Guía de mantenimiento del enrutador AR - Preguntas frecuentes (servicio IP)

111 0 0 0

2.7 Servicio IP

2.7.1 ¿Cómo puedo ver la configuración DNS de los dispositivos?

Ejecute el comando display current-configuration | include dns

 

2.7.2 Al configurar las entradas DNS estáticas, ¿tengo que habilitar la resolución DNS dinámica?

No, no es necesario habilitar la resolución dinámica del servicio de nombres de dominio (DNS) cuando se configuran las entradas de servicio de nombres de dominio estáticos (DNS). Debe habilitar la resolución DNS dinámica al configurar entradas DNS dinámicas.

        

2.7.3 ¿Se envejecen las entradas dinámicas de DNS a intervalos del tiempo de envejecimiento o se usa el comando?

Sí. Ejecute el comando reset dns dynamic-host para eliminar las entradas de servicio de nombres de dominio dinámicos (DNS).

 

2.7.4 ¿En qué escenarios debería usar la función DNS Relay ?

El proxy DNS o función de relé permite que un cliente DNS en una LAN se conecte a un servidor DNS externo. Una vez que el servidor DNS externo traduce el nombre de dominio del cliente DNS a una dirección IP, el cliente DNS puede acceder a Internet.

 

2.7.5 ¿El dispositivo es compatible con el proxy DNS?

El dispositivo soporta proxy DNS. El proxy DNS reenvía los paquetes de solicitud y respuesta DNS entre un cliente DNS y un servidor DNS. El cliente DNS en una LAN considera el proxy DNS como el servidor DNS y envía paquetes de solicitud DNS al proxy DNS. El proxy de DNS reenvía los paquetes de solicitud de DNS al servidor de DNS y envía los paquetes de respuesta de DNS desde el servidor de DNS al cliente de DNS para implementar la resolución de nombres de dominio. Cuando la dirección IP del servidor DNS cambia, solo necesita cambiar la configuración del proxy DNS sin cambiar la configuración de cada cliente DNS. Esto simplifica la gestión de la red.

 

2.7.6 ¿Es compatible NAT con VPN Multi-Instance?

Sí. La traducción de direcciones de red (NAT) es compatible con varias instancias de redes privadas virtuales (VPN).

 

2.7.7 ¿Cómo veo la tabla de sesión de NAT?

Ejecute el comando display nat session all para ver la tabla de sesión NAT.

 

2.7.8 ¿Cómo envejezco por la fuerza las tablas de sesión de NAT?

Ejecute el comando reset nat session all para envejecer por la fuerza las tablas de sesión NAT.

 

2.7.9 ¿Qué interfaces no admiten la configuración de NAT?

Las interfaces en el lado de la red de área local (LAN) (como las interfaces VLANIF) no admiten la configuración de traducción de direcciones de red (NAT).


 

2.7.10 ¿Cómo puedo configurar entradas de ARP estáticas en una interfaz?

Según el tipo de interfaz, puede configurar entradas de ARP estáticas en los siguientes métodos:

 

Para las interfaces físicas de la Capa 3 y las interfaces Eth-Trunk de la Capa 3, ejecute el comando arp static ip-address mac-address para configurar los entradas de ARP estáticas.

 

Por ejemplo:

<Huawei> system-view

[Huawei] arp static 1.1.1.1 0000-1111-1111

Para las sub-interfaces de terminación Dot1q, ejecute el comando arp static ip-address mac-address vid vlan-id interface interface-type interface-number para configurar las entradas ARP estáticas.

 

Por ejemplo: # Configure una entrada ARP estática para una sub-interfaz para la terminación de la etiqueta VLAN dot1q. La dirección IP 2.1.1.1 de la entrada ARP estática asigna la dirección MAC 0edc-15e5-f7e4. Se agrega GE1 / 0 / 0.1 a la VLAN 20.

# Configure una sub-interfaz para la terminación de la etiqueta VLAN dot1q y agregue la sub-interfaz a la VLAN 20.

 

<Huawei> system-view

[Huawei] interface gigabitethernet 1/0/0.1

[Huawei-GigabitEthernet1/0/0.1] control-vid 100 dot1q-termination

[Huawei-GigabitEthernet1/0/0.1] dot1q termination vid 20

[Huawei-GigabitEthernet1/0/0.1] ip address 2.1.1.2 24

[Huawei-GigabitEthernet1/0/0.1] quit

NOTA:

El comando control-vid 100 dot1q-termination no necesita configurarse en AR V2R2C01 o versiones posteriores.

# Configure una entrada ARP estática para la sub-interfaz para la terminación de la etiqueta VLAN dot1q.

[Huawei] arp static 2.1.1.1 0edc-15e5-f7e4 vid 20 interfaz gigabitethernet1/0/0.1

 

Para las sub-interfaces de terminación QinQ, ejecute el comando arp static ip-address mac-address vid vlan-id cevid ce-vid interface interface-type interface-number para configurar entradas de mapeo ARP estático con etiquetas dobles.

 

Por ejemplo: # Configure una entrada ARP estática para una sub-interfaz para la terminación de la etiqueta VLAN de QinQ. La dirección IP 2.1.1.1 de la entrada ARP estática asigna la dirección MAC 0edc-15e5-f7e4. Las ID de VLAN internas y externas de la interfaz de salida GE1 / 0 / 0.1 son 20 y 10 respectivamente.

# Configure una sub-interfaz para la terminación de la etiqueta QinQ VLAN y las ID de VLAN internas y externas de la interfaz de salida GE1 / 0 / 0.1 son 20 y 10 respectivamente.

<Huawei> system-view

[Huawei] interface gigabitethernet 1/0/0.1

[Huawei-GigabitEthernet1/0/0.1] control-vid 100 qinq-termination

[Huawei-GigabitEthernet1/0/0.1] qinq termination pe-vid 10 ce-vid 20

[Huawei-GigabitEthernet1/0/0.1] ip address 2.1.1.2 24

[Huawei-GigabitEthernet1/0/0.1] quit

NOTA:


El comando control-vid 100 qinq-termination no necesita configurarse en AR V2R2C01 o versiones posteriores.

# Configure una entrada ARP estática para la sub-interfaz para la terminación de la etiqueta VLAN de QinQ.

[Huawei] arp static 2.1.1.1 0edc-15e5-f7e4 vid 10 cevid 20 interface gigabitethernet1/0/0.1

 

Para las interfaces VLANIF, ejecute el comando arp static ip-address mac-address vid vlan-id interface interface-type interface-number para configurar las entradas ARP estáticas.

Por ejemplo:

<Huawei> system-view

[Huawei] arp static 192.168.1.88 0000-1111-1111 vid 4094 interface ethernet 0/0/7

NOTA:


La interfaz de salida indica que la interfaz de Capa 2 se encuentra vinculada a la VLAN.

En AR V2R2C01 o versiones posteriores, la interfaz VLANIF admite entradas de ARP cortas. Puede configurar directamente la asignación entre la dirección IP y la dirección MAC sin especificar el VID y la interfaz de salida.

 

Por ejemplo:

<Huawei> system-view

[Huawei] arp static 192.168.1.88 0000-1111-1111

 

2.7.11 ¿Cómo configuro el enrutador de salida de un cibercafé para resolver el problema sin conexión de los usuarios de juegos en línea?

El enrutador funciona como el enrutador de salida de un cibercafé y utiliza la configuración típica. Sin embargo, las páginas web se muestran a una velocidad baja y los usuarios a menudo se desconectan cuando juegan juegos en línea. ¿Cómo resuelvo este problema?

 

Ejecute el comando tcp adjust-mss 1024 en las interfaces de entrada y salida del enrutador.

Ejecutar el comando firewall-nat session {tcp | udp} aging-time time-value para aumentar adecuadamente los intervalos de tiempo de espera de la conexión TCP y la conexión UDP.

Puede realizar las operaciones anteriores para mejorar significativamente el rendimiento del acceso a Internet.

 

2.7.12 ¿Por qué debo tener en cuenta la MTU de la interfaz al configurar el MSS de los paquetes TCP?

El tamaño máximo de segmento (MSS) se negocia durante la configuración de la conexión TCP. El MSS determina la longitud máxima de un paquete TCP. Algunas aplicaciones de capa superior, como HTTP, restablecen el campo No fragmentar (DF) de paquetes IP para evitar que los paquetes TCP se fragmenten. Si el campo DF se restablece y la MTU de la interfaz es más pequeña que la MSS, el enrutador descarta los paquetes TCP porque los paquetes TCP no pueden fragmentarse.

 

Un paquete TCP tiene el encabezado TCP y el encabezado IP; por lo tanto, el valor de MSS más todas las longitudes de encabezado no pueden exceder la MTU. Las MTU compatibles con Ethernet y PPPoE son 1500 bytes y 1492 bytes respectivamente. Se recomienda configurar el MSS a 1200 bytes. Si se modifica la interfaz MTU o los paquetes de encapsulación de algunas aplicaciones especiales no se pueden fragmentar en los escenarios PPPoE, L3VPN e IPSec, tenga en cuenta la configuración de MSS.

 

2.7.13 ¿Cómo puedo evitar que la función de configuración automática borre periódicamente las configuraciones relacionadas con DHCP en el dispositivo?

Cuando se inicia un dispositivo con configuración vacía, la función de configuración automática permite que el dispositivo obtenga automáticamente el archivo de configuración y se reinicie para que la configuración tenga efecto. El dispositivo habilitado con la función de configuración automática borra periódicamente todas las configuraciones relacionadas con DHCP en el dispositivo.

 

Para resolver este problema, proceda de la siguiente manera:

 

Ejecute el comando undo autoconfig enable para deshabilitar la función de configuración automática.

Espere de 4 a 5 minutos y ejecute el comando display autoconfig-status para verificar el estado de configuración automática. Si el estado de ejecución es NO, la función de configuración automática se ha deshabilitado.

Reconfigure el dispositivo según lo requiera el cliente y guarde la configuración.

2.7.14 ¿La dirección global del servidor NAT puede ser una dirección en el conjunto de direcciones NAT?

No.

 

2.7.15 ¿El dispositivo permite que una dirección IP del servidor asigne varios nombres de dominio?

El dispositivo permite que una dirección IP del servidor asigne varios nombres de dominio.

 

2.7.16 Las sub-interfaces de terminación que conectan dos dispositivos no pueden hacer ping entre sí. ¿Por qué?

Después de configurar las direcciones IP para las sub-interfaces de terminación que conectan dos dispositivos, no pueden hacer ping entre sí. Compruebe si ha ejecutado el comando arp broadcast enable en las interfaces. Si este comando no se ejecuta, los dispositivos no pueden enviar paquetes de solicitud de ARP a través de estas interfaces y no pueden aprender las entradas de ARP. De forma predeterminada, el comando arp broadcast enable está deshabilitado en V200R003C00 y versiones anteriores y habilitado en V200R003C01 y versiones posteriores.


 

2.7.17 ¿Cómo puede el dispositivo funcionar como un servidor DHCP para asignar dinámicamente direcciones IP a múltiples clientes DHCP?

Cuando el dispositivo funciona como un servidor DHCP, puede ampliar el rango del grupo de direcciones y acortar la concesión de direcciones IP para permitir que los clientes DHCP se conecten rápidamente y se desconecten de la red.

 

2.7.18 Los clientes DHCP no pueden obtener direcciones IP. ¿Cómo resuelvo este problema?

Asegúrese de que la configuración de DHCP sea correcta y reduzca la concesión de la dirección IP. Si se configura una concesión de dirección IP larga, después de que se asignan todas las direcciones en el grupo de direcciones, las direcciones que no son necesarias no se pueden liberar inmediatamente. Como resultado, otros clientes DHCP no pueden obtener direcciones IP.

 

2.7.19 Cuando tanto el servidor DHCP como las funciones de retransmisión están habilitados en una interfaz, ¿qué función se procesa de manera preferencial?

Cuando tanto la función del servidor DHCP como la función de retransmisión DHCP están habilitadas en una interfaz, la función del servidor DHCP se procesa de manera preferencial. El servidor DHCP local que se encuentra en el mismo segmento de red que la dirección IP de la interfaz se usa preferentemente para asignar direcciones IP. Si el servidor DHCP local no puede asignar direcciones IP, un servidor DHCP remoto asigna direcciones IP a través del agente de retransmisión DHCP.

 

2.7.20 ¿Cuál es el alcance de la aplicación de una dirección local de enlace IPv6?

Se puede usar una dirección local de enlace IPv6 para la comunicación entre nodos en el mismo enlace. Los paquetes con direcciones IPv6 de enlace local solo pueden reenviarse a través de un enlace local.

 

2.7.21 ¿Cómo puedo habilitar el registro de NAT y establecer un intervalo de registro?

Los registros de NAT se generan cuando el dispositivo realiza la traducción de direcciones.

 

Ejemplo de configuración

Configure el dispositivo para generar registros de NAT en un intervalo de 200 segundos.

<Huawei> system-view

[Huawei] firewall log all enable

[Huawei] info-center enable

[Huawei] firewall log defend log-interval 200

 

2.7.22 ¿Cómo puedo configurar el tiempo de antigüedad de la tabla de reenvío de tráfico?

Puede usar el comando firewall-nat session age-time para establecer el tiempo de antigüedad de las entradas de la sesión.

 

Ejemplo de configuración

# Establezca el tiempo de antigüedad de las entradas de la sesión FTP en 60 segundos.

<Huawei> system-view

[Huawei] firewall-nat session ftp aging-time 60


2.7.23 Los usuarios en una red interna no pueden acceder a los servidores internos utilizando nombres de dominio. ¿Por qué?

Cuando un dispositivo de usuario accede al servidor interno utilizando un nombre de dominio, si el nombre de dominio contiene el nombre del host varía. Por lo tanto, debe configurar diferentes nombres de dominio DNS en las siguientes dos situaciones. Por ejemplo, desea acceder al nombre de dominio www.hbjs.gov.cn.

Cuando el paquete de solicitud de DNS enviado por el dispositivo del usuario contiene el nombre del host, es decir, el dispositivo del usuario utiliza el nombre de dominio www.hbjs.gov.cn para acceder al servidor interno, ejecute el comando nat dns-map www.hbjs.gov.cn global-address global-port {tcp | udp}.

Cuando el paquete de solicitud de DNS enviado por el dispositivo del usuario no contiene el nombre de host, es decir, el dispositivo del usuario utiliza el nombre de dominio hbjs.gov.cn para acceder al servidor interno, ejecute el comando nat dns-map hbjs.gov.cn global -address global-port {tcp | udp}.

NOTA:

Si no está seguro de si el paquete de solicitud de DNS enviado por el dispositivo contiene el nombre del host o no, se recomienda configurar los dos comandos anteriores.

 

2.7.24 ¿Cómo veo la asignación de direcciones IP en el grupo de direcciones del servidor DHCP?

Ejecute el comando display ip pool [{interface interface-pool-name | name ip-pool-name} [start-ip-address [end-ip-address] | all | conflict | expired | used]] para ver la asignación de direcciones IP.

 

2.7.25 Cuando el dispositivo funciona como el dispositivo de acceso, a los usuarios les lleva mucho tiempo obtener direcciones IP a través de DHCP. ¿Por qué?

De forma predeterminada, el STP está habilitado en el dispositivo utilizado como dispositivo de acceso de usuario (la interfaz del lado WAN se conecta a Internet y la interfaz del lado de LAN se conecta a la red interna). La interfaz del dispositivo está en estado Descartar 30 segundos después de que los usuarios se conectan al dispositivo. Los paquetes de solicitud DHCP se descartan. Los paquetes DHCP se procesan después de 30 s.

 

Se recomienda deshabilitar el STP para evitar el aleteo de la red causado por la convergencia lenta del STP.

 

2.7.26 El usuario y el servidor de la red privada están en la misma VLAN. Después de configurar el servidor NAT en la interfaz VLANIF, ¿por qué el usuario no puede acceder al servidor usando una dirección pública?

El usuario y el servidor de la red privada están conectados a la misma interfaz VLANIF y a la misma tarjeta secundaria. Después de que el comando del nat server se ejecute en la vista de interfaz VLANIF para asignar la dirección IP del servidor a una dirección de red pública, el paquete de respuesta enviado por el servidor al usuario no se puede enviar a la CPU, por lo que la dirección del paquete no se puede traducir. Como resultado, el usuario no puede conectarse al servidor. Para resolver este problema, ejecute el comando nat outbound en la interfaz VLANIF para que el paquete de respuesta del servidor pueda enviarse al enrutador y la dirección del paquete se pueda traducir. El enrutador luego reenvía el paquete al usuario. El usuario puede conectarse al servidor.

 

2.7.27 ¿Cuál es la diferencia entre NAT Server y NAT Static?

Cuando los usuarios internos acceden a la red externa, el servidor NAT traduce solo las direcciones IP internas a direcciones IP externas, mientras que la NAT estática traduce los puertos y las direcciones IP internas a los puertos y direcciones IP externas.

 

La empresa requiere que sus usuarios internos puedan acceder al servidor externo y que los usuarios externos puedan acceder a su servidor interno, como se muestra en la Figura 2-7. Si configura el servidor NAT y Easy IP en el enrutador, traduce solo las direcciones IP internas a direcciones IP externas cuando los usuarios internos acceden a la red externa. Esto puede resultar en una falla al configurar las tablas de flujo. En este caso, se recomienda configurar NAT estático pero no el servidor NAT en el enrutador.

 

Figura 2-7 Diagrama de red del servidor NAT y Easy IP

030829bunnl3us7nbzab3o.png?image.png


2.7.28 Un teléfono externo no puede registrarse con el servidor SIP después de configurar un servidor NAT en las interfaces salientes del dispositivo que funciona como un servidor SIP

Un servidor SIP se implementa en una red interna y un servidor NAT y MTU se configuran en las interfaces de entrada y salida de un enrutador de puerta de enlace en esta red. En este caso, el enrutador envía paquetes fragmentados al servidor SIP y el servidor devuelve los paquetes de error de ICMP. Un teléfono externo no puede registrarse con el servidor SIP. Deshabilite la configuración de MTU en la interfaz de entrada o ejecute el comando ip soft-forward enhance enable para habilitar la función de reenvío de IP mejorada en el enrutador, de modo que el teléfono externo pueda registrarse correctamente con el servidor SIP para implementar la traducción NAT.

2.7.29 ¿Cuáles son las diferencias entre IP fácil y el conjunto de direcciones?

Easy IP utiliza la dirección IP pública de una interfaz como la dirección de origen traducida, como se muestra en la Figura 2-8.

Figura 2-8 Conexión en red de Easy IP

030846jrsbvrcr1orrrs0w.png?image.png

Cuando se utiliza el modo de grupo de direcciones, debe configurar un grupo de direcciones públicas desde el cual se seleccionan direcciones privadas de mapeo de direcciones públicas, como se muestra en la Figura 2-9.

Figura 2-9 Conexión en red de un grupo de direcciones



030858kms00zzt25oocgzb.png?image.png

Utilice Easy IP o grupo de direcciones de acuerdo con la planificación de las direcciones IP públicas:

 

Si hay direcciones IP públicas inactivas después de configurar las direcciones IP de las interfaces salientes en dispositivos NAT y otras aplicaciones, use el modo de agrupación de direcciones.

Si no hay direcciones IP públicas inactivas después de configurar las direcciones IP de las interfaces salientes en dispositivos NAT y otras aplicaciones, use Easy IP.

2.7.30 ¿Qué interfaces son compatibles con NAT?

Las siguientes interfaces soportan NAT:

Interfaces fisicas

 

Interfaz Ethernet Layer 3, interfaz GE Layer 3, interfaz G.SHDSL, interfaz VDSL, interfaz PON, interfaz serial, interfaz POS, interfaz asíncrona, interfaz ATM, interfaz BRI e interfaz celular

 

Interfaces logicas

 

Interfaz de marcador, interfaz de túnel, interfaz Eth-Trunk de capa 3, interfaz VE, interfaz VT, interfaz MP-group, interfaz MFR e interfaz IMA-Group

 

Sub-interfaces

 

Sub-interfaz Ethernet, sub-interfaz Eth-Trunk, sub-interfaz ATM, sub-interfaz serial, sub-interfaz MFR, sub-interfaz IMA-Group y sub-interfaz POS.

 

2.7.31 La dirección pública no se puede hacer ping cuando NAT está configurado en el dispositivo como la puerta de enlace de egreso. ¿Cómo resuelvo el problema?

Una vez que se haya configurado el NAT saliente, ejecute el comando ip soft-forward enhance enable para habilitar la función de reenvío de IP mejorada antes de ejecutar el comando ping -a source-ip-address host. Entonces, el dispositivo no traduce las direcciones de origen privadas en direcciones públicas al enviar paquetes.

 

 

2.7.32 Un dispositivo no puede acceder al puerto Telnet de la interfaz pública

El servidor NAT está configurado en la interfaz pública.

[Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 10.10.10.1 telnet inside 192.168.2.10 telnet

 


Cuando un dispositivo de red intenta acceder al puerto Telnet de la interfaz pública, el dispositi****ccede al puerto Telnet en la red interna que está asignada por el servidor NAT y no puede acceder al puerto Telnet de la interfaz pública. Puede cambiar el puerto Telnet de la interfaz pública en la configuración del servidor NAT, por ejemplo, cambiar el puerto Telnet al puerto 1001.

[Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 10.10.10.1 1001 inside 192.168.2.10 telnet

 

2.7.33 ¿Cómo evito que los paquetes enviados a una dirección IP en un conjunto de direcciones NAT configuradas se descarten?

Una vez que se configura un grupo de direcciones NAT en una interfaz, se genera automáticamente una ruta de red de usuario local (UNR) de 32 bits, y su prioridad es 64. Cuando un paquete enviado a una dirección IP en el grupo de direcciones pasa al enrutador, coincide La UNR local de 32 bits y se envía a la pila de protocolos del enrutador. Sin embargo, el enrutador no puede reenviar el paquete porque no tiene la pila de protocolos de la dirección IP. El paquete se desecha.

 

Puede ejecutar el comando ip route-static para configurar una ruta estática. La prioridad predeterminada de una ruta estática es 60, que es mayor que la de la UNR. Esta configuración evita que los paquetes enviados a una dirección IP en el grupo de direcciones sean descartados.

 

Por ejemplo, configure un grupo de direcciones NAT para implementar la traducción de direcciones de muchos a uno para hosts en el segmento de red 10.110.10.0/24. La dirección IP 1.1.1.1 está configurada en el grupo de direcciones NAT.

<Huawei> system-view

[Huawei] acl number 2001

[Huawei-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Huawei-acl-basic-2001] quit

[Huawei] nat address-group 1 1.1.1.1 1.1.1.1

[Huawei] interface gigabitethernet 0/0/1

[Huawei-Gigabitethernet0/0/1] nat outbound 2001 address-group 1

[Huawei-Gigabitethernet0/0/1] quit

 

 

Después de completar la configuración del grupo de direcciones NAT, verifique la tabla de enrutamiento. Se agrega un UNR con la prioridad de 64 a la tabla.


 

[Huawei] display ip routing-table
Route Flags:Route Flags: R - relay, D - download to fib                         
------------------------------------------------------------------------------  
Routing Tables: Public                                                          
         Destinations : 5        Routes : 5                                     
                                                                                
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface      
                                                                                
        1.1.1.1/32  Unr     64   0           D   127.0.0.1       InLoopBack0    
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

 


Ejecute el comando ip route-static para configurar una ruta estática con la dirección IP de destino 1.1.1.1. Después de completar la configuración, verifique la tabla de enrutamiento.

[Huawei] ip route-static 1.1.1.1 32 192.168.200.100
[Huawei] display ip routing-table
Route Flags: R - relay, D - download to fib                                     
------------------------------------------------------------------------------  
Routing Tables: Public                                                          
         Destinations : 6       Routes : 6                                    
                                                                                
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface      
                                                                                
        1.1.1.1/32  Static  60   0          RD   192.168.200.100 GigabitEthernet0/0/0
        1.1.1.1/32  Unr     64   0           D   127.0.0.1       InLoopBack0    
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0


 

Como se muestra en la tabla de enrutamiento anterior, se agrega una ruta estática con la dirección IP de destino 1.1.1.1. El enrutador luego usa esta ruta estática para reenviar los paquetes enviados a la dirección IP en el conjunto de direcciones.
 
2.7.34 ¿Qué debo hacer si la interfaz seleccionada está ocupada al configurar el servidor NAT?
Se recomienda que ejecute el comando de visualización de asignación de puertos para consultar las interfaces ocupadas antes de configurar el servidor NAT. Puede elegir una interfaz inactiva.
 
2.7.35 ¿Qué debo hacer si el uso de la CPU es alto después de configurar la asignación de DNS?
Después de configurar la asignación de DNS, la CPU procesa los paquetes antes de que el enrutador reenvíe los paquetes. Si es necesario procesar una gran cantidad de paquetes, el uso de la CPU es alto.
 
Si el uso de la CPU sigue siendo alto y afecta el uso del dispositivo, se recomienda que elimine la configuración de asignación de DNS y desactive la función ALG de DNS para evitar que los paquetes se envíen a la CPU, lo que reduce el uso de la CPU. Para proteger el enrutador y satisfacer las demandas de servicio de los usuarios, agregue la configuración del servidor NAT en la interfaz que se conecta a la red interna.
 
Cuando un host de red interno accede a un servidor de red interno usando el nombre de dominio, el host envía una solicitud de nombre de dominio al servidor DNS. El servidor DNS encapsula la dirección IP pública correspondiente al nombre de dominio en el paquete de respuesta. Si la asignación de DNS y las funciones ALG de DNS están habilitadas, el enrutador convierte la dirección IP pública encapsulada en un paquete de respuesta DNS en una dirección IP privada cuando reenvía el paquete a un host de red interno. Después de eliminar la configuración de la asignación de DNS y la configuración de ALG de DNS, el enrutador no puede realizar la traducción de la dirección IP. Puede agregar la configuración del servidor NAT en la interfaz que se conecta a la red interna. Luego, la dirección IP pública se puede convertir en la dirección IP privada del servidor de red interno, permitiendo que los hosts de la red interna accedan al servidor de red interno.
 
El procedimiento de configuración es el siguiente:
 
En el enrutador habilitado para NAT, ejecute el comando undo nat alg enable para deshabilitar la función ALG de DNS y ejecute el comando undo nat dns-map para eliminar la configuración de asignación de DNS.
En la interfaz que se conecta a la red interna, ejecute el comando del nat server para agregar la configuración del servidor NAT. Esta configuración permite al enrutador convertir la dirección IP pública del servidor de red interno en su dirección IP privada cuando un host de red interno accede al servidor de red interno.
Desactive la función ALG de DNS y elimine la configuración de asignación de DNS.
<Huawei> system view
[Huawei] undo nat dns-map www.bz2z.com 220.180.111.161 80 tcp
[Huawei] undo nat dns-map bz2z.com 220.180.111.161 80 tcp

 


Suponga que la interfaz que se conecta a la red pública es GE0 / 0/0 y que la interfaz que se conecta a la red interna es GE0 / 0/1. Compruebe la configuración de la interfaz que se conecta a la red pública.

[Huawei] interface gigabitethernet 0/0/0

[Huawei-GigabitEthernet0/0/0] display this

#

interface GigabitEthernet0/0/0

 ip address 202.100.1.10 255.255.255.0

 nat server protocol tcp global current-interface 80 inside 192.168.1.100 80

 nat outbound 3001

[Huawei-GigabitEthernet0/0/0] quit

 

 

Configure el servidor NAT en la interfaz que se conecta a la red interna. Cambie la palabra clave current-interface actual en la configuración del servidor NAT a la interfaz de red pública especificada. [Huawei-GigabitEthernet0/0/1] nat server protocol tcp global interface gigabitethernet 0/0/0 80 inside 192.168.1.100 80

 

Una vez completadas las configuraciones anteriores, se reduce el uso de la CPU y los hosts de la red interna normalmente pueden acceder al servidor de la red interna.

 

2.7.36 es un UNR predeterminado generado después de que se configura el comando dhcp-alloc de la dirección ip

Sí, se genera una ruta de red de usuario predeterminada (UNR).

 

Si un enrutador está configurado como un cliente DHCP y una interfaz está configurada para obtener una dirección IP dinámicamente (mediante el comando ip address dhcp-alloc), se genera una ruta UNR predeterminada después de que la interfaz obtenga una dirección IP con éxito.

 

2.7.37 Una vez que el NAT de salida se configura y luego se deshabilita en la interfaz de red pública de un enrutador AR, no se puede registrar un usuario SIP. ¿Cómo resuelvo este problema?

Un usuario SIP se conecta a un servidor SIP a través de un enrutador AR. Una vez que el NAT de salida se configura en el enrutador AR, NAT ALG para SIP se desactiva y los paquetes de protocolo SIP no pueden atravesar el enrutador habilitado para NAT. Como resultado, el usuario SIP y el servidor SIP no pueden comunicarse entre sí y el usuario SIP no puede registrarse.

 

Cuando un paquete de solicitud de registro enviado por el usuario SIP al servidor SIP pasa a través del enrutador AR, se genera una información de paquete de registro de entrada de mapeo NAT, y la entrada y el tiempo de caducidad se actualizan cuando el enrutador AR recibe un nuevo paquete de solicitud de registro. Cuando el tiempo de caducidad caduca, el enrutador borra automáticamente las entradas de mapeo NAT que no se actualizan. Por lo tanto, el usuario SIP que no se registra envía paquetes de solicitud de registro continuamente. Si se elimina la configuración de NAT saliente, el enrutador no borra directamente la entrada de asignación de NAT correspondiente, y borra automáticamente la entrada después de que caduque el tiempo de caducidad. Sin embargo, los paquetes de solicitud de registro enviados por el usuario SIP actualizan continuamente la entrada de mapeo de NAT y el tiempo de caducidad. Como resultado, el enrutador no puede borrar automáticamente la entrada de mapeo NAT y el usuario SIP no puede registrarse.

 

Después de configurar el NAT saliente, puede ejecutar el comando nat alg para habilitar NAT ALG para que SIP mantenga la comunicación entre el servidor SIP y el usuario SIP, y ejecute el comando reset nat session all para borrar forzosamente las entradas de mapeo NAT y modificar inmediatamente la configuración NAT. Alternativamente, después de deshabilitar el NAT saliente, ejecute el comando reset nat session all para borrar forzosamente las entradas de mapeo NAT para restablecer la comunicación entre el usuario SIP y el servidor SIP.

 

NOTICE:


La eliminación de las entradas de mapeo NAT puede afectar temporalmente la comunicación en algunos enlaces de transmisión de paquetes.

 

2.7.38 ¿Por qué no se configura la función NAT en una tarjeta LAN de gama alta?

Las políticas de tráfico basadas en ACL no se pueden configurar en tarjetas LAN de gama alta (tarjetas 8FE1GE y 24GE). Por lo tanto, cuando el comando nat outbound se ejecuta para configurar el NAT saliente con un grupo de direcciones, la configuración falla.

 

Puede ejecutar el comando set workmode lan-card l3centralize para deshabilitar la función de enrutamiento y reenvío en una tarjeta LAN de gama alta. Puede desviar los paquetes recibidos en la tarjeta LAN de gama alta a la CPU del sub-núcleo para el reenvío de paquetes. Las políticas de tráfico basadas en ACL y la función NAT se pueden configurar en la tarjeta LAN de gama alta.

 

2.7.39 Una vez que el servidor NAT basado en la dirección IP y el número de puerto están configurados, la asignación se vuelve ineficaz

Una vez que el servidor de NAT se configura según la dirección IP y el número de puerto, la asignación se vuelve inefectiva. Realice las siguientes operaciones para localizar la falla:

 

Acceda al servidor interno para determinar si el servidor interno puede comunicarse.

Compruebe si hay rutas accesibles entre el dispositivo configurado con el servidor NAT y el servidor externo y el servidor interno.

Compruebe si la configuración del servidor NAT es correcta.

Verifique si el número de puerto externo asignado está disponible y reemplace el puerto externo para verificar si se puede acceder al servidor interno.

Ejecute el comando display nat session en el dispositivo configurado con el servidor NAT para verificar si hay entradas antes y después del mapeo. Obtenga paquetes y verifique si las direcciones en paquetes para el acceso de usuarios externos se traducen en el dispositivo configurado con el servidor NAT.

2.7.40 ¿Qué proceso de CPU es relevante para NAT?

En la salida del comando display cpu-usege, el proceso VALP es relevante para NAT. El uso de la CPU del proceso VALP es alto porque el dispositivo habilitado con NAT ALG envía paquetes al plano de control. Para reducir el uso de la CPU, elimine la configuración innecesaria de ALG.

 

Del grupo: Router


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión