Domande frequenti su Network Address Translation (NAT)

Introduzione

In questo documento vengono riportate le domande frequenti sulla funzionalità Network Address Translation (NAT).

NAT generica

D. Cos'è la NAT?

R. La funzionalità Network Address Translation (NAT) viene usata per conservare gli indirizzi IP. Permette di connettersi alle reti IP private che usano indirizzi IP non registrati per collegarsi a Internet. La NAT viene eseguita su un router che collega due reti e converte gli indirizzi privati (non globalmente univoci) della rete interna in indirizzi pubblici prima che i pacchetti vengano inoltrati a un'altra rete.

In questo contesto, la NAT può essere configurata in modo che all'esterno venga annunciato un unico indirizzo valido per l'intera rete. Ciò fornisce ulteriore sicurezza in quanto nasconde l'intera rete interna dietro a tale indirizzo. La NAT offre la duplice funzione di sicurezza e mantenimento degli indirizzi ed è in genere implementata negli ambienti ad accesso remoto.

D. Come funziona la NAT?

R. Fondamentalmente, la NAT permette a un singolo dispositivo, ad esempio un router, di agire da agente tra Internet (o una rete pubblica) e una rete locale (o privata). In questo modo, è possibile usare un solo indirizzo IP univoco per rappresentare un intero gruppo di computer di una rete ai dispositivi esterni.

D. Come posso configurare la NAT?

R. Per configurare la NAT tradizionale, è necessario creare almeno un'interfaccia su un router (NAT esterna) e un'altra interfaccia sull'altro router (NAT interna); quindi occorre configurare un gruppo di regole per convertire gli indirizzi IP nelle intestazioni dei pacchetti (e nei payload se desiderato). Per configurare l'interfaccia virtuale NAT (NVI, NAT Virtual Interface), è necessario configurare almeno un'interfaccia con NAT abilitata e lo stesso gruppo di regole descritto sopra.

Per ulteriori informazioni, fare riferimento a Guida alla configurazione dei servizi di indirizzamento IP in Cisco IOS® o Configurazione dell'interfaccia virtuale NAT.

D. Quali sono le differenze principali tra le implementazioni della NAT in Cisco IOS Software e nel dispositivo Cisco PIX Security Appliance?

R. La NAT basata sul software Cisco IOS non è molto diversa dalla funzione NAT usata nei dispositivi Cisco PIX Security Appliance. Le differenze principali riguardano i diversi tipi di traffico supportati nelle implementazioni. Per ulteriori informazioni su come configurare la NAT sui dispositivi Cisco PIX, fare riferimento agli Esempi di configurazione NAT (include i tipi di traffico supportati).

D. Su quale dispositivo di routing Cisco è disponibile la funzionalità NAT di Cisco IOS? Come posso ordinare i dispositivi?

R.Lo strumento Cisco Feature Navigator permette di identificare una funzionalità (NAT) e di individuare la release e la versione hardware su cui questa funzionalità di Cisco IOS Software è disponibile. Per utilizzare questo strumento, fare riferimento a Cisco Feature Navigator.

Nota: Solo gli utenti Cisco registrati possono accedere agli strumenti e alle informazioni interne di Cisco.

D. La NAT viene eseguita prima o dopo il routing?

R. L'ordine con cui le transazioni vengono elaborate con la NAT dipende dalla direzione di inoltro del pacchetto, ossia se il pacchetto viene inviato dalla rete interna alla rete esterna o dalla rete esterna alla rete interna. La conversione dalla rete interna alla rete esterna viene effettuata dopo il routing; la conversione dalla rete esterna alla rete interna viene effettuata prima del routing. Per ulteriori informazioni, fare riferimento a Ordine delle operazioni NAT.

D. La NAT può essere implementata in un ambiente LAN wireless pubblico?

R. Sì. La funzionalità di supporto degli IP statici per la NAT aiuta gli utenti che usano indirizzi IP statici e permette loro di stabilire una sessione IP in un ambiente LAN wireless pubblico.

D. La NAT effettua un bilanciamento del carico TCP sui server della rete interna?

R. Sì. Usando la NAT, è possibile definire un host virtuale sulla rete interna che coordini la ripartizione del carico tra gli host effettivi.

D. Posso limitare il numero di conversioni NAT?

R. Sì. La funzione di limitazione del numero di conversioni NAT permette di limitare il numero massimo di operazioni NAT simultanee su un router. Oltre a offrire agli utenti un maggiore controllo sull'uso degli indirizzi NAT, la funzione di limitazione del numero di conversioni NAT può essere usata per limitare gli effetti di virus, worm e attacchi denial-of-service.

D. In che modo il routing viene appreso o propagato dalle subnet o dagli indirizzi IP utilizzati dalla NAT?

R. Il routing degli indirizzi IP creato dalla NAT viene appreso se:

• Il pool di indirizzi globali interni è ricavato dalla subnet di un router next-hop.

• Viene configurata una voce di route statica nel router next-hop che viene quindi ridistribuita all'interno della rete di routing.

Quando l'indirizzo globale interno corrisponde all'interfaccia locale, la conversione NAT installa un indirizzo IP alias e una voce ARP, in modo che il router possa eseguire il proxy-arp per questi indirizzi. Per evitare questo comportamento, usare la parola chiave no-alias.

Quando si configura un pool NAT, è possibile usare l'opzione add-route per inserire automaticamente la route.

D. Quante sessioni NAT simultanee sono supportate dalla funzionalità NAT in Cisco IOS?

R. Il limite di sessioni NAT è vincolato alla quantità di memoria DRAM disponibile nel router. Ogni conversione NAT utilizza circa 312 byte di memoria DRAM. Di conseguenza, 10.000 conversioni (più di quante ne verrebbero generalmente gestite su un singolo router) utilizzano circa 3 MB. Pertanto, un normale dispositivo di routing ha una memoria più che adeguata per supportare migliaia di conversioni NAT.

D. Che tipo di prestazioni di routing sono previste quando si utilizza la funzionalità NAT di Cisco IOS?

R. La funzionalità NAT di Cisco IOS supporta la commutazione di inoltro Cisco Express Forwarding, la commutazione veloce, o fast switching, e la commutazione di processo, o process switching. A partire dalla release 12.4T, il percorso fast-switching non è più supportato. Sulla piattaforma Cat6k, l'ordine di commutazione è il seguente: Netflow (percorso di switching hardware), CEF, percorso del processo.

Le prestazioni dipendono da diversi fattori:

• Tipo di applicazione e relativo tipo di traffico

• Indirizzi IP incorporati o non incorporati

• Scambio e ispezione di più messaggi

• Porta di origine obbligatoria

• Numero di conversioni

• Altre applicazioni in esecuzione in quel momento

• Tipo di hardware e processore

D. È possibile applicare la funzionalità NAT di Cisco IOS alle interfacce secondarie?

R. Sì. Le conversioni NAT di origine e/o di destinazione possono essere applicate a qualsiasi interfaccia o interfaccia secondaria che abbia un indirizzo IP (incluse le interfacce dialer). La conversione NAT non può essere configurata con interfacce virtuali wireless, in quanto l'interfaccia virtuale wireless non esiste al momento della scrittura sulla memoria NVRAM. Pertanto, dopo il riavvio, il router perde la configurazione NAT sull'interfaccia virtuale wireless.

D. È possibile utilizzare la funzionalità NAT di Cisco IOS con il protocollo HSRP (Hot Standby Router Protocol) per fornire collegamenti ridondanti a un ISP?

R. Sì. La NAT fornisce una ridondanza del protocollo HSRP. Tuttavia, differisce dalla SNAT (stateful NAT). La conversione NAT con protocollo HSRP è un sistema stateless. Se si verifica un errore, la sessione corrente non viene mantenuta. Durante la configurazione NAT statica (quando un pacchetto non corrisponde ad alcuna configurazione di regola STATICA), il pacchetto viene inviato senza alcuna conversione.

D. La funzionalità NAT di Cisco IOS supporta le conversioni in entrata su un'interfaccia frame relay? Supporta le conversioni in uscita sul lato Ethernet?

R. Sì. L'incapsulamento non è importante ai fini della conversione NAT. La conversione NAT può essere eseguita quando è presente un indirizzo IP su un'interfaccia e l'interfaccia è stata configurata come NAT in entrata o NAT in uscita. Ai fini del corretto funzionamento della NAT, è necessario che siano presenti una connessione interna e una connessione esterna. Se si utilizza l'interfaccia virtuale NVI, deve essere presente almeno un'interfaccia abilitata NAT. Vedere Come configurare NAT? per ulteriori dettagli.

D. Può un singolo router abilitato NAT permettere ad alcuni utenti di usare la funzionalità NAT e ad altri utenti della stessa interfaccia Ethernet di continuare a utilizzare i propri indirizzi IP?

R. Sì. A tal fine, è possibile usare un elenco degli accessi che descrive il gruppo di host o reti che richiedono la funzionalità NAT.

Gli elenchi degli accessi, gli elenchi degli accessi estesi e le route map possono essere usati per definire le regole in base alle quali gli indirizzi IP vengono convertiti. È necessario specificare sempre l'indirizzo di rete e la subnet mask appropriata. La parola chiave "any" (qualsiasi) non deve essere utilizzata al posto dell'indirizzo di rete o della subnet mask. Con la NAT statica, quando non si trovano corrispondenze con alcuna regola STATICA, il pacchetto viene inviato senza alcuna conversione.

D. Qual è il numero massimo di conversioni che è possibile creare per ciascun indirizzo IP globale interno durante la configurazione PAT (sovraccarico)?

A.PAT (sovraccarico) divide le porte disponibili per ciascun indirizzo IP globale in tre intervalli: 0-511, 512-1023 e 1024-65535. PAT assegna una porta di origine univoca per ciascuna sessione UDP o TCP. quindi cerca di assegnare lo stesso valore di porta della richiesta iniziale. Tuttavia, se la porta di origine iniziale è già stata utilizzata, avvia la scansione di un determinato intervallo di porte dall'inizio per trovare la prima porta disponibile e assegnarla alla conversazione. Per il codebase 12.2S è prevista un'eccezione. Il codebase 12.2S usa una logica diversa per l'assegnazione delle porte e non permette di prenotarle.

D. Come funziona la conversione PAT?

R. La funzionalità PAT può essere utilizzata in presenza di un unico indirizzo IP globale o di più indirizzi.

Funzionalità PAT con un indirizzo IP

Condizione	Descrizione
1	La funzionalità NAT/PAT ispeziona il traffico e lo confronta con una regola di conversione.
2	La regola corrisponde a una configurazione PAT.
3	Se la funzionalità PAT conosce il tipo di traffico e il tipo di traffico utilizza "un gruppo di porte specifiche o negozia le singole porte", la funzionalità PAT le ignora e non le usa per assegnare identificatori univoci.
4	Se una sessione senza requisiti di porta specifici cerca di connettersi a un dispositivo esterno, la funzionalità PAT converte l'indirizzo IP di origine e verifica la disponibilità della porta di origine creata (ad esempio, la porta 433). Nota: Per il protocollo TCP (Transmission Control Protocol) e il protocollo UDP (User Datagram Protocol), gli intervalli sono: 1-511, 512-1023, 1024-65535. Per il protocollo ICMP (Internet Control Message Protocol), il primo gruppo inizia da 0.
5	Se la porta di origine richiesta è disponibile, la funzionalità PAT assegna la porta di origine e la sessione continua.
6	Se la porta di origine richiesta non è disponibile, la funzionalità PAT avvia la ricerca del gruppo pertinente dall'inizio (a partire da 1 con i protocolli TCP o UDP, a partire da 0 con il protocollo ICMP).
7	Se una porta è disponibile, viene assegnata e la sessione continua.
8	Se non sono disponibili porte, il pacchetto viene eliminato.

