NAT-VLANs mit denselben IP-Subnetzen

8

Ich habe eine VMware-Umgebung, in der VMs eine Simulationssuite ausführen. Die verwendete Software verfügt über fest codierte IP-Adressen, etwa 10 bis 15 VMs, und wir führen mehrere Instanzen dieser Software jeweils in verschiedenen verteilten Portgruppen aus. Das SIM1-VM-Set hat also 192.168.1.0/24 in VLAN10 und SIM2 hat 192.168.1.0/24 in VLAN20 usw.

Dies funktioniert einwandfrei. SIM1-VMs müssen nicht mit SIM2-VMs usw. kommunizieren. Eine neue Anforderung ist aufgetaucht und ich muss jetzt in der Lage sein, den Fortschritt aus der Ferne zu überwachen, Daten von einem physischen Satz von Maschinen zu verwalten und gemeinsam zu nutzen. Die Management-PCs befinden sich in VLAN200, das mit einem Katalysator-Cisco-Switch verbunden ist.

Ich habe 4x10gbe Uplinks auf dem verteilten Switch. Ich wollte diese auf einem Cisco 10gbe-Router ausführen (ich möchte die 10gbe-Konnektivität zu den VMs beibehalten, nicht genau wissen, welches Modell dies tun würde) und VRF für Subschnittstellen für jedes VLAN verwenden, wobei diese Schnittstelle als Gateway und statisches NAT für jede virtuelle Schnittstelle verwendet wird Maschine. SIM1 machine1 hat also die IP 192.168.1.2, die NAT öffentlich zu 10.0.10.2 machen würde. Das 4. Oktett würde mit der privaten VM-IP übereinstimmen und das 3. Oktett würde mit dem VLAN übereinstimmen. Also würde SIM2 machine1 (192.168.1.2) NAT auf 10.0.20.2 setzen. Die Verwaltungsseite kann auch eine Subschnittstelle an einem anderen Port sein und in einer globalen oder einer gemeinsam genutzten VRF leben. Um SIM2 machine1 zu verwalten, sollte ich 10.0.20.2 verwenden können. Wenn gemeinsame Routen zwischen den VRFs und NAT funktionieren.

Ich fing an, etwas Ähnliches in GNS3 aufzubauen und wurde schnell überwältigt. Ich möchte also sicherstellen, dass mein Design vernünftig ist oder dass es eine andere, vernünftigere Art gibt, mit dem Problem umzugehen. Oder irgendwelche Tipps oder Hinweise, wie dies erreicht werden kann?

Vielen Dank!

Bearbeiten: Diagramm hinzugefügt:

NAT-Diagramm

Die Idee wäre, dass SIM1-S1 NAT zu 10.0.10.2, SIM1-S2 NAT zu 10.0.10.3 usw. wäre. SIM2-S1 würde NAT zu 10.0.20.2, SIM2-S2 würde NAT zu 10.0.20.3 usw. ...

cisco vlan nat vrf umhelp
quelle
2
Können Sie ein einfaches Diagramm bereitstellen? Vorausgesetzt, alles befindet sich an einem Ort, ist NAT der richtige Weg. Ich glaube jedoch nicht, dass Sie VRFs verwenden müssen.
Ron Trunk
Einverstanden. Ich sehe keinen Sinn darin, VRFs zu verwenden.
Tommiie
Ich habe den obigen Beitrag bearbeitet und hoffentlich ein Bild eingefügt, das mehr Sinn macht! R1 im Diagramm wäre das NAT-Gerät. Die Subschnittstelle f0 / 0.10 wäre das Gateway für VLAN10 mit 192.168.1.254 und die Subschnittstelle f0 / 0.20 wäre das Gateway für VLAN20 mit 192.168.1.254 usw. Deshalb habe ich über VRF nachgedacht.
Umhelp
Angenommen, Sie haben Subschnittstellen fast0/0.10und fast0/0.20und fast0/0.nn(mit dem entsprechenden 802.1q-Tag) auf diesem Router, bezweifle ich, dass Sie damit überlappende IP-Bereiche auf den Subschnittstellen konfigurieren können. Als ich es versuchte, bellte mein C891-24X nur : % 192.168.1.254 overlaps with GigabitEthernet0/1.10. Ich sehe das nicht ohne VRFs. Welches Routermodell haben Sie dort und wie viele Schnittstellen hat es?
Marc 'netztier' Luethi
Wir haben uns noch nicht für Hardware entschieden, aber ich habe einen ASR-1001-X zum Herumspielen und das einzige Bild, das ich für GNS3 habe, ist ein c7200 zum Herumspielen. In beiden Fällen würde keiner von beiden überlappende IPs zulassen.
Umhelp

Antworten:

7

Mit ein bisschen VRF-Lite und VRF-fähigem NAT und der Hilfe der Routing-Fähigkeit des Cat-3850 finden Sie hier einige Konfigurations-Snippets, die funktionieren sollten oder Sie zumindest auf halbem Weg dorthin bringen sollten - alles basierend auf dem von Ihnen gezeigten Diagramm.

Ein paar Einschränkungen:

  • In diesem Beispiel wird davon ausgegangen, dass der Cat-3850 möglicherweise als L3-Switch fungiert und mindestens zwischen direkt angeschlossenen Subnetzen / VLANs routen kann.
  • Cisco IOS und IOS-XE weisen einige geringfügige Unterschiede in Bezug auf NAT auf, insbesondere wenn es um NAT von einer VRF zur anderen geht, können einige Lizenzierungsfragen auftreten. Ich glaube nicht, dass uns das hier weh tut.
  • Dies ist ein freihändig zusammengesetzter "Pseudocode", der möglicherweise nicht vollständig kopiert und eingefügt werden kann, aber Sie sollten zu einer Lösung führen.
  • Die Trennung von SIM-Umgebungen wird nicht erzwungen. Eine Umgebung kann mit den NAT-Adressen der anderen Umgebung "sprechen". Wenn dies ein Problem darstellt, legen Sie nicht in jeder VRF die Standardroute fest (nur eine statische Route für das Managementsystem oder sein Subnetz) oder verwenden Sie ZBFW auf dem ASR-1001

Beginnen wir mit R1 und richten die Schnittstellen ein

interface fastEthernet0/0
 desc * Vmware-dSwitch *
 no ip address

interface Fasterthern0/1
 desc * Cisco-3850 Port 1* 
 no ip address

Anschließend müssen Sie für jede SIM-Karte oder Unterumgebung Folgendes wiederholen: Beachten Sie, dass im Beispiel auf beiden Seiten von R1 dasselbe VLAN-Tag verwendet wird. Sie können unterschiedlich sein, um der VMware-Umgebung auf der einen Seite und der LAN-Umgebung auf der anderen Seite zu entsprechen.

!
! Start of per VRF or per SIMn section
!
! replace VRF names, dot1q tags, interface names as appropriate

vrf defintion VRF-SIM1
 address-family ipv4
 exit-address-family

interface fast0/0.10
 description * SIM1 inside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 192.168.1.254 255.255.255.0
 ip nat inside

interface fast0/1.10
 description * SIM1 outside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 10.0.10.1
! ip nat inside           <--- dear me! how could I copy&waste that one! (edited after comment)
 ip nat outside

ip nat inside source static 192.168.1.2 10.0.10.2 vrf VRF-SIM1
ip nat inside source static 192.168.1.3 10.0.10.3 vrf VRF-SIM1
ip nat inside source static 192.168.1.4 10.0.10.4 vrf VRF-SIM1

ip route vrf VRF-SIM1 0.0.0.0 0.0.0.0 fast0/1.10 10.0.10.254

!
! End of per VRF or per SIMn section
!

Bitte beachten Sie: Der Nat-Teil muss hier möglicherweise angepasst werden, aber da sich die Innen- und Außenschnittstelle in derselben VRF befinden, glaube ich nicht, dass weitere Konfigurationsmagie erforderlich ist.

Dann benötigen Sie auf dem Cat3850 eine Reihe von VLANs und SVIs ( interface vlan), die mit der "rechten" Seite von R1 übereinstimmen:

vlan 10 
 name SIM1-TRANSIT

vlan 20
 name SIM2-TRANSIT

vlan 30
 name SIM3-TRANSIT

int g1/0/1
 desc * R1 fast0/1 *
 switchport mode trunk
 switchport nonegotiate
 switchport trunk allowed vlan 10,20,30
 spanning-tree portfast trunk

interface vlan 10
 desc * transit subnet to SIM1 *  
 ip address 10.0.10.254 255.255.255.0

interface vlan 20
 desc * transit subnet to SIM2 *  
 ip address 10.0.20.254 255.255.255.0

interface vlan 30
 desc * transit subnet to SIM3 *  
 ip address 10.0.30.254 255.255.255.0
Marc 'netztier' Luethi
quelle
1
Ihr Pseudocode war ziemlich nah. Ich ändere die Schnittstelle fast0 / 1.10 auf IP nat außerhalb. Die ip nat inside-Anweisungen benötigten am Ende eine Übereinstimmung in vrf, und aus irgendeinem Grund funktionierten die aufgeführten Routen nicht, aber ip route vrf SIM1 0.0.0.0 0.0.0.0 10.0.10.254 funktionierte. Ich musste einen virtuellen L3 Extreme Networks-Switch in GNS3 verwenden, da ich einen 3850 nicht laden kann, aber die Prinzipien sind praktisch dieselben.
Umhelp
1
Kurz gesagt, die Einrichtung eines einzelnen Routers macht zusätzliche VLANs, SVIs und einen 802.1q-Trunk auf dem Cat3850 überflüssig: 1. Richten Sie auf der SIM- / Laborseite wie oben beschrieben eine VRF pro SIM-Umgebung ein. 2. Jeder VRF-SIMn hat ein Subif auf der SIM-seitigen Schnittstelle (wie zuvor) und (neu) ein Subif mit 802.1q-Tag auf der "linken" Schnittstelle des Loop-Kabels. 3. Jeder VRF-SIMn macht sein eigenes NAT-Ding (wie zuvor). 4. Ein zusätzlicher VRF-FRONT verfügt über n Subifs mit 802.1q-Tags auf der "rechten" Schnittstelle des Loop-Kabels und eine einzige Schnittstelle zum cat3850. 5. Cat3850 muss die NAT-IP-Bereiche in Richtung VRF-FRONT routen.
Marc 'netztier' Luethi
1
@umhelp Der Single-Do-It-All-Router benötigt mindestens 4 Schnittstellen / Ports (ordnungsgemäß geroutete Ports, keine Ports eines integrierten Switch-Moduls, wie sie auf 800series oder ähnlichem zu finden sind). Schnittstelle1 zum VMware vSwitch. Schnittstelle4 in Richtung Cat-3850 sowie Schnittstelle2 und Schnittstelle3, die über ein "Loop" - oder "Ear" -Kabel miteinander verbunden sind . Dieses Schleifenkabel hat ein "linkes" und ein "rechtes" Ende. Am linken Ende befinden sich n Subifs, die dem n VRF-SIMn zugeordnet sind. Am rechten Ende befinden sich außerdem n Subinfs, die alle VRF-FRONT zugeordnet sind. VRF-FRONT übernimmt die Routin-Rolle, die der 3850 zuvor hatte.
Marc 'netztier' Luethi
1
@umhelp Abhängig von der angegebenen Lizenz kann ein IOS XE-Router ein solches Schleifenkabel mit vollständig virtuellen internen Schnittstellenpaaren simulieren vasileft<number>/vasiright<number>. Mit diesen können Sie VRFs verbinden, ohne Schnittstellen zu verschwenden und ohne die Kopfschmerzen von Routenlecks zu verursachen, und verfügen dennoch über die meisten Funktionen (dynamisches Routing, NAT usw.). Beispiele finden Sie unter cisco.com/c/en/us/support/docs/ip/… .
Marc 'netztier' Luethi
1
@umhelp: In Bezug auf die Leistung: Sie müssen selbst entscheiden, ob der angegebene Datenverkehr zweimal durch einen Router geleitet wird (denken Sie daran, dass selbst ASRs einen Plattform-Shaper haben, der den Gesamtdurchsatz begrenzt). Mit einem Schleifenkabel zählt jeder Verkehr doppelt so hoch wie das Limit des Former. Und es wird eine zusätzliche Wartezeit / Latenz / Serialisierungszeit geben (wahrscheinlich sowieso sehr niedrig, aber es gibt Anwendungen, die es nicht mögen). Diese Effekte sind wahrscheinlich etwas schwächer, wenn vasileft <Number> / vasiright <Number> -Schnittstellen verwendet werden. Also ... ich kann auch keine Empfehlung geben.
Marc 'netztier' Luethi