الأسئلة المتداولة حول ترجمة عنوان الشبكة (NAT)

المقدمة

يصف هذا المستند إجابات للأسئلة المتداولة حول ترجمة عنوان الشبكة (NAT).

ترجمة عناوين الشبكة (NAT) العامة

س. ما المقصود بترجمة عناوين الشبكة (NAT)؟

ج. ترجمة عناوين الشبكة (NAT) مصممة للحفاظ على عنوان IP. تمكّن شبكات IP الخاصة التي تستخدم عناوين IP غير المسجلة للاتصال بالإنترنت. تعمل ترجمة عناوين الشبكة (NAT) على موجّه، وعادةً ما تصل شبكتين معًا، وتقوم بترجمة العناوين الخاصة (غير الفريدة بشكل عام) في الشبكة الداخلية إلى عناوين قانونية، وذلك قبل إعادة توجيه الحِزم إلى شبكة أخرى.

كجزء من هذه الإمكانية، يمكن تكوين ترجمة عناوين الشبكة (NAT) للإعلان عن عنوان واحد فقط للشبكة بأكملها للعالم الخارجي. وهذا يوفر أمانًا إضافيًا من خلال إخفاء الشبكة الداخلية بأكملها خلف هذا العنوان بشكل فعّال. وتوفر ترجمة عناوين الشبكة (NAT) الوظائف المزدوجة المتمثلة في الأمان والحفاظ على العناوين، وعادةً ما يتم تنفيذها في بيئات الوصول عن بُعد.

س. ما هي آلية عمل ترجمة عناوين الشبكة (NAT)؟

ج. وبشكل أساسي، تتيح ترجمة عناوين الشبكة (NAT) لجهاز واحد، مثل موجّه، بالعمل كوكيل بين الإنترنت (أو الشبكة العامة) والشبكة المحلية (أو الشبكة الخاصة)، مما يعني أنه يلزم فقط عنوان IP فريد واحد لتمثيل مجموعة كاملة من أجهزة الكمبيوتر إلى أي شيء خارج شبكتها.

س. كيف يمكنني تكوين ترجمة عناوين الشبكة (NAT)؟

ج. من أجل تكوين ترجمة عناوين الشبكة (NAT) التقليدية، يتعين عليك تكوين واجهة واحدة على الأقل على موجّه (خارج NAT) وواجهة أخرى على الموجّه (داخل NAT) ومجموعة من القواعد لترجمة عناوين IP في رؤوس الحِزمة (والحمولات إذا رغبتَ في ذلك). لتكوين واجهة NAT الافتراضية (NVI)، تحتاج إلى واجهة واحدة على الأقل تم تكوينها باستخدام تمكين NAT إلى جانب مجموعة القواعد نفسها المذكورة أعلاه.

لمزيد من المعلومات، ارجع إلى دليل تكوين خدمات عنونة IP من Cisco IOS® أو تكوين الواجهة الظاهرية NAT.

q. ما هي الاختلافات الرئيسية بين برنامج Cisco IOS Software وتنفيذ أجهزة أمان Cisco PIX ل NAT؟

ج. لا تختلف ترجمة عناوين الشبكة (NAT) القائمة على برامج Cisco IOS بشكل أساسي عن وظيفة NAT الموجودة في جهاز أمان PIX من Cisco. وتتضمن الاختلافات الرئيسية أنواع حركات المرور المختلفة المدعومة في عمليات التنفيذ. راجع أمثلة على تكوين ترجمة عناوين الشبكة (NAT) للحصول على مزيد من المعلومات حول تكوين NAT على أجهزة Cisco PIX (بما في ذلك أنواع حركة المرور المدعومة).

س. على أي جهاز توجيه Cisco يتوفر به Cisco IOS NAT؟ كيف يمكن طلب الجهاز؟

a.تتيح أداة متصفح الميزات من Cisco للعملاء تحديد ميزة (NAT) والبحث عن الإصدار وإصدار الجهاز الذي تتوفر عليه ميزة برنامج Cisco IOS software. ارجع إلى Cisco Feature Navigator لاستخدام هذه الأداة.

ملاحظة: يمكن فقط لمستخدمي Cisco المسجلين الوصول إلى أدوات Cisco ومعلومات داخلية.

س. هل تحدث ترجمة عناوين الشبكة (NAT) قبل التوجيه أم بعده؟

ج. يعتمد الترتيب الذي تتم فيه معالجة المعاملات باستخدام NAT على ما إذا كانت الحِزمة تنتقل من الشبكة الداخلية إلى الشبكة الخارجية أو من الشبكة الخارجية إلى الشبكة الداخلية. تحدث الترجمة من الداخل إلى الخارج بعد التوجيه، وتحدث الترجمة من الخارج إلى الداخل قبل التوجيه. راجع ترتيب عمليات NAT للحصول على مزيد من المعلومات.

س. هل يمكن نشر ترجمة عناوين الشبكة (NAT) في بيئة شبكة LAN لاسلكية عامة؟

ج. نعم. توفر ميزة NAT - دعم بروتوكول IP الثابت الدعم للمستخدمين الذين لديهم عناوين IP ثابتة، مما يمكّن هؤلاء المستخدمين من إنشاء جلسة IP في بيئة LAN لاسلكية عامة.

س. هل تقوم NAT بإجراء موازنة حمل بروتوكول TCP للخوادم على الشبكة الداخلية؟

ج. نعم. وباستخدام ترجمة عناوين الشبكة (NAT)، يمكنك إنشاء جهاز مضيف افتراضي على الشبكة الداخلية الذي ينسق مشاركة الحمل بين أجهزة مضيفة حقيقية.

س. هل يمكنني تحديد عدد ترجمات NAT؟

ج. نعم. توفر ميزة "ترجمة NAT لتحديد المعدل" القدرة على تحديد الحد الأقصى لعدد عمليات NAT المتزامنة على موجّه. بالإضافة إلى منح المستخدمين مزيدًا من التحكُّم في كيفية استخدام عناوين NAT، يمكن استخدام ميزة "ترجمة NAT لتحديد المعدل" للحد من تأثيرات الفيروسات والبرامج الضارة وهجمات رفض الخدمة.

س. كيف يتم التعرُّف على التوجيه أو نشره لشبكات IP الفرعية أو العناوين التي تستخدمها NAT؟

ج. يتم التعرُّف على التوجيه لعناوين IP التي تم إنشاؤها بواسطة NAT في حال:

• يُشتق تجمُّع العناوين العمومية الداخلية من الشبكة الفرعية لموجّه الخطوة التالية.

• يتم تكوين إدخال المسار الثابت في موجّه الخطوة التالية وتتم إعادة توزيعه ضمن شبكة التوجيه.

عندما تتم مطابقة العنوان العام الداخلي مع الواجهة المحلية، يقوم NAT بتثبيت اسم مستعار IP وإدخال ARP، وفي هذه الحالة يمكن للموجه بروتوكول ARP للوكيل لهذه العناوين. إذا لم يكن هذا السلوك مطلوبًا، فاستخدم الكلمة الأساسية no-alias.

عند تكوين تجمُّع NAT، يمكن استخدام الخيار add-route للحقن التلقائي للمسار.

س. كم عدد جلسات NAT المتزامنة المدعومة في Cisco IOS NAT؟

ج. يتم تقييد حد جلسة NAT بالمقدار المتاح لذاكرة الوصول العشوائي الديناميكية (DRAM) في الموجّه. تستهلك كل ترجمة NAT حوالي 312 بايت في ذاكرة الوصول العشوائي الديناميكية (DRAM). ونتيجة لذلك، تستهلك 10000 ترجمة (أكثر مما يتم التعامل معه بشكل عام على موجّه واحد) حوالي 3 ميجابايت. لذلك، يحتوي جهاز التوجيه النموذجي على ذاكرة أكثر من الكفاية لدعم الآلاف من ترجمات NAT.

س. ما نوع أداء التوجيه الذي يمكن توقعه عند استخدام Cisco IOS NAT؟

ج. يدعم Cisco IOS NAT تبديل إعادة التوجيه السريع من Cisco، والتبديل السريع، وتبديل العمليات. بالنسبة لإصدار 12.4T والإصدارات الأحدث، لم يعد مسار التبديل السريع مدعومًا. بالنسبة إلى النظام الأساسي Cat6k، يكون ترتيب التبديل هو Netflow (مسار تبديل HW)، إعادة التوجيه السريع (CEF)، مسار العملية.

ويعتمد الأداء على عدة عوامل:

• نوع التطبيق ونوع حركة المرور الخاصة به

• ما إذا كانت عناوين IP مضمنة أم لا

• تبادل رسائل متعددة وفحصها

• منفذ المصدر مطلوب

• عدد الترجمات

• تطبيقات أخرى قيد التشغيل في ذلك الوقت

• نوع الجهاز والمعالج

س. هل يمكن تطبيق Cisco IOS NAT على الواجهات الفرعية؟

ج. نعم. يمكن تطبيق ترجمات NAT المصدر و/أو الوجهة على أي واجهة أو واجهات فرعية لها عنوان IP (بما في ذلك واجهات المتصِّل). لا يمكن تكوين NAT باستخدام الواجهة اللاسلكية الافتراضية. الواجهة اللاسلكية الافتراضية غير موجودة خلال وقت الكتابة إلى NVRAM (ذاكرة الوصول العشوائي غير المتطايرة). وبالتالي، بعد إعادة التشغيل يفقد الموجّه تكوين NAT على الواجهة اللاسلكية الافتراضية.

س. هل يمكن استخدام Cisco IOS NAT مع بروتوكول الموجِّه الاحتياطي الفعّال (HSRP) لتوفير ارتباطات متكررة لمزوّد خدمة إنترنت؟

ج. نعم. توفر ترجمة عناوين الشبكة (NAT) HSRP متكررًا. ومع ذلك، فإنها تختلف عن SNAT (Stateful NAT). ترجمة عناوين الشبكة (NAT) مع HSRP عبارة عن نظام عديم الحالة. ولا يتم الاحتفاظ بجلسة العمل الحالية عند حدوث الفشل. أثناء تكوين NAT الثابت (عندما لا تتطابق الحِزمة مع أي تكوين قاعدة ثابتة)، يتم إرسال الحِزمة عبر دون أي ترجمة.

س. هل يدعم Cisco IOS NAT الترجمات الواردة على واجهة ترحيل إطارات؟ هل يدعم الترجمات الصادرة من طرف Ethernet؟

ج. نعم. لا يمثل التضمين أهمية بالنسبة إلى ترجمة عناوين الشبكة (NAT). يمكن إجراء NAT حيث يوجد عنوان IP على الواجهة وتكون الواجهة NAT داخلية أو NAT خارجية. يجب أن يكون هناك NAT داخلية وخارجية لكي تعمل NAT. إذا كنت تستخدم واجهة NAT الافتراضية (NVI)، فيجب أن يكون هناك واجهة NAT واحدة على الأقل ممكّنة. راجع كيف يمكنني تكوين ترجمة عناوين الشبكة (NAT)؟ للحصول على مزيد من التفاصيل.

س. هل يمكن لموجّه واحد ممكّن عليه NAT أن يتيح لبعض المستخدمين استخدام NAT ومستخدمين آخرين على نفس واجهة Ethernet لمواصلة استخدام عناوين IP الخاصة بهم؟

ج. نعم. ويمكن تحقيق ذلك من خلال استخدام قائمة وصول تصف مجموعة الأجهزة المضيفة أو الشبكات التي تتطلب ترجمة عناوين الشبكة (NAT).

يمكن استخدام قوائم الوصول وقوائم الوصول الموسّعة وخرائط المسار لتحديد القواعد التي يتم من خلالها ترجمة أجهزة IP. يجب دائما تحديد عنوان الشبكة وقناع الشبكة الفرعية المناسب. يجب عدم إستخدام الكلمة الأساسية "any" بدلا من عنوان الشبكة أو قناع الشبكة الفرعية. مع ساكن إستاتيكي nat، عندما لا تلاءم ربط أي ساكن إستاتيكي قاعدة تشكيل، أرسلت ربط خلال دون أي ترجمة.

عند تكوين ترجمة عناوين المنافذ "PAT" (الحمل الزائد)، ما هو الحد الأقصى لعدد الترجمات التي يمكن إنشاؤها لكل عنوان IP عام داخلي؟

A.PAT (التحميل الزائد) يقسم المنافذ المتاحة لكل عنوان IP عالمي إلى ثلاثة نطاقات: 0-511 و512-1023 و1024-65535. تقوم ترجمة عناوين المنافذ (PAT) بتعيين منفذ مصدر فريد لكل جلسة UDP أو TCP. وتحاول تعيين نفس قيمة المنفذ للطلب الأصلي، ولكن إذا تم استخدام منفذ المصدر الأصلي بالفعل، فإنه يبدأ في المسح من بداية نطاق المنفذ المعين للعثور على أول منفذ متاح وتخصيصه للمحادثة. هناك استثناء لقاعدة الرموز 12.2S. تستخدم قاعدة الرموز 12.2S منطق منفذ مختلف ولا يوجد حجز للمنفذ.

س. ما هي آلية عمل ترجمة عناوين المنافذ (PAT)؟

ج. تعمل ترجمة عناوين المنافذ (PAT) إما مع عنوان IP عام واحد أو عناوين متعددة.

ترجمة عناوين المنافذ (PAT) بعنوان IP واحد

الشرط	الوصف
1	تقوم NAT/PAT بفحص حركة المرور ومطابقتها مع قاعدة ترجمة.
2	تتطابق القاعدة مع أحد تكوينات ترجمة عناوين المنافذ (PAT).
3	إن يعرف ضرب حول الحركة مرور نوع وإذا كان هذا نوع حركة مرور يتلقى "مجموعة من ميناء خاص أو ميناء هو يفاوض" أن هو يستعمل، ضرب يخصصهم جانبا ولا يخصصهم كمعرفات فريدة.
4	إذا حاولت جلسة بدون متطلبات منفذ خاصة إجراء اتصال، تترجم PAT عنوان مصدر IP وتتحقق من توفّر منفذ المصدر الأصلي (433، على سبيل المثال). ملاحظة: لبروتوكول التحكم في الإرسال (TCP) وبروتوكول مخطط بيانات المستخدم (UDP)، تكون النطاقات: 1-511 و512-1023 و1024-65535. بالنسبة إلى بروتوكول التحكُّم برسائل الإنترنت (ICMP)، تبدأ المجموعة الأولى عند 0.
5	إذا كان منفذ المصدر المطلوب متاحًا، تقوم PAT بتعيين منفذ المصدر، وتستمر الجلسة.
6	في حالة عدم توفّر منفذ المصدر المطلوب، تبدأ ترجمة عناوين المنافذ (PAT) في البحث من بداية المجموعة ذات الصلة (بدءًا من 1 لتطبيقات TCP أو UDP ومن 0 لبروتوكول التحكُّم برسائل الإنترنت (ICMP)).
7	وفي حالة توفر منفذ ما، يتم تعيينه، وتستمر الجلسة.
8	في حالة عدم توفر أي منافذ، يتم إسقاط الحِزمة.

ترجمة عناوين المنافذ (PAT) بعناوين IP متعددة

الشرط	الوصف
1-7	الشروط السبعة الأولى هي نفسها كما هو الحال مع عنوان IP واحد.
8	في حالة عدم توفّر منافذ في المجموعة ذات الصلة على عنوان IP الأول، تنتقل NAT إلى عنوان IP التالي في المجموعة وتحاول تخصيص منفذ المصدر الأصلي المطلوب.
9	إذا كان منفذ المصدر المطلوب متاحًا، تقوم NAT بتعيين منفذ المصدر، وتستمر الجلسة.
10	في حالة عدم توفّر منفذ المصدر المطلوب، تبدأ ترجمة عناوين الشبكة (NAT) في البحث من بداية المجموعة ذات الصلة (بدءًا من 1 لتطبيقات TCP أو UDP ومن 0 لبروتوكول التحكُّم برسائل الإنترنت (ICMP)).
11	وفي حالة توفر منفذ ما، يتم تعيينه، وتستمر الجلسة.
12	في حال لم تتوفر منافذ، فسيتم إسقاط الحِزمة ما لم يتوفر عنوان IP آخر في التجمُّع.

س. ما هي تجمّعات عناوين IP الخاصة بترجمة عناوين الشبكة (NAT)؟

ج. تجمّعات عناوين IP الخاصة بترجمة عناوين الشبكة (NAT) عبارة عن مجموعة من عناوين IP المخصصة لترجمة NAT حسب الحاجة. لتعريف تجمُّع، يتم استخدام أمر التكوين:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

مثال 1

يترجم المثال التالي بين الأجهزة المضيفة الداخلية التي تم مخاطبتها إما من شبكة 192.168.1.0 أو شبكة 192.168.2.0 إلى الشبكة 10.69.233.208/28 الفريدة عالميا:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 10.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

مثال 2

في هذا المثال، الهدف هو تحديد عنوان ظاهري، يتم توزيع الاتصالات به بين مجموعة من البيئات المضيفة الحقيقية. ويحدد التجمُّع عناوين الأجهزة المضيفة الحقيقية. تحدد قائمة الوصول العنوان الافتراضي. في حالة عدم وجود ترجمة بالفعل، تتم ترجمة حِزم TCP من الواجهة التسلسلية 0 (الواجهة الخارجية) التي تطابق وجهتها قائمة الوصول إلى عنوان من التجمُّع.

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1

س. ما هو الحد الأقصى لعدد تجمعات NAT IP القابلة للتكوين (IP nat pool <name>)؟

ج. في الاستخدام العملي، يكون الحد الأقصى لعدد تجمُّعات عناوين IP القابلة للتكوين محدودًا بمقدار ذاكرة DRAM المتاح في الموجّه المعين. (تُوصي Cisco بتكوين حجم تجمُّع 255.) يجب ألا يكون كل تجمع أكثر من 16 بت. في الإصدار 12.4(11)T والإصدارات الأحدث، يقوم Cisco IOS بتقديم CCE (محرك التصنيف الموحد). لقد حد هذا من ترجمة عناوين الشبكة (NAT) بحيث لا تتجاوز عدد 255 تجمُّعًا كحد أقصى. في قاعدة التعليمات البرمجية 12.2S، لا يوجد حد أقصى للتجمُّعات.

س. ما فائدة استخدام خريطة المسار مقابل قائمة التحكم بالوصول (ACL) على أحد تجمُّعات ترجمة عناوين الشبكة (NAT)؟

ج. تحمي خريطة المسار المستخدمين الخارجيين غير المرغوب فيهم للوصول إلى المستخدمين/الخوادم الداخلية. كما أن لديها القدرة على تعيين عنوان IP داخلي واحد لعناوين "عامة داخلية" مختلفة بناءً على القاعدة. راجع دعم NAT للتجمُّعات المتعددة التي تستخدم خرائط المسار لمزيد من المعلومات.

س. ما هو عنوان IP المتداخل داخل في سياق NAT؟

ج. يشير تداخل عنوان IP إلى موقف حيث يستخدم فيه موقعان يرغبان في الاتصال البيني نفس نظام عنوان IP. هذا ليس حدثا غير عادي. وغالبًا ما يحدث عند دمج الشركات أو الاستحواذ عليها. ومن دون دعم خاص، لن يتمكن الموقعان من الاتصال وعقد الجلسات. يمكن أن يكون عنوان IP المتداخل عنوانا عاما تم تعيينه لشركة أخرى، أو عنوانا خاصا تم تعيينه لشركة أخرى، أو يمكن أن يأتي من نطاق العناوين الخاصة كما هو محدد في RFC 1918

لا يمكن توجيه عناوين IP الخاصة وتتطلب ترجمات NAT للسماح بالاتصالات بالعالم الخارجي. يتضمن الحل اعتراض استجابات استعلام اسم نظام اسم المجال (DNS) من الخارج إلى الداخل، وإعداد ترجمة للعنوان الخارجي، وإصلاح استجابة DNS قبل إعادة توجيهها إلى الجهاز المضيف الداخلي. يلزم وجود خادم DNS على كلا جانبي جهاز NAT لحل مشكلة المستخدمين الراغبين في الاتصال بين كلتا الشبكتين.

يمكن ترجمة عناوين الشبكة (NAT) فحص ترجمة العنوان وتنفيذها على محتويات سجلات DNS A وPTR، كما هو موضّح في استخدام NAT في الشبكات المتداخلة.

س. ما هي ترجمات NAT الثابتة؟

ج. تحتوي ترجمات NAT الثابتة على تعيين واحد لواحد بين العناوين المحلية والعالمية. كما يمكن للمستخدمين تكوين ترجمات العناوين الثابتة إلى مستوى المنفذ، واستخدام ما تبقى من عنوان IP للترجمات الأخرى. يحدث هذا عادةً في المكان الذي تقوم فيه بتنفيذ ترجمة عناوين المنافذ (PAT).

يبدي المثال التالي كيف أن يشكل مسحاج تخديد أن يسمح ترجمة من الخارج إلى الداخل ل ساكن إستاتيكي nat:

ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 10.1.10.128 0.0.0.127'
route-map R1 permit 10
match ip address ACL-A

س- ما المقصود بمصطلح تحميل NAToverload؛ هل هذا PAT؟

ج. نعم. الحمل الزائد لترجمة عناوين الشبكة (NAT) هو ترجمة عناوين المنافذ (PAT)، والذي يتضمن استخدام تجمُّع به نطاق واحد أو أكثر من العناوين أو استخدام عنوان IP للواجهة مع المنفذ. عندما تقوم بحمل زائد، تقوم بإنشاء ترجمة موسّعة بالكامل. هذا عبارة عن إدخال جدول ترجمة يحتوي على عنوان IP ومعلومات منفذ المصدر/الوجهة، والتي تُعرف عادةً باسم ترجمة عناوين المنافذ (PAT) أو الحمل الزائد.

PAT (أو الحمل الزائد) هي إحدى ميزات Cisco IOS NAT التي يتم استخدامها لترجمة العناوين الداخلية (داخلية محلية) الخاصة إلى واحد أو أكثر من عناوين IP الخارجية (داخل عالمية، وعادة ما تكون مُسجلة). يتم استخدام أرقام منافذ المصدر الفريدة في كل ترجمة للتمييز بين المحادثات.

س. ما هي ترجمات NAT الديناميكية؟

ج. في ترجمات NAT الديناميكية، يمكن للمستخدمين إنشاء تعيين ديناميكي بين العناوين المحلية والعالمية. يتم إجراء التعيين الديناميكي من خلال تحديد العناوين المحلية المُراد ترجمتها ومجموعة العناوين أو عنوان IP للواجهة التي يتم من خلالها تخصيص العناوين العامة وربط الاثنين.

س. ما المقصود بعبّارة طبقة التطبيقات (ALG)؟

ج. ALG عبارة عن عبّارة طبقة التطبيقات (ALG). تقوم ترجمة عناوين الشبكة (NAT) بتنفيذ خدمة الترجمة على أي حركة مرور لبروتوكول التحكم في الإرسال/بروتوكول مخطط بيانات المستخدم (TCP/UDP) التي لا تحمل عناوين IP للمصدر و/أو الوجهة في تدفق بيانات التطبيق.

وتتضمن هذه البروتوكولات FTP وHTTP وSKINNY وH232 وDNS وRAS وSIP وTFTP وtelnet وarchie وfinger وNTP وNFS وrlogin وrsh وrcp. تتطلب البروتوكولات المحددة التي تتضمن معلومات عنوان IP داخل الحمولة دعمًا لعبّارة مستوى التطبيقات (ALG).

راجع استخدام عبّارات مستوى التطبيقات مع NAT لمزيد من المعلومات.

س. هل من الممكن إنشاء تكوين مع كل من ترجمات NAT الثابتة والديناميكية؟

ج. نعم. ومع ذلك، لا يمكن استخدام نفس عنوان IP لتكوين NAT الثابت أو في التجمُّع لتكوين NAT الديناميكي. يجب أن تكون جميع عناوين IP العامة فريدة. لاحظ أن العناوين العامة المُستخدمة في الترجمات الثابتة لا يتم استبعادها تلقائيًا مع التجمُّعات الديناميكية التي تحتوي على نفس تلك العناوين العامة. يجب إنشاء تجمُّعات ديناميكية لاستبعاد العناوين المعينة بواسطة الإدخالات الثابتة. لمزيد من المعلومات، راجع تكوين NAT الثابت والديناميكي في الوقت نفسه.

q. عندما يتم traceroute من خلال nat مسحاج تخديد، هل يبدي traceroute ال nat-global عنوان أو هو يسرب ال nat-محلي عنوان؟

a. يجب أن ترجع Traceroute من الخارج دائما العنوان العالمي.

س: كيف تقوم ترجمة عناوين المنافذ (PAT) بتخصيص المنفذ؟

ج. تقدم ترجمة عناوين الشبكة (NAT) ميزات إضافية للمنفذ: النطاق الكامل وخريطة المنفذ.

• يتيح النطاق الكامل لترجمة عناوين الشبكة (NAT) باستخدام جميع المنافذ بغض النظر عن نطاق المنفذ الافتراضي.

• تتيح خريطة المنفذ لترجمة عناوين الشبكة (NAT) حجز مستخدم يحدد نطاق المنفذ لتطبيق معين.

راجع نطاقات منافذ المصدر المحددة بواسطة المستخدم لترجمة عناوين المنافذ (PAT) للحصول على مزيد من المعلومات.

في 12.4(20)T2 فالإصدارات الأحدث، تقدّم ترجمة عناوين الشبكة (NAT) التوزيع العشوائي للمنفذ لـ L3/L4 والمنفذ المتماثل.

• يتيح التوزيع العشوائي للمنافذ لترجمة عناوين الشبكة (NAT) تحديد أي منفذ عام لطلب المنفذ المصدر بشكل عشوائي.

• يتيح Symmetric-Port ل NAT دعم نقطة النهاية المستقلة.

س: ما هو الفرق بين تجزئة IP وتجزئة TCP؟

ج. تحدث تجزئة IP في الطبقة 3 (IP)؛ تحدث تجزئة TCP في الطبقة 4 (TCP). تحدث تجزئة IP عندما يتم إرسال الحِزم الأكبر من وحدة الإرسال القصوى (MTU) لواجهة ما من هذه الواجهة. يجب أن تكون هذه الحزم مجزأة أو مهملة عند إرسالها من الواجهة. إذا لم يتم تعيين بت عدم التجزئة (DF) في رأس IP للحزمة، فإن الحزمة تكون مجزأة. إذا تم تعيين بت DF في رأس IP للحزمة، فإن الحزمة يتم إسقاطها ورسالة خطأ ICMP تشير إلى قيمة MTU للخطوة التالية يتم إرجاعها إلى المرسل. تحمل جميع مقاطع إحدى حِزم IP المعرّف نفسه في رأس IP، مما يتيح للجهاز المستقبل النهائي إعادة تجميع الأجزاء في حِزمة IP الأصلية. راجع حل مشكلات تجزئة IP وMTU وMSS وPMTUD مع GRE وIPsec لمزيد من المعلومات.

تحدث تجزئة TCP عندما يرسل تطبيق على محطة طرفية بيانات. يتم تقسيم بيانات التطبيق إلى ما يعتبره بروتوكول TCP أفضل الأجزاء حجمًا لإرسالها. وتُسمى هذه الوحدة من البيانات التي يتم تمريرها من TCP إلى IP باسم مقطع. يتم إرسال مقاطع TCP في مخططات بيانات IP. يمكن بعد ذلك أن تصبح مخططات بيانات IP هذه مقاطع IP أثناء مرورها عبر الشبكة وتواجه ارتباطات MTU أقل مما يمكن أن تتناسب معها.

يقوم TCP أولا بتقسيم هذه البيانات إلى مقاطع TCP (استنادا إلى قيمة TCP MSS) ويضيف رأس TCP ويمرر مقطع TCP هذا إلى IP. ثم يضيف بروتوكول IP رأس IP لإرسال الحزمة إلى المضيف الطرفي البعيد. إذا كانت حزمة IP مع مقطع TCP أكبر من وحدة الحد الأقصى للنقل (MTU) الخاصة ببروتوكول IP على واجهة صادرة على المسار بين مضيفي TCP، فعندئذ يقوم IP بتقسيم حزمة IP/TCP من أجل الملاءمة. يتم إعادة تجميع أجزاء حزمة IP هذه على المضيف البعيد بواسطة طبقة IP ويتم تسليم مقطع TCP الكامل (الذي تم إرساله في الأصل) إلى طبقة TCP. ليس لدى طبقة TCP فكرة عن أن IP قد قام بتجزئة الحزمة أثناء النقل.nat يدعم أجزاء IP، ولكنه لا يدعم أجزاء TCP.

س. هل تدعم ترجمة عناوين الشبكة (NAT) عدم الترتيب لتجزئة IP وتجزئة TCP؟

ج. تدعم ترجمة عناوين الشبكة (NAT) مقاطع IP غير المرتبة فقط بسبب إعادة تجميع IP الافتراضي.

س. كيفية تصحيح تجزئة IP وتجزئة TCP إلى مقاطع؟

ج. تستخدم ترجمة عناوين الشبكة (NAT) نفس واجهة سطر الأوامر (CLI) لتصحيح الأخطاء لكل من تجزئة IP وتجزئة TCP إلى مقاطع: debug ip nat frag.

س. هل هناك قواعد معلومات إدارة (MIB) لترجمة عناوين الشبكة (NAT) مدعومة؟

ج. لا، لا توجد NAT MIB مدعومة، بما في ذلك CISCO-IETF-NAT-MIB.

س. ماذا يعني انتهاء مهلة TCP وما علاقته بمؤقت NAT TCP؟

a. إذا لم يتم إكمال المصافحة الثلاثية الإتجاه ويرى NAT حزمة TCP، عندئذ NAT يبدأ مؤقت 60 ثانية. عند اكتمال رسائل المزامنة ثلاثية الاتجاهات، تستخدم ترجمة عناوين الشبكة (NAT) مؤقتًا مدته 24 ساعة لإدخال NAT افتراضيًا. إذا أرسل جهاز مضيف نهائي إعادة تعيين (RESET)، تقوم NAT بتغيير المؤقت الافتراضي من 24 ساعة إلى 60 ثانية. في حالة FIN، تقوم NAT بتغيير المؤقت الافتراضي من 24 ساعة إلى 60 ثانية عندما تتلقى FIN وFIN-ACK.

س. يستطيع أنا غيرت المقدار من الوقت يستغرقه ل nat ترجمة إلى وقت من ال nat ترجمة طاولة؟

ج. نعم. يمكنك تغيير قيم مهلة NAT لجميع الإدخالات أو للأنواع المختلفة من ترجمات NAT (مثل udp-timeout، dns-timeout، tcp-timeout، finrst-timeout، icmp-timeout، pptp-timeout، syn-timeout، port-timeout و arp-ping-timeout).

س. كيف يمكنني إيقاف البروتوكول الخفيف للوصول إلى الدليل (LDAP) من إرفاق وحدات بايت إضافية إلى كل حِزمة من حِزم رد LDAP؟

ج. تضيف إعدادات LDAP وحدات البايت الإضافية (نتائج بحث LDAP) أثناء معالجة الرسائل من نوع Search-Res-Entry. يخصص البروتوكول الخفيف للوصول إلى الدليل (LDAP)، 10 وحدات بايت من نتائج البحث لكل من حِزم رد بروتوكول LDAP. وفي حالة أن العشر وحدات بايت الإضافية هذه من البيانات تؤدي إلى تجاوز الحِزمة الحد الأقصى لوحدة الإرسال (MTU) في الشبكة، يتم إسقاط الحِزمة. في هذه الحالة، تُوصي Cisco بإيقاف تشغيل سلوك LDAP هذا باستخدام الأمر no ip nat service append-ldap-search-res من أجل إرسال الحِزم واستلامها.

س. ما هي توصية المسار لعنوان IP العام الداخلي/المحلي الخارجي على مربع ترجمة عناوين الشبكة (NAT)؟

ج. يجب تحديد مسار على مربع NAT الذي تم تكوينه لعنوان IP العام الداخلي لميزات مثل NAT-NVI. بالمثل، طريق ينبغي أيضا كنت عينت في ال nat صندوق ل خارجي محلي عنوان. في هذه الحالة، يتطلب أي ربط من in to out إتجاه يستعمل القاعدة الثابتة الخارجية هذا النوع من المسار. في مثل هذه السيناريوهات، يجب أيضا تكوين عنوان IP للخطوة التالية أثناء توفير المسار ل IG/OL. إذا كان تكوين الخطوة التالية مفقودا، فهذا يعد خطأ تكوين وينتج عنه سلوك غير معرف.

تتوفر NVI-NAT في مسار ميزة الإخراج فقط. إذا كنتَ قد قمتَ بتوصيل شبكة فرعية مباشرة بـ NAT-NVI أو قاعدة ترجمة NAT الخارجية التي تم تكوينها على المربع، فإنك عندئذٍ في هذه السيناريوهات تحتاج إلى توفير عنوان IP وهمي "للخطوة التالية" وأيضًا ARP مرتبط "بالخطوة التالية". ويُعد ذلك ضروريًا لتتمكّن البنية الأساسية من تسليم الحِزمة إلى ترجمة عناوين الشبكة (NAT) للترجمة.

q. هل يدعم Cisco IOS NAT قوائم التحكم في الوصول (ACL) باستخدام الكلمة الأساسية log؟

ج. عند تكوين Cisco IOS NAT لترجمة NAT الديناميكية، يتم استخدام قائمة تحكم بالوصول (ACL) لتحديد الحِزم التي يمكن ترجمتها. لا تدعم بنية NAT الحالية قوائم التحكم في الوصول (ACL) باستخدام الكلمة الأساسية log.

ترجمة عناوين الشبكة (NAT) الصوتية

هل تدعم NAT بروتوكول التحكم في عميل Skinny (SCCP)، الإصدار v17 الذي يتم شحنه مع Cisco Unified Communications Manager (CUCM)، الإصدار 7؟

ج. يقوم CUCM 7 وجميع أحمال الهواتف الافتراضية لـ CUCM 7 بدعم SCCPv17. ويتحدد إصدار SCCP المُستخدم حسب أعلى إصدار مشترك بين CUCM والهاتف عند تسجيل الهاتف.

في الوقت الذي تم إنشاء هذا المستند، لا يدعم NAT الإصدار 17 من SCCP. حتى يتم تنفيذ دعم NAT للإصدار 17 من SCCP، يجب تخفيض البرنامج الثابت إلى الإصدار 8-3-5 أو الإصدارات الأقدم حتى يتم التفاوض على SCCP v16. لا يواجه CUCM6 مشكلة NAT مع أي تحميل هاتف طالما أنه يستخدم SCCP v16. لا يدعم Cisco IOS حاليا الإصدار 17 من SCCP.

س. ما هي إصدارات حمل CUCM/SCCP/البرامج الثابتة المدعومة بواسطة NAT؟

ج. تقوم NAT بدعم الإصدار 6.x من CUCM والإصدارات السابقة. ويتم طرح إصدارات CUCM هذه مع تحميل البرنامج الثابت للهاتف مع 8.3.x الافتراضي (أو إصدار سابق) والذي يدعم SCCP، الإصدار 15 (أو إصدار سابق).

ترجمة عناوين الشبكة (NAT) لا تدعم إصدارات CUCM 7x أو الإصدارات اللاحقة. ويتم طرح إصدار CUCM مع تحميل البرامج الثابتة للهاتف مع 8.4.x الافتراضي والذي يدعم SCCP، الإصدار 17 (أو إصدار أحدث).

إذا تم استخدام CUCM، الإصدار 7.x أو إصدار أحدث، فيجب تثبيت تحميل برنامج ثابت قديم على خادم CISCO TFTP بحيث تستخدم الهواتف تحميل برنامج ثابت مع SCCP، الإصدار 15 أو إصدار سابق لكي يتم دعمه بواسطة NAT.

س. ما المقصود بتحسين تخصيص منفذ PAT لمزوّد الخدمة لصالح RTP وRTCP؟

ج. يضمن تحسين تخصيص منفذ PAT الخاص بمزوّد الخدمة لصالح RTP وRTCP ذلك لمكالمات SIP وH.323 ومكالمات Skinny الصوتية. كما تُعد أرقام المنافذ المُستخدمة لتدفقات RTP أرقام منافذ، وتدفقات RTCP رقم المنفذ الفردي التالي. وتتم ترجمة رقم المنفذ إلى رقم ضمن النطاق المحدد وفقًا لـ RFC-1889. مكالمة ذات رقم منفذ ضمن النطاق ينتج عنها ترجمة PAT إلى رقم منفذ آخر ضمن هذا النطاق. بالمثل، ضرب ترجمة لرقم أيسر خارج هذا مدى لا ينتج ترجمة إلى رقم ضمن المدى معطى.

