NAT的故障处理

   在实际工作中经常会碰到NAT故障，这些问题基本上可以归于两类，分别是配置错误和没有正确理解NAT的工作方式。         出现这些问题的征兆基本相同，即内部局域网的IP地址被配置了NAT，而内部的局域网络却没有像预期结果那样能够访问外部网络。             如果理解了实施NAT要到达的目标，然后通过查看配置，检查下面的错误是否是问题的原因，一般可以将问题解决。                1.        是否设置了ACL，阻塞了进行过NAT或者没有进行过NAT的流量，配置时要牢记与ACL相关的NAT操作。如果针对没有进行ACL的流量配置了ACL，而到达的流量实际上是进行了NAT的流量，这就导致流量被丢弃。                2.        定义需要进行NAT的ACL时，漏掉了需要进行地址转换的网络，用来定义需要进行NAT操作的网络地址的ACL，应该包括所有需要进行NAT的网络。如果列表中缺少一个或很多个地址，都将导致无法对来自这些地址的流量进行NAT。                3.        在NAT语句中漏掉了overload关键字。为了建立PAT，在NAT配置命令的最后，必须是用overload关键字。漏掉这个关键字，将会导致无法进行PAT，最终将会导致只有数目有限的主机可以访问公用网络或者互联网，而不是期望中的所有主机。                4.        不对称路由导致NAT失败。当分组进入一个使用 ip nat inside 命令进行配置的接口时，以及离开使用 ip nat outside 命令配置的接口时，就会发生NAT。在有很多接口的路由器上，必须确保需要进行NAT流量进入路由器的所有接口都是用 ip nat inside 命令进行配置的，而这个流量离开的所有接口都是用 ip nat outside 命令配置的。否则，流量在经过没有使用正确的NAT命令配置的接口时，无法进行NAT。                5.        NAT地址池和静态NAT表项中有重叠地址。确保NAT地址池中的 ip 地址也不能用于静态NAT，这是很重要的，否则将会导致间断性的NAT失败。如果将广播地址配置到NAT地址池中，也会出现间断性的NAT失败。                     6.        inside和outside接口配置错误，也会造成NAT失败。                比较有用的排错命令是 show  ip  nat  statistics，可以通过此命令查看NAT的各种信息。如果想要跟踪NAT的操作，可以使用 debug  ip nat  命令显示出每个转换的数据包。