وحدة الشبكة (NAT) عبر نظام IOS من Cisco - التكامل مع MPLS VPN
المحتويات
المقدمة
يسمح برنامج ترجمة عنوان الشبكة (NAT) من Cisco IOS® بالوصول إلى الخدمات المشتركة من شبكات VPN متعددة MPLS، حتى عندما تستخدم الأجهزة الموجودة في شبكات VPN عناوين IP التي تتداخل. يكون Cisco IOS NAT واعيا بوجود VRF ويمكن تكوينه على موجهات حافة الموفر داخل شبكة MPLS.
ملاحظة: لا يتم دعم التحويل متعدد البروتوكولات (MPLS) في IOS إلا باستخدام NAT القديم. في هذا الوقت، لا يوجد دعم في Cisco IOS ل NAT NVI مع MPLS.
ومن المتوقع أن يزداد نشر شبكات VPN الخاصة بالخطة المتوسطة الأجل بسرعة على مدى السنوات العديدة المقبلة. لا شك أن الفوائد المترتبة على وجود بنية أساسية مشتركة للشبكة تتيح التوسع السريع وخيارات الاتصال المرنة سوف تدفع إلى المزيد من النمو في الخدمات التي يمكن تقديمها لمجتمع الشبكة البينية.
غير أن الحواجز التي تعترض النمو ما زالت قائمة. لا يزال IPv6 وما يعد به من مساحة عنوان IP تتجاوز إحتياجات الاتصال في المستقبل المنظور في المراحل الأولى من النشر. تستخدم الشبكات الموجودة بشكل عام مخططات عنونة IP الخاصة كما هو محدد داخل RFC 1918 
. غالبا ما يتم إستخدام ترجمة عنوان الشبكة لربط الشبكات عند وجود تداخل أو إزدواج في مساحات العناوين.
سيحتاج موفرو الخدمة والمؤسسات التي لديها خدمات تطبيقات شبكة يريدون تقديمها أو مشاركتها مع العملاء والشركاء إلى تقليل أي عبء على الاتصال يقع على عاتق مستخدم الخدمة. ومن المستحسن، بل ومن الواجب، توسيع العرض ليشمل أكبر عدد ممكن من المستخدمين المحتملين حسب الحاجة لتحقيق الأهداف أو المرتجعات المنشودة. يجب ألا يكون مخطط عنونة IP المستخدم حاجزا يستثني المستخدمين المحتملين.
ومن خلال نشر وحدة الشبكة (NAT) من Cisco IOS في البنية الأساسية المشتركة لشبكة MPLS VPN، يمكن لمزودي خدمة الاتصالات تخفيف بعض أعباء الاتصال على العملاء وتسريع قدرتهم على ربط المزيد من خدمات التطبيقات المشتركة بمزيد من مستهلكي هذه الخدمات.
الفوائد من تكامل NAT - MPLS
إن دمج NAT مع MPLS يحقق فوائد لكل من مزودي الخدمة وعملائهم من المؤسسات. وهو يوفر لمزودي الخدمة المزيد من الخيارات لنشر الخدمات المشتركة وتوفير الوصول إلى تلك الخدمات. يمكن لعروض الخدمات الإضافية أن تكون عاملا مميزا على المنافسين.
| لمزود الخدمة | لشبكات VPN |
|---|---|
| المزيد من عروض الخدمات | تكاليف مخفضة |
| زيادة خيارات الوصول | وصول أبسط |
| زيادة الإيرادات | معالجة المرونة |
كما يمكن لعملاء المؤسسات الذين يسعون إلى الاستعانة بمصادر خارجية لبعض أحمال عملهم الحالية الاستفادة من العروض الأوسع نطاقا التي يقدمها مزودو الخدمة. يؤدي نقل عبء إجراء أي ترجمة عنوان ضرورية إلى شبكة مزود الخدمة إلى التخفيف من عبء المهمة الإدارية المعقدة. قد يستمر العملاء في إستخدام العنونة الخاصة، مع الاحتفاظ بإمكانية الوصول إلى الخدمات المشتركة والإنترنت. قد يؤدي دمج وظيفة NAT داخل شبكة مزود الخدمة أيضا إلى تقليل إجمالي التكلفة لعملاء المؤسسة نظرا لأن موجهات طرف العميل ليست مضطرة لتنفيذ وظيفة NAT.
اعتبارات التصميم
عند الأخذ في الاعتبار التصميمات التي ستدعو إلى NAT داخل شبكة MPLS، فإن الخطوة الأولى هي تحديد إحتياجات الخدمة من وجهة نظر التطبيق. سيتعين عليك مراعاة البروتوكولات المستخدمة وأي إتصالات خاصة بالعميل/الخادم يفرضها التطبيق. تأكد من دعم الدعم اللازم للبروتوكولات المستخدمة ومعالجته بواسطة NAT من Cisco IOS. يتم توفير قائمة بالبروتوكولات المدعومة في المستند بوابات طبقة تطبيق Cisco IOS NAT.
بعد ذلك، سيكون من الضروري تحديد الاستخدام المتوقع للخدمة المشتركة ومعدل حركة المرور المتوقع في الحزم في الثانية. NAT هو وظيفة تستخدم وحدة المعالجة المركزية (CPU) للموجه بشكل مكثف. لذلك، ستكون متطلبات الأداء عاملا في تحديد خيار نشر معين وتحديد عدد أجهزة NAT المعنية.
خذ بعين الإعتبار أيضا أي قضايا أمنية وتدابير إحترازية يتعين إتخاذها. على الرغم من أن شبكات VPN MPLS، حسب التعريف، هي حركة مرور خاصة ومنفصلة بشكل فعال، إلا أن شبكة الخدمة المشتركة شائعة بشكل عام بين العديد من شبكات VPN.
سيناريوهات النشر
هناك خياران لنشر NAT ضمن حافة مزود MPLS:
-
مركزي مع Egress NAT PEs
-
موزع مع Ingress NAT PEs
تتضمن بعض الميزات لتكوين وظيفة NAT في نقطة الخروج من شبكة MPLS الأقرب إلى شبكة الخدمة المشتركة:
-
تهيئة مركزية تشجع توفير خدمة أكثر بساطة
-
تبسيط عملية أستكشاف المشكلات وحلها
-
قابلية محسنة للتطوير أثناء التشغيل
-
انخفاض متطلبات تخصيص عنوان IP
ومع ذلك، فإنه يتم التعويض عن المزايا من خلال تقليل القابلية للتطوير والأداء. وهذه هي المقايضة الرئيسية التي يجب النظر فيها. وبطبيعة الحال، يمكن أيضا تنفيذ وظيفة NAT داخل شبكات العملاء إذا تم تحديد أن دمج هذه الميزة مع شبكة MPLS غير مرغوب فيه.
إنغريس بي نات
يمكن تكوين NAT في موجه PE لمدخل شبكة MPLS كما هو موضح في الشكل 1. مع هذا التصميم، يمكن الحفاظ على قابلية التوسيع إلى حد كبير بينما يتم تحسين الأداء من خلال توزيع وظيفة NAT على العديد من الأجهزة الطرفية. يعالج كل NAT PE حركة مرور المواقع المتصلة محليا بهذا PE. تحكم قواعد NAT وقوائم التحكم في الوصول أو خرائط المسار التي تتطلب الحزم ترجمتها.
شكل 1: مدخل PE NAT 
هناك تقييد يمنع NAT بين إثنان VRFs بينما يوفر أيضا NAT إلى خدمة مشتركة كما هو موضح في الشكل 2. وهذا يرجع إلى متطلبات تعيين الواجهات كواجهات "داخلية" و"خارجية" بمعيار NAT. تم تخطيط دعم الاتصالات بين VRFs في خادم واحد لكل منهما من أجل إصدار مستقبلي من Cisco IOS.
الشكل 2: الأعمال التجارية 
إخرس بي نات
يمكن تكوين NAT في موجه PE لمخرج شبكة MPLS كما هو موضح في الشكل 3. ومع هذا التصميم، تم تقليل قابلية التطوير إلى حد ما لأنه يجب على مركز PE المحافظة على المسارات لجميع شبكات العملاء التي يمكنها الوصول إلى الخدمة المشتركة. كما يجب مراعاة متطلبات أداء التطبيق حتى لا تزيد حركة المرور على الموجه الذي يجب أن يترجم عناوين IP الخاصة بالحزم. نظرا لوجود NAT بشكل مركزي لجميع العملاء الذين يستخدمون هذا المسار، يمكن مشاركة تجمعات عناوين IP، وبالتالي، يتم تقليل العدد الإجمالي للشبكات الفرعية المطلوبة.
