Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

适用于商业边缘的第 3 层 VPN 上的内联静态 NAT

关于此示例

此示例说明了服务提供商如何通过服务提供商核心到云服务,使用来自客户 LAN 的内联 NAT,让不同网络上的企业员工访问云服务。该示例包含以下内容:

  • 三个客户边缘 (CE) 路由器,用于发起从客户 LAN 到云服务的流量。

  • 三个提供商边缘 (PE) 路由器。

  • 可能属于企业或服务提供商的云服务。

图 1:内联 NAT 网络概述 Inline NAT Network Overview

技术概述

图 2 概述了此示例中使用的技术。

图 2:内联 NAT 示例网络概述 Inline NAT Example Network Overview

路由概述

核心是使用 MPLS 核心:

  • RSVP 作为设置端到端路径的信令协议。

  • PE 路由器之间的标签交换路径 (LSP) 隧道。

  • EBGP 用于将路由从客户边缘路由器和云服务分发到 PE 路由器。

  • 多协议 BGP (MP–BGP),用于在 PE 路由器之间交换路由信息。

  • OSPF 在核心中提供可访问性信息,以允许 BGP 解析其下一跃点。

第 3 层 VPN

第 3 层 VPN 是一组共享公共路由信息的站点,其连接由策略控制。第 3 层 VPN 允许服务提供商使用其 IP 核心为其客户提供 VPN 服务。

此示例中的第 3 层 VPN 类型称为 BGP/MPLS VPN,因为 BGP 在提供商的核心中分配 VPN 路由信息,而 MPLS 则通过核心将 VPN 流量转发到 VPN 站点。

在此示例中,有四个站点连接到第 3 层 VPN:三个客户站点和一个云服务站点。第 3 层 VPN 采用中心辐射型配置。路由器 PE1 和 PE2 是分支,它们连接到客户网络。PE3 是枢纽,它连接到云服务。

内联 NAT

在 MX 系列设备中,您可以在 MPC 线卡上使用内联 NAT。您不需要专用的服务接口,如 MS-MPC。内联 NAT 应用于转发平面,类似于在 Junos OS 中处理防火墙和监管器的方式。 内联 NAT 在基于 FPC 和 PIC 的服务内联 (si) 接口上运行。

由于数据包不需要发送到服务卡进行处理,因此 MX 系列路由器可以实现线速、低延迟的 NAT 转换。虽然内联 NAT 服务提供比使用服务卡更好的性能,但它们的功能更基本;内联 NAT 仅支持静态 NAT。

有两种类型的内联 NAT:

  • 接口样式 — 一种基于接口的方法,到达接口的数据包通过服务集发送。您可以使用接口样式的 NAT 将 NAT 应用于接口上的所有流量。

  • 下一跃点样式 — 一种基于路由的方法,通常用于路由实例转发来自特定网络或发往特定目标的数据包。路由实例将客户流量移动到服务接口,在该接口中,NAT 将应用于与路由匹配的流量。

此示例中使用了这两种方法。

要求

此示例使用以下硬件和软件组件:

  • 带有模块化端口集中器 (MPC) 的 MX 系列路由器

  • Junos OS 17.1R1 或更高版本

配置核心

核心概述

核心配置由物理接口和环路接口以及路由协议组成。路由协议设计包括:

  • RSVP 是在 PE1 和 PE3 之间以及 PE2 和 PE3 之间建立端到端路径的信令协议。

  • MPLS LSP 在 PE1 和 PE3 之间以及 PE2 和 PE3 之间提供隧道。

  • OSPF 在核心中提供可访问性信息,以允许 BGP 解析其下一跃点。

  • MP-BGP 允许 PE 路由器交换有关在 VPN 中发起和终止的路由的信息,从而支持第 3 层 VPN。

图 3:• 核心接口和路由 • Core Interfaces and Routing

核心传输信令设计注意事项

PE 设备在它们之间使用 LSP,通过 MPLS 核心发送客户流量。在此设计中,我们考虑了设置端到端 LSP 路径的两种最常见的信令类型:LDP 和 RSVP。我们使用 RSVP 作为设置端到端路径的信令协议。

在此示例中,MP-BGP 在提供商的核心之间分配 VPN 路由信息,MPLS 跨核心将 VPN 流量转发到远程 VPN 站点。

内部网关协议 (IGP) 设计注意事项

IGP 在自治系统 (AS) 内交换路由信息。我们使用 OSPF 作为核心网络的 IGP。之所以选择 OSPF,是因为它易于配置,不需要大量规划,具有灵活的汇总和过滤功能,并且可以扩展到大型网络。

配置 PE1

  1. 配置面向核心的物理接口和环路接口。
  2. 在面向核心的接口 (xe-0/0/2.0) 上配置核心路由协议。

    • 启用回复。

    • 在面向核心的接口上启用 MPLS,以允许 MPLS 为接口创建 MPLS 标签。

    • 配置从 PE1 到 PE3 的 MPLS LSP 隧道。

    • 配置 IBGP,并将 PE3 的环路地址添加为邻居。

    • 配置 OSPF,并将面向核心的接口和环路接口添加到区域 0。

    我们建议将该 no-cspf 语句添加到 MPLS 配置中,以禁用受限路径 LSP 计算。默认情况下启用 CSPF,但最佳做法是在不需要时将其关闭。

  3. 配置自治系统。
  4. 配置和应用按流负载平衡。

配置 PE2

  1. 配置面向核心的物理接口和环路接口。
  2. 在面向核心的接口 (xe-0/0/0.0) 上配置核心路由协议。

    • 启用回复。

    • 配置从 PE2 到 PE3 的 MPLS LSP 隧道。

    • 在面向核心的接口上启用 MPLS,以允许 MPLS 为接口创建 MPLS 标签。

    • 配置 IBGP,并将 PE3 的环路地址添加为邻居。

    • 配置 OSPF,并将面向核心的接口和环路接口添加到区域 0。

    我们建议将该 no-cspf 语句添加到 MPLS 配置中,以禁用受限路径 LSP 计算。默认情况下启用 CSPF,但最佳做法是在不需要时将其关闭。

  3. 配置自治系统。
  4. 配置和应用按流负载平衡。

配置 PE3

  1. 配置面向核心的物理接口和环路接口。
  2. 在面向核心的接口(xe-0/0/0.0 和 xe-0/0/1.0)上配置核心路由协议。

    • 启用回复。

    • 在面向核心的接口上启用 MPLS,以允许 MPLS 为接口创建 MPLS 标签。

    • 配置从 PE3 到 PE1 以及从 PE3 到 PE2 的 MPLS LSP 隧道。

    • 配置 IBGP,并将 PE1 和 PE3 环路地址添加为邻居。

    • 配置 OSPF,并将面向核心的接口和环路接口添加到区域 0。

    我们建议将该 no-cspf 语句添加到 MPLS 配置中,以禁用受限路径 LSP 计算。默认情况下启用 CSPF,但最佳做法是在不需要时将其关闭。

  3. 配置自治系统。
  4. 配置和应用按流负载平衡。

验证您的配置

提交,然后验证核心配置。以下示例显示了 PE3 的输出。

  1. 验证您的物理接口是否已启动。
  2. 验证 OSPF 邻居。
  3. 验证 PE1 和 PE2 上的 BGP 对等方。
  4. 显示已在 IBGP 组中建立邻居。
  5. 验证您的 RSVP 会话。
  6. 验证您的 MPLS LSP 会话。
  7. 检查 MPLS 标签交换路径 (LSP) 的状态。
  8. 要验证核心中 OSPF 级别的可访问性,请从 PE3 对 PE1 执行 ping 操作。

在 PE 路由器上配置第 3 层 VPN

第 3 层 VPN 概述

我们使用第 3 层 VPN 通过核心分离和路由来自每个客户 LAN 和云服务的流量。VPN 中有四个站点,即三个客户 LAN 和云服务。

为了区分 PE 路由器上客户 LAN 和云服务的路由,我们使用虚拟路由和转发 (VRF) 路由实例。VRF 路由实例具有一个或多个路由表、一个转发表、使用转发表的接口以及控制转发表内容的策略和路由协议。VRF 表中填充了从客户边缘站点和云服务接收的路由,以及从 VPN 中的其他 PE 路由器接收的路由。由于每个站点都有自己的路由实例,因此每个站点都有单独的表、规则和策略。

此示例使用中心辐射型 VPN 配置。路由器 PE1 和 PE2 是分支,它们代表客户网络。PE3 是枢纽,它代表云服务。策略将流量标记为中心或分支,标记用于将流量定向到正确的 VRF 路由实例。

图 4:具有中心辐射 Layer 3 VPN with Hub and Spokes的第 3 层 VPN

配置 PE1

  1. 配置客户 A 和客户 B 的物理接口。
  2. 配置我们将在路由器的 VRF 路由实例中用作 VPN 导入和导出策略的策略。

    • CustA-to-CloudSvcsCustB-to-CloudSvcs— 这些是在 BGP 导出与策略匹配的路由时添加分支标记的导出策略。

    • from-CloudSvcs— 这是一个导入策略,用于将带有 Hub 标记的已接收路由添加到 VRF 路由表。

  3. 为客户 A 和 B 配置 VRF 路由实例。这些路由实例在 PE1 上创建以下路由表:

    • 对于客户 A,VRF 表是 Cust-A-VRF.inet.0。

    • 对于客户 B,VRF 表为 Cust-B-VRF.inet.0。

    每个路由实例必须包含:

    • VRF 实例类型,用于在 PE 路由器上为 VPN 创建 VRF 路由表。

    • 连接到客户 CE 设备的接口。

    • 路由识别符,对于 PE 路由器上的每个路由实例必须是唯一的。它用于区分一个VPN中的地址和另一个VPN中的地址。

    • VRF 导入策略,用于将带有 Hub 标记的已接收路由添加到 VRF 路由表。

    • VRF 导出策略,用于在 BGP 导出路由时添加分支标记。

    • VRF 表标签,用于将数据包的内部标签映射到特定 VRF 表。这允许检查封装的 IP 报头。配置了此选项的 VRF 中的所有路由都将使用每个 VRF 分配的标签进行播发。

  4. 将第 3 层 VPN 支持添加到 IBGP 组。

配置 PE2

  1. 配置与客户 C 的接口。
  2. 配置我们将在路由器的 VRF 路由实例中用作 VPN 导入和导出策略的策略。

    • CustC-to-CloudSvcs— 这是一个导出策略,当 BGP 导出与策略匹配的路由时,它会添加分支标记。

    • from-CloudSvcs— 这是一个导入策略,用于将带有 Hub 标记的已接收路由添加到 VRF 路由表。

  3. 为客户 C 配置 VRF 路由实例,该实例将创建一个路由表以在 VPN 内转发数据包。

    对于 Cust-C,VRF 表为 Cust-C.inet.0。

    路由实例必须包含:

    • 路由识别符,对于 PE 路由器上的每个路由实例必须是唯一的。它用于区分一个VPN中的地址和另一个VPN中的地址。

    • VRF 实例类型,用于在 PE 路由器上为 VPN 创建 VRF 路由表。

    • 连接到 CE3 的接口。

    • VRF 导入策略,用于将带有 Hub 标记的已接收路由添加到 VRF 路由表。

    • VRF 导出策略,用于在 BGP 导出路由时添加分支标记。

    • VRF 表标签,用于将数据包的内部标签映射到特定 VRF 表。这允许检查封装的 IP 报头。配置了此选项的 VRF 中的所有路由都将使用每个 VRF 分配的标签进行播发。

  4. 将第 3 层 VPN 支持添加到 IBGP 组。

配置 PE3

  1. 配置云服务的物理接口。
  2. 配置我们将在路由器的 VRF 路由实例中用作 VPN 导入和导出策略的策略。

    • to-Cust— 这是一个导出策略,当 BGP 导出与策略匹配的路由时,它会添加分支标记。

    • from-Cust— 这是一个导入策略,用于将具有辐条标记的已接收路由添加到 VRF 路由表。

  3. 配置用于创建路由表以在 VPN 内转发数据包的 VRF 路由实例。

    对于云服务,VRF 表为 CloudSvcs.inet.0。

    路由实例必须包含:

    • 路由识别符,对于 PE 路由器上的每个路由实例必须是唯一的。它用于区分一个VPN中的地址和另一个VPN中的地址。

    • VRF 实例类型,用于在 PE 路由器上创建 VRF 表。

    • 连接到 PE 路由器的接口。

    • VRF 导入策略,用于将带有分支标记的已接收路由添加到 VRF 路由表。

    • VRF 导出策略,用于在 BGP 导出与策略匹配的路由时添加分支标记。

  4. 将第 3 层 VPN 支持添加到之前配置的 IBGP 组。

验证您的配置

若要验证配置,请提交配置,然后执行以下操作:

  1. 从 PE3 开始,显示 IBGP 组中的邻居。请注意添加了 bgp.l3vpn 和 CloudSvcs 路由表。
    注意:

    当一个 PE 路由器从另一个 PE 路由器接收路由时,它会根据 PE 路由器之间 IBGP 会话上的导入策略检查该路由。如果接受,路由器会将路由放入其 bgp.l3vpn.0 表中。同时,路由器会根据 VPN 的 VRF 导入策略检查路由。如果匹配,则从路由中删除路由识别符,并将路由放入相应的 VRF 表( 路由实例名称.inet.0 表)中。
  2. 从 PE3 验证 PE1 和 PE2 上的 BGP 对等方。再次注意添加的 bgp.l3vpn 表。
  3. 从 PE1 中,验证 Cust-A-VRF 路由实例是否处于活动状态。
  4. 从 PE1 中,验证 Cust-A-VRF.inet.0 路由表。

配置从客户边缘路由器和云服务到 PE 路由器的连接

客户边缘路由器和云服务到 PE 路由器的连接概述

我们将 EBGP 用于客户边缘路由器与 PE1 和 PE2 之间以及云服务与 PE3 之间的路由。客户边缘路由器使用与客户 LAN 地址匹配的路由策略。将此策略作为导出策略应用于 EBGP 对等方,这会导致 EBGP 将这些地址发送到 PE 路由器。云服务路由器上的相同配置会导致其路由发送到 PE3。

图 5:与客户边缘路由器和云服务 Connections to CE Routers and Cloud Services的连接

配置 CE1 和 PE1 之间的连接

在此示例中,我们使用路由器上的环路接口来表示客户 LAN。这就是环路接口使用客户 LAN 的 IP 地址的原因。

配置 CE1

  1. 配置 CE1 的物理接口和环路接口。
  2. 配置与客户 A LAN 地址匹配的路由策略。
  3. 配置 EBGP 组以在 CE1 和 PE1 之间进行对等互连。将与客户 A LAN 匹配的路由策略应用为导出策略。BGP 将策略中的地址播发至 PE1,PE1 会将客户 LAN 路由重新分配到 VPN 中。
  4. 为路由器配置自治系统。

配置 PE1

将 EBGP 组添加到 Cust-A-VRF 路由实例,以便在 PE1 和 CE1 之间进行对等互连。

配置 CE2 和 PE1 之间的连接

在此示例中,我们使用路由器上的环路接口来表示客户 LAN。这就是环路接口使用客户 LAN 的 IP 地址的原因。

配置 CE2

  1. 配置 CE2 的物理接口和环路接口。
  2. 配置与客户 B LAN 地址匹配的路由策略。
  3. 配置 EBGP 组以在 CE2 和 PE1 之间进行对等互连。将与客户 B LAN 匹配的路由策略应用为导出策略。BGP 将此地址播发到 VPN 网络,这意味着客户 LAN 路由将分发到 VPN 中。
  4. 配置自治系统。

配置 PE1

将 EBGP 组添加到 Cust-B-VRF 路由实例,以便在 PE1 和 CE2 之间进行对等互连。

配置 CE3 和 PE2 之间的连接

在此示例中,我们使用路由器上的环路接口来表示客户 LAN。这就是环路接口使用客户 LAN 的 IP 地址的原因。

配置 CE3

  1. 配置 CE3 的物理接口和环路接口。
  2. 配置与客户 C LAN 地址匹配的路由策略。
  3. 配置 EBGP 组以在 CE3 和 PE2 之间进行对等互连。将与客户 C LAN 匹配的路由策略应用为导出策略。BGP 将此地址播发到 VPN 网络,这意味着客户 LAN 路由将分发到 VPN 中。
  4. 配置自治系统。

配置 PE2

将 EBGP 组添加到 Cust-C 路由实例,以便在 PE2 和 CE3 之间进行对等互连。

验证来自客户边缘路由器和云服务的连接

  1. 验证客户边缘路由器的物理接口是否已启动。例如:
  2. 验证从 PE 路由器到 客户边缘 路由器的连接。例如:
  3. 验证从 PE3 到云服务的连接。
  4. 在 PE3 上,验证 BGP 对等方。云服务 (192.168.1.2) 现在是 BGP 对等方。
  5. 在 PE1 上,验证 CE1 和 CE2 现在是 BGP 对等方。
  6. 在客户边缘路由器上,验证 EBGP 组。例如:

配置内联 NAT

内联 NAT 设计注意事项

内联 NAT 在具有 MPC 线卡的 MX 系列路由器上提供无状态地址转换。使用内联服务的好处是您不需要专用服务卡,并且对转发容量或延迟几乎没有影响。虽然内联服务通常比使用服务卡提供更好的性能,但它们的功能往往更基本。例如,内联 NAT 仅支持静态 NAT。

在此内联 NAT 示例中,我们使用源静态 NAT。

内联 NAT 的类型

有两种类型的内联 NAT:

  • 接口样式 — 一种基于接口的方法,到达接口的数据包通过服务集发送。使用接口样式 NAT 将 NAT 应用于遍历接口的所有流量。

    接口样式 NAT 比下一跃点样式 NAT 更易于配置。

  • 下一跃点样式 — 一种基于路由的方法,通常用于路由实例通过内联服务转发来自特定网络或发往特定目标的数据包。

此示例说明如何使用这两种内联 NAT 方法,如下所示:

  • PE1 将基于下一跃点的内联 NAT 用于从客户 A 和客户 B 网络到云服务的流量。

  • PE 2 对从客户 C 网络到云服务的流量使用基于接口的内联 NAT。

在 PE1 上配置下一跃点样式内联源 NAT

本节介绍如何使用具有下一跃点样式服务集的 si- 接口来配置基于路由的内联 NAT。

在此示例中,客户 A LAN 和客户 B LAN 具有重叠的子网。PE1 路由器根据流量到达的 si- 接口来区分流量。

图 6:下一跃点样式内联 NAT 配置 Next-Hop Style Inline NAT Configuration

本节使用以下配置项:

  • 内联服务接口 — 驻留在 MPC 的数据包转发引擎上的虚拟接口。要访问服务,流量流入和流出 si-(内联服务)接口。

  • 服务集 — 定义执行的服务,并确定哪个内联接口将流量馈入和送出服务集。本节实现下一跃点样式的服务集,该服务集使用基于路由的方法,其中静态路由用于通过内联服务转发发往特定目标的数据包。

  • NAT 规则 — 使用 if-then 结构(如防火墙过滤器)定义匹配条件,然后将地址转换应用于匹配流量。

  • NAT 池 — NAT 规则用于转换的用户定义的一组 IP 地址。

  • 虚拟路由器 (VR) 路由实例 — 包括一个默认静态路由,用于将客户流量发送到应用 NAT 的 si- 接口。

  • 防火墙过滤器 — 将来自客户 A 和客户 B 的入站流量重定向到相应的 VR 路由实例。

  • VRF 路由实例 — 外部 si 接口将添加到客户 A 和客户 B 的 VRF 路由实例中,以便 NAT 转换的出站流量可以在其通过 VPN 的预期路径上继续。

图 7 显示了来自客户 A LAN 并流向云服务的内联 NAT 流量通过 PE1 的流量。

图 7:PE1 上从客户 A LAN 到云服务的下一跳样式内联 NAT 流量的流量 Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Customer A LAN to Cloud Services

要在 PE1 上配置下一跃点样式内联 NAT,请执行以下操作:

  1. 为相关的 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    FPC 和 PIC 设置映射到配置的 si- 接口。

  2. 配置用于 NAT 的服务接口。内部接口位于网络的 CE 端。外部接口位于网络的核心端。

    • 对于从客户网络到核心网络的流量:

      内部接口处理来自客户网络的入口流量。NAT 应用于此流量,然后出口流量从外部接口发出。

    • 对于从核心网络到客户网络的流量:

      外部接口处理来自核心网络的入口流量。从此流量中移除 NAT,然后从内部接口发出出口流量。

  3. 配置 NAT 池。
  4. 配置以下 NAT 规则:

    • 匹配来自客户 A 和客户 B 网络的流量。

    • 应用要从中获取地址的池。

    • 应用基本 NAT 44,这是一种应用于 IPv4 流量的静态 NAT。

  5. 配置下一跃点样式服务集。服务集关联服务接口并定义服务。在这种情况下,通过定义的内部和外部接口发送的流量将应用 NAT 处理。
  6. 为客户 A 流量和客户 B 流量创建 VR 路由实例。这些路由实例将客户 A 和 B 流量分开。它们包括默认静态路由,用于将流量发送到内部服务接口和可应用 NAT 的服务集。
  7. 配置防火墙过滤器,将来自客户 A 和客户 B 的传入流量重定向到 VR 路由实例。
  8. 将防火墙过滤器应用于相应的接口。
  9. 将外部 si- 接口添加到之前配置的 VRF 路由实例。这会将现在转换的 NAT 出站流量放回其预期的 VRF 路由实例中,现在可以像往常一样通过 VPN 发送。

允许来自云服务的返回流量到达客户 LAN

当来自云服务的返回流量通过服务接口时,将删除 NAT 寻址,并将流量发送到 VR 路由实例。但是,VR 路由实例中没有到客户 LAN 的路由,因此我们需要添加它们。为此,我们将使用 RIB 组将路由从 VRF 路由实例共享到 VR 路由实例。

例如,对于到客户 A LAN 的流量,我们会将路由从 Cust-A-VRF.inet.0 路由表共享到 Cust-A-VR.inet.0 路由表中。 图 8 显示了从云服务流向客户 A LAN 的内联 NAT 流量通过 PE1 的流量。

图 8:PE1 上从云服务到客户 LAN Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Cloud Services to the Customer A LAN 的下一跳样式内联 NAT 流量的流量

在 PE1 上设置路由共享之前,Cust-A-VR.inet.0 路由表中只有一个默认静态路由:

要将来自 Cust-A-VRF.inet.0 路由表的路由与 Cust-A-VR.inet.0 路由表共享:

  1. 创建与要共享的路由匹配的策略。

    • 术语 1 匹配可回客户 LAN 的可访问性的路由。

    • 术语 2 匹配为 CE 设备提供可访问性的接口路由。

  2. 创建用于表之间的路由共享的 RIB 组。

    • import-rib使用该语句列出要共享的源路由表,后跟要将路由导入到的目标路由表。

    • import-policy使用该语句,指定用于定义将共享的特定路由的策略。

  3. 在之前创建的 VRF 路由实例中,将 RIB 组应用于所需路由。

    • 要导入直接连接的路由,请在层次结构下 routing-options 应用 RIB 组。

    • 要导入客户 LAN 路由(PE1 通过 CE 到 PE EBGP 对等互连接收这些路由),请在层次结构下 protocols 应用 RIB 组。

设置路由共享后,CUST-A-VR.inet.0 路由表中已添加直接接口路由和到客户 A LAN 的 BGP 路由:

返回流量现在可以到达客户 LAN。

验证下一跃点样式内联 NAT

  1. 从 CE1 验证 CE1 与云服务之间的连接。
  2. 在 PE1 中,显示 NAT 统计信息以验证流量是否正在进行 NAT 转换。
  3. 从 PE1 验证用于转换客户 A 和 B 地址的 NAT 池。
  4. 云服务中,验证路由器是否正在从 PE1s 客户 NAT 转换源地址池 (192.0.2.0/24) 接收 ping。

