شكلت NAT ساكن إستاتيكي ل TLOC امتداد ل interoperability مع Symmetric NAT
المقدمة
يصف هذا وثيقة يشكل NAT ساكن إستاتيكي على TLOC امتداد مسحاج تخديد يستعمل NAT حمل زائد أن يعمل مع نظير خلف NAT متماثل.
توصيات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- شبكة منطقة واسعة معرفة ببرنامج Cisco Catalyst (SD-WAN)
- ترجمة عنوان الشبكة (NAT)
- امتداد Tloc
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية.
- C8000V، الإصدار 17.15.1a
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
يسلط دليل تصميم Cisco Catalyst SD-WAN الضوء على أن أنواعا معينة من ترجمة عنوان الشبكة (NAT) يمكن أن تؤثر على تكوين إتصالات التحكم وأنفاق BFD.
النوعان من NAT الذي لا يعمل معا NAT مقيد المنفذ/العنوان و NAT متماثل. تتطلب هذه الأنواع من NAT أن يتم بدء الجلسات من الشبكة الداخلية للسماح بحركة مرور البيانات على كل منفذ. وهذا يعني أنه لا يمكن لحركة المرور الخارجية بدء اتصال بالشبكة الداخلية دون طلب مسبق من الداخل.
غالبا ما تواجه المواقع الواقعة وراء NAT متماثل صعوبات في إنشاء جلسات BFD مع مواقع الأقران. وهذا صعب بشكل خاص عند النظر إلى موقع باستخدام امتداد TLOC خلف الحمل الزائد ل NAT (المعروف أيضا ب NAT الخاص بالمنفذ/العنوان).
المخطط
المعايير
1. S30_Edge1 هو خلف NAT متماثل
2. S20_Edge2 هو خلف امتداد TLOC حيث S20_Edge1 يستخدم التحميل الزائد ل NAT (PAT) إلى nat التدفقات من Edge2.
هذا ينتج ال BFD مساعدة أن يسقط على ال Symmetric NAT أداة وال S20_Edge1 بسبب ما من جلسة حاضر للميناء غير معروف من النظير.
يعرض الجهاز S20_Edge1 إسقاط قائمة التحكم في الوصول (ACL) الضمني لهذه الأهداف نظرا لأنها لا تطابق أي جلسة في جدول NAT.
تحديد المشكلة
الخطوة 1. التحقق من جلسات عمل BFD
من إخراج جلسات عمل show sdwan bfd على S30_Edge1، يظهر أن جلسة BFD إلى S20_Edge2، 10.0.0.2 معطلة.
S30_Edge1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.0.0.2 20 down biz-internet biz-internet 192.168.30.2 172.16.1.18 5063 ipsec 7 1000 NA 0
10.0.0.1 20 up biz-internet biz-internet 192.168.30.2 172.16.1.18 12346 ipsec 7 1000 0:00:44:29 0 الخطوة 2. تحقق من نوع NAT
في أسفل المخرج، يظهر نوع NAT A على S30_Edge1. هذا يشير إلى NAT متماثل. لاحظ أيضا IP العام 172.16.1.34 والمنفذ 31048.
S30_Edge1# show sdwan control local-properties
site-id 30
domain-id 1
protocol dtls
tls-port 0
system-ip 10.0.0.30
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE WAN MAX RESTRICT/ LAST SPI TIME NAT VM BIND
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON REG INTERFACE
STUN PRF IDs
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet1 172.16.1.34 31048 192.168.30.2 :: 12346 2/1 biz-internet up 2 yes/yes/no No/No 0:00:49:18 0:11:10:25 A 5 Default N/A
خطوة 3. فحصت ال nat تشكيل
من المخطط، من المعروف أن S20_Edge2 يقع خلف امتداد TLOC. عند هذه النقطة، يمكننا التحقق من تكوين PAT على S20_Edge1.
تكوين الحمل الزائد ل NAT موجود بالفعل على S20_Edge1
S20_Edge1#sh run int gi1
interface GigabitEthernet1
description biz-internet
ip dhcp client default-router distance 1
ip address 192.168.20.2 255.255.255.0
no ip redirects
ip nat outside
load-interval 30
negotiation auto
arp timeout 1200
end
S20_Edge1#sh run | i nat
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet1 overload الخطوة 4. تحقق من IP العام والمنفذ
تحقق من عرض sdwan التحكم في الإخراج المحلي للخصائص على S20_Edge2 للاطلاع على IP العام والمنفذ 172.16.1.18 والمنفذ 5063
S20_Edge2#show sdwan control local-properties
site-id 20
domain-id 1
protocol dtls
tls-port 0
system-ip 10.0.0.2
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE WAN MAX RESTRICT/ LAST SPI TIME NAT VM BIND
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON REG INTERFACE
STUN PRF IDs
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet2.100 172.16.1.18 5063 192.168.100.2 :: 12346 2/0 biz-internet up 2 yes/yes/no No/No 0:00:50:29 0:11:09:15 E 5 Default N/A
الخطوة 5. راجع ترجمات NAT
الآن فحصت ال nat ترجمة على ال S20_Edge1 أداة. هناك فقط جلسة NAT إلى IP والمنفذ المعلن عنهما ل S30_Edge1، IP 172.16.1.34 والمنفذ 31048. وبالنظر إلى ما نعرفه عن NAT المتماثل، فإن هذه ليست الحالة. يجب أن يكون هناك منفذ مختلف واحد على الأقل عن 31048 (لا يكون منفذ SD-WAN قياسيا مثل 12346)، إذا لم يكن هناك مجموعة مختلفة من IP والمنفذ.
S20_Edge1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.1.69:12346 172.16.1.69:12346
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.0.102:12446 172.16.0.102:12446
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.1.50:12346 172.16.1.50:12346
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.0.202:12346 172.16.0.202:12346
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.1.82:12346 172.16.1.82:12346
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.1.34:31048 172.16.1.34:31048
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.0.201:12346 172.16.0.201:12346
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.0.101:12446 172.16.0.101:12446
udp 192.168.20.2:5063 192.168.100.2:12346 172.16.1.98:12346 172.16.1.98:12346
الخطوة 6، تحقق من تتبع FIA
قم بتشغيل تتبع FIA للتأكد من إسقاط الحزم على S20_Edge1. ضع في الاعتبار أنه لا يجب أن يكون IP هو نفسه المعلن عنه، ولكنه في هذه الحالة للبساطة.
S20_Edge1#debug platform condition ipv4 172.16.1.34/32 both
S20_Edge1#debug platform condition start
S20_Edge1#debug platform packet packet 1024 fia
S20_Edge1#debug platform packet packet 1024 fia-trace
S20_Edge1#show platform packet summary
Pkt Input Output State Reason
0 Gi2.100 Gi1 FWD
1 internal0/0/recycle:0 Gi1 FWD
2 Gi2.100 Gi1 FWD
3 internal0/0/recycle:0 Gi1 FWD
4 Gi2.100 Gi1 FWD
5 internal0/0/recycle:0 Gi1 FWD
6 Gi2.100 Gi1 FWD
7 internal0/0/recycle:0 Gi1 FWD
8 Gi1 Gi1 DROP 479 (SdwanImplicitAclDrop)تحقق من الحزمة 8 لمعرفة ما إذا كانت هذه هي الحزمة المشتبه فيها.
S20_Edge1#show platform packet packet 8
Packet: 8 CBUG ID: 482
Summary
Input : GigabitEthernet1
Output : GigabitEthernet1
State : DROP 479 (SdwanImplicitAclDrop)
Timestamp
Start : 6120860350139 ns (04/18/2025 02:35:03.873687 UTC)
Stop : 6120860374021 ns (04/18/2025 02:35:03.873710 UTC)
Path Trace
Feature: IPV4(Input)
Input : GigabitEthernet1
Output :
Source : 172.16.1.34
Destination : 192.168.20.2
Protocol : 17 (UDP)
SrcPort : 3618
DstPort : 12346
يبدو أن هذا هو الربط من S30_Edge1.
تدقيق على ال nat طاولة في خطوة 6، نحن يستطيع رأيت هناك ما من جلسة ل هذا ربط. هذا هو سبب الهبوط.
الخطوة 7. تحقق من عدادات BFD
لا يمكن رؤية حزم BFD من S20_Edge2 في S30_Edge1 بسبب إسقاطها خارج الجهاز، على جهاز NAT. يمكن التحقق من عدادات BFD Tx/Rx من خلال أمر إحصائيات نفق show sdwan.
S30_Edge1#show sdwan tunnel statistics
tunnel stats ipsec 192.168.30.2 172.16.1.18 12346 12347
system-ip 10.0.0.2
local-color biz-internet
remote-color biz-internet
tunnel-mtu 1438
tx_pkts 10
tx_octets 1060
rx_pkts 0 <<<<<<<<<<<<<
rx_octets 0
tcp-mss-adjust 1358
ipv6_tx_pkts 0
ipv6_tx_octets 0
ipv6_rx_pkts 0
ipv6_rx_octets 0
tx_ipv4_mcast_pkts 0
tx_ipv4_mcast_octets 0
rx_ipv4_mcast_pkts 0
rx_ipv4_mcast_octets 0
tx-ipv6-mcast-pkts 0
tx-ipv6-mcast-octets 0
rx-ipv6-mcast-pkts 0
rx-ipv6-mcast-octets 0الحل
أن يحل هذا، ساكن إستاتيكي nat يستطيع كنت شكلت على الأعلى من ال NAT حمل زائد (PAT) على S20_Edge1 إلى NAT كل تحكم و BFD ربط إلى وحيد ip/ميناء مجموعة.
1. أولا، من الضروري تعطيل تخطي المنفذ على هذا اللون، أو على مستوى النظام في S20_Edge2.
كما تتم إضافة ميزة موازنة المنفذ كأفضل ممارسة للطراز S20_Edge2، لذلك لا يستخدم كل من S20_Edge1 و S10_Edge2 نفس منفذ المصدر لاتصالات التحكم أو أنفاق بروتوكول BFD.
ملاحظة: يمكن تنفيذ هذا التكوين من خلال واجهة سطر الأوامر الخاصة بالموجه أو من خلال قالب وظيفة واجهة سطر الأوامر الإضافية vManage.
S20_Edge2#config-t
S20_Edge2(config)# system
S20_Edge2(config-system)# no port-hop
S20_Edge2(config-system)# port-offset 1
S20_Edge2(config-system)# commit
ملاحظة: تأكد من أن S20_Edge2 يستخدم المنفذ الأساسي 12347 بعد هذا التكوين عن طريق فحص show sdwan control local-properties. إذا لم يكن يستخدم المنفذ الأساسي، فاستخدم الأمر clear sdwan control port-index لإعادة ضبط المنفذ مرة أخرى إلى المنفذ الأساسي. هذا يمنع المنفذ من التغيير إذا كان يعمل على منفذ أعلى ثم يعيد التمهيد لاحقا. ويقوم الأمر clear بإعادة ضبط إتصالات التحكم وأنفاق بروتوكول معلومات التوجيه (BFD).
2. قم بتكوين NAT الثابت على S20_Edge1.
S20_Edge1#config-t
S20_Edge1(config)# ip nat inside source static udp 192.168.100.2 12347 192.168.20.2 12347 egress-interface GigabitEthernet1
S20_Edge1(config)# commit3. امسح ترجمات NAT على S20_Edge1.
S20_Edge1#clear ip nat translation *التحقق
1. راجع جلسات BFD على أحد النظراء.
S30_Edge1#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.0.0.2 20 up biz-internet biz-internet 192.168.30.2 172.16.1.18 12347 ipsec 7 1000 0:00:00:37 0
2. تحقق من جلسات NAT على S20_Edge1.
S20_Edge1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 192.168.20.2:12347 192.168.100.2:12347 --- ---
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.0.202:12346 172.16.0.202:12346
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.1.50:12346 172.16.1.50:12346
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.0.102:12446 172.16.0.102:12446
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.1.34:50890 172.16.1.34:50890
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.1.69:12346 172.16.1.69:12346
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.1.98:12346 172.16.1.98:12346
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.0.101:12446 172.16.0.101:12446
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.0.201:12346 172.16.0.201:12346
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.1.82:12346 172.16.1.82:12346
udp 192.168.20.2:12347 192.168.100.2:12347 172.16.0.1:13046 172.16.0.1:13046
Total number of translations: 11
والآن، يرى أن جميع إتصالات التحكم وأنفاق BFD هي NAT إلى IP والمنفذ الذي تم تكوينه، 192.168.20.2:12347. كما أن الاتصال ب 172.16.1.34 هو لمنفذ مختلف تماما عن المعلن عنه إلى vSmart بواسطة S30_Edge1. راجع المنفذ 50890.
3. لاحظ في عرض sdwan إخراج الخصائص المحلية من S30_Edge1 أن IP والمنفذ المعلن هما 172.16.1.34 ومنفذ 60506.
S30_Edge1#show sdwan control local-properties
site-id 30
domain-id 1
protocol dtls
tls-port 0
system-ip 10.0.0.30
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE WAN MAX RESTRICT/ LAST SPI TIME NAT VM BIND
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON REG INTERFACE
STUN PRF IDs
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet1 172.16.1.34 60506 192.168.30.2 :: 12346 2/0 biz-internet up 2 yes/yes/no No/No 0:00:21:13 0:11:38:30 A 5 Default N/A
المراجع
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
24-Apr-2025
|
الإصدار الأولي |
التعليقات