س. ما المقصود ببروتوكول بدء جلسة عمل (SIP)، هل يمكن ترجمة حِزم SIP؟

ج. بروتوكول بدء جلسة عمل (SIP) عبارة عن بروتوكول تحكُّم في طبقة التطبيق قائم على ASCII ويمكن استخدامه لإنشاء مكالمات وصيانتها وإنهائها بين جهازين طرفين أو أكثر. بروتوكول بدء جلسة عمل (SIP) هو بروتوكول بديل تم تطويره بواسطة فريق عمل هندسة الإنترنت (IETF) لعقد مؤتمرات الوسائط المتعددة عبر IP. يتيح تنفيذ Cisco SIP للأنظمة الأساسية من Cisco المدعومة الإشارة إلى إعداد مكالمات الصوت والوسائط المتعددة عبر شبكات IP.

يمكن تثبيت حِزم بروتوكول بدء جلسة عمل (SIP).

س. ما هو دعم اجتياز NAT المستضاف لوحدة التحكم في حد جلسة العمل (SBC)؟

ج. تتيح ميزة "اجتياز Cisco IOS Hosted NAT Traversal لوحدة التحكم في حد جلسة العمل (SBC) لموجّه العبّارة على مستوى تطبيقات (ALG) Cisco IOS NAT SIP أن يعمل بمثابة SBC على إحدى عبّارات Cisco IP إلى IP متعددة الخدمات، مما يساعد على ضمان التوصيل السلس لنقل الصوت عبر بروتوكول الإنترنت (VoIP).

راجع تكوين Cisco IOS Hosted NAT Traversal لوحدة التحكم في حد جلسة العمل للحصول على مزيد من المعلومات.

س. كم عدد مكالمات SIP وSkinny وH323 التي يمكن لذاكرة موجّهات ووحدة معالجة مركزية التعامل معها باستخدام NAT؟

ج. يعتمد عدد المكالمات التي يتعامل معها موجّه NAT على مقدار الذاكرة المتوفرة في المربع وقوة معالجة وحدة المعالجة المركزية.

q. هل يدعم موجه NAT تجزئة TCP لحزم Skinny و H323؟

a. يدعم Cisco IOS-NAT تجزئة TCP للطراز H323 في 12.4 من خطوط الاتصال الرئيسية ودعم تجزئة TCP ل SKINNY من 12.4(6)T فصاعدا.

س. هل هناك أي تحذيرات يجب الانتباه إليها عند استخدام تكوين تحميل زائد لترجمة عناوين الشبكة (NAT) في نشر الصوت؟

ج. نعم. عندما يكون لديك تكوينات حمل زائد لترجمة عناوين الشبكة (NAT) ونشر الصوت، فأنت بحاجة إلى رسالة التسجيل للانتقال عبر NAT وإنشاء ارتباط لصالح out-> in للوصول إلى هذا الجهاز الداخلي. يرسل الجهاز الداخلي هذا التسجيل بطريقة دورية وتقوم NAT بتحديث هذا الفتحة الصغيرة/الارتباط من المعلومات كما في رسالة الإشارة.

س. هل هناك أي مشاكل معروفة ناتجة عن إصدار الأمر clear ip nat trans * أو الأمر clear ip nat trans forced في نشر صوتي؟

a. في عمليات نشر الصوت عند إصدار أمر IP clear nat trans * أو أمر IP clear nat transForced وتزويدك ب NAT ديناميكي، تقوم بمسح الثقب/الاقتران ويجب عليك انتظار دورة التسجيل التالية من الجهاز الداخلي لإعادة إنشاء هذا. تُوصي Cisco بعدم استخدام هذه الأوامر الواضحة في نشر صوتي.

س. هل تدعم NAT الحل المشترك في الموقع بشكل مشترك؟

ج. لا، الحل المشترك في الموقع غير مدعوم حاليًا. إن عملية النشر التالية مع NAT (في نفس الصندوق) تعتبر حلا في موقع مشترك: CME/DSP-Farm/SCCP/H323.

س. هل تقوم واجهة NAT الافتراضية (NVI) بدعم Skinny ALG وH323 ALG وTCP SIP ALG؟

ج. لا. لاحظ أن UDP SIP ALG (المستخدمة في معظم عمليات النشر) لا تتأثر.

ترجمة عناوين الشبكة (NAT) مع VRF/MPLS

q. هل يدعم موجه NAT أبدا NAT الوصول إلى نفس مساحة العنوان في VRF في نفس الوقت الذي يتم فيه NATted في مساحة عنوان عمومية؟ أتلقى هذا التحذير حاليًا: "٪ إدخال ثابت مماثل (10.1.1.1 —> 10.210.2.2) موجود بالفعل عند محاولة تكوين هذا:

72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED 

a. يساند Legacy NAT عنوان تشكيل متداخل عبر VRFs مختلف. سيتعين عليك تكوين التداخل عند القاعدة مع الخيار match-in-vrf وإعداد ip nat inside/outside في نفس إعادة التوجيه الافتراضي (VRF) لحركة المرور عبر إعادة التوجيه الافتراضي (VRF) المحددة تلك. لا يتضمن الدعم المتداخل جدول التوجيه العام.

يجب عليك إضافة الكلمة الأساسية match-in-vrf لإدخالات NAT الثابتة لإعادة التوجيه الافتراضي (VRF) المتداخلة لمختلف عمليات إعادة التوجيه الافتراضي (VRFs). ومع ذلك، لا يمكن تداخل عناوين NAT العامة وvrf.

72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf

هل تدعم NAT القديمة VRF-Lite (القيام بترجمة عناوين الشبكة من VRF إلى VRF مختلف)؟

ج. لا، يجب عليك استخدام واجهة NAT الافتراضية (NVI) للقيام بترجمة عناوين الشبكة بين عمليات إعادة التوجيه الافتراضي (VRFs) المختلفة. أنت يستطيع استعملت قديم nat أن يتم nat من VRF إلى شامل أو nat ضمن ال نفسه VRF.

واجهة ترجمة عناوين الشبكة الافتراضية (NVI)

س. ما المقصود بمصطلح NAT NVI؟

ج. NVI ترمز إلى واجهة NAT الافتراضية. تتيح لترجمة عناوين الشبكة (NAT) الترجمة بين VRFs مختلفة. يجب إستخدام هذا الحل بدلا من ترجمة عنوان الشبكة على عصا.

q. ينبغي أن يكون nat NVI استعملت عندما NATing بين قارن في شامل وقارن في VRF؟

ج. تُوصي Cisco باستخدام NAT القديمة لصالح VRF إلى NAT العامة (ip nat inside/out) وبين الواجهات في نفس VRF. يتم استخدام واجهة NAT الافتراضية (NVI) لترجمة عناوين الشبكة (NAT) بين عمليات إعادة توجيه افتراضي (VRFs) مختلفة.

س. هل تجزئة TCP لواجهة NAT-NVI مدعومة؟

ج. لا يوجد دعم لتجزئة TCP لواجهة NAT-NVI.

س. هل تقوم واجهة NAT الافتراضية (NVI) بدعم Skinny ALG وH323 ALG وTCP SIP ALG؟

ج. لا. لاحظ أن UDP SIP ALG (المستخدمة في معظم عمليات النشر) لا تتأثر.

س. هل تجزئة TCP مدعومة بـ SNAT؟

ج. لا تدعم SNAT أي TCP ALGs (مثل SIP أو SKINNY أو H323 أو DNS). وبالتالي، فإن تجزئة TCP غير مدعومة. ومع ذلك، يتم دعم UDP SIP وDNS.

