فهم NAT على Nexus 9300
المحتويات
المقدمة
يصف هذا المستند ميزة NAT على محولات Nexus 9000 المزودة ببطاقة ASIC واسعة النطاق من Cisco تعمل ببرنامج NX-OS.
المتطلبات الأساسية
المتطلبات
توصيك Cisco بأن تكون لديك معرفة بنظام تشغيل Cisco Nexus (NX-OS) وبنية Nexus الأساسية قبل المتابعة بالمعلومات الموضحة في هذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- N9K-C93180YC-FX3
- nxos64-cs.10.4.3.f
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تقديم دعم NAT على N9K
المصطلح
- nat - nat تقنية تستخدم في الشبكة لتعديل عنوان IP المصدر أو الوجهة لحزم IP.
-
ضرب - ترجمة عنوان أيسر، يعرف أيضا ب "التحميل الزائد NAT"، عنوان داخلي متعدد يشارك عنوان وحيد خارجي، يفرق حسب أرقام أيسر فريد.
-
NAT المدركة ل TCP - يتيح دعم NAT المدركة ل TCP لإدخالات تدفق NAT أن تطابق حالة جلسات عمل TCP ويتم إنشاؤها وحذفها وفقا لذلك.
مورد NAT TCAM
بشكل افتراضي، لا يتم تخصيص أي إدخالات لميزة NAT على Nexus 9000. يجب تخصيص حجم TCAM لميزة NAT من خلال تقليل حجم TCAM لميزات أخرى.
هناك ثلاثة أنواع من TCAM مشاركه في عمليات NAT:
-
منطقة نات
يستخدم NAT منطقة TCAM NAT لمطابقة الحزم بناء على عنوان IP أو المنفذ.
يتطلب كل إدخال NAT/PAT لعناوين المصدر الداخلية أو الخارجية إدخالين NAT TCAM.
بشكل افتراضي، يتم تمكين وضع التحديث الذري لقائمة التحكم بالوصول (ACL)، ويتم دعم 60٪ من رقم المقياس غير الذري.
-
المنطقة الواعية ل TCP
لكل نهج NAT داخلي مع إدخالات التحكم في الوصول ل "x"، يلزم عدد "x" من الإدخالات.
لكل تجمع NAT مكون، يلزم إدخال واحد.
يجب مضاعفة حجم TCP-NAT TCAM عند تمكين وضع التحديث الذري.
-
جدول إعادة كتابة NAT
nat تعاد و الترجمات هم خزنوا في يعرض الأمر "nat إعادة الكتابة جدول،" التي موجود خارج من يعرض الأمر nat تي كام المنطقة. يعرض الأمر 'nat إعادة الكتابة جدول' لديه ج ثابت حجم من 2048 إدخالات من أجل نيكسوس 9300-EX/FX/FX2/9300C و 4096 إدخالات من أجل نيكسوس 9300-FX3/GX/GX2A/GX2B/H2R/H1. هذا منضدة هو حصريا إستعملتم من أجل nat الترجمات.
كل مدخل NAT/PAT ساكن إستاتيكي لداخل أو خارج عنوان المصدر يتطلب واحد "nat rewrite table".
لمزيد من التفاصيل حول TCAM على Nexus 9000، يمكنك الرجوع إلى تصنيف TCAM مع ASICs مقياس السحابة من Cisco للمحولات من السلسلة Nexus 9000 Series Switches White Paper.
التكوين والتحقق
المخطط
تكوين N9K-NAT
hardware access-list tcam region nat 1024 hardware access-list tcam region tcp-nat 100 ip nat translation max-entries 80
ملاحظة: بشكل افتراضي، تكون الحد الأقصى لإدخالات ترجمة NAT الديناميكية 80.
ip access-list TEST-NAT 10 permit ip 10.0.0.1/8 192.168.2.1/24 ip nat pool TEST 192.168.1.10 192.168.1.10 netmask 255.255.255.0 ip nat inside source list TEST-NAT pool TEST overload
تحذير: لا يتم دعم خيار الحمل الزائد للواجهة للسياسات الداخلية على محولات النظام الأساسي على كل من السياسات الخارجية والداخلية على Cisco Nexus 9200 و 9300-EX و 9300-FX 9300-FX2 و 9300-FX3 و 9300-FXP و 9300-GX
interface Vlan100 no shutdown ip address 192.168.1.1/24 ip nat outsideinterface Vlan100 no shutdown ip address 192.168.1.1/24 ip nat outside
التحقق
إختبار الاتصال من الداخل للمضيف
مصدر IP لحزمة البيانات: 10.0.0.1 محول إلى IP: 192.168.1.10
IP للوجهة: 192.168.2.1
Inside-host# ping 192.168.2.1 source 10.0.0.1 PING 192.168.2.1 (192.168.2.1): 56 data bytes 64 bytes from 192.168.2.1: icmp_seq=0 ttl=63 time=0.784 ms 64 bytes from 192.168.2.1: icmp_seq=1 ttl=63 time=0.595 m
nat ترجمة طاولة تدقيق
N9K-NAT# show ip nat translations icmp 192.168.1.10:60538 10.0.0.1:48940 192.168.2.1:0 192.168.2.1:0 icmp 192.168.1.10:60539 10.0.0.1:0 192.168.2.1:0 192.168.2.1:0
إحصائيات NAT
N9K-NAT# show ip nat statistics IP NAT Statistics ==================================================== Stats Collected since: Tue Sep 3 14:33:01 2024 ---------------------------------------------------- Total active translations: 82 / Number of translations active in the system. This number is incremented each time a translation is created and is decremented each time a translation is cleared or times out. No.Static: 0 / Total number of static translations present in the system. No.Dyn: 82 / Total number of dynamic translations present in the system. No.Dyn-ICMP: 2 ---------------------------------------------------- Total expired Translations: 2 SYN timer expired: 0 FIN-RST timer expired: 0 Inactive timer expired: 2 ---------------------------------------------------- Total Hits: 10475 / Total number of times the software does a translations table lookup and finds an entry. Total Misses: 184884 / Total number of packet the software dropped Packet. In-Out Hits: 10474 In-Out Misses: 184884 Out-In Hits: 1 Out-In Misses: 0 ---------------------------------------------------- Total SW Translated Packets: 10559 / Total number of packets software does the translation. In-Out SW Translated: 10558 Out-In SW Translated: 1 ---------------------------------------------------- Total SW Dropped Packets: 184800 / Total number of packet the software dropped Packet. In-Out SW Dropped: 184800 Out-In SW Dropped: 0 Address alloc. failure drop: 0 Port alloc. failure drop: 0 Dyn. Translation max limit drop: 184800 / Total number of packets dropped due to configured maximum number of dynamic translation entry limit reached. (ip nat translation max-entries <1-1023>) ICMP max limit drop: 0 Allhost max limit drop: 0 ---------------------------------------------------- Total TCP session established: 0 Total TCP session closed: 0 --------------------------------------------------- NAT Inside Interfaces: 1 Ethernet1/1 NAT Outside Interfaces: 1 Vlan100 ---------------------------------------------------- Inside source list: ++++++++++++++++++++ Access list: TEST-NAT RefCount: 82 / Number of current references to this access list. Pool: TEST Overload Total addresses: 1 / Number of addresses in the pool available for translation. Allocated: 1 percentage: 100% Missed: 0
الأسئلة المتكررة
ماذا يحدث عندما يكون NAT TCAM منهكا؟
إذا تم استنفاد موارد TCAM، يتم الإبلاغ عن سجل الأخطاء.
2024 Aug 28 13:26:56 N9K-NAT %ACLQOS-SLOT1-2-ACLQOS_OOTR: Tcam resource exhausted: Feature NAT outside [nat-outside] 2024 Aug 28 13:26:56 N9K-NAT %NAT-2-HW_PROG_FAILED: Hardware programming for NAT failed:Sufficient free entries are not available in TCAM bank(3)
ماذا يحدث عند الوصول إلى الحد الأقصى للإدخالات؟
افتراضيا، يكون الحد الأقصى لإدخالات ترجمة NAT هو 80. ما إن يتجاوز ال حركي nat ترجمة مدخل الحد الأقصى، الحركة مرور كنت تخبط إلى ال cpu، ينتج عن خطأ سجل وإسقاط.
Ping test failure: Inside-host# ping 192.168.2.1 source 10.0.0.1 count unlimited interval 1 PING 192.168.2.1 (192.168.2.1): 56 data bytes Request 0 timed out N9K-NAT Error log: 2024 Sep 5 15:31:33 N9K-NAT %NETSTACK-2-NAT_MAX_LIMIT: netstack [15386] NAT: Can't create dynamic translations, max limit reached - src:10.0.0.1 dst:192.168.2.1 sport:110 dport:110 Capture file from CPU: N9K-NAT# ethanalyzer local interface inband limit-captured-frames 0 Capturing on 'ps-inb' 15 2024-09-05 15:32:44.899885527 10.0.0.1 → 192.168.2.1 UDP 60 110 → 110 Len=18
لماذا يتم ضرب بعض حزم NAT على وحدة المعالجة المركزية؟
عادة، هناك سيناريوهان يتم فيهما توجيه حركة المرور إلى وحدة المعالجة المركزية.
الأول يحدث عندما تكون إدخالات NAT لم تتم برمجتها بعد على الجهاز، وفي هذا الوقت، يلزم معالجة حركة مرور البيانات بواسطة وحدة المعالجة المركزية.
تفرض برمجة الأجهزة المتكررة ضغطا على وحدة المعالجة المركزية. لتقليل معدل تكرار عمليات إدخال NAT للبرامج في الأجهزة، تتم ترجمة برامج NAT في دفعات مقدارها ثانية واحدة. يؤخر أمر إنشاء جلسة عمل تأخير إنشاء الترجمة.
ويتضمن السيناريو الثاني الحزم التي يتم إرسالها إلى وحدة المعالجة المركزية لمعالجتها أثناء المرحلة الأولية لإنشاء جلسة TCP وخلال تفاعلات إنهاء ذلك.
لماذا يعمل NAT بدون ARP الوكيل على Nexus 9000؟
هناك ميزة تسمى nat-alias تمت إضافتها من الإصدار 9. 2.x . مكنت هذا سمة افتراضيا وحللت nat ARP إصدار. ما لم تقم بتعطيله يدويا، لا تحتاج إلى تمكين ip proxy-arp أو ip local-proxy-arp.
تكون أجهزة NAT خاصة بالعناوين العالمية (IG) والخارجية المحلية (OL) وتكون مسؤولة عن الاستجابة لأي طلبات ARP الموجهة إلى هذه العناوين. عندما تتطابق الشبكة الفرعية لعنوان IG/OL مع الشبكة الفرعية للواجهة المحلية، يقوم NAT بتثبيت اسم مستعار ل IP وإدخال ARP. في هذه الحالة، يستخدم الجهاز بروتوكول ARP للوكيل المحلي للاستجابة لطلبات ARP.
تستجيب ميزة no-alias إلى طلبات ARP لجميع عناوين IP التي تمت ترجمتها من نطاق عنوان تجمع NAT محدد إذا كان نطاق العناوين في الشبكة الفرعية نفسها الخاصة بالقارن الخارجي.
كيف تعمل وسيطة المسار الإضافي على N9K ولماذا هي إلزامية؟
في محولات النظام الأساسي Cisco Nexus 9200 و 9300-EX و -FX و -FX2 و -FX3 و -FXP و -GX، يلزم توفر خيار إضافة مسار لكل من السياسات الداخلية والخارجية بسبب حدود أجهزة ASIC. مع هذه الوسيطة، يضيف N9K مسار مضيف. يتم توجيه الاتهام إلى حركة مرور TCP NAT من الخارج إلى الداخل إلى وحدة المعالجة المركزية ويمكن إسقاطها دون هذه الوسيطة.
قبل:
192.168.1.0/24, ubest/mbest: 1/0, attached *via 192.168.1.1, Vlan100, [0/0], 10:23:08, direct 192.168.1.0/32, ubest/mbest: 1/0, attached *via 192.168.1.0, Null0, [0/0], 10:23:08, broadcast 192.168.1.1/32, ubest/mbest: 1/0, attached *via 192.168.1.1, Vlan100, [0/0],10:23:08, local
بعد:
192.168.1.2/32, ubest/mbest: 1/0 *via 10.0.0.2, [1/0], 00:02:48, nat >>route created by NAT feature 10.0.0.2/32, ubest/mbest: 1/0 *via 192.168.100.2, [200/0], 06:06:58, bgp-64700, internal, tag 64710 192.168.1.0/24, ubest/mbest: 1/0, attached *via 192.168.1.1, Vlan100, [0/0], 20:43:08, direct
لماذا يدعم NAT 100 إدخال ICMP كحد أقصى
بشكل طبيعي، يعمل ICMP NAT على تدفق الوقت بعد انتهاء صلاحية عملية أخذ العينات-المهلة والترجمة-المهلة التي تم تكوينها. ومع ذلك، عند خمول تدفقات ICMP NAT الموجودة في المحول، فإنها تنتهي فورا بعد انتهاء صلاحية عملية أخذ العينات-المهلة التي تم تكوينها.
بدءا من الإصدار 7.0(3)I5(2) من Cisco NX-OS، يتم تقديم برمجة الأجهزة ل ICMP على محولات النظام الأساسي Cisco Nexus 9300. وبالتالي، تستهلك إدخالات ICMP موارد TCAM في الأجهزة. ونظرا لأن ICMP في الأجهزة، يتم تغيير الحد الأقصى لترجمة NAT في محولات Cisco Nexus Platform Series إلى 1024. يتم السماح ل 100 إدخال ICMP كحد أقصى لتحقيق أفضل إستخدام للموارد. وهو ثابت، ولا يوجد خيار لضبط الحد الأقصى لإدخالات ICMP.
معلومات ذات صلة
دليل تكوين واجهات Cisco Nexus 9000 Series NX-OS، الإصدار 10.4(x)
دليل قابلية التوسعة المعتمدة من Cisco Nexus 9000 Series NX-OS
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
11-Oct-2024 |
الإصدار الأولي |
التعليقات