NAT baseado no destino do lado do serviço no roteador vEdge

Introduction

Este documento descreve como configurar a Conversão de Endereço de Rede (NAT - Network Address Translation) com base no destino em VPN de serviço no roteador vEdge.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento do Cisco SD-WAN.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Roteadores vEdge 
• vSmart Controller com uma versão de software 18.3.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Diagrama de Rede

O diagrama de rede é mostrado aqui.

A ideia principal aqui é que os usuários do site 50 (vedge1) podem acessar o host 192.168.40.20 em outro lado através do endereço IP 192.168.140.20.

Isto é analógico desta instrução de configuração do IOS:

ip nat outside source static 192.168.40.20 192.168.140.20

Configurações

1. Configure o pool NAT no vEdge no local 50.

vedge1#show running-config vpn 40 interface natpool31 
vpn 40
 interface natpool31
  ip address 192.168.140.5/32
  nat
   static source-ip 192.168.40.20 translate-ip 192.168.140.20 outside
  !
  no shutdown
 !
!

 2. Configure e aplique a política de dados no vSmart.

vsmart1# show running-config policy data-policy DNAT 
policy
 data-policy DNAT
  vpn-list CORP
   sequence 10
    match
     destination-ip 192.168.140.20/32
    !
    action accept
     nat pool 31
    !
   !
   default-action accept
  !
 !
!

vsmart1# show running-config apply-policy site-list site_50 
apply-policy
 site-list site_50
  data-policy DNAT all
 !
!

Verificar

1. Verifique se a tradução está lá em uma VPN de serviço correspondente.

vedge1# show ip nat interface nat-vpn 40

                                                                       FIB                       NUMBER  
                                                               FILTER  FILTER                    IP      
VPN  IFNAME     MAP TYPE              FILTER TYPE              COUNT   COUNT   IP                POOLS   
---------------------------------------------------------------------------------------------------------
40   natpool31  endpoint-independent  address-port-restricted  0       0       192.168.140.5/32  1       

 2. Verifique a política aplicada ao vEdge a partir do vSmart.

vedge1# show policy from-vsmart 
from-vsmart data-policy ENK_NAT
 direction all
 vpn-list CORP
  sequence 10
   match
    destination-ip 192.168.140.20/32
   action accept
    nat pool 31
  default-action accept
from-vsmart lists vpn-list CORP
 vpn 40

Troubleshoot

Se o NAT baseado no destino não funcionar, o importante aqui é que você deve garantir que o endereço IP do pool NAT seja alcançável do host de destino. Isso é importante porque, conforme o endereço IP origem da implementação NAT baseada no destino do roteador vEdge, também é NAT para o endereço IP do pool. 
Assim, por exemplo, com base no exemplo de endereço de destino de configuração 192.168.140.20 é substituído pelo endereço IP real 192.168.40.20, mas o endereço do host da sub-rede 192.168.50.0/24 no site 50 também é NATed para 192.168 140.5, portanto, você deve ter uma rota de volta para esse endereço assim mesmo ou os pacotes de resposta não chegarão ao host de origem (solicitante). Isso pode ser feito com o anúncio da sub-rede do pool NAT. Neste exemplo, a sub-rede consiste em apenas um endereço e é anunciada via Protocolo de Gerenciamento de Sobreposição (OMP - Overlay Management Protocol).

Aqui você pode verificar se a rota é apresentada no vEdge1 no local remoto:

vedge2# show ip routes vpn 40 omp | i 192.168.140.5
40     192.168.140.5/32    omp              -         -           -                -        192.168.30.5     mpls             ipsec  F,S