Протокол IP : Технология NAT

Пример ASR 1000 конфигурации высокой доступности NAT от коробки к коробке

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает конфигурацию для Box-to-Box-NAT Высокой доступности (NAT B2B HA) на Cisco устройства IOS®-XE с вниманием на Маршрутизатор агрегации (ASR) 1000 семейств.

NAT B2B HA является методом для достижения высокой доступности приложений, таких как зональный Межсетевой экран (ZBFW), Технология NAT, VPN, Контроллер границы сеанса (SBC) и т.д. между маршрутизаторами ASR 1000 семейства. Этот документ описывает, как настроить NAT B2B HA на платформе Cisco ASR 1000 вместе с проверкой.

Внесенный Умой Мохэнти и Джиришем Девгэном, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Знание обзора архитектуры платформы ASR 1000
  • Базовые знания на Высокой доступности и технологиях NAT

Используемые компоненты

Сведения в этом документе основываются на семействе ASR 1000 с версией Cisco IOS XE 3.10 и более поздними версиями. NAT B2B HA поддерживается на Выпуске 3.5 Cisco IOS XE и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Спусковые механизмы аварийного переключения B2BHA

Некоторые общие спусковые механизмы аварийного переключения:

  • /reload потерь мощности (это включает сбои) на активном.
  • Повторная загрузка Безопасного закрытия полезной нагрузки (ESP) (или запланированный или незапланированный).
  • Контрольный интерфейс для Группы резервирования (RG) является завершением/ссылкой вниз.
  • Интерфейс данных для RG является завершением/ссылкой вниз.
  • Сбой отслеживаемого объекта (соглашение об уровне IP-сервиса).
  • Ошибка при проверке активности протокола.
  • Приоритет во время выполнения активных движений вниз ниже того из порога настроен.
  • Приоритет во время выполнения активных движений вниз ниже того из резерва.

Минимальная конфигурация

В этом разделе описывается настроить NAT B2B HA вместе с информацией о топологии.

B2 развертывания BHA мог иметь эти три топологии:

  • LAN LAN
  • LAN-WAN
  • Сетка LAN

Примечание: Средний размер пакета резервирования составляет 256 байтов.

Диаграмма сети с Основным Подключением L2/L3

Основное Подключение L2/L3

Конфигурация могла быть разделена на две главных части. Одна часть является базовой конфигурацией, которая включает RG, протокол резервирования, таймеры, контроль и интерфейсы данных. Вторая часть касается реальных данных / интерфейсы трафика и его ассоциация с RG.

Данный пример пытается достигнуть NAT B2B HA на ASR с сервером дальнего конца 192.168.5.5 от LAN 172.16.1.4. Эти конфигурации подготовлены со Статической конфигурацией NAT в данный момент.

ip nat pool POOL1 200.200.200.200 200.200.200.200 netmask 255.255.255.252
ip nat inside source list NAT pool POOL1 redundancy 1 mapping-id 252

Extended IP access list NAT
   10 permit ip host 172.16.1.4 host 192.168.5.5

ASR-1 

redundancy
 mode none
 application redundancy
 group 1
 name TEST
 preempt
 priority 150
 control GigabitEthernet0/0/2

protocol 1
 data GigabitEthernet0/0/3
ASR-2
   
redundancy
mode none
application redundancy
group 1
name TEST
preempt
priority 50
control GigabitEthernet0/0/2

protocol 1
data GigabitEthernet0/0/3

Оба ASR должны быть в состоянии достигнуть открытого IP - адреса, предоставленного интернет-провайдером.

ASR-1#ping 200.200.200.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ASR-2#ping 200.200.200.200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.200.200, timeout is 2 seconds:
!!!!!

Интерфейс Направления LAN связан с коммутаторами распределения, которые в свою очередь связаны с хостами.

ASR-1#show run int GigabitEthernet0/0/0
interface GigabitEthernet0/0/0
 ip address 172.16.1.2 255.255.255.248
 ip nat inside
 negotiation auto
 cdp enable
 redundancy rii 100
 redundancy group 1 ip 172.16.1.5
exclusive decrement 100
end
ASR-2#show run int GigabitEthernet0/0/0
interface GigabitEthernet0/0/0
 ip address 172.16.1.3 255.255.255.248
 ip nat inside
 negotiation auto
 cdp enable
 redundancy rii 100
 redundancy group 1 ip 172.16.1.5
exclusive decrement 100
end

Интерфейс Направления интернет-провайдера имеет эту конфигурацию:

ASR-1#show run int gi0/0/1
interface GigabitEthernet0/0/1
 ip address 192.168.3.2 255.255.255.252
 ip nat outside
 negotiation auto
 cdp enable
 redundancy rii 101
 redundancy asymmetric-routing enable
 redundancy group 1 decrement 20
end
ASR-2#show run int gi0/0/1
interface GigabitEthernet0/0/1
 ip address 192.168.4.2 255.255.255.252
 ip nat outside
 negotiation auto
 cdp enable
 redundancy rii 101
 redundancy asymmetric-routing enable
 redundancy group 1 decrement 20
end


Данные и Контрольные интерфейсы между ASR были настроены как показано в этих разделах.

Контрольный интерфейс
ASR-1#show run int gi0/0/2
interface GigabitEthernet0/0/2
description CONTROL-INTERFACE
ip address 10.10.10.1 255.255.255.252
negotiation auto
cdp enable
end
ASR-2#show run int gi0/0/2
interface GigabitEthernet0/0/2
description CONTROL INTERFACE
ip address 10.10.10.2 255.255.255.252
negotiation auto
cdp enable
end

Интерфейс данных
ASR-1#show run int gi0/0/3
interface GigabitEthernet0/0/3
description DATA INTERFACE
encapsulation dot1Q 10
ip address 10.11.11.1 255.255.255.252
end
ASR-2#show run int gi0/0/3
interface GigabitEthernet0/0/3
description DATA INTERFACE
encapsulation dot1Q 10
ip address 10.11.11.2 255.255.255.252
end

Примечание:
- Вы не должны настраивать идентификатор избыточного интерфейса (RII) на интерфейсе, который настроен или как интерфейс данных или как контрольный интерфейс.
- Необходимо настроить RII и асимметричную маршрутизацию и на активном и на резервные устройства.
- Вы не можете включить асимметричную маршрутизацию на интерфейсе, которому настроили виртуальный IP - адрес.

Проверка.

Команды проверки и ожидаемые выходные данные

 Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show . Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show. 

ASR-1#show redundancy application group 
Group ID   Group Name                     State
--------   ----------                     -----
1          TEST                          ACTIVE

ASR-2#show redundancy application group
Group ID   Group Name                     State
--------   ----------                     -----
1          TEST                          STANDBY

ASR-1#show redundancy application group 1
Group ID:1
Group Name:TEST

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
   RF state: ACTIVE
   Peer RF state: STANDBY HOT

ASR-2#show redundancy application group 1
Group ID:1
Group Name:TEST

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: STANDBY
Peer Role: ACTIVE
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
   RF state: STANDBY HOT
   Peer RF state: ACTIVE

ASR-1#show ip nat translations
Pro Inside global        Inside local         Outside local        Outside global
--- 200.200.200.200      172.16.1.4           ---                  ---
icmp 200.200.200.200:98   172.16.1.4:98        192.168.5.5:98       192.168.5.5:98
Total number of translations: 2

ASR-2#show ip nat translations
Pro Inside global        Inside local         Outside local        Outside global
--- 200.200.200.200      172.16.1.4           ---                  ---
icmp 200.200.200.200:98   172.16.1.4:98        192.168.5.5:98       192.168.5.5:98
Total number of translations: 2

ASR-1#show redundancy application protocol group 1

RG Protocol RG 1
------------------
   Role: Active
   Negotiation: Enabled
   Priority: 150
   Protocol state: Active
   Ctrl Intf(s) state: Up
   Active Peer: Local
   Standby Peer: address 10.10.10.2, priority 50, intf Gi0/0/2
   Log counters:
      role change to active: 7
      role change to standby: 7
      disable events: rg down state 7, rg shut 0
      ctrl intf events: up 7, down 8, admin_down 7
      reload events: local request 0, peer request 0

RG Media Context for RG 1
--------------------------
   Ctx State: Active
   Protocol ID: 1
   Media type: Default
   Control Interface: GigabitEthernet0/0/2
       Current Hello timer: 3000
   Configured Hello timer: 3000, Hold timer: 9000
   Peer Hello timer: 3000, Peer Hold timer: 9000
   Stats:
      Pkts 386597, Bytes 23969014, HA Seq 0, Seq Number 386597, Pkt Loss 0
      Authentication not configured
      Authentication Failure: 0
      Reload Peer: TX 0, RX 0
      Resign: TX 0, RX 1
   Standby Peer: Present. Hold Timer: 9000
      Pkts 386589, Bytes 13144026, HA Seq 0, Seq Number 1503658, Pkt Loss 0

ASR-2#show redundancy application protocol group 1

RG Protocol RG 1
------------------
   Role: Standby
   Negotiation: Enabled
   Priority: 50
   Protocol state: Standby-hot
   Ctrl Intf(s) state: Up
   Active Peer: address 10.10.10.1, priority 150, intf Gi0/0/2
   Standby Peer: Local
   Log counters:
      role change to active: 8
      role change to standby: 16009
      disable events: rg down state 1, rg shut 0
      ctrl intf events: up 9, down 10, admin_down 1
      reload events: local request 15999, peer request 2

RG Media Context for RG 1
--------------------------
   Ctx State: Standby
   Protocol ID: 1
   Media type: Default
   Control Interface: GigabitEthernet0/0/2
       Current Hello timer: 3000
   Configured Hello timer: 3000, Hold timer: 9000
   Peer Hello timer: 3000, Peer Hold timer: 9000
   Stats:
      Pkts 1503674, Bytes 93227788, HA Seq 0, Seq Number 1503674, Pkt Loss 0
      Authentication not configured
      Authentication Failure: 0
      Reload Peer: TX 2, RX 2
      Resign: TX 8, RX 7
   Active Peer: Present. Hold Timer: 9000
      Pkts 386603, Bytes 13144502, HA Seq 0, Seq Number 386613, Pkt Loss 0

ASR-1#show platform hardware qfp active system rg 1
Redundancy Group 1
   State:      RG_ACTIVE
   Bulksync:   NO BULKSYNC REQ
   Transport:   
      SYNC_B2B   LISTEN
         cp hdl 0x01013e8d dp hdl 0x03010006, platfm hdl 0x0000fa35
      L3_IPV4
         src addr 10.11.11.1   dest addr 10.11.11.2
      L4_UDP_RELIABLE
         src port  19510   dest port  3497

      AR transport not available
   Stats:
      RG Request:
         CREATE      0
         UPDATE      32048
         DELETE      0
      RG State:
         RG_PREINIT      0
         RG_INIT         7
         RG_STANDBY      21
         RG_ACTIVE      32020
      RG Transport Request:
                  NA         0
         OPEN         16014
         CLOSE         0
      RG Transport Status:
         CONN_ESTB      7
         CONN_FAIL      0
         TRANS_DOWN      0
         TRANS_DOWN_GRACEFUL   8
      Bulksync:
         Request         7
         Success         7
         Fail         0

ASR-1#show platform hardware qfp active system rg 1 stats
   trans index:   00000006 Trans Type:   00000001 RG   1
   mf_flags   0x40000000 seq_flags   0x700003ff
   ha_control_state   0x5
   pending ack      00000000
   keepalive_timeout   00000100
   rx_seq_flags      0x8000000
   rx_seq_num   0x2c0d4a44
   tx_seq      0xb4965908
   tx_ack_tail   0xb4965908
   tx_seq_flags   0x700003ff
   tx   0000000000580126
   rx   0000000000580089
   retx   0000000000000000
   rx dropped   0000000000000000
   records dropped   0000000000000000
   tx dropped   0000000000000000
   ack dropped   00000000 oob pkts dropped 00000000
   send dropped 00000000 rx_control_msgs 00580090
   tx control_msgs 00580078  for_us_hits 01160217
   sync_alloc_failures 00000000 status_notifications 00000001
   sync_msgs_received 00580093 sync_msgs_sent 00580133
   for_us_udp_checksum_drops 00000000
   acks sent 00580089 rcvd 00580126 nacks sent 00000000 rcvd 00000000

Полезные команды

  • RG на активном повторно загружен группой повторной загрузки приложения резервирования <rg-number-> сам команда в режиме EXEC.
  • RG на активном закрыт с использованием этих команд CLI в режиме конфигурации резервирования:
    ISR1(config-red-app)#group 1
    ISR1(config-red-app-grp)#shutdown

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118768