• No results found

ASR1K NAT zorgt er met tussenpozen niet voor dat sommige pakketten worden vertaald

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "ASR1K NAT zorgt er met tussenpozen niet voor dat sommige pakketten worden vertaald"

Copied!
6
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 6 pagina )

Hele tekst

(1)

ASR1K NAT zorgt er met tussenpozen niet voor dat sommige pakketten worden vertaald

Inhoud

Inleiding

Achtergrondinformatie

Demonstratie van NAT wordt omzeild

Verkeersstromen naar niet-NAT-bestemmingen

Verkeer van dezelfde bron probeert om NAT-bestemming te verzenden Herstel van het NAT-verkeer

Voorbeelden van de kwestie Workround/Fix

Oplossing 1 Oplossing 2 Oplossing 3 Samenvatting Referenties

Inleiding

Dit document beschrijft een situatie waarin pakketten die door Network Address Translation (NAT) op een Cisco 1000 Series aggregation services router (ASR1K) moeten worden vertaald, niet worden vertaald (NAT wordt omzeild). Dit kan verkeersstoring opleveren omdat de volgende hop waarschijnlijk niet is geconfigureerd voor verwerking van de onvertaalde pakketten.

Achtergrondinformatie

In softwarerelease 12.2(33)XND werd een functie met de naam NAT Gatekeeper geïntroduceerd en standaard ingeschakeld. NAT Gatekeeper is ontworpen om te voorkomen dat niet-NAT- gebaseerde stromen buitensporige CPU’s gebruiken in een poging om een NAT-vertaling te maken. Om dit te bereiken, worden twee kleine kooien (één voor in2out richting en één voor out2in richting) gecreëerd op basis van het bronadres. Elke cache-ingang bestaat uit een

bronadres, een virtuele routing en expediteur (VRF)-ID, een timer waarde (gebruikt om de ingang na 10 seconden ongeldig te maken) en een framenummer. Er zijn 256 inzendingen in de tabel die het cachegeheugen vormen. Als er meerdere verkeersstromen van hetzelfde bronadres zijn, waar sommige pakketten NAT vereisen en andere niet, kan het resulteren in pakketten die niet NAT-ed worden en door de router onvertaald worden verzonden. Cisco raadt aan dat klanten waar

mogelijk geen NAT-ed en niet-NAT-ed stromen op dezelfde interface moeten hebben.

Opmerking: Dit heeft niets te maken met H.323.

Demonstratie van NAT wordt omzeild

(2)

In dit gedeelte wordt beschreven hoe NAT kan worden omzeild vanwege de NAT gatekeeper functie. Bekijk het diagram in detail. U kunt zien dat er een bronrouter, een adaptieve security applicatie (ASA) firewall, ASR1K en de bestemmrouter zijn.

Verkeersstromen naar niet-NAT-bestemmingen

Ping wordt vanaf de bron gestart: Bron: 172.17.250.201 Bestemming: 198.51.100.11.

1.

Het pakket komt op de binneninterface van de ASA aan die bronadresvertaling uitvoert. Het pakket heeft nu Bron: 203.0.113.231 Bestemming: 198.51.100.11.

2.

Het pakket arriveert bij ASR1K op de NAT buitenkant tot binnen interface. NAT-vertaling vindt geen vertaling voor het doeladres en zo wordt het "out"-cache van de poorts ingevuld met het bronadres 203.0.113.231.

3.

Het pakje arriveert op de bestemming. De bestemming accepteert het ICMP-pakket (Internet Control Message Protocol) en retourneert een ICMP-ECHO-antwoord dat resulteert in het ping-succes.

4.

Verkeer van dezelfde bron probeert om NAT-bestemming te verzenden

.Ping wordt gestart vanaf de bron: Bron: 172.17.250.201 Bestemming: 198.51.100.9.

1.

Het pakket komt op de binneninterface van de ASA aan die bronadresvertaling uitvoert. Het pakket heeft nu Bron: 203.0.113.231 Bestemming: 198.51.100.9.

2.

Het pakket arriveert bij ASR1K op de NAT buitenkant tot binnen interface. NAT zoekt eerst naar een vertaling voor de bron en het doelwit. Aangezien het geen één vindt, controleert het het gatekeeper "out" cache en vindt het bronadres 203.0.113.231. Het (onjuist) veronderstelt dat het pakket geen vertaling nodig heeft en of het pakket doorgeeft als er een route voor de bestemming is of het pakje daalt. Hoe dan ook, de verpakking zal de bestemming niet

bereiken.

3.

Herstel van het NAT-verkeer

Na 10 seconden, de vermelding voor bronadres 203.0.113.231 keer in het gatekeeper out cache. Opmerking: De ingang bestaat nog fysiek in de cache, maar omdat het is verlopen, wordt het niet gebruikt.

1.

