Probleemoplossing voor netwerkadresomzetting met veelgestelde vragen

Inleiding

Dit document beschrijft hoe het Network Address Translation (NAT)-routerproces werkt en biedt antwoorden op een aantal veelvoorkomende vragen. 

Generieke NAT

V. Wat is NAT?

A. Netwerkadresomzetting (NAT) is ontwikkeld voor het behoud van IP-adressen. Hiermee kunnen private IP-netwerken niet-geregistreerde IP-adressen gebruiken om verbinding te maken met het internet. NAT werkt op een router, gewoonlijk wanneer u twee netwerken samen verbindt, en vertaalt de privé (niet globaal uniek) adressen in het interne netwerk in wettelijke adressen, alvorens de pakketten aan een ander netwerk door:sturen.

Hierbij kan NAT worden geconfigureerd om slechts één adres voor het gehele netwerk aan de buitenwereld aan te kondigen. Hierdoor wordt het hele interne netwerk achter dat adres verborgen, wat extra beveiliging biedt. NAT biedt security en adresbehoud en wordt doorgaans geïmplementeerd in omgevingen met externe toegang.

V. Hoe werkt NAT?

A.Fundamenteel, staat NAT één enkel apparaat, zoals een router toe om als agent tussen Internet (of openbaar netwerk) en een lokaal netwerk (of privé netwerk) te handelen, wat betekent dat slechts één enkel uniek IP adres wordt vereist om een volledige groep computers aan om het even wat buiten hun netwerk te vertegenwoordigen.

V. Hoe configureer ik NAT?

A. Om traditionele NAT te kunnen configureren moet u minimaal één interface op een router (NAT buiten) en een andere interface op de router (NAT binnen) maken, en een set vertaalregels voor de IP-adressen in de pakketheader (en payloads indien gewenst) en moeten deze worden geconfigureerd. Om NAT Virtual Interface (NVI) te configureren, heeft u ten minste één interface nodig die is geconfigureerd met NAT en dezelfde reeks regels als hierboven genoemd.

Raadpleeg de configuratiehandleiding voor Cisco IOS IP-adresseringsservices of de sectie over het configureren van de NAT virtuele interface voor meer informatie.

V. Wat zijn de belangrijkste verschillen tussen de Cisco IOS^®software en Cisco adaptieve security applicatie (ASA) implementaties van NAT?

A.Cisco IOS op software gebaseerde NAT verschilt niet fundamenteel van de NAT-functie in Cisco ASA. De belangrijkste verschillen omvatten de verschillende verkeerstypen die in de implementaties en ontwerpvereisten worden ondersteund. Raadpleeg NAT-configuratievoorbeelden voor meer informatie over de configuratie van NAT op Cisco ASA-apparaten (inclusief de ondersteunde verkeerstypen).

V. Op welke Cisco-routinghardware is Cisco IOS NAT beschikbaar? Hoe kan de hardware worden besteld?

A.Met de Cisco Feature Navigator-tool kunnen klanten een functie (NAT) identificeren en zoeken op welke release- en hardwareversie deze Cisco IOS-softwarefunctie beschikbaar is. Raadpleeg Cisco Feature Navigator om dit hulpprogramma te gebruiken.

V. Vindt NAT voor of na routing plaats?

A.De volgorde waarin de transacties door NAT worden verwerkt, is gebaseerd op de vraag of een pakket van het binnennetwerk naar het buitennetwerk of van het buitennetwerk naar het binnennetwerk reist. Omzetting van intern naar extern vindt plaats na routing, omzetting van extern naar intern vindt plaats vóór routing. Raadpleeg de NAT-werkorder voor meer informatie.

V. Kan NAT worden geïmplementeerd in een openbare draadloze LAN-omgeving?

A.Ja. De NAT - Statische IP-ondersteuningsfunctie biedt ondersteuning voor gebruikers met statische IP-adressen en stelt deze gebruikers in staat een IP-sessie op te zetten in een openbare draadloze LAN-omgeving.

V. Ondersteunt NAT TCP-taakverdeling voor servers op het interne netwerk?

A.Yes. met NAT, kunt u een virtuele gastheer op het binnennetwerk vestigen die ladingssaldi tussen echte gastheren coördineert.

V. Kan ik het aantal NAT-omzettingen beperken?

A.Ja. Met de functie Rate-Limiting NAT Translation (NAT-omzettingen beperken) kunt u het maximumaantal gelijktijdige NAT-verwerkingen op een router beperken. Dit geeft gebruikers meer controle over hoe NAT-adressen worden gebruikt, de Rate-Limiting NAT-vertaalfunctie kan worden gebruikt om de effecten van virussen, wormen en denial-of-service-aanvallen te beperken.

V. Hoe wordt de routing geleerd of verspreid voor IP-subnetten of -adressen die door NAT worden gebruikt?

A.Routing voor IP-adressen die door NAT zijn gemaakt, wordt geleerd als:

• De interne algemene adresgroep wordt afgeleid van het subnet van een next-hop router.

• De statische routevermelding wordt geconfigureerd in de volgende hop-router en wordt geherdistribueerd binnen het routingnetwerk.

Wanneer het binnen globale adres met de lokale interface wordt aangepast, installeert NAT een IP alias en een ARP ingang, waarbij de router kan volmacht-platform voor deze adressen. Als dit gedrag niet gewenst is, gebruikt u het trefwoord eno-aliaskeyword.

Wanneer een NAT-groep wordt geconfigureerd, kan de optie add-route worden gebruikt voor automatic route-invoeging.

V. Hoeveel gelijktijdige NAT-sessies worden er ondersteund in Cisco IOS NAT?

A. De NAT-sessielimiet wordt begrensd door de hoeveelheid beschikbare DRAM’s in de router. Elke NAT-omzetting vereist ongeveer 312 bytes DRAM. 10.000 omzettingen (meer dan doorgaans op één router worden verwerkt) vereist dus ongeveer 3 MB. Typische routinghardware heeft dan ook meer dan voldoende geheugen voor duizenden NAT-omzettingen. Het wordt echter ook aanbevolen om de platformspecificaties te controleren. 

V. Wat voor routeringsprestaties kunnen worden verwacht met Cisco IOS NAT?

A.Cisco IOS NAT ondersteunt Cisco Express Forwarding (CEF)-switching, snelle switching en processwitching. In release 12.4T en hoger wordt fast-switchingpad niet langer ondersteund. Op het Cat6k-platform is de switchingvolgorde NetFlow (HW-switchingpad), CEF, procespad.

De prestaties hangen af van verschillende factoren:

• Het type toepassing en het type verkeer

• Of IP-adressen ingesloten zijn

• Uitwisseling en controle van meerdere berichten

• Vereiste bronpoort

• Het aantal omzettingen

• Andere toepassingen die tegelijkertijd actief zijn

• Het type hardware en processor

V. Kan Cisco IOS NAT worden toegepast op subinterfaces?

A.Ja. De bron en/of bestemming NAT vertalingen kunnen op om het even welke interface of sub-interfaces worden toegepast die een IP adres hebben (omvat dialer interfaces). NAT kan niet worden geconfigureerd met een wireless virtuele interface. Draadloze virtuele interface bestaat niet op het moment dat deze naar NVRAM schrijft. Aldus, na reboot, verliest de router NAT configuratie op de Draadloze Virtuele Interface.

V. Kan Cisco IOS NAT worden gebruikt met het Hot Standby Router Protocol (HSRP) om redundante links naar een ISP te bieden?

A.Ja. NAT biedt HSRP-redundantie. Maar deze verschilt van SNAT (Stateful NAT). NAT met HSRP is een stateless systeem. De huidige sessie blijft niet behouden wanneer een fout optreedt. Tijdens statische NAT-configuratie (wanneer een pakket niet voldoet aan een STATISCHE regelconfiguratie) wordt het pakket zonder omzetting verzonden.

V. Ondersteunt Cisco IOS NAT inkomende omzettingen op een Frame Relay-interface? Ondersteunt Cisco IOS NAT uitgaande omzettingen aan de Ethernet-zijde?

A.Ja. Insluiting is niet van belang voor NAT. NAT kan worden uitgevoerd wanneer er een IP-adres op een interface bestaat en de interface interne of externe NAT betreft. NAT is mogelijk als er een interne en een externe kant is. Als u NVI gebruikt, moet er ten minste één NAT-interface zijn. Zie de vorige vraag, hoe configureer ik NAT?voor meer informatie.

V. Kan één NAT-router sommige gebruikers toestaan om NAT te gebruiken en andere gebruikers op dezelfde Ethernet-interface om hun eigen IP-adres te blijven gebruiken?

A.Ja. Dit kan worden bereikt door het gebruik van een toegangslijst die de reeks hosts of netwerken beschrijft die NAT vereisen. Alle sessies op dezelfde host kunnen worden vertaald of kunnen via de router worden doorgegeven en niet worden vertaald.

Toegangslijsten, uitgebreide toegangslijsten en routekaarten kunnen worden gebruikt om te definiëren hoe IP-apparaten worden vertaald. Het netwerkadres en het juiste subnetmasker moeten altijd worden opgegeven. Het sleutelwoord mag niet worden gebruikt in plaats van het netwerkadres of het subnetmasker. Met Statische NAT configuratie, wanneer het pakket niet met enige STATISCHE regelconfiguratie aanpast, kan het pakket zonder enige vertaling worden verzonden.

V. Wanneer PAT (overload) is geconfigureerd, wat is het maximale aantal vertalingen dat per wereldwijd IP-adres kan worden gemaakt?

A.PAT (overbelasting) verdeelt de beschikbare poorten per wereldwijd IP-adres in drie reeksen: 0-511, 512-1023 en 1024-65535. PAT wijst een unieke bronpoort toe aan elke UDP- of TCP-sessie. Het probeert om dezelfde poortwaarde van het oorspronkelijke verzoek toe te wijzen, maar als de oorspronkelijke bronpoort al is gebruikt, begint het te scannen vanaf het begin van het specifieke poortbereik om de eerste beschikbare poort te vinden en wijst het toe aan het gesprek.

V. Hoe werkt PAT?

A.PAT werkt met één wereldwijd IP-adres of met meerdere adressen.

PAT met één IP-adrestabel

Voorwaarde	Beschrijving
1	NAT/PAT controleert het verkeer en matcht het met een omzettingsregel.
2	Regel komt overeen met een PAT-configuratie.
3	Als PAT weet van het verkeerstype en als dat verkeerstype "een reeks specifieke poorten of poorten heeft waarover het onderhandelt" die het kan gebruiken, zet PAT ze aan de kant en wijst ze niet toe als unieke identificatoren.
4	Als een sessie zonder speciale poortvereisten een verbinding naar buiten (de externe kant) tot stand probeert te brengen, wordt met PAT het IP-bronadres omgezet en wordt op beschikbaarheid van de oorspronkelijke bronpoort gecontroleerd (bijvoorbeeld 433). Zie de opmerking.
5	Als de aangevraagde bronpoort beschikbaar is, wordt met PAT de bronpoort toegewezen en de sessie voortgezet.
6	Als de gevraagde bronpoort niet beschikbaar is, begint PAT te zoeken vanaf het begin van de relevante groep (begint bij 1 voor TCP- of UDP-toepassingen en vanaf 0 voor ICMP).
7	Als een poort beschikbaar is, wordt deze toegewezen en wordt de sessie voortgezet.
8	Als er geen poorten beschikbaar zijn, wordt het pakket verwijderd (afgewezen).

Opmerking: voor TCP (Transmission Control Protocol) en User Datagram Protocol (UDP) zijn de bereiken: 1-511, 512-1023, 1024-65535. Voor Internet Control Message Protocol (ICMP) begint de eerste groep op 0.

PAT met meerdere IP-adressen

Voorwaarde	Beschrijving
1-7	De eerste zeven voorwaarden zijn hetzelfde als bij PAT met één IP-adres.
8	Als er geen poorten beschikbaar zijn in de relevante groep op het eerste IP-adres, gaat NAT naar het volgende IP-adres in de groep en wordt geprobeerd de oorspronkelijke aangevraagde bronpoort toe te wijzen.
9	Als de gevraagde bronpoort beschikbaar is, wijst NAT de bronpoort toe en gaat de sessie door.
10	Als de gevraagde bronpoort niet beschikbaar is, begint NAT te zoeken vanaf het begin van de relevante groep (begint bij 1 voor TCP- of UDP-toepassingen en vanaf 0 voor ICMP).
11	Als een poort beschikbaar is, wordt deze toegewezen en de sessie wordt voortgezet.
12	Als er geen poorten beschikbaar zijn, wordt het pakket verwijderd (afgewezen), tenzij er een ander IP-adres in de groep beschikbaar is.

