vEdge 라우터의 서비스 측 대상 기반 NAT

다운로드 옵션

PDF (147.2 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (93.9 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (73.4 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2019년 12월 11일

문서 ID:215106

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 vEdge 라우터의 서비스 VPN에서 대상 기반 NAT(Network Address Translation)를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco SD-WAN에 대해 알고 있는 것이 좋습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

vEdge 라우터
18.3 소프트웨어 버전이 포함된 vSmart Controller

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

구성

네트워크 다이어그램

네트워크 다이어그램이 여기에 표시됩니다.

여기서 기본 개념은 사이트 50(vedge1)의 사용자가 IP 주소 192.168.140.20을 통해 다른 측에서 호스트 192.168.40.20에 연결할 수 있다는 것입니다.

이 IOS 컨피그레이션 문의 아날로그:

ip nat outside source static 192.168.40.20 192.168.140.20

구성

1. 사이트 50에서 vEdge에 NAT 풀을 구성합니다.

vedge1#show running-config vpn 40 interface natpool31 
vpn 40
 interface natpool31
  ip address 192.168.140.5/32
  nat
   static source-ip 192.168.40.20 translate-ip 192.168.140.20 outside
  !
  no shutdown
 !
!

2. vSmart에서 데이터 정책을 구성하고 적용합니다.

vsmart1# show running-config policy data-policy DNAT 
policy
 data-policy DNAT
  vpn-list CORP
   sequence 10
    match
     destination-ip 192.168.140.20/32
    !
    action accept
     nat pool 31
    !
   !
   default-action accept
  !
 !
!

vsmart1# show running-config apply-policy site-list site_50 
apply-policy
 site-list site_50
  data-policy DNAT all
 !
!

다음을 확인합니다.

1. 번역이 해당 서비스 VPN에 있는지 확인합니다.

vedge1# show ip nat interface nat-vpn 40

                                                                       FIB                       NUMBER  
                                                               FILTER  FILTER                    IP      
VPN  IFNAME     MAP TYPE              FILTER TYPE              COUNT   COUNT   IP                POOLS   
---------------------------------------------------------------------------------------------------------
40   natpool31  endpoint-independent  address-port-restricted  0       0       192.168.140.5/32  1

2. vSmart에서 vEdge에 적용된 정책을 확인합니다.

vedge1# show policy from-vsmart 
from-vsmart data-policy ENK_NAT
 direction all
 vpn-list CORP
  sequence 10
   match
    destination-ip 192.168.140.20/32
   action accept
    nat pool 31
  default-action accept
from-vsmart lists vpn-list CORP
 vpn 40

문제 해결

대상 기반 NAT가 작동하지 않을 경우 여기서 중요한 것은 NAT 풀의 IP 주소가 대상 호스트에서 도달할 수 있는지 확인해야 한다는 것입니다.이는 vEdge 라우터 목적지 기반 NAT 구현 소스 IP 주소도 풀의 IP 주소로 NAT되기 때문에 중요합니다.
따라서 예를 들어 샘플 구성 대상 주소 192.168.140.20을 기반으로 하여 실제 IP 주소 192.168.40.20으로 대체되지만 사이트 50의 192.168.50.0/24 서브넷의 호스트 주소도 192.168.140.5으로 NAT로 대체되므로 이 주소로 다시 연결되는 경로가 있어야 합니다. 그렇지 않으면 응답 패킷이 소스 호스트(요청자)에 도달하지 않습니다. 이는 NAT 풀 서브넷에 대한 광고를 통해 얻을 수 있습니다.이 예에서 서브넷은 하나의 주소만으로 구성되며 OMP(Overlay Management Protocol)를 통해 광고됩니다.

원격 사이트의 vEdge1에 경로가 표시되는지 확인할 수 있습니다.

vedge2# show ip routes vpn 40 omp | i 192.168.140.5
40     192.168.140.5/32    omp              -         -           -                -        192.168.30.5     mpls             ipsec  F,S

Cisco 엔지니어가 작성

Eugene Khabarov
Cisco TAC 엔지니어

이 문서가 도움이 되셨습니까?

피드백

지원 문의

지원 케이스 접수
(시스코 서비스 계약 필요)