소개
이 문서에서는 vEdge 라우터의 서비스 VPN에서 대상 기반 NAT(Network Address Translation)를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
Cisco SD-WAN에 대해 알고 있는 것이 좋습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- vEdge 라우터
- 18.3 소프트웨어 버전이 포함된 vSmart Controller
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
구성
네트워크 다이어그램
네트워크 다이어그램이 여기에 표시됩니다.
여기서 기본 개념은 사이트 50(vedge1)의 사용자가 IP 주소 192.168.140.20을 통해 다른 측에서 호스트 192.168.40.20에 연결할 수 있다는 것입니다.
이 IOS 컨피그레이션 문의 아날로그:
ip nat outside source static 192.168.40.20 192.168.140.20
구성
1. 사이트 50에서 vEdge에 NAT 풀을 구성합니다.
vedge1#show running-config vpn 40 interface natpool31
vpn 40
interface natpool31
ip address 192.168.140.5/32
nat
static source-ip 192.168.40.20 translate-ip 192.168.140.20 outside
!
no shutdown
!
!
2. vSmart에서 데이터 정책을 구성하고 적용합니다.
vsmart1# show running-config policy data-policy DNAT
policy
data-policy DNAT
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
!
action accept
nat pool 31
!
!
default-action accept
!
!
!
vsmart1# show running-config apply-policy site-list site_50
apply-policy
site-list site_50
data-policy DNAT all
!
!
다음을 확인합니다.
1. 번역이 해당 서비스 VPN에 있는지 확인합니다.
vedge1# show ip nat interface nat-vpn 40
FIB NUMBER
FILTER FILTER IP
VPN IFNAME MAP TYPE FILTER TYPE COUNT COUNT IP POOLS
---------------------------------------------------------------------------------------------------------
40 natpool31 endpoint-independent address-port-restricted 0 0 192.168.140.5/32 1
2. vSmart에서 vEdge에 적용된 정책을 확인합니다.
vedge1# show policy from-vsmart
from-vsmart data-policy ENK_NAT
direction all
vpn-list CORP
sequence 10
match
destination-ip 192.168.140.20/32
action accept
nat pool 31
default-action accept
from-vsmart lists vpn-list CORP
vpn 40
문제 해결
대상 기반 NAT가 작동하지 않을 경우 여기서 중요한 것은 NAT 풀의 IP 주소가 대상 호스트에서 도달할 수 있는지 확인해야 한다는 것입니다.이는 vEdge 라우터 목적지 기반 NAT 구현 소스 IP 주소도 풀의 IP 주소로 NAT되기 때문에 중요합니다.
따라서 예를 들어 샘플 구성 대상 주소 192.168.140.20을 기반으로 하여 실제 IP 주소 192.168.40.20으로 대체되지만 사이트 50의 192.168.50.0/24 서브넷의 호스트 주소도 192.168.140.5으로 NAT로 대체되므로 이 주소로 다시 연결되는 경로가 있어야 합니다. 그렇지 않으면 응답 패킷이 소스 호스트(요청자)에 도달하지 않습니다. 이는 NAT 풀 서브넷에 대한 광고를 통해 얻을 수 있습니다.이 예에서 서브넷은 하나의 주소만으로 구성되며 OMP(Overlay Management Protocol)를 통해 광고됩니다.
원격 사이트의 vEdge1에 경로가 표시되는지 확인할 수 있습니다.
vedge2# show ip routes vpn 40 omp | i 192.168.140.5
40 192.168.140.5/32 omp - - - - 192.168.30.5 mpls ipsec F,S