在Cisco IOS XE SD-WAN路由器上配置服務端靜態NAT

下載選項

  • PDF     (484.1 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (215.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (211.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 3 月 29 日
文件 ID:220311

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹在Cisco IOS-XE® SD-WAN路由器上執行往返服務端VRF的靜態NAT的配置。

    必要條件

    必須使用版本17.3.1a或更高版本的Cisco IOS-XE SD-WAN裝置。

    需求

    思科建議您瞭解以下主題:

    • 思科軟體定義廣域網路(SD-WAN)
    • 網路位址轉譯(NAT)

    採用元件

    本文件中的資訊是以下列軟體和硬體版本為依據.

    • ISR4451-X/K9版本17.6.2

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    網路圖表

    為了配置本文檔中介紹的服務靜態NAT,使用的是此拓撲。

    Network Diagram

    10.1.235.0/24子網是DC站點的專用和本地子網。此子網不會通告到重疊管理協定(OMP)中。為了使伺服器能夠通訊,這些伺服器靜態地被歸入10.1.110.0/24子網。

    • 當伺服器10.1.235.62向172.16.90.90發起通訊時,cEdge需要將NAT 10.1.235.62向10.1.110.10轉換。
    • 當主機172.16.90.90需要與伺服器通訊時,它會向10.1.110.10發出請求,並且cEdge需要將目標IP轉換為10.1.235.62。

    組態

    cEdge配置

    此配置可以通過路由器CLI或vManage功能模板執行。

    通過CLI

    配置NAT池:

    ip nat pool natpool10 10.1.110.1 10.1.110.253 prefix-length 24

    配置內部靜態NAT全域性池:

    ip nat inside source list global-list pool natpool10 vrf 10 match-in-vrf

    配置靜態NAT條目:

    ip nat inside source static 10.1.235.62 10.1.110.10 vrf 10 match-in-vrf pool natpool10

    通過vManage功能模板

    在服務VPN功能模板中,導航到NAT部分> NAT池,然後按一下新建NAT池

    填寫變數,完成後按一下Add:

    Via vManage Feature Template

    驗證是否已按如下所示建立池:

    Verify NAT Pool Created

    建立池後,導航到靜態NAT,然後按一下New Static NAT按鈕。

    填寫變數,完成後按一下Add:

    Static NAT Configuration

    集中資料策略

    需要集中資料策略來將帶有所需字首的資料流量定向到服務端NAT。

    定義VPN和站點清單:

    policy
     lists
      vpn-list VPN-10
       vpn 10
      !
      site-list CEDGE
       site-id 30
      !

    定義內部到外部轉換的第一個序列:

    data-policy _VPN-10_Data_NAT_cEdge
     vpn-list VPN-10
      sequence 1
       match
        source-ip 10.1.235.62/32
       !
       action accept
        count nat_cedge_-1665659624
        nat pool 10
       !
      !

    下一個序列用於目標地址的轉換。當流量從外部向內部發起時使用:

      sequence 11
       match
        destination-ip 10.1.110.10/32
       !
       action accept
        count nat_cedge_out2in_-1665659624
        nat pool 10
       !
      !
      default-action accept
     !
    !

    在所有方向上應用策略:

    apply-policy
     site-list CEDGE
       data-policy _VPN-10_Data_NAT_cEdge all

    驗證

    使用驗證命令檢驗NAT配置的狀態。

    show sdwan policy from-vsmart
    show ip nat translations
    sdwan policy data-policy-filter

    從伺服器10.1.235.62 ping主機172.16.90.90測試:

    cEdge#show ip nat translations
    Pro   Inside global   Inside local   Outside local   Outside global
    ---   10.1.110.10     10.1.235.62    ---             ---
    icmp  10.1.110.10:0   10.1.235.62:0  172.16.90.90:0   172.16.90.90:0
    Total number of translations: 2

    從主機10.90.90.90 ping伺服器10.1.110.10測試:

    cEdge#show ip nat translations
    Pro   Inside global     Inside local     Outside local     Outside global
    ---   10.1.110.10       10.1.235.62      ---               ---
    icmp  10.1.110.10:8299  10.1.235.62:8299 172.16.90.90:8299  172.16.90.90:8299
    Total number of translations: 2

    疑難排解

    檢查資料策略計數器上的資料包是否增加:

    cEdge#show sdwan policy data-policy-filter 
    data-policy-filter _VPN-10_Data_NAT_cEdge
     data-policy-vpnlist VPN-10
      data-policy-counter default_action_count
       packets 1412
       bytes 109382
      data-policy-counter nat_cedge_-1665659624
       packets 154
       bytes 16852
      data-policy-counter nat_cedge_out2in_-1665659624
       packets 7
       bytes 886

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    29-Mar-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Rossana Del Castillo Fascinetto
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品