Utilisez la commande debug ip nat pour vérifier le fonctionnement de la NAT en affichant des informations sur chacun des paquets traduits par le routeur. La commande debug ip nat detailed génère une description individuelle des paquets dont la traduction est envisagée. Cette commande renvoie également des informations sur certaines erreurs ou situations exceptionnelles, par exemple l'impossibilité d'allouer une adresse globale. La commande debug ip nat detailed entraîne une plus grande surcharge que la commande debug ip nat, mais elle peut fournir les détails requis pour résoudre le problème de NAT. Pensez à toujours désactiver le débogage lorsque vous avez terminé.
La Figure 1 montre un exemple de résultats de la commande debug ip nat. Le résultat indique que l'hôte interne (192.168.10.10) a envoyé du trafic vers l'hôte externe (209.165.201.1) et que l'adresse source a été traduite en 209.165.200.226.
Lorsque vous décodez le résultat du débogage, notez la signification des valeurs et symboles suivants :
- * (astérisque) : l'astérisque en regard de la NAT indique que la traduction s'effectue sur le chemin à commutation rapide. Le premier paquet d'une conversation est toujours commuté par le processus, ce qui est plus lent. Les paquets restants passent par le chemin à commutation rapide s'il existe une entrée de cache.
- s= : ce symbole fait référence à l'adresse IP source.
- a.b.c.d--->w.x.y.z : indique que l'adresse source a.b.c.d est traduite par w.x.y.z.
- d= : ce symbole fait référence à l'adresse IP de destination.
- [xxxx] : la valeur entre crochets représente le numéro d'identification IP. Ces informations peuvent être utiles pour le débogage car elles permettent d'établir une corrélation avec d'autres traces de paquets provenant d'analyseurs de protocole.
Remarque : vérifiez que la liste de contrôle d'accès indiquée dans la liste des commandes NAT autorise tous les réseaux requis. Sur la Figure 2, seules les adresses 192.168.0.0/16 peuvent être traduites. Les paquets provenant du réseau interne et destinés à Internet dont les adresses sources ne sont pas explicitement autorisées par l'ACL 1 ne sont pas traduits par R2.