概要
このドキュメントでは、vEdgeルータのサービスVPNで宛先ベースのネットワークアドレス変換(NAT)を設定する方法について説明します。
前提条件
要件
Cisco SD-WANに関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- vEdgeルータ
- 18.3ソフトウェアバージョンのvSmart Controller。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
ネットワーク図を次に示します。
ここで主な考えでは、サイト50(vedge1)のユーザは、IPアドレス192.168.1 40.20を介して別の側のホスト192.168.40.20に到達できます。
これは、このIOS設定文のアナログです。
ip nat outside source static 192.168.40.20 192.168.140.20
設定
1.サイト50のvEdgeでNATプールを設定します。
vedge1#show running-config vpn 40 interface natpool31
vpn 40
interface natpool31
ip address 192.168.140.5/32
nat
static source-ip 192.168.40.20 translate-ip 192.168.140.20 outside
!
no shutdown
!
!
2. vSmartでデータポリシーを設定および適用します。
vsmart1# show running-config policy data-policy DNAT
policy
data-policy DNAT
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
!
action accept
nat pool 31
!
!
default-action accept
!
!
!
vsmart1# show running-config apply-policy site-list site_50
apply-policy
site-list site_50
data-policy DNAT all
!
!
確認
1.対応するサービスVPNに変換が存在することを確認します。
vedge1# show ip nat interface nat-vpn 40
FIB NUMBER
FILTER FILTER IP
VPN IFNAME MAP TYPE FILTER TYPE COUNT COUNT IP POOLS
---------------------------------------------------------------------------------------------------------
40 natpool31 endpoint-independent address-port-restricted 0 0 192.168.140.5/32 1
2. vSmartからvEdgeに適用されたポリシーを確認します。
vedge1# show policy from-vsmart
from-vsmart data-policy ENK_NAT
direction all
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
action accept
nat pool 31
default-action accept
from-vsmart lists vpn-list CORP
vpn 40
トラブルシュート
宛先ベースのNATが機能しない場合、ここで重要なことは、NATプールのIPアドレスが宛先ホストから到達可能であることを確認する必要があることです。vEdgeルータの宛先ベースのNAT実装の送信元IPアドレスもプールのIPアドレスにNATされるため、これは重要です。
たとえば、サンプル設定宛先アドレス192.168.140.20は実際のIPアドレス192.168.40.20に置き換えられますが、サイト50の192.168.50.0/24サブネットからのホストのアドレスも192.168.140.5にNATされるため、このアドレスへのルートを持つか、送信元ホスト(要求者)に到達できません。 これは、NATプールサブネットのアドバタイズメントによって実現できます。この例では、サブネットは1つのアドレスだけで構成され、オーバーレイ管理プロトコル(OMP)経由でアドバタイズされます。
リモートサイトのvEdge1にルートが表示されていることを確認できます。
vedge2# show ip routes vpn 40 omp | i 192.168.140.5
40 192.168.140.5/32 omp - - - - 192.168.30.5 mpls ipsec F,S