限制内部地址NAT转换条目

限制内部地址NAT转换条目

在配置NAT时有一条命令是限制主机的NAT转换条目,可以分别限制所有主机、单个主机、匹配ACL主机的NAT转换条目。虽然从理论上讲,NAT表中的转换条目的数量没有限制;但是实际上,内存和CPU或者可用地址范围或端口空间都会对转换条目数量有限制。每一个NAT转换条目大约用160字节的内存。在有些情况下,为了性能或者策略等原因,需要对条目数量进行限制。限制NAT转换条目的命令格式如下:

Router(config)#ip nat translation max-entries {all-host | host ip-address | list list- number} number_of_entries

例如,命令ip nat translation max-entries host 192.168.1.2 100表示,将IP地址为192.168.1.2的主机的NAT转换条目限制为100。

下面通过一个配置案例验证ip nat translation max-entries命令。

图8.1 限制每个地址的NAT转换条目实验拓扑图

如图8.1所示,在路由器R1上配置NAT,PC1为内网IP地址10.0.0.7/24,网关10.0.0.254/24;PC2网外地址为222.222.222.2/24,网关222.222.222.1/24。

配置信息,如下所示:

interface FastEthernet0/0

ip address 222.222.222.1 255.255.255.0

ip nat outside

!

interface FastEthernet0/1

ip address 10.0.0.254 255.255.255.0

ip nat inside

!

ip route 0.0.0.0 0.0.0.0 222.222.222.2

!

ip nat inside source list 1 interface FastEthernet0/0 overload

!

access-list 1 permit 10.0.0.0 0.0.0.255

配置完成后,在PC1上使用端口扫描软件扫描PC2主机的1到1024端口,然后查看NAT转换条目,如下所示:

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:3239 10.0.0.7:3239 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:3240 10.0.0.7:3240 222.222.222.2:2 222.222.222.2:2

tcp 222.222.222.1:3241 10.0.0.7:3241 222.222.222.2:3 222.222.222.2:3

tcp 222.222.222.1:3242 10.0.0.7:3242 222.222.222.2:4 222.222.222.2:4

…省略…

tcp 222.222.222.1:7368 10.0.0.7:7368 222.222.222.2:1021 222.222.222.2:1021

tcp 222.222.222.1:7369 10.0.0.7:7369 222.222.222.2:1022 222.222.222.2:1022

tcp 222.222.222.1:7370 10.0.0.7:7370 222.222.222.2:1023 222.222.222.2:1023

tcp 222.222.222.1:7371 10.0.0.7:7371 222.222.222.2:1024 222.222.222.2:1024

现在在路由器上配置,NAT转换条目限制命令,限制PC1的NAT转换条目为20条:

R1(config)#ip nat translation max-entries host 10.0.0.7 20

配置完成后,再次在PC1上使用端口扫描软件扫描PC2主机的1到1024端口,然后查看NAT转换条目, PC1的NAT转换条目只有20条。

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

tcp 222.222.222.1:8428 10.0.0.7:8428 222.222.222.2:1 222.222.222.2:1

tcp 222.222.222.1:8429 10.0.0.7:8429 222.222.222.2:2 222.222.222.2:2

…省略…

tcp 222.222.222.1:8446 10.0.0.7:8446 222.222.222.2:19 222.222.222.2:19

tcp 222.222.222.1:8447 10.0.0.7:8447 222.222.222.2:20 222.222.222.2:20

在实际工作中可能由于病毒等原因的导致的NAT转换条目占满,通信出现故障。下面通过一个例子介绍出现NAT故障时,一般的处理流程。

例如:公司网络使用正常,突然出现无法正常上网情况。由于之前网络使用一直正常,所以网络正常时的设备配置应该没有问题,可以从设备配置的更改或物理链路等方面进行分析。

根据公司情况按如下方法进行检查:

1、检查内网是否正常,判断交换机是否正常;

2、检查网关设备的配置和操作记录,查看配置是否被更改;

3、检查从网关设备到运营商链路是否正常;

4、如果以上都正常,则在网关设备上使用show ip nat translations命令查看设备上是否存在NAT转换表条目以确定是否NAT问题。检查发现NAT转换表条目已满且有一个IP地址占用了很多NAT转换表条目,这可能是由于病毒原因使得设备的NAT转换表被占满,导致内网访问外网时无法进行NAT转换;

5、 使用clear ip nat translation *命令清除NAT转换表条目,故障清除网络恢复正常;

6、网络恢复后不久故障现象再次出现,通过show ip nat translations查看现象和步骤4一样,则需要进一步对该主机进行检查;

7、断开有病毒的主机并进行杀毒,使用clear ip nat translation *命令,故障清除网络正常;

8、为预防此故障再次发生可以使用ip nat translation max-entries all-host <1- 2147483647>命令限制所以主机的NAT转换表条目数,此命令也有限制BT下载的功能;

时间: 2024-10-25 05:37:53

限制内部地址NAT转换条目的相关文章

NAT转换,NAPA转换(详细步骤描述)

利用GNs3模拟实验 NAT转换(p1能ping通) 一.pc配置 Int fa1/0 (config-if)#ip add 192.168.10.1 255.255.255.0 (config-if)#exit (config)#no ip routing(关闭路由功能 ) (config)#end 二,R1配置 R1(config)#int f1/1 R1(config-if)#no shutdown R1(config-if)#ip add 192.168.10.254 255.255.2

铁通网络没有一个真实的公网IP,NAT转换能不能解决?

铁通网络没有一个真实的公网IP,NAT转换能不能解决? 我的是铁通宽带,现在想用自己的机子做一个动态主机,可是因为铁通垃圾网络的NAT转发问题,使用cn99qdns手动更新动态域名IP后公网能解析域名,但无法访问我的机子也无法ping通,这个问题谁帮我解决啊,谢谢哈.问题解决了之后另有重赏. 你首先确认你是否拥有外网IP.铁通有部分用户是共享上网,几百户一个共享一个外网IP. 现在的路由器上一般都有DMZ设置,你把你要对外网开放的主机设置成DMZ,即可PING通了. 到工信部网站http://w

网络设备配置与管理----使用NAT转换实现Internet接入

理论学习 问题1:简述网络接入分类? 网络接入   物理接入  拨号接入:XDSL.PSTN.ISDN.Cable 专线接入:物理专线:DDN.E1/T1 专线 逻辑专线:X25.Freame-Relay 虚拟专线:VPX 逻辑接入  互联上网 共享上网:NAT转换 传入转换 静态映射 端口映射 负载均衡 传出转换 静态映射 PAT转换 地址池 代理服务器 应用级 电路级 问题2:简述私有地址网络范围? A类:1.0.0.1~126.255.255.254 B类:128.1.0.1~191.25

NAT转换概述

NAT术语 Inside local address(内部本地地址): 一个Inside网络中的设备,在Inside的IP地址,即内部主机的实际地址 Inside global address(内部全局地址): 一个Inside网络中的设备,在Outside的IP地址,即内部主机经NAT转换后去往外部的地址 Outside local address(外部本地地址): 一个Outside网络中的设备,在Inside的IP地址,即外部主机由NAT设备转换后的地址 Outside global ad

NAT转换、VLAN与Trunk(特典:ACL初步)

一.NAT(网络地址转换) 即公有地址转换为私有地址 私有地址段(非公网地址,即公网不识别) A       10.0.0.0            10.255.255.255 B       172.16.0.0        172.31.255.255 C       192.168.0.0     192.168.255.255 NAT转换的方式: 一对一转换(静态NAT):即IP对IP(用于服务器挂载公网) 多对一转换(动态NAT):即IP集群对公网的借口(用于用户宽带上网) NAT

第一次接触实际环境---NAT转换

今天在技术群里,有个做软件的哥们公司里面要安装网络,就剩一个NAT了,后来我就主动接茬,其实没接触过真实的网络,第一次接触我也挺紧张的,第一次就这么破了^_^,其实很简单,但是我很高兴,那就给大家讲一下咯\(^o^)/~ 今天原本要用NAT的但是考虑到他公司的电脑多,没用NAT,用的PAT 先说一下NAT和PAT的区别吧 NAT的地址转换是指每个内网地址都被转换成ip地址+源端口的方式,这需要公网ip地址为多个.而PAT由于ip地址不足够,就会出现内网地址被转换成ip地址+端口段的形式,这样的公

NAT转换

静态转换 就是将内部网络的私有地址转换为公有合法的地址,IP地址的对应关系是一对一的,而且是不变的. 语法: Ip nat inside source static local-ip global-ip {extendable} ip nat inside source static 192.168.100.2 61.1.1.61 Int f0/0 Ip nat outside Int f0/1 Ip nat inside //将内部局部地址192.168.100.2转换为内部全局地址61.1.

解决网络通信中外网和内网之间的通信问题(NAT转换)

本文原址 http://www.cnblogs.com/lidabo/p/3828846.html 在网络编码中会发现程序在局域网中是可以适用的,但是在外网与内网之间和内网与内网之间就不可行.问题就在于NAT.首先介绍下NAT. NAT的作用NAT(Network Address Translator),网络地址转换.顾名思义,它是一种把内部私有网络IP地址翻译成公有网络IP地址的技术,如图5-1所示.NAT是在IP地址日益缺乏的情况下产生的,它的主要目的是使地址能够重用[9].  图5-1 N

花生壳2.0教程(解决NAT转换的问题)

文章背景: 之前写了一篇文章,讲述如何在自己的个人电脑上搭建一个个人网站. <创建一个完全由你主宰的网站(一)> 但是在个人电脑上搭建个人网站,外部的电脑是无法直接访问到我们的网站的.需要处理一个叫做NAT穿越的问题. 本文主要讲述如何用花生壳处理NAT穿越的问题. 一.概念性的问题 (1)NAT是什么 简单地说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将 内部地址替换成公用地址,从而在外部公网(in