NAT VLAN dengan Subnet IP yang sama

8

Saya memiliki lingkungan VMware di mana VM menjalankan suite simulasi. Perangkat lunak yang digunakan memiliki alamat IP hardcoded, sekitar 10-15 VM, dan kami menjalankan banyak contoh perangkat lunak ini masing-masing dalam kelompok port terdistribusi yang berbeda. Jadi SIM1 VM set memiliki 192.168.1.0/24 di VLAN10 dan SIM2 memiliki 192.168.1.0/24 di VLAN20, dll ...

Ini berfungsi dengan baik, tidak perlu SIM1 VM untuk berbicara dengan SIM2 VM dan sebagainya. Sebuah persyaratan baru telah muncul dan saya sekarang harus dapat memonitor kemajuan, mengelola, dan berbagi data dari serangkaian mesin dari jarak jauh. PC manajemen akan hidup dalam VLAN200 yang terhubung ke sakelar katalis cisco.

Saya memiliki uplink 4x10gbe pada sakelar yang didistribusikan. Saya akan menjalankannya ke beberapa Cisco 10gbe Router (Saya ingin menjaga konektivitas 10gbe ke VMs, tidak yakin persis model mana yang akan melakukan ini) dan menggunakan VRF pada subinterfaces untuk setiap VLAN menggunakan antarmuka sebagai gateway dan NAT statis masing-masing virtual mesin. Jadi SIM1 machine1 memiliki IP 192.168.1.2 yang akan dipublikasikan NAT ke 10.0.10.2. Oktet ke-4 akan cocok dengan IP pribadi vm dan oktet ke-3 akan cocok dengan VLAN. Jadi SIM2 machine1 (192.168.1.2) akan NAT ke 10.0.20.2. Sisi manajemen juga dapat menjadi subinterface pada port yang berbeda dan hidup dalam VRF global atau bersama. Untuk mengelola mesin SIM2, saya harus bisa menggunakan 10.0.20.2. Jika rute bersama antara VRF dan NAT berhasil.

Saya mulai mencoba membangun sesuatu yang serupa di GNS3 dan dengan cepat kewalahan. Jadi saya ingin memastikan desain saya waras atau jika ada cara lain yang lebih baik untuk menangani masalah ini. Atau ada tips atau petunjuk tentang cara mencapai ini?

Terima kasih!

Sunting: Menambahkan diagram:

Diagram NAT

Idenya adalah bahwa SIM1-S1 akan NAT ke 10.0.10.2, SIM1-S2 akan NAT ke 10.0.10.3, dll ... SIM2-S1 akan NAT ke 10.0.20.2, SIM2-S2 akan NAT ke 10.0.20.3, dll ...

cisco vlan nat vrf umhelp
sumber
2
Bisakah Anda memberikan diagram sederhana? Dengan asumsi semuanya ada di satu lokasi, ya NAT adalah cara untuk pergi. Saya pikir Anda tidak perlu menggunakan VRF.
Ron Trunk
Sepakat. Saya tidak melihat gunanya menggunakan VRF.
Tommiie
Saya mengedit posting di atas dan memasukkan gambar semoga membantu membuat lebih masuk akal! R1 dalam diagram akan menjadi perangkat NAT. Subinterface f0 / 0.10 akan menjadi gateway untuk VLAN10 dengan 192.168.1.254 dan subinterface f0 / 0.20 akan menjadi gateway untuk VLAN20 dengan 192.168.1.254, dll. Inilah sebabnya saya berpikir tentang VRF.
umhelp
Dengan asumsi Anda akan memiliki subinterfaces fast0/0.10dan fast0/0.20dan fast0/0.nn(dengan tag 802.1q masing-masing) pada router itu, saya ragu itu akan memungkinkan Anda untuk mengkonfigurasi rentang IP yang tumpang tindih pada subinterfaces. Ketika saya mencoba, C891-24X saya hanya menyalak: % 192.168.1.254 overlaps with GigabitEthernet0/1.10. Saya tidak melihat ini terjadi tanpa VRF. Model router apa yang Anda miliki di sana, dan berapa banyak antarmuka yang dimilikinya?
Marc 'netztier' Luethi
Kami belum memutuskan perangkat keras apa pun, tetapi saya memiliki ASR-1001-X untuk bermain-main dengan dan satu-satunya gambar yang saya miliki untuk GNS3 adalah c7200 untuk dipusingkan. Either way dari keduanya tidak akan memungkinkan tumpang tindih IP.
umhelp

Jawaban:

7

Dengan sedikit VRF-lite dan VRF-aware-NAT dan bantuan kemampuan routing Cat-3850, berikut beberapa snippet konfigurasi yang bisa digunakan, atau setidaknya membuat Anda setengah jalan di sana - semua berdasarkan pada diagram yang Anda perlihatkan.

Beberapa peringatan:

  • Contoh ini mengasumsikan bahwa Cat-3850 dapat bertindak sebagai sakelar L3 dan dapat merutekan setidaknya antara subnet / vlan yang terpasang langsung.
  • Cisco IOS dan IOS-XE memiliki sedikit perbedaan dengan NAT, terutama ketika menyangkut NATting dari satu VRF ke yang lain, beberapa pertanyaan lisensi mungkin muncul. Saya tidak berpikir bahwa ini menyakitkan kita di sini.
  • Ini terdiri dari "kode pseudo" yang bebas, mungkin tidak sepenuhnya disalin & ditempelkan, tetapi seharusnya membuat Anda mendapatkan solusi.
  • Pemisahan lingkungan SIM tidak ditegakkan; satu lingkungan dapat "berbicara" ke alamat NAT yang lain. Jika itu masalah, jangan atur rute default di setiap VRF (hanya rute statis untuk sistem manajemen atau subnetnya), atau gunakan ZBFW pada ASR-1001

Mari kita mulai dengan R1 dan mengatur antarmuka

interface fastEthernet0/0
 desc * Vmware-dSwitch *
 no ip address

interface Fasterthern0/1
 desc * Cisco-3850 Port 1* 
 no ip address

Kemudian, Anda harus mengulangi yang berikut untuk setiap SIM atau sub-lingkungan: Perhatikan bahwa contoh menggunakan tag VLAN yang sama di kedua sisi R1. Mereka mungkin berbeda untuk mencocokkan lingkungan VMware satu sisi dan lingkungan LAN di sisi lain.

!
! Start of per VRF or per SIMn section
!
! replace VRF names, dot1q tags, interface names as appropriate

vrf defintion VRF-SIM1
 address-family ipv4
 exit-address-family

interface fast0/0.10
 description * SIM1 inside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 192.168.1.254 255.255.255.0
 ip nat inside

interface fast0/1.10
 description * SIM1 outside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 10.0.10.1
! ip nat inside           <--- dear me! how could I copy&waste that one! (edited after comment)
 ip nat outside

ip nat inside source static 192.168.1.2 10.0.10.2 vrf VRF-SIM1
ip nat inside source static 192.168.1.3 10.0.10.3 vrf VRF-SIM1
ip nat inside source static 192.168.1.4 10.0.10.4 vrf VRF-SIM1

ip route vrf VRF-SIM1 0.0.0.0 0.0.0.0 fast0/1.10 10.0.10.254

!
! End of per VRF or per SIMn section
!

Harap dicatat: bagian nat mungkin perlu beberapa penyesuaian di sini, tetapi karena antarmuka di dalam dan luar berada di VRF yang sama, saya rasa 'tidak ada lagi sihir konfigurasi yang diperlukan.

Kemudian, pada Cat3850, Anda memerlukan satu set VLAN dan SVI ( interface vlan) untuk mencocokkan sisi "kanan" dari R1:

vlan 10 
 name SIM1-TRANSIT

vlan 20
 name SIM2-TRANSIT

vlan 30
 name SIM3-TRANSIT

int g1/0/1
 desc * R1 fast0/1 *
 switchport mode trunk
 switchport nonegotiate
 switchport trunk allowed vlan 10,20,30
 spanning-tree portfast trunk

interface vlan 10
 desc * transit subnet to SIM1 *  
 ip address 10.0.10.254 255.255.255.0

interface vlan 20
 desc * transit subnet to SIM2 *  
 ip address 10.0.20.254 255.255.255.0

interface vlan 30
 desc * transit subnet to SIM3 *  
 ip address 10.0.30.254 255.255.255.0
Marc 'netztier' Luethi
sumber
1
Kode semu Anda cukup dekat. Saya mengubah antarmuka fast0 / 1.10 ke ip nat di luar. Pernyataan ip ip inside membutuhkan match-in-vrf di akhir dan untuk beberapa alasan rute yang tercantum tidak berfungsi tetapi ip route vrf SIM1 0.0.0.0 0.0.0.0 10.0.10.254 berhasil. Saya harus menggunakan L3 Extreme Networks Virtual Switch di GNS3 karena saya tidak dapat memuat 3850 tetapi prinsip-prinsipnya sama.
umhelp
1
Singkatnya, pengaturan router, menghindari kebutuhan untuk VLAN tambahan, SVI dan Batang 802.1q pada Cat3850: 1. Pengaturan pada sisi SIM / lab seperti di atas, satu VRF per lingkungan SIM. 2. Setiap VRF-SIMn memiliki satu subif pada antarmuka sisi SIM (seperti sebelumnya) dan (baru) satu subif tag 802.1q pada antarmuka "kiri" kabel loop. 3. Setiap VRF-SIMn melakukan hal NAT sendiri (seperti sebelumnya). 4. satu tambahan VRF-FRONT memiliki n tag subif 802.1q pada antarmuka "kanan" kabel loop, dan satu antarmuka tunggal menuju cat3850. 5. Cat3850 perlu merutekan Rentang IP NAT menuju VRF-FRONT.
Marc 'netztier' Luethi
1
@membantu single-does-it-all-router akan membutuhkan setidaknya 4 antarmuka / port (port diarahkan dengan benar, bukan port dari modul switch terintegrasi seperti dapat ditemukan pada 800series atau serupa). Interface1 menuju VMware vSwitch. Interface4 menuju cat-3850, plus interface2 dan interface3 terhubung satu sama lain dengan kabel "loop" atau "ear" . Kabel loop itu memiliki ujung "kiri" dan "kanan". Di ujung kiri, ada n subif yang dipetakan ke dalam n VRF-SIMn. Di ujung kanannya, ada juga n subinf, semuanya dipetakan ke VRF-FRONT. VRF-FRONT mengambil peran rutin yang dimiliki 3850 sebelumnya.
Marc 'netztier' Luethi
1
@ umhelp tergantung pada lisensi yang diberikan, router IOS XE dapat mensimulasikan kabel loop seperti itu dengan pasangan antarmuka internal sepenuhnya virtual yang disebut vasileft<number>/vasiright<number>. Dengan ini, Anda dapat menghubungkan VRFs tanpa membuang antarmuka dan tanpa pusing dari kebocoran rute, dan masih memiliki sebagian besar fitur (routing dinamis, NAT, dll). Lihat cisco.com/c/en/us/support/docs/ip/… untuk contoh.
Marc 'netztier' Luethi
1
@ umhelp: berkaitan dengan kinerja: Anda harus memutuskan sendiri apakah lalu lintas yang diberikan dapat melewati router dua kali (ingat bahwa bahkan ASR memiliki pembentuk platform yang membatasi keseluruhan throughput). Dengan kabel loop, setiap lalu lintas dihitung dua kali lipat terhadap batas pembentuk. Dan akan ada beberapa tambahan waktu antrian / latensi / waktu serialisasi (mungkin sangat rendah, tetapi ada aplikasi yang tidak menyukainya). Efek ini mungkin sedikit lebih lemah saat menggunakan antarmuka vasileft <number> / vasiright <number>. Jadi ... saya juga tidak bisa memberikan rekomendasi.
Marc 'netztier' Luethi