在Cisco IOS XE上配置VRF感知軟體基礎設施NAT
簡介
本檔案介紹執行Cisco IOS® XE的路由器上設定VRF感知軟體基礎架構(VASI)網路位址轉譯(NAT)。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。本檔案適用於執行Cisco IOS XE的所有思科路由器和交換器。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在Cisco IOS XE上運行的裝置不支援傳統的VRF間NAT配置,如Cisco IOS裝置上的配置。通過VASI實施實現了對Cisco IOS XE上的VRF間NAT的支援。
VASI能夠為虛擬路由和轉發(VRF)例項之間流動的流量配置IPsec、防火牆和NAT等服務。
VASI通過配置VASI對實現,其中對中的每個介面與不同的VRF例項相關聯。VASI虛擬介面是需要在這兩個VRF例項之間交換的任何資料包的下一跳介面。基於兩個介面索引自動完成配對,以便將vasileft介面自動配對到vasileght介面。任何進入vasileft介面的資料包都會自動轉發到其配對的vasileght介面。
VASI的工作
當在同一裝置上配置了VRF間VASI時,資料包流按以下順序發生:
- 封包進入屬於VRF 1的物理介面。
- 轉發資料包之前,會在VRF 1路由表中執行轉發查詢。Vasileft1被選為下一跳,生存時間(TTL)值從資料包中遞減。通常,根據VRF中的預設路由選擇轉發地址。但是,轉發地址也可以是靜態路由或獲知的路由。資料包將傳送到vasileft1的出口路徑,然後自動傳送到vasileght1入口路徑。
- 當資料包進入vasiright1時,在VRF 2路由表中執行轉發查詢,並再次遞減TTL(此資料包的第二次遞減)。
- VRF 2將封包轉送到實體介面。
設定
這些場景描述基本的VRF間NAT配置。
網路圖表
初始配置
聖何塞:
interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 192.168.1.2
孟買:
vrf definition VRF_LEFT rd 1:1 ! address-family ipv4 exit-address-family vrf definition VRF_RIGHT rd 2:2 ! address-family ipv4 exit-address-family interface GigabitEthernet0/0/0 vrf forwarding VRF_LEFT ip address 192.168.1.2 255.255.255.0 interface GigabitEthernet0/0/1 vrf forwarding VRF_RIGHT ip address 172.16.1.2 255.255.255.0
雪梨:
interface GigabitEthernet0/0/0 ip address 172.16.1.1 255.255.255.0
VASI介面配置
每個VASI介面與不同的VRF例項配對。
interface vasileft1 vrf forwarding VRF_LEFT ip address 10.1.1.1 255.255.255.252 interface vasiright1 vrf forwarding VRF_RIGHT ip address 10.1.1.2 255.255.255.252
NAT配置
在本示例中,NAT將配置以下要求:
- 靜態NAT — 將源IP 192.168.1.1轉換為172.16.1.5。
- 動態NAT — 將192.168.1.0/24的源子網轉換為172.16.1.5。
案例1 - Vasiright上的NAT
在大多數情況下,WAN介面將位於此拓撲中的傳出VRF(VRF_RIGHT)上。在這種情況下,NAT可在vasiright和WAN介面之間配置;從vasiright介面傳入的流量配置為NAT內部,而WAN介面將是NAT外部介面。
在此場景中,我們將靜態路由用於VRF之間的流量。目標172.16.0.0子網的靜態路由在指向vasright介面的VRF_LEFT上配置,而源子網192.168.0.0的另一個路由在指向vasright介面的VRF_RIGHT上配置。
注意:不要配置NAT將源IP地址轉換為WAN介面IP地址;路由器將返回流量視為發往其自身,並且不會將流量轉發到VASI介面。
靜態NAT:
!--- Interface configuration interface vasiright1 vrf forwarding VRF_RIGHT ip address 10.1.1.2 255.255.255.252 ip nat inside interface GigabitEthernet0/0/1 vrf forwarding VRF_RIGHT ip address 172.16.1.2 255.255.255.0 ip nat outside !--- Static route configuration ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2 ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1 !--- NAT configuration ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_RIGHT
驗證:
Bombay#sh ip nat translations vrf VRF_RIGHT Pro Inside global Inside local Outside local Outside global --- 172.16.1.5 192.168.1.1 --- --- icmp 172.16.1.5:8 192.168.1.1:8 172.16.1.1:8 172.16.1.1:8 tcp 172.16.1.5:47491 192.168.1.1:47491 172.16.1.1:23 172.16.1.1:23 Total number of translations: 3
動態NAT:
!--- Interface configuration interface vasiright1 vrf forwarding VRF_RIGHT ip address 10.1.1.2 255.255.255.252 ip nat inside interface GigabitEthernet0/0/1 vrf forwarding VRF_RIGHT ip address 172.16.1.2 255.255.255.0 ip nat outside !--- Static route configuration ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2 ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1 !--- Access-list configuration Extended IP access list 100 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1 !--- NAT configuration ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24 ip nat inside source list 100 pool POOL vrf VRF_RIGHT overload
注意:不支援將一對的兩個VASI介面都配置為外部。
驗證:
Bombay#sh ip nat translations Pro Inside global Inside local Outside local Outside global icmp 172.16.1.5:1 192.168.1.1:15 172.16.1.1:15 172.16.1.1:1 tcp 172.16.1.5:1024 192.168.1.1:58166 172.16.1.1:23 172.16.1.1:23 Total number of translations: 2
場景2 - Vasileft上的NAT
NAT也可以只配置在左側,即VRF_LEFT,並在流量傳送到VRF_RIGHT之前進行NAT轉換。VRF_LEFT上的傳入介面被視為NAT內部介面,vasileft 1被配置為NAT外部介面。
在此場景中,我們將靜態路由用於VRF之間的流量。目標172.16.0.0子網的靜態路由在指向vasright介面的VRF_LEFT上配置,而源NATted IP 172.16.1.5的另一個路由在指向vasright介面的VRF_RIGHT上配置。
靜態NAT:
!--- Interface configuration interface GigabitEthernet0/0/0 vrf forwarding VRF_LEFT ip address 192.168.1.2 255.255.255.0 ip nat inside interface vasileft1 vrf forwarding VRF_LEFT ip address 10.1.1.1 255.255.255.252 ip nat outside !--- Static route configuration ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2 ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1 !--- NAT configuration ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_LEFT
驗證:
Bombay#sh ip nat translations vrf VRF_LEFT Pro Inside global Inside local Outside local Outside global --- 172.16.1.5 192.168.1.1 --- --- icmp 172.16.1.5:5 192.168.1.1:5 172.16.1.1:5 172.16.1.1:5 tcp 172.16.1.5:35414 192.168.1.1:35414 172.16.1.1:23 172.16.1.1:23 Total number of translations: 3
動態NAT:
!--- Interface configuration interface GigabitEthernet0/0/0 vrf forwarding VRF_LEFT ip address 192.168.1.2 255.255.255.0 ip nat inside interface vasileft1 vrf forwarding VRF_LEFT ip address 10.1.1.1 255.255.255.252 ip nat outside !--- Static route configuration
ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2 ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1 !--- Access-list configuration Extended IP access list 100 10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1 20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1 30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1 !--- NAT configuration ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24 ip nat inside source list 100 pool POOL vrf VRF_LEFT overload
驗證:
Bombay#sh ip nat translations vrf VRF_LEFT
Pro Inside global Inside local Outside local Outside global icmp 172.16.1.5:1 192.168.1.1:4 172.16.1.1:4 172.16.1.1:1 tcp 172.16.1.5:1024 192.168.1.1:27593 172.16.1.1:23 172.16.1.1:23 Total number of translations: 2
驗證
使用本節內容,確認您的組態是否正常運作。
- 檢查是否將動態/靜態路由配置為在兩個VRF例項之間路由流量。
- 檢查是否已為正確的VRF配置了NAT。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
16-Oct-2023 |
已更新「相關資訊」部分和格式。 |
1.0 |
17-Nov-2015 |
初始版本 |
意見