El comando debug ip nat

Para verificar el funcionamiento de la característica de NAT, utilice el comando debug ip nat, que muestra información sobre cada paquete que traduce el router. El comando debug ip nat detailed genera una descripción de cada paquete que se tiene en cuenta para traducir. Este comando también proporciona información sobre determinados errores o condiciones de excepción, como la falla para asignar una dirección global. El comando debug ip nat detailed genera más sobrecarga que el comando debug ip nat, pero puede proporcionar el detalle necesario para resolver el problema de NAT. Desactive siempre la depuración al finalizar.

En la figura 1, se muestra un resultado de ejemplo de debug ip nat. Este resultado muestra que el host interno (192.168.10.10) inició el tráfico hacia el host externo (209.165.201.1) y que la dirección de origen se tradujo a la dirección 209.165.200.226.

Cuando decodifique el resultado de este comando, observe los significados de los siguientes símbolos y valores:

  • * (asterisco): el asterisco junto a NAT indica que la traducción se realiza en la ruta de switching rápido. Al primer paquete en una conversación siempre se aplica el switching de procesos, que es más lento. Si existe una entrada de caché, el resto de los paquetes atraviesan la ruta de switching rápido.

  • s= - Este símbolo hace referencia a la dirección IPv4 de origen.

  • a.b.c.d--->w.x.y.z: este valor indica que la dirección de origen a.b.c.d se traduce a w.x.y.z.

  • d= - Este símbolo hace referencia a la dirección IPv4 de destino.

  • [xxxx] - El valor entre corchetes es el número de identificación IPv4. Esta información puede ser útil para la depuración, ya que habilita la correlación con otros seguimientos de paquetes realizados por los analizadores de protocolos.

Nota: Verifique que la ACL a la que se hace referencia en el comando de NAT permita todas las redes necesarias. En la figura 2, solo las direcciones 192.168.0.0/16 se pueden traducir. El R2 no traduce los paquetes de la red interna destinados a Internet con direcciones de origen que la ACL 1 no permita de forma explícita.