限制內部地址NAT轉換條目

限制內部地址NAT轉換條目

在配置NAT時有一條命令是限制主機的NAT轉換條目，可以分別限制所有主機、單個主機、匹配ACL主機的NAT轉換條目。雖然從理論上講，NAT表中的轉換條目的數量沒有限制；但是實際上，內存和CPU或者可用地址范圍或端口空間都會對轉換條目數量有限制。每一個NAT轉換條目大約用160字節的內存。在有些情況下，為了性能或者策略等原因，需要對條目數量進行限制。限制NAT轉換條目的命令格式如下：

Router(config)#ip nat translation max-entries {all-host | host ip-address | list list- number} number_of_entries

例如，命令ip nat translation max-entries host 192.168.1.2 100表示，將IP地址為192.168.1.2的主機的NAT轉換條目限制為100。

下面通過一個配置案例驗證ip nat translation max-entries命令。

圖8.1 限制每個地址的NAT轉換條目實驗拓撲圖

如圖8.1所示，在路由器R1上配置NAT，PC1為內網IP地址10.0.0.7/24，網關10.0.0.254/24；PC2網外地址為222.222.222.2/24，網關222.222.222.1/24。

配置信息，如下所示：

interface FastEthernet0/0

ip address 222.222.222.1 255.255.255.0

ip nat outside

!

interface FastEthernet0/1

ip address 10.0.0.254 255.255.255.0

ip nat inside

!

ip route 0.0.0.0 0.0.0.0 222.222.222.2

!

ip nat inside source list 1 interface FastEthernet0/0 overload

!

access-list 1 permit 10.0.0.0 0.0.0.255

配置完成后，在PC1上使用端口掃描軟件掃描PC2主機的1到1024端口，然后查看NAT轉換條目，如下所示：

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:3239 10.0.0.7:3239 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:3240 10.0.0.7:3240 222.222.222.2:2 222.222.222.2:2

tcp 222.222.222.1:3241 10.0.0.7:3241 222.222.222.2:3 222.222.222.2:3

tcp 222.222.222.1:3242 10.0.0.7:3242 222.222.222.2:4 222.222.222.2:4

…省略…

tcp 222.222.222.1:7368 10.0.0.7:7368 222.222.222.2:1021 222.222.222.2:1021

tcp 222.222.222.1:7369 10.0.0.7:7369 222.222.222.2:1022 222.222.222.2:1022

tcp 222.222.222.1:7370 10.0.0.7:7370 222.222.222.2:1023 222.222.222.2:1023

tcp 222.222.222.1:7371 10.0.0.7:7371 222.222.222.2:1024 222.222.222.2:1024

現在在路由器上配置，NAT轉換條目限制命令，限制PC1的NAT轉換條目為20條：

R1(config)#ip nat translation max-entries host 10.0.0.7 20

配置完成后，再次在PC1上使用端口掃描軟件掃描PC2主機的1到1024端口，然后查看NAT轉換條目， PC1的NAT轉換條目只有20條。

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:8428 10.0.0.7:8428 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:8429 10.0.0.7:8429 222.222.222.2:2 222.222.222.2:2

…省略…

tcp 222.222.222.1:8446 10.0.0.7:8446 222.222.222.2:19 222.222.222.2:19

tcp 222.222.222.1:8447 10.0.0.7:8447 222.222.222.2:20 222.222.222.2:20

在實際工作中可能由于病毒等原因的導致的NAT轉換條目占滿，通信出現故障。下面通過一個例子介紹出現NAT故障時，一般的處理流程。

例如：公司網絡使用正常，突然出現無法正常上網情況。由于之前網絡使用一直正常，所以網絡正常時的設備配置應該沒有問題，可以從設備配置的更改或物理鏈路等方面進行分析。

根據公司情況按如下方法進行檢查：

1、檢查內網是否正常，判斷交換機是否正常；

2、檢查網關設備的配置和操作記錄，查看配置是否被更改；

3、檢查從網關設備到運營商鏈路是否正常；

4、如果以上都正常，則在網關設備上使用show ip nat translations命令查看設備上是否存在NAT轉換表條目以確定是否NAT問題。檢查發現NAT轉換表條目已滿且有一個IP地址占用了很多NAT轉換表條目，這可能是由于病毒原因使得設備的NAT轉換表被占滿，導致內網訪問外網時無法進行NAT轉換；

5、 使用clear ip nat translation *命令清除NAT轉換表條目，故障清除網絡恢復正常；

6、網絡恢復后不久故障現象再次出現，通過show ip nat translations查看現象和步驟4一樣，則需要進一步對該主機進行檢查；

7、斷開有病毒的主機并進行殺毒，使用clear ip nat translation *命令，故障清除網絡正常；

8、為預防此故障再次發生可以使用ip nat translation max-entries all-host <1- 2147483647>命令限制所以主機的NAT轉換表條目數，此命令也有限制BT下載的功能；