V. Wat zijn NAT IP-adresgroepen?

A.NAT IP-pools zijn een reeks IP-adressen die waar nodig worden toegewezen voor NAT-vertaling. Om een groep te definiëren, wordt de volgende configuratieopdracht gebruikt:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

Voorbeeld 1

Het volgende voorbeeld vertaalt tussen binnengastheren die van of het 192.168.1.0 of 192.168.2.0 netwerk aan globaal uniek 10.69.233.208/28 netwerk worden gericht:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
 ip address 10.69.232.182 255.255.255.240
 ip nat outside
!
interface ethernet 1
 ip address 192.168.1.94 255.255.255.0
 ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

Voorbeeld 2

In het volgende voorbeeld is het doel om een virtueel adres te definiëren, verbindingen die worden verdeeld over een reeks echte hosts. De groep definieert de adressen van de echte hosts. De toegangslijst definieert het virtuele adres. Als een omzetting niet al bestaat, worden TCP-pakketten vanaf seriële interface 0 (de buiteninterface) waarvan de bestemming overeenkomt met de toegangslijst omgezet naar een adres uit de groep .

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
 ip address 192.168.15.129 255.255.255.240
 ip nat outside
!
interface ethernet 0
 ip address 192.168.15.17 255.255.255.240
 ip nat inside
!
access-list 2 permit 192.168.15.1

V. Wat is het maximumaantal configureerbare NAT IP-adresgroepen (ip nat pool "name")?

A. In de praktijk wordt het maximale aantal configureerbare IP-pools beperkt door de hoeveelheid beschikbare DRAM’s in de specifieke router. (Cisco raadt aan maximaal 255 groepen te configureren.) Elke pool mag niet meer dan 16 bits zijn. In 12.4(11)T en hoger werd CCE (Common Classification Engine) geïntroduceerd door Cisco IOS. Dit heeft NAT beperkt tot maximaal 255 groepen.

Q. Wat is het voordeel aan route-kaart versus ACL op een NAT-pool?

A.A route-kaart beschermt ongewenste buitengebruikers om aan de binnengebruikers/servers te bereiken. Bovendien kan met een routekaart één intern IP-adres aan verschillende interne algemene adressen worden toegewezen op basis van de regel. Raadpleeg NAT-ondersteuning voor meerdere groepen met routekaarten voor meer informatie.

V. Wat is ‘overlapping’ van IP-adressen in de context van NAT?

A.IP-adres dat overlapt, verwijst naar een situatie waarin twee locaties die beide willen verbinden, hetzelfde IP-adresschema gebruiken. Dit is geen ongebruikelijk verschijnsel; het gebeurt vaak wanneer bedrijven fuseren of worden overgenomen. Zonder speciale ondersteuning kunnen de twee locaties geen verbinding maken en geen sessies opzetten. Het overlappende IP-adres kan een publiek adres zijn dat aan een andere onderneming is toegewezen, een privaat adres dat aan een andere onderneming is toegewezen, of kan afkomstig zijn uit het bereik van privaat adressen zoals gedefinieerd in RFC 1918.

Private IP-adressen zijn niet routeerbaar en vereisen NAT-vertalingen om verbindingen met de buitenwereld mogelijk te maken. De oplossing omvat de interceptie van de naam-vraag van het Systeem van de Naam van het Domein (DNS) reacties van de buitenkant aan de binnenkant, een vertaalopstelling voor het buitenadres, en de DNS reactie moet worden bevestigd alvorens het aan de binnengastheer wordt verstuurd. Een DNS server moet aan beide kanten van het NAT apparaat worden geïmpliceerd om gebruikers op te lossen die verbinding tussen beide netwerken willen hebben.

NAT is in staat om adresomzetting te inspecteren en uit te voeren op de inhoud van DNSA- en PTR-records, zoals getoond in NAT gebruiken in overlappende netwerken.

V. Wat zijn statische NAT-omzettingen?

A.Statische NAT-vertalingen hebben één-op-één omzetting tussen lokale en wereldwijde adressen. Gebruikers kunnen ook statische adresvertalingen naar het poortniveau configureren en de rest van het IP-adres voor andere vertalingen gebruiken. Dit gebeurt doorgaans wanneer u poortadresomzetting (PAT) uitvoert.

Het volgende voorbeeld toont hoe te om route-kaart te vormen om buiten-aan-binnen vertaling voor statische NAT toe te staan:

ip nat inside source static 10.1.1.1 10.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
 permit ip any 10.1.10.1 0.0.0.127
route-map R1 permit 10
 match ip address ACL-A

Q. Wat wordt bedoeld met de term NAToverloading; is dit PAT?

A.Ja. NAT-overbelasting is PAT, wat het gebruik van een pool met een reeks van een of meer adressen of het gebruik van een interface-IP-adres in combinatie met de poort inhoudt. Bij overloading is sprake van een volledige omzetting. Dit is een vertaaltabelingang die IP-adres en bron-/bestemmingpoortinformatie bevat, wat vaak PAT of overbelasting wordt genoemd.

PAT (of overload) is een functie van Cisco IOS NAT die wordt gebruikt om interne (binnen lokale) privé-adressen te vertalen naar een of meer externe (binnen wereldwijde, doorgaans geregistreerde) IP-adressen. Unieke bronpoortnummers bij elke omzetting worden gebruikt om onderscheid te maken tussen de gesprekken.

V. Wat zijn dynamische NAT-omzettingen?

A. In dynamische NAT-vertalingen kunnen de gebruikers dynamische mapping tussen lokale en wereldwijde adressen instellen. Dynamische mapping wordt gerealiseerd wanneer u de lokale adressen definieert die moeten worden vertaald en de pool van adressen of IP-interfaceadres waaraan globale adressen moeten worden toegewezen en wanneer u de twee adressen koppelt.

V. Wat is ALG?

A.ALG is een Application Layer Gateway (ALG). NAT voert omzetting uit op TCP/UDP-verkeer (Transmission Control Protocol/User Datagram Protocol) dat geen IP-adres van bron en/of bestemming in de toepassingsdatastroom bevat.

Deze protocollen omvatten FTP, HTTP, SKINNY, H232, DNS, RAS, SIP, TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh en rcp. Specifieke protocollen die IP-adresinformatie in de payload insluiten, vereisen ondersteuning van een Application Layer Gateway (ALG).

Raadpleeg Toepassingsniveaugateways met NAT voor meer informatie.

V. Is het mogelijk een configuratie te creëren met zowel statische als dynamische NAT-omzettingen?

A.Ja. Het is echter niet mogelijk hetzelfde IP-adres te gebruiken voor de statische NAT-configuratie of in de groep voor dynamische NAT-configuratie. Alle openbare IP-adressen moeten uniek zijn. Merk op dat de globale adressen die in statische vertalingen worden gebruikt niet automatisch worden uitgesloten met dynamische pools die dezelfde globale adressen bevatten. Er moeten dynamische groepen worden gecreëerd om adressen uit te sluiten die via statische vermeldingen zijn toegewezen. Raadpleeg voor meer informatie het gelijktijdig configureren van statische en dynamische NAT.

Q. Wanneer een traceroute door een NAT router wordt gedaan, moet traceroute het NAT-Globale adres tonen of moet het het NAT-Lokale adres lekken?

A.Traceroute van buiten moet altijd het globale adres terugkeren.

V. Hoe worden via PAT poorten toegewezen?

A.NAT introduceert extra poortfuncties: volledig bereik en poortkaart.

• Met full-range kan NAT alle poorten gebruiken, ongeacht het standaard poortbereik.

• Met port-map kan NAT een door de gebruiker gedefinieerd poortbereik reserveren voor een specifieke toepassing.

Raadpleeg door de gebruiker gedefinieerde bronpoortbereiken voor PAT voor meer informatie.

In release 12.4(20)T2 en hoger introduceert NAT poortrandomisatie voor L3/L4 en het kenmerk symmetric-port.

• Met poortrandomisatie kan NAT willekeurig een algemeen poort selecteren voor de bronpoortaanvraag.

• Met symmetrische poort kan NAT puntonafhankelijk ondersteunen.

V. Wat is het verschil tussen IP-fragmentatie en TCP-segmentatie?

A.IP-fragmentatie vindt plaats op Layer 3 (IP); TCP-segmentatie vindt plaats op Layer 4 (TCP). IP-fragmentatie vindt plaats wanneer pakketten die groter zijn dan de maximale verzendeenheid (MTU) van een interface vanuit die interface worden verzonden. Deze pakketten moeten of worden gefragmenteerd of worden verworpen wanneer zij de interface worden verzonden. Indien de Don't Fragment (DF) bit is niet ingesteld in de IP-header van het pakket, het pakket kan gefragmenteerd worden. Als het DF-bit is ingesteld in de IP-header van het pakket, wordt het pakket verbroken en geeft een ICMP-foutbericht de volgende-hop MTU-waarde aan die wordt teruggestuurd naar de afzender. Alle fragmenten van een IP-pakket hebben dezelfde Ident in de IP-header, zodat de laatste ontvanger het oorspronkelijke IP-pakket opnieuw kan samenstellen aan de hand van de fragmenten. Raadpleeg IP-fragmentatie, MTU, MSS en PMTUD-problemen oplossen met GRE en IP voor meer informatie.

TCP-segmentatie vindt plaats wanneer een toepassing op een eindstation gegevens verstuurt. De toepassingsdata wordt opgedeeld in eenheden met een volgens TCP de beste grootte voor verzending. Een dergelijke eenheid die van TCP naar IP wordt doorgegeven, wordt een segment genoemd. TCP-segmenten worden verzonden in IP-datagrammen. De IP-datagrammen kunnen vervolgens IP-fragmenten worden wanneer deze het netwerk doorkruisen en lagere MTU-links aantreffen dan zij kunnen passeren.

TCP kan deze gegevens eerst segmenteren in TCP-segmenten (op basis van TCP MSS-waarde) en kan de TCP-header toevoegen en dit TCP-segment doorgeven aan IP. Vervolgens kan IP een IP-header toevoegen om het pakket naar de externe eindhost te verzenden. Als het IP-pakket met het TCP-segment groter is dan de IP MTU op een uitgaande interface tussen de TCP-hosts, kan IP het IP/TCP-pakket fragmenteren om erin te passen. Deze IP-pakketfragmenten kunnen door de IP-laag op de externe host opnieuw worden geassembleerd en het volledige TCP-segment (dat oorspronkelijk was verzonden) kan aan de TCP-laag worden doorgegeven. De TCP-laag detecteert niet dat IP het pakket tijdens de verzending heeft gefragmenteerd.

NAT ondersteunt IP-fragmenten maar geen TCP-segmenten.

V. Ondersteunt NAT ‘verkeerde volgorde’ bij IP-fragmentatie en TCP-segmentatie?

A.NAT ondersteunt alleen IP-fragmenten die buiten bedrijf zijn omdat ze virtueel opnieuw worden geassembleerd.

V. Hoe kunnen fouten met IP-fragmentatie en TCP-segmentatie worden opgespoord?

A.NAT gebruikt hetzelfde debug CLI voor zowel IP-fragmentatie als TCP-segmentatie:debug ip NAT-fragmentatie.

V: Is er een ondersteunde NAT MIB?

A.Nee. Er is geen ondersteunde NAT MIB en Cisco-IETF-NAT-MIB wordt niet ondersteund.

Q. Wat isTCP timeout, en hoe heeft het betrekking op de NAT TCP timer?

A. Als de handdruk met drie richtingen niet wordt voltooid en NAT een pakket van TCP ziet, dan kan NAT een 60 tweede tijdopnemer beginnen. Wanneer de drierichtings-handshake is voltooid, wordt standaard een timer van 24 uur voor een NAT-vermelding gebruikt. Als een eindhost een RESET-signaal verzendt, verandert NAT de standaardtimer van 24 uur in 60 seconden. Bij een FIN-signaal verandert NAT de standaardtimer van 24 uur in 60 seconden wanneer een FIN- en FIN-ACK-signaal wordt ontvangen.

