IP : Conversão de endereços de rede (NAT)

Exemplo da configuração de alta disponibilidade da Caixa-à-caixa NAT ASR 1000

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve a configuração para a Alta disponibilidade Caixa-à-Caixa-NAT (B2B NAT HA) em dispositivos do Cisco IOS ®-XE, com o foco no roteador dos serviços da agregação (família ASR)1000.

B2B NAT HA é um método para conseguir e assim por diante a Alta disponibilidade dos aplicativos tais como o Firewall Zona-baseado (ZBFW), Network Address Translation (NAT), VPN, o controlador de limite de sessões (SBC) entre o Roteadores da família ASR 1000. Este documento descreve como configurar B2B NAT HA na plataforma de Cisco ASR 1000 junto com a verificação.

Contribuído pelo Uma Mohanty e Girish Devgan, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento da vista geral da arquitetura da plataforma ASR 1000
  • Conhecimento básico na Alta disponibilidade e nas Tecnologias NAT

Componentes Utilizados

A informação neste documento é baseada na família ASR 1000 com versão do Cisco IOS XE 3.10 e liberações mais atrasadas. B2B NAT HA é apoiado na liberação 3.5 do Cisco IOS XE e mais atrasado.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Disparadores do Failover B2BHA

Alguns dos disparadores comuns do Failover são:

  • Perda de potência/reload (isto inclui impactos) no active.
  • Reload do Encapsulating Security Payload (ESP) (ou de planeamento ou não programado).
  • A interface de controle para o grupo de redundância (RG) é parada programada/link para baixo.
  • A interface de dados para RG é parada programada/link para baixo.
  • Falha seguida do objeto (acordo do nível de serviço IP).
  • Falha da manutenção de atividade do protocolo.
  • A prioridade do tempo de execução do active vai para baixo abaixo daquela do ponto inicial configurado.
  • A prioridade do tempo de execução do active vai para baixo abaixo daquela do apoio.

Configuração mínima

Esta seção descreve como configurar B2B NAT HA junto com a informação de topologia.

As disposições do BHA B2 podiam ter estas três topologias:

  • LAN-LAN
  • LAN-WAN
  • Malha LAN

Nota: O tamanho do pacote médio da Redundância é os bytes 256.

Diagrama da rede com Conectividade L2/L3 básica

Conectividade L2/L3 básica

A configuração podia ser dividida em dois maiores parte. De uma parte é a configuração básica que permite RG, protocolo de redundância, temporizadores, controle, e interfaces de dados. A segunda parte relaciona-se aos dados/relações reais do tráfego e a sua associação com RG.

Este exemplo tenta conseguir B2B NAT HA no ASR com o server 192.168.5.5 da ponta oposta do LAN 172.16.1.4. Estas configurações são preparadas com configuração do NAT ESTÁTICO neste momento.

ip nat pool POOL1 200.200.200.200 200.200.200.200 netmask 255.255.255.252
ip nat inside source list NAT pool POOL1 redundancy 1 mapping-id 252

Extended IP access list NAT
    10 permit ip host 172.16.1.4 host 192.168.5.5

ASR-1 

redundancy
 mode none
 application redundancy
 group 1
 name TEST
 preempt
 priority 150
 control GigabitEthernet0/0/2

protocol 1
 data GigabitEthernet0/0/3
ASR-2
    
redundancy
mode none
application redundancy
group 1
name TEST
preempt
priority 50
control GigabitEthernet0/0/2

protocol 1
data GigabitEthernet0/0/3

Ambos os ASR devem poder alcançar o endereço IP público fornecido pelo ISP.

ASR-1#ping 200.200.200.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ASR-2#ping 200.200.200.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:
!!!!!

O LAN que enfrenta a relação é conectado aos switch de distribuição, que por sua vez são conectados aos anfitriões.

ASR-1#show run int GigabitEthernet0/0/0
interface GigabitEthernet0/0/0
 ip address 172.16.1.2 255.255.255.248
 ip nat inside
 negotiation auto
 cdp enable
 redundancy rii 100
 redundancy group 1 ip 172.16.1.5
exclusive decrement 100
end
ASR-2#show run int GigabitEthernet0/0/0
interface GigabitEthernet0/0/0
 ip address 172.16.1.3 255.255.255.248
 ip nat inside
 negotiation auto
 cdp enable
 redundancy rii 100
 redundancy group 1 ip 172.16.1.5
exclusive decrement 100
end

O ISP que enfrenta a relação tem esta configuração:

ASR-1#show run int gi0/0/1
interface GigabitEthernet0/0/1
 ip address 192.168.3.2 255.255.255.252
 ip nat outside
 negotiation auto
 cdp enable
 redundancy rii 101
 redundancy asymmetric-routing enable
 redundancy group 1 decrement 20
end
ASR-2#show run int gi0/0/1
interface GigabitEthernet0/0/1
 ip address 192.168.4.2 255.255.255.252
 ip nat outside
 negotiation auto
 cdp enable
 redundancy rii 101
 redundancy asymmetric-routing enable
 redundancy group 1 decrement 20
end


Os dados e as interfaces de controle entre os ASR foram configurados segundo as indicações destas seções.

Interface de controle
ASR-1#show run int gi0/0/2
interface GigabitEthernet0/0/2
description CONTROL-INTERFACE
ip address 10.10.10.1 255.255.255.252
negotiation auto
cdp enable
end
ASR-2#show run int gi0/0/2
interface GigabitEthernet0/0/2
description CONTROL INTERFACE
ip address 10.10.10.2 255.255.255.252
negotiation auto
cdp enable
end

Interface de dados
ASR-1#show run int gi0/0/3
interface GigabitEthernet0/0/3
description DATA INTERFACE
encapsulation dot1Q 10
ip address 10.11.11.1 255.255.255.252
end
ASR-2#show run int gi0/0/3
interface GigabitEthernet0/0/3
description DATA INTERFACE
encapsulation dot1Q 10
ip address 10.11.11.2 255.255.255.252
end

Nota:
- Você não deve configurar um identificador da interface redundante (RII) em uma relação que seja configurada como uma interface de dados ou como uma interface de controle.
- Você deve configurar o RII e o roteamento assimétrico em dispositivos ativos e à espera.
- Você não pode permitir o roteamento assimétrico na relação que tem um endereço IP de Um ou Mais Servidores Cisco ICM NT virtual configurado.

Verificar

Comandos de verificação e rendimento esperado

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

ASR-1#show redundancy application group 
Group ID    Group Name                      State
--------    ----------                      -----
1           TEST                           ACTIVE

ASR-2#show redundancy application group
Group ID    Group Name                      State
--------    ----------                      -----
1           TEST                           STANDBY

ASR-1#show redundancy application group 1
Group ID:1
Group Name:TEST

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
     RF state: ACTIVE
     Peer RF state: STANDBY HOT

ASR-2#show redundancy application group 1
Group ID:1
Group Name:TEST

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: STANDBY
Peer Role: ACTIVE
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
     RF state: STANDBY HOT
     Peer RF state: ACTIVE

ASR-1#show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  200.200.200.200       172.16.1.4            ---                   ---
icmp 200.200.200.200:98    172.16.1.4:98         192.168.5.5:98        192.168.5.5:98
Total number of translations: 2

ASR-2#show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  200.200.200.200       172.16.1.4            ---                   ---
icmp 200.200.200.200:98    172.16.1.4:98         192.168.5.5:98        192.168.5.5:98
Total number of translations: 2

ASR-1#show redundancy application protocol group 1

RG Protocol RG 1
------------------
    Role: Active
    Negotiation: Enabled
    Priority: 150
    Protocol state: Active
    Ctrl Intf(s) state: Up
    Active Peer: Local
    Standby Peer: address 10.10.10.2, priority 50, intf Gi0/0/2
    Log counters:
        role change to active: 7
        role change to standby: 7
        disable events: rg down state 7, rg shut 0
        ctrl intf events: up 7, down 8, admin_down 7
        reload events: local request 0, peer request 0

RG Media Context for RG 1
--------------------------
    Ctx State: Active
    Protocol ID: 1
    Media type: Default
    Control Interface: GigabitEthernet0/0/2
        Current Hello timer: 3000
    Configured Hello timer: 3000, Hold timer: 9000
    Peer Hello timer: 3000, Peer Hold timer: 9000
    Stats:
        Pkts 386597, Bytes 23969014, HA Seq 0, Seq Number 386597, Pkt Loss 0
        Authentication not configured
        Authentication Failure: 0
        Reload Peer: TX 0, RX 0
        Resign: TX 0, RX 1
    Standby Peer: Present. Hold Timer: 9000
        Pkts 386589, Bytes 13144026, HA Seq 0, Seq Number 1503658, Pkt Loss 0

ASR-2#show redundancy application protocol group 1

RG Protocol RG 1
------------------
    Role: Standby
    Negotiation: Enabled
    Priority: 50
    Protocol state: Standby-hot
    Ctrl Intf(s) state: Up
    Active Peer: address 10.10.10.1, priority 150, intf Gi0/0/2
    Standby Peer: Local
    Log counters:
        role change to active: 8
        role change to standby: 16009
        disable events: rg down state 1, rg shut 0
        ctrl intf events: up 9, down 10, admin_down 1
        reload events: local request 15999, peer request 2

RG Media Context for RG 1
--------------------------
    Ctx State: Standby
    Protocol ID: 1
    Media type: Default
    Control Interface: GigabitEthernet0/0/2
        Current Hello timer: 3000
    Configured Hello timer: 3000, Hold timer: 9000
    Peer Hello timer: 3000, Peer Hold timer: 9000
    Stats:
        Pkts 1503674, Bytes 93227788, HA Seq 0, Seq Number 1503674, Pkt Loss 0
        Authentication not configured
        Authentication Failure: 0
        Reload Peer: TX 2, RX 2
        Resign: TX 8, RX 7
    Active Peer: Present. Hold Timer: 9000
        Pkts 386603, Bytes 13144502, HA Seq 0, Seq Number 386613, Pkt Loss 0

ASR-1#show platform hardware qfp active system rg 1
Redundancy Group 1
    State:        RG_ACTIVE
    Bulksync:    NO BULKSYNC REQ
    Transport:    
        SYNC_B2B    LISTEN
            cp hdl 0x01013e8d dp hdl 0x03010006, platfm hdl 0x0000fa35
        L3_IPV4
            src addr 10.11.11.1    dest addr 10.11.11.2
        L4_UDP_RELIABLE
            src port   19510    dest port   3497

        AR transport not available
    Stats:
        RG Request:
            CREATE        0
            UPDATE        32048
            DELETE        0
        RG State:
            RG_PREINIT        0
            RG_INIT            7
            RG_STANDBY        21
            RG_ACTIVE        32020
        RG Transport Request:
                    NA            0
            OPEN            16014
            CLOSE            0
        RG Transport Status:
            CONN_ESTB        7
            CONN_FAIL        0
            TRANS_DOWN        0
            TRANS_DOWN_GRACEFUL    8
        Bulksync:
            Request            7
            Success            7
            Fail            0

ASR-1#show platform hardware qfp active system rg 1 stats
    trans index:    00000006  Trans Type:    00000001  RG    1
    mf_flags    0x40000000  seq_flags    0x700003ff
    ha_control_state    0x5
    pending ack        00000000
    keepalive_timeout    00000100
    rx_seq_flags        0x8000000
    rx_seq_num    0x2c0d4a44
    tx_seq        0xb4965908
    tx_ack_tail    0xb4965908
    tx_seq_flags    0x700003ff
    tx    0000000000580126
    rx    0000000000580089
    retx    0000000000000000
    rx dropped    0000000000000000
    records dropped    0000000000000000
    tx dropped    0000000000000000
    ack dropped    00000000  oob pkts dropped 00000000
    send dropped 00000000  rx_control_msgs 00580090
    tx control_msgs 00580078   for_us_hits 01160217
    sync_alloc_failures 00000000  status_notifications 00000001
    sync_msgs_received 00580093  sync_msgs_sent 00580133
    for_us_udp_checksum_drops 00000000
    acks sent 00580089 rcvd 00580126  nacks sent 00000000 rcvd 00000000

Comandos úteis

  • RG no active é recarregado com o comando do auto do <rg-number> do grupo do reload do aplicativo da Redundância no modo exec.
  • RG no active é fechado com o uso destes comandos CLI no modo de configuração da Redundância:
    ISR1(config-red-app)#group 1
    ISR1(config-red-app-grp)#shutdown

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.



Document ID: 118768