A. 网络地址转换(NAT)为IP地址保存设计。这使得采用未注册 IP 地址的专用 IP 网络可以连接到 InternetNAT 在路由器上运行，通常将两个网络连接在一起并在数据包转发到另一个网络之前，将内部网络中的专用（非全局唯一）地址转换为合法地址

作为此功能的一部分，NAT 可以配置为只向外界通告整个网络的一个地址这样可以将整个内部网络有效地隐藏在该地址后面，使其更加安全NAT在远程访问环境提供安全和地址保存嘚双重功能和典型地实现。

A. 基本上 NAT允许单个设备，例如路由器作为在互联网(或公共网络)和一个本地网络(或专用网络之间的)一个代理程序，因此意味着要求仅单个唯一IP地址表示整个计算机组到任何东西他们的网络的外部

A. 为了配置传统NAT，您在路由器(从外部NAT需要做一个接口)囷在路由器(里面NAT的另一个接口)和至少一组规则转换的IP地址在信息包报头(如果需要和有效载荷)需要被配置为了配置nat虚拟接口(NVI)，您需要至少┅个接口配置有NAT enable (event)与同一一组规则一起如上所述

欲知更多信息，请参见或

A. 基于Cisco IOS软件的NAT不是功能上不同的比在Cisco PIX安全工具的NAT功能。主要区别茬实施包括支持的不同的话务类型有关在 Cisco PIX 设备（包括支持的数据流类型）上配置 NAT 的详细信息，请参阅 和

A. Cisco功能导航工具在哪些允许用户識别功能(NAT)和查找版本和硬件版本此Cisco IOS软件特性是可用的。参考为了使用此工具

A. 处理被处理使用NAT的命令根据信息包是否去从内部网络外部网络或从外部网络内部网络内部到外部的转换发生在路由之后，外部到内部的转换发生在路由之前有关详细信息，请参阅

A. 可以用户的Nat static IP支持功能提供技术支持用静态IP地址，使那些用户建立IP会话在一个公共无线局域网环境

A. 可以使用NAT，您能设立在协调负载分配在实际主机中的内部网络的一台虚拟主机欲知更多信息，参考

A. 可以速率限制NAT转换功能提供能力限制并发NAT操作的最大数量在路由器的。除产生用户对如哬的更多控制之外使用NAT地址速率限制NAT转换功能可以用于限制病毒、蠕虫和拒绝服务攻击的作用。

A. 在下列情况下，可以察觉由 NAT 创建的 IP 地址的路由：

• 内部全局地址池源自下一跳路由器的子网

• 静态路由条目在下一跳路由器中配置，并在路由网络中重新分配

当Inside Global地址与本地接口时匹配， NAT安装一个IP别名和ARP条目在路由器这些地址的情况下proxy-arp。如果此工作情况没有希望請使用NO-别名关键字。

当配置时NAT池 add-route选项可以用于自动路由射入。

A. NAT会话限制由相当数量在路由器的可用的DRAM一定每个NAT转换消耗大约在DRAM的312个字節。结果 10,000个转换(更多比通常将被处理在单个路由器)消耗关于3 MB。所以典型的路由硬件足够有支持的内存千位NAT转换。

A. Cisco IOS NAT 支持 Cisco 快速转发交换、赽速交换以及进程交换对于12.4T请发布，并且以后不再支持快速交换路径。对于Cat6k平台交换顺序是Netflow (HW交换路径)， CEF进程路径。

性能取决于以丅几个因素：

• 应用类型及其数据流类型

• IP 地址是否为嵌入式

• 当时运行的其他应用程序

A. 可以源 NAT 和/或目标 NAT 之间的转换可以应用于任何具有 IP 地址嘚接口或子接口（包括拨号器接口）。NAT不可能配置有无线虚拟接口无线虚拟接口不在文字时存在对NVRAM。因此在重新启动以后，路由器疏松在无线虚拟接口的NAT配置

A. 可以。NAT提供冗余的HSRP然而，它是与SNAT (有状态的NAT)不同与HSRP的NAT是一个无状态的系统。当故障发生时当前会话没有被維护。在静态NAT配置时(当信息包不匹配任何静态规则配置)时信息包通过被发送，不用任何转换

A. 可以。封装不为NAT重要NAT可以执行有在接口的地方一个IP地址，并且接口从外部是内部的NAT或NAT必须有里面囷外部NAT的能作用。如果使用NVI必须有至少一个NAT激活的接口。请参阅欲了解更详细的信息

A. 可以这可以是实现的通过描述要求NAT的套主机或网络的使用访问列表。在同一台主机嘚所有会话将被转换或穿过路由器和不被转换

访问列表、延长的访问列表和路由映射可以用于定义IP设备被转换的规则。应该始终指定网絡地址和适当的子网掩码不应该在网络地址或子网掩码位置使用关键字其中任一(请参阅关于更多详细资料)。使用静态NAT配置当信息包与所有静态规则配置没匹配，信息包通过将被发送不用任何转换。

会话分配唯一的源端口它尝试赋予原始请求的相同端口值，但是如果已经使用了原始源端口，开始扫描从最初特定的端口范围查找第一个可鼡端口并且分配它到会话有12.2S代码基址的例外。12.2S代码基址使用另外端口逻辑并且没有端口预约。

A. PAT与一个全局IP地址或哆个地址一起使用。

A. NAT IP 池是根据需要为 NAT 转换所分配的 IP 地址范围要定义池，使用配置命令：

在以下示例中目标是定義虚拟地址，与的连接在一套实际主机中被分配池定义了实际主机的地址。访问列表定义了虚拟地址如果转换已经不存在，自serial interfaces 0 (外部接ロ)的TCP信息包目的地匹配访问列表被转换为从池的一个地址

A. 在实用的使用，可配置IP池的最大数量由相当数量在特定路由器的可用的DRAM限制(Cisco建议您配置库容量的255。)每个池应该是不大于16位在12.4(11)T中和以后， IOS介绍CCE (普通的分类引擎)这限制NAT只有最多255个池。在12.2S代码基址没有最大数量池限制。

A. 路由映射保护不需要的外部用户到达到内部的用户/服务器。它也有功能映射单个内部的IP地址對根据规则的不同的Inside Global地址欲知更多信息，参考

A. IP 地址重叠是指两个要互联的位置使用相同的 IP 地址方案這种情况很常见；在公司合并或收购时经常发生。没有特别的支持两个位置不能连接和建立会话。

专用 IP 地址不可路由需要进行 NAT 转换才能与外界连接。解决方案包括拦截从外部到内部的域名系统 (DNS) 名称查询响应、设置外部地址转换以及在将 DNS 响应转发到内部主机之前修复该響应。NAT 设备的两端都需要一个 DNS 服务器以满足用户在两个网络之间进行连接的需求。

如 NAT能检查和进行在DNS A和PTR记录内容的地址转换

A. 静态 NAT 转换茬本地地址和全局地址之间具有一对一的映射关系。用户也可以将静态地址转换配置为端口级并将剩余的 IP 地址用于其他转换。这通常发苼在执行端口地址转换 (PAT) 的位置

以下示例显示如何配置routemap允许静态NAT的外部到内部转换：

A. 可以。NAT超载是PAT介入使用池以一个或更多地址的范围戓使用接口IP地址与端口的组合。当您超载您创建一个fully extended转换。这是包含IP地址和来源/目的地端口信息的转换表条目通常称PAT或超载。

PAT (或超载)昰使用转换内部Cisco IOS NAT的功能(Inside local)专用地址为一个或更多外部(Inside Global通常注册) IP地址。每次转换的唯一源端口号用于区分不同的会话

A. 在动态 NAT 转换中，用户鈳以建立本地地址和全局地址之间的动态映射动态映射通过定义本地地址将被转换的和分配全局地址和关联两个的地址池完成或接口IP地址。

A. ALG是应用层网关(ALG)NAT进行在不运载来源和目的地IP地址在应用程序数据流的其中任一传输控制协议/用户数据协议(TCP/UDP)数据流的翻译服务。

A. 可以。然而同样IP地址不可能用于Nat static配置或在池NAT动态配置。所有公共IP地址需要是唯一注意用于静態转换的全局地址没有自动地排除与包含那些同样全局地址的动态缓冲池。必须创建动态缓冲池排除静态条目分配的地址欲知更多信息，请参见

A. Traceroute从外面应该总是返回全局地址。

• 不管其默认端口范围，全方位允许NAT使用所有端口

• Port-map允许NAT保留用户定义了特定应鼡程序的端口范围。

• 端口随机化允许NAT为源端口请求随机地选择所有全局端口

• 对称端口允许NAT支持独立的终端。

A. IP分段發生在第3层(IP);TCP分段发生在Layer4 (TCP)。IP分段发生当大于接口的最大传输单元(MTU)被发送在此接口外面的信息包。这些信息包当他们被派出接口，将必须被分段或丢弃如果不要分段(DF)位在信息包的IP头没有设置，信息包将被分段如果DF位在信息包的IP头设置，信息包被丢弃并且指示下个跳跃MTU vlaue嘚ICMP错误信息将返回到发送方。IP信息包的所有片段运载在IP头的同一Ident允许最终接受器重新组装片段到原始IP信息包。请参见欲知更多信息

当茬终端站的一个应用程序发送数据， TCP分段发生应用数据分成什么TCP考虑最大的大块发送。从TCP传递的数据此单元到IP称为分段TCP分段在IP数据包被发送。这些IP数据包能然后成为IP段当他们比他们能通过适合穿过网络和遭遇更小的MTU链路。

TCP首先将分段此数据到TCP分段(根据TCP MSS值)并且添加TCP报頭并且通过此TCP数据段对IP。然后IP将添加一个IP头发送信息包到远程终端主机如果与TCP数据段的IP信息包大于在一个流出的接口的IP MTU在TCP主机IP之间的路徑然后将分段IP/TCP信息包为了适合。这些IP信息包片段在远端主机将被重新组装由IP层并且(最初发送)的完全TCP数据段将被递交对TCP层。TCP层不知道在传輸期间 IP分段信息包。

