简介
本文档介绍如何在vEdge路由器上的服务VPN中配置基于目标的网络地址转换(NAT)。
先决条件
要求
思科建议您了解Cisco SD-WAN。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- vEdge路由器
- 带18.3软件版本的vSmart控制器。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
网络图如下所示。
此处的主要思想是站点50(vedge1)的用户可以通过IP地址192.168.168.1 40.20到达另一端的主机192.168.1 40.20。
这是此IOS配置语句的模拟语句:
ip nat outside source static 192.168.40.20 192.168.140.20
配置
1.在站点50的vEdge上配置NAT池。
vedge1#show running-config vpn 40 interface natpool31
vpn 40
interface natpool31
ip address 192.168.140.5/32
nat
static source-ip 192.168.40.20 translate-ip 192.168.140.20 outside
!
no shutdown
!
!
2.在vSmart上配置并应用数据策略。
vsmart1# show running-config policy data-policy DNAT
policy
data-policy DNAT
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
!
action accept
nat pool 31
!
!
default-action accept
!
!
!
vsmart1# show running-config apply-policy site-list site_50
apply-policy
site-list site_50
data-policy DNAT all
!
!
验证
1.检查相应服务VPN中是否存在转换。
vedge1# show ip nat interface nat-vpn 40
FIB NUMBER
FILTER FILTER IP
VPN IFNAME MAP TYPE FILTER TYPE COUNT COUNT IP POOLS
---------------------------------------------------------------------------------------------------------
40 natpool31 endpoint-independent address-port-restricted 0 0 192.168.140.5/32 1
2.检查从vSmart应用到vEdge的策略。
vedge1# show policy from-vsmart
from-vsmart data-policy ENK_NAT
direction all
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
action accept
nat pool 31
default-action accept
from-vsmart lists vpn-list CORP
vpn 40
故障排除
如果基于目标的NAT不起作用,则此处的重要事项是必须确保NAT池的IP地址可从目标主机到达。这一点很重要,因为根据vEdge路由器基于目标的NAT实施,源IP地址也是NAT到池的IP地址。
例如,根据示例配置目标地址192.168.140.20替换为实际IP地址192.168.40.20,但来自站点50的192.168.50.0/24子网的主机地址也通过NAT转换到192.168.140.5,因此,您仍必须拥有返回此地址的路由,否则回复数据包将无法到达源主机(请求方)。 这可以通过NAT池子网的通告来实现。在本例中,子网仅包含一个地址,并通过重叠管理协议(OMP)通告。
以下是您可以检查远程站点vEdge1上显示的路由:
vedge2# show ip routes vpn 40 omp | i 192.168.140.5
40 192.168.140.5/32 omp - - - - 192.168.30.5 mpls ipsec F,S