IP : Traduction d'adresses de réseau (NAT)

Exemple facilement disponible NAT de configuration de la Case-à-case ASR 1000

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit la configuration pour la Haute disponibilité Case-à-Case-NAT (commerce électronique interentreprises ha NAT) sur des périphériques du Cisco IOS ®-XE, avec le foyer sur le routeur de services d'agrégation (famille ASR)1000.

Le commerce électronique interentreprises ha NAT est une méthode pour réaliser la Haute disponibilité des applications telles que le Pare-feu basé sur zone (ZBFW), Traduction d'adresses de réseau (NAT), VPN, Session Border Controller (SBC) et ainsi de suite entre les Routeurs de la famille ASR 1000. Ce document décrit comment configurer le commerce électronique interentreprises ha NAT sur la plate-forme du Cisco ASR 1000 avec la vérification.

Contribué par l'Uma Mohanty et Girish Devgan, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • La connaissance d'aperçu de l'architecture de la plate-forme ASR 1000
  • Connaissance de base sur la Haute disponibilité et les technologies NAT

Composants utilisés

Les informations dans ce document sont basées sur la famille ASR 1000 avec la version XE 3.10 de Cisco IOS et les versions ultérieures. B2B ha NAT est pris en charge sur la version 3.5 et ultérieures de Cisco IOS XE.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Déclencheurs de basculement B2BHA

Certains des déclencheurs de basculement communs sont :

  • Coupure de courant/recharge (ceci inclut des crash) sur l'active.
  • Recharge de Protocole ESP (Encapsulating Security Payload) (ou prévu ou non planifié).
  • L'interface de contrôle pour le redundancy group (RG) est arrêt/lien en baisse.
  • L'interface de données pour RG est arrêt/lien en baisse.
  • Panne dépistée d'objet (accord de niveau de service IP).
  • Panne de keep-alive de Protocol.
  • La priorité d'exécution de l'active va vers le bas au-dessous de celle du seuil configuré.
  • La priorité d'exécution de l'active va vers le bas au-dessous de celle du standby.

Configuration minimale

Cette section décrit comment configurer le commerce électronique interentreprises ha NAT avec les informations topologiques.

Les déploiements du BHA B2 ont pu avoir ces trois topologies :

  • LAN-LAN
  • LAN-WAN
  • Maille de RÉSEAU LOCAL

Remarque: La longueur de paquet moyenne de Redondance est de 256 octets.

Schéma de réseau avec la Connectivité L2/L3 de base

Connectivité L2/L3 de base

La configuration a pu être divisée à deux parties principales. Une part est la configuration de base qui active RG, protocole de Redondance, temporisateurs, contrôle, et interfaces de données. La deuxième partie associe aux données/aux interfaces réelles du trafic et à son association avec RG.

Essais de cet exemple pour réaliser le commerce électronique interentreprises ha NAT sur l'ASR avec le serveur 192.168.5.5 d'éloigné du RÉSEAU LOCAL 172.16.1.4. Ces configurations sont préparées avec la configuration NAT STATIQUE à l'heure actuelle.

ip nat pool POOL1 200.200.200.200 200.200.200.200 netmask 255.255.255.252
ip nat inside source list NAT pool POOL1 redundancy 1 mapping-id 252

Extended IP access list NAT
    10 permit ip host 172.16.1.4 host 192.168.5.5

ASR-1 

redundancy
 mode none
 application redundancy
 group 1
 name TEST
 preempt
 priority 150
 control GigabitEthernet0/0/2

protocol 1
 data GigabitEthernet0/0/3
ASR-2
    
redundancy
mode none
application redundancy
group 1
name TEST
preempt
priority 50
control GigabitEthernet0/0/2

protocol 1
data GigabitEthernet0/0/3

Les les deux les ASR devraient pouvoir atteindre l'adresse IP publique fournie par l'ISP.

ASR-1#ping 200.200.200.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ASR-2#ping 200.200.200.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:
!!!!!

Le RÉSEAU LOCAL faisant face à l'interface est connecté aux commutateurs de distribution, qui consécutivement sont connectés aux hôtes.

ASR-1#show run int GigabitEthernet0/0/0
interface GigabitEthernet0/0/0
 ip address 172.16.1.2 255.255.255.248
 ip nat inside
 negotiation auto
 cdp enable
 redundancy rii 100
 redundancy group 1 ip 172.16.1.5
exclusive decrement 100
end
ASR-2#show run int GigabitEthernet0/0/0
interface GigabitEthernet0/0/0
 ip address 172.16.1.3 255.255.255.248
 ip nat inside
 negotiation auto
 cdp enable
 redundancy rii 100
 redundancy group 1 ip 172.16.1.5
exclusive decrement 100
end

L'ISP faisant face à l'interface a cette configuration :

ASR-1#show run int gi0/0/1
interface GigabitEthernet0/0/1
 ip address 192.168.3.2 255.255.255.252
 ip nat outside
 negotiation auto
 cdp enable
 redundancy rii 101
 redundancy asymmetric-routing enable
 redundancy group 1 decrement 20
end
ASR-2#show run int gi0/0/1
interface GigabitEthernet0/0/1
 ip address 192.168.4.2 255.255.255.252
 ip nat outside
 negotiation auto
 cdp enable
 redundancy rii 101
 redundancy asymmetric-routing enable
 redundancy group 1 decrement 20
end


Les données et les interfaces de contrôle entre les ASR ont été configurées suivant les indications de ces sections.

Interface de contrôle
ASR-1#show run int gi0/0/2
interface GigabitEthernet0/0/2
description CONTROL-INTERFACE
ip address 10.10.10.1 255.255.255.252
negotiation auto
cdp enable
end
ASR-2#show run int gi0/0/2
interface GigabitEthernet0/0/2
description CONTROL INTERFACE
ip address 10.10.10.2 255.255.255.252
negotiation auto
cdp enable
end

Interface de données
ASR-1#show run int gi0/0/3
interface GigabitEthernet0/0/3
description DATA INTERFACE
encapsulation dot1Q 10
ip address 10.11.11.1 255.255.255.252
end
ASR-2#show run int gi0/0/3
interface GigabitEthernet0/0/3
description DATA INTERFACE
encapsulation dot1Q 10
ip address 10.11.11.2 255.255.255.252
end

Remarque:
- Vous ne devez pas configurer un identifiant d'interface redondant (RII) sur une interface qui est configurée comme interface de données ou comme interface de contrôle.
- Vous devez configurer le RII et le routage asymétrique sur les périphériques actifs et de réserve.
- Vous ne pouvez pas activer le routage asymétrique sur l'interface qui a une adresse IP virtuelle configurée.

Vérifiez

Commandes de vérification et sortie prévue

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

ASR-1#show redundancy application group 
Group ID    Group Name                      State
--------    ----------                      -----
1           TEST                           ACTIVE

ASR-2#show redundancy application group
Group ID    Group Name                      State
--------    ----------                      -----
1           TEST                           STANDBY

ASR-1#show redundancy application group 1
Group ID:1
Group Name:TEST

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
     RF state: ACTIVE
     Peer RF state: STANDBY HOT

ASR-2#show redundancy application group 1
Group ID:1
Group Name:TEST

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: STANDBY
Peer Role: ACTIVE
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
     RF state: STANDBY HOT
     Peer RF state: ACTIVE

ASR-1#show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  200.200.200.200       172.16.1.4            ---                   ---
icmp 200.200.200.200:98    172.16.1.4:98         192.168.5.5:98        192.168.5.5:98
Total number of translations: 2

ASR-2#show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
---  200.200.200.200       172.16.1.4            ---                   ---
icmp 200.200.200.200:98    172.16.1.4:98         192.168.5.5:98        192.168.5.5:98
Total number of translations: 2

ASR-1#show redundancy application protocol group 1

RG Protocol RG 1
------------------
    Role: Active
    Negotiation: Enabled
    Priority: 150
    Protocol state: Active
    Ctrl Intf(s) state: Up
    Active Peer: Local
    Standby Peer: address 10.10.10.2, priority 50, intf Gi0/0/2
    Log counters:
        role change to active: 7
        role change to standby: 7
        disable events: rg down state 7, rg shut 0
        ctrl intf events: up 7, down 8, admin_down 7
        reload events: local request 0, peer request 0