SNAT

س. ما المقصود بمصطلح NAT Stateful (SNAT)؟

ج. تتيح SNAT لمترجمين أو أكثر لعناوين الشبكة بالعمل كمجموعة ترجمة. يتعامل أحد أعضاء مجموعة الترجمة مع حركة المرور التي تتطلب ترجمة معلومات عنوان IP. بالإضافة إلى ذلك، يقوم بإعلام مترجم النسخ الاحتياطي بالتدفقات النشطة عند حدوثها. يمكن لمترجم النسخ الاحتياطي بعد ذلك استخدام المعلومات من المترجم النشط لإعداد إدخالات مكررة لجدول الترجمة. لذلك، في حال تمت إعاقة المترجم النشط بسبب فشل فادح، يمكن تحويل حركة المرور بسرعة إلى النسخة الاحتياطية. يستمر تدفق حركة المرور منذ استخدام نفس ترجمات عناوين الشبكة وتم تحديد حالة تلك الترجمات مسبقًا.

س. هل تجزئة TCP مدعومة بـ SNAT؟

ج. لا تدعم SNAT أي TCP ALGs (مثل SIP أو SKINNY أو H323 أو DNS). وبالتالي، فإن تجزئة TCP غير مدعومة. ومع ذلك، يتم دعم UDP SIP وDNS.

هل دعم SNAT للتوجيه غير المتماثل؟

أ. يدعم التوجيه غير المتماثل NAT عن طريق تمكين قوائم الانتظار. وبشكل افتراضي، يتم تمكين وضع قائمة الانتظار. ومع ذلك، فبدءًا من 12.4(24)T فصاعدًا، لم يعد وضع قائمة الانتظار مدعومًا. يجب على العملاء التأكد من توجيه الحِزم بشكل صحيح وإضافة التأخير المناسب حتى يعمل التوجيه غير المتماثل بشكل صحيح.

NAT-PT (الإصدار 6 إلى الإصدار 4)

س. ما المقصود بمصطلح NAT-PT؟

ج. NAT-PT هي ترجمة من الإصدار 4 إلى الإصدار 6 لترجمة عناوين الشبكة (NAT). ترجمة البروتوكول (NAT-PT) هي آلية ترجمة عبر بروتوكول IPv6-IPv4، كما هو محدد في RFC 2765 وRFC 2766 ، مما يسمح للأجهزة التي تدعم بروتوكول IPv6 فقط بالاتصال بأجهزة تعمل عبر بروتوكول IPv4 فقط والعكس صحيح.

س. هل NAT-PT مدعومة في مسار Cisco Express Forwarding (CEF)؟

ج. ميزة NAT-PT غير مدعومة في مسار CEF.

س. ما هي عبّارات مستوى التطبيقات (ALGs) المدعومة في NAT-PT؟

ج. تقوم ميزة NAT-PT بدعم TFTP/FTP وDNS. لا يوجد دعم للصوت وSNAT في NAT-PT.

س. هل يقوم الموجّه ASR 1004 بدعمNAT-PT؟

ج. تقوم موجّهات خدمات التجميع (ASR) باستخدام NAT64.

Cisco 7300/7600/6k المعتمد على المنصة

س. هل تتوفر ميزة Stateful NAT (SNAT) على Catalyst 6500 على مجموعة SX؟

ج. SNAT غير متوفرة على Catalyst 6500 على مجموعة SX.

س. هل يتم دعم VRF-aware NAT في الأجهزة على 6k؟

ج. VRF-aware NAT غير مدعومة في الأجهزة على هذا النظام الأساسي.

س. هل يقوم كل من 7600 وCat6000 بدعم VRF-aware NAT؟

ج. على النظام الأساسي 65xx/76xx، لا يتم دعم VRF-aware NAT، ويتم حظر واجهات سطر الأوامر (CLIs).

ملاحظة: يمكنك تنفيذ تصميم عن طريق زيادة فعالية FWSM التي تعمل في الوضع الشفاف للسياق الظاهري.

Cisco 850 المعتمد على المنصة

س. هل يقوم Cisco 850 بدعم Skinny NAT ALG في الإصدار 12.4T؟

ج. لا، لا يوجد دعم لصالح Skinny NAT ALG في 12.4T على سلسلة 850.

نشر ترجمة عناوين الشبكة (NAT)

س. كيف يمكنني تنفيذ NAT؟

a. nat يمكن خاص ip internetworks أن يستعمل عنوان غير مسجل أن يربط إلى الإنترنت. تقوم ترجمة عناوين الشبكة (NAT) بترجمة العنوان الخاص (RFC1918) في الشبكة الداخلية إلى عناوين قانونية قابلة للتوجيه قبل إعادة توجيه الحِزم إلى شبكة أخرى.

س. كيف يمكنني تنفيذ NAT بالصوت؟

ج. يتيح دعم NAT لميزة الصوت ترجمة رسائل SIP المضمنة عبر موجّه تم تكوينه باستخدام ترجمة عنوان الشبكة (NAT) مُراد ترجمتها مرة أخرى إلى الحِزمة. تُستخدم عبّارة طبقة التطبيقات (ALG) مع NAT لترجمة الحِزم الصوتية.

س. كيف يمكنني دمج NAT مع شبكات MPLS VPNs؟

ج. يتيح تكامل NAT مع ميزة MPLS VPNs تكوين شبكات VPN MPLS متعددة على جهاز واحد للعمل معًا. يمكن لترجمة عناوين الشبكة (NAT) التمييز بين MPLS VPN الذي يتلقى حركة مرور IP حتى إذا كانت MPLS VPNS تستخدم نفس نظام عنونة IP. يتيح هذا التحسين للعديد من عملاء MPLS VPN مشاركة الخدمات مع ضمان فصل كل MPLS VPN تمامًا عن الأخرى.

س. هل تعيين NAT الثابتة يدعم بروتوكول HSRP لتحقيق التوفّر العالي؟

A. عندما يتم تشغيل استعلام بروتوكول تحليل العنوان (ARP) لعنوان تم تكوينه باستخدام تعيين ثابت لترجمة عنوان الشبكة (NAT) ويملكه الموجّه، تستجيب NAT بعنوان BIA MAC على الواجهة التي يشير إليها ARP. يعمل موجّهان يعمل بمثابة HSRP نشطًا واستعدادًا. ويجب تمكين واجهات NAT الداخلية الخاصة بها وتكوينها بحيث تنتمي إلى مجموعة.

س. كيف يمكنني تنفيذ NAT NVI؟

ج. تُزيل ميزة واجهة NAT الافتراضية (NVI) متطلبات تكوين واجهة إما على هيئة NAT داخلية أو NAT خارجية.

س. كيف يمكنني تنفيذ موازنة الحمل باستخدام NAT؟

ج. هناك نوعان من موازنة الحمل التي يمكن إجراؤها باستخدام NAT: يمكنك تحميل الرصيد الوارد إلى مجموعة من الخوادم لتوزيع الحمل على الخوادم، ويمكنك موازنة حمل حركة مرور المستخدم الخاصة بك إلى الإنترنت عبر اثنين أو أكثر من مزودي خدمة الإنترنت.

للحصول على مزيد من المعلومات حول موازنة التحميل الصادرة، ارجع إلى موازنة حمل Cisco IOS NAT لاتصالات ISP إثنين.

س. كيف يمكنني تنفيذ NAT بالاقتران مع IPSec؟

ج. هناك دعم لحمولة أمان التضمين (ESP) لأمان (IP (IPsec من خلال NAT وشفافية IPSec NAT.

توفر ميزة IPSec ESP من خلال NAT القدرة على دعم أنفاق أو اتصالات IPSec متعددة متزامنة عبر جهاز Cisco IOS NAT تم تكوينه في وضع الحمل الزائد أو ترجمة عنوان المنفذ (PAT).

تقدّم ميزة شفافية IPSec NAT دعمًا لحركة مرور IPSec للتنقل عبر نقاط NAT أو PAT في الشبكة من خلال معالجة العديد من حالات عدم التوافق المعروفة بين NAT وIPSec.

س. كيف يمكنني تنفيذ NAT-PT؟

أ. NAT-PT (ترجمة عنوان الشبكة - بروتوكول الترجمة) هي آلية ترجمة IPv6-IPv4، كما هو محدد في RFC 2765 و RFC 2766 ، تتيح لأجهزة IPv6 فقط الاتصال بأجهزة IPv4 فقط والعكس صحيح.

س. كيف يمكنني تنفيذ NAT متعددة البث؟

ج. من الممكن ترجمة عنوان IP المصدر إلى NAT لتدفق متعدد البث. لا يمكن استخدام خريطة المسار عند تنفيذ ترجمة عناوين الشبكة (NAT) الديناميكية للبث المتعدد، حيث لا يدعم سوى قائمة وصول لذلك.

لمزيد من المعلومات، راجع كيف تعمل NAT متعددة البث على موجّهات Cisco. تتم ترجمة عناوين الشبكة لمجموعة البث المتعدد الوجهة باستخدام حل انعكاس خدمة البث المتعدد.

س. كيف يمكنني تنفيذ ميزة stateful NAT (SNAT)؟

ج. تتيح SNAT خدمة مستمرة لجلسات NAT المعينة ديناميكيًا. الجلسات المحددة بشكل ثابت تستفيد من التكرار دون الحاجة إلى SNAT. في حالة عدم وجود SNAT، سيتم قطع الجلسات التي تستخدم تعيينات NAT الديناميكية في حالة حدوث فشل خطير وسيتعين إعادة تأسيسها. يتم دعم تكوين SNAT الأدنى فقط. يجب تنفيذ عمليات النشر المستقبلية فقط بعد التحدث إلى فريق حساب Cisco للتحقق من صحة التصميم المتعلق بالقيود الحالية.

يوصى ب SNAT للسيناريوهات التالية:

• الأساسي/النسخ الاحتياطي ليس وضعًا مُوصى به نظرًا لوجود بعض الميزات المفقودة بالمقارنة مع HSRP.

• بالنسبة لسيناريوهات تجاوز الفشل ولإعداد جهازين. وهذا يعني أنه في حالة تعطل أحد الموجّهات، يتولى الموجّه الآخر مهامه بسلاسة. (بنية SNAT التحتية ليست مصممة للتعامل مع حالات عدم ثبات الواجهة).

• يتم دعم سيناريو التوجيه غير المتماثل. لا يمكن التعامل مع التوجيه غير المتماثل إلا إذا كان زمن الانتقال في حِزمة الرد أعلى من ذلك بين موجّهي SNAT لتبادل رسائل SNAT.

حاليًا، لم يتم تصميم بنية SNAT التحتية للتعامل مع المتانة؛ وبالتالي، ليس من المتوقع أن تنجح هذه الاختبارات:

• مسح إدخالات NAT أثناء وجود حركة مرور.

• تغيير معلمات الواجهة (مثل تغيير عنوان IP، الإيقاف/عدم الإيقاف، وما إلى ذلك) أثناء وجود حركة مرور.

• لا يُتوقع تنفيذ أوامر clear أو show الخاصة بـ SNAT بشكل صحيح ولا يُنصح بها.

بعض أوامر show وclear</strong>المرتبطة ب SNAT هي كما يلي:

clear ip snat sessions *
clear ip snat sessions 
      
      
clear ip snat translation distributed *
clear ip snat translation peer < IP address of SNAT peer>
sh ip snat distributed verbose
sh ip snat peer < IP address of peer>

إذا كان المستخدم يريد مسح الإدخالات، يمكن إستخدام أوامر مسح ip nat trans</strong> أو مسح ip nat trans *.

إذا كان المستخدم يريد عرض الإدخالات، يمكن إستخدام الأمر< show ip nat translation، و show ip nat translation، وshow ip nat stats. إذا تم تكوين الخدمة الداخلية، فإنها تعرض معلومات خاصة ب SNAT أيضا.

لا يوصى بإلغاء ترجمة عناوين الشبكة (NAT) لدى الموجّه الاحتياطي. احرص دائمًا على مسح إدخالات NAT على موجّه SNAT الأساسي.

SNAT ليست توفّر عالي (HA)؛ لذلك، يجب أن تكون التكوينات على كلا الموجهين هي نفسها. يجب أن يحتوي كلا الموجهين على نفس الصورة قيد التشغيل. كما تأكد أيضًا من أن النظام الأساسي الأساسي المستخدم لكلا موجهي SNAT هو نفسه.

أفضل الممارسات لترجمة عناوين الشبكة (NAT)

س. هل توجد أي إجراءات مُحدَّدة كأفضل ممارسات لترجمة عناوين الشبكة (NAT)؟

ج. نعم. وفيما يلي أفضل الممارسات لترجمة عناوين الشبكة (NAT):

• عند إستخدام كل من NAT الديناميكي والثابت، يجب أن تستثني قائمة التحكم في الوصول (ACL) التي تحدد قاعدة NAT الديناميكي البيئات المضيفة المحلية الثابتة حتى لا يكون هناك تداخل.

• احذر من استخدام قائمة التحكم بالوصول (ACL) لترجمة عناوين الشبكة (NAT) مع permit ip any any، حيث يمكنك الحصول على نتائج غير متوقعة. بعد 12.4(20)T NAT يترجم HSRP وبروتوكول التوجيه الذي تم إنشاؤه محليا إذا تم إرسالها من الواجهة الخارجية، بالإضافة إلى الحزم المشفرة محليا التي تطابق قاعدة NAT.

• عندما يكون لديك شبكات متداخلة لترجمة عناوين الشبكة (NAT)، استخدم الكلمة الأساسية match-in-vrf.

يجب عليك إضافة الكلمة الأساسية match-in-vrf لإدخالات NAT الثابتة لإعادة التوجيه الافتراضي (VRF) المتداخلة لمختلف عمليات إعادة التوجيه الافتراضي (VRFs)، ولكن لا يمكن أن تتداخل عناوين NAT العامة وvrf.

Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf

Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf

لا يمكن استخدام تجمُّعات NAT التي لها نفس نطاق العناوين في عمليات إعادة التوجيه الافتراضي (VRFs) مختلفة ما لم يتم استخدام الكلمة الأساسية match-in-vrf.

على سبيل المثال:

  ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24
  ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24
  ip nat inside source list 1 poolA vrf A match-in-vrf
  ip nat inside source list 2 poolB vrf B match-in-vrf 

ملاحظة: على الرغم من أن تكوين CLI صالح، لا يتم دعم التكوين بدون الكلمة الأساسية match-in-vrf.

• عند نشر موازنة حمل ISPs مع الحمل الزائد لواجهة NAT، فإن أفضل ممارسة هي استخدام خريطة المسار مع تطابق الواجهة عبر مطابقة قائمة التحكم في الوصول (ACL).

• عند إستخدام تعيين التجمع، يجب ألا تستخدم تعيينين مختلفين (ACL أو خريطة المسار) لمشاركة عنوان تجمع NAT نفسه.

• عند نشر قواعد NAT نفسها على موجهين مختلفين في سيناريو تجاوز الفشل، يجب عليك إستخدام تكرار HSRP.

• لا تقم بتحديد نفس العنوان العام الداخلي في NAT الثابتة والتجمُّع الديناميكي. يمكن أن يؤدي هذا الإجراء إلى نتائج غير مرغوب فيها.

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco