cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

NAT Dinámico falla eventualmente y se corrige con estático - Troubleshooting

Solicito ayuda con el siguiente problema:

El día de hoy me reportaron que en mi red no podían navegar algunos equipos. Al revisar detecté que el problema estaba relacionado con el NAT. El nat es Dinámico utilizando pool de 1 dirección para cada red. Al retiar el equipo del NAT dinámico y aplicarle un NAT estático con la misma dirección pública, comenzó a funcionar. 

Dispongo de un enrutador Cisco ISR 4451X conectado a una WAN (Internet) y 1 segmento de direcciones públicas de 254 direcciones. El servicio de internet se entrega a aproximadamente 7000 clientes. Se configuraron 64 segmentos de red con direccionamiento privado clase C y cada segmento privado hace NAT con una dirección pública, es decir:

Lan1 - NAT con publica 1

Lan2 - NAT con publica 2

Lan3 - NAT con publica 3

....

Lan64 - NAT con publica 64

De esta forma, se utiliza 1 dirección pública por cada 254 direcciones de Host para un total de 64 públicas en uso y un máximo disponible de 16254 direcciones de HOST. La utilización de cada segmento es del 50%

He configurados los parámetros globales del NAT de esta forma:

ip nat translation tcp-timeout 1800
ip nat translation udp-timeout 1800
ip nat translation icmp-timeout 1800
ip nat translation max-entries 200000

La configuración del NAT está definida por:

INTERFACES

Interface a la LAN - NAT Inside

Interface a la WAN - NAT Outside

POOL DEL NAT

ip nat pool LAN1 X.X.X.1 XX.X.X.1 netmask 255.255.255.0

ip nat pool LAN2 X.X.X.2 XX.X.X.2 netmask 255.255.255.0

....

ip nat pool LAN64 X.X.X.64 XX.X.X.64 netmask 255.255.255.0

LISTAS DE LOS POOL DE NAT

ip nat inside source list 1 pool LAN1 overload

ip nat inside source list 2 pool LAN2 overload

...

ip nat inside source list 64 pool LAN64 overload

EJEMPLO DE LISTAS

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 1 permit 192.168.2.0 0.0.0.255

...

access-list 64 permit 192.168.64.0 0.0.0.255

El NAT dinamico funciona bien y los equipos tienen navegación, sin embargo algunos PCs en cada RED pierden navegación y si les aplico un NAT estático con la misma IP operan normalmente.

Al revisar el resultad del comando "Show ip nat statistics" encuentro que algunas redes tienen estos parámetros altos:

[Id: 1] access-list 1 pool LAN1 refcount 46
pool LAN1: id 1, netmask 255.255.255.0
start X.X.X.1 end X.X.X1
type generic, total addresses 1, allocated 1 (100%), misses 32

[Id: 2] access-list 2 pool LAN2 refcount 18
pool LAN2: id 2, netmask 255.255.255.0
start X.X.X.2 end X.X.X2
type generic, total addresses 1, allocated 1 (100%), misses 40

Tengo las siguientes preguntas:

1. Es probable que el NAT se esté quedando sin capacidad en cada red LAN?

2. Debería colocar mas direcciones públicas por menos direcciones privadas? Existe alguna recomendación? Cuantas privadas para cada pública?

3. Cual es el significado real los parámetros "Refcount", "Allocated", Misses" en la salida del "Show ip NAT translation"

4. Los parámetros globales están bien definidos?

5. Que mas me recomiendan que deba revisar?

Muchas gracias por la ayuda.

AECR

3 RESPUESTAS

Puede ser que la dirección IP

Puede ser que la dirección IP asociada al segmento de red no este siendo suficiente, la dirección IP enmascara las peticiones de tu segmento a través sesiones basadas en números de puerto.

Si alguna de las maquinas internas genera demasiadas peticiones puede consumir la totalidad de puertos que tiene la IP que hace el NAT por lo cual no puede brindar servicios a los otros equipos
Prueba agregando una dirección mas a ese Pool.

Saludos

New Member

Hola Osvaldo, muchas gracias

Hola Osvaldo, muchas gracias por tu respuesta.

Precisamente fue uno de los correctivos que tomé, asigné 2 direcciones públicas por pool, sin embargo, me queda la duda si existe otro motivo distinto que generó el problema y como saberlo. Es probable que sea algún Malware generando ataque desde la red y precisamente se consuma todo el pool de puertos hasta el punto que otra IP no pueda abrir nuevas conexiones.

Existirá alguna forma de restringir para que una IP no pueda generar apertura excesiva de puertos o limitarlo?

Gracias

Pudieras utilizar el comando

Pudieras utilizar el comando ip nat translation max-entries ya sea solo para ese host o un rango de ellos mediante una access-list, no he tenido la oportunidad de probarlo pero tengo entendido que su funcion es limitar la cantidad de sesiones que se generan para un equipo.

Saludos

125
Visitas
10
ÚTIL
3
Respuestas
CrearPor favor para crear contenido