跟踪通道健康状态,当连接对互联网
简介
本文描述如何跟踪传输通道的在VPN 0的健康状态。 在版本17.2.2中及以后,在网络地址转换(NAT)启用的传输接口使用本地互联网退出。您能在这些帮助下跟踪互联网连接的状况。如果互联网成为不可用,流量自动地重定向到在传输接口的非NAT的通道。
背景信息
为了在本地站点提供用户以直接,对互联网资源的安全访问,例如网站,您能配置vEdge路由器功能作为NAT设备,进行地址和端口转换(NAPT)。当您启用NAT时,允许退出从vEdge路由器的流量通过直接地到互联网而不是已回程的对该一个托管的设备互联网访问的提供NAT服务。如果这样使用NAT在vEdge路由器,您能排除流量“tromboning”和允许高效路由,有更短的距离,在他们使用本地站点的用户和基于网络的应用之间。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
网络图
vEdge1此处路由器作为NAT设备。vEdge路由器拆分其流量到两个流,您能设想作为两个单独的隧道。一通信流,显示为绿色,在覆盖网络内在通常方式依然是并且移动在两路由器之间,在形成覆盖网络的安全IPSec隧道。第二数据流,显示在灰色,重定向通过vEdge路由器上的NAT设备然后在对公共网络的覆盖网络外面。
此镜像解释在vEdge路由器的NAT功能如何拆分流量到两个流(或两个通道),以便一些它在覆盖网络内保持,并且一些去直接地互联网或其他公共网络。
这里, vEdge路由器有两个接口:
- 接口ge0/1面对本地站点并且在VPN 1。其IP地址是10.1.12.0/24。
- 接口ge0/0面对传输网云并且在VPN 0 (传输VPN)。其IP地址是192.23.100.0/24,并且使用默认OMP端口号, 12346,覆盖网络通道。
为了配置vEdge路由器作为NAT设备,以便从路由器的若干流量可以去直接地公共网络,您做三件事:
- 启用在传输VPN (VPN 0)的NAT在广域网传输–面对接口,这是ge0/0。退出从vEdge路由器的所有流量,去其他覆盖网络站点或公共网络,穿过此接口。
- 要处理从其他VPN的数据流从vEdge路由器退出直接地到公共网络,请启用在那些VPN的NAT或保证那些VPN有一个路由对VPN 0。
当NAT启用时,穿过VPN 0的所有流量NAT。这包括是注定的为公共网络和所有控制流量,包括要求的流量建立并维护DTL在vEdge路由器和vSmart控制器之间的控制层面通道和在路由器和vBond管弦乐队之间从VPN 1的数据流。
跟踪接口状态
当您在数据中心时,使在一个传输接口的NAT在VPN 0允许从路由器的数据流退出直接地到互联网而不是首先必须去一个路由器跟踪接口状态是有用的。在这种情况下,启用在传输接口的NAT拆分在本地路由器和数据中心之间的TLOC到两,当一个去远程路由器的和其他去互联网。
当您启用传输通道跟踪,周期地软件探测器确定的互联网的路径是否是UP。如果软件检测此路径发生故障,提取路由对互联网目的地,并且流量被注定对互联网通过数据中心路由器然后被路由。当软件检测时互联网的路径再作用,对互联网的路由重新安装。
配置
1. 配置跟踪仪在系统堵塞下。
终端dns NAME <dns-name>是隧道接口的终端的DNS名。这是在路由器发送探测器确定传输接口的状况的互联网的目的地。
system
tracker tracker
endpoint-dns-name google.com
!
!
2.配置传输接口的nat和跟踪仪。
vpn 0
interface ge0/0
ip address 192.0.2.70/24
nat
!
tracker tracker
tunnel-interface
!
!
3.对存在的直接数据流本地通过VPN 0。
vpn 1
ip route 0.0.0.0/0 vpn 0
!
验证
使用本部分可确认配置能否正常运行。
1. 检查默认路由在VPN 0。
vEdge# show ip route vpn 0
Codes Proto-sub-type:
IA -> ospf-intra-area, IE -> ospf-inter-area,
E1 -> ospf-external1, E2 -> ospf-external2,
N1 -> ospf-nssa-external1, N2 -> ospf-nssa-external2,
e -> bgp-external, i -> bgp-internal
Codes Status flags:
F -> fib, S -> selected, I -> inactive,
B -> blackhole, R -> recursive
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
---------------------------------------------------------------------------------------------------------------------------------------------
0 0.0.0.0/0 static - ge0/0 192.0.2.1 - - - - F,S
0 192.0.2.255/32 connected - system - - - - - F,S
0 192.0.2.70/24 connected - ge0/0 - - - - - F,S
2. 跟踪仪状态应该是‘在show interface VPN 0的UP'。
vEdge# show interface ge0/0
IF IF IF TCP
AF ADMIN OPER TRACKER ENCAP SPEED MSS RX TX
VPN INTERFACE TYPE IP ADDRESS STATUS STATUS STATUS TYPE PORT TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 ge0/0 ipv4 192.0.2.70/24 Up Up Up null transport 1500 12:b7:c4:d5:0c:50 1000 full 1420 19:17:56:35 21198589 24842078
3. 寻找‘在RIB的NAT’路由条目。
vEdge# show ip routes nat
Codes Proto-sub-type:
IA -> ospf-intra-area, IE -> ospf-inter-area,
E1 -> ospf-external1, E2 -> ospf-external2,
N1 -> ospf-nssa-external1, N2 -> ospf-nssa-external2,
e -> bgp-external, i -> bgp-internal
Codes Status flags:
F -> fib, S -> selected, I -> inactive,
B -> blackhole, R -> recursive
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
---------------------------------------------------------------------------------------------------------------------------------------------
1 0.0.0.0/0 nat - ge0/0 - 0 - - - F,S
4. 仔细确认default-route从服务侧指向与NAT的传输接口。
vEdge# show ip route vpn 1 0.0.0.0
Codes Proto-sub-type:
IA -> ospf-intra-area, IE -> ospf-inter-area,
E1 -> ospf-external1, E2 -> ospf-external2,
N1 -> ospf-nssa-external1, N2 -> ospf-nssa-external2,
e -> bgp-external, i -> bgp-internal
Codes Status flags:
F -> fib, S -> selected, I -> inactive,
B -> blackhole, R -> recursive
PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN PREFIX PROTOCOL SUB TYPE IF NAME ADDR VPN TLOC IP COLOR ENCAP STATUS
------------------------------------------------------------------------------------------------------------------------------
1 0.0.0.0/0 nat - ge0/0 - 0 - - - F,S
故障排除
使用本部分可确认配置能否正常运行。
1. 保证终端IP或终端dns NAME是某事在能回答HTTP请求的互联网。 并且,请验证终端IP地址不是相同的象传输接口。在案件中, “跟踪仪状态”将显示作为“下来”。
vEdge# show interface ge0/0
IF IF IF TCP
AF ADMIN OPER TRACKER ENCAP SPEED MSS RX TX
VPN INTERFACE TYPE IP ADDRESS STATUS STATUS STATUS TYPE PORT TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 ge0/0 ipv4 192.0.2.70/24 Up Up Down null transport 1500 12:b7:c4:d5:0c:50 1000 full 1420 19:18:24:12 21219358 24866312
2. 这是能使用为了验证的示例数据包出去到互联网。例如, 8.8.8.8是谷歌DNS。从VPN 1的数据包被发出。
vEdge# ping vpn 1 8.8.8.8
Ping in VPN 1
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=51 time=0.473 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=51 time=0.617 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=51 time=0.475 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=51 time=0.505 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=51 time=0.477 ms
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.473/0.509/0.617/0.058 ms
验证NAT平移过滤器。您看到NAT过滤器为互联网控制消息协议(ICMP)被构件。
vEdge# show ip nat filter
PRIVATE PRIVATE PRIVATE PUBLIC PUBLIC PUBLIC
NAT NAT SOURCE PRIVATE DEST SOURCE DEST SOURCE PUBLIC DEST SOURCE DEST FILTER IDLE OUTBOUND OUTBOUND INBOUND INBOUND
VPN IFNAME VPN PROTOCOL ADDRESS ADDRESS PORT PORT ADDRESS ADDRESS PORT PORT STATE TIMEOUT PACKETS OCTETS PACKETS OCTETS DIRECTION
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 ge0/0 1 icmp 192.0.0.70 8.8.8.8 13067 13067 192.0.2.70 8.8.8.8 13067 13067 established 0:00:00:02 5 510 5 490 -
反馈