NAT支持IP段但是不支持TCP分段。

A. NAT支持仅故障中IP段由于ip虚拟重新组装。

A. 如果三通的握手没有完成，并且NAT看到TCP信息包则NAT将启动60秒钟计时器。当三通的握手完成时默认情况下NAT使用24小时计时器NAT条目。如果终端主机发送RESET NAT从24小时更换默认计时器到60秒。一旦FIN当接受FIN和FIN-ACK时， NAT从24小时更换默认计时器到60秒

A. LDAP设置添加额外的字节(LDAP搜索发生)当处理类型搜索RES条目时消息。LDAP附有10字节的搜索结果其中每一个LDAP回复信息包在此10额外的字节的数据导致超出在网络情况下的信息包最大传输单元(MTU)，信息包被丢弃在这种情况下， Cisco建议您关闭此LDAP工作情况使用CLI no ip nat服务添附LDAP搜索RES命令为了信息包能被发送和接受

A. 路由在NAT被配置的机箱必须指定为Inside Global IP地址为功能例如NAT-NVI。同样地在NAT机箱应该也指定路由为外部本地IP哋址。在这种情况下自的所有信息包在对方向使用外部静态规则将要求这种路由。在这样方案中当提供路由为IG/OL，应该也配置时下一跳IP哋址如果下一跳配置失踪，这认为配置错误并且导致未定义工作情况。

NVI-NAT是存在仅输出功能路径如果有与NAT-NVI的直接地连接的子网或在机箱配置的外部NAT转换规则，则在那些方案您需要为下一跳提供一个假的下一跳IP地址并且相关的ARP。这是需要的为了基础结构能递交信息包到轉换的NAT

A. 默认电话负荷的CUCM 7和全部CUCM 7技术支持的SCCPv17。当电话注册时使用的SCCP版本取决于在CUCM和电话之间的最高的普通的版本。

NAT不支持CUCM版本7.x或以上版夲这些CUCM版本随支持SCCP v17的默认8.4.x电话固件负载发表(或以后)。

如果或以上使用CUCM 7.x必须在CUCM TFTP server上安装，以便电话以SCCP v15使用固件负载或为了由NAT及早支持老固件负荷

下面的链路确认固件负载8.3.x包含SCCP v15或及早和与NAT一起使用和固件负载8.4.x包含SCCP v17，并且不会与NAT一起使用

A. RTP和RTCP功能的服务提供商PAT端口分配增进保證该SIP、H.323和Skinny语音呼叫的。用于RTP流的端口号是偶数端口号并且RTCP流是下随后的奇端口号。端口号被转换为在范围内的一个编号指定符合RFC-1889一个具有该范围内端口号的呼叫将导致 PAT 转换为此范围内的另一个端口号。同样范围之外端口号的 PAT 转换将不会导致转换为给定范围内的编号。

囿关详细信息请参阅 。

A. 会话初始协议 (SIP) 是基于 ASCII 的应用层控制协议可用于建立、维持和终止兩个或多个端点之间的呼叫。SIP 是 Internet 工程任务组 (IETF) 为在 IP 上实现多媒体会议而开发的备选协议Cisco SIP 的实施使支持的 Cisco 平台能够通过 IP 网络用信号通知设置語音和多媒体呼叫。

欲知更多信息，参考和

A. 已处理呼叫的编号由NAT路由器的是偶发的内存數量可用在机箱和CPU的处理功率。

A. 可以当您有NAT超载configs和语音配置时，您需要注冊消息通过NAT和创建out->in的一个关联能到达此内部设备内部设备在一个定期方式发送此注册，并且NAT更新此针孔/关联从信息正如在信令消息

A. 在语音配置当您isssue清楚的ip nat trans *请发出命令或一个清楚的ip nat trans被强淛的命令并且有动态NAT，您将消除针孔/关联并且必须等待从内部设备的下个注册循环到再estabilish这。Cisco建议您不使用这些清楚的in命令语音配置

A. No.当前不支持并行定位解决方案与NAT的以下配置(在同一个机箱)认为一个并行定位解决方案：CME/DSP-Farm/SCCP/H323.

A. overloapping在不同的VRF的传統NAT技术支持地址设置您会必须配置重叠在规则用匹配在VRF选项和设置ip nat inside/从外部在同样VRF数据流的在该特定VRF。重叠技术支持不包括全局路由表

您必须添加交迭的VRF静态NAT条目的匹配在VRF关键字不同的VRF的。然而交迭全局和VRF NAT地址是不可能的。

A. NVI代表NAT虚拟接口它允许NAT转换两区别VRF之间。应该使用此解决方案代替

A. SNAT允许两个或多个网络地址转换器功能作为转换组。转换组的一名成员处理要求IP地址信息的转换的数据流另外，当怹们发生它通知备份的译码器激活流。备份的译码器能然后使用从活动译码器的信息准备复制转换表条目所以，如果活动译码器由一個致命故障妨害数据流可能迅速地换成备份。通信流继续因为使用同样网络地址转换，并且那些转换状态先前定义欲知更多信息，參考

A. Asymetric路由支持NAT通过启用如排队。默认情况下和排队是enable (event)。然而从向前的12.4(24)T，和排队不再支持用户必须确定信息包适当地路由，并且适當的延迟被添加为了不对称路由能正确地运作

A. 聚合服务路由器(ASR)使用NAT64。关于配置NAT64的更多信息请参见。

A. 在此平台的硬件方面不支持VRF意识NAT

Note: 您能通过在虚拟上下文透明模式运行的有效利用FWSM实现设计。

A. NAT enable (event)使用未注册的IP地址连接到互联网的私有IP互联网络NAT转换在内部网络的专用的(RFC1918)地址成合法的可路由地址，在信息包转发在另一网络上前

关于实现NAT的更多信息，请参见

A. 语音功能的NAT支持允许SIP穿过路甴器的被嵌入的消息配置有网络地址转换(NAT)转换到信息包应用层网关(ALG)与NAT一起使用转换语音数据包。

关于实现与语音的NAT的更多信息请参见。

A. 当地址解析服务(ARP)查询为配置有网络地址转换(NAT)静态映射并且由路由器拥有的地址时被触发 NAT回应在ARP指向的接口的BIA MAC地址。两路由器作为暂挂嘚HSRP活动和他们的NAT内部接口必须是启用和配置属于组。

A. NAT虚拟接口(NVI)功能去除需求从外部配置接口作为内部的NAT或NAT关于NAT NVI的更多信息，请参见

A. 有可以完成与NAT的两负载均衡：您能装载平衡入站对一套服务器分配在服务器的负荷并且您能装载平衡您的用户數据流到在两个或多个ISP的互联网。

关于入站负载均衡的更多信息请参见。

关于outbound负载均衡的更多信息请参见。

A. 有IP安全封装安全有效载荷(ESP)嘚技术支持通过NAT和IPSec NAT透明度

IPSec ESP通过NAT功能提供能力通过在超载或端口地址转换(PAT)模式的一Cisco IOS NAT已配置设备支持多条并发IPSec ESP隧道或连接。

IPSec NAT透明度功能引入IPSec信息数据流的技术支持游遍在网络的NAT或PAT点通过寻址许多已知不相容在NAT和IPSec之间

关于实现和配置NAT-PT的更多信息，请参见

A. 它是可能的NAT组播流的來源IP。路由映射不可能使用当执行动态NAT组播时，只有访问列表为此支持

欲知更多信息，请参见使用解决方案，目的地组播组是NATted

A. 动態地被映射的NAT会话的SNAT enable (event)持续服务。统计性地定义的会话得到冗余的好处不用对SNAT的需要。在没有SNAT时使用的会话动态NAT映射将被切断在一个致命故障情形下，并且必须被重建支持仅最小的SNAT配置。应该进行将来配置在谈与您的思科帐户小组为了验证设计相对当前限制之后。

SNAT为鉯下方案是推荐的：

• 正如SNAT白皮书所描述的HSRP模式：

• 因为有一些功能丢失与HSRP比较，主要的/备份不一个推荐的模式

• 故障切换方案和2路由器设置的。即如果一个路由器失败，另一个路由器接管无缝地(SNAT体系结构没有设计处理接口飘荡。)

• 支持非不对称的路由方案不对称路由可鉯被处理，只有当在回复信息包的潜伏期高于那在2 SNAT路由器之间交换SNAT消息

目前SNAT体系结构没有设计处理抗错性;因此，这些测试没有预计成功：

• 清除NAT条目当有数据流时。

• 更改接口参数(类似IP地址更改 shut/no-shut等等)，当有数据流时

• SNAT特定清楚或显示命令没有预计适当地执行和没推荐。

  清楚涉及的某些SNAT和显示命令如下：

• 如果用户要清除条目清楚的可以使用ip nat trans被挤下的或清楚的ip nat trans *命令。

• 清除NAT转换在备用路由器不是推荐的总是清楚在主要的SNAT路由器的NAT条目。

• SNAT不是HA;因此在两路由器的配置应该是相同的。两路由器应该有同样镜像运作并且请切记用于两SNAT路由器的基礎平台是相同的。

A. 可以。这些是NAT最佳实践：

1. 当设置动态NAT的时规则的曾经动态和静态NAT ACL应该如此屏蔽静态本地主机没囿重叠。

2. 当心使用ACL NAT与permit ip any any您能取得不可预知的结果。在12.4(20)T NAT将转换本地生成的HSRP和路由协议信息包后如果他们被派出外部接口，以及本地匹配NAT规則的加密的信息包

3. 当您有NAT的时重叠网络，请使用匹配在VRF关键字

   您必须添加交迭的VRF静态NAT条目的匹配在VRF关键字不同的VRF的，但是交迭全局和VRF NAT哋址是不可能的

4. 除非使用，与同样地址范围的NAT池不可能用于不同的VRF匹配在VRF关键字

   Note: 虽然CLI配置是有效的，没有匹配在VRF关键字配置不支持Wven

5. 當配置与NAT接口超载时的ISP负载均衡，最佳实践是使用路由映射以在ACL匹配的接口匹配

6. 当曾经池映射时，您不应该使用两不同的映射(ACL或路由映射)共享同一个NAT池地址

7. 当配置同样NAT在故障切换方案的时两不同路由器规定，您应该使用HSRP冗余

8. 请勿定义在静态NAT和一个动态缓冲池的同一个Inside Global哋址。此动作可能导致负面的结果

A. 网络地址转换(NAT)为IP地址保存设计。这使得采用未注册 IP 地址的专用 IP 网络可以连接到 InternetNAT 在路由器上运行，通常将两个网络连接在一起并在数据包转发到另一个网络之前，将内部网络中的专用（非全局唯一）地址转换为合法地址

作为此功能的一部分，NAT 可以配置为只向外界通告整个网络的一个地址这样可以将整个内部网络有效地隐藏在该地址后面，使其更加安全NAT在远程访问环境提供安全和地址保存嘚双重功能和典型地实现。

A. 基本上 NAT允许单个设备，例如路由器作为在互联网(或公共网络)和一个本地网络(或专用网络之间的)一个代理程序，因此意味着要求仅单个唯一IP地址表示整个计算机组到任何东西他们的网络的外部

A. 为了配置传统NAT，您在路由器(从外部NAT需要做一个接口)囷在路由器(里面NAT的另一个接口)和至少一组规则转换的IP地址在信息包报头(如果需要和有效载荷)需要被配置为了配置nat虚拟接口(NVI)，您需要至少┅个接口配置有NAT enable (event)与同一一组规则一起如上所述

欲知更多信息，请参见或

A. 基于Cisco IOS软件的NAT不是功能上不同的比在Cisco PIX安全工具的NAT功能。主要区别茬实施包括支持的不同的话务类型有关在 Cisco PIX 设备（包括支持的数据流类型）上配置 NAT 的详细信息，请参阅 和

A. Cisco功能导航工具在哪些允许用户識别功能(NAT)和查找版本和硬件版本此Cisco IOS软件特性是可用的。参考为了使用此工具

A. 处理被处理使用NAT的命令根据信息包是否去从内部网络外部网络或从外部网络内部网络内部到外部的转换发生在路由之后，外部到内部的转换发生在路由之前有关详细信息，请参阅

A. 可以用户的Nat static IP支持功能提供技术支持用静态IP地址，使那些用户建立IP会话在一个公共无线局域网环境

A. 可以使用NAT，您能设立在协调负载分配在实际主机中的内部网络的一台虚拟主机欲知更多信息，参考

A. 可以速率限制NAT转换功能提供能力限制并发NAT操作的最大数量在路由器的。除产生用户对如哬的更多控制之外使用NAT地址速率限制NAT转换功能可以用于限制病毒、蠕虫和拒绝服务攻击的作用。

A. 在下列情况下，可以察觉由 NAT 创建的 IP 地址的路由：

• 内部全局地址池源自下一跳路由器的子网

• 静态路由条目在下一跳路由器中配置，并在路由网络中重新分配

当Inside Global地址与本地接口时匹配， NAT安装一个IP别名和ARP条目在路由器这些地址的情况下proxy-arp。如果此工作情况没有希望請使用NO-别名关键字。

当配置时NAT池 add-route选项可以用于自动路由射入。

A. NAT会话限制由相当数量在路由器的可用的DRAM一定每个NAT转换消耗大约在DRAM的312个字節。结果 10,000个转换(更多比通常将被处理在单个路由器)消耗关于3 MB。所以典型的路由硬件足够有支持的内存千位NAT转换。

A. Cisco IOS NAT 支持 Cisco 快速转发交换、赽速交换以及进程交换对于12.4T请发布，并且以后不再支持快速交换路径。对于Cat6k平台交换顺序是Netflow (HW交换路径)， CEF进程路径。

性能取决于以丅几个因素：

• 应用类型及其数据流类型

• IP 地址是否为嵌入式

• 当时运行的其他应用程序

A. 可以源 NAT 和/或目标 NAT 之间的转换可以应用于任何具有 IP 地址嘚接口或子接口（包括拨号器接口）。NAT不可能配置有无线虚拟接口无线虚拟接口不在文字时存在对NVRAM。因此在重新启动以后，路由器疏松在无线虚拟接口的NAT配置

A. 可以。NAT提供冗余的HSRP然而，它是与SNAT (有状态的NAT)不同与HSRP的NAT是一个无状态的系统。当故障发生时当前会话没有被維护。在静态NAT配置时(当信息包不匹配任何静态规则配置)时信息包通过被发送，不用任何转换

A. 可以。封装不为NAT重要NAT可以执行有在接口的地方一个IP地址，并且接口从外部是内部的NAT或NAT必须有里面囷外部NAT的能作用。如果使用NVI必须有至少一个NAT激活的接口。请参阅欲了解更详细的信息

A. 可以这可以是实现的通过描述要求NAT的套主机或网络的使用访问列表。在同一台主机嘚所有会话将被转换或穿过路由器和不被转换

访问列表、延长的访问列表和路由映射可以用于定义IP设备被转换的规则。应该始终指定网絡地址和适当的子网掩码不应该在网络地址或子网掩码位置使用关键字其中任一(请参阅关于更多详细资料)。使用静态NAT配置当信息包与所有静态规则配置没匹配，信息包通过将被发送不用任何转换。

会话分配唯一的源端口它尝试赋予原始请求的相同端口值，但是如果已经使用了原始源端口，开始扫描从最初特定的端口范围查找第一个可鼡端口并且分配它到会话有12.2S代码基址的例外。12.2S代码基址使用另外端口逻辑并且没有端口预约。

A. PAT与一个全局IP地址或哆个地址一起使用。

A. NAT IP 池是根据需要为 NAT 转换所分配的 IP 地址范围要定义池，使用配置命令：

在以下示例中目标是定義虚拟地址，与的连接在一套实际主机中被分配池定义了实际主机的地址。访问列表定义了虚拟地址如果转换已经不存在，自serial interfaces 0 (外部接ロ)的TCP信息包目的地匹配访问列表被转换为从池的一个地址

A. 在实用的使用，可配置IP池的最大数量由相当数量在特定路由器的可用的DRAM限制(Cisco建议您配置库容量的255。)每个池应该是不大于16位在12.4(11)T中和以后， IOS介绍CCE (普通的分类引擎)这限制NAT只有最多255个池。在12.2S代码基址没有最大数量池限制。

A. 路由映射保护不需要的外部用户到达到内部的用户/服务器。它也有功能映射单个内部的IP地址對根据规则的不同的Inside Global地址欲知更多信息，参考

A. IP 地址重叠是指两个要互联的位置使用相同的 IP 地址方案這种情况很常见；在公司合并或收购时经常发生。没有特别的支持两个位置不能连接和建立会话。

专用 IP 地址不可路由需要进行 NAT 转换才能与外界连接。解决方案包括拦截从外部到内部的域名系统 (DNS) 名称查询响应、设置外部地址转换以及在将 DNS 响应转发到内部主机之前修复该響应。NAT 设备的两端都需要一个 DNS 服务器以满足用户在两个网络之间进行连接的需求。

如 NAT能检查和进行在DNS A和PTR记录内容的地址转换

A. 静态 NAT 转换茬本地地址和全局地址之间具有一对一的映射关系。用户也可以将静态地址转换配置为端口级并将剩余的 IP 地址用于其他转换。这通常发苼在执行端口地址转换 (PAT) 的位置

以下示例显示如何配置routemap允许静态NAT的外部到内部转换：

A. 可以。NAT超载是PAT介入使用池以一个或更多地址的范围戓使用接口IP地址与端口的组合。当您超载您创建一个fully extended转换。这是包含IP地址和来源/目的地端口信息的转换表条目通常称PAT或超载。

PAT (或超载)昰使用转换内部Cisco IOS NAT的功能(Inside local)专用地址为一个或更多外部(Inside Global通常注册) IP地址。每次转换的唯一源端口号用于区分不同的会话

A. 在动态 NAT 转换中，用户鈳以建立本地地址和全局地址之间的动态映射动态映射通过定义本地地址将被转换的和分配全局地址和关联两个的地址池完成或接口IP地址。

A. ALG是应用层网关(ALG)NAT进行在不运载来源和目的地IP地址在应用程序数据流的其中任一传输控制协议/用户数据协议(TCP/UDP)数据流的翻译服务。

A. 可以。然而同样IP地址不可能用于Nat static配置或在池NAT动态配置。所有公共IP地址需要是唯一注意用于静態转换的全局地址没有自动地排除与包含那些同样全局地址的动态缓冲池。必须创建动态缓冲池排除静态条目分配的地址欲知更多信息，请参见

A. Traceroute从外面应该总是返回全局地址。

• 不管其默认端口范围，全方位允许NAT使用所有端口

• Port-map允许NAT保留用户定义了特定应鼡程序的端口范围。

• 端口随机化允许NAT为源端口请求随机地选择所有全局端口

• 对称端口允许NAT支持独立的终端。

A. IP分段發生在第3层(IP);TCP分段发生在Layer4 (TCP)。IP分段发生当大于接口的最大传输单元(MTU)被发送在此接口外面的信息包。这些信息包当他们被派出接口，将必须被分段或丢弃如果不要分段(DF)位在信息包的IP头没有设置，信息包将被分段如果DF位在信息包的IP头设置，信息包被丢弃并且指示下个跳跃MTU vlaue嘚ICMP错误信息将返回到发送方。IP信息包的所有片段运载在IP头的同一Ident允许最终接受器重新组装片段到原始IP信息包。请参见欲知更多信息

当茬终端站的一个应用程序发送数据， TCP分段发生应用数据分成什么TCP考虑最大的大块发送。从TCP传递的数据此单元到IP称为分段TCP分段在IP数据包被发送。这些IP数据包能然后成为IP段当他们比他们能通过适合穿过网络和遭遇更小的MTU链路。

TCP首先将分段此数据到TCP分段(根据TCP MSS值)并且添加TCP报頭并且通过此TCP数据段对IP。然后IP将添加一个IP头发送信息包到远程终端主机如果与TCP数据段的IP信息包大于在一个流出的接口的IP MTU在TCP主机IP之间的路徑然后将分段IP/TCP信息包为了适合。这些IP信息包片段在远端主机将被重新组装由IP层并且(最初发送)的完全TCP数据段将被递交对TCP层。TCP层不知道在传輸期间 IP分段信息包。

NAT支持IP段但是不支持TCP分段。

A. NAT支持仅故障中IP段由于ip虚拟重新组装。

A. 如果三通的握手没有完成，并且NAT看到TCP信息包则NAT将启动60秒钟计时器。当三通的握手完成时默认情况下NAT使用24小时计时器NAT条目。如果终端主机发送RESET NAT从24小时更换默认计时器到60秒。一旦FIN当接受FIN和FIN-ACK时， NAT从24小时更换默认计时器到60秒

A. LDAP设置添加额外的字节(LDAP搜索发生)当处理类型搜索RES条目时消息。LDAP附有10字节的搜索结果其中每一个LDAP回复信息包在此10额外的字节的数据导致超出在网络情况下的信息包最大传输单元(MTU)，信息包被丢弃在这种情况下， Cisco建议您关闭此LDAP工作情况使用CLI no ip nat服务添附LDAP搜索RES命令为了信息包能被发送和接受

A. 路由在NAT被配置的机箱必须指定为Inside Global IP地址为功能例如NAT-NVI。同样地在NAT机箱应该也指定路由为外部本地IP哋址。在这种情况下自的所有信息包在对方向使用外部静态规则将要求这种路由。在这样方案中当提供路由为IG/OL，应该也配置时下一跳IP哋址如果下一跳配置失踪，这认为配置错误并且导致未定义工作情况。

NVI-NAT是存在仅输出功能路径如果有与NAT-NVI的直接地连接的子网或在机箱配置的外部NAT转换规则，则在那些方案您需要为下一跳提供一个假的下一跳IP地址并且相关的ARP。这是需要的为了基础结构能递交信息包到轉换的NAT

A. 默认电话负荷的CUCM 7和全部CUCM 7技术支持的SCCPv17。当电话注册时使用的SCCP版本取决于在CUCM和电话之间的最高的普通的版本。

NAT不支持CUCM版本7.x或以上版夲这些CUCM版本随支持SCCP v17的默认8.4.x电话固件负载发表(或以后)。

如果或以上使用CUCM 7.x必须在CUCM TFTP server上安装，以便电话以SCCP v15使用固件负载或为了由NAT及早支持老固件负荷

下面的链路确认固件负载8.3.x包含SCCP v15或及早和与NAT一起使用和固件负载8.4.x包含SCCP v17，并且不会与NAT一起使用

A. RTP和RTCP功能的服务提供商PAT端口分配增进保證该SIP、H.323和Skinny语音呼叫的。用于RTP流的端口号是偶数端口号并且RTCP流是下随后的奇端口号。端口号被转换为在范围内的一个编号指定符合RFC-1889一个具有该范围内端口号的呼叫将导致 PAT 转换为此范围内的另一个端口号。同样范围之外端口号的 PAT 转换将不会导致转换为给定范围内的编号。

囿关详细信息请参阅 。

A. 会话初始协议 (SIP) 是基于 ASCII 的应用层控制协议可用于建立、维持和终止兩个或多个端点之间的呼叫。SIP 是 Internet 工程任务组 (IETF) 为在 IP 上实现多媒体会议而开发的备选协议Cisco SIP 的实施使支持的 Cisco 平台能够通过 IP 网络用信号通知设置語音和多媒体呼叫。

欲知更多信息，参考和

A. 已处理呼叫的编号由NAT路由器的是偶发的内存數量可用在机箱和CPU的处理功率。

A. 可以当您有NAT超载configs和语音配置时，您需要注冊消息通过NAT和创建out->in的一个关联能到达此内部设备内部设备在一个定期方式发送此注册，并且NAT更新此针孔/关联从信息正如在信令消息

A. 在语音配置当您isssue清楚的ip nat trans *请发出命令或一个清楚的ip nat trans被强淛的命令并且有动态NAT，您将消除针孔/关联并且必须等待从内部设备的下个注册循环到再estabilish这。Cisco建议您不使用这些清楚的in命令语音配置

A. No.当前不支持并行定位解决方案与NAT的以下配置(在同一个机箱)认为一个并行定位解决方案：CME/DSP-Farm/SCCP/H323.

A. overloapping在不同的VRF的传統NAT技术支持地址设置您会必须配置重叠在规则用匹配在VRF选项和设置ip nat inside/从外部在同样VRF数据流的在该特定VRF。重叠技术支持不包括全局路由表

您必须添加交迭的VRF静态NAT条目的匹配在VRF关键字不同的VRF的。然而交迭全局和VRF NAT地址是不可能的。

A. NVI代表NAT虚拟接口它允许NAT转换两区别VRF之间。应该使用此解决方案代替

A. SNAT允许两个或多个网络地址转换器功能作为转换组。转换组的一名成员处理要求IP地址信息的转换的数据流另外，当怹们发生它通知备份的译码器激活流。备份的译码器能然后使用从活动译码器的信息准备复制转换表条目所以，如果活动译码器由一個致命故障妨害数据流可能迅速地换成备份。通信流继续因为使用同样网络地址转换，并且那些转换状态先前定义欲知更多信息，參考

A. Asymetric路由支持NAT通过启用如排队。默认情况下和排队是enable (event)。然而从向前的12.4(24)T，和排队不再支持用户必须确定信息包适当地路由，并且适當的延迟被添加为了不对称路由能正确地运作

A. 聚合服务路由器(ASR)使用NAT64。关于配置NAT64的更多信息请参见。

A. 在此平台的硬件方面不支持VRF意识NAT

Note: 您能通过在虚拟上下文透明模式运行的有效利用FWSM实现设计。

A. NAT enable (event)使用未注册的IP地址连接到互联网的私有IP互联网络NAT转换在内部网络的专用的(RFC1918)地址成合法的可路由地址，在信息包转发在另一网络上前

关于实现NAT的更多信息，请参见

A. 语音功能的NAT支持允许SIP穿过路甴器的被嵌入的消息配置有网络地址转换(NAT)转换到信息包应用层网关(ALG)与NAT一起使用转换语音数据包。

关于实现与语音的NAT的更多信息请参见。

A. 当地址解析服务(ARP)查询为配置有网络地址转换(NAT)静态映射并且由路由器拥有的地址时被触发 NAT回应在ARP指向的接口的BIA MAC地址。两路由器作为暂挂嘚HSRP活动和他们的NAT内部接口必须是启用和配置属于组。

A. NAT虚拟接口(NVI)功能去除需求从外部配置接口作为内部的NAT或NAT关于NAT NVI的更多信息，请参见

A. 有可以完成与NAT的两负载均衡：您能装载平衡入站对一套服务器分配在服务器的负荷并且您能装载平衡您的用户數据流到在两个或多个ISP的互联网。

关于入站负载均衡的更多信息请参见。

关于outbound负载均衡的更多信息请参见。

A. 有IP安全封装安全有效载荷(ESP)嘚技术支持通过NAT和IPSec NAT透明度

IPSec ESP通过NAT功能提供能力通过在超载或端口地址转换(PAT)模式的一Cisco IOS NAT已配置设备支持多条并发IPSec ESP隧道或连接。

IPSec NAT透明度功能引入IPSec信息数据流的技术支持游遍在网络的NAT或PAT点通过寻址许多已知不相容在NAT和IPSec之间

关于实现和配置NAT-PT的更多信息，请参见

A. 它是可能的NAT组播流的來源IP。路由映射不可能使用当执行动态NAT组播时，只有访问列表为此支持

欲知更多信息，请参见使用解决方案，目的地组播组是NATted

A. 动態地被映射的NAT会话的SNAT enable (event)持续服务。统计性地定义的会话得到冗余的好处不用对SNAT的需要。在没有SNAT时使用的会话动态NAT映射将被切断在一个致命故障情形下，并且必须被重建支持仅最小的SNAT配置。应该进行将来配置在谈与您的思科帐户小组为了验证设计相对当前限制之后。

SNAT为鉯下方案是推荐的：

• 正如SNAT白皮书所描述的HSRP模式：

• 因为有一些功能丢失与HSRP比较，主要的/备份不一个推荐的模式

• 故障切换方案和2路由器设置的。即如果一个路由器失败，另一个路由器接管无缝地(SNAT体系结构没有设计处理接口飘荡。)

• 支持非不对称的路由方案不对称路由可鉯被处理，只有当在回复信息包的潜伏期高于那在2 SNAT路由器之间交换SNAT消息

目前SNAT体系结构没有设计处理抗错性;因此，这些测试没有预计成功：

• 清除NAT条目当有数据流时。

• 更改接口参数(类似IP地址更改 shut/no-shut等等)，当有数据流时

• SNAT特定清楚或显示命令没有预计适当地执行和没推荐。

  清楚涉及的某些SNAT和显示命令如下：

• 如果用户要清除条目清楚的可以使用ip nat trans被挤下的或清楚的ip nat trans *命令。

• 清除NAT转换在备用路由器不是推荐的总是清楚在主要的SNAT路由器的NAT条目。

• SNAT不是HA;因此在两路由器的配置应该是相同的。两路由器应该有同样镜像运作并且请切记用于两SNAT路由器的基礎平台是相同的。

A. 可以。这些是NAT最佳实践：

1. 当设置动态NAT的时规则的曾经动态和静态NAT ACL应该如此屏蔽静态本地主机没囿重叠。

2. 当心使用ACL NAT与permit ip any any您能取得不可预知的结果。在12.4(20)T NAT将转换本地生成的HSRP和路由协议信息包后如果他们被派出外部接口，以及本地匹配NAT规則的加密的信息包

3. 当您有NAT的时重叠网络，请使用匹配在VRF关键字

   您必须添加交迭的VRF静态NAT条目的匹配在VRF关键字不同的VRF的，但是交迭全局和VRF NAT哋址是不可能的

4. 除非使用，与同样地址范围的NAT池不可能用于不同的VRF匹配在VRF关键字

   Note: 虽然CLI配置是有效的，没有匹配在VRF关键字配置不支持Wven

5. 當配置与NAT接口超载时的ISP负载均衡，最佳实践是使用路由映射以在ACL匹配的接口匹配

6. 当曾经池映射时，您不应该使用两不同的映射(ACL或路由映射)共享同一个NAT池地址

7. 当配置同样NAT在故障切换方案的时两不同路由器规定，您应该使用HSRP冗余

8. 请勿定义在静态NAT和一个动态缓冲池的同一个Inside Global哋址。此动作可能导致负面的结果