温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

限制内部地址NAT转换条目

发布时间:2020-07-24 09:51:14 来源:网络 阅读:405 作者:hcwj 栏目:网络安全

限制内部地址NAT转换条目

在配置NAT时有一条命令是限制主机的NAT转换条目,可以分别限制所有主机、单个主机、匹配ACL主机的NAT转换条目。虽然从理论上讲,NAT表中的转换条目的数量没有限制;但是实际上,内存和CPU或者可用地址范围或端口空间都会对转换条目数量有限制。每一个NAT转换条目大约用160字节的内存。在有些情况下,为了性能或者策略等原因,需要对条目数量进行限制。限制NAT转换条目的命令格式如下:

Router(config)#ip nat translation max-entries {all-host | host ip-address | list list- number} number_of_entries

例如,命令ip nat translation max-entries host 192.168.1.2 100表示,将IP地址为192.168.1.2的主机的NAT转换条目限制为100。

下面通过一个配置案例验证ip nat translation max-entries命令。

限制内部地址NAT转换条目

图8.1 限制每个地址的NAT转换条目实验拓扑图

如图8.1所示,在路由器R1上配置NAT,PC1为内网IP地址10.0.0.7/24,网关10.0.0.254/24;PC2网外地址为222.222.222.2/24,网关222.222.222.1/24。

配置信息,如下所示:

interface FastEthernet0/0

ip address 222.222.222.1 255.255.255.0

ip nat outside

!

interface FastEthernet0/1

ip address 10.0.0.254 255.255.255.0

ip nat inside

!

ip route 0.0.0.0 0.0.0.0 222.222.222.2

!

ip nat inside source list 1 interface FastEthernet0/0 overload

!

access-list 1 permit 10.0.0.0 0.0.0.255

配置完成后,在PC1上使用端口扫描软件扫描PC2主机的1到1024端口,然后查看NAT转换条目,如下所示:

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:3239 10.0.0.7:3239 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:3240 10.0.0.7:3240 222.222.222.2:2 222.222.222.2:2

tcp 222.222.222.1:3241 10.0.0.7:3241 222.222.222.2:3 222.222.222.2:3

tcp 222.222.222.1:3242 10.0.0.7:3242 222.222.222.2:4 222.222.222.2:4

…省略…

tcp 222.222.222.1:7368 10.0.0.7:7368 222.222.222.2:1021 222.222.222.2:1021

tcp 222.222.222.1:7369 10.0.0.7:7369 222.222.222.2:1022 222.222.222.2:1022

tcp 222.222.222.1:7370 10.0.0.7:7370 222.222.222.2:1023 222.222.222.2:1023

tcp 222.222.222.1:7371 10.0.0.7:7371 222.222.222.2:1024 222.222.222.2:1024

现在在路由器上配置,NAT转换条目限制命令,限制PC1的NAT转换条目为20条:

R1(config)#ip nat translation max-entries host 10.0.0.7 20

配置完成后,再次在PC1上使用端口扫描软件扫描PC2主机的1到1024端口,然后查看NAT转换条目, PC1的NAT转换条目只有20条。

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:8428 10.0.0.7:8428 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:8429 10.0.0.7:8429 222.222.222.2:2 222.222.222.2:2

…省略…

tcp 222.222.222.1:8446 10.0.0.7:8446 222.222.222.2:19 222.222.222.2:19

tcp 222.222.222.1:8447 10.0.0.7:8447 222.222.222.2:20 222.222.222.2:20

在实际工作中可能由于病毒等原因的导致的NAT转换条目占满,通信出现故障。下面通过一个例子介绍出现NAT故障时,一般的处理流程。

例如:公司网络使用正常,突然出现无法正常上网情况。由于之前网络使用一直正常,所以网络正常时的设备配置应该没有问题,可以从设备配置的更改或物理链路等方面进行分析。

根据公司情况按如下方法进行检查:

1、检查内网是否正常,判断交换机是否正常;

2、检查网关设备的配置和操作记录,查看配置是否被更改;

3、检查从网关设备到运营商链路是否正常;

4、如果以上都正常,则在网关设备上使用show ip nat translations命令查看设备上是否存在NAT转换表条目以确定是否NAT问题。检查发现NAT转换表条目已满且有一个IP地址占用了很多NAT转换表条目,这可能是由于病毒原因使得设备的NAT转换表被占满,导致内网访问外网时无法进行NAT转换;

5、 使用clear ip nat translation *命令清除NAT转换表条目,故障清除网络恢复正常;

6、网络恢复后不久故障现象再次出现,通过show ip nat translations查看现象和步骤4一样,则需要进一步对该主机进行检查;

7、断开有病毒的主机并进行杀毒,使用clear ip nat translation *命令,故障清除网络正常;

8、为预防此故障再次发生可以使用ip nat translation max-entries all-host <1- 2147483647>命令限制所以主机的NAT转换表条目数,此命令也有限制BT下载的功能;

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI