Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT estático em linha sobre VPNs de camada 3 para borda empresarial

Sobre este exemplo

Este exemplo mostra como um provedor de serviços pode dar aos funcionários da empresa em diferentes redes acesso a serviços de nuvem usando NAT em linha das LANs de seus clientes através do núcleo MPLS do provedor de serviços aos serviços de nuvem. O exemplo consiste no seguinte:

  • Três roteadores Customer Edge (CE) que originam o tráfego das LANs do cliente aos serviços de nuvem.

  • Roteadores de borda de três provedores (PE).

  • Serviços de nuvem que poderiam pertencer à empresa ou ao provedor de serviços.

Figura 1: Visão geral da rede NAT em linha Inline NAT Network Overview

Visão geral da tecnologia

A Figura 2 oferece uma visão geral da tecnologia usada neste exemplo.

Figura 2: Visão geral da rede de exemplo de NAT em linha Inline NAT Example Network Overview

Visão geral do roteamento

O núcleo é um núcleo MPLS que usa:

  • RSVP como o protocolo de sinalização que define caminhos de ponta a ponta.

  • Túneis de caminho comutada por rótulos (LSP) entre os roteadores PE.

  • EBGP para distribuir rotas dos roteadores CE e serviços de nuvem para roteadores PE.

  • BGP multiprotocol (MP-BGP) para trocar informações de roteamento entre os roteadores PE.

  • OSPF para fornecer informações de alcance no núcleo para permitir que o BGP resolva seus próximos saltos.

VPN de camada 3

Uma VPN de Camada 3 é um conjunto de sites que compartilham informações comuns de roteamento e cuja conectividade é controlada por políticas. As VPNs de camada 3 permitem que os provedores de serviços usem seu núcleo IP para fornecer serviços de VPN a seus clientes.

O tipo de VPN de Camada 3 neste exemplo é chamado de VPN BGP/MPLS porque o BGP distribui informações de roteamento VPN em todo o núcleo do provedor, e o MPLS encaminha o tráfego de VPN em todo o núcleo para os sites de VPN.

Neste exemplo, existem quatro sites conectados à VPN de Camada 3 — três sites de clientes e um site de serviços de nuvem. A VPN de Camada 3 tem uma configuração hub-and-spoke. Os roteadores PE1 e PE2 são os spokes, e eles se conectam às redes do cliente. O PE3 é o hub e se conecta aos serviços de nuvem.

NAT em linha

Em um dispositivo da Série MX, você pode usar NAT em linha em placas de linha MPC. Você não precisa de uma interface de serviços dedicada, como um MS-MPC. O NAT em linha é aplicado no plano de encaminhamento, semelhante à maneira como firewalls e policiais são tratados no Junos OS. O NAT em linha funciona em interfaces de serviços em linha (si) que são baseadas no FPC e PIC.

Como os pacotes não precisam ser enviados a uma placa de serviços para processamento, o roteador da Série MX pode alcançar taxa de linha, tradução de NAT de baixa latência. Embora os serviços NAT em linha ofereçam melhor desempenho do que usar uma placa de serviços, sua funcionalidade é mais básica; o NAT em linha oferece suporte apenas a NAT estático.

Existem dois tipos de NAT em linha:

  • Estilo de interface — um método baseado em interface, onde os pacotes que chegam a uma interface são enviados por um conjunto de serviços. Você usa o NAT no estilo de interface para aplicar NAT a todo o tráfego em uma interface.

  • Estilo next-hop — um método baseado em rota que normalmente é usado quando as instâncias de roteamento encaminham pacotes de uma rede específica ou destinados a um destino específico. As instâncias de roteamento movem o tráfego do cliente para uma interface de serviço onde o NAT é aplicado ao tráfego que corresponde à rota.

Ambos os métodos são usados neste exemplo.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Roteadores da Série MX com Concentradores modulares de portas (MPCs)

  • Versão Junos OS 17.1R1 ou superior

Configuração do núcleo

Visão geral do núcleo

A configuração do núcleo consiste nas interfaces físicas e de loopback e protocolos de roteamento. O projeto do protocolo de roteamento inclui:

  • RSVP é o protocolo de sinalização que define caminhos de ponta a ponta entre PE1 e PE3 e entre PE2 e PE3.

  • Os LSPs MPLS fornecem túneis entre PE1 e PE3 e entre PE2 e PE3.

  • O OSPF fornece informações de acessibilidade no núcleo para permitir que o BGP resolva seus próximos saltos.

  • O MP-BGP oferece suporte a VPNs de Camada 3, permitindo que os roteadores PE troquem informações sobre rotas originadas e terminais nas VPNs.

Figura 3: • Interfaces de núcleo e roteamento • Core Interfaces and Routing

Considerações de design de sinalização de transporte principal

Os dispositivos pe usam LSPs entre eles para enviar tráfego do cliente pelo núcleo MPLS. Nesse design, consideramos os dois tipos de sinalização mais comuns para configurar os caminhos de LSP de ponta a ponta — LDP e RSVP. Estamos usando o RSVP como o protocolo de sinalização que define caminhos de ponta a ponta.

Neste exemplo, o MP-BGP distribui informações de roteamento VPN em todo o núcleo do provedor, e o MPLS encaminha o tráfego de VPN em todo o núcleo para sites de VPN remotos.

Considerações de design do Interior Gateway Protocol (IGP)

Um IGP troca informações de roteamento dentro de um sistema autônomo (AS). Estamos usando o OSPF como IGP para a rede central. Escolhemos o OSPF porque é fácil de configurar, não requer uma grande quantidade de planejamento, tem resumo e filtragem flexíveis, e pode ser dimensionado para grandes redes.

Configuração do PE1

  1. Configure a interface física voltada para o núcleo e a interface de loopback.
  2. Configure os protocolos de roteamento de núcleo na interface voltada para o núcleo (xe-0/0/2.0).
    • Habilite o RSVP.

    • Habilite o MPLS na interface voltada para o núcleo para permitir que o MPLS crie um rótulo MPLS para a interface.

    • Configure um túnel MPLS LSP de PE1 a PE3.

    • Configure o IBGP e adicione o endereço de loopback do PE3 como um vizinho.

    • Configure o OSPF e adicione a interface voltada para o núcleo e a interface de loopback à área 0.

    Recomendamos adicionar a no-cspf declaração à configuração MPLS para desativar a computação LSP de caminho restrito. O CSPF é habilitado por padrão, mas é uma prática recomendada para desativar quando não é necessário.

  3. Configure o sistema autônomo.
  4. Configure e aplique por balanceamento de carga de fluxo.

Configuração do PE2

  1. Configure a interface física voltada para o núcleo e a interface de loopback.
  2. Configure os protocolos de roteamento de núcleo na interface voltada para o núcleo (xe-0/0/0,0).
    • Habilite o RSVP.

    • Configure um túnel MPLS LSP de PE2 a PE3.

    • Habilite o MPLS na interface voltada para o núcleo para permitir que o MPLS crie um rótulo MPLS para a interface.

    • Configure o IBGP e adicione o endereço de loopback do PE3 como um vizinho.

    • Configure o OSPF e adicione a interface voltada para o núcleo e a interface de loopback à área 0.

    Recomendamos adicionar a no-cspf declaração à configuração MPLS para desativar a computação LSP de caminho restrito. O CSPF é habilitado por padrão, mas é uma prática recomendada para desativar quando não é necessário.

  3. Configure o sistema autônomo.
  4. Configure e aplique por balanceamento de carga de fluxo.

Configuração do PE3

  1. Configure as interfaces físicas voltadas para o núcleo e a interface de loopback.
  2. Configure os protocolos de roteamento de núcleo nas interfaces voltadas para o núcleo (xe-0/0/0,0 e xe-0/0/1,0).
    • Habilite o RSVP.

    • Habilite o MPLS na interface voltada para o núcleo para permitir que o MPLS crie um rótulo MPLS para a interface.

    • Configure um túnel MPLS LSP de PE3 para PE1 e de PE3 a PE2.

    • Configure o IBGP e adicione os endereços de loopback PE1 e PE3 como vizinhos.

    • Configure o OSPF e adicione a interface voltada para o núcleo e a interface de loopback à área 0.

    Recomendamos adicionar a no-cspf declaração à configuração MPLS para desativar a computação LSP de caminho restrito. O CSPF é habilitado por padrão, mas é uma prática recomendada para desativar quando não é necessário.

  3. Configure o sistema autônomo.
  4. Configure e aplique por balanceamento de carga de fluxo.

Verificando sua configuração

Confirme e verifique a configuração do núcleo. Os exemplos abaixo mostram a saída do PE3.

  1. Verifique se suas interfaces físicas estão ativas.
  2. Verifique os vizinhos do OSPF.
  3. Verifique os pares BGP em PE1 e PE2.
  4. Mostre que os vizinhos estão estabelecidos no grupo IBGP.
  5. Verifique suas sessões de RSVP.
  6. Verifique suas sessões de LSP do MPLS.
  7. Verifique o status dos caminhos comuados por rótulos MPLS (LSPs).
  8. Para validar a acessibilidade no nível de OSPF no núcleo, a partir de PE3, ping PE1.

Configuração da VPN de camada 3 em roteadores PE

Visão geral da VPN da camada 3

Estamos usando uma VPN de Camada 3 para separar e rotear o tráfego de cada uma das LANs do cliente e serviços de nuvem em todo o núcleo. Existem quatro sites na VPN — as três LANs de clientes e serviços de nuvem.

Para distinguir rotas para as LANs do cliente e os serviços de nuvem nos roteadores PE, estamos usando a instância de roteamento e encaminhamento virtual (VRF). Uma instância de roteamento VRF tem uma ou mais tabelas de roteamento, uma tabela de encaminhamento, as interfaces que usam a tabela de encaminhamento e as políticas e protocolos de roteamento que controlam o que entra na tabela de encaminhamento. As tabelas VRF são povoadas com rotas recebidas dos locais ce e serviços de nuvem, e com rotas recebidas de outros roteadores PE na VPN. Como cada site tem sua própria instância de roteamento, cada site tem tabelas, regras e políticas separadas.

Este exemplo usa uma configuração de VPN hub-and-spoke. Os roteadores PE1 e PE2 são os spokes, e eles representam as redes do cliente. O PE3 é o hub, e representa os serviços de nuvem. As políticas marcam o tráfego como um hub ou um spoke, e a marcação é usada para direcionar o tráfego para a instância de roteamento VRF correta.

Figura 4: VPN de camada 3 com hub e spokes Layer 3 VPN with Hub and Spokes

Configuração do PE1

  1. Configure as interfaces físicas para o Cliente A e o Cliente B.
  2. Configure políticas que usaremos como políticas de importação e exportação de VPN nas instâncias de roteamento VRF do roteador.
    • CustA-to-CloudSvcs e CustB-to-CloudSvcs— Essas são políticas de exportação que adicionam a tag Spoke quando o BGP exporta rotas que correspondem às políticas.

    • from-CloudSvcs— Esta é uma política de importação que adiciona rotas recebidas com a tag Hub à tabela de roteamento VRF.

  3. Configure as instâncias de roteamento VRF para o Cliente A e B. Essas instâncias de roteamento criam as seguintes tabelas de roteamento no PE1:
    • Para o Cliente A, a tabela VRF é Cust-A-VRF.inet.0.

    • Para o cliente B, a tabela VRF é Cust-B-VRF.inet.0.

    Cada instância de roteamento deve conter:

    • Tipo de instância de VRF, que cria a tabela de roteamento VRF para a VPN no roteador PE.

    • Interface conectada ao dispositivo CE do cliente.

    • Diferenciador de rota, que deve ser único para cada instância de roteamento no roteador PE. Ele é usado para distinguir os endereços em uma VPN daqueles de outra VPN.

    • Política de importação de VRF que adiciona rotas recebidas com a tag Hub à tabela de roteamento VRF.

    • Política de exportação de VRF que adiciona a tag Spoke quando o BGP exporta a rota.

    • Rótulo de tabela VRF que mapeia o rótulo interno de um pacote para uma tabela VRF específica. Isso permite o exame do cabeçalho IP encapsulado. Todas as rotas no VRF configurado com essa opção são anunciadas com o rótulo alocado por VRF.

  4. Adicione o suporte de VPN de Camada 3 ao grupo IBGP.

Configuração do PE2

  1. Configure a interface para o Cliente C.
  2. Configure políticas que usaremos como políticas de importação e exportação de VPN na instância de roteamento VRF do roteador.
    • CustC-to-CloudSvcs— Esta é uma política de exportação que adiciona a tag Spoke quando o BGP exporta rotas que correspondem à política.

    • from-CloudSvcs— Esta é uma política de importação que adiciona rotas recebidas com a tag Hub à tabela de roteamento VRF.

  3. Configure uma instância de roteamento VRF para o Cliente C que criará uma tabela de roteamento para encaminhar pacotes dentro da VPN.

    Para Cust-C, a tabela VRF é Cust-C.inet.0.

    A instância de roteamento deve conter:

    • Diferenciador de rota, que deve ser único para cada instância de roteamento no roteador PE. Ele é usado para distinguir os endereços em uma VPN daqueles de outra VPN.

    • Tipo de instância de VRF, que cria a tabela de roteamento VRF para a VPN no roteador PE.

    • Interface conectada ao CE3.

    • Política de importação de VRF que adiciona rotas recebidas com a tag Hub à tabela de roteamento VRF.

    • Política de exportação de VRF que adiciona a tag Spoke quando o BGP exporta a rota.

    • Rótulo de tabela VRF que mapeia o rótulo interno de um pacote para uma tabela VRF específica. Isso permite o exame do cabeçalho IP encapsulado. Todas as rotas no VRF configurado com essa opção são anunciadas com o rótulo alocado por VRF.

  4. Adicione o suporte de VPN de Camada 3 ao grupo IBGP.

Configuração do PE3

  1. Configure a interface física para serviços de nuvem.
  2. Configure políticas que usaremos como políticas de importação e exportação de VPN na instância de roteamento VRF do roteador.
    • to-Cust— Esta é uma política de exportação que adiciona a tag Spoke quando o BGP exporta rotas que correspondem à política.

    • from-Cust— Esta é uma política de importação que adiciona rotas recebidas que têm uma tag Spoke à tabela de roteamento VRF.

  3. Configure uma instância de roteamento VRF usada para criar uma tabela de roteamento para encaminhar pacotes dentro da VPN.

    Para serviços de nuvem, a tabela VRF é CloudSvcs.inet.0.

    A instância de roteamento deve conter:

    • Diferenciador de rota, que deve ser único para cada instância de roteamento no roteador PE. Ele é usado para distinguir os endereços em uma VPN daqueles de outra VPN.

    • Tipo de instância de VRF, que cria a tabela VRF no roteador PE.

    • Interfaces conectadas aos roteadores PE.

    • Política de importação de VRF que adiciona rotas recebidas com uma tag Spoke à tabela de roteamento VRF.

    • Política de exportação VRF que adiciona a tag Spoke quando o BGP exporta rotas que correspondem à política.

  4. Adicione o suporte de VPN de Camada 3 ao grupo IBGP que foi configurado anteriormente.

Verificando sua configuração

Para verificar sua configuração, confirmar a configuração e, em seguida, fazer o seguinte:

  1. Do PE3, mostram vizinhos do grupo IBGP. Observe a inclusão das tabelas de roteamento bgp.l3vpn e CloudSvcs.
    Nota:

    Quando um roteador PE recebe uma rota de outro roteador PE, ele verifica-o contra a política de importação na sessão do IBGP entre os roteadores PE. Se for aceito, o roteador coloca a rota em sua tabela bgp.l3vpn.0. Ao mesmo tempo, o roteador verifica a rota contra a política de importação de VRF para a VPN. Caso corresponda, o diferencial de rota é removido da rota e a rota é colocada na tabela VRF apropriada (a tabela de instâncias de roteamento.inet.0).

  2. A partir do PE3, verifique os pares BGP em PE1 e PE2. Observe novamente a inclusão das tabelas bgp.l3vpn.
  3. A partir do PE1, verifique se a instância de roteamento Cust-A-VRF está ativa.
  4. A partir do PE1, verifique a tabela de roteamento Cust-A-VRF.inet.0.

Configuração de conexões de roteadores CE e serviços de nuvem para roteadores PE

Conexões de roteadores CE e serviços de nuvem para roteadores PE Visão geral

Estamos usando o EBGP para roteamento entre os roteadores CE e PE1 e PE2 e entre serviços de nuvem e PE3. Os roteadores CE usam uma política de roteamento que corresponde ao endereço da LAN do cliente. Você aplica essa política como política de exportação no peer EBGP, o que faz com que o EBGP envie esses endereços aos roteadores PE. A mesma configuração no roteador de serviços de nuvem faz com que suas rotas sejam enviadas para o PE3.

Figura 5: Conexões com roteadores CE e serviços de Connections to CE Routers and Cloud Services nuvem

Configurando a conexão entre CE1 e PE1

Neste exemplo, estamos usando as interfaces de loopback no roteador para representar as LANs dos clientes. É por isso que as interfaces de loopback usam os endereços IP da LAN do cliente.

Configuração do CE1

  1. Configure as interfaces físicas e de loopback para CE1.
  2. Configure uma política de roteamento que corresponda ao endereço da LAN do cliente A.
  3. Configure um grupo EBGP para peering entre CE1 e PE1. Aplique a política de roteamento que corresponda à LAN do cliente A como política de exportação. O BGP anuncia o endereço na política para PE1, que redistribui as rotas de LAN do cliente para a VPN.
  4. Configure o sistema autônomo para o roteador.

Configuração do PE1

Adicione um grupo EBGP às instâncias de roteamento Cust-A-VRF para peering entre PE1 e CE1.

Configurando a conexão entre CE2 e PE1

Neste exemplo, estamos usando as interfaces de loopback no roteador para representar as LANs dos clientes. É por isso que as interfaces de loopback usam os endereços IP da LAN do cliente.

Configuração do CE2

  1. Configure as interfaces físicas e de loopback para CE2.
  2. Configure uma política de roteamento que corresponda ao endereço da LAN do cliente B.
  3. Configure um grupo EBGP para peering entre CE2 e PE1. Aplique a política de roteamento que corresponda à LAN do cliente B como política de exportação. O BGP anuncia esse endereço para a rede VPN, o que significa que as rotas de LAN do cliente são distribuídas na VPN.
  4. Configure o sistema autônomo.

Configuração do PE1

Adicione um grupo EBGP às instâncias de roteamento Cust-B-VRF para peering entre PE1 e CE2.

Configurando a conexão entre CE3 e PE2

Neste exemplo, estamos usando as interfaces de loopback no roteador para representar as LANs dos clientes. É por isso que as interfaces de loopback usam os endereços IP da LAN do cliente.

Configuração do CE3

  1. Configure as interfaces físicas e de loopback para CE3.
  2. Configure uma política de roteamento que corresponda ao endereço da LAN C do cliente.
  3. Configure um grupo EBGP para peering entre CE3 e PE2. Aplique a política de roteamento que corresponde à LAN C do cliente como política de exportação. O BGP anuncia esse endereço para a rede VPN, o que significa que as rotas de LAN do cliente são distribuídas na VPN.
  4. Configure o sistema autônomo.

Configuração do PE2

Adicione um grupo de EBGP à instância de roteamento Cust-C para peering entre PE2 e CE3.

Verificação de conexões de roteadores CE e serviços de nuvem

  1. Verifique se as interfaces físicas dos roteadores CE estão ativas. Por exemplo:
  2. Verifique as conexões dos roteadores PE aos roteadores CE. Por exemplo:
  3. Verifique a conexão do PE3 aos serviços de nuvem.
  4. No PE3, verifique os pares BGP. Os serviços de nuvem (192.168.1.2) agora são um peer BGP.
  5. No PE1, verifique se CE1 e CE2 agora são pares BGP.
  6. Nos roteadores CE, verifique o grupo EBGP. Por exemplo:

Configuração do NAT em linha

Considerações de design de NAT em linha

O NAT em linha oferece tradução de endereços stateless em roteadores da Série MX que possuem placas de linha MPC. O benefício de usar um serviço em linha é que você não precisa de uma placa de serviços dedicada e quase não há impacto na capacidade ou latência do encaminhamento. Embora os serviços em linha geralmente ofereçam melhor desempenho do que usar uma placa de serviços, suas funcionalidades tendem a ser mais básicas. Por exemplo, o NAT em linha oferece suporte apenas a NAT estático.

Estamos usando NAT estático de origem neste exemplo de NAT em linha.

Tipos de NAT em linha

Existem dois tipos de NAT em linha:

  • Estilo de interface — um método baseado em interface, onde os pacotes que chegam a uma interface são enviados por um conjunto de serviços. Use o NAT no estilo de interface para aplicar NAT a todo tráfego que atravessa uma interface.

    O NAT no estilo de interface é mais simples de configurar do que o NAT estilo next-hop.

  • Estilo next-hop — um método baseado em rota que normalmente é usado quando as instâncias de roteamento encaminham pacotes provenientes de uma rede específica ou destinados a um destino específico por meio do serviço em linha.

Este exemplo mostra como usar ambos os métodos de NAT em linha da seguinte forma:

  • O PE1 usa o NAT de linha baseada em próximo salto para tráfego desde as redes Customer A e Customer B até serviços de nuvem.

  • O PE 2 usa o NAT em linha baseado em interface para tráfego desde a rede Customer C até os serviços de nuvem.

Configuração do NAT de origem inline estilo Next-Hop no PE1

Esta seção mostra como configurar o NAT em linha baseado em rota usando interfaces si com conjuntos de serviço no estilo next-hop.

Neste exemplo, a LAN do cliente A e a LAN B do cliente têm sub-redes sobrepostas. O roteador PE1 diferencia o tráfego de acordo com qual interface si- o tráfego chega.

Figura 6: Configuração Next-Hop Style Inline NAT Configuration nat em linha estilo next-hop

Os itens de configuração a seguir são usados nesta seção:

  • Interface de serviço em linha — uma interface virtual que reside no Mecanismo de encaminhamento de pacotes do MPC. Para acessar serviços, o tráfego entra e sai das interfaces si- (serviço em linha).

  • Conjunto de serviços — define o(s) serviço(s) executado e identifica qual interface em linha alimentará o tráfego dentro e fora do conjunto de serviços. Esta seção implementa conjuntos de serviços no estilo next-hop, que usa um método baseado em rota, onde rotas estáticas são usadas para encaminhar pacotes destinados a um destino específico através do serviço em linha.

  • A regra nat — usa uma estrutura if-then (como filtros de firewall) para definir condições de correspondência e, em seguida, aplicar a tradução de endereço ao tráfego correspondente.

  • Grupo DE NAT — um conjunto definido pelo usuário de endereços IP que a regra NAT usa para tradução.

  • A instância de roteamento de roteador virtual (VR) inclui uma rota estática padrão que envia o tráfego do cliente para a interface si onde o NAT é aplicado.

  • Filtros de firewall— redireciona o tráfego de entrada do Cliente A e do Cliente B para as instâncias de roteamento VR apropriadas.

  • Instância de roteamento VRF — as interfaces si externas são adicionadas às instâncias de roteamento VRF para o Cliente A e o Cliente B para que o tráfego de saída traduzido por NAT possa continuar em seu caminho desejado através da VPN.

A Figura 7 mostra o fluxo de tráfego por PE1 para tráfego NAT em linha vindo da LAN do cliente A e indo para serviços de nuvem.

Figura 7: Fluxo de tráfego no PE1 para tráfego NAT inline estilo next-hop do cliente A LAN para serviços Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Customer A LAN to Cloud Services de nuvem

Para configurar o NAT em linha de estilo next-hop no PE1:

  1. Habilite serviços em linha para o slot FPC e o slot PIC relevantes e defina a quantidade de largura de banda a dedicar para serviços em linha.

    As configurações de FPC e PIC mapeiam a interface si configurada.

  2. Configure as interfaces de serviço usadas para NAT. As interfaces internas estão no lado CE da rede. As interfaces externas estão no lado central da rede.
    • Para tráfego da rede do cliente até o núcleo:

      A interface interna lida com o tráfego de entrada da rede do cliente. O NAT é aplicado a esse tráfego e, em seguida, o tráfego de saída é enviado para fora da interface.

    • Para tráfego desde o núcleo até a rede do cliente:

      A interface externa lida com o tráfego de entrada da rede central. O NAT é removido desse tráfego e, em seguida, o tráfego de saída é enviado para fora da interface interna.

  3. Configure grupos de NAT.
  4. Configure regras de NAT que:
    • Combine o tráfego das redes Customer A e Customer B.

    • Aplicar o pool a partir do qual obter um endereço.

    • Aplique o NAT 44 básico, um tipo de NAT estático que se aplica ao tráfego IPv4.

  5. Configure conjuntos de serviços no estilo next-hop. O serviço define interfaces de serviço de associados e define serviços. Neste caso, o tráfego enviado pelas interfaces definidas dentro e fora terá o processamento de NAT aplicado.
  6. Crie instâncias de roteamento VR para tráfego Cliente A e tráfego B do cliente. Essas instâncias de roteamento separam o tráfego de Cliente A e B. Eles incluem rotas estáticas padrão que enviam tráfego para as interfaces de serviço internas e em direção aos conjuntos de serviços, onde o NAT pode ser aplicado.
  7. Configure filtros de firewall que redirecionam o tráfego de entrada do Cliente A e do Cliente B para as instâncias de roteamento VR.
  8. Aplique os filtros de firewall nas interfaces apropriadas.
  9. Adicione as interfaces si externas às instâncias de roteamento VRF configuradas anteriormente. Isso coloca o tráfego de saída agora traduzido por NAT de volta em sua instância de roteamento VRF pretendida, e agora pode ser enviado através da VPN como de costume.

Permitindo que o tráfego de retorno dos serviços de nuvem chegue às LANs dos clientes

Quando o tráfego de retorno dos serviços de nuvem passa pelas interfaces de serviços, o endereçamento de NAT é removido e o tráfego é enviado para as instâncias de roteamento VR. No entanto, não há rota para as LANs dos clientes nas instâncias de roteamento VR, por isso precisamos adicioná-las. Para isso, compartilharemos rotas das instâncias de roteamento VRF para as instâncias de roteamento VR usando grupos RIB.

Por exemplo, para tráfego para o Cliente A LAN, compartilharemos rotas da tabela de roteamento Cust-A-VRF.inet.0 na tabela de roteamento Cust-A-VR.inet.0. A Figura 8 mostra o fluxo de tráfego por PE1 para tráfego NAT em linha proveniente de serviços de nuvem que vão para a LAN do cliente A.

Figura 8: Fluxo de tráfego no PE1 para o tráfego NAT inline estilo next-hop dos serviços de nuvem para o cliente A LAN Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Cloud Services to the Customer A LAN

Antes de configurarmos o compartilhamento de rotas no PE1, há apenas uma rota estática padrão na tabela de roteamento Cust-A-VR.inet.0:

Para compartilhar rotas da tabela de roteamento Cust-A-VRF.inet.0 com a tabela de roteamento Cust-A-VR.inet.0:

  1. Crie políticas que correspondam às rotas a serem compartilhadas.
    • O prazo 1 corresponde a rotas que oferecem acessibilidade de volta às LANs dos clientes.

    • O termo 2 corresponde a rotas de interface que oferecem acessibilidade aos dispositivos CE.

  2. Crie grupos RIB para o compartilhamento de rotas entre tabelas.
    • Com o import-rib comunicado, liste a tabela de roteamento de origem a ser compartilhada, seguida pela tabela de roteamento de destino na qual as rotas serão importadas.

    • Com a import-policy declaração, especifique a política usada para definir as rotas específicas que serão compartilhadas.

  3. Nas instâncias de roteamento VRF criadas anteriormente, aplique os grupos RIB nas rotas desejadas.
    • Para importar rotas diretamente conectadas, aplique o grupo RIB sob a routing-options hierarquia.

    • Para importar as rotas LAN do cliente (o PE1 recebe essas rotas pelos peerings CE-to-PE EBGP), aplique o grupo RIB sob a protocols hierarquia.

Depois de configurarmos o compartilhamento de rotas, uma rota de interface direta e uma rota BGP para o cliente A LAN foram adicionadas à tabela de roteamento Cust-A-VR.inet.0:

O tráfego de retorno agora pode chegar às LANs do cliente.

Verificando o nat em linha estilo next-hop

  1. A partir do CE1, verifique a conectividade entre o CE1 e os serviços de nuvem.
  2. A partir do PE1, mostre estatísticas de NAT para verificar se o tráfego está sendo traduzido por NAT.
  3. A partir do PE1, verifique os grupos de NAT que estão sendo usados para traduzir endereços para clientes A e B.
  4. A partir de serviços de nuvem, verifique se o roteador está recebendo os pings do PE1s Customer A pool de endereços de origem traduzidos por NAT (192.0.2.0/24).

    Execute pings novamente do CE1 aos serviços de nuvem e insira o seguinte comando em serviços de nuvem.

  5. A partir do PE3, mostre a tabela de roteamento de Camada 3 BGP. Esta tabela verifica se a tradução de NAT está acontecendo. 192.0.2.0 /24 é o endereço Pool A para tráfego cliente A. 198.51.100.0 é o endereço Pool B para tráfego cliente B

Configuração do NAT em linha estilo interface no PE2

Para tráfego do Cliente C, estamos usando NAT em linha estilo interface. Esta seção mostra como configurar o NAT em linha baseado em interface, que usa uma configuração mais simples do que o NAT estilo next-hop.

Figura 9: Configuração Interface-Style NAT Configuration de NAT no estilo de interface

Os itens de configuração a seguir são usados nesta seção:

  • Interface de serviço em linha — uma interface virtual que reside no Mecanismo de encaminhamento de pacotes do MPC. Para acessar serviços, o tráfego entra e sai da interface si- (serviço em linha).

  • Conjunto de serviços — define o(s) serviço(s) executado e identifica qual(s) interface(s) em linha vai alimentar o tráfego dentro e fora do conjunto de serviços. Esta seção implementa conjuntos de serviços no estilo de interface, onde os pacotes que chegam a uma interface são enviados pela interface de serviço em linha.

  • A regra NAT — usa uma estrutura if-then (semelhante a filtros de firewall) para definir condições de correspondência e, em seguida, aplicar a tradução de endereços ao tráfego correspondente.

  • Grupo DE NAT — um conjunto definido pelo usuário de endereços IP que a regra NAT usa para tradução.

  • Instância de roteamento VRF — a interface si é adicionada à instância de roteamento VRF para o Cliente C.

A Figura 10 mostra o fluxo de tráfego no PE2 para tráfego enviado da LAN do cliente C para serviços de nuvem.

Figura 10: Fluxo de tráfego no PE2 para tráfego NAT em linha estilo interface do cliente C LAN para serviços Traffic Flow on PE2 for Interface-Style Inline NAT traffic from Customer C LAN to Cloud Services de nuvem

A Figura 11 mostra o fluxo de tráfego no PE2 para tráfego, desde serviços de nuvem até a LAN C do cliente.

Figura 11: Fluxo de tráfego no PE2 para tráfego NAT no estilo de interface, desde serviços de nuvem até LAN C Traffic Flow on PE2 for Interface-Style NAT Traffic from Cloud Services to Customer C LAN do cliente

Para configurar o estilo de interface em linha NAT no PE2:

  1. Habilite serviços em linha para o slot FPC e o slot PIC relevantes e defina a quantidade de largura de banda a dedicar para serviços em linha.

    As configurações de FPC e PIC mapeiam a interface si configurada anteriormente.

  2. Configure a interface de serviço usada para NAT. O NAT no estilo de interface requer apenas uma interface.
  3. Configure um pool de NAT.
  4. Configure uma regra de NAT que:
    • Corresponde ao tráfego da rede Customer C.

    • Aplica-se o pool a partir do qual obter um endereço.

    • Aplica-se o NAT 44 básico, um tipo de NAT estático que se aplica ao tráfego IPv4.

  5. Configure um conjunto de serviços no estilo de interface que associa a interface de serviço ao serviço NAT. Neste caso, o serviço NAT usa a regra SRC-NAT-C NAT.

    O tráfego fluirá para dentro e para fora da interface si para acessar o serviço NAT em linha.

  6. Aplique o conjunto de serviços de entrada e saída na interface xe-0/0/2, que é a interface do Cliente C. Essa configuração especifica que todo o tráfego de e para o Cliente C é redirecionado pelo conjunto de serviços.
  7. Adicione a interface si à instância de roteamento VRF Cust-C.

Com essa configuração em vigor, o tráfego do Cliente C entra na interface no PE2, é redirecionado pela interface de serviço para o conjunto de serviços para tradução de NAT. O tráfego é então devolvido à instância de roteamento VRF e pode ser enviado através da VPN como de costume.

Verificando o estilo de interface nat em linha

  1. A partir do CE3, verifique a conectividade entre o CE3 e os serviços de nuvem.
  2. A partir do PE2, mostrar as estatísticas de NAT em linha para verificar se o tráfego está sendo traduzido por NAT.
  3. A partir do PE2, verifique se o NAT em linha está sendo aplicado corretamente.
  4. A partir do PE2, verifique se o pool de tradução de NAT aparece na tabela de roteamento para a rede C do cliente.
  5. A partir de serviços de nuvem, verifique se o roteador está recebendo os pings do pool PE2s de endereços de origem traduzidos por NAT (203.0.113.0/24).

    Execute pings novamente do CE3 aos serviços de nuvem e insira o seguinte comando em serviços de nuvem.

Configurações completas do roteador

Esta seção tem a configuração completa de cada roteador.

Configuração de PE1

Configuração de PE2

Configuração do PE3

Configuração do CE1

Configuração do CE2

Configuração do CE3