RG Media Context for RG 1
--------------------------
    Ctx State: Active
    Protocol ID: 1
    Media type: Default
    Control Interface: GigabitEthernet0/0/2
        Current Hello timer: 3000
    Configured Hello timer: 3000, Hold timer: 9000
    Peer Hello timer: 3000, Peer Hold timer: 9000
    Stats:
        Pkts 386597, Bytes 23969014, HA Seq 0, Seq Number 386597, Pkt Loss 0
        Authentication not configured
        Authentication Failure: 0
        Reload Peer: TX 0, RX 0
        Resign: TX 0, RX 1
    Standby Peer: Present. Hold Timer: 9000
        Pkts 386589, Bytes 13144026, HA Seq 0, Seq Number 1503658, Pkt Loss 0

ASR-2#show redundancy application protocol group 1

RG Protocol RG 1
------------------
    Role: Standby
    Negotiation: Enabled
    Priority: 50
    Protocol state: Standby-hot
    Ctrl Intf(s) state: Up
    Active Peer: address 10.10.10.1, priority 150, intf Gi0/0/2
    Standby Peer: Local
    Log counters:
        role change to active: 8
        role change to standby: 16009
        disable events: rg down state 1, rg shut 0
        ctrl intf events: up 9, down 10, admin_down 1
        reload events: local request 15999, peer request 2

RG Media Context for RG 1
--------------------------
    Ctx State: Standby
    Protocol ID: 1
    Media type: Default
    Control Interface: GigabitEthernet0/0/2
        Current Hello timer: 3000
    Configured Hello timer: 3000, Hold timer: 9000
    Peer Hello timer: 3000, Peer Hold timer: 9000
    Stats:
        Pkts 1503674, Bytes 93227788, HA Seq 0, Seq Number 1503674, Pkt Loss 0
        Authentication not configured
        Authentication Failure: 0
        Reload Peer: TX 2, RX 2
        Resign: TX 8, RX 7
    Active Peer: Present. Hold Timer: 9000
        Pkts 386603, Bytes 13144502, HA Seq 0, Seq Number 386613, Pkt Loss 0

ASR-1#show platform hardware qfp active system rg 1
Redundancy Group 1
    State:        RG_ACTIVE
    Bulksync:    NO BULKSYNC REQ
    Transport:    
        SYNC_B2B    LISTEN
            cp hdl 0x01013e8d dp hdl 0x03010006, platfm hdl 0x0000fa35
        L3_IPV4
            src addr 10.11.11.1    dest addr 10.11.11.2
        L4_UDP_RELIABLE
            src port   19510    dest port   3497

        AR transport not available
    Stats:
        RG Request:
            CREATE        0
            UPDATE        32048
            DELETE        0
        RG State:
            RG_PREINIT        0
            RG_INIT            7
            RG_STANDBY        21
            RG_ACTIVE        32020
        RG Transport Request:
                    NA            0
            OPEN            16014
            CLOSE            0
        RG Transport Status:
            CONN_ESTB        7
            CONN_FAIL        0
            TRANS_DOWN        0
            TRANS_DOWN_GRACEFUL    8
        Bulksync:
            Request            7
            Success            7
            Fail            0

ASR-1#show platform hardware qfp active system rg 1 stats
    trans index:    00000006  Trans Type:    00000001  RG    1
    mf_flags    0x40000000  seq_flags    0x700003ff
    ha_control_state    0x5
    pending ack        00000000
    keepalive_timeout    00000100
    rx_seq_flags        0x8000000
    rx_seq_num    0x2c0d4a44
    tx_seq        0xb4965908
    tx_ack_tail    0xb4965908
    tx_seq_flags    0x700003ff
    tx    0000000000580126
    rx    0000000000580089
    retx    0000000000000000
    rx dropped    0000000000000000
    records dropped    0000000000000000
    tx dropped    0000000000000000
    ack dropped    00000000  oob pkts dropped 00000000
    send dropped 00000000  rx_control_msgs 00580090
    tx control_msgs 00580078   for_us_hits 01160217
    sync_alloc_failures 00000000  status_notifications 00000001
    sync_msgs_received 00580093  sync_msgs_sent 00580133
    for_us_udp_checksum_drops 00000000
    acks sent 00580089 rcvd 00580126  nacks sent 00000000 rcvd 00000000

Commandes utiles

  • RG sur l'active est rechargé avec l'ordre d'individu de <rg-number> de groupe de recharge d'application de Redondance dans le mode d'exécution.
  • RG sur l'active est arrêté avec l'utilisation de ces commandes CLI en mode de config de Redondance :
    ISR1(config-red-app)#group 1
    ISR1(config-red-app-grp)#shutdown

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.



Document ID: 118768