الشكل 3: Egress PE NAT 
يمكن نشر موجهات متعددة لزيادة إمكانية توسع تصميم Egress PE NAT كما هو موضح في الشكل 4. في هذا السيناريو، يمكن "توفير" شبكات VPN الخاصة بالعميل على موجه NAT محدد. يمكن أن تحدث ترجمة عنوان الشبكة لحركة مرور التجميع من وإلى الخدمة المشتركة لتلك المجموعة من شبكات VPN. على سبيل المثال، يمكن لحركة المرور من شبكات VPN الخاصة بالعميل A و B إستخدام NAT-PE1، بينما تستخدم حركة المرور من وإلى الشبكة الخاصة الظاهرية (VPN) للعميل C NAT-PE2. لا يحمل كل NAT PE حركة مرور البيانات إلا لشبكات VPN المحددة ويحافظ فقط على المسارات إلى المواقع الموجودة في شبكات VPN هذه. يمكن تحديد تجمعات عناوين NAT المنفصلة داخل كل موجه من موجهات NAT PE حتى يتم توجيه الحزم من شبكة الخدمة المشتركة إلى وضع NAT المناسب للترجمة والتوجيه مرة أخرى إلى شبكة VPN الخاصة بالعميل.
الشكل 4: مهايئ ناقل متعدد المنافذ (NAT) 
لا يفرض التصميم المركزي قيودا على كيفية تكوين شبكة الخدمة المشتركة. وعلى وجه التحديد، لا يمكن إستخدام إستيراد/تصدير مسارات شبكات VPN الخاصة ببروتوكول MPLS بين شبكة VPN للخدمات المشتركة وشبكات VPN الخاصة بالعميل. يرجع هذا إلى طبيعة عملية MPLS كما هو محدد بواسطة RFC 2547 . عندما استوردت مسحاج تخديد وتم تصديرها باستخدام المجتمعات الموسعة ووصفات المسار، nat يستطيع لا يحدد المصدر VPN من الحزمة الواردة إلى NAT PE المركزي. الحالة العادية هي جعل شبكة الخدمة المشتركة واجهة عامة بدلا من واجهة VRF. وبعد ذلك، تتم إضافة مسار إلى شبكة الخدمة المشتركة في وضع NAT المركزي لكل جدول VRF مرتبط بشبكة VPN خاصة بالعميل تحتاج إلى الوصول إلى الخدمة المشتركة كجزء من عملية الإمداد. ويرد وصف لذلك بمزيد من التفصيل في وقت لاحق.
خيارات النشر وتفاصيل التكوين
يتضمن هذا القسم بعض التفاصيل المتعلقة بكل خيار من خيارات النشر. يتم أخذ جميع الأمثلة من الشبكة الموضحة في الشكل 5. أحلت هذا رسم بياني ل الإستراحة من هذا قسم.
ملاحظة: في الشبكة المستخدمة لتوضيح تشغيل VRF NAT لهذه الورقة، يتم تضمين موجهات PE فقط. لا توجد موجهات "P" أساسية. بيد أنه لا يزال من الممكن رؤية الآليات الأساسية.
الشكل 5: مثال تكوين NAT الخاص ب VRF 
إخرس بي نات
في هذا المثال، يتم تكوين الموجهات الطرفية الخاصة بالمزود والتي تم وضع العلامة Gila وDragon عليها كموجهات PE بسيطة. ال PE المركزي قرب ال يشارك خدمة lan (iguana) شكلت ل NAT. تتم مشاركة تجمع NAT واحد بواسطة كل شبكة خاصة ظاهرية (VPN) خاصة بالعميل التي تحتاج إلى الوصول إلى الخدمة المشتركة. يتم تنفيذ NAT فقط على الحزم الموجهة لمضيف الخدمة المشتركة على 88.1.88.8.
إعادة توجيه بيانات Egress PE NAT
مع MPLS، يدخل كل ربط الشبكة في مدخل PE ويخرج الشبكة MPLS في مخرج PE. يعرف مسار موجهات تحويل التسمية التي تمر من مدخل إلى مخرج بالمسار المحول للتسمية (LSP). LSP أحادي الإتجاه. يتم إستخدام LSP مختلف لحركة المرور العائدة.
عند إستخدام PE NAT لمدخل الخروج، يتم تحديد فئة تكافؤ إعادة التوجيه (FEC) بشكل فعال لجميع حركات المرور من مستخدمي الخدمة المشتركة. بمعنى آخر، تكون جميع الحزم الموجهة لشبكة LAN الخاصة بالخدمة المشتركة أعضاء في FEC مشترك. يتم تخصيص حزمة ل FEC معين مرة واحدة فقط عند حافة الدخول من الشبكة وتتبع LSP إلى المخرج PE. يتم تعيين FEC في حزمة البيانات عن طريق إضافة تسمية معينة.
تدفق الحزمة إلى الخدمة المشتركة من VPN
in order for أداة في يتعدد VPNs أن يتلقى تداخل عنوان نظام أن ينفذ يشارك خدمة مضيف، nat يتطلب. عندما يتم تكوين NAT في مخرج PE، ستتضمن إدخالات جدول ترجمة عنوان الشبكة معرف VRF للتمييز بين العناوين المكررة وضمان التوجيه المناسب.
الشكل 6: الحزم المرسلة إلى Egress PE NAT 
الشكل 6 يوضح الحزم الموجهة لمضيف خدمة مشتركة من شبكتي VPN عميل لديهما مخططات عنونة IP مكررة. يوضح الشكل حزمة تنشأ في العميل A بعنوان مصدر 172.31.1.1 موجهة لخادم مشترك على 88.1.88.8. يتم أيضا إرسال حزمة أخرى من العميل B مع نفس عنوان IP المصدر إلى نفس الخادم المشترك. عندما تصل الحزم إلى موجه PE، يتم إجراء بحث عن الطبقة 3 لشبكة IP الوجهة في قاعدة معلومات إعادة التوجيه (FIB).
يخبر إدخال FIB موجه PE بإعادة توجيه حركة المرور إلى المخرج PE باستخدام مكدس تسميات. يتم تعيين التسمية القاعية في المكدس بواسطة موجه PE للوجهة، في هذه الحالة يقوم الموجه iguana.
iguana# show ip cef vrf custA 88.1.88.8 88.1.88.8/32, version 47, epoch 0, cached adjacency 88.1.3.2 0 packets, 0 bytes tag information set local tag: VPN-route-head fast tag rewrite with Et1/0, 88.1.3.2, tags imposed: {24} via 88.1.11.5, 0 dependencies, recursive next hop 88.1.3.2, Ethernet1/0 via 88.1.11.5/32 valid cached adjacency tag rewrite with Et1/0, 88.1.3.2, tags imposed: {24}
iguana# show ip cef vrf custB 88.1.88.8
88.1.88.8/32, version 77, epoch 0, cached adjacency 88.1.3.2
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Et1/0, 88.1.3.2, tags imposed: {28}
via 88.1.11.5, 0 dependencies, recursive
next hop 88.1.3.2, Ethernet1/0 via 88.1.11.5/32
valid cached adjacency
tag rewrite with Et1/0, 88.1.3.2, tags imposed: {28}
iguana#
يمكننا أن نرى من الشاشة أن الحزم من VRF custA سيكون لها قيمة علامة تمييز مقدارها 24 (0x18) وأن الحزم من VRF custB سيكون لها قيمة علامة تمييز مقدارها 28 (0x1C).
في هذه الحالة، نظرا لعدم وجود موجهات "P" في شبكتنا، لا يتم فرض أية علامات إضافية. لو كانت هناك موجهات أساسية، لكانت قد تم فرض تسمية خارجية، ولكانت العملية العادية لتبادل التسمية قد حدثت داخل الشبكة المركزية حتى تصل الحزمة إلى المخرج pe.
بما أن موجه Gila متصل مباشرة مع المخرج PE، فإننا نرى أن العلامة تظهر قبل أن تتم إضافتها في أي وقت:
gila# show tag-switching forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 16 Pop tag 88.1.1.0/24 0 Et1/1 88.1.2.2 Pop tag 88.1.1.0/24 0 Et1/0 88.1.3.2 17 Pop tag 88.1.4.0/24 0 Et1/1 88.1.2.2 18 Pop tag 88.1.10.0/24 0 Et1/1 88.1.2.2 19 Pop tag 88.1.11.1/32 0 Et1/1 88.1.2.2 20 Pop tag 88.1.5.0/24 0 Et1/0 88.1.3.2 21 19 88.1.11.10/32 0 Et1/1 88.1.2.2 22 88.1.11.10/32 0 Et1/0 88.1.3.2 22 20 172.18.60.176/32 0 Et1/1 88.1.2.2 23 172.18.60.176/32 0 Et1/0 88.1.3.2 23 Untagged 172.31.1.0/24[V] 4980 Fa0/0 10.88.162.6 24 Aggregate 10.88.162.4/30[V] 1920 25 Aggregate 10.88.162.8/30[V] 137104 26 Untagged 172.31.1.0/24[V] 570 Et1/2 10.88.162.14 27 Aggregate 10.88.162.12/30[V] \ 273480 30 Pop tag 88.1.11.5/32 0 Et1/0 88.1.3.2 31 Pop tag 88.1.88.0/24 0 Et1/0 88.1.3.2 32 16 88.1.97.0/24 0 Et1/0 88.1.3.2 33 Pop tag 88.1.99.0/24 0 Et1/0 88.1.3.2 gila#
gila# show tag-switching forwarding-table 88.1.88.0 detail
Local Outgoing Prefix Bytes tag Outgoing Next Hop
tag tag or VC or Tunnel Id switched interface
31 Pop tag 88.1.88.0/24 0 Et1/0 88.1.3.2
MAC/Encaps=14/14, MRU=1504, Tag Stack{}
005054D92A250090BF9C6C1C8847
No output feature configured
Per-packet load-sharing
gila#
وتصور الشاشات التالية حزم الارتداد كما تم استقبالها بواسطة موجه Egress PE NAT (عند الواجهة E1/0/5 على Iguana).
From CustA:
DLC: ----- DLC Header -----
DLC:
DLC: Frame 1 arrived at 16:21:34.8415; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 005054D92A25
DLC: Source = Station 0090BF9C6C1C
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 00018
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 175
IP: Flags = 0X
IP: .0.. .... = may fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 5EC0 (correct)
IP: Source address = [172.31.1.1]
IP: Destination address = [88.1.88.8]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 8 (Echo)
ICMP: Code = 0
ICMP: Checksum = 4AF1 (correct)
ICMP: Identifier = 4713
ICMP: Sequence number = 6957
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
From CustB:
DLC: ----- DLC Header -----
DLC:
DLC: Frame 11 arrived at 16:21:37.1558; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 005054D92A25
DLC: Source = Station 0090BF9C6C1C
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 0001C
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 165
IP: Flags = 0X
IP: .0.. .... = may fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 5ECA (correct)
IP: Source address = [172.31.1.1]
IP: Destination address = [88.1.88.8]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 8 (Echo)
ICMP: Code = 0
ICMP: Checksum = AD5E (correct)
ICMP: Identifier = 3365
ICMP: Sequence number = 7935
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
ينتج هذا إختبار الاتصال في الإدخالات التالية يتم إنشاؤها في جدول NAT في مخرج PE مسحاج تخديد iguana. يمكن مطابقة الإدخالات المحددة التي تم إنشاؤها للحزم الموضحة أعلاه بمعرف ICMP الخاص بها.
iguana# show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 192.168.1.3:3365 172.31.1.1:3365 88.1.88.8:3365 88.1.88.8:3365 icmp 192.168.1.3:3366 172.31.1.1:3366 88.1.88.8:3366 88.1.88.8:3366 icmp 192.168.1.3:3367 172.31.1.1:3367 88.1.88.8:3367 88.1.88.8:3367 icmp 192.168.1.3:3368 172.31.1.1:3368 88.1.88.8:3368 88.1.88.8:3368 icmp 192.168.1.3:3369 172.31.1.1:3369 88.1.88.8:3369 88.1.88.8:3369 icmp 192.168.1.1:4713 172.31.1.1:4713 88.1.88.8:4713 88.1.88.8:4713 icmp 192.168.1.1:4714 172.31.1.1:4714 88.1.88.8:4714 88.1.88.8:4714 icmp 192.168.1.1:4715 172.31.1.1:4715 88.1.88.8:4715 88.1.88.8:4715 icmp 192.168.1.1:4716 172.31.1.1:4716 88.1.88.8:4716 88.1.88.8:4716 icmp 192.168.1.1:4717 172.31.1.1:4717 88.1.88.8:4717 88.1.88.8:4717
iguana#
show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.3:3365 172.31.1.1:3365 88.1.88.8:3365 88.1.88.8:3365
create 00:00:34, use 00:00:34, left 00:00:25, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:3366 172.31.1.1:3366 88.1.88.8:3366 88.1.88.8:3366
create 00:00:34, use 00:00:34, left 00:00:25, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:3367 172.31.1.1:3367 88.1.88.8:3367 88.1.88.8:3367
create 00:00:34, use 00:00:34, left 00:00:25, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:3368 172.31.1.1:3368 88.1.88.8:3368 88.1.88.8:3368
create 00:00:34, use 00:00:34, left 00:00:25, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:3369 172.31.1.1:3369 88.1.88.8:3369 88.1.88.8:3369
create 00:00:34, use 00:00:34, left 00:00:25, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.1:4713 172.31.1.1:4713 88.1.88.8:4713 88.1.88.8:4713
create 00:00:37, use 00:00:37, left 00:00:22, Map-Id(In): 1,
Pro Inside global Inside local Outside local Outside global
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:4714 172.31.1.1:4714 88.1.88.8:4714 88.1.88.8:4714
create 00:00:37, use 00:00:37, left 00:00:22, Map-Id(In): 1,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:4715 172.31.1.1:4715 88.1.88.8:4715 88.1.88.8:4715
create 00:00:37, use 00:00:37, left 00:00:22, Map-Id(In): 1,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:4716 172.31.1.1:4716 88.1.88.8:4716 88.1.88.8:4716
create 00:00:37, use 00:00:37, left 00:00:22, Map-Id(In): 1,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:4717 172.31.1.1:4717 88.1.88.8:4717 88.1.88.8:4717
create 00:00:37, use 00:00:37, left 00:00:22, Map-Id(In): 1,
flags:
extended, use_count: 0, VRF : custA
iguana#
تدفق الحزمة من الخدمة المشتركة مرة أخرى إلى شبكة VPN الأصلية
مع تدفق الحزم مرة أخرى إلى الأجهزة التي وصلت إلى مضيف الخدمة المشتركة، يتم فحص جدول NAT قبل التوجيه (الحزم التي تنتقل من واجهة NAT "الخارجية" إلى واجهة "الداخل"). لأن كل مدخل فريد يتضمن ال يماثل VRF معين، الربط يستطيع كنت ترجمت ووجهت بشكل مناسب.
الشكل 7: الحزم المرسلة مرة أخرى إلى مستخدم الخدمة المشتركة 
كما هو موضح في الشكل 7، يتم فحص حركة المرور العائدة أولا بواسطة NAT للعثور على إدخال ترجمة مطابق. على سبيل المثال، يتم إرسال حزمة إلى الوجهة 192.168.1.1. ال nat بحث طاولة. عند العثور على التطابق، يتم إجراء الترجمة المناسبة على العنوان "المحلي الداخلي" (172.31.1.1) ثم يتم إجراء بحث عن التجاور باستخدام معرف VRF المرتبط من إدخال nat.
iguana# show ip cef vrf custA 172.31.1.0
172.31.1.0/24, version 12, epoch 0, cached adjacency 88.1.3.1
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Et1/0/5, 88.1.3.1, tags imposed: {23}
via 88.1.11.9, 0 dependencies, recursive
next hop 88.1.3.1, Ethernet1/0/5 via 88.1.11.9/32
valid cached adjacency
tag rewrite with Et1/0/5, 88.1.3.1, tags imposed: {23}
iguana# show ip cef vrf custB 172.31.1.0
172.31.1.0/24, version 18, epoch 0, cached adjacency 88.1.3.1
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Et1/0/5, 88.1.3.1, tags imposed: {26}
via 88.1.11.9, 0 dependencies, recursive
next hop 88.1.3.1, Ethernet1/0/5 via 88.1.11.9/32
valid cached adjacency
tag rewrite with Et1/0/5, 88.1.3.1, tags imposed: {26}
iguana#
يتم إستخدام التسمية 23 (0x17) لحركة المرور الموجهة ل 172.31.1.0/24 في VRF custA ويتم إستخدام التسمية 26 (0x1A) للحزم الموجهة ل 172.31.1.0/24 في VRF custB.
رأيت هذا في ال صدى رد ربط يرسل من مسحاج تخديد iguana:
To custA:
DLC: ----- DLC Header -----
DLC:
DLC: Frame 2 arrived at 16:21:34.8436; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 0090BF9C6C1C
DLC: Source = Station 005054D92A25
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 00017
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 56893
IP: Flags = 4X
IP: .1.. .... = don't fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 4131 (correct)
IP: Source address = [88.1.88.8]
IP: Destination address = [172.31.1.1]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 0 (Echo reply)
ICMP: Code = 0
ICMP: Checksum = 52F1 (correct)
ICMP: Identifier = 4713
ICMP: Sequence number = 6957
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
عندما تصل الحزمة إلى موجه PE الوجهة، استعملت التسمية لتحديد VRF المناسب وقارن أن يرسل الربط عبر.
gila# show mpls forwarding-table Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 16 Pop tag 88.1.1.0/24 0 Et1/1 88.1.2.2 Pop tag 88.1.1.0/24 0 Et1/0 88.1.3.2 17 Pop tag 88.1.4.0/24 0 Et1/1 88.1.2.2 18 Pop tag 88.1.10.0/24 0 Et1/1 88.1.2.2 19 Pop tag 88.1.11.1/32 0 Et1/1 88.1.2.2 20 Pop tag 88.1.5.0/24 0 Et1/0 88.1.3.2 21 19 88.1.11.10/32 0 Et1/1 88.1.2.2 22 88.1.11.10/32 0 Et1/0 88.1.3.2 22 20 172.18.60.176/32 0 Et1/1 88.1.2.2 23 172.18.60.176/32 0 Et1/0 88.1.3.2 23 Untagged 172.31.1.0/24[V] 6306 Fa0/0 10.88.162.6 24 Aggregate 10.88.162.4/30[V] 1920 25 Aggregate 10.88.162.8/30[V] 487120 26 Untagged 172.31.1.0/24[V] 1896 Et1/2 10.88.162.14 27 Aggregate 10.88.162.12/30[V] \ 972200 30 Pop tag 88.1.11.5/32 0 Et1/0 88.1.3.2 31 Pop tag 88.1.88.0/24 0 Et1/0 88.1.3.2 32 16 88.1.97.0/24 0 Et1/0 88.1.3.2 33 Pop tag 88.1.99.0/24 0 Et1/0 88.1.3.2 gila#
التكوينات
تمت إزالة بعض المعلومات الخارجية من التكوينات للاختصار.
IGUANA: ! ip vrf custA rd 65002:100 route-target export 65002:100 route-target import 65002:100 ! ip vrf custB rd 65002:200 route-target export 65002:200 route-target import 65002:200 ! ip cef mpls label protocol ldp tag-switching tdp router-id Loopback0 ! interface Loopback0 ip address 88.1.11.5 255.255.255.255 no ip route-cache no ip mroute-cache ! interface Loopback11 ip vrf forwarding custA ip address 172.16.1.1 255.255.255.255 ! interface Ethernet1/0/0 ip vrf forwarding custB ip address 10.88.163.5 255.255.255.252 no ip route-cache no ip mroute-cache ! interface Ethernet1/0/4 ip address 88.1.1.1 255.255.255.0 ip nat inside no ip mroute-cache tag-switching ip ! interface Ethernet1/0/5 ip address 88.1.3.2 255.255.255.0 ip nat inside no ip mroute-cache tag-switching ip ! ! interface FastEthernet1/1/0 ip address 88.1.88.1 255.255.255.0 ip nat outside full-duplex ! interface FastEthernet5/0/0 ip address 88.1.99.1 255.255.255.0 speed 100 full-duplex ! router ospf 881 log-adjacency-changes redistribute static subnets network 88.1.0.0 0.0.255.255 area 0 ! router bgp 65002 no synchronization no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 88.1.11.1 remote-as 65002 neighbor 88.1.11.1 update-source Loopback0 neighbor 88.1.11.9 remote-as 65002 neighbor 88.1.11.9 update-source Loopback0 neighbor 88.1.11.10 remote-as 65002 neighbor 88.1.11.10 update-source Loopback0 no auto-summary ! address-family ipv4 multicast no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 88.1.11.1 activate neighbor 88.1.11.1 send-community extended neighbor 88.1.11.9 activate neighbor 88.1.11.9 send-community extended no auto-summary exit-address-family ! address-family ipv4 neighbor 88.1.11.1 activate neighbor 88.1.11.9 activate neighbor 88.1.11.10 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf custB redistribute connected redistribute static no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf custA redistribute static no auto-summary no synchronization exit-address-family ! ip nat pool SSPOOL1 192.168.1.1 192.168.1.254 prefix-length 24 ip nat inside source list 181 pool SSPOOL1 vrf custA overload ip nat inside source list 181 pool SSPOOL1 vrf custB overload ip classless ip route 88.1.88.0 255.255.255.0 FastEthernet1/1/0 ip route 88.1.97.0 255.255.255.0 FastEthernet5/0/0 88.1.99.2 ip route 88.1.99.0 255.255.255.0 FastEthernet5/0/0 88.1.99.2 ip route 192.168.1.0 255.255.255.0 Null0 ip route vrf custA 88.1.88.8 255.255.255.255 FastEthernet1/1/0 88.1.88.8 global ip route vrf custB 10.88.208.0 255.255.240.0 10.88.163.6 ip route vrf custB 64.102.0.0 255.255.0.0 10.88.163.6 ip route vrf custB 88.1.88.8 255.255.255.255 FastEthernet1/1/0 88.1.88.8 global ip route vrf custB 128.0.0.0 255.0.0.0 10.88.163.6 no ip http server ! access-list 181 permit ip any host 88.1.88.8 !
GILA: ! ip vrf custA rd 65002:100 route-target export 65002:100 route-target import 65002:100 ! ip vrf custB rd 65002:200 route-target export 65002:200 route-target import 65002:200 ! ip cef mpls label protocol ldp tag-switching tdp router-id Loopback0 ! interface Loopback0 ip address 88.1.11.9 255.255.255.255 ! interface FastEthernet0/0 ip vrf forwarding custA ip address 10.88.162.5 255.255.255.252 duplex full ! interface Ethernet1/0 ip address 88.1.3.1 255.255.255.0 no ip mroute-cache duplex half tag-switching ip ! interface Ethernet1/1 ip address 88.1.2.1 255.255.255.0 no ip mroute-cache duplex half tag-switching ip ! interface Ethernet1/2 ip vrf forwarding custB ip address 10.88.162.13 255.255.255.252 ip ospf cost 100 duplex half ! interface FastEthernet2/0 ip vrf forwarding custA ip address 10.88.162.9 255.255.255.252 duplex full ! router ospf 881 log-adjacency-changes redistribute static subnets network 88.1.0.0 0.0.255.255 area 0 default-metric 30 ! router bgp 65002 no synchronization no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 88.1.11.1 remote-as 65002 neighbor 88.1.11.1 update-source Loopback0 neighbor 88.1.11.1 activate neighbor 88.1.11.5 remote-as 65002 neighbor 88.1.11.5 update-source Loopback0 neighbor 88.1.11.5 activate no auto-summary ! address-family ipv4 vrf custB redistribute connected redistribute static no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf custA redistribute connected redistribute static no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 88.1.11.1 activate neighbor 88.1.11.1 send-community extended neighbor 88.1.11.5 activate neighbor 88.1.11.5 send-community extended no auto-summary exit-address-family ! ip classless ip route vrf custA 172.31.1.0 255.255.255.0 FastEthernet0/0 10.88.162.6 ip route vrf custB 172.31.1.0 255.255.255.0 Ethernet1/2 10.88.162.14 !
سيكون لتنين الموجه ترتيب مشابه جدا للجيلا.
غير مسموح باستيراد/تصدير أهداف المسار
عندما شكلت ال يشارك خدمة شبكة يكون ك VRF مثيل نفسه، مركزي nat في المخرج pe لا يمكن. وذلك نظرا لأنه لا يمكن تمييز الحزم الواردة، كما يوجد مسار واحد فقط للعودة إلى الشبكة الفرعية الناشئة في مخرج PE NAT.
ملاحظة: الغرض من الشاشات التالية هو توضيح نتيجة تكوين غير صالح.
تم تكوين الشبكة العينة بحيث تم تعريف شبكة الخدمة المشتركة كمثيل VRF (اسم VRF = sserver). الآن، يظهر عرض لجدول CEF على المدخل PE هذا:
gila# show ip cef vrf custA 88.1.88.0
88.1.88.0/24, version 45, epoch 0, cached adjacency 88.1.3.2
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Et1/0, 88.1.3.2, tags imposed: {24}
via 88.1.11.5, 0 dependencies, recursive
next hop 88.1.3.2, Ethernet1/0 via 88.1.11.5/32
valid cached adjacency
tag rewrite with Et1/0, 88.1.3.2, tags imposed: {24}
gila#
gila# show ip cef vrf custB 88.1.88.0
88.1.88.0/24, version 71, epoch 0, cached adjacency 88.1.3.2
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Et1/0, 88.1.3.2, tags imposed: {24}
via 88.1.11.5, 0 dependencies, recursive
next hop 88.1.3.2, Ethernet1/0 via 88.1.11.5/32
valid cached adjacency
tag rewrite with Et1/0, 88.1.3.2, tags imposed: {24}
gila#
iguana# show tag-switching forwarding vrftags 24 Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface 24 Aggregate 88.1.88.0/24[V] 10988 iguana#
ملاحظة: لاحظ كيفية فرض قيمة العلامة 24 لكل من VRF CustA و VRF custB.
يعرض هذا العرض جدول التوجيه لمثيل VRF للخدمة المشتركة "sserver":
iguana# show ip route vrf sserver 172.31.1.1 Routing entry for 172.31.1.0/24 Known via "bgp 65002", distance 200, metric 0, type internal Last update from 88.1.11.9 1d01h ago Routing Descriptor Blocks: * 88.1.11.9 (Default-IP-Routing-Table), from 88.1.11.9, 1d01h ago Route metric is 0, traffic share count is 1 AS Hops 0
ملاحظة: يوجد مسار واحد فقط للشبكة الوجهة من منظور مخرج PE Router (iguana).
لذلك، تعذر تمييز حركة المرور من شبكات VPN متعددة للعملاء وتعذر وصول حركة المرور العائدة إلى شبكة VPN المناسبة. في الحالة التي يجب فيها تحديد الخدمة المشتركة كمثيل VRF، يجب نقل وظيفة NAT إلى مدخل PE.
إنغريس بي نات
في هذا المثال، تم تكوين موجهات حافة الموفر التي تحمل العلامة gila وdragon ل NAT. يتم تحديد تجمع NAT لكل شبكة VPN خاصة بالعميل المرفقة التي تحتاج إلى الوصول إلى الخدمة المشتركة. يتم إستخدام التجمع المناسب لكل عنوان من عناوين شبكة العميل التي تكون NATed. يتم تنفيذ NAT فقط على الحزم الموجهة لمضيف الخدمة المشتركة على 88.1.88.8.
ip nat pool SSPOOL1 192.168.1.1 192.168.1.254 prefix-length 24 ip nat pool SSPOOL2 192.168.2.1 192.168.2.254 prefix-length 24 ip nat inside source list 181 pool SSPOOL1 vrf custA overload ip nat inside source list 181 pool SSPOOL2 vrf custB overload
ملاحظة: في هذا السيناريو، لا يتم دعم التجمعات المشتركة. إن ال يشارك خدمة lan (في المخرج pe) يكون ربطت من خلال قارن عام، بعد ذلك ال nat بركة يستطيع كنت شاركت.
نقطة إختبار الاتصال المستمدة من عنوان مكرر (172.31.1.1) داخل كل شبكة من الشبكات المتصلة ب Neuse وCapFear8 ينتج عنها إدخالات NAT هذه:
من جيلا:
gila# show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 192.168.1.1:2139 172.31.1.1:2139 88.1.88.8:2139 88.1.88.8:2139 icmp 192.168.1.1:2140 172.31.1.1:2140 88.1.88.8:2140 88.1.88.8:2140 icmp 192.168.1.1:2141 172.31.1.1:2141 88.1.88.8:2141 88.1.88.8:2141 icmp 192.168.1.1:2142 172.31.1.1:2142 88.1.88.8:2142 88.1.88.8:2142 icmp 192.168.1.1:2143 172.31.1.1:2143 88.1.88.8:2143 88.1.88.8:2143 icmp 192.168.2.2:676 172.31.1.1:676 88.1.88.8:676 88.1.88.8:676 icmp 192.168.2.2:677 172.31.1.1:677 88.1.88.8:677 88.1.88.8:677 icmp 192.168.2.2:678 172.31.1.1:678 88.1.88.8:678 88.1.88.8:678 icmp 192.168.2.2:679 172.31.1.1:679 88.1.88.8:679 88.1.88.8:679 icmp 192.168.2.2:680 172.31.1.1:680 88.1.88.8:680 88.1.88.8:680
ملاحظة: تتم ترجمة العنوان المحلي نفسه (172.31.1.1) إلى كل تجمع من التجمعات المحددة وفقا للمصدر VRF. ال VRF يستطيع كنت رأيت في العرض ip nat ترجمة أمر:
gila# show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.1:2139 172.31.1.1:2139 88.1.88.8:2139 88.1.88.8:2139
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:2140 172.31.1.1:2140 88.1.88.8:2140 88.1.88.8:2140
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:2141 172.31.1.1:2141 88.1.88.8:2141 88.1.88.8:2141
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:2142 172.31.1.1:2142 88.1.88.8:2142 88.1.88.8:2142
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:2143 172.31.1.1:2143 88.1.88.8:2143 88.1.88.8:2143
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.2.2:676 172.31.1.1:676 88.1.88.8:676 88.1.88.8:676
create 00:00:10, use 00:00:10, left 00:00:49, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.2.2:677 172.31.1.1:677 88.1.88.8:677 88.1.88.8:677
create 00:00:10, use 00:00:10, left 00:00:49, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.2.2:678 172.31.1.1:678 88.1.88.8:678 88.1.88.8:678
create 00:00:10, use 00:00:10, left 00:00:49, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.2.2:679 172.31.1.1:679 88.1.88.8:679 88.1.88.8:679
create 00:00:10, use 00:00:10, left 00:00:49, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.2.2:680 172.31.1.1:680 88.1.88.8:680 88.1.88.8:680
create 00:00:10, use 00:00:10, left 00:00:49, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
تعرض هذه الشاشات معلومات التوجيه لكل شبكة خاصة ظاهرية (VPN) متصلة محليا للعميل A والعميل B:
gila# show ip route vrf custA
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
I - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 88.1.11.1 to network 0.0.0.0
172.18.0.0/32 is subnetted, 2 subnets
B 172.18.60.179 [200/0] via 88.1.11.1, 00:03:59
B 172.18.60.176 [200/0] via 88.1.11.1, 00:03:59
172.31.0.0/24 is subnetted, 1 subnets
S 172.31.1.0 [1/0] via 10.88.162.6, FastEthernet0/0
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
B 10.88.0.0/20 [200/0] via 88.1.11.1, 00:03:59
B 10.88.32.0/20 [200/0] via 88.1.11.1, 00:03:59
C 10.88.162.4/30 is directly connected, FastEthernet0/0
C 10.88.162.8/30 is directly connected, FastEthernet2/0
B 10.88.161.8/30 [200/0] via 88.1.11.1, 00:04:00
88.0.0.0/24 is subnetted, 2 subnets
B 88.1.88.0 [200/0] via 88.1.11.5, 00:04:00
B 88.1.99.0 [200/0] via 88.1.11.5, 00:04:00
S 192.168.1.0/24 is directly connected, Null0
B* 0.0.0.0/0 [200/0] via 88.1.11.1, 00:04:00
gila# show ip route vrf custB
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
I - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
64.0.0.0/16 is subnetted, 1 subnets
B 64.102.0.0 [200/0] via 88.1.11.5, 1d21h
172.18.0.0/32 is subnetted, 2 subnets
B 172.18.60.179 [200/0] via 88.1.11.1, 1d21h
B 172.18.60.176 [200/0] via 88.1.11.1, 1d21h
172.31.0.0/24 is subnetted, 1 subnets
S 172.31.1.0 [1/0] via 10.88.162.14, Ethernet1/2
10.0.0.0/8 is variably subnetted, 6 subnets, 3 masks
B 10.88.194.16/28 [200/100] via 88.1.11.1, 1d20h
B 10.88.208.0/20 [200/0] via 88.1.11.5, 1d21h
B 10.88.194.4/30 [200/100] via 88.1.11.1, 1d20h
B 10.88.163.4/30 [200/0] via 88.1.11.5, 1d21h
B 10.88.161.4/30 [200/0] via 88.1.11.1, 1d21h
C 10.88.162.12/30 is directly connected, Ethernet1/2
11.0.0.0/24 is subnetted, 1 subnets
B 11.1.1.0 [200/100] via 88.1.11.1, 1d20h
88.0.0.0/24 is subnetted, 2 subnets
B 88.1.88.0 [200/0] via 88.1.11.5, 1d21h
B 88.1.99.0 [200/0] via 88.1.11.5, 1d21h
S 192.168.2.0/24 is directly connected, Null0
B 128.0.0.0/8 [200/0] via 88.1.11.5, 1d21h
ملاحظة: تمت إضافة مسار لكل تجمع من تجمعات NAT من التكوين الثابت. يتم إستيراد هذه الشبكات الفرعية فيما بعد إلى ملف VRF الخاص بالخادم المشترك في المنفذ PE Router iguana:
iguana# show ip route vrf sserver
Routing Table: sserver
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
I - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
64.0.0.0/16 is subnetted, 1 subnets
B 64.102.0.0 [20/0] via 10.88.163.6 (custB), 1d20h
172.18.0.0/32 is subnetted, 2 subnets
B 172.18.60.179 [200/0] via 88.1.11.1, 1d20h
B 172.18.60.176 [200/0] via 88.1.11.1, 1d20h
172.31.0.0/24 is subnetted, 1 subnets
B 172.31.1.0 [200/0] via 88.1.11.9, 1d05h
10.0.0.0/8 is variably subnetted, 8 subnets, 3 masks
B 10.88.194.16/28 [200/100] via 88.1.11.1, 1d20h
B 10.88.208.0/20 [20/0] via 10.88.163.6 (custB), 1d20h
B 10.88.194.4/30 [200/100] via 88.1.11.1, 1d20h
B 10.88.162.4/30 [200/0] via 88.1.11.9, 1d20h
B 10.88.163.4/30 is directly connected, 1d20h, Ethernet1/0/0
B 10.88.161.4/30 [200/0] via 88.1.11.1, 1d20h
B 10.88.162.8/30 [200/0] via 88.1.11.9, 1d20h
B 10.88.162.12/30 [200/0] via 88.1.11.9, 1d20h
11.0.0.0/24 is subnetted, 1 subnets
B 11.1.1.0 [200/100] via 88.1.11.1, 1d20h
12.0.0.0/24 is subnetted, 1 subnets
S 12.12.12.0 [1/0] via 88.1.99.10
88.0.0.0/24 is subnetted, 3 subnets
C 88.1.88.0 is directly connected, FastEthernet1/1/0
S 88.1.97.0 [1/0] via 88.1.99.10
C 88.1.99.0 is directly connected, FastEthernet5/0/0
B 192.168.1.0/24 [200/0] via 88.1.11.9, 1d20h
B 192.168.2.0/24 [200/0] via 88.1.11.9, 01:59:23
B 128.0.0.0/8 [20/0] via 10.88.163.6 (custB), 1d20h
التكوينات
تمت إزالة بعض المعلومات الخارجية من التكوينات للاختصار.
GILA: ip vrf custA rd 65002:100 route-target export 65002:100 route-target export 65002:1001 route-target import 65002:100 ! ip vrf custB rd 65002:200 route-target export 65002:200 route-target export 65002:2001 route-target import 65002:200 route-target import 65002:10 ! ip cef mpls label protocol ldp !
interface Loopback0 ip address 88.1.11.9 255.255.255.255 ! interface FastEthernet0/0 ip vrf forwarding custA ip address 10.88.162.5 255.255.255.252 ip nat inside duplex full ! interface Ethernet1/0 ip address 88.1.3.1 255.255.255.0 ip nat outside no ip mroute-cache duplex half tag-switching ip ! interface Ethernet1/1 ip address 88.1.2.1 255.255.255.0 ip nat outside no ip mroute-cache duplex half tag-switching ip ! interface Ethernet1/2 ip vrf forwarding custB ip address 10.88.162.13 255.255.255.252 ip nat inside duplex half ! router ospf 881 log-adjacency-changes redistribute static subnets network 88.1.0.0 0.0.255.255 area 0 default-metric 30 ! router bgp 65002 no synchronization no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 88.1.11.1 remote-as 65002 neighbor 88.1.11.1 update-source Loopback0 neighbor 88.1.11.1 activate neighbor 88.1.11.5 remote-as 65002 neighbor 88.1.11.5 update-source Loopback0 neighbor 88.1.11.5 activate no auto-summary ! address-family ipv4 vrf custB redistribute connected redistribute static no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf custA redistribute connected redistribute static no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 88.1.11.1 activate neighbor 88.1.11.1 send-community extended neighbor 88.1.11.5 activate neighbor 88.1.11.5 send-community extended no auto-summary exit-address-family ! ip nat pool SSPOOL1 192.168.1.1 192.168.1.254 prefix-length 24 ip nat pool SSPOOL2 192.168.2.1 192.168.2.254 prefix-length 24 ip nat inside source list 181 pool SSPOOL1 vrf custA overload ip nat inside source list 181 pool SSPOOL2 vrf custB overload ip classless ip route vrf custA 172.31.1.0 255.255.255.0 FastEthernet0/0 10.88.162.6 ip route vrf custA 192.168.1.0 255.255.255.0 Null0 ip route vrf custB 172.31.1.0 255.255.255.0 Ethernet1/2 10.88.162.14 ip route vrf custB 192.168.2.0 255.255.255.0 Null0 ! access-list 181 permit ip any host 88.1.88.8 !
ملاحظة: يتم تعيين الواجهات التي تواجه شبكات العملاء على أنها واجهات NAT "الداخلية"، كما يتم تخصيص واجهات MPLS على أنها واجهات NAT "الخارجية".
iguana: ip vrf custB rd 65002:200 route-target export 65002:200 route-target export 65002:2001 route-target import 65002:200 route-target import 65002:10 ! ip vrf sserver rd 65002:10 route-target export 65002:10 route-target import 65002:2001 route-target import 65002:1001 ! ip cef distributed mpls label protocol ldp !
interface Loopback0 ip address 88.1.11.5 255.255.255.255 no ip route-cache no ip mroute-cache ! interface Ethernet1/0/0 ip vrf forwarding custB ip address 10.88.163.5 255.255.255.252 no ip route-cache no ip mroute-cache ! interface Ethernet1/0/4 ip address 88.1.1.1 255.255.255.0 no ip route-cache no ip mroute-cache tag-switching ip ! interface Ethernet1/0/5 ip address 88.1.3.2 255.255.255.0 no ip route-cache no ip mroute-cache tag-switching ip ! interface FastEthernet1/1/0 ip vrf forwarding sserver ip address 88.1.88.1 255.255.255.0 no ip route-cache no ip mroute-cache full-duplex ! router ospf 881 log-adjacency-changes redistribute static subnets network 88.1.0.0 0.0.255.255 area 0 ! router bgp 65002 no synchronization no bgp default ipv4-unicast bgp log-neighbor-changes neighbor 88.1.11.1 remote-as 65002 neighbor 88.1.11.1 update-source Loopback0 neighbor 88.1.11.9 remote-as 65002 neighbor 88.1.11.9 update-source Loopback0 neighbor 88.1.11.10 remote-as 65002 neighbor 88.1.11.10 update-source Loopback0 no auto-summary ! address-family ipv4 multicast no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 88.1.11.1 activate neighbor 88.1.11.1 send-community extended neighbor 88.1.11.9 activate neighbor 88.1.11.9 send-community extended no auto-summary exit-address-family ! address-family ipv4 neighbor 88.1.11.1 activate neighbor 88.1.11.9 activate neighbor 88.1.11.10 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf sserver redistribute connected no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf custB redistribute connected redistribute static no auto-summary no synchronization exit-address-family
سيكون لتنين الموجه ترتيب مشابه جدا للجيلا.
الحزم الواردة إلى Central PE بعد الدخول PE NAT
توضح المسارات أدناه متطلبات تجمعات NAT الفريدة عند تكوين شبكة الخدمة المشتركة للوجهة كمثيل VRF. مرة أخرى، ارجع إلى الرسم التخطيطي في الشكل 5. تم التقاط الحزم الموضحة أدناه أثناء إدخالها إلى واجهة IP MPLS E1/0/5 في Iguana للموجه.
صدى من زبون VPN
هنا، نرى طلب صدى يأتي من مصدر عنوان IP 172.31.1.1 في VRF CustA. تمت ترجمة عنوان المصدر إلى 192.168.1.1 كما هو محدد بواسطة تكوين NAT:
ip nat pool SSPOOL1 192.168.1.1 192.168.1.254 prefix-length 24 ip nat inside source list 181 pool SSPOOL1 vrf custA overload
DLC: ----- DLC Header -----
DLC:
DLC: Frame 1 arrived at 09:15:29.8157; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 005054D92A25
DLC: Source = Station 0090BF9C6C1C
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 00019
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 0
IP: Flags = 0X
IP: .0.. .... = may fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 4AE6 (correct)
IP: Source address = [192.168.1.1]
IP: Destination address = [88.1.88.8]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 8 (Echo)
ICMP: Code = 0
ICMP: Checksum = 932D (correct)
ICMP: Identifier = 3046
ICMP: Sequence number = 3245
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
ICMP:
echo من شبكة VPN الخاصة بالعميل B
هنا، نرى طلب صدى يأتي من مصدر عنوان 172.31.1.1 في VRF CustB. تمت ترجمة عنوان المصدر إلى 192.168.2.1 كما هو محدد بواسطة تكوين NAT:
ip nat pool SSPOOL2 192.168.2.1 192.168.2.254 prefix-length 24 ip nat inside source list 181 pool SSPOOL2 vrf custB overload
DLC: ----- DLC Header -----
DLC:
DLC: Frame 11 arrived at 09:15:49.6623; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 005054D92A25
DLC: Source = Station 0090BF9C6C1C
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 00019
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 15
IP: Flags = 0X
IP: .0.. .... = may fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 49D6 (correct)
IP: Source address = [192.168.2.2]
IP: Destination address = [88.1.88.8]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 8 (Echo)
ICMP: Code = 0
ICMP: Checksum = AB9A (correct)
ICMP: Identifier = 4173
ICMP: Sequence number = 4212
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
ملاحظة: قيمة تسمية MPLS هي 0019 في كلا الحزم الموضحة أعلاه.
رد صدى إلى زبون VPN
بعد ذلك، نشاهد رد صدى يذهب إلى الخلف إلى الغاية عنوان 192.168.1.1 في VRF CustA. ترجمت الغاية عنوان إلى 172.31.1.1 بالمدخل PE nat عمل.
To VRF custA:
DLC: ----- DLC Header -----
DLC:
DLC: Frame 2 arrived at 09:15:29.8198; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 0090BF9C6C1C
DLC: Source = Station 005054D92A25
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 0001A
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 18075
IP: Flags = 4X
IP: .1.. .... = don't fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = C44A (correct)
IP: Source address = [88.1.88.8]
IP: Destination address = [192.168.1.1]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 0 (Echo reply)
ICMP: Code = 0
ICMP: Checksum = 9B2D (correct)
ICMP: Identifier = 3046
ICMP: Sequence number = 3245
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
ICMP:
رد الارتداد إلى شبكة VPN الخاصة بالعميل B
هنا، نرى رد صدى يذهب إلى الخلف إلى الغاية عنوان 192.168.1.1 في VRF CustB. ترجمت الغاية عنوان إلى 172.31.1.1 بالمدخل PE nat عمل.
To VRF custB:
DLC: ----- DLC Header -----
DLC:
DLC: Frame 12 arrived at 09:15:49.6635; frame size is 118 (0076 hex) bytes.
DLC: Destination = Station 0090BF9C6C1C
DLC: Source = Station 005054D92A25
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 0001D
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 37925
IP: Flags = 4X
IP: .1.. .... = don't fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 75BF (correct)
IP: Source address = [88.1.88.8]
IP: Destination address = [192.168.2.2]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 0 (Echo reply)
ICMP: Code = 0
ICMP: Checksum = B39A (correct)
ICMP: Identifier = 4173
ICMP: Sequence number = 4212
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
ملاحظة: في حزم الإرجاع، يتم تضمين قيم تسميات MPLS وتختلف: 001a ل VRF custA و001D ل VRF custB.
echo من العميل A VPN - الوجهة هي واجهة عامة
تظهر هذه المجموعة التالية من الحزم الفرق عندما تكون الواجهة إلى شبكة LAN الخاصة بالخدمة المشتركة واجهة عامة وليست جزءا من مثيل VRF. هنا، غيرت التشكيل أن يستعمل بركة مشترك ل على حد سواء VPNs محلي مع تداخل عنوان.
ip nat pool SSPOOL1 192.168.1.1 192.168.1.254 prefix-length 24 ip nat inside source list 181 pool SSPOOL1 vrf custA overload ip nat inside source list 181 pool SSPOOL1 vrf custB overload
DLC: ----- DLC Header -----
DLC:
DLC: Frame 1 arrived at 09:39:19.6580; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 005054D92A25
DLC: Source = Station 0090BF9C6C1C
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 00019
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 55
IP: Flags = 0X
IP: .0.. .... = may fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 4AAF (correct)
IP: Source address = [192.168.1.1]
IP: Destination address = [88.1.88.8]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 8 (Echo)
ICMP: Code = 0
ICMP: Checksum = 0905 (correct)
ICMP: Identifier = 874
ICMP: Sequence number = 3727
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
echo من العميل B VPN - الوجهة هي واجهة عامة
هنا، نرى طلب صدى يأتي من مصدر عنوان 172.31.1.1 في VRF CustB. تمت ترجمة عنوان المصدر إلى 192.168.1.3 (من التجمع المشترك SSPOOL1) كما هو محدد بواسطة تكوين NAT:
ip nat pool SSPOOL1 192.168.1.1 192.168.1.254 prefix-length 24 ip nat inside source list 181 pool SSPOOL1 vrf custA overload ip nat inside source list 181 pool SSPOOL1 vrf custB overload
DLC: ----- DLC Header -----
DLC:
DLC: Frame 11 arrived at 09:39:26.4971; frame size is 118 (0076 hex)
bytes.
DLC: Destination = Station 005054D92A25
DLC: Source = Station 0090BF9C6C1C
DLC: Ethertype = 8847 (MPLS)
DLC:
MPLS: ----- MPLS Label Stack -----
MPLS:
MPLS: Label Value = 0001F
MPLS: Reserved For Experimental Use = 0
MPLS: Stack Value = 1 (Bottom of Stack)
MPLS: Time to Live = 254 (hops)
MPLS:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 75
IP: Flags = 0X
IP: .0.. .... = may fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 4A99 (correct)
IP: Source address = [192.168.1.3]
IP: Destination address = [88.1.88.8]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 8 (Echo)
ICMP: Code = 0
ICMP: Checksum = 5783 (correct)
ICMP: Identifier = 4237
ICMP: Sequence number = 977
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
ملاحظة: عندما تكون الواجهة الموجودة في Egress PE واجهة عامة (وليس مثيل VRF)، تكون التسميات التي يتم فرضها مختلفة. في هذه الحالة، 0x19 و0x1F.
رد ECHO إلى العميل VPN - الوجهة هي واجهة عامة
بعد ذلك، نشاهد رد صدى يذهب إلى الخلف إلى الغاية عنوان 192.168.1.1 في VRF CustA. ترجمت الغاية عنوان إلى 172.31.1.1 بالمدخل PE nat عمل.
DLC: ----- DLC Header -----
DLC:
DLC: Frame 2 arrived at 09:39:19.6621; frame size is 114 (0072 hex)
bytes.
DLC: Destination = Station 0090BF9C6C1C
DLC: Source = Station 005054D92A25
DLC: Ethertype = 0800 (IP)
DLC:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 54387
IP: Flags = 4X
IP: .1.. .... = don't fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 3672 (correct)
IP: Source address = [88.1.88.8]
IP: Destination address = [192.168.1.1]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 0 (Echo reply)
ICMP: Code = 0
ICMP: Checksum = 1105 (correct)
ICMP: Identifier = 874
ICMP: Sequence number = 3727
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
رد ECHO على شبكة VPN الخاصة بالعميل B - الوجهة هي واجهة عامة
هنا، نرى رد صدى يذهب إلى الخلف إلى الغاية عنوان 192.168.1.3 في VRF CustB. ترجمت الغاية عنوان إلى 172.31.1.1 بالمدخل PE nat عمل.
DLC: ----- DLC Header -----
DLC:
DLC: Frame 12 arrived at 09:39:26.4978; frame size is 114 (0072 hex)
bytes.
DLC: Destination = Station 0090BF9C6C1C
DLC: Source = Station 005054D92A25
DLC: Ethertype = 0800 (IP)
DLC:
IP: ----- IP Header -----
IP:
IP: Version = 4, header length = 20 bytes
IP: Type of service = 00
IP: 000. .... = routine
IP: ...0 .... = normal delay
IP: .... 0... = normal throughput
IP: .... .0.. = normal reliability
IP: .... ..0. = ECT bit - transport protocol will ignore the CE
bit
IP: .... ...0 = CE bit - no congestion
IP: Total length = 100 bytes
IP: Identification = 61227
IP: Flags = 4X
IP: .1.. .... = don't fragment
IP: ..0. .... = last fragment
IP: Fragment offset = 0 bytes
IP: Time to live = 254 seconds/hops
IP: Protocol = 1 (ICMP)
IP: Header checksum = 1BB8 (correct)
IP: Source address = [88.1.88.8]
IP: Destination address = [192.168.1.3]
IP: No options
IP:
ICMP: ----- ICMP header -----
ICMP:
ICMP: Type = 0 (Echo reply)
ICMP: Code = 0
ICMP: Checksum = 5F83 (correct)
ICMP: Identifier = 4237
ICMP: Sequence number = 977
ICMP: [72 bytes of data]
ICMP:
ICMP: [Normal end of "ICMP header".]
ملاحظة: نظرا لأن الردود موجهة إلى عنوان عمومي، لا يتم فرض تسميات VRF.
باستخدام واجهة الخروج إلى مقطع شبكة LAN للخدمة المشتركة المحدد كواجهة عامة، يتم السماح بتجمع مشترك. ينتج عن إختبار الاتصال في إدخالات NAT هذه في مسحاج تخديد gila:
gila# show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 192.168.1.3:4237 172.31.1.1:4237 88.1.88.8:4237 88.1.88.8:4237 icmp 192.168.1.3:4238 172.31.1.1:4238 88.1.88.8:4238 88.1.88.8:4238 icmp 192.168.1.3:4239 172.31.1.1:4239 88.1.88.8:4239 88.1.88.8:4239 icmp 192.168.1.3:4240 172.31.1.1:4240 88.1.88.8:4240 88.1.88.8:4240 icmp 192.168.1.3:4241 172.31.1.1:4241 88.1.88.8:4241 88.1.88.8:4241 icmp 192.168.1.1:874 172.31.1.1:874 88.1.88.8:874 88.1.88.8:874 icmp 192.168.1.1:875 172.31.1.1:875 88.1.88.8:875 88.1.88.8:875 icmp 192.168.1.1:876 172.31.1.1:876 88.1.88.8:876 88.1.88.8:876 icmp 192.168.1.1:877 172.31.1.1:877 88.1.88.8:877 88.1.88.8:877 icmp 192.168.1.1:878 172.31.1.1:878 88.1.88.8:878 88.1.88.8:878 gila#
gila# show ip nat tr ver
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.3:4237 172.31.1.1:4237 88.1.88.8:4237 88.1.88.8:4237
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:4238 172.31.1.1:4238 88.1.88.8:4238 88.1.88.8:4238
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:4239 172.31.1.1:4239 88.1.88.8:4239 88.1.88.8:4239
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:4240 172.31.1.1:4240 88.1.88.8:4240 88.1.88.8:4240
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.3:4241 172.31.1.1:4241 88.1.88.8:4241 88.1.88.8:4241
create 00:00:08, use 00:00:08, left 00:00:51, Map-Id(In): 2,
flags:
extended, use_count: 0, VRF : custB
icmp 192.168.1.1:874 172.31.1.1:874 88.1.88.8:874 88.1.88.8:874
create 00:00:16, use 00:00:16, left 00:00:43, Map-Id(In): 3,
Pro Inside global Inside local Outside local Outside global
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:875 172.31.1.1:875 88.1.88.8:875 88.1.88.8:875
create 00:00:18, use 00:00:18, left 00:00:41, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:876 172.31.1.1:876 88.1.88.8:876 88.1.88.8:876
create 00:00:18, use 00:00:18, left 00:00:41, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:877 172.31.1.1:877 88.1.88.8:877 88.1.88.8:877
create 00:00:18, use 00:00:18, left 00:00:41, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
icmp 192.168.1.1:878 172.31.1.1:878 88.1.88.8:878 88.1.88.8:878
create 00:00:18, use 00:00:18, left 00:00:41, Map-Id(In): 3,
flags:
extended, use_count: 0, VRF : custA
gila# debug ip nat vrf IP NAT VRF debugging is on gila# .Jan 2 09:34:54 EST: NAT-TAGSW(p) : Tag Pkt s=172.18.60.179, d=10.88.162.9, vrf=custA .Jan 2 09:35:02 EST: NAT-TAGSW(p) : Tag Pkt s=172.18.60.179, d=10.88.162.13, vrf=custB .Jan 2 09:35:12 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custA .Jan 2 09:35:12 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:12 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custA .Jan 2 09:35:12 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:12 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custA .Jan 2 09:35:12 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:12 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custA .Jan 2 09:35:12 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:12 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custA .Jan 2 09:35:12 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:19 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custB .Jan 2 09:35:19 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:19 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custB .Jan 2 09:35:19 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:19 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custB .Jan 2 09:35:19 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:19 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custB .Jan 2 09:35:19 EST: NAT-ip2tag: Punting to process .Jan 2 09:35:19 EST: NAT-ip2tag : Tag Pkt s=172.31.1.1, d=88.1.88.8, vrf=custB .Jan 2 09:35:19 EST: NAT-ip2tag: Punting to process gila#
مثال على الخدمة
يتم عرض مثال على خدمة IP PBX الظاهرية المشتركة في الشكل 8. يوضح هذا أختلاف لأمثلة الدخول والخروج المبينة سابقا.
في هذا التصميم، تكون خدمة VoIP المشتركة منتهية في المقدمة بواسطة مجموعة من الموجهات التي تؤدي وظيفة NAT. تحتوي هذه الموجهات على واجهات VRF متعددة باستخدام ميزة معروفة باسم VRF-Lite. ثم تتدفق حركة المرور إلى مجموعة Cisco CallManager المشتركة. وتقدم خدمات الجدار الناري أيضا على أساس كل شركة. يجب أن تمر المكالمات بين الشركات عبر جدار الحماية، بينما تتم معالجة المكالمات بين الشركات عبر شبكة VPN الخاصة بالعميل باستخدام مخطط العنونة الداخلية للشركة.
الشكل 8: مثال خدمة PBX الظاهرية المدارة 
التوفر
يتوفر دعم IOS NAT لشبكات MPLS VPNs في الإصدار 12.2(13)T من Cisco IOS وهو متوفر لجميع الأنظمة الأساسية التي تدعم MPLS ويمكن أن تشغل قطار إصدار النشر المبكر هذا.
القرار
يحتوي IOS NAT من Cisco على ميزات للسماح بنشر الخدمات المشتركة بشكل قابل للتطوير اليوم. تستمر Cisco في تطوير دعم عبارة مستوى تطبيق NAT (ALG) للبروتوكولات المهمة للعملاء. ستضمن عمليات تحسين الأداء وزيادة سرعة الأجهزة لوظائف الترجمة أن وحدات NAT و ALG توفر حلولا مقبولة لبعض الوقت في المستقبل. تتم مراقبة جميع أنشطة المعايير ذات الصلة وإجراءات المجتمع بواسطة Cisco. ومع تطوير معايير أخرى، سيتم تقييم إستخدامها بناء على رغبات العملاء ومتطلباتهم وتطبيقاتهم.
التعليقات