Configuration de la fonction NAT d'infrastructure logicielle compatible VRF sur Cisco IOS XE

Mis à jour:16 octobre 2023
ID du document:200255

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la configuration de la traduction d'adresses de réseau (NAT) de l'infrastructure logicielle compatible VRF (VASI) sur les routeurs qui exécutent Cisco IOS® XE.

    Conditions préalables

    Exigences

    Aucune exigence spécifique n'est associée à ce document.

    Composants utilisés

    Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques. Ce document s'applique à tous les routeurs et commutateurs Cisco qui exécutent Cisco IOS XE.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Les périphériques qui s'exécutent sur Cisco IOS XE ne prennent pas en charge les configurations NAT inter-VRF classiques comme celles trouvées sur les périphériques Cisco IOS. La prise en charge de la fonction NAT inter-VRF sur Cisco IOS XE est assurée par la mise en oeuvre de VASI.

    VASI permet de configurer des services tels qu'IPsec, le pare-feu et NAT pour le trafic qui circule entre les instances de routage et de transfert virtuel (VRF).

    VASI est mis en oeuvre en configurant des paires VASI, où chacune des interfaces de la paire est associée à une instance VRF différente. L'interface virtuelle VASI est l'interface de tronçon suivant pour tout paquet qui doit être commuté entre ces deux instances VRF. L'appariement s'effectue automatiquement en fonction des deux index d'interface, de sorte que l'interface vasileft est automatiquement appariée à l'interface vasiright. Tout paquet qui entre dans l'interface vasileft est automatiquement transféré à son interface vasiright jumelée.

    Fonctionnement de VASI

    Working of VASI diagram

    Lorsqu'un VASI inter-VRF est configuré sur le même périphérique, le flux de paquets se produit dans l'ordre suivant :

    1. Un paquet entre dans l’interface physique qui appartient à VRF 1.
    2. Avant de transférer le paquet, une recherche de transfert est effectuée dans la table de routage VRF 1. Vasileft1 est choisi comme tronçon suivant et la valeur de durée de vie (TTL) est décrémentée à partir du paquet. Généralement, l'adresse de transfert est sélectionnée sur la base de la route par défaut dans le VRF. Cependant, l’adresse de transfert peut également être une route statique ou une route apprise. Le paquet est envoyé au chemin de sortie de vasileft1, puis automatiquement au chemin d’entrée de vasiright1.
    3. Lorsque le paquet entre dans vasiright1, une recherche de transfert est effectuée dans la table de routage VRF 2 et la durée de vie est à nouveau décrémentée (deuxième fois pour ce paquet).
    4. VRF 2 transfère le paquet à l’interface physique.

    Configurer

    Ces scénarios décrivent la configuration NAT inter-VRF de base.

    Diagramme du réseau

    VRF_Left, VRF_Right network diagram

    Paramètres de configuration initiaux

    San Jose :

    interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.1.2

    Bombay :

    vrf definition VRF_LEFT
 rd 1:1
 !
 address-family ipv4
 exit-address-family

vrf definition VRF_RIGHT
 rd 2:2
 !
 address-family ipv4
 exit-address-family

interface GigabitEthernet0/0/0
  vrf forwarding VRF_LEFT
  ip address 192.168.1.2 255.255.255.0

interface GigabitEthernet0/0/1
 vrf forwarding VRF_RIGHT
 ip address 172.16.1.2 255.255.255.0

    Sydney :

    interface GigabitEthernet0/0/0
 ip address 172.16.1.1 255.255.255.0

    Configuration d'interface VASI

    Chaque interface VASI est associée à une instance VRF différente.

    interface vasileft1
 vrf forwarding VRF_LEFT
 ip address 10.1.1.1 255.255.255.252

interface vasiright1
 vrf forwarding VRF_RIGHT
 ip address 10.1.1.2 255.255.255.252

    Configuration NAT

    Dans cet exemple, la fonction NAT doit être configurée avec les exigences suivantes :

    1. NAT statique : l'adresse IP source 192.168.1.1 doit être traduite en 172.16.1.5.
    2. NAT dynamique : le sous-réseau source de 192.168.1.0/24 doit être traduit en 172.16.1.5.

    Scénario 1 - NAT sur Vasiright

    Dans la plupart des cas, l'interface WAN se trouve sur le VRF sortant, VRF_RIGHT dans cette topologie. Dans de tels cas, NAT peut être configuré entre l'interface vasiright et l'interface WAN ; le trafic entrant sur l'interface vasiright depuis vasileft est configuré comme NAT interne, tandis que l'interface WAN serait l'interface NAT externe.

    Dans ce scénario, nous utilisons des routes statiques pour le trafic entre les VRF. Une route statique pour le sous-réseau 172.16.0.0 de destination est configurée sur VRF_LEFT pointant vers l'interface vasileft et une autre route pour le sous-réseau source 192.168.0.0 est configurée sur VRF_RIGHT pointant vers l'interface vasiright.

    note-icon

    Remarque : ne configurez pas NAT pour traduire l'adresse IP source en adresse IP d'interface WAN ; le routeur traite le trafic de retour comme étant destiné à lui-même et ne transfère pas le trafic vers l'interface VASI.

    NAT statique:

    !--- Interface configuration

interface vasiright1
 vrf forwarding VRF_RIGHT
 ip address 10.1.1.2 255.255.255.252
 ip nat inside

interface GigabitEthernet0/0/1
 vrf forwarding VRF_RIGHT
 ip address 172.16.1.2 255.255.255.0
 ip nat outside


!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1


!--- NAT configuration

ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_RIGHT

    Vérification :

    Bombay#sh ip nat translations vrf VRF_RIGHT
Pro        Inside global     Inside local       Outside local    Outside global
---        172.16.1.5        192.168.1.1        ---              ---
icmp       172.16.1.5:8      192.168.1.1:8      172.16.1.1:8     172.16.1.1:8
tcp        172.16.1.5:47491  192.168.1.1:47491  172.16.1.1:23    172.16.1.1:23
Total number of translations: 3

    NAT dynamique:

    !--- Interface configuration

interface vasiright1
 vrf forwarding VRF_RIGHT
 ip address 10.1.1.2 255.255.255.252
 ip nat inside

interface GigabitEthernet0/0/1
 vrf forwarding VRF_RIGHT
 ip address 172.16.1.2 255.255.255.0
 ip nat outside


!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1


!--- Access-list configuration
Extended IP access list 100
 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1
 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1
 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1


!--- NAT configuration

ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24
ip nat inside source list 100 pool POOL vrf VRF_RIGHT overload
    note-icon

    Remarque : la configuration des deux interfaces VASI d'une paire comme externes n'est pas prise en charge.

    Vérification :

    Bombay#sh ip nat translations
Pro      Inside global      Inside local         Outside local      Outside global
icmp     172.16.1.5:1       192.168.1.1:15       172.16.1.1:15      172.16.1.1:1
tcp      172.16.1.5:1024    192.168.1.1:58166    172.16.1.1:23      172.16.1.1:23
Total number of translations: 2

    Scénario 2 - NAT sur Vasileft

    La fonction NAT peut également être configurée uniquement sur le côté vasileft, c'est-à-dire VRF_LEFT, et le trafic NAT peut être configuré avant d'être envoyé à VRF_RIGHT. L'interface entrante sur VRF_LEFT est considérée comme l'interface interne NAT, et vasileft 1 est configurée comme l'interface externe NAT.

    Dans ce scénario, nous utilisons des routes statiques pour le trafic entre les VRF. Une route statique pour le sous-réseau 172.16.0.0 de destination est configurée sur VRF_LEFT pointant vers l'interface vasileft et une autre route pour l'IP NATted source 172.16.1.5 est configurée sur VRF_RIGHT pointant vers l'interface vasiright.

    NAT statique:

    !--- Interface configuration

interface GigabitEthernet0/0/0
 vrf forwarding VRF_LEFT
 ip address 192.168.1.2 255.255.255.0
 ip nat inside

interface vasileft1
 vrf forwarding VRF_LEFT
 ip address 10.1.1.1 255.255.255.252
 ip nat outside


!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1


!--- NAT configuration
ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_LEFT

    Vérification :

    Bombay#sh ip nat translations vrf VRF_LEFT
Pro       Inside global        Inside local         Outside local      Outside global
---       172.16.1.5           192.168.1.1          ---                ---
icmp      172.16.1.5:5         192.168.1.1:5        172.16.1.1:5       172.16.1.1:5
tcp       172.16.1.5:35414     192.168.1.1:35414    172.16.1.1:23      172.16.1.1:23
Total number of translations: 3

    NAT dynamique:

    !--- Interface configuration

interface GigabitEthernet0/0/0
 vrf forwarding VRF_LEFT
 ip address 192.168.1.2 255.255.255.0
 ip nat inside

interface vasileft1
 vrf forwarding VRF_LEFT
 ip address 10.1.1.1 255.255.255.252
 ip nat outside


!--- Static route configuration

    ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1


!--- Access-list configuration

Extended IP access list 100
 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1
 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1
 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1


!--- NAT configuration

ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24
ip nat inside source list 100 pool POOL vrf VRF_LEFT overload

    Vérification :

    Bombay#sh ip nat translations vrf VRF_LEFT
    Pro      Inside global      Inside local        Outside local    Outside global
icmp     172.16.1.5:1       192.168.1.1:4       172.16.1.1:4     172.16.1.1:1
tcp      172.16.1.5:1024    192.168.1.1:27593   172.16.1.1:23    172.16.1.1:23
Total number of translations: 2

    Vérifier

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    1. Vérifiez si les routes dynamiques/statiques sont configurées pour acheminer le trafic entre les deux instances VRF.
    2. Vérifiez si la fonction NAT a été configurée pour le VRF correct.

    Dépannage

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    16-Oct-2023
    Mise à jour de la section et du formatage des informations connexes.
    1.0
    17-Nov-2015
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Rohit Nair
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco