Introducción
Este documento describe cómo configurar la traducción de direcciones de red (NAT) basada en el destino en la VPN de servicio en el router vEdge.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento de Cisco SD-WAN.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Routers vEdge
- vSmart Controller con una versión de software 18.3.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Diagrama de la red
Aquí se muestra el diagrama de red.
La idea principal aquí es que los usuarios del sitio 50 (vedge1) pueden alcanzar al host 192.168.40.20 en otro lado a través de la dirección IP 192.168.1 40.20.
Esto es analógico de esta instrucción de configuración del IOS:
ip nat outside source static 192.168.40.20 192.168.140.20
Configuraciones
1. Configure el conjunto NAT en el vEdge en el sitio 50.
vedge1#show running-config vpn 40 interface natpool31
vpn 40
interface natpool31
ip address 192.168.140.5/32
nat
static source-ip 192.168.40.20 translate-ip 192.168.140.20 outside
!
no shutdown
!
!
2. Configure y aplique la política de datos en vSmart.
vsmart1# show running-config policy data-policy DNAT
policy
data-policy DNAT
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
!
action accept
nat pool 31
!
!
default-action accept
!
!
!
vsmart1# show running-config apply-policy site-list site_50
apply-policy
site-list site_50
data-policy DNAT all
!
!
Verificación
1. Verifique que la traducción esté ahí en una VPN de servicio correspondiente.
vedge1# show ip nat interface nat-vpn 40
FIB NUMBER
FILTER FILTER IP
VPN IFNAME MAP TYPE FILTER TYPE COUNT COUNT IP POOLS
---------------------------------------------------------------------------------------------------------
40 natpool31 endpoint-independent address-port-restricted 0 0 192.168.140.5/32 1
2. Compruebe la política aplicada a vEdge desde vSmart.
vedge1# show policy from-vsmart
from-vsmart data-policy ENK_NAT
direction all
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
action accept
nat pool 31
default-action accept
from-vsmart lists vpn-list CORP
vpn 40
Troubleshoot
Si la NAT basada en el destino no funciona, lo importante aquí es que debe asegurarse de que la dirección IP del conjunto NAT sea accesible desde el host de destino. Esto es importante porque según la dirección IP de origen de la implementación NAT basada en el destino del router vEdge también se NAT a la dirección IP del conjunto.
Por ejemplo, en base a la dirección de destino 192.168.140.20 de configuración de ejemplo, se reemplaza por la dirección IP real 192.168.40.20, pero la dirección del host de la subred 192.168.50.0/24 en el sitio 50 también se NATed a 192.168.14 0.5, por lo tanto, debe tener una ruta de vuelta a esta dirección de todos modos o los paquetes de respuesta no alcanzarán el host de origen (solicitante). Esto se puede lograr con el anuncio de la subred del conjunto NAT. En este ejemplo, la subred consta de sólo una dirección y se anuncia mediante el protocolo de administración superpuesta (OMP).
Aquí puede comprobar que la ruta se presenta en vEdge1 en el sitio remoto:
vedge2# show ip routes vpn 40 omp | i 192.168.140.5
40 192.168.140.5/32 omp - - - - 192.168.30.5 mpls ipsec F,S