Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT estática en línea sobre VPN de capa 3 para borde empresarial

Acerca de este ejemplo

En este ejemplo se muestra cómo un proveedor de servicios puede proporcionar a los empleados de una empresa en diferentes redes acceso a servicios en la nube mediante el uso de NAT en línea desde las LAN de sus clientes a través del núcleo MPLS del proveedor de servicios a los servicios en la nube. El ejemplo consta de lo siguiente:

  • Tres enrutadores perimetrales de cliente (CE) que originan tráfico desde las LAN del cliente a los servicios en la nube.

  • Tres enrutadores perimetrales de proveedor (PE).

  • Servicios en la nube que podrían pertenecer a la empresa o al proveedor de servicios.

Figura 1: Descripción general de Inline NAT Network Overview la red NAT en línea

Descripción general de la tecnología

La figura 2 ofrece una descripción general de la tecnología utilizada en este ejemplo.

Figura 2: Descripción general de Inline NAT Example Network Overview la red de ejemplo de NAT en línea

Información general sobre el enrutamiento

El núcleo es un núcleo MPLS que utiliza:

  • RSVP como el protocolo de señalización que configura rutas de extremo a extremo.

  • Túneles de ruta de conmutación de etiquetas (LSP) entre los enrutadores de PE.

  • EBGP para distribuir rutas desde los enrutadores CE y los servicios en la nube a los enrutadores PE.

  • BGP multiprotocolo (MP–BGP) para intercambiar información de enrutamiento entre los enrutadores PE.

  • OSPF para proporcionar información de accesibilidad en el núcleo para permitir que BGP resuelva sus próximos saltos.

VPN de capa 3

Una VPN de capa 3 es un conjunto de sitios que comparten información de enrutamiento común y cuya conectividad está controlada por políticas. Las VPN de capa 3 permiten a los proveedores de servicios utilizar su núcleo IP para proporcionar servicios VPN a sus clientes.

El tipo de VPN de capa 3 en este ejemplo se denomina VPN BGP/MPLS porque BGP distribuye la información de enrutamiento VPN a través del núcleo del proveedor y MPLS reenvía el tráfico VPN a través del núcleo a los sitios VPN.

En este ejemplo, hay cuatro sitios asociados a la VPN de capa 3: tres sitios de clientes y un sitio de servicios en la nube. La VPN de capa 3 tiene una configuración radial. Los enrutadores PE1 y PE2 son los radios y se conectan a las redes del cliente. PE3 es el centro y se conecta a los servicios en la nube.

TDR en línea

En un dispositivo de la serie MX, puede usar NAT en línea en tarjetas de línea MPC. No necesita una interfaz de servicios dedicada, como un MS-MPC. La NAT en línea se aplica en el plano de reenvío, de manera similar a como se manejan los firewalls y las políticas en Junos OS. NAT en línea se ejecuta en interfaces de servicios en línea (si) que se basan en FPC y PIC.

Dado que no es necesario enviar paquetes a una tarjeta de servicios para su procesamiento, el enrutador de la serie MX puede lograr traducciones NAT de baja latencia y velocidad de línea. Aunque los servicios NAT en línea proporcionan un mejor rendimiento que con una tarjeta de servicios, su funcionalidad es más básica; NAT en línea solo admite NAT estática.

Hay dos tipos de NAT en línea:

  • Estilo de interfaz: un método basado en interfaz en el que los paquetes que llegan a una interfaz se envían a través de un conjunto de servicios. Se utiliza NAT de estilo de interfaz para aplicar NAT a todo el tráfico de una interfaz.

  • Estilo de salto siguiente: método basado en rutas que se suele utilizar cuando las instancias de enrutamiento reenvían paquetes desde una red específica o destinados a un destino específico. Las instancias de enrutamiento mueven el tráfico del cliente a una interfaz de servicio donde se aplica NAT al tráfico que coincide con la ruta.

Ambos métodos se utilizan en este ejemplo.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Enrutadores serie MX con concentradores de puertos modulares (MPC)

  • Junos OS versión 17.1R1 o superior

Configuración del núcleo

Descripción general del núcleo

La configuración principal consiste en las interfaces físicas y de circuito cerrado y los protocolos de enrutamiento. El diseño del protocolo de enrutamiento incluye:

  • RSVP es el protocolo de señalización que configura rutas de extremo a extremo entre PE1 y PE3 y entre PE2 y PE3.

  • Los LSP MPLS proporcionan túneles entre PE1 y PE3 y entre PE2 y PE3.

  • OSPF proporciona información de accesibilidad en el núcleo para permitir que BGP resuelva sus próximos saltos.

  • MP-BGP admite VPN de capa 3 al permitir que los enrutadores PE intercambien información sobre las rutas que se originan y terminan en las VPN.

Figura 3: • Interfaces principales y enrutamiento • Core Interfaces and Routing

Consideraciones de diseño de señalización de transporte principal

Los dispositivos PE utilizan LSP entre ellos para enviar tráfico de clientes a través del núcleo MPLS. En este diseño, consideramos los dos tipos de señalización más comunes para configurar las rutas de LSP de extremo a extremo: LDP y RSVP. Estamos utilizando RSVP como el protocolo de señalización que configura rutas de extremo a extremo.

En este ejemplo, MP-BGP distribuye la información de enrutamiento VPN a través del núcleo del proveedor y MPLS reenvía el tráfico VPN a través del núcleo a sitios VPN remotos.

Consideraciones de diseño del Protocolo de puerta de enlace interior (IGP)

Un IGP intercambia información de enrutamiento dentro de un sistema autónomo (AS). Estamos utilizando OSPF como IGP para la red central. Elegimos OSPF porque es fácil de configurar, no requiere una gran cantidad de planificación, tiene un resumen y filtrado flexibles, y puede escalar a redes grandes.

Configuración de PE1

  1. Configure la interfaz física orientada al núcleo y la interfaz de circuito cerrado.
  2. Configure los protocolos de enrutamiento del núcleo en la interfaz orientada al núcleo (xe-0/0/2.0).
    • Habilite RSVP.

    • Habilite MPLS en la interfaz orientada al núcleo para permitir que MPLS cree una etiqueta MPLS para la interfaz.

    • Configure un túnel LSP MPLS de PE1 a PE3.

    • Configure IBGP y agregue la dirección de circuito cerrado de PE3 como vecino.

    • Configure OSPF y agregue la interfaz orientada al núcleo y la interfaz de circuito cerrado al área 0.

    Se recomienda agregar la instrucción a la configuración de MPLS para deshabilitar el no-cspf cálculo del LSP de ruta restringida. CSPF está habilitado de forma predeterminada, pero es una práctica recomendada desactivarlo cuando no es necesario.

  3. Configure el sistema autónomo.
  4. Configure y aplique el equilibrio de carga por flujo.

Configuración de PE2

  1. Configure la interfaz física orientada al núcleo y la interfaz de circuito cerrado.
  2. Configure los protocolos de enrutamiento del núcleo en la interfaz orientada al núcleo (xe-0/0/0.0).
    • Habilite RSVP.

    • Configure un túnel LSP MPLS de PE2 a PE3.

    • Habilite MPLS en la interfaz orientada al núcleo para permitir que MPLS cree una etiqueta MPLS para la interfaz.

    • Configure IBGP y agregue la dirección de circuito cerrado de PE3 como vecino.

    • Configure OSPF y agregue la interfaz orientada al núcleo y la interfaz de circuito cerrado al área 0.

    Se recomienda agregar la instrucción a la configuración de MPLS para deshabilitar el no-cspf cálculo del LSP de ruta restringida. CSPF está habilitado de forma predeterminada, pero es una práctica recomendada desactivarlo cuando no es necesario.

  3. Configure el sistema autónomo.
  4. Configure y aplique el equilibrio de carga por flujo.

Configuración de PE3

  1. Configure las interfaces físicas orientadas al núcleo y la interfaz de circuito cerrado.
  2. Configure los protocolos de enrutamiento principales en las interfaces orientadas al núcleo (xe-0/0/0.0 y xe-0/0/1.0).
    • Habilite RSVP.

    • Habilite MPLS en la interfaz orientada al núcleo para permitir que MPLS cree una etiqueta MPLS para la interfaz.

    • Configure un túnel LSP de MPLS de PE3 a PE1 y de PE3 a PE2.

    • Configure IBGP y agregue las direcciones de circuito cerrado PE1 y PE3 como vecinos.

    • Configure OSPF y agregue la interfaz orientada al núcleo y la interfaz de circuito cerrado al área 0.

    Se recomienda agregar la instrucción a la configuración de MPLS para deshabilitar el no-cspf cálculo del LSP de ruta restringida. CSPF está habilitado de forma predeterminada, pero es una práctica recomendada desactivarlo cuando no es necesario.

  3. Configure el sistema autónomo.
  4. Configure y aplique el equilibrio de carga por flujo.

Verificación de la configuración

Confirme y, a continuación, compruebe la configuración principal. Los siguientes ejemplos muestran la salida de PE3.

  1. Compruebe que las interfaces físicas estén activas.
  2. Verifique los vecinos de OSPF.
  3. Compruebe los pares BGP en PE1 y PE2.
  4. Demostrar que los vecinos están establecidos en el grupo IBGP.
  5. Verifique sus sesiones de RSVP.
  6. Verifique sus sesiones de LSP de MPLS.
  7. Compruebe el estado de las rutas de conmutación de etiquetas (LSP) de MPLS.
  8. Para validar la accesibilidad a nivel de OSPF en el núcleo, desde PE3, ping PE1.

Configuración de la VPN de capa 3 en enrutadores PE

Descripción general de VPN de capa 3

Estamos utilizando una VPN de capa 3 para separar y enrutar el tráfico de cada una de las LAN y servicios en la nube del cliente a través del núcleo. Hay cuatro sitios en la VPN: las tres LAN de cliente y los servicios en la nube.

Para distinguir las rutas de las LAN del cliente y los servicios en la nube en los enrutadores PE, estamos utilizando la instancia de enrutamiento virtual de enrutamiento y reenvío (VRF). Una instancia de enrutamiento VRF tiene una o más tablas de enrutamiento, una tabla de reenvío, las interfaces que utilizan la tabla de reenvío y las directivas y protocolos de enrutamiento que controlan lo que entra en la tabla de reenvío. Las tablas VRF se rellenan con rutas recibidas de los sitios CE y servicios en la nube, y con rutas recibidas de otros enrutadores PE en la VPN. Dado que cada sitio tiene su propia instancia de enrutamiento, cada sitio tiene tablas, reglas y políticas independientes.

En este ejemplo se utiliza una configuración de VPN radial. Los enrutadores PE1 y PE2 son los radios y representan las redes del cliente. PE3 es el centro y representa los servicios en la nube. Las políticas marcan el tráfico como concentrador o radio, y el marcado se utiliza para dirigir el tráfico a la instancia de enrutamiento VRF correcta.

Figura 4: VPN de capa 3 con concentrador y radiales Layer 3 VPN with Hub and Spokes

Configuración de PE1

  1. Configure las interfaces físicas para los clientes A y B.
  2. Configure las políticas que usaremos como políticas de importación y exportación de VPN en las instancias de enrutamiento VRF del enrutador.
    • CustA-to-CloudSvcs y CustB-to-CloudSvcs—Estas son políticas de exportación que agregan la etiqueta Spoke cuando BGP exporta rutas que coinciden con las políticas.

    • from-CloudSvcs: esta es una política de importación que agrega rutas recibidas con la etiqueta Hub a la tabla de enrutamiento VRF.

  3. Configure instancias de enrutamiento VRF para los clientes A y B. Estas instancias de enrutamiento crean las siguientes tablas de enrutamiento en PE1:
    • Para el cliente A, la tabla VRF es Cust-A-VRF.inet.0.

    • Para el cliente B, la tabla VRF es Cust-B-VRF.inet.0.

    Cada instancia de enrutamiento debe contener:

    • Tipo de instancia de VRF, que crea la tabla de enrutamiento VRF para la VPN en el enrutador PE.

    • Interfaz conectada al dispositivo CE del cliente.

    • Distinguidor de ruta, que debe ser único para cada instancia de enrutamiento en el enrutador PE. Se utiliza para distinguir las direcciones en una VPN de las de otra VPN.

    • Directiva de importación de VRF que agrega rutas recibidas con la etiqueta Hub a la tabla de enrutamiento VRF.

    • Política de exportación de VRF que agrega la etiqueta radial cuando BGP exporta la ruta.

    • Etiqueta de tabla VRF que asigna la etiqueta interna de un paquete a una tabla VRF específica. Esto permite el examen del encabezado IP encapsulado. Todas las rutas del VRF configuradas con esta opción se anuncian con la etiqueta asignada por VRF.

  4. Agregue compatibilidad con VPN de capa 3 al grupo IBGP.

Configuración de PE2

  1. Configure la interfaz para el cliente C.
  2. Configure las políticas que usaremos como políticas de importación y exportación de VPN en la instancia de enrutamiento VRF del enrutador.
    • CustC-to-CloudSvcs: se trata de una política de exportación que agrega la etiqueta Spoke cuando BGP exporta rutas que coinciden con la política.

    • from-CloudSvcs: esta es una política de importación que agrega rutas recibidas con la etiqueta Hub a la tabla de enrutamiento VRF.

  3. Configure una instancia de enrutamiento VRF para el cliente C que creará una tabla de enrutamiento para reenviar paquetes dentro de la VPN.

    Para Cust-C, la tabla VRF es Cust-C.inet.0.

    La instancia de enrutamiento debe contener:

    • Distinguidor de ruta, que debe ser único para cada instancia de enrutamiento en el enrutador PE. Se utiliza para distinguir las direcciones en una VPN de las de otra VPN.

    • Tipo de instancia de VRF, que crea la tabla de enrutamiento VRF para la VPN en el enrutador PE.

    • Interfaz conectada a CE3.

    • Directiva de importación de VRF que agrega rutas recibidas con la etiqueta Hub a la tabla de enrutamiento VRF.

    • Política de exportación de VRF que agrega la etiqueta radial cuando BGP exporta la ruta.

    • Etiqueta de tabla VRF que asigna la etiqueta interna de un paquete a una tabla VRF específica. Esto permite el examen del encabezado IP encapsulado. Todas las rutas del VRF configuradas con esta opción se anuncian con la etiqueta asignada por VRF.

  4. Agregue compatibilidad con VPN de capa 3 al grupo IBGP.

Configuración de PE3

  1. Configure la interfaz física para los servicios en la nube.
  2. Configure las políticas que usaremos como políticas de importación y exportación de VPN en la instancia de enrutamiento VRF del enrutador.
    • to-Cust: se trata de una política de exportación que agrega la etiqueta Spoke cuando BGP exporta rutas que coinciden con la política.

    • from-Cust: esta es una política de importación que agrega las rutas recibidas que tienen una etiqueta Spoke a la tabla de enrutamiento VRF.

  3. Configure una instancia de enrutamiento VRF que se use para crear una tabla de enrutamiento para reenviar paquetes dentro de la VPN.

    Para Servicios en la nube, la tabla VRF es CloudSvcs.inet.0.

    La instancia de enrutamiento debe contener:

    • Distinguidor de ruta, que debe ser único para cada instancia de enrutamiento en el enrutador PE. Se utiliza para distinguir las direcciones en una VPN de las de otra VPN.

    • Tipo de instancia de VRF, que crea la tabla VRF en el enrutador PE.

    • Interfaces conectadas a los enrutadores PE.

    • Política de importación de VRF que agrega rutas recibidas con una etiqueta Spoke a la tabla de enrutamiento VRF.

    • Política de exportación de VRF que agrega la etiqueta radial cuando BGP exporta rutas que coinciden con la política.

  4. Agregue compatibilidad con VPN de capa 3 al grupo IBGP que se configuró anteriormente.

Verificación de la configuración

Para comprobar su configuración, confirme la configuración y, a continuación, haga lo siguiente:

  1. Desde PE3, muestra a los vecinos del grupo IBGP. Observe la adición de las tablas de enrutamiento bgp.l3vpn y CloudSvcs.
    Nota:

    Cuando un enrutador de PE recibe una ruta de otro enrutador de PE, la compara con la política de importación en la sesión de IBGP entre los enrutadores de PE. Si se acepta, el enrutador coloca la ruta en su tabla bgp.l3vpn.0. Al mismo tiempo, el enrutador comprueba la ruta con respecto a la política de importación de VRF para la VPN. Si coincide, el diferenciador de ruta se elimina de la ruta y la ruta se coloca en la tabla VRF adecuada (la tabla routing-instance-name.inet.0).

  2. Desde PE3, verifique los pares BGP en PE1 y PE2. Observe nuevamente la adición de las tablas bgp.l3vpn.
  3. Desde PE1, compruebe que la instancia de enrutamiento Cust-A-VRF esté activa.
  4. Desde PE1, compruebe la tabla de enrutamiento Cust-A-VRF.inet.0.

Configuración de conexiones desde enrutadores CE y servicios en la nube a enrutadores PE

Descripción general de las conexiones de enrutadores CE y servicios en la nube a enrutadores PE

Estamos utilizando EBGP para el enrutamiento entre los enrutadores CE y PE1 y PE2 y entre los servicios en la nube y PE3. Los enrutadores CE utilizan una política de enrutamiento que coincide con la dirección de la LAN del cliente. Esta política se aplica como una política de exportación en el par EBGP, lo que hace que EBGP envíe estas direcciones a enrutadores PE. La misma configuración en el enrutador de servicios en la nube hace que sus rutas se envíen a PE3.

Figura 5: Conexiones a enrutadores CE y servicios Connections to CE Routers and Cloud Services en la nube

Configuración de la conexión entre CE1 y PE1

En este ejemplo, estamos utilizando las interfaces de circuito cerrado en el enrutador para representar las LAN del cliente. Es por eso que las interfaces de circuito cerrado utilizan las direcciones IP de la LAN del cliente.

Configuración de CE1

  1. Configure las interfaces físicas y de circuito cerrado para CE1.
  2. Configure una política de enrutamiento que coincida con la dirección de la LAN A del cliente.
  3. Configure un grupo EBGP para el emparejamiento entre CE1 y PE1. Aplique la política de enrutamiento que coincida con la LAN A del cliente como una política de exportación. BGP anuncia la dirección de la política a PE1, que redistribuye las rutas LAN del cliente en la VPN.
  4. Configure el sistema autónomo para el enrutador.

Configuración de PE1

Agregue un grupo EBGP a las instancias de enrutamiento Cust-A-VRF para el emparejamiento entre PE1 y CE1.

Configuración de la conexión entre CE2 y PE1

En este ejemplo, estamos utilizando las interfaces de circuito cerrado en el enrutador para representar las LAN del cliente. Es por eso que las interfaces de circuito cerrado utilizan las direcciones IP de la LAN del cliente.

Configuración de CE2

  1. Configure las interfaces físicas y de circuito cerrado para CE2.
  2. Configure una política de enrutamiento que coincida con la dirección de la LAN B del cliente.
  3. Configure un grupo EBGP para el emparejamiento entre CE2 y PE1. Aplique la directiva de enrutamiento que coincida con la LAN B del cliente como una política de exportación. BGP anuncia esta dirección a la red VPN, lo que significa que las rutas LAN del cliente se distribuyen en la VPN.
  4. Configure el sistema autónomo.

Configuración de PE1

Agregue un grupo EBGP a las instancias de enrutamiento Cust-B-VRF para el emparejamiento entre PE1 y CE2.

Configuración de la conexión entre CE3 y PE2

En este ejemplo, estamos utilizando las interfaces de circuito cerrado en el enrutador para representar las LAN del cliente. Es por eso que las interfaces de circuito cerrado utilizan las direcciones IP de la LAN del cliente.

Configuración de CE3

  1. Configure las interfaces físicas y de circuito cerrado para CE3.
  2. Configure una política de enrutamiento que coincida con la dirección de la LAN C del cliente.
  3. Configure un grupo EBGP para el emparejamiento entre CE3 y PE2. Aplique la directiva de enrutamiento que coincida con la LAN C del cliente como política de exportación. BGP anuncia esta dirección a la red VPN, lo que significa que las rutas LAN del cliente se distribuyen en la VPN.
  4. Configure el sistema autónomo.

Configuración de PE2

Agregue un grupo EBGP a la instancia de enrutamiento Cust-C para emparejar entre PE2 y CE3.

Verificación de conexiones desde enrutadores CE y servicios en la nube

  1. Verifique que las interfaces físicas de los enrutadores CE estén activas. Por ejemplo:
  2. Verifique las conexiones de los enrutadores PE a los enrutadores CE. Por ejemplo:
  3. Verifique la conexión de PE3 a los servicios en la nube.
  4. En PE3, compruebe los pares BGP. Servicios en la nube (192.168.1.2) ahora es un par BGP.
  5. En PE1, compruebe que CE1 y CE2 son ahora pares BGP.
  6. En los enrutadores CE, verifique el grupo EBGP. Por ejemplo:

Configuración de NAT en línea

Consideraciones de diseño de NAT en línea

NAT en línea proporciona traducción de direcciones sin estado en enrutadores serie MX que tienen tarjetas de línea MPC. La ventaja de usar un servicio en línea es que no necesita una tarjeta de servicios dedicados y casi no afecta a la capacidad de reenvío ni a la latencia. Aunque los servicios en línea generalmente proporcionan un mejor rendimiento que usar una tarjeta de servicios, su funcionalidad tiende a ser más básica. Por ejemplo, NAT en línea solo admite NAT estática.

Estamos usando NAT estática de origen en este ejemplo de NAT en línea.

Tipos de TDR en línea

Hay dos tipos de NAT en línea:

  • Estilo de interfaz: un método basado en interfaz en el que los paquetes que llegan a una interfaz se envían a través de un conjunto de servicios. Utilice NAT de estilo interfaz para aplicar NAT a todo el tráfico que atraviesa una interfaz.

    La NAT de estilo de interfaz es más fácil de configurar que la NAT de estilo de salto siguiente.

  • Estilo de salto siguiente: un método basado en rutas que se usa normalmente cuando las instancias de enrutamiento reenvían paquetes procedentes de una red específica o destinados a un destino específico a través del servicio en línea.

En este ejemplo se muestra cómo usar ambos métodos de NAT en línea de la siguiente manera:

  • PE1 usa NAT en línea basada en el próximo salto para el tráfico de las redes del cliente A y del cliente B a los servicios en la nube.

  • PE 2 utiliza NAT en línea basada en interfaz para el tráfico desde la red C del cliente a los servicios en la nube.

Configuración de NAT de origen en línea estilo salto siguiente en PE1

En esta sección se muestra cómo configurar la NAT en línea basada en rutas mediante interfaces si con conjuntos de servicios de estilo de salto siguiente.

En este ejemplo, la LAN del cliente A y la LAN del cliente B tienen subredes superpuestas. El enrutador PE1 diferencia el tráfico según la interfaz si- en la que llega el tráfico.

Figura 6: Configuración Next-Hop Style Inline NAT Configuration de NAT en línea de estilo de salto siguiente

En esta sección se utilizan los siguientes elementos de configuración:

  • Interfaz de servicio en línea: una interfaz virtual que reside en el motor de reenvío de paquetes de la MPC. Para acceder a los servicios, el tráfico entra y sale de las interfaces si- (service-inline).

  • Conjunto de servicios: define los servicios ejecutados e identifica qué interfaz en línea alimentará el tráfico dentro y fuera del conjunto de servicios. En esta sección se implementan conjuntos de servicios de estilo de salto siguiente, que utilizan un método basado en rutas, en el que se utilizan rutas estáticas para reenviar paquetes destinados a un destino específico a través del servicio en línea.

  • Regla NAT: utiliza una estructura if-then (como filtros de firewall) para definir condiciones de coincidencia y, a continuación, aplicar la traducción de direcciones al tráfico coincidente.

  • Grupo NAT: conjunto de direcciones IP definido por el usuario que la regla NAT utiliza para la traducción.

  • Instancia de enrutamiento del enrutador virtual (VR): incluye una ruta estática predeterminada que envía el tráfico del cliente a la interfaz si- donde se aplica NAT.

  • Filtros de firewall: redirige el tráfico entrante del cliente A y el cliente B a las instancias de enrutamiento de realidad virtual adecuadas.

  • Instancia de enrutamiento VRF: las interfaces si- externas se agregan a las instancias de enrutamiento VRF para los clientes A y B para que el tráfico saliente traducido al NAT pueda continuar en su ruta prevista a través de la VPN.

La figura 7 muestra el flujo de tráfico a través de PE1 para el tráfico NAT en línea proveniente de la LAN A del cliente y que va a los servicios en la nube.

Figura 7: Flujo de tráfico en PE1 para tráfico NAT en línea estilo salto del cliente A LAN a servicios Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Customer A LAN to Cloud Services en la nube

Para configurar la NAT en línea de estilo próximo salto en PE1:

  1. Habilite los servicios en línea para la ranura FPC y la ranura PIC pertinentes, y defina la cantidad de ancho de banda que se dedicará a los servicios en línea.

    La configuración de FPC y PIC se asigna a la interfaz si- configurada.

  2. Configure las interfaces de servicio usadas para NAT. Las interfaces internas están en el lado CE de la red. Las interfaces externas están en el lado central de la red.
    • Para el tráfico desde la red del cliente hasta el núcleo:

      La interfaz interna maneja el tráfico de entrada desde la red del cliente. NAT se aplica a este tráfico y, a continuación, el tráfico de salida se envía a la interfaz externa.

    • Para el tráfico desde el núcleo hasta la red del cliente:

      La interfaz externa controla el tráfico de entrada desde la red principal. NAT se elimina de este tráfico y, a continuación, el tráfico de salida se envía a la interfaz interna.

  3. Configurar grupos NAT.
  4. Configure reglas NAT que:
    • Haga coincidir el tráfico de las redes del cliente A y del cliente B.

    • Aplique el grupo del que desea obtener una dirección.

    • Aplique NAT 44 básica, un tipo de NAT estática que se aplica al tráfico IPv4.

  5. Configure conjuntos de servicios de estilo de próximo salto. El servicio establece interfaces de servicio asociadas y define servicios. En este caso, se aplicará el procesamiento NAT al tráfico enviado a través de las interfaces internas y externas definidas.
  6. Cree instancias de enrutamiento de RV para el tráfico del cliente A y el tráfico del cliente B. Estas instancias de enrutamiento separan el tráfico del cliente A y B. Incluyen rutas estáticas predeterminadas que envían tráfico a las interfaces de servicio internas y hacia los conjuntos de servicios, donde se puede aplicar NAT.
  7. Configure filtros de firewall que redirijan el tráfico entrante del cliente A y el cliente B a las instancias de enrutamiento de realidad virtual.
  8. Aplique los filtros del firewall a las interfaces adecuadas.
  9. Agregue las interfaces si- externas a las instancias de enrutamiento VRF configuradas previamente. Esto devuelve el tráfico saliente ahora traducido a NAT a su instancia de enrutamiento VRF prevista, y ahora se puede enviar a través de la VPN como de costumbre.

