Configuratie van VRF-bewuste software-infrastructuur NAT op Cisco IOS XE

Bijgewerkt:16 oktober 2023
Document-id:200255

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de configuratie van VRF-bewuste software-infrastructuur (VASI) voor netwerkadresomzetting (NAT) op routers waarop Cisco IOS® XE wordt uitgevoerd.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies. Dit document is van toepassing op alle Cisco-routers en -switches waarop Cisco IOS XE wordt uitgevoerd.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Apparaten die worden uitgevoerd op Cisco IOS XE ondersteunen geen klassieke inter-VRF NAT-configuraties zoals die op Cisco IOS-apparaten. Ondersteuning voor inter-VRF NAT op Cisco IOS XE wordt bereikt via VASI-implementatie.

    VASI biedt de mogelijkheid om services zoals IPsec, firewall en NAT te configureren voor verkeer dat stroomt tussen Virtual Routing en Forwarding (VRF) instanties.

    VASI wordt geïmplementeerd door VASI-paren te configureren, waarbij elk van de interfaces in het paar is gekoppeld aan een andere VRF-instantie. De virtuele interface van VASI is de volgende-hop interface voor elk pakket dat tussen deze twee VRF-instanties moet worden geschakeld. De koppeling gebeurt automatisch op basis van de twee interface-indexen, zodat de vasileft-interface automatisch wordt gekoppeld aan de interface van de vasiright. Elk pakket dat de Vasileft-interface invoert, wordt automatisch doorgestuurd naar de gekoppelde vasiright-interface.

    Werken met VASI

    Working of VASI diagram

    Wanneer een inter-VRF VASI op hetzelfde apparaat is geconfigureerd, vindt de pakketstroom in deze volgorde plaats:

    1. Een pakket gaat de fysieke interface in die tot VRF 1 behoort.
    2. Alvorens het pakket door:sturen, wordt een het door:sturen raadpleging gedaan in de VRF 1 routeringstabel. Vasileft1 wordt gekozen als de volgende hop, en de tijd om (TTL) waarde te leven is decremented van het pakket. Gewoonlijk wordt het doorsturen adres geselecteerd op basis van de standaardroute in de VRF. Het adres voor doorsturen kan echter ook een statische route of een aangeleerde route zijn. Het pakket wordt verzonden naar de uitgangspad van vasileft1 en dan automatisch verzonden naar de vasiright1 ingangspad.
    3. Wanneer het pakket vasiright1 binnengaat, wordt een het door:sturen raadpleging gedaan in VRF 2 die lijst verpletteren, en TTL is opnieuw decremented (tweede keer voor dit pakket).
    4. VRF 2 stuurt het pakket door naar de fysieke interface.

    Configureren

    Deze scenario's beschrijven basisconfiguratie inter-VRF NAT.

    Netwerkdiagram

    VRF_Left, VRF_Right network diagram

    Eerste configuraties

    San Jose:

    interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.1.2

    Bombay:

    vrf definition VRF_LEFT
 rd 1:1
 !
 address-family ipv4
 exit-address-family

vrf definition VRF_RIGHT
 rd 2:2
 !
 address-family ipv4
 exit-address-family

interface GigabitEthernet0/0/0
  vrf forwarding VRF_LEFT
  ip address 192.168.1.2 255.255.255.0

interface GigabitEthernet0/0/1
 vrf forwarding VRF_RIGHT
 ip address 172.16.1.2 255.255.255.0

    Sydney:

    interface GigabitEthernet0/0/0
 ip address 172.16.1.1 255.255.255.0

    VASI-interfaceconfiguratie

    Elke VASI interface is gekoppeld aan een andere VRF-instantie.

    interface vasileft1
 vrf forwarding VRF_LEFT
 ip address 10.1.1.1 255.255.255.252

interface vasiright1
 vrf forwarding VRF_RIGHT
 ip address 10.1.1.2 255.255.255.252

    NAT-configuratie

    In dit voorbeeld moet NAT met deze vereisten worden geconfigureerd:

    1. Statische NAT - bron IP van 192.168.1.1 wordt vertaald naar 172.16.1.5.
    2. Dynamische NAT - bronsubnetcode van 192.168.1.0/24 wordt vertaald naar 172.16.1.5.

    Scenario 1 - NAT op Vasiright

    In de meeste gevallen, zou de WAN interface op uitgaande VRF, VRF_RIGHT in deze topologie zijn. In zulke gevallen kan NAT worden geconfigureerd tussen de vasiright en de WAN interface; verkeer dat binnenkomt op de vasiright interface van vasileft wordt geconfigureerd als NAT binnenkant, terwijl de WAN interface de NAT buiteninterface zou zijn.

    In dit scenario maken we gebruik van statische routes om verkeer tussen de VRF’s. Een statische route voor de bestemmings172.16.0.0 subnetverbinding wordt gevormd op VRF_Left wijzend op de vasileft interface en een andere route voor de bron subnetnet 192.168.0.0 wordt gevormd op VRF_RIGHT wijzend aan de vasiright interface.

    note-icon

    Opmerking: configureer NAT niet om het IP-bronadres naar het IP-adres van de WAN-interface te vertalen; de router behandelt het retourverkeer dat naar zichzelf is bestemd en verstuurt geen verkeer naar de VASI-interface.

    Statische NAT:

    !--- Interface configuration

interface vasiright1
 vrf forwarding VRF_RIGHT
 ip address 10.1.1.2 255.255.255.252
 ip nat inside

interface GigabitEthernet0/0/1
 vrf forwarding VRF_RIGHT
 ip address 172.16.1.2 255.255.255.0
 ip nat outside


!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1


!--- NAT configuration

ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_RIGHT

    Verificatie:

    Bombay#sh ip nat translations vrf VRF_RIGHT
Pro        Inside global     Inside local       Outside local    Outside global
---        172.16.1.5        192.168.1.1        ---              ---
icmp       172.16.1.5:8      192.168.1.1:8      172.16.1.1:8     172.16.1.1:8
tcp        172.16.1.5:47491  192.168.1.1:47491  172.16.1.1:23    172.16.1.1:23
Total number of translations: 3

    Dynamische NAT:

    !--- Interface configuration

interface vasiright1
 vrf forwarding VRF_RIGHT
 ip address 10.1.1.2 255.255.255.252
 ip nat inside

interface GigabitEthernet0/0/1
 vrf forwarding VRF_RIGHT
 ip address 172.16.1.2 255.255.255.0
 ip nat outside


!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1


!--- Access-list configuration
Extended IP access list 100
 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1
 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1
 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1


!--- NAT configuration

ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24
ip nat inside source list 100 pool POOL vrf VRF_RIGHT overload
    note-icon

    Opmerking: het configureren van beide VASI interfaces van een paar als buiten wordt niet ondersteund.

    Verificatie:

    Bombay#sh ip nat translations
Pro      Inside global      Inside local         Outside local      Outside global
icmp     172.16.1.5:1       192.168.1.1:15       172.16.1.1:15      172.16.1.1:1
tcp      172.16.1.5:1024    192.168.1.1:58166    172.16.1.1:23      172.16.1.1:23
Total number of translations: 2

    Scenario 2 - NAT op Vasileft

    NAT kan ook alleen geconfigureerd worden aan de linkerkant, dat is VRF_LINKS en verkeer NATted hebben voordat het naar VRF_RIGHT verzonden wordt. De inkomende interface op VRF_LINKS wordt beschouwd als de NAT binneninterface en vasileft 1 wordt geconfigureerd als de NAT buiteninterface.

    In dit scenario maken we gebruik van statische routes om verkeer tussen de VRF’s. Een statische route voor de bestemmings172.16.0.0 subnetverbinding wordt gevormd op VRF_Left wijzend op de interface van VRF_Left en een andere route voor de bron NATted IP 172.16.1.5 wordt gevormd op VRF_RIGHT richtend aan de interface van de vasiright.

    Statische NAT:

    !--- Interface configuration

interface GigabitEthernet0/0/0
 vrf forwarding VRF_LEFT
 ip address 192.168.1.2 255.255.255.0
 ip nat inside

interface vasileft1
 vrf forwarding VRF_LEFT
 ip address 10.1.1.1 255.255.255.252
 ip nat outside


!--- Static route configuration

ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1


!--- NAT configuration
ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_LEFT

    Verificatie:

    Bombay#sh ip nat translations vrf VRF_LEFT
Pro       Inside global        Inside local         Outside local      Outside global
---       172.16.1.5           192.168.1.1          ---                ---
icmp      172.16.1.5:5         192.168.1.1:5        172.16.1.1:5       172.16.1.1:5
tcp       172.16.1.5:35414     192.168.1.1:35414    172.16.1.1:23      172.16.1.1:23
Total number of translations: 3

    Dynamische NAT:

    !--- Interface configuration

interface GigabitEthernet0/0/0
 vrf forwarding VRF_LEFT
 ip address 192.168.1.2 255.255.255.0
 ip nat inside

interface vasileft1
 vrf forwarding VRF_LEFT
 ip address 10.1.1.1 255.255.255.252
 ip nat outside


!--- Static route configuration

    ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1


!--- Access-list configuration

Extended IP access list 100
 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1
 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1
 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1


!--- NAT configuration

ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24
ip nat inside source list 100 pool POOL vrf VRF_LEFT overload

    Verificatie:

    Bombay#sh ip nat translations vrf VRF_LEFT
    Pro      Inside global      Inside local        Outside local    Outside global
icmp     172.16.1.5:1       192.168.1.1:4       172.16.1.1:4     172.16.1.1:1
tcp      172.16.1.5:1024    192.168.1.1:27593   172.16.1.1:23    172.16.1.1:23
Total number of translations: 2

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    1. Controleer of dynamische/statische routes zijn geconfigureerd om verkeer tussen de twee VRF-instanties te leiden.
    2. Controleer of NAT is geconfigureerd voor de juiste VRF.

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    16-Oct-2023
    Werkte het gedeelte Verwante informatie en de opmaak bij.
    1.0
    17-Nov-2015
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rohit Nair
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco