزم مرة أخرى إلى الواجهة Serial1، مما يتسبب في حدوث تكرار حلقي يمكن أن يؤدي في نهاية المطاف إلى إسقاط الخط التسلسلي.
لتجنب هذا النوع من حلقة التوجيه، لا تقم أبدا بإنشاء الحزم من الأجهزة الخارجية إلى العناوين العامة الداخلية. ومع ذلك، نظرا لأنه من الصعب فرض هذا الإجراء، فيمكنك إضافة مسار ثابت للعناوين العالمية الداخلية مع الخطوة التالية null0 في الموجه-A. بهذه الطريقة، عندما يرسل جهاز خارجي الحزم الموجهة إلى عنوان عام داخلي، ولا يوجد إدخال في جدول الترجمة، يقوم الموجه-A بتوجيه الحزمة إلى null0، لتجنب التكرار. باستخدام المثال أعلاه، يبدو المسار الثابت كما يلي:
ip route 172.16.47.160 255.255.255.252 null0.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
10-Aug-2005 |
الإصدار الأولي |
التعليقات