Q. Kan ik de hoeveelheid tijd veranderen het voor een NAT vertaling aan tijd uit de NAT vertaallijst vergt?

A.Ja. U kunt de NAT-tijdoutwaarden voor alle items of voor verschillende typen NAT-vertalingen wijzigen (zoals udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout en arp-ping-timeout).

V. Hoe stop ik met Lichtgewicht Directory Access Protocol (LDAP) wanneer het extra bytes aan elk LDAP-antwoordpakket koppelt?

A.De LDAP is ingesteld om de extra bytes (LDAP zoekresultaten) toe te voegen terwijl het berichten van het type Search-Res-Entry verwerkt. LDAP voegt 10 bytes aan zoekresultaten toe aan elk LDAP-antwoordpakket. In het geval dat deze 10 extra bytes aan gegevens in het pakket resulteren en de Maximum Transmission Unit (MTU) in een netwerk overschrijden, wordt het pakket gelaten vallen. In dit geval raadt Cisco u aan dit LDAP-gedrag uit te schakelen met de CLIno ip Nat-service append-ldap-search-rescommando, zodat de pakketten worden verzonden en ontvangen.

V. Wat is de routeaanbeveling voor het interne algemene/externe lokale IP-adres op het NAT-apparaat?

A.A de route moet op het NAT geconfigureerde vak voor het globale IP-adres binnen worden gespecificeerd voor functies zoals NAT-NVI. Op dezelfde manier moet een route ook worden opgegeven op het NAT-vak voor het externe lokale IP-adres. In dit geval vereist elk pakket van een in-to-out richting met de buitenste statische regel dit soort route. In dergelijke scenario's, terwijl het de route voor IG/OL verstrekt, moet het volgende hopIP adres ook worden gevormd. Als de volgende hopconfiguratie niet wordt gevonden, wordt dit beschouwd als een configuratiefout en resulteert in niet gedefinieerd gedrag.

NVI-NAT is alleen aanwezig in het pad voor de output-functie. Als u het subnet rechtstreeks heeft verbonden met NAT-NVI of de externe NAT-omzettingsregel die op het apparaat is geconfigureerd, moet u in die scenario’s een dummy IP-adres van de volgende hop en een bijbehorende ARP voor de volgende hop verstrekken. Dit is nodig om de onderliggende infrastructuur het pakket voor omzetting aan NAT te laten overhandigen.

V. Ondersteuning van Cisco IOS NAT voor ACL’s met een trefwoord voor logbestanden?

A.Wanneer u Cisco IOS NAT voor dynamische NAT-omzetting configureert, wordt een ACL gebruikt om pakketten te identificeren die kunnen worden vertaald. De huidige NAT-architectuur ondersteunt geen ACL’s met een trefwoord voor logbestanden.

NAT met spraak

V. Ondersteunt NAT het Skinny Client Control Protocol (SCCP) v17 dat wordt meegeleverd met Cisco Unified Communications Manager (CUCM) v7?

A.CUCM 7 en alle standaardtelefoonladingen voor CUCM 7 ondersteunen SCCPv17. De gebruikte versie SCCP wordt bepaald door de hoogste gemeenschappelijke versie tussen CUCM en de telefoon wanneer de telefoonregisters.

NAT ondersteunt nog geen SCCP v17. Totdat NAT-ondersteuning voor SCCP v17 is geïmplementeerd, moet de firmware worden gedowngraded naar versie 8-3-5 of lager, zodat SCCP v16 wordt ontwikkeld. CUCM6 kan het NAT-probleem niet met enige telefoonlading tegenkomen zolang het SCCP v16 gebruikt. Cisco IOS ondersteunt momenteel geen SCCP versie 17.

V. Welke versies van CUCM/SCCP/firmware worden ondersteund door NAT?

A.NAT ondersteunt CUCM versie 6.x en eerdere releases. Deze CUCM-versies worden vrijgegeven met de standaard 8.3.x (of lagere) telefoonfirmware die SCCP v15 (of lager) ondersteunt.

NAT biedt geen ondersteuning voor CUCM-versie 7.x of lager. Deze CUCM-versie wordt vrijgegeven met de standaard 8.4.x telefoonfirmware die SCCP v17 (of hoger) ondersteunt.

Als CUCM-versie 7.x of hoger wordt gebruikt, moet een oudere firmwarelading op de CUCM TFTP-server zijn geïnstalleerd, zodat de telefoons een firmwarelading met SCCP v15 of lager gebruiken voor ondersteuning door NAT.

V. Wat is Service Provider PAT Port Allocation Enhancement for RTP and RTCP (Verbeterde toewijzing van PAT-poorten voor RTP en RTCP voor serviceproviders)?

A.De verbetering van de poorttoewijzing voor serviceproviders voor RTP en RTCP garandeert dat voor SIP, H.323 en Skinny spraakoproepen. De poortnummers die worden gebruikt voor RTP-stromen zijn even poortnummers; de poortnummers die worden gebruikt voor RTCP-stromen zijn de daaropvolgende oneven poortnummers. Het poortnummer wordt vertaald naar een nummer binnen het opgegeven bereik dat voldoet aan RFC-1889. Een oproep met een poortnummer binnen het bereik kan resulteren in een PAT-vertaling naar een ander poortnummer binnen dit bereik. Op dezelfde manier kan een PAT-vertaling voor een poortnummer buiten dit bereik niet resulteren in een vertaling naar een nummer binnen het gegeven bereik.

Q. Wat is Session Initiation Protocol (SIP) en kunnen SIP-pakketten met NAT worden gerouteerd?

A.Session Initiation Protocol (SIP) is een op ASCII gebaseerd, applicatie-Layer controleprotocol dat kan worden gebruikt om gesprekken tussen twee of meer endpoints tot stand te brengen, te onderhouden en te beëindigen. SIP is een alternatief protocol dat door de Internet Engineering Task Force (IETF) is ontwikkeld voor multimedia conferencing via IP. Met Cisco’s SIP-implementatie kunnen ondersteunde Cisco-platforms de opzet van spraak- en multimedia-oproepen via IP-netwerken signaleren. SIP-pakketten kunnen via NAT worden verwerkt.

