路由器做NAT，一段时间后某一客户端无法上网问题解决方法。

症状：
1、路由器能ping通外网，客户端能ping通路由器但无法ping通外网
2、客户端随便更换一个IP后能够上网，但是改回以前的IP就又不能上网
3、在路由器上使用clear ip nat translation * 命令后，客户端立刻能够上网

分析：
路由器能ping通外网，证明路由器上的设置都没错，能够正常和外网连接
客户机换IP能够上网证明客户机自身也没有问题
路由器上清空NAT条目之后，客户机立即恢复正常
由此分析可能是由于时间一长NAT条目过多，造成路由器的故障，可以通过以下命令减少NAT条目数和TCP连接超时等命令：

ip kerberos source-interface any
ip nat translation timeout 3000
ip nat translation tcp-timeout 500
ip nat translation udp-timeout 30
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat translation icmp-timeout 30
ip nat translation max-entries 24000

==========================================================
以上思路参考以下文章：

由于在CATALYST6509上配置了基于端口的NAT功能，一旦校园网内某台感染“红色代码”病毒的IIS服务器向外发起攻击，或某人使用端口扫描工具不断地发起针对各个TCP和UDP端口的试探连接，6509都会为每个TCP或UDP连接在它的地址翻译表中建立一条基于端口复用的连接，这样一来，随着攻击的进行，NAT表里维持的连接数会越来越多，直到耗尽CPU利用率。这时，让我们看一下CATLYST6509的情况： 
CAT6509#sh ip nat statistics 
Total active translations: 18404 (0 static, 18404 dynamic; 18372 extended) 
Outside interfaces: 
Vlan3, Vlan5 
Inside interfaces: 
Vlan10, Vlan12, Vlan103, Vlan108, Vlan109, Vlan165, Vlan166 
Hits: 979206714 Misses: 9323076
Expired translations: 10650887
Dynamic mappings:
-- Inside Source
access-list 1 pool teachers refcount 9269
pool teachers: netmask 255.255.255.224
start 210.83.X.X end 210.83.X.X
type generic, total addresses 28, allocated 28 (100%), misses 34659
access-list 2 pool students refcount 9135
pool students: netmask 255.255.255.240
start 210.83.X.X end 210.83.X.X
type generic, total addresses 13, allocated 13 (100%), misses 194892
NAT表里的连接数已经达到1万8千多条！这基本是CPU处理能力的极限（还要看数据包的流量）。
CAT6509#sh ip nat tr
…
tcp 210.83.X.X:1248 192.168.0.226:1039 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1274 192.168.0.226:1049 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1253 192.168.0.226:1040 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1255 192.168.0.226:1088 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1257 192.168.0.226:1089 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1258 192.168.0.226:1041 61.139.8.X:80 61.139.8.X:80
tcp 210.83.X.X:1264 192.168.0.226:1066 61.139.8.X:80 61.139.8.X:80
…
从输出里可见，大部分连接都是192.168.0.226这台机器发起的,使用下面的命令可以看得更清楚:
CAT6509#sh ip nat tr | include 192.168.0.226
(输出略)
那么如何解决这个问题? 
需要使用下面的一系列命令: 
CAT6509(conf)#ip nat translation max-entries 12000
   //把NAT表里的连接数限制到12000条，防止达到处理能力的极限，造成全瘫。

CAT6509(conf)#ip nat translation icmp-timeout 10 
   //ICMP连接的空闲时限是60秒，现在把它设为10秒，这样可以使空闲10秒的ICMP连接被及时清除出NAT表，防止NAT表里的连接数被“虚占其位”的ICMP空闲连接搞得迅速增长，耗尽CPU资源。

CAT6509(conf)#ip nat translation udp-timeout 20 
   //UDP连接的空闲时限是300秒，现在把它设为20秒，原因同前面一样。

CAT6509(conf)#ip nat translation syn-timeout 15 
   //设置发出TCP连接请求数据包后，等待握手应答的空闲时间，缺省是60秒，现在设为15秒。由于“红色代码”病毒是以一种漫无目的方式发起TCP连接，许多目的地址是不存在的，或是没有运行IIS系统，所以根本没有应答。设置发出TCP连接请求数据包后，等待握手应答的空闲时间为15秒，可以使空闲15秒的TCP发起连接被及时清除出NAT表。

CAT6509(conf)#ip nat translation tcp-timeout 300 
   //设置当TCP连接经过三次握手建立起来后，连接没有数据流的空闲时限，缺省为24小时，现在设为5分钟，这样可以使空闲300秒的TCP连接被及时清除出NAT表，同样防止NAT表里的连接数被“虚占其位”的TCP空闲连接搞得迅速增长，耗尽CPU资源。 
应用上述配置后， 从实际效果上看，确实起了作用，6509抗攻击能力显著提高。 
--------------------------------------------------------------------------------
看看一个在cisco4000上的配置
ip kerberos source-interface any
ip nat translation timeout 3000
ip nat translation tcp-timeout 500
ip nat translation udp-timeout 30
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat translation icmp-timeout 30
ip nat translation max-entries 24000
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 221.237.163.1
ip route 210.6.0.0 255.255.0.0 10.1.1.3
no ip http server
!
access-list 1 permit 10.1.0.0 0.0.255.255
access-list 1 permit 211.83.0.0 0.0.255.255
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 1 permit 210.6.0.0 0.0.255.255