Funzionalità PAT con più indirizzi IP

Condizione	Descrizione
1-7	Le prime sette condizioni sono le stesse applicabili agli scenari con un unico indirizzo IP.
8	Se non sono disponibili porte nel gruppo pertinente sul primo indirizzo IP, la funzionalità NAT passa all'indirizzo IP successivo nel pool e cerca di assegnare la porta di origine iniziale richiesta.
9	Se la porta di origine richiesta è disponibile, la NAT assegna la porta di origine e la sessione continua.
10	Se la porta di origine richiesta non è disponibile, la funzionalità NAT inizia a cercare una porta nel gruppo appropriato, partendo dall'inizio, ossia da 1 se si usa il protocollo TCP o UDP e da 0 se si usa il protocollo ICMP.
11	Se una porta è disponibile, viene assegnata e la sessione continua.
12	Se non sono disponibili porte, il pacchetto viene eliminato, a meno che non sia disponibile un altro indirizzo IP nel pool.

D. Cosa sono i pool di indirizzi NAT IP?

R. I pool di indirizzi NAT IP sono un intervallo di indirizzi IP che vengono assegnati per la conversione NAT secondo necessità. Per definire un pool, usare il comando di configurazione:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

Esempio 1

L'esempio successivo converte gli host interni indirizzati dalla rete 192.168.1.0 o dalla rete 192.168.2.0 alla rete univoca a livello globale 10.69.233.208/28:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 10.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

Esempio 2

In questo esempio, l'obiettivo è definire un indirizzo virtuale, le cui connessioni siano distribuite tra una serie di host reali. Il pool definisce gli indirizzi degli host reali. L'elenco degli accessi definisce l'indirizzo virtuale. Se non esiste ancora una conversione, i pacchetti TCP provenienti dall'interfaccia seriale 0 (l'interfaccia esterna) la cui destinazione corrisponde all'elenco degli accessi vengono convertiti in un indirizzo selezionato dal pool.

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1

D. Qual è il numero massimo di pool NAT IP configurabili (ip nat pool <name>)?

R. Nella pratica, il numero massimo di pool di indirizzi IP configurabili è limitato dalla quantità di memoria DRAM disponibile nel router in uso. (Cisco consiglia di configurare un pool con dimensioni pari a 255.) Ogni pool non deve contenere più di 16 bit. A partire dalla versione 12.4(11)T, Cisco IOS ha introdotto il motore CCE (Common Classification Engine). Ciò ha limitato la funzionalità NAT a un massimo di 255 pool. Il codebase 12.2S non prevede alcuna restrizione per il numero massimo di pool.

D. Qual è il vantaggio di utilizzare la route-map rispetto agli ACL su un pool NAT?

R. Una route-map impedisce a utenti esterni non autorizzati di raggiungere gli utenti o i server interni. Inoltre, permette di associare un singolo indirizzo IP interno a diversi indirizzi globali interni in base alla regola. Per ulteriori informazioni, fare riferimento a Supporto NAT per più pool con le route map.

D. Cosa si intende per sovrapposizione degli indirizzi IP nell'ambito della funzionalità NAT?

R. Per sovrapposizione degli indirizzi IP si intende una situazione in cui due sedi che vogliono connettersi tra loro usano lo stesso schema di indirizzi IP. Non si tratta di un evento insolito; ciò accade spesso quando le aziende si fondono o vengono acquisite. Senza un supporto specifico, le due sedi non saranno in grado di connettersi e stabilire sessioni. L'indirizzo IP sovrapposto può essere un indirizzo pubblico assegnato a un'altra azienda, un indirizzo privato assegnato a un'altra azienda o può provenire dall'intervallo di indirizzi privati secondo quanto definito nella norma RFC 1918.

Gli indirizzi IP privati non sono indirizzabili e richiedono conversioni NAT per poter stabilire le connessioni con il mondo esterno. La soluzione prevede l'intercettazione delle risposte alle query sui nomi DNS (Domain Name System) dall'esterno verso l'interno, l'impostazione di una conversione per l'indirizzo esterno e la correzione della risposta DNS prima che venga inoltrata all'host interno. Per permettere la comunicazione tra le due reti, è necessario avere un server DNS su entrambi i lati del dispositivo NAT.

La funzionalità NAT è in grado di esaminare ed eseguire la conversione degli indirizzi sui contenuti dei record DNS A e PTR, come mostrato in Uso della funzionalità NAT in caso di sovrapposizione delle reti.

D. Cosa sono le conversioni NAT statiche?

R. Le conversioni NAT statiche eseguono una mappatura uno-a-uno tra gli indirizzi locali e gli indirizzi globali. Gli utenti possono configurare conversioni di indirizzi statici a livello di porta e utilizzare il resto degli indirizzi IP per altre conversioni. Ciò si verifica in genere quando si usa la funzionalità PAT (Port Address Translation).

L'esempio successivo mostra come configurare la route-map per consentire la conversione dalla rete esterna alla rete interna con la NAT statica:

ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 10.1.10.128 0.0.0.127'
route-map R1 permit 10
match ip address ACL-A

D. Cosa si intende per sovraccarico NAT; E' questo PAT?

R. Sì. Il sovraccarico della NAT equivale alla funzionalità PAT e comporta l'uso di un pool con un intervallo di uno o più indirizzi o l'uso di un indirizzo IP dell'interfaccia insieme alla porta. Quando si usa il sovraccarico, viene creata una conversione estesa completa. Questa è una voce della tabella di conversione contenente informazioni sull'indirizzo IP e sulla porta di origine/destinazione, comunemente chiamata PAT o sovraccarico.

La conversione PAT (o sovraccarico) è una funzionalità della NAT in Cisco IOS e viene utilizzata per convertire gli indirizzi privati interni (locali interni) in uno o più indirizzi IP esterni (globali interni, in genere registrati). Per distinguere le due conversioni, vengono assegnati numeri univoci alle porte di origine.

D. Cosa sono le conversioni NAT dinamiche?

R. Nelle conversioni NAT dinamiche, gli utenti possono definire una mappatura dinamica tra gli indirizzi locali e gli indirizzi globali. La mappatura dinamica si ottiene definendo, e quindi associando, gli indirizzi locali da convertire e il pool di indirizzi o gli indirizzi IP dell'interfaccia da usare per assegnare gli indirizzi globali.

D. Cos'è l'ALG?

R. ALG è l'acronimo di Application Layer Gateway. La funzionalità NAT esegue il servizio di conversione sul traffico TCP/UDP (Transmission Control Protocol/User Datagram Protocol) che non trasporta indirizzi IP di origine e/o di destinazione nel flusso di dati dell'applicazione.

Questi protocolli includono FTP, HTTP, SKINNY, H232, DNS, RAS, SIP, TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh, rcp. Protocolli specifici che incorporano informazioni sugli indirizzi IP nel payload richiedono il supporto di un gateway ALG (Application Level Gateway).

Per ulteriori informazioni, fare riferimento a Uso dei gateway ALG (Application Level Gateway) con la funzionalità NAT.

D. È possibile creare una configurazione con conversioni NAT statiche e dinamiche?

R. Sì. Non è possibile utilizzare lo stesso indirizzo IP per la configurazione NAT statica o lo stesso pool per la configurazione NAT dinamica. Tutti gli indirizzi IP pubblici devono essere univoci. Tenere presente che gli indirizzi globali utilizzati nelle conversioni statiche non vengono esclusi automaticamente nei pool dinamici che contengono gli stessi indirizzi globali. I pool dinamici devono essere creati in modo da escludere gli indirizzi assegnati in base a voci statiche. Per ulteriori informazioni, fare riferimento a Configurazione simultanea della NAT statica e dinamica.

D. Quando eseguito con un router NAT, il comando traceroute restituisce l'indirizzo NAT globale o perde l'indirizzo NAT locale?

R. Il comando traceroute proveniente dalla rete esterna deve restituire sempre l'indirizzo globale.

D. Come viene assegnata la porta PAT?

A. NAT introduce funzionalità aggiuntive per le porte: full-range e port-map.

• L'attributo full-range permette alla NAT di utilizzare tutte le porte indipendentemente dall'intervallo di porte predefinito.

• L'attributo port-map consente alla NAT di riservare un intervallo di porte definito dall'utente per un'applicazione specifica.

Per ulteriori informazioni, fare riferimento a Intervalli di porte di origine definiti dall'utente per la conversione PAT.

A partire dalla versione 12.4(20)T2, è stata introdotta la funzionalità di randomizzazione delle porte L3/L4 e l'attributo symmetric-port.

• La randomizzazione delle porte consente alla funzionalità NAT di selezionare in modo casuale qualsiasi porta globale per la richiesta della porta di origine.

• L'attributo symmetric-port permette alla funzionalità NAT di supportare endpoint indipendenti.

D. Qual è la differenza tra la frammentazione IP e la segmentazione TCP?

A. la frammentazione IP avviene sul layer 3 (IP); La segmentazione TCP viene effettuata al layer 4 (TCP). La frammentazione degli indirizzi IP si verifica quando da un'interfaccia vengono inviati pacchetti con MTU (Maximum Transmission Unit) superiore al valore prestabilito. Questi pacchetti devono essere frammentati o eliminati quando vengono inviati dall'interfaccia. Se il bit "non frammentare" (DF, Don't Fragment) non è impostato nell'intestazione IP del pacchetto, il pacchetto viene frammentato. Se il bit DF è impostato nell'intestazione IP del pacchetto, il pacchetto viene eliminato e al mittente viene restituito un messaggio di errore ICMP dove è indicato il valore della MTU dell'hop successivo. Tutti i frammenti di un pacchetto IP hanno lo stesso identificativo nell'intestazione IP; ciò consente al destinatario finale di riassemblare i frammenti nel pacchetto IP originale. Per ulteriori informazioni, fare riferimento a Risoluzione dei problemi di frammentazione IP, MTU, MSS e PMTUD con GRE e IPsec.

La segmentazione TCP viene effettuata quando un'applicazione su una postazione finale invia dati. I dati dell'applicazione sono suddivisi in quelli che TCP considera blocchi da inviare con dimensioni ottimizzate. Questa unità di dati che viene trasferita dal protocollo TCP a IP viene chiamata segmento. I segmenti TCP vengono inviati in datagrammi IP. Questi datagrammi IP possono quindi diventare frammenti IP mentre attraversano la rete e trovano collegamenti MTU con dimensioni inferiori.

Il protocollo TCP prima segmenta questi dati in segmenti TCP (in base al valore TCP MSS), quindi aggiunge l'intestazione TCP e trasmette questo segmento TCP al protocollo IP. Il protocollo IP aggiunge un'intestazione IP per inviare il pacchetto all'host finale remoto. Se il pacchetto IP con segmento TCP è più grande della MTU IP su un'interfaccia in uscita sul percorso tra gli host TCP, il protocollo IP suddivide in frammenti il pacchetto IP/TCP per consentirne la trasmissione. Questi frammenti di pacchetti IP vengono riassemblati sull'host remoto dal layer IP e l'intero segmento TCP (inviato originariamente) viene trasmesso al layer TCP. Il layer TCP non sa che il pacchetto IP è stato frammentato durante il transito. La funzionalità NAT supporta i frammenti IP, ma non i segmenti TCP.

D. La funzionalità NAT supporta la frammentazione IP e la segmentazione TCP out-of-order?

R. NAT supporta solo frammenti IP non ordinati a causa del riassemblaggio virtuale IP.

D. Come viene effettuato il debug della frammentazione IP e della segmentazione TCP?

R. NAT utilizza la stessa CLI di debug sia per la frammentazione IP che per la segmentazione TCP: debug ip nat frag.

D. I moduli NAT MIB sono supportati?

R. No. I moduli NAT MIB non sono supportati, incluso CISCO-IETF-NAT-MIB.

D. Cos'è il timeout TCP e in che modo è correlato al timer NAT TCP?

R. Se l'handshake a tre vie non è stato completato e la funzionalità NAT individua un pacchetto TCP, avvia un timer di 60 secondi. Al termine dell'handshake a tre vie, la NAT usa un timer di 24 ore per una voce NAT per impostazione predefinita. Se un host finale invia una richiesta di RESET, la NAT modifica il timer predefinito da 24 ore a 60 secondi. Nel caso di messaggi FIN, la NAT modifica il timer predefinito da 24 ore a 60 secondi quando riceve i messaggi FIN e FIN-ACK.

D. Posso modificare il tempo di scadenza di una conversione NAT nella tabella delle conversioni NAT?

R. Sì. È possibile modificare i valori di timeout NAT per tutte le voci o per diversi tipi di conversioni NAT, ad esempio udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout e arp-ping-timeout.

D. Come posso impedire che il protocollo LDAP (Lightweight Directory Access Protocol) aggiunga ulteriori byte a ciascun pacchetto di risposta LDAP?

R. Le impostazioni LDAP aggiungono byte extra (risultati della ricerca LDAP) durante l'elaborazione dei messaggi di tipo Search-Res-Entry. Il protocollo LDAP aggiunge 10 byte di risultati della ricerca a ciascun pacchetto di risposta LDAP. Nel caso in cui questi 10 byte di dati in più facciano superare le dimensioni della MTU (Maximum Transmission Unit) di una rete, il pacchetto viene eliminato. In questo caso, Cisco consiglia di disattivare questa funzione del protocollo LDAP utilizzando il comando no ip nat service append-ldap-search-res dalla CLI in modo da inviare e ricevere i pacchetti.

D. Qual è la route consigliata per l'indirizzo IP globale interno/locale esterno sull'unità NAT?

R. È necessario specificare una route sull'unità NAT configurata per l'indirizzo IP globale interno per funzionalità come l'interfaccia virtuale NAT-NVI. Analogamente, è necessario specificare una route sull'unità NAT per l'indirizzo IP locale esterno. In questo caso, qualsiasi pacchetto inviato dalla rete interna alla rete esterna con la regola statica esterna richiede questo tipo di indirizzamento. In questi scenari, mentre si fornisce l'indirizzamento per IG/OL, è necessario configurare anche l'indirizzo IP dell'hop successivo. Se la configurazione dell'hop successivo non è presente, viene considerato un errore di configurazione a causa di un comportamento non definito.

L'interfaccia virtuale NVI-NAT è presente solo nel percorso della funzione di uscita. Se la subnet è stata connessa direttamente con NAT-NVI o la regola di conversione NAT esterna è configurata sull'unità, è necessario fornire un indirizzo IP fittizio di next-hop e un ARP associato sempre per l'hop successivo. In questo modo l'infrastruttura sottostante può trasmettere il pacchetto alla funzionalità NAT per la conversione.

D. La funzionalità NAT di Cisco IOS supporta gli ACL con la parola chiave log?

RA. Quando si configura la funzionalità NAT di Cisco IOS per la conversione dinamica, gli ACL vengono utilizzati per identificare i pacchetti che possono essere convertiti. L'architettura NAT corrente non supporta gli ACL con la parola chiave log.

NAT voce

D. La NAT supporta il protocollo Skinny Client Control Protocol (SCCP) v17 fornito con Cisco Unified Communications Manager (CUCM) V7?

R. CUCM 7 e tutti i caricamenti telefonici predefiniti per CUCM 7 supportano SCCPv17. La versione SCCP utilizzata è determinata dalla versione più comune tra CUCM e il telefono al momento della registrazione del telefono.

Al momento della creazione del documento, NAT non supporta ancora SCCP v17. Finché non viene implementato il supporto NAT per SCCP v17, è necessario eseguire il downgrade del firmware alla versione 8-3-5 o precedente in modo da negoziare SCCP v16. CUCM6 non rileva il problema NAT con alcun carico telefonico se usa SCCP v16. Cisco IOS attualmente non supporta SCCP versione 17.

D. Quali versioni di CUCM / SCCP / firmware sono supportate dalla NAT?

R. La NAT supporta CUCM versione 6.x e release precedenti. Queste versioni di CUCM vengono rilasciate con il firmware del telefono 8.3.x predefinito (o precedente) che supporta il protocollo SCCP v15 (o precedente).

La funzionalità NAT non supporta CUCM versioni 7.x o successive. Queste versioni CUCM vengono rilasciate con il firmware del telefono 8.4.x predefinito che supporta il protocollo SCCP v17 (o versioni successive).

Se si utilizza CUCM 7.x o versioni successive, sul server TFTP di CUCM deve essere installato un firmware meno recente in modo che i telefoni utilizzino un firmware con SCCP v15 o versioni precedenti e possano essere supportati dalla NAT.

D. Cos'è la funzionalità migliorata per l'assegnazione delle porte PAT per il provider di servizi per RTP e RTCP?

R. La funzione di assegnazione delle porte PAT per il provider di servizi per RTP e RTCP è stata migliorata per le chiamate voce SIP, H.323 e Skinny. I numeri di porta utilizzati per i flussi RTP sono numeri di porta pari, i flussi RTCP sono i numeri di porta dispari successivi. Il numero di porta viene convertito in un numero compreso nell'intervallo specificato secondo quanto stabilito dalla norma RFC-1889. Una chiamata con un numero di porta compreso nell'intervallo comporta una conversione PAT in un altro numero di porta compreso nello stesso intervallo. Analogamente, la conversione PAT di un numero di porta esterno all'intervallo non comporta la conversione in un numero compreso nell'intervallo specificato.

D. Cos'è il protocollo SIP (Session Initiation Protocol) e i pacchetti SIP possono essere sottoposti a NAT?

R. Il protocollo SIP (Session Initiation Protocol) è un protocollo di controllo basato su ASCII e attivo al livello di applicazione che può essere utilizzato per stabilire, gestire e chiudere le chiamate tra due o più endpoint. SIP è un protocollo alternativo sviluppato dalla Internet Engineering Task Force (IETF) per le conferenze multimediali su IP. L'implementazione di Cisco SIP permette alle piattaforme Cisco supportate di segnalare la configurazione di chiamate vocali e multimediali su reti IP.

I pacchetti SIP possono essere sottoposti al processo di conversione NAT.

D. In cosa consiste il supporto Hosted NAT Traversal per Session Border Controller (SBC)?

R. La funzionalità Cisco IOS Hosted NAT Traversal per SBC permette al router NAT SIP ALG (Application-Level Gateway) di Cisco IOS di agire come un controller SBC migliorando la consegna dei servizi voce su IP (VoIP, Voice over IP).

Per ulteriori informazioni, fare riferimento a Configurazione di Cisco IOS Hosted NAT Traversal per Session Border Controller.

D. Qual è il numero di chiamate SIP, Skinny e H323 che possono essere gestite dalla memoria di un router e dalla CPU quando si utilizza la funzionalità NAT?

R. Il numero di chiamate gestite da un router NAT dipende dalla quantità di memoria disponibile sull'unità e dalla potenza di calcolo della CPU.

D. Un router NAT supporta la segmentazione TCP dei pacchetti Skinny e H323?

R. Cisco IOS-NAT supporta la segmentazione TCP per H323 nelle versioni 12.4 Mainline e la segmentazione TCP per SKINNY nelle versioni a partire dalla 12.4(6)T.

D. Quando si usa una configurazione NAT con sovraccarico in un'implementazione voce, occorre prestare attenzione a determinate precauzioni?

R. Sì. Quando si usano configurazioni NAT con sovraccarico e un'implementazione voce, il messaggio di registrazione deve essere convertito con la funzionalità NAT e occorre creare un'associazione out->in per raggiungere il dispositivo interno. Il dispositivo interno invia il messaggio di registrazione a intervalli regolari e la funzionalità NAT aggiorna questo pinhole/questa associazione in base alle informazioni contenute nel messaggio di segnalazione.

D. L'uso del comando clear ip nat trans * o del comando clear ip nat trans forced in un'implementazione voce causa problemi noti?

A. Nelle distribuzioni vocali, quando si immette un comando clear ip nat trans * o un comando clear ip nat trans e si dispone di un NAT dinamico, si elimina il foro/associazione del pin e si deve attendere il successivo ciclo di registrazione dal dispositivo interno per ristabilire questa condizione. Cisco consiglia di non usare questi comandi "clear" nelle implementazioni voce.

D. La funzionalità NAT supporta la soluzione voce in co-locazione?

R. No. La soluzione in co-locazione al momento non è supportata. La prossima installazione con NAT (sulla stessa confezione) è considerata una soluzione con percorso condiviso: CME/DSP-Farm/SCCP/H323.

D. L'interfaccia virtuale NVI supporta Skinny ALG, H323 ALG e TCP SIP ALG?

R. No. Notare che il protocollo UDP SIP ALG (utilizzato nella maggior parte delle implementazioni) non è interessato.

NAT con VRF/MPLS

D. Il router NAT supporta la funzionalità NAT nello stesso spazio degli indirizzi in una istanza VRF mentre la funzionalità NAT viene utilizzata in uno spazio degli indirizzi globale? Al momento ricevo questo avviso: "Quando si tenta di configurare questa voce, è già presente una voce statica simile a % (10.1.1.1 —> 10.210.2.2):

72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED 

R. La funzionalità NAT legacy supporta la configurazione di indirizzi sovrapposti su istanze VRF diverse. È necessario configurare la regola di sovrapposizione con l'opzione match-in-vrf e impostare ip nat inside/outside nella stessa istanza VRF per il traffico che attraversa quella istanza VRF specifica. Il supporto per la sovrapposizione non include la tabella di routing globale.

È necessario aggiungere la parola chiave match-in-vrf per le voci NAT statiche con VRF sovrapposte per istanze VRF diverse. Tuttavia, non è possibile sovrapporre gli indirizzi NAT globali e VRF.

72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf
72UUT(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf

D. La funzionalità NAT legacy supporta VRF-Lite (conversione NAT tra istanze VRF diverse)?

R. No. È necessario usare l'interfaccia virtuale NVI per effettuare una conversione NAT tra VRF diversi. È possibile utilizzare la funzionalità NAT legacy per eseguire la conversione NAT tra un'istanza VRF e lo spazio degli indirizzi globale o all'interno della stessa VRF.

NAT NVI

D. Cos'è l'interfaccia virtuale NAT NVI?

R. NVI sta per NAT Virtual Interface. Questa funzionalità permette di effettuare le conversioni NAT tra due istanze VRF diverse. È una soluzione che deve essere usata al posto della Network Address Translation quando si usa un'unica interfaccia fisica.

D. È necessario utilizzare l'interfaccia virtuale NVI per effettuare una conversione NAT tra un'interfaccia dello spazio degli indirizzi globale e un'interfaccia dell'istanza VRF?

R. Cisco consiglia di utilizzare la funzionalità NAT legacy per le conversioni dall'istanza VRF allo spazio di indirizzi globale (ip nat inside/out) e tra interfacce della stessa istanza VRF. L'interfaccia virtuale NVI viene utilizzata per la conversione degli indirizzi tra istanze VRF diverse.

D. La funzionalità NAT-NVI supporta la segmentazione TCP?

R. La segmentazione TCP non è supportata con la funzionalità NAT-NVI.

D. L'interfaccia virtuale NVI supporta Skinny ALG, H323 ALG e TCP SIP ALG?

R. No. Notare che il protocollo UDP SIP ALG (utilizzato nella maggior parte delle implementazioni) non è interessato.

D. La segmentazione TCP è supportata con SNAT?

R. SNAT non supporta alcun gateway TCP ALG (SIP, SKINNY, H323 o DNS). Pertanto, la segmentazione TCP non è supportata. Tuttavia, sono supportati UDP SIP e DNS.

SNAT

D. Cos'è la funzionalità SNAT (Stateful NAT)?

R. La funzionalità SNAT permette a due o più convertitori di indirizzi di rete di funzionare come gruppo di conversione. Un membro del gruppo di conversione gestisce il traffico che richiede la conversione delle informazioni sull'indirizzo IP. Inoltre, informa il convertitore di backup dei flussi attivi man mano che si verificano. Il convertitore di backup può quindi utilizzare le informazioni del convertitore attivo per preparare le voci duplicate della tabella di conversione. Pertanto, se il convertitore attivo è ostacolato da un errore critico, il traffico può passare rapidamente al convertitore di backup. Il flusso di traffico continua poiché vengono utilizzate le stesse conversioni di indirizzi di rete e lo stato di tali conversioni è stato definito in precedenza.

D. La segmentazione TCP è supportata con SNAT?

R. SNAT non supporta alcun gateway TCP ALG (SIP, SKINNY, H323 o DNS). Pertanto, la segmentazione TCP non è supportata. Tuttavia, sono supportati UDP SIP e DNS.

D. La funzionalità SNAT è supportata per il routing asimmetrico?

R. Il routing asimmetrico supporta la conversione NAT abilitando as-queuing. Per impostazione predefinita, la funzione as-queueing è abilitata. Tuttavia, a partire dalla versione 12.4(24)T, la funzione as-queuing non è più supportata. I clienti devono accertarsi che i pacchetti vengano instradati correttamente e che venga aggiunto un ritardo adeguato affinché il routing asimmetrico funzioni correttamente.

NAT-PT (dalla v6 alla v4)

D. Cos'è la funzionalità NAT-PT?

R. La funzionalità NAT-PT permette di effettuare la conversione NAT tra la versione v4 e la versione v6. La conversione di protocolli NAT-PT (Protocol Translation) è un meccanismo di conversione tra IPv6 e IPv4, come definito dalla norma RFC 2765 e dalla norma RFC 2766 e permette ai dispositivi solo IPv6 e ai dispositivi solo IPv4 di comunicare tra loro.

D. È possibile utilizzare la funzionalità NAT-PT nel percorso Cisco Express Forwarding (CEF)?

R. La funzionalità NAT-PT non è supportata nel percorso CEF.

D. Quali gateway ALG sono supportati con la funzionalità NAT-PT?

R. La funzionalità NAT-PT supporta i protocolli TFTP/FTP e DNS. Non supporta invece le funzionalità voce e SNAT.

D. La funzionalità NAT-PT è supportata sui dispositivi ASR 1004?

R. I dispositivi Aggregation Services Router (ASR) usano NAT64.

Dispositivi Cisco 7300/7600/6k basati su piattaforma

D. Sui dispositivi Catalyst 6500 con versioni SX è disponibile la funzionalità Stateful NAT (SNAT)?

R. La funzionalità SNAT non è disponibile sui dispositivi Catalyst 6500 con versioni SX.

Q. La funzionalità VRF-aware NAT è supportata dai dispositivi sulla piattaforma 6k?

R. La funzionalità VRF-aware NAT non è supportata sui dispositivi in questa piattaforma.

D. I dispositivi 7600 e Cat6000 supportano la funzionalità VRF-aware NAT?

R. Sulle piattaforme 65xx/76xx, la funzionalità VRF-aware NAT non è supportata, i comandi CLI sono bloccati.

Nota: È possibile implementare un progetto utilizzando un modulo FWSM eseguito in modalità trasparente del contesto virtuale.

Dispositivi Cisco 850 basati su piattaforma

D. I dispositivi Cisco 850 supportano il gateway Skinny NAT ALG nelle release 12.4T?

R. No. La versione 12.4T della serie 850 non supporta il gateway Skinny NAT ALG.

Implementazione della NAT

D. Come posso implementare la funzionalità NAT?

R. La funzionalità NAT permette alle reti IP private che usano indirizzi IP non registrati di connettersi a Internet. La NAT converte l'indirizzo privato (RFC1918) nella rete interna in indirizzi legali indirizzabili prima che i pacchetti vengano inoltrati a un'altra rete.

D. Come posso implementare la NAT voce?

R. Il supporto NAT per voce consente di riconvertire i messaggi SIP incorporati che passano attraverso un router configurato con NAT (Network Address Translation) nel pacchetto. Per convertire i pacchetti voce, viene utilizzato un dispositivo ALG (Application Layer Gateway) con la funzionalità NAT.

D. Come posso integrare la funzionalità NAT con le VPN MPLS?

R. L'integrazione della NAT con le VPN MPLS permette di configurare più VPN MPLS su un singolo dispositivo per usarle insieme. La NAT può differenziarsi dalla VPN MPLS ricevendo il traffico IP anche se le VPN MPLS usano tutte lo stesso schema di indirizzamento IP. Questa funzionalità consente a più clienti VPN MPLS di condividere i servizi garantendo al contempo che ogni VPN MPLS sia completamente separata dall'altra.

D. La mappatura statica NAT supporta il protocollo HSRP per l'alta disponibilità?

R. Quando una query ARP (Address Resolution Protocol) chiede un indirizzo configurato con la mappatura statica NAT (Network Address Translation) e di proprietà del router, il dispositivo NAT risponde con l'indirizzo BIA MAC sull'interfaccia a cui è indirizzato il protocollo ARP. Due router agiscono come HSRP attivo e HSRP in standby. Le rispettive interfacce NAT interne devono essere abilitate e configurate in modo da appartenere a un gruppo.

D. Come posso implementare la funzionalità NAT NVI?

R. L'interfaccia virtuale NAT (NAT Virtual Interface) evita di dover configurare un'interfaccia come NAT interna o NAT esterna.

D. Come posso implementare il bilanciamento del carico con la NAT?

R. Con NAT è possibile eseguire due tipi di bilanciamento del carico: è possibile bilanciare il carico in entrata in un set di server per distribuire il carico sui server e bilanciare il carico del traffico utente verso Internet su due o più ISP.

Per ulteriori informazioni sul bilanciamento del carico in uscita, fare riferimento a Bilanciamento del carico NAT in Cisco IOS per due connessioni ISP.

D. Come posso implementare la NAT con IPSec?

R. Il protocollo IP Security (IPSec) Encapsulating Security Payload (ESP) è supportato tramite NAT e IPSec NAT trasparente.

La funzionalità IPSec ESP tramite NAT permette di supportare più tunnel o connessioni IPSec ESP simultanei tramite un dispositivo NAT con Cisco IOS configurato in modalità di sovraccarico o PAT (Port Address Translation).

La funzionalità IPSec NAT trasparente supporta il traffico IPSec tra i punti NAT o PAT della rete risolvendo molte incompatibilità note tra NAT e IPSec.

D. Come posso implementare NAT-PT?

R. NAT-PT (Network Address Translation—Protocol Translation) è un meccanismo di conversione IPv6-IPv4, definito nelle RFC 2765 e RFC 2766, che consente ai dispositivi solo IPv6 di comunicare con i dispositivi solo IPv4 e viceversa.

D. Come posso implementare la NAT multicast?

R. È possibile effettuare la conversione NAT sull'indirizzo IP di origine di un flusso multicast. Quando si esegue la NAT dinamica per il traffico multicast, non è possibile usare una route-map; solo l'uso dell'elenco degli accessi è supportato.

Per ulteriori informazioni, fare riferimento a Come funziona la conversione NAT multicast sui router Cisco. Il gruppo multicast di destinazione viene sottoposto a conversione degli indirizzi utilizzando una soluzione Multicast Service Reflection.

D. Come posso implementare la funzionalità SNAT (stateful NAT)?

R. SNAT abilita un servizio continuo per le sessioni NAT mappate in modalità dinamica. Le sessioni definite in modalità statica possono sfruttare la ridondanza senza dover usare la funzionalità SNAT. In assenza della SNAT, le sessioni che usano mappature NAT dinamiche verranno interrotte in caso di errore critico e dovranno essere ristabilite. È supportata solo la configurazione SNAT minima. Le implementazioni future devono essere eseguite solo dopo aver parlato con il team Cisco Account per confermare il progetto in base alle limitazioni attualmente in essere.

La funzionalità SNAT è consigliata nei seguenti scenari:

• Principale/backup non è una modalità consigliata in quanto alcune funzionalità mancano rispetto al protocollo HSRP.

• Negli scenari di failover e nella configurazione a 2 router. Quindi, in caso di arresto anomalo di un router, l'altro subentra al suo posto senza interruzioni. (L'architettura SNAT non è progettata per gestire eventuali instabilità dell'interfaccia.)

• Lo scenario di routing non asimmetrico è supportato. Il routing asimmetrico può essere gestito solo se la latenza nel pacchetto di risposta è superiore a quella tra 2 router SNAT per lo scambio dei messaggi SNAT.

Attualmente l'architettura SNAT non è progettata per gestire la robustezza; non si prevede pertanto che questi test abbiano esito positivo:

• Cancellazione delle voci NAT in presenza di traffico.

• Modifica dei parametri dell'interfaccia (come modifica dell'indirizzo IP, shut/no-shut e così via) in presenza di traffico.

• I comandi clear o show specifici della NAT non funzioneranno in modo corretto e ne è sconsigliato l'uso.

Ecco alcuni dei comandi clear< /strong>e show specifici della NAT:

clear ip snat sessions *
clear ip snat sessions 
       
       
clear ip snat translation distributed *
clear ip snat translation peer < IP address of SNAT peer>
sh ip snat distributed verbose
sh ip snat peer < IP address of peer>

Per cancellare le voci, è possibile utilizzare i comandi clear ip nat trans forced< /strong> o clear ip nat trans *.

Per visualizzare le voci, utilizzare i comandi show ip nat translation, show ip nat translations verbose e show ip nat stats. Se è stato configurato un servizio interno, vengono mostrate anche le informazioni specifiche della conversione SNAT.

Si sconsiglia di cancellare le conversioni NAT sul router di backup. Cancellare sempre le voci NAT sul router SNAT principale.

SNAT non è HA; pertanto, le configurazioni su entrambi i router devono essere le stesse. Entrambi i router devono avere la stessa immagine in esecuzione. Accertarsi inoltre che la piattaforma sottostante utilizzata per entrambi i router SNAT sia la stessa.

Best practice per la NAT

D. Sono disponibili best practice per usare la funzionalità NAT?

R. Sì. Queste sono le best practice per la funzionalità NAT:

• Quando si utilizzano le funzionalità NAT dinamica e statica, l'elenco ACL che imposta la regola per la NAT dinamica deve escludere gli host locali statici in modo che non vi siano sovrapposizioni.

• Fare attenzione a non usare l'ACL per la conversione con il comando permit ip any any; i risultati sono imprevedibili. Nelle release successive alla 12.4(20)T, la NAT converte i pacchetti HSRP e di routing generati localmente, se inviati dall'interfaccia esterna, nonché i pacchetti crittografati localmente che soddisfano la regola NAT.

• In caso di reti sovrapposte per la NAT, utilizzare la parola match-in-vrf.

È necessario aggiungere la parola chiave match-in-vrf per le voci NAT statiche con VRF sovrapposte per istanze VRF diverse, ma non è possibile sovrapporre gli indirizzi globali e vrf.

Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf RED match-in-vrf

Router(config)#ip nat inside source static 10.1.1.1 10.210.2.2 vrf BLUE match-in-vrf

Non è possibile utilizzare i pool NAT con la stessa gamma di indirizzi in istanze VRF diverse, a meno che non si usi la parola chiave match-in-vrf.

Ad esempio:

  ip nat pool poolA 1710.1.1.1 1710.1.1.10 prefix-length 24
  ip nat pool poolB 1710.1.1.1 1710.1.1.10 prefix-length 24
  ip nat inside source list 1 poolA vrf A match-in-vrf
  ip nat inside source list 2 poolB vrf B match-in-vrf 

Nota: Anche se la configurazione CLI è valida, senza la parola chiave match-in-vrf la configurazione non è supportata.

• Quando si implementa il bilanciamento del carico tra ISP con sovraccarico dell'interfaccia NAT, la best practice consiste nell'utilizzare la route-map con corrispondenza dell'interfaccia anziché la corrispondenza degli ACL.

• Quando si utilizza la mappatura dei pool, non è necessario utilizzare due mappature diverse (ACL o route-map) per condividere lo stesso indirizzo di pool NAT.

• Quando si implementano le stesse regole NAT su due router diversi nello scenario di failover, è necessario utilizzare la ridondanza HSRP.

• Non definire lo stesso indirizzo globale interno nella NAT statica e in un pool dinamico. Questa azione può causare risultati indesiderati.

Informazioni correlate

• Supporto tecnico Cisco e download