Permitir que el tráfico de retorno de los servicios en la nube llegue a las LAN de los clientes

Cuando el tráfico de retorno de Servicios en la nube pasa por las interfaces de servicios, se elimina el direccionamiento NAT y el tráfico se envía a las instancias de enrutamiento de realidad virtual. Sin embargo, no hay una ruta a las LAN del cliente en las instancias de enrutamiento de realidad virtual, por lo que debemos agregarlas. Para ello, compartiremos rutas desde las instancias de enrutamiento de VRF a las instancias de enrutamiento de VR mediante grupos RIB.

Por ejemplo, para el tráfico a la LAN A del cliente, compartiremos rutas desde la tabla de enrutamiento Cust-A-VRF.inet.0 en la tabla de enrutamiento Cust-A-VR.inet.0. La figura 8 muestra el flujo de tráfico a través de PE1 para el tráfico NAT en línea proveniente de los servicios en la nube que van a la LAN A del cliente.

Figura 8: Flujo de tráfico en PE1 para el tráfico NAT en línea de estilo siguiente salto desde los servicios en la nube hasta el cliente A LAN Traffic Flow on PE1 for Next-Hop Style Inline NAT Traffic from Cloud Services to the Customer A LAN

Antes de configurar el uso compartido de rutas en PE1, solo hay una ruta estática predeterminada en la tabla de enrutamiento Cust-A-VR.inet.0:

Para compartir rutas de la tabla de enrutamiento Cust-A-VRF.inet.0 con la tabla de enrutamiento Cust-A-VR.inet.0:

  1. Cree políticas que coincidan con las rutas que se van a compartir.
    • El término 1 hace coincidir las rutas que proporcionan accesibilidad a las LAN del cliente.

    • El término 2 hace coincidir las rutas de interfaz que proporcionan accesibilidad a los dispositivos CE.

  2. Cree grupos RIB para compartir rutas entre tablas.
    • Con la instrucción, enumere la tabla de enrutamiento de origen que se va a compartir, seguida de la import-rib tabla de enrutamiento de destino en la que se importarán las rutas.

    • Con la instrucción, especifique la import-policy política utilizada para definir las rutas específicas que se compartirán.

  3. En las instancias de enrutamiento de VRF creadas anteriormente, aplique los grupos RIB a las rutas deseadas.
    • Para importar rutas conectadas directamente, aplique el grupo RIB en la routing-options jerarquía.

    • Para importar las rutas LAN del cliente (PE1 recibe estas rutas a través de los emparejamientos de EBGP de CE a PE), aplique el grupo RIB en la protocols jerarquía.

Después de configurar el uso compartido de rutas, una ruta de interfaz directa y una ruta BGP al cliente, se agregó una LAN a la tabla de enrutamiento Cust-A-VR.inet.0:

El tráfico de retorno ahora puede llegar a las LAN del cliente.

Verificación de NAT en línea de estilo de salto siguiente

  1. Desde CE1, verifique la conectividad entre CE1 y los servicios en la nube.
  2. Desde PE1, muestre estadísticas NAT para verificar que el tráfico se está traduciendo a NAT.
  3. Desde PE1, verifique los grupos de NAT que se utilizan para traducir direcciones para los clientes A y B.
  4. Desde los servicios en la nube, verifique que el enrutador esté recibiendo los pings del cliente de PE1s Un grupo de direcciones de origen traducidas NAT (192.0.2.0/24).

    Vuelva a ejecutar pings desde CE1 a servicios en la nube e ingrese el siguiente comando en servicios en la nube.

  5. Desde PE3, muestre la tabla de enrutamiento de capa 3 del BGP. En esta tabla se comprueba que se está realizando la traducción de NAT. 192.0.2.0 /24 es la dirección del grupo A para el tráfico del cliente A. 198.51.100.0 es la dirección del grupo B para el tráfico del cliente B

Configuración de NAT en línea de estilo interfaz en PE2

Para el tráfico del cliente C, estamos utilizando NAT en línea de estilo de interfaz. En esta sección se muestra cómo configurar NAT en línea basada en interfaz, que usa una configuración más sencilla que la NAT de estilo del próximo salto.

Figura 9: Configuración Interface-Style NAT Configuration de NAT de estilo interfaz

En esta sección se utilizan los siguientes elementos de configuración:

  • Interfaz de servicio en línea: una interfaz virtual que reside en el motor de reenvío de paquetes de la MPC. Para acceder a los servicios, el tráfico entra y sale de la interfaz si- (service-inline).

  • Conjunto de servicios: define los servicios prestados e identifica qué interfaces en línea alimentarán el tráfico dentro y fuera del conjunto de servicios. En esta sección se implementan conjuntos de servicios de estilo de interfaz, en los que los paquetes que llegan a una interfaz se envían a través de la interfaz de servicio en línea.

  • Regla NAT: utiliza una estructura if-then (similar a los filtros de firewall) para definir condiciones de coincidencia y, a continuación, aplicar la traducción de direcciones al tráfico coincidente.

  • Grupo NAT: conjunto de direcciones IP definido por el usuario que la regla NAT utiliza para la traducción.

  • Instancia de enrutamiento VRF: la interfaz si- se agrega a la instancia de enrutamiento VRF para el cliente C.

La figura 10 muestra el flujo de tráfico en PE2 para el tráfico enviado desde la LAN C del cliente a los servicios en la nube.

Figura 10: Flujo de tráfico en PE2 para tráfico NAT en línea estilo interfaz desde C LAN del cliente a servicios Traffic Flow on PE2 for Interface-Style Inline NAT traffic from Customer C LAN to Cloud Services en la nube

La figura 11 muestra el flujo de tráfico en PE2 para el tráfico desde los servicios en la nube a la C LAN del cliente.

Figura 11: Flujo de tráfico en PE2 para tráfico NAT de estilo interfaz desde los servicios en la nube a la C LAN Traffic Flow on PE2 for Interface-Style NAT Traffic from Cloud Services to Customer C LAN del cliente

Para configurar NAT en línea de estilo de interfaz en PE2:

  1. Habilite los servicios en línea para la ranura FPC y la ranura PIC pertinentes, y defina la cantidad de ancho de banda que se dedicará a los servicios en línea.

    La configuración de FPC y PIC se asigna a la interfaz si- configurada anteriormente.

  2. Configure la interfaz de servicio utilizada para NAT. La NAT de estilo de interfaz solo requiere una interfaz.
  3. Configure un grupo NAT.
  4. Configure una regla NAT que:
    • Hace coincidir el tráfico de la red C del cliente.

    • Aplica el grupo del que se va a obtener una dirección.

    • Aplica NAT 44 básico, un tipo de NAT estática que se aplica al tráfico IPv4.

  5. Configure un conjunto de servicios de estilo de interfaz que asocie la interfaz de servicio al servicio NAT. En este caso, el servicio NAT utiliza la regla SRC-NAT-C NAT.

    El tráfico entrará y saldrá de la interfaz si- para acceder al servicio NAT en línea.

  6. Aplique el conjunto de servicios de entrada y salida a la interfaz xe-0/0/2, que es la interfaz del cliente C. Esta configuración especifica que todo el tráfico hacia y desde el cliente C se redirige a través del conjunto de servicios.
  7. Agregue la interfaz si- a la instancia de enrutamiento VRF Cust-C.

Con esta configuración, el tráfico del cliente C entra en la interfaz en PE2 y se redirige a través de la interfaz de servicio al conjunto de servicios para la traducción NAT. A continuación, el tráfico se devuelve a la instancia de enrutamiento VRF y se puede enviar a través de la VPN como de costumbre.

Verificar el estilo de interfaz TDR en línea

  1. Desde CE3, verifique la conectividad entre CE3 y los servicios en la nube.
  2. Desde PE2, muestre las estadísticas NAT en línea para verificar que el tráfico se está traduciendo a NAT.
  3. Desde PE2, compruebe que la NAT en línea se está aplicando correctamente.
  4. Desde PE2, compruebe que el grupo de traducción NAT se muestra en la tabla de enrutamiento para la red C del cliente.
  5. Desde los servicios en la nube, verifique que el enrutador esté recibiendo los pings del grupo PE2 de direcciones de origen traducidas NAT (203.0.113.0/24).

    Vuelva a ejecutar pings desde CE3 a servicios en la nube e introduzca el siguiente comando en servicios en la nube.

Configuraciones completas del enrutador

Esta sección tiene la configuración completa de cada router.

Configuración de PE1

Configuración de PE2

Configuración de PE3

Configuración CE1

Configuración CE2

Configuración CE3