VLAN NAT con le stesse sottoreti IP

8

Ho un ambiente VMware in cui le VM eseguono una suite di simulazione. Il software utilizzato ha indirizzi IP hardcoded, circa 10-15 VM e stiamo eseguendo più istanze di questo software ciascuna in diversi gruppi di porte distribuite. Quindi il set di macchine virtuali SIM1 ha 192.168.1.0/24 in VLAN10 e SIM2 ha 192.168.1.0/24 in VLAN20, ecc ...

Funziona bene, non è necessario che le VM SIM1 parlino con le VM SIM2 e così via. È emerso un nuovo requisito e ora devo essere in grado di monitorare in remoto i progressi, gestire e condividere i dati da un set fisico di macchine. I PC di gestione vivranno in VLAN200 collegati a un interruttore Cisco Catalyst.

Ho uplink 4x10gbe sullo switch distribuito. Stavo per eseguirli su alcuni router Cisco da 10 GB (voglio mantenere la connettività da 10 GB alle macchine virtuali, non sono sicuro di quale modello lo farebbe) e utilizzare VRF su interfacce per ogni VLAN usando quell'interfaccia come gateway e NAT statico ogni virtuale macchina. Quindi SIM1 machine1 ha IP 192.168.1.2 che NAT sarebbe pubblicamente 10.0.10.2. Il quarto ottetto corrisponderebbe all'IP privato vm e il terzo ottetto corrisponderebbe alla VLAN. Quindi SIM2 machine1 (192.168.1.2) passerebbe da NAT a 10.0.20.2. Il lato gestionale potrebbe anche essere una sottointerfaccia su una porta diversa e vivere in VRF globale o condiviso. Per gestire la macchina SIM21 dovrei essere in grado di utilizzare 10.0.20.2. Se le rotte condivise tra VRF e NAT funzionavano.

Ho iniziato a provare a creare qualcosa di simile in GNS3 e sono stato rapidamente sopraffatto. Quindi voglio assicurarmi che il mio design sia sano o se esiste un altro modo migliore e più sano di affrontare il problema. O qualche consiglio o suggerimento su come realizzare questo?

Grazie!

Modifica: aggiunto un diagramma:

Diagramma NAT

L'idea sarebbe che SIM1-S1 avrebbe NAT a 10.0.10.2, SIM1-S2 avrebbe NAT a 10.0.10.3, ecc ... SIM2-S1 avrebbe NAT a 10.0.20.2, SIM2-S2 sarebbe NAT a 10.0.20.3, ecc ...

cisco  vlan  nat  vrf 
umhelp
fonte
2
Potete fornire un diagramma semplice? Supponendo che tutto sia in un'unica posizione, sì, NAT è la strada da percorrere. Non penso che tu debba usare i VRF, comunque.
Ron Trunk,
Concordato. Non vedo il punto di usare i VRF.
Tommiie,
Ho modificato il post sopra e ho incluso un'immagine che si spera possa aiutare a dargli un senso! R1 nel diagramma sarebbe il dispositivo NAT. L'interfaccia secondaria f0 / 0.10 sarebbe il gateway per VLAN10 con 192.168.1.254 e l'interfaccia secondaria f0 / 0.20 sarebbe il gateway per VLAN20 con 192.168.1.254, ecc ... Ecco perché stavo pensando a VRF.
Umhelp,
Supponendo che avrai interfacce secondarie fast0/0.10e fast0/0.20e fast0/0.nn(con il rispettivo tag 802.1q) su quel router, dubito che ti consentirà di configurare intervalli IP sovrapposti sulle interfacce secondarie. Quando ho provato, il mio C891-24X solo abbaiò: % 192.168.1.254 overlaps with GigabitEthernet0/1.10. Non vedo che ciò accada senza VRF. Che modello di router hai lì e quante interfacce ha?
Marc 'netztier' Luethi,
Non abbiamo ancora deciso su alcun hardware, ma ho un ASR-1001-X con cui giocare e l'unica immagine che ho per GNS3 è un c7200 per scherzare. In entrambi i casi nessuno dei due consentirebbe la sovrapposizione di IP.
Umhelp,

Risposte:

7

Con un po 'di VRF-lite e VRF-aware-NAT e l'aiuto della capacità di routing del Cat-3850, ecco alcuni frammenti di configurazione che dovrebbero funzionare, o almeno portarti a metà strada lì, il tutto in base al diagramma che hai mostrato.

Alcune avvertenze:

  • In questo esempio si presuppone che Cat-3850 possa agire come switch L3 e che possa instradare almeno tra subnet / vlan direttamente collegate.
  • Cisco IOS e IOS-XE presentano alcune lievi differenze rispetto al NAT, specialmente quando si tratta di NATting da un VRF all'altro, potrebbero sorgere alcune domande sulle licenze. Non penso che questo ci faccia male qui, però.
  • Questo è "pseudo codice" composto a mano libera, potrebbe non essere completamente copiabile e incollabile, ma dovrebbe indirizzarti verso una soluzione.
  • La separazione degli ambienti SIM non viene applicata; un ambiente può "parlare" con gli indirizzi NAT degli altri. Se questo è un problema, non impostare la route predefinita in ciascun VRF (solo una route statica per il sistema di gestione o la sua sottorete), oppure utilizzare ZBFW sull'ASR-1001

Cominciamo con R1 e impostiamo le interfacce

interface fastEthernet0/0
 desc * Vmware-dSwitch *
 no ip address

interface Fasterthern0/1
 desc * Cisco-3850 Port 1* 
 no ip address

Quindi, dovrai ripetere quanto segue per ciascuna SIM o sottoambiente: Nota che l'esempio utilizza lo stesso tag VLAN su entrambi i lati di R1. Possono essere diversi per adattarsi all'ambiente VMware da un lato e all'ambiente LAN dall'altro lato.

!
! Start of per VRF or per SIMn section
!
! replace VRF names, dot1q tags, interface names as appropriate

vrf defintion VRF-SIM1
 address-family ipv4
 exit-address-family

interface fast0/0.10
 description * SIM1 inside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 192.168.1.254 255.255.255.0
 ip nat inside

interface fast0/1.10
 description * SIM1 outside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 10.0.10.1
! ip nat inside           <--- dear me! how could I copy&waste that one! (edited after comment)
 ip nat outside

ip nat inside source static 192.168.1.2 10.0.10.2 vrf VRF-SIM1
ip nat inside source static 192.168.1.3 10.0.10.3 vrf VRF-SIM1
ip nat inside source static 192.168.1.4 10.0.10.4 vrf VRF-SIM1

ip route vrf VRF-SIM1 0.0.0.0 0.0.0.0 fast0/1.10 10.0.10.254

!
! End of per VRF or per SIMn section
!

Nota: la parte nat potrebbe aver bisogno di qualche modifica qui, ma poiché l'interfaccia interna ed esterna sono nella stessa VRF, non credo che ci sia bisogno di più magia di configurazione.

Quindi, su Cat3850, avrai bisogno di un set di VLAN e SVI ( interface vlan) per abbinare il lato "destro" di R1:

vlan 10 
 name SIM1-TRANSIT

vlan 20
 name SIM2-TRANSIT

vlan 30
 name SIM3-TRANSIT

int g1/0/1
 desc * R1 fast0/1 *
 switchport mode trunk
 switchport nonegotiate
 switchport trunk allowed vlan 10,20,30
 spanning-tree portfast trunk

interface vlan 10
 desc * transit subnet to SIM1 *  
 ip address 10.0.10.254 255.255.255.0

interface vlan 20
 desc * transit subnet to SIM2 *  
 ip address 10.0.20.254 255.255.255.0

interface vlan 30
 desc * transit subnet to SIM3 *  
 ip address 10.0.30.254 255.255.255.0
Marc 'netztier' Luethi
fonte
1
Il tuo pseudo codice era abbastanza vicino. Cambio interfaccia fast0 / 1.10 in ip nat esterno. Le istruzioni ip nat inside necessitavano di match-in-vrf alla fine e per qualche ragione i percorsi elencati non funzionavano ma ip route vrf SIM1 0.0.0.0 0.0.0.0 10.0.10.254 funzionava. Ho dovuto usare uno switch virtuale L3 Extreme Networks in GNS3 poiché non riesco a caricare un 3850 ma i principi sono effettivamente gli stessi.
Umhelp,
1
La configurazione di un singolo router in breve, evita la necessità di ulteriori VLAN, SVI e un trunk 802.1q su Cat3850: 1. Installazione sul lato SIM / lab come sopra, un VRF per ambiente SIM. 2. Ogni VRF-SIMn ha un subif sull'interfaccia lato SIM (come prima) e (nuovo) un subif con tag 802.1q sull'interfaccia "sinistra" del cavo loop. 3. Ogni VRF-SIMn fa la sua cosa NAT (come prima). 4. un VRF-FRONT aggiuntivo ha n. Sottotitoli con tag 802.1q sull'interfaccia "destra" del cavo loop e una singola interfaccia verso cat3850. 5. Cat3850 deve indirizzare i range IP NAT verso VRF-FRONT.
Marc 'netztier' Luethi,
1
@umhelp il single-it-all-router avrà bisogno di almeno 4 interfacce / porte (porte indirizzate appropriate, non porte di un modulo switch integrato come si può trovare su 800series o simili). Interfaccia1 verso VMware vSwitch. Interfaccia4 verso il cat-3850, più interfaccia2 e interfaccia3 collegate tra loro con un cavo "loop" o "ear" . Quel cavo ad anello ha un'estremità "sinistra" e "destra". Alla sua estremità sinistra, ci sono n sottotitoli mappati nel n VRF-SIMn. Alla sua estremità destra, ci sono anche n subinf, tutti mappati su VRF-FRONT. VRF-FRONT sta assumendo il ruolo di routine che il 3850 aveva in precedenza.
Marc 'netztier' Luethi,
1
@umhelp a seconda della licenza fornita, un router IOS XE può simulare un tale cavo ad anello con coppie di interfacce interne completamente virtuali chiamate vasileft<number>/vasiright<number>. Con questi, è possibile connettere VRF senza sprecare interfacce e senza il mal di testa della perdita di rotta, e avere ancora la maggior parte delle funzionalità (routing dinamico, NAT, ecc.). Vedere cisco.com/c/en/us/support/docs/ip/… per esempi.
Marc 'netztier' Luethi,
1
@umhelp: w / riguardo alle prestazioni: dovrai decidere tu stesso se il traffico dato può passare attraverso un router due volte (ricorda che anche gli ASR hanno uno shaper della piattaforma che limita la velocità complessiva). Con un cavo ad anello, qualsiasi traffico conta il doppio rispetto al limite dello shaper. E ci sarà un po 'di tempo di accodamento aggiunto / latenza / tempo di serializzazione (probabilmente comunque molto basso, ma ci sono applicazioni a cui non piace). Questi effetti sono probabilmente un po 'più deboli quando si usano le interfacce vasileft <number> / vasiright <number>. Quindi ... non posso dare alcuna raccomandazione per entrambi.
Marc 'netztier' Luethi,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.