    从 CE1 再次运行 ping 到云服务,并在云服务上输入以下命令。

  5. 在 PE3 中,显示 BGP 第 3 层路由表。此表验证是否正在进行 NAT 转换。192.0.2.0 /24 是客户 A 流量的地址池 A。198.51.100.0 是客户 B 流量的地址池 B

在 PE2 上配置接口样式内联 NAT

对于来自客户 C 的流量,我们使用接口样式的内联 NAT。本节介绍如何配置基于接口的内联 NAT,该 NAT 使用的配置比下一跃点样式 NAT 更简单。

图 9:接口样式 NAT 配置 Interface-Style NAT Configuration

本节使用以下配置项:

  • 内联服务接口 — 驻留在 MPC 的数据包转发引擎上的虚拟接口。要访问服务,流量流入和流出 si-(内联服务)接口。

  • 服务集 — 定义所执行的服务,并确定哪些内联接口将流量送入和送出服务集。本节实现接口样式的服务集,其中到达接口的数据包通过内联服务接口发送。

  • NAT 规则 — 使用 if-then 结构(类似于防火墙过滤器)定义匹配条件,然后将地址转换应用于匹配流量。

  • NAT 池 — NAT 规则用于转换的用户定义的一组 IP 地址。

  • VRF 路由实例 — si- 接口将添加到客户 C 的 VRF 路由实例中。

图 10 显示了从客户 C LAN 发送到云服务的流量在 PE2 上的流量。

图 10:从客户 C LAN 到云服务的接口样式内联 NAT 流量的 PE2 上的流量 Traffic Flow on PE2 for Interface-Style Inline NAT traffic from Customer C LAN to Cloud Services

图 11 显示了 PE2 上从云服务到客户 C LAN 的流量。

图 11:从云服务到客户 C LAN 的接口样式 NAT 流量在 PE2 上的流量 Traffic Flow on PE2 for Interface-Style NAT Traffic from Cloud Services to Customer C LAN

要在 PE2 上配置接口样式内联 NAT,请执行以下操作:

  1. 为相关的 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    FPC 和 PIC 设置映射到之前配置的 si- 接口。

  2. 配置用于 NAT 的服务接口。接口样式 NAT 只需要一个接口。
  3. 配置 NAT 池。
  4. 配置以下 NAT 规则:

    • 匹配来自客户 C 网络的流量。

    • 应用要从中获取地址的池。

    • 应用基本 NAT 44,这是一种应用于 IPv4 流量的静态 NAT。

  5. 配置将服务接口关联到 NAT 服务的接口样式服务集。在这种情况下,NAT 服务使用 SRC-NAT-C NAT 规则。

    流量将流入和流出 si- 接口以访问内联 NAT 服务。

  6. 将输入和输出服务集应用于 xe-0/0/2 接口,即客户 C 的接口。此配置指定进出客户 C 的所有流量都通过服务集重定向。
  7. 将 si- 接口添加到 Cust-C VRF 路由实例。

完成此配置后,来自客户 C 的流量进入 PE2 的接口,通过服务接口重定向到用于 NAT 转换的服务集。然后,流量将返回到 VRF 路由实例,并可以像往常一样通过 VPN 发送。

验证接口样式内联 NAT

  1. 从 CE3 验证 CE3 与云服务之间的连接。
  2. 在 PE2 中,显示内联 NAT 统计信息,以验证流量是否正在进行 NAT 转换。
  3. 从 PE2 中,验证是否正确应用了内联 NAT。
  4. 从 PE2 中,验证 NAT 转换池是否显示在客户 C 网络的路由表中。
  5. 从云服务中,验证路由器是否正在从 NAT 转换源地址 (203.0.113.0/24) 的 PE2s 池接收 ping。

    从 CE3 再次运行 ping 到云服务,并在云服务上输入以下命令。

完整的路由器配置

此部分包含每个路由器的完整配置。

PE1 配置

PE2 配置

PE3 配置

CE1 配置

CE2 配置

CE3 配置