IOS-XE で VRF 認識型ソフトウェア インフラストラクチャ(VASI)NAT を設定する
目次
概要
このドキュメントでは、Cisco IOS-XE® を実行するルータでの VASI NAT の設定について説明します。
著者:Cisco TAC エンジニア、Rohit Nair
前提条件
要件
このドキュメントに関しては個別の要件はありません。
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 このドキュメントは、Cisco IOS-XE ソフトウェアを実行するシスコ ルータおよびスイッチに適用されます。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
背景説明
IOS-XE で動作するデバイスは、IOS デバイスで使用されている従来の VRF 間 NAT 設定をサポートしません。 IOS-XE での VRF 間 NAT は、VASI の実装によってサポートされます。
VASI により、VRF インスタンス間をフローするトラフィックに IPsec、ファイアウォール、NAT などのサービスを設定できます。
VASI を実装するには、VASI のペアを設定し、そのペアのそれぞれのインスタンスを異なる VRF インスタンスに関連付けます。 VASI 仮想インターフェイスは、これら 2 つの VRF インスタンス間でスイッチングする必要があるすべてのパケットのネクスト ホップ インターフェイスになります。 ペアリングは、vasileft インターフェイスが自動的に vasiright インターフェイスとペアになるよう、2 つのインターフェイス インデックスに基づいて自動的に行われます。 vasileft インターフェイスに入るパケットはすべて、そのペアとなっている vasiright インターフェイスに自動的に転送されます。
VASI の動作
VRF 間 VASI を同じデバイスに設定する場合、パケット フローは以下の順で行われます。
- パケットが VRF 1 に属する物理インターフェイスに入ります。
- パケットを転送する前に、VRF 1 ルーティング テーブルで転送ルックアップが行われます。 Vasileft1 がネクスト ホップとして選択され、存続可能時間(TTL)の値がパケットから減算されます。 通常、転送先アドレスは VRF のデフォルト ルートに基づいて選択されます。 ただし、転送先アドレスをスタティック ルートや学習ルートにすることもできます。 パケットが vasileft1 の出力パスに送信されて、自動的に vasiright1 入力パスに送信されます。
- パケットが vasiright1 に入ると、VRF 2 ルーティング テーブルで転送ルックアップが行われ、TTL 値が再び減算されます(このパケットでの 2 回目の減算)。
- VRF 2 がパケットを物理インターフェイスに転送します。
設定
以下のシナリオで、基本的な VRF 間 NAT の設定を説明します。
ネットワーク図
初期設定
SanJose:
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.1.2
Bombay:
vrf definition VRF_LEFT
rd 1:1
!
address-family ipv4
exit-address-family
vrf definition VRF_RIGHT
rd 2:2
!
address-family ipv4
exit-address-family
interface GigabitEthernet0/0/0
vrf forwarding VRF_LEFT
ip address 192.168.1.2 255.255.255.0
interface GigabitEthernet0/0/1
vrf forwarding VRF_RIGHT
ip address 172.16.1.2 255.255.255.0
Sydney:
interface GigabitEthernet0/0/0
ip address 172.16.1.1 255.255.255.0
VASI インターフェイスの設定
VASI インターフェイスごとに異なる VRF インスタンスがペアとして関連付けられます。
interface vasileft1
vrf forwarding VRF_LEFT
ip address 10.1.1.1 255.255.255.252
interface vasiright1
vrf forwarding VRF_RIGHT
ip address 10.1.1.2 255.255.255.252
NAT の設定
この例では、以下の要件に従って NAT を設定します。
1. スタティック NAT:送信元 IP 192.168.1.1 を 172.16.1.5 に変換する必要があります。
2. ダイナミック NAT:送信元サブネット 192.168.1.0/24 を 172.16.1.5 に変換する必要があります。
シナリオ 1 - Vasiright での NAT
通常、WAN インターフェイスは発信 VRF(このトポロジでは VRF_RIGHT)にあります。 この場合、NAT を vasiright と WAN インターフェイスの間に設定できます。 vasileft から vasiright インターフェイスに入るトラフィックは内部で NAT として設定され、WAN インターフェイスが NAT 外部インターフェイスになります。
このシナリオでは、VRF 間のトラフィックにスタティック ルートを使用します。 宛先を 172.16.0.0 サブネットとするスタティック ルートを、vasileft インターフェイスをポイントする VRF_LEFT 上に設定し、送信先を 192.168.0.0 サブネットとする別のルートを、vasiright インターフェイスをポイントする VRF_RIGHT 上に設定します。
 注 |
送信元 IP を WAN インターフェイス IP に変換するように NAT を設定しないでください。 そのように設定すると、ルータがトラフィックを自身を宛先とするトラフィックとして扱い、VASI インターフェイスに転送しません。 |
スタティック NAT
!--- Interface configuration
interface vasiright1
vrf forwarding VRF_RIGHT
ip address 10.1.1.2 255.255.255.252
ip nat inside
interface GigabitEthernet0/0/1
vrf forwarding VRF_RIGHT
ip address 172.16.1.2 255.255.255.0
ip nat outside
!--- Static route configuration
ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1
!--- NAT configuration
ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_RIGHT
検証:
Bombay#sh ip nat translations vrf VRF_RIGHT
Pro Inside global Inside local Outside local Outside global
--- 172.16.1.5 192.168.1.1 --- ---
icmp 172.16.1.5:8 192.168.1.1:8 172.16.1.1:8 172.16.1.1:8
tcp 172.16.1.5:47491 192.168.1.1:47491 172.16.1.1:23 172.16.1.1:23
Total number of translations: 3
ダイナミック NAT
!--- Interface configuration
interface vasiright1
vrf forwarding VRF_RIGHT
ip address 10.1.1.2 255.255.255.252
ip nat inside
interface GigabitEthernet0/0/1
vrf forwarding VRF_RIGHT
ip address 172.16.1.2 255.255.255.0
ip nat outside
!--- Static route configuration
ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 192.168.0.0 255.255.0.0 vasiright1 10.1.1.1
!--- Access-list configuration
Extended IP access list 100
10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1
20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1
30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1
!--- NAT configuration
ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24
ip nat inside source list 100 pool POOL vrf VRF_RIGHT overload
検証:
Bombay#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 172.16.1.5:1 192.168.1.1:15 172.16.1.1:15 172.16.1.1:1
tcp 172.16.1.5:1024 192.168.1.1:58166 172.16.1.1:23 172.16.1.1:23
Total number of translations: 2
シナリオ 2 - Vasileft での NAT
vasileft 側だけで NAT を設定することもできます。つまり、VRF_LEFT でトラフィックに NAT を適用してから VRF_RIGHT に送信するという設定です。 VRF_LEFT の着信インターフェイスは NAT 内部インターフェイスと見なされ、vasileft 1 は NAT 外部インターフェイスとして設定されます。
このシナリオでは、VRF 間のトラフィックにスタティック ルートを使用します。 宛先を 172.16.0.0 サブネットとするスタティック ルートを、vasileft インターフェイスをポイントする VRF_LEFT 上に設定し、NAT 適用後の送信先を 172.16.1.5 サブネットとする別のルートを、vasiright をポイントする VRF_RIGHT 上に設定します。
スタティック NAT
!--- Interface configuration
interface GigabitEthernet0/0/0
vrf forwarding VRF_LEFT
ip address 192.168.1.2 255.255.255.0
ip nat inside
interface vasileft1
vrf forwarding VRF_LEFT
ip address 10.1.1.1 255.255.255.252
ip nat outside
!--- Static route configuration
ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1
!--- NAT configuration
ip nat inside source static 192.168.1.1 172.16.1.5 vrf VRF_LEFT
検証:
Bombay#sh ip nat translations vrf VRF_LEFT
Pro Inside global Inside local Outside local Outside global
--- 172.16.1.5 192.168.1.1 --- ---
icmp 172.16.1.5:5 192.168.1.1:5 172.16.1.1:5 172.16.1.1:5
tcp 172.16.1.5:35414 192.168.1.1:35414 172.16.1.1:23 172.16.1.1:23
Total number of translations: 3
ダイナミック NAT
!--- Interface configuration
interface GigabitEthernet0/0/0
vrf forwarding VRF_LEFT
ip address 192.168.1.2 255.255.255.0
ip nat inside
interface vasileft1
vrf forwarding VRF_LEFT
ip address 10.1.1.1 255.255.255.252
ip nat outside
!--- Static route configuration
ip route vrf VRF_LEFT 172.16.0.0 255.255.0.0 vasileft1 10.1.1.2
ip route vrf VRF_RIGHT 172.16.1.5 255.255.255.255 vasiright1 10.1.1.1
!--- Access-list configuration
Extended IP access list 100
10 permit tcp 192.168.1.0 0.0.0.255 host 172.16.1.1
20 permit udp 192.168.1.0 0.0.0.255 host 172.16.1.1
30 permit icmp 192.168.1.0 0.0.0.255 host 172.16.1.1
!--- NAT configuration
ip nat pool POOL 172.16.1.5 172.16.1.5 prefix-length 24
ip nat inside source list 100 pool POOL vrf VRF_LEFT overload
検証:
Bombay#sh ip nat translations vrf VRF_LEFT
Pro Inside global Inside local Outside local Outside global
icmp 172.16.1.5:1 192.168.1.1:4 172.16.1.1:4 172.16.1.1:1
tcp 172.16.1.5:1024 192.168.1.1:27593 172.16.1.1:23 172.16.1.1:23
Total number of translations: 2
検証
- 2 つの VRF インスタンス間のトラフィックをルーティングするようにダイナミック/スタティック ルートが設定されているかどうかを確認します。
- NAT が正しい VRF に対して設定されているかどうかを確認します。
トラブルシューティング
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
フィードバック