V. Wat houdt ondersteuning van Hosted NAT Traversal voor Session Border Controller (SBC) in?

A.De functie Cisco IOS Hosted NAT Transformer voor SBC maakt het mogelijk dat een Cisco IOS NAT SIP Application Level Gateway (ALG)-router optreedt als SBC op een Cisco Multiservice IP-naar-IP gateway, die helpt een soepele levering van Voice-over-IP (VoIP)-services te garanderen.

Raadpleeg Cisco IOS Hosted NAT Transformer voor Session border-controller configureren voor meer informatie.

V. Hoeveel SIP-, Skinny- en H323-oproepen kunnen via het geheugen en de CPU van een router met NAT worden verwerkt?

A.Het aantal oproepen dat door een NAT-router wordt behandeld, is afhankelijk van de hoeveelheid geheugen die op de doos beschikbaar is en de verwerkingskracht van de CPU.

V. Ondersteunt een NAT-router TCP-segmentatie van Skinny- en H323-pakketten?

A.Cisco IOS-NAT ondersteunt TCP-segmentatie voor H323 en TCP-segmentatieondersteuning voor SKINNY.

Q. Zijn er om het even welke voorbehouden om uit te kijken voor wanneer u een NAT overbelastingsconfiguratie in een stemplaatsing gebruikt?

A.Ja. Wanneer u NAT-overloading en spraakimplementatie configureert, moet het registratiebericht via NAT verlopen en moet een koppeling worden gemaakt voor extern -> intern om het interne apparaat te bereiken. Het binnenapparaat verzendt deze registratie op een periodieke manier en NAT werkt deze speld-gat/vereniging van de informatie zoals in het signalerende bericht bij.

Q. Zijn er om het even welke bekende problemen veroorzaakt wanneer u het duidelijke IP Nat bevel of het duidelijke IP NAT transformeer bevel in een stemplaatsing gebruikt?

A.In spraakimplementaties wanneer u een duidelijke ip Natopdracht * of een duidelijke ip Nat opdracht voor transformeer hebt en dynamische NAT heeft, veegt u de pin-hole/associatie uit en moet u wachten op de volgende registratiecyclus van het binnenapparaat om dit opnieuw vast te stellen. Cisco raadt u aan deze ‘clear’-opdrachten niet in spraakimplementaties te gebruiken.

V. Ondersteunt NAT spraak op basis van colocatie?

A.Nee. De oplossing op dezelfde locatie wordt momenteel niet ondersteund. De volgende implementatie met NAT (op dezelfde doos) wordt beschouwd als een op dezelfde locatie geplaatste oplossing: CME/DSP-Farm/SCCP/H323.

V. Ondersteunt NVI Skinny ALG, H323 ALG en TCP SIP ALG?

A.Nee. Bericht dat UDP SIP ALG (dat door de meeste implementaties wordt gebruikt) niet wordt beïnvloed.

NAT met VRF/MPLS

Q. Kan een NAT router zich in de zelfde adresruimte in een VRF en in een globale adresruimte ooit steunen? Op dit moment ontvang ik deze waarschuwing:"% gelijkaardige statische vermelding (10.1.1.1 —> 10.2.2.2) bestaat reeds" wanneer ik probeer de volgende instellingen te configureren: 

Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 
Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED 

A.Verouderde NAT ondersteunt overlappende adresconfiguratie via verschillende VRF’s. U zou het overlappen bij regel met thematch-in-vrfoption moeten configureren en NAT binnen/buiten dezelfde VRF instellen voor verkeer via die specifieke VRF. Ondersteuning voor overlapping omvat niet de algemene routingtabel.

U moet thematch-in-vrfkeyword toevoegen voor de overlappende VRF statische NAT-items voor verschillende VRF-items. Het is echter niet mogelijk om algemene adressen en NAT-adressen voor VRF te overlappen.

Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED match-in-vrf
Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf BLUE match-in-vrf

Q. Steunt de erfenis NAT VRF-Lite (de route van een VRF aan een verschillende VRF)?

A.Nee. U moet NVI aan NAT tussen verschillende VRFs gebruiken. U kunt bestaande NAT gebruiken om NAT uit te voeren van VRF naar wereldwijde of NAT binnen dezelfde VRF.

NAT NVI

V. Wat is NAT NVI?

A.NVI staat voor NAT virtuele interface. Hiermee kan NAT omzetting uitvoeren tussen twee verschillende VRF’s. Deze oplossing moet worden gebruikt in plaats van Network Address Translation on a Stick.

V. Moet NAT NVI worden gebruikt voor het routeren tussen een interface in de wereldwijde omgeving en een interface in een VRF?

A.Cisco raadt het gebruik van bestaande NAT aan voor VRF naar wereldwijde NAT (ip NAT binnen/buiten) en tussen interfaces in dezelfde VRF. NVI wordt gebruikt voor NAT tussen verschillende VRF’s.

V. Wordt TCP-segmentatie voor NAT-NVI ondersteund?

A.Er is geen ondersteuning voor TCP-segmentatie voor NAT-NVI.

V. Ondersteunt NVI Skinny ALG, H323 ALG en TCP SIP ALG?

A.Nee. Bericht dat UDP SIP ALG (dat door de meeste implementaties wordt gebruikt) niet wordt beïnvloed.

V. Wordt TCP-segmentatie ondersteund met SNAT?

A.SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). TCP-segmentatie wordt dan ook niet ondersteund. UDP SIP en DNS worden echter wel ondersteund.

SNAT

V. Wat is Stateful NAT (SNAT)?

A.SNAT staat twee of meer netwerkadresvertalers toe om als vertaalgroep te functioneren. Een lid van de vertaalgroep verwerkt verkeer waarvoor vertaling van IP-adresinformatie nodig is. Daarnaast wordt de back-upomzetter op de hoogte gesteld van eventuele actieve stromen. De back-upomzetter kan vervolgens informatie van de actieve omzetter gebruiken om dubbele vermeldingen in de omzettingstabel voor te bereiden. Als de actieve omzetter wordt gehinderd door een kritische storing, kan het verkeer snel naar de back-upomzetter worden overgeschakeld. De verkeersstroom blijft doorgaan, aangezien dezelfde netwerkadresomzettingen worden gebruikt en de status van die omzettingen eerder is gedefinieerd.