Als dezelfde bron op 172.17.250.201 naar NAT-eindbestemming op 198.51.100.9 wordt gestuurd. Als het pakje op de out2in-interface op de ASR1K aankomt, zal er geen vertaling gevonden worden. Wanneer u het gatekeeper out cache controleert, zult u geen actieve ingang vinden zodat u de vertaling voor de bestemming zult maken en zullen de pakketten lopen zoals verwacht.

2.

Het verkeer in deze stroom zal doorgaan zolang de vertalingen niet getimed zijn als gevolg van inactiviteit. Als in de tussentijd de bron opnieuw verkeer naar een niet-NAT-bestemming stuurt, waardoor een andere ingang in het gatekeeper out cache wordt opgevuld, heeft dit geen invloed op de ingestelde sessies, maar zal er een 10 tweede periode zijn waarin nieuwe sessies van dezelfde bron naar NAT-bestemmingen mislukken.

3.

(3)

Voorbeelden van de kwestie

Ping is in werking gesteld vanaf de bronrouter: Bron: 172.17.250.201 Bestemming:

198.51.100.9. De ping wordt uitgegeven met een herhalingstelling van twee, telkens meer [FLOW1].

1.

ping vervolgens een andere bestemming die niet door de ASR1K wordt geleid: Bron:

172.17.250.201 Bestemming:198.51.100.11 [STROOM2]. 

2.

Verstuur vervolgens meer pakketten naar 198.51.100.9 [FLOW1]. De eerste paar pakketten van deze stroom zullen NAT zoals gezien door de toegang-lijst die op de doelrouter aansluit omzeilen. 

3.

source#ping 198.51.100.9 source lo1 rep 2

Type escape sequence to abort.

Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:

Packet sent with a source address of 172.17.250.201

!!

Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms source#ping 198.51.100.9 source lo1 rep 2

Type escape sequence to abort.

Sending 2, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:

Packet sent with a source address of 172.17.250.201

!!

Success rate is 100 percent (2/2), round-trip min/avg/max = 1/1/1 ms source#ping 198.51.100.11 source lo1 rep 200000

Type escape sequence to abort.

Sending 200000, 100-byte ICMP Echos to 198.51.100.11, timeout is 2 seconds:

Packet sent with a source address of 172.17.250.201

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

(4)

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.

Success rate is 99 percent (3007/3008), round-trip min/avg/max = 1/1/16 ms source#ping 198.51.100.9 source lo1 rep 10

Type escape sequence to abort.

Sending 10, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:

Packet sent with a source address of 172.17.250.201 ...!!!!!!!

Success rate is 70 percent (7/10), round-trip min/avg/max = 1/1/1 ms source#

De ACL-wedstrijd op de doelrouter toont de drie mislukte pakketten die niet zijn vertaald:

Router2#show access-list 199 Extended IP access list 199

10 permit udp host 172.17.250.201 host 198.51.100.9 20 permit udp host 172.17.250.201 host 10.212.26.73 30 permit udp host 203.0.113.231 host 198.51.100.9

40 permit udp host 203.0.113.231 host 10.212.26.73 (4 matches) 50 permit icmp host 172.17.250.201 host 198.51.100.9

60 permit icmp host 172.17.250.201 host 10.212.26.73

70 permit icmp host 203.0.113.231 host 198.51.100.9 (3 matches) <<<<<<<

80 permit icmp host 203.0.113.231 host 10.212.26.73 (42 matches) 90 permit udp any any log (2 matches)

100 permit icmp any any log (4193 matches) 110 permit ip any any (5 matches)

Router2#

Op ASR1K kunt u de gatekeeper cache items controleren:

PRIMARY#show platform hardware qfp active feature nat datapath gatein Gatekeeper on

sip 203.0.113.231 vrf 0 cnt 1 ts 0x17ba3f idx 74 sip 10.203.249.226 vrf 0 cnt 0 ts 0x36bab6 idx 218 sip 10.203.249.221 vrf 0 cnt 1 ts 0x367ab4 idx 229

PRIMARY#show platform hardware qfp active feature nat datapath gateout Gatekeeper on

sip 198.51.100.11 vrf 0 cnt 1 ts 0x36db07 idx 60 sip 10.203.249.225 vrf 0 cnt 0 ts 0x36bb7a idx 217 sip 10.203.249.222 vrf 0 cnt 1 ts 0x367b7c idx 230

Workround/Fix

In de meeste omgevingen werkt de NAT gatekeeper functionaliteit prima en veroorzaakt geen problemen. Maar als je dit probleem wel oplossen, zijn er een paar manieren. 

Oplossing 1

De voorkeuroptie zou het upgraden van Cisco IOS® XE naar een versie zijn die de gatekeeper verbetering omvat:

Cisco bug-id CSCun06260 XE3.13 Gatekeeper hardend

Deze verbetering stelt NAT gatekeeper in staat om de bron en de doeladressen in het geheugen op te slaan en maakt de cachegrootte aanpasbaar. Om de uitgebreide modus aan te zetten, moet u de cachegrootte verhogen met deze opdrachten. Je kunt ook de cache controleren om te zien of je de grootte moet vergroten.

