分类: 系统运维
2011-10-20 10:41:48
使用“show ip nat translations”特权模式命令可以查看NAT路由器的NAT表项,以上配置的NAT配置如下:
NATrouter#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 172.16.131.1 10.10.10.1 --- ---
【注意】用以上命令查看时只能查看静态NAT条目。从以上输出中可以看出,内部全局地址被转换为内部本地址,也就是外部网络中的用户至上可以发送数据包到172.16.131.1,然后转换成本地地址10.10.10.1后再由InsideA路由器发送到内部网络。
“show ip nat translations”命令也是在特权模式下执行的,可以带许多参数和可选项,完整的命令格式如下:
show ip nat translations [inside global-ip] [outside local-ip] [esp] [icmp] [pptp] [tcp] [udp] [verbose] [vrf vrf-name]
命令中的参数和可选项说明如表5-11所示。
表5-11 “show ip nat translations”命令的参数和可选项说明
|
参数和可选项 |
说明 |
|
esp |
(可选)显示ESP(Encapsulating Security Payload,封装安全载荷)协议消息条目 |
|
|
(可选)显示ICMP(Internet Control Message Protocol,网际控制消息协议)消息条目。 |
|
global-ip |
(可选)仅显示指定的内部全局地址条目。 |
|
outside local-ip |
(可选)仅显示指定的外部本地地址条目。 |
|
|
(可选)显示PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)条目。 |
|
tcp |
(可选)显示TCP协议条目。 |
|
udp |
(可选)显示UDP协议条目。 |
|
|
(可选)显示每个转换表中条目的附加信息,如条目的创建时间,使用时长等。 |
|
vrf-name |
(可选)显示与VPN路由和转发相关的信息。 |
以下示例是执行不带参数的“show ip nat translations”命令的输出,仅显示了静态NAT列中的条目信息。
Router# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 10.69.233.209 192.168.1.95 --- ---
--- 10.69.233.210 192.168.1.89 --- --
以下示例显示了带有“verbose”关键字的“show ip nat translations”命令输出。输出中除了显示了基本的静态NAT表信息外,还包括了许多附加信息。
Router# show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
udp 172.16.233.209:1220 192.168.1.95:1220 172.16.2.132:53 172.16.2.132:53
create 00:00:02, use 00:00:00, flags: extended
tcp 172.16.233.209:11012 192.168.1.89:11012 172.16.1.220:23 172.16.1.220:23
create 00:01:13, use 00:00:50, flags: extended
tcp 172.16.233.209:1067 192.168.1.95:1067 172.16.1.161:23 172.16.1.161:23
create 00:00:02, use 00:00:00, flags: extended
以下示例显示了执行带“vrf”关键字的“show ip nat translations”命令的输出,除了显示基本的静态NAT表信息外,还显示了与PVN路由和转相关的信息。
Router# show ip nat translations vrf abc
Pro Inside global Inside local Outside local Outside global
--- 10.2.2.1 192.168.121.113 --- ---
--- 10.2.2.2 192.168.122.49 --- ---
--- 10.2.2.11 192.168.11.1 --- ---
--- 10.2.2.12 192.168.11.3 --- ---
--- 10.2.2.13 172.16.5.20 --- ---
Pro Inside global Inside local Outside local Outside global
--- 10.2.2.3 192.168.121.113 --- ---
--- 10.2.2.4 192.168.22.49 --- ---
我们可以通过一个简单的ping操作来测试一下上节介绍示例中的静态NAT转换的过程。
(1)在OutsideA路由器上对172.16.131.1这个全局地址进行ping操作,结构显示如下:
outsideA#ping 172.16.131.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms
(2)在NAT路由器上执行“debug ip nat”命令,查看NAT转换的过程。具体输出如下:
NATrouter#debug ip nat
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]
如果上述拓扑结构中,通信仅是由内部网络发起的,则采用动态NAT更适合。但如果要接收来自外部网络对内部网络设备(如邮件服务器)的访问,则需要配置静态NAT。但如果你没有其他的全局地址用于转换,则可以使用重载(Overloading)NAT,使所有内部网络用户使用一个路由器接口上现有的全局地址进行转换。这时在NAT路由器上的静态NAT部分配置如下所示。
ip nat inside source list 7 interface serial 0 overload
ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25
interface e 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
interface s 0
ip address 172.16.130.2 255.255.255.0
ip nat outside
access-list 7 permit 10.10.10.0 0.0.0.255
ip route 0.0.0.0 0.0.0.0 172.16.130.1
在以上配置中,所配置的全局地址是NAT路由器s0接口上的IP地址。这就意味着内部网络中的多个用户可以动态地转换到同一个全局地址(s0接口地址)。另外,这里配置的是静态NAT,可以使从10.10.10.1:25接口发送来的邮件通信包被转换到s0接口IP地址的25号端口上。因为有了这个NAT条目,邮件服务器可以发起到达172.16.131.254这个全局地址的邮件通信。但尽管可以在静态和动态NAT中使用相同的全局地址,但是最好还是使用不同的全局地址。
这时在NAT路由器执行“show ip nat translations”特权模式命令,就可以显示出所配置的静态NAT条目,如下所示。
NATRouter#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 172.16.130.2:25 10.10.10.1:25 --- ---
当在OutsideA路由器发起向InsideA路由器的Ping操作,然后在NAT路由器上执行“debug ip nat”特权模式命令,即可查看到这个静态NAT的转换过程。具体如下所示:
04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9919]
04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]
04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]
04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]
04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]
04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]
04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]
04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]
04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]
04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5]
04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931]
04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]
04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935]
04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]
