VLAN NAT avec les mêmes sous-réseaux IP

8

J'ai un environnement VMware dans lequel les machines virtuelles exécutent une suite de simulation. Le logiciel utilisé possède des adresses IP codées en dur, environ 10 à 15 machines virtuelles, et nous exécutons plusieurs instances de ce logiciel chacune dans différents groupes de ports distribués. Donc, SIM1 VM set a 192.168.1.0/24 en VLAN10 et SIM2 a 192.168.1.0/24 en VLAN20, etc ...

Cela fonctionne très bien, il n'est pas nécessaire que les machines virtuelles SIM1 parlent aux machines virtuelles SIM2 et ainsi de suite. Une nouvelle exigence est apparue et je dois maintenant pouvoir surveiller à distance la progression, gérer et partager des données à partir d'un ensemble physique de machines. Les PC de gestion vivront dans VLAN200 connecté à un commutateur Cisco à catalyseur.

J'ai des liaisons montantes 4x10gbe sur le commutateur distribué. J'allais les exécuter sur un routeur Cisco 10gbe (je veux conserver la connectivité 10gbe aux machines virtuelles, je ne sais pas exactement quel modèle le ferait) et utiliser VRF sur les sous-interfaces pour chaque VLAN en utilisant cette interface comme passerelle et NAT statique chaque virtuel machine. Ainsi, SIM1 machine1 a IP 192.168.1.2 qui serait NAT publiquement à 10.0.10.2. Le 4ème octet correspondrait à l'IP vm privé et le 3ème octet correspondrait au VLAN. Donc SIM2 machine1 (192.168.1.2) serait NAT à 10.0.20.2. Le côté gestion peut également être une sous-interface sur un port différent et vivre dans un VRF global ou partagé. Pour gérer SIM2 machine1, je devrais pouvoir utiliser 10.0.20.2. Si les routes partagées entre les VRF et le NAT fonctionnaient.

J'ai commencé à essayer de construire quelque chose de similaire dans GNS3 et j'ai rapidement été dépassé. Je veux donc m'assurer que ma conception est saine ou s'il existe une autre meilleure façon plus saine de traiter le problème. Ou des conseils ou des conseils sur la façon d'accomplir cela?

Merci!

Edit: Ajout d'un diagramme:

Diagramme NAT

L'idée serait que SIM1-S1 serait NAT à 10.0.10.2, SIM1-S2 serait NAT à 10.0.10.3, etc ... SIM2-S1 serait NAT à 10.0.20.2, SIM2-S2 serait NAT à 10.0.20.3, etc. ...

cisco vlan nat vrf umhelp
la source
2
Pouvez-vous fournir un schéma simple? En supposant que tout est au même endroit, oui NAT est la voie à suivre. Cependant, je ne pense pas que vous ayez besoin d'utiliser des VRF.
Ron Trunk
D'accord. Je ne vois aucun intérêt à utiliser des VRF.
Tommiie
J'ai édité le post ci-dessus et inclus une image qui, espérons-le, aidera à mieux comprendre! R1 dans le diagramme serait le périphérique NAT. La sous-interface f0 / 0.10 serait la passerelle pour VLAN10 avec 192.168.1.254 et la sous-interface f0 / 0.20 serait la passerelle pour VLAN20 avec 192.168.1.254, etc ... C'est pourquoi je pensais au VRF.
umhelp
En supposant que vous aurez des sous-interfaces fast0/0.10et fast0/0.20et fast0/0.nn(avec leur balise 802.1q respective) sur ce routeur, je doute que cela vous permettra de configurer les plages IP qui se chevauchent sur les sous-interfaces. Quand j'ai essayé, mon C891-24X juste aboyé: % 192.168.1.254 overlaps with GigabitEthernet0/1.10. Je ne vois pas cela se produire sans VRF. Quel modèle de routeur avez-vous là-bas et combien d'interfaces possède-t-il?
Marc 'netztier' Luethi
Nous n'avons pas encore décidé de matériel, mais j'ai un ASR-1001-X avec lequel jouer et la seule image que j'ai pour GNS3 est un c7200 à déconner. Dans les deux cas, aucun d'eux ne permettrait le chevauchement des adresses IP.
umhelp

Réponses:

7

Avec un peu de VRF-lite et VRF-aware-NAT et l'aide de la capacité de routage du Cat-3850, voici quelques extraits de configuration qui devraient fonctionner, ou du moins vous y rendre à mi-chemin - tous basés sur le diagramme que vous avez montré.

Quelques mises en garde:

  • Cet exemple suppose que le Cat-3850 peut agir comme commutateur L3 et qu'il peut router au moins entre des sous-réseaux / vlans directement connectés.
  • Cisco IOS et IOS-XE présentent de légères différences en ce qui concerne le NAT, en particulier en ce qui concerne le NATting d'un VRF à un autre, certaines questions de licence peuvent se poser. Je ne pense pas que cela nous fasse du mal ici, cependant.
  • Il s'agit d'un "pseudo code" composé à main levée, il peut ne pas être entièrement copiable et collable, mais il devrait vous amener vers une solution.
  • La séparation des environnements SIM n'est pas appliquée; un environnement peut "parler" aux adresses NAT des autres. Si c'est un problème, ne définissez pas la route par défaut dans chaque VRF (juste une route statique pour le système de gestion ou son sous-réseau), ou utilisez ZBFW sur l'ASR-1001

Commençons par R1 et configurons les interfaces

interface fastEthernet0/0
 desc * Vmware-dSwitch *
 no ip address

interface Fasterthern0/1
 desc * Cisco-3850 Port 1* 
 no ip address

Ensuite, vous devrez répéter ce qui suit pour chaque SIM ou sous-environnement: Notez que l'exemple utilise la même balise VLAN des deux côtés de R1. Ils peuvent être différents pour correspondre à l'environnement VMware d'un côté et à l'environnement LAN de l'autre côté.

!
! Start of per VRF or per SIMn section
!
! replace VRF names, dot1q tags, interface names as appropriate

vrf defintion VRF-SIM1
 address-family ipv4
 exit-address-family

interface fast0/0.10
 description * SIM1 inside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 192.168.1.254 255.255.255.0
 ip nat inside

interface fast0/1.10
 description * SIM1 outside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 10.0.10.1
! ip nat inside           <--- dear me! how could I copy&waste that one! (edited after comment)
 ip nat outside

ip nat inside source static 192.168.1.2 10.0.10.2 vrf VRF-SIM1
ip nat inside source static 192.168.1.3 10.0.10.3 vrf VRF-SIM1
ip nat inside source static 192.168.1.4 10.0.10.4 vrf VRF-SIM1

ip route vrf VRF-SIM1 0.0.0.0 0.0.0.0 fast0/1.10 10.0.10.254

!
! End of per VRF or per SIMn section
!

Veuillez noter: la partie nat peut nécessiter quelques ajustements ici, mais comme l'interface intérieure et extérieure sont dans le même VRF, je ne pense pas qu'il y ait plus de magie de configuration nécessaire.

Ensuite, sur le Cat3850, vous aurez besoin d'un ensemble de VLAN et de SVI ( interface vlan) pour correspondre au côté "droit" de R1:

vlan 10 
 name SIM1-TRANSIT

vlan 20
 name SIM2-TRANSIT

vlan 30
 name SIM3-TRANSIT

int g1/0/1
 desc * R1 fast0/1 *
 switchport mode trunk
 switchport nonegotiate
 switchport trunk allowed vlan 10,20,30
 spanning-tree portfast trunk

interface vlan 10
 desc * transit subnet to SIM1 *  
 ip address 10.0.10.254 255.255.255.0

interface vlan 20
 desc * transit subnet to SIM2 *  
 ip address 10.0.20.254 255.255.255.0

interface vlan 30
 desc * transit subnet to SIM3 *  
 ip address 10.0.30.254 255.255.255.0
Marc 'netztier' Luethi
la source
1
Votre pseudo-code était assez proche. Je change d'interface fast0 / 1.10 en ip nat extérieur. Les instructions ip nat inside avaient besoin de match-in-vrf à la fin et pour une raison quelconque, les routes répertoriées ne fonctionnaient pas, mais ip route vrf SIM1 0.0.0.0 0.0.0.0 10.0.10.254 fonctionnait. J'ai dû utiliser un commutateur virtuel L3 Extreme Networks dans GNS3 car je ne peux pas charger un 3850 mais les principes sont effectivement les mêmes.
umhelp
1
La configuration d'un routeur unique en un mot évite le besoin de VLAN supplémentaires, de SVI et d'un tronc 802.1q sur le Cat3850: 1. Configurez côté SIM / laboratoire comme ci-dessus, un VRF par environnement SIM. 2. Chaque VRF-SIMn a un subif sur l'interface côté SIM (comme précédemment) et (nouveau) un subif étiqueté 802.1q sur l'interface "gauche" du câble de boucle. 3. Chaque VRF-SIMn fait son propre NAT (comme précédemment). 4. un VRF-FRONT supplémentaire a n subifs marqués 802.1q sur l'interface "droite" du câble de boucle, et une interface unique vers le cat3850. 5. Cat3850 doit acheminer les plages IP NAT vers VRF-FRONT.
Marc 'netztier' Luethi
1
@umhelp, le routeur à tout faire aura besoin d'au moins 4 interfaces / ports (ports routés appropriés, pas les ports d'un module de commutation intégré comme on peut le trouver sur 800series ou similaire). Interface1 vers VMware vSwitch. Interface4 vers le cat-3850, plus interface2 et interface3 connectées l'une à l'autre avec un câble "en boucle" ou "d'oreille" . Ce câble en boucle a une extrémité "gauche" et "droite". À son extrémité gauche, il y a n sousifs mappés dans le n VRF-SIMn. À son extrémité droite, il y a aussi n sous- références, toutes mappées sur VRF-FRONT. VRF-FRONT prend le rôle de routine que le 3850 avait auparavant.
Marc 'netztier' Luethi
1
@umhelp selon la licence donnée, un routeur IOS XE peut simuler un tel câble en boucle avec des paires d'interfaces internes complètement virtuelles appelées vasileft<number>/vasiright<number>. Avec ceux-ci, vous pouvez connecter des VRF sans gaspiller les interfaces et sans le mal de tête d'une fuite de route, et avoir toujours la plupart des fonctionnalités (routage dynamique, NAT, etc.). Voir cisco.com/c/en/us/support/docs/ip/… pour des exemples.
Marc 'netztier' Luethi
1
@umhelp: en ce qui concerne les performances: vous devrez décider vous-même si le trafic donné peut passer deux fois par un routeur (rappelez-vous que même les ASR ont un shaper de plate-forme qui limite le débit global). Avec un câble en boucle, tout trafic compte le double de la limite du shaper. Et il y aura un temps supplémentaire de mise en file d'attente / latence / temps de sérialisation (probablement très faible de toute façon, mais il y a des applications qui ne l'aiment pas). Ces effets sont probablement un peu plus faibles lors de l'utilisation des interfaces vasileft <numéro> / vasiright <numéro>. Donc ... je ne peux donner aucune recommandation non plus.
Marc 'netztier' Luethi