(5)

PRIMARY(config)#ip nat settings gatekeeper-size 1024 PRIMARY(config)#end

De uitgebreide modus kan worden geverifieerd door deze opdrachten te controleren:

PRIMARY#show platform hardware qfp active feature nat datapath gatein Gatekeeper on

sip 10.203.249.221 dip 10.203.249.222 vrf 0 ts 0x5c437 idx 631

PRIMARY#show platform hardware qfp active feature nat datapath gateout Gatekeeper on

sip 10.203.249.225 dip 10.203.249.226 vrf 0 ts 0x5eddf idx 631

PRIMARY#show platform hardware qfp active feature nat datapath gatein active Gatekeeper on

ext mode Size 1024, Hits 2, Miss 4, Aged 0 Added 4 Active 1

PRIMARY#show platform hardware qfp active feature nat datapath gateout active Gatekeeper on

ext mode Size 1024, Hits 0, Miss 1, Aged 1 Added 2 Active 0

Oplossing 2

Voor releases die de oplossing voor Cisco bug-ID CSCun06260 niet hebben, is de enige optie om de gatekeeper functie uit te schakelen. De enige negatieve impact zal een iets lagere prestatie zijn voor niet-NAT gerelateerd verkeer evenals een hoger CPU-gebruik op de Quantum Flow

Processor (QFP).

PRIMARY(config)#no ip nat service gatekeeper PRIMARY(config)#end

PRIMARY#PRIMARY#Sh platform hardware qfp active feature nat datapath gatein Gatekeeper off

PRIMARY#

Het gebruik van QFP kan met deze opdrachten worden gevolgd:

show platform hardware qfp active data utilization summary show platform hardware qfp active data utilization qfp 0

Oplossing 3

Verticale verkeersstromen worden gescheiden zodat NAT- en niet-NAT-pakketten niet op dezelfde interface arriveren.

Samenvatting

De opdracht NAT Gatekeeper werd geïntroduceerd om de prestaties van de router voor niet-NAT- verbonden stromen te verbeteren. Onder bepaalde omstandigheden kan deze functie problemen opleveren wanneer er een combinatie van NAT- en niet-NAT-pakketten uit dezelfde bron komt. De oplossing is om de verbeterde gatekeeper functionaliteit te gebruiken, of als dat niet mogelijk is, de gatekeeper optie uit te schakelen.

Referenties

(6)

Softwarewijzigingen waardoor de poortwachter kan worden uitgeschakeld:

Cisco bug-id CSCty67184 ASR1k NAT CLI - Gatekeeper aan/uit

Cisco bug ID CSCth23984 Kan cli toevoegen om nat gatekeeper functie in/uit te schakelen

NAT Gatekeeper versterking

Cisco bug-id CSCun06260 XE3.13 Gatekeeper hardend

Referenties

Download het nu ( PDF - 6 pagina - 336.35 KB )

GERELATEERDE DOCUMENTEN

Diasporic imaginaries : memory and negotiation of belonging in East African and South African Indian narratives

Asian East African narratives emerging from imperial metropolises that the diaspora rigorously reckons with the history of its complicity in British colonialism, espousal

Die effek van 'n beroepsvoorligtingsprogram op die loopbaanvolwassenheid van leerders van histories-benadeelde gemeenskappe in Suid-Afrika

Persone moet ‘n sterk behoefte hê om hul beroep te leer, asook goeie hand-oogkoördinasie, die vermoë om goed met hul hande te werk, praktiese aanleg, basiese wiskundige kennis en

‘DBFM gaat nat’

Er is wel een uniforme overtuiging dat de stapsgewijze aanpak met een constante aanvoer van projecten goed is (al dan niet met een wederzijdse leercurve), om zodoende de markt

Nat INHOUDSOPGAVE

neer zij van mening zijn dat een technisch voorschrift tot concurrentievervalsing zou kunnen leiden. Vorig jaar april besliste het Europees Hof van Justitie in

NAT .EN DROOG

de onderscheiding mag denken de Tories zowel als Labour beseffe~ in elk geval dat de Beatles een belang- rijke plaats innemen in het leven van de jeugd en dat

Een nat proefje (thema 12)

Mirjam: Volgens mij zit die schroef niet goed vast, hoor.. Mats: Wel

Word je nat?

Lees de zinnen aandachtig door en beantwoord met ja of nee:?. Word

Met een aangepaste hogedrukspuit minder fysieke belasting tijdens het reinigen van stallen

1: Een rechte spuitlans met fingertiphandgreep vergt minder spieractiviteit in de schouders en de onderarm dan een standaardhandgreep met schuine lans..