在Cisco IOS XE SD-WAN路由器上配置服务端静态NAT

下载选项

  • PDF     (472.8 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (215.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (211.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 3 月 29 日
文档 ID:220311

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在Cisco IOS-XE® SD-WAN路由器上执行与服务端VRF之间的静态NAT的配置。

    先决条件

    必须使用版本17.3.1a或更高版本的Cisco IOS-XE SD-WAN设备。

    要求

    Cisco 建议您了解以下主题:

    • 思科软件定义的广域网(SD-WAN)
    • 网络地址转换 (NAT)

    使用的组件

    本文档中的信息基于以下软件和硬件版本。

    • ISR4451-X/K9版本17.6.2

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    网络图

    要配置本文档中介绍的服务静态NAT,应使用此拓扑。

    Network Diagram

    10.1.235.0/24子网是DC站点的专用本地子网。此子网不会通告到重叠管理协议(OMP)中。为了使服务器能够进行通信,它们被静态地添加到10.1.110.0/24子网。

    • 当服务器10.1.235.62启动到172.16.90.90的通信时,cEdge需要将NAT 10.1.235.62发送到10.1.110.10。
    • 当主机172.16.90.90需要与服务器通信时,它会向10.1.110.10发出请求,并且cEdge需要将目的IP转换为10.1.235.62。

    配置

    cEdge配置

    此配置可通过路由器CLI或vManage功能模板执行。

    通过CLI

    配置NAT池:

    ip nat pool natpool10 10.1.110.1 10.1.110.253 prefix-length 24

    配置内部静态NAT全局池:

    ip nat inside source list global-list pool natpool10 vrf 10 match-in-vrf

    配置静态NAT条目:

    ip nat inside source static 10.1.235.62 10.1.110.10 vrf 10 match-in-vrf pool natpool10

    通过vManage功能模板

    在服务VPN功能模板中,导航到NAT部分> NAT池,然后单击新建NAT池

    填写变量并在完成后单击Add:

    Via vManage Feature Template

    验证是否已按如下方式创建池:

    Verify NAT Pool Created

    创建池后,导航到静态NAT,然后点击新建静态NAT按钮。

    填写变量并在完成后单击Add:

    Static NAT Configuration

    集中数据策略

    需要使用集中数据策略将带有所需前缀的数据流量定向到服务端NAT。

    定义VPN和站点列表:

    policy
     lists
      vpn-list VPN-10
       vpn 10
      !
      site-list CEDGE
       site-id 30
      !

    定义内部到外部转换的第一个序列:

    data-policy _VPN-10_Data_NAT_cEdge
     vpn-list VPN-10
      sequence 1
       match
        source-ip 10.1.235.62/32
       !
       action accept
        count nat_cedge_-1665659624
        nat pool 10
       !
      !

    下一序列用于转换目的地址。当从外部向内部发起流量时:

      sequence 11
       match
        destination-ip 10.1.110.10/32
       !
       action accept
        count nat_cedge_out2in_-1665659624
        nat pool 10
       !
      !
      default-action accept
     !
    !

    将策略应用于所有方向:

    apply-policy
     site-list CEDGE
       data-policy _VPN-10_Data_NAT_cEdge all

    验证

    使用验证命令检验NAT配置的状态。

    show sdwan policy from-vsmart
    show ip nat translations
    sdwan policy data-policy-filter

    从服务器10.1.235.62 ping主机172.16.90.90测试:

    cEdge#show ip nat translations
    Pro   Inside global   Inside local   Outside local   Outside global
    ---   10.1.110.10     10.1.235.62    ---             ---
    icmp  10.1.110.10:0   10.1.235.62:0  172.16.90.90:0   172.16.90.90:0
    Total number of translations: 2

    从主机10.90.90.90 ping服务器10.1.110.10测试:

    cEdge#show ip nat translations
    Pro   Inside global     Inside local     Outside local     Outside global
    ---   10.1.110.10       10.1.235.62      ---               ---
    icmp  10.1.110.10:8299  10.1.235.62:8299 172.16.90.90:8299  172.16.90.90:8299
    Total number of translations: 2

    故障排除

    检查数据包是否在数据策略计数器上增加:

    cEdge#show sdwan policy data-policy-filter 
    data-policy-filter _VPN-10_Data_NAT_cEdge
     data-policy-vpnlist VPN-10
      data-policy-counter default_action_count
       packets 1412
       bytes 109382
      data-policy-counter nat_cedge_-1665659624
       packets 154
       bytes 16852
      data-policy-counter nat_cedge_out2in_-1665659624
       packets 7
       bytes 886

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    29-Mar-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗萨纳德尔卡斯蒂略法西内托
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品