V. Wordt TCP-segmentatie ondersteund door SNAT?

A.SNAT ondersteunt geen TCP-ALG’s (zoals SIP, SKINNY, H323 of DNS). TCP-segmentatie wordt dan ook niet ondersteund. UDP SIP en DNS worden echter wel ondersteund.

Q. Is SNAT-ondersteuning voor asymmetrische routing?

A. Asymmetrische routing ondersteunt NAT wanneer dit systeem as-queuing . Asymmetrische wachtrijen zijn standaard ingeschakeld. Vanaf 12.4(24)T as-queuing wordt niet langer ondersteund. Klanten moeten ervoor zorgen dat pakketten correct worden gerouteerd en de juiste vertraging wordt toegevoegd om asymmetrische routing goed te laten verlopen.

NAT-PT (v6 naar v4)

V. Wat is NAT-PT?

A.NAT-PT is v4 naar v6 vertaald voor NAT. Protocolomzetting (NAT-PT) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765en RFC 2766, en maakt het mogelijk dat IPv6-apparaten alleen communiceren met IPv4-apparaten en vice versa.

V. Wordt NAT-PT ondersteund in het CEF-pad (Cisco Express Forwarding)?

A.NAT-PT wordt niet ondersteund op het CEF-pad.

V. Welke ALG’s worden in NAT-PT ondersteund?

A.NAT-PT ondersteunt TFTP/FTP en DNS. Er is geen ondersteuning voor spraak en SNAT in NAT-PT.

V. Wordt NAT-PT ondersteund door ASR 1004?

A.Aggregation Services Routers (ASR) gebruikt NAT64.

Platform-afhankelijke Cisco 7600/6k

V. Is Stateful NAT (SNAT) beschikbaar op Catalyst 6500 in de SX-softwarereeks?

A.SNAT is niet beschikbaar op Catalyst 6500 op de SX-trein.

V. Wordt VRF-bewuste NAT ondersteund in hardware op de 6k?

A.VRF-bewuste NAT wordt niet ondersteund in hardware op dit platform.

V. Ondersteunen 7600 en Cat6000 VRF-bewuste NAT?

A.Op het 65xx/76xx platform, wordt VRF-bewuste NAT niet ondersteund en worden de CLI's geblokkeerd.

Opmerking: U kunt een ontwerp implementeren als u gebruikmaakt van een FWSM die in virtuele context transparante modus draait.

Platformafhankelijke Cisco 850

V. Wordt Skinny NAT ALG ondersteund door Cisco 850 in release 12.4T?

A.Nee. Er is geen ondersteuning voor Skinny NAT ALG in 12.4T op de 850-serie.

Implementatie van NAT

V. Hoe implementeer ik NAT?

A.NAT maakt het mogelijk dat privaat IP-internetwerken die niet-geregistreerde IP-adressen gebruiken, verbinding maken met internet. NAT zet het private (RFC1918) adres in het interne netwerk om in wettelijke routeerbare adressen voordat pakketten naar een ander netwerk worden doorgestuurd.

V. Hoe implementeer ik NAT met spraak?

A.De NAT-ondersteuning voor spraakfunctie maakt het mogelijk dat SIP-ingesloten berichten die door een router gaan die met Network Address Translation (NAT) is geconfigureerd, naar het pakket worden vertaald. Een Application Layer Gateway (ALG) wordt met NAT gebruikt om de spraakpakketten om te zetten.

V. Hoe integreer ik NAT met MPLS VPN’s?

A.De NAT-integratie met de functie MPLS VPN’s maakt het mogelijk dat meerdere MPLS VPN’s op één apparaat worden geconfigureerd om samen te werken. NAT kan bepalen van welke MPLS VPN IP-verkeer wordt ontvangen, zelfs als de MPLS VPN’s allemaal hetzelfde IP-adresseringsschema gebruiken. Deze verbetering maakt het mogelijk dat meerdere MPLS VPN-klanten services delen terwijl elke MPLS VPN volledig gescheiden is van de andere.

V. Wordt HSRP voor hoge beschikbaarheid ondersteund door statische toewijzing via NAT?

A.Wanneer een vraag van het Protocol van de Resolutie van het Adres (ARP) voor een adres wordt teweeggebracht dat met de statische afbeelding van de Vertaling van het Adres van het Netwerk (NAT) wordt gevormd en door de router wordt bezeten, antwoordt NAT met het adres van MAC BIA op de interface waaraan ARP richt. Twee routers fungeren als actieve en stand-by HSRP. De NAT-binneninterfaces moeten zijn ingeschakeld en geconfigureerd om bij een groep te behoren.

V. Hoe implementeer ik NAT NVI?

A.De NAT virtuele interface (NVI) functie verwijdert de eis om een interface te configureren als NAT binnen of NAT buiten.

V. Hoe implementeer ik taakverdeling met NAT?

A. Er zijn twee soorten taakverdeling die met NAT kunnen worden uitgevoerd: u kunt de taakverdeling naar een aantal servers toe uitvoeren om de werklast op de servers te verdelen en u kunt de taakverdeling van uw gebruikersverkeer naar het internet over twee of meer ISP's toepassen.

Raadpleeg voor meer informatie over uitgaande taakverdeling Cisco IOS NAT-taakverdeling voor twee ISP-verbindingen.

V. Hoe implementeer ik NAT in combinatie met IPSec?

A.Er is steun voor IP Security (IPSec) Encapsulating Security Payload (ESP) through NAT en IPSec NAT-transparantie.

Dankzij de functie IPsec ESP via NAT kunt u meerdere gelijktijdige IPsec ESP-tunnels of -verbindingen ondersteunen via een Cisco IOS NAT-apparaat dat is geconfigureerd voor overloading of PAT-modus (Port Address Translation). De IPSec NAT transparantiefunctie introduceert ondersteuning voor IPSec-verkeer om door NAT- of PAT-punten in het netwerk te reizen wanneer deze veel bekende onverenigbaarheden tussen NAT en IPSec aanpakt.

V. Hoe implementeer ik NAT-PT?

A.NAT-PT (Network Address Translation-Protocol Translation) is een IPv6-IPv4-vertaalmechanisme, zoals gedefinieerd in RFC 2765en RFC 2766, dat IPv6-apparaten toestaat om te communiceren met apparaten die alleen IPv4 bevatten, en vice versa.

V. Hoe implementeer ik multicast NAT?

A.Het is mogelijk om de IP-bron voor een multicast-stroom te versleutelen. Een route-kaart kan niet worden gebruikt wanneer een dynamische NAT voor multicast wordt gedaan, slechts wordt een toegangslijst ondersteund voor dit.

Raadpleeg voor meer informatie hoe Multicast NAT werkt op Cisco-routers. De doelmulticast groep gebruikt NAT met een Multicast Service Reflection-oplossing.

V. Hoe implementeer ik stateful NAT (SNAT)?

A.SNAT maakt continue service mogelijk voor dynamisch toegewezen NAT-sessies. Sessies die statistisch worden gedefinieerd hebben het voordeel van redundantie zonder de inzet van SNAT. Bij afwezigheid van SNAT zouden sessies die dynamische NAT-toewijzingen gebruiken tijdens een kritieke storing worden verbroken en opnieuw tot stand moeten worden gebracht. Alleen de minimale SNAT-configuratie wordt ondersteund. Toekomstige implementaties moeten alleen worden uitgevoerd nadat u met uw Cisco-accountteam hebt gepraat om het ontwerp ten opzichte van de huidige beperkingen te valideren.

SNAT wordt aanbevolen voor de volgende scenario's:

• Primaire/back-up is geen aanbevolen modus omdat bepaalde functies ontbreken in vergelijking met HSRP.

• Voor failover-scenario’s en voor een configuratie met 2 routers. Als de ene router crasht, neemt de andere router de verwerking naadloos over. (De SNAT-architectuur is niet ontworpen voor het ondervangen van interfacefluctuaties.)

• Scenario voor niet-asymmetrische routing wordt ondersteund. Asymmetrische routing is alleen mogelijk als de latentie in het antwoordpakket hoger is dan die tussen 2 SNAT-routers om de SNAT-berichten uit te wisselen.

Op dit moment is de SNAT-architectuur niet ontworpen om robuustheid aan te kunnen; daarom worden deze tests niet verwacht te slagen:

• Wanneer NAT-vermeldingen worden gewist terwijl er verkeer is.

• Wanneer de interfaceparameters (zoals IP-adreswijziging, afsluiten/niet-afsluiten, enzovoort) worden gewijzigd terwijl er verkeer is.

• SNAT specificclearorshowopdrachten worden niet verwacht goed uit te voeren en worden niet aanbevolen.

  Enkele van de SNAT verwante clearandshowbevelen zijn als volgt:

  clear ip snat sessions *
  clear ip snat sessions 
           
           
  clear ip snat translation distributed *
  clear ip snat translation peer < IP address of SNAT peer>
  sh ip snat distributed verbose
  sh ip snat peer < IP address of peer>
  

• Als de gebruiker vermeldingen wil wissen, kunnen duidelijke ip Nat transforclear ip Nat trans *opdrachten worden gebruikt.

  Als de gebruiker ingangen wil bekijken, ip nationaal vertaling tonen, ip nationaal vertalingen breedsprakig tonen, en tonen ip nationaal statscommando's kunnen worden gebruikt. Als de dienst intern wordt gevormd, kan het SNAT-specifieke informatie eveneens tonen.

• De NAT-vertalingen worden gewist als de back-uprouter niet wordt aanbevolen. Wis de NAT-vermeldingen altijd op de primaire SNAT-router.

• SNAT is niet HA; daarom moeten de configuraties op beide routers hetzelfde zijn. Beide routers moeten het zelfde beeld in werking stellen. Zorg er ook voor dat het onderliggende platform dat voor beide SNAT-routers wordt gebruikt, hetzelfde is.

Best practices voor NAT

V. Zijn er best practices voor NAT?

A.Ja. Dit zijn best practices voor NAT:

1. Wanneer u zowel dynamische als statische NAT gebruikt, moet de ACL die de regel voor dynamische NAT instelt, de statische lokale hosts uitsluiten zodat er geen overlap is.

2. Als u ACL voor NAT gebruikt met toestemming ip kunt elk willekeurig u onvoorspelbare resultaten krijgen. Na 12.4(20)T kan NAT lokaal gegenereerde HSRP- en routingprotocolpakketten vertalen als ze naar de buiteninterface worden verzonden, evenals lokaal versleutelde pakketten die overeenkomen met de NAT-regel.

3. Wanneer u overlappende netwerken voor NAT hebt, gebruikt u thematch-in-vrfkeyword.

   U moet thematch-in-vrfkeyword toevoegen voor de overlappende VRF statische NAT-vermeldingen voor verschillende VRF-vermeldingen, maar het is niet mogelijk om globale en Vrf NAT-adressen te overlappen.

   Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf RED match-in-vrf
   

   Router(config)#ip nat inside source static 10.1.1.1 10.2.2.2 vrf BLUE match-in-vrf
   

4. NAT-pools met hetzelfde adresbereik kunnen niet worden gebruikt in verschillende VRF’s, tenzij thematch-in-vrfkeyword gebruikt. Voorbeeld:

     ip nat pool poolA 172.31.1.1 172.31.1.10 prefix-length 24
     ip nat pool poolB 172.31.1.1 172.31.1.10 prefix-length 24
     ip nat inside source list 1 poolA vrf A match-in-vrf
     ip nat inside source list 2 poolB vrf B match-in-vrf 
   

   Opmerking: zelfs als CLI-configuratie geldig is, zonder het match-in-vrf-trefwoord, wordt de configuratie niet ondersteund.

5. Wanneer u ISPs-taakverdeling met NAT-interfaceoverbelasting implementeert, is het beste gebruik om routekaart met interfaceovereenkomst via ACL-matching te gebruiken.

6. Wanneer u pool mapping gebruikt, moet u geen twee verschillende mapping (ACL of route-map) gebruiken om hetzelfde NAT-pooladres te delen.

7. Wanneer u dezelfde NAT-regels op twee verschillende routers in het failover-scenario implementeert, moet u HSRP-redundantie gebruiken.

8. Definieer niet hetzelfde interne algemene adres voor statische NAT en een dynamische groep. Dat kan tot ongewenste resultaten leiden.

Gerelateerde informatie

• Technische ondersteuning en documentatie – Cisco Systems