VLANs NAT com as mesmas sub-redes IP

8

Eu tenho um ambiente VMware no qual as VMs estão executando um conjunto de simulação. O software usado possui endereços IP codificados, cerca de 10 a 15 VMs, e estamos executando várias instâncias desse software, cada uma em diferentes grupos de portas distribuídas. Portanto, o conjunto de máquinas SIM1 tem 192.168.1.0/24 na VLAN10 e o SIM2 tem 192.168.1.0/24 na VLAN20, etc ...

Isso funciona bem, não é necessário que as VMs do SIM1 conversem com as VMs do SIM2 e assim por diante. Um novo requisito surgiu e agora preciso monitorar remotamente o progresso, gerenciar e compartilhar dados de um conjunto físico de máquinas. Os PCs de gerenciamento viverão no VLAN200 conectado a um switch Cisco Catalyst.

Eu tenho uplinks 4x10gbe no switch distribuído. Eu iria executá-los em algum roteador Cisco 10gbe (eu quero manter a conectividade 10gbe nas VMs, sem saber exatamente qual modelo faria isso) e usar o VRF nas subinterfaces para cada VLAN usando essa interface como gateway e NAT estático virtual máquina. Portanto, a máquina SIM1 possui IP 192.168.1.2, o qual NAT seria publicamente para 10.0.10.2. O quarto octeto corresponderia ao IP da vm privada e o terceiro octeto corresponderia à VLAN. Portanto, a máquina SIM2 (192.168.1.2) faria NAT para 10.0.20.2. O lado do gerenciamento também pode ser uma subinterface em uma porta diferente e viver em um VRF global ou compartilhado. Para gerenciar a máquina SIM21, devo poder usar 10.0.20.2. Se rotas compartilhadas entre os VRFs e o NAT estavam funcionando.

Comecei a tentar criar algo semelhante no GNS3 e rapidamente fiquei impressionado. Quero garantir que meu design seja sensato ou se existe outra maneira melhor e mais sensata de lidar com o problema. Ou alguma dica ou sugestão de como fazer isso?

Obrigado!

Editar: Adicionado um diagrama:

Diagrama NAT

A idéia seria que o SIM1-S1 tivesse NAT para 10.0.10.2, SIM1-S2 teria NAT para 10.0.10.3, etc ... SIM2-S1 teria NAT para 10.0.20.2, SIM2-S2 teria NAT para 10.0.20.3, etc. ...

cisco vlan nat vrf umhelp
fonte
2
Você pode fornecer um diagrama simples? Supondo que tudo esteja em um local, sim, o NAT é o caminho a seguir. Eu não acho que você precise usar VRFs, no entanto.
Ron Trunk
Acordado. Não vejo sentido em usar VRFs.
Tommiie
Eu editei o post acima e incluí uma imagem, espero que ajude a dar mais sentido a ela! R1 no diagrama seria o dispositivo NAT. Subinterface f0 / 0.10 seria o gateway para VLAN10 com 192.168.1.254 e subinterface f0 / 0.20 seria o gateway para VLAN20 com 192.168.1.254, etc ... É por isso que eu estava pensando em VRF.
umhelp
Supondo que você vai ter subinterfaces fast0/0.10e fast0/0.20e fast0/0.nn(com sua respectiva tag 802.1q) em que router, eu duvido que ele irá permitir que você configure sobreposição intervalos de IP nas subinterfaces. Quando eu tentei, meu C891-24X apenas latiu: % 192.168.1.254 overlaps with GigabitEthernet0/1.10. Não vejo isso acontecendo sem VRFs. Qual modelo de roteador você tem aí e quantas interfaces ele possui?
Marc 'netztier' Luethi 20/10
Ainda não decidimos nenhum hardware, mas eu tenho um ASR-1001-X para brincar e a única imagem que tenho para o GNS3 é um c7200 para mexer. De qualquer maneira, nenhum deles permitiria IPs sobrepostos.
umhelp

Respostas:

7

Com um pouco de VRF-lite e NAT com reconhecimento de VRF e a ajuda da capacidade de roteamento da Cat-3850, aqui estão alguns trechos de configuração que devem funcionar, ou pelo menos levá-lo até o meio do caminho - tudo com base no diagrama que você mostrou.

Algumas advertências:

  • Este exemplo pressupõe que o Cat-3850 possa atuar como switch L3 e que possa rotear pelo menos entre sub-redes / vlans diretamente conectadas.
  • O Cisco IOS e o IOS-XE apresentam algumas pequenas diferenças em relação ao NAT, especialmente quando se trata de NATting de um VRF para outro, algumas questões de licenciamento podem surgir. Eu não acho que isso nos machuque aqui, no entanto.
  • Este é um "pseudo-código" composto à mão livre, pode não ser totalmente copiável e passível de pastagem, mas deve levá-lo a uma solução.
  • A separação dos ambientes SIM não está sendo imposta; um ambiente pode "conversar" com os endereços NAT do (s) outro (s). Se isso for um problema, não defina a rota padrão em cada VRF (apenas uma rota estática para o sistema de gerenciamento ou sua sub-rede) ou use o ZBFW no ASR-1001

Vamos começar com R1 e configurar as interfaces

interface fastEthernet0/0
 desc * Vmware-dSwitch *
 no ip address

interface Fasterthern0/1
 desc * Cisco-3850 Port 1* 
 no ip address

Em seguida, você deverá repetir o seguinte para cada SIM ou subambiente: Observe que o exemplo usa a mesma marca de VLAN nos dois lados do R1. Eles podem ser diferentes para corresponder ao ambiente VMware de um lado e ao ambiente LAN do outro lado.

!
! Start of per VRF or per SIMn section
!
! replace VRF names, dot1q tags, interface names as appropriate

vrf defintion VRF-SIM1
 address-family ipv4
 exit-address-family

interface fast0/0.10
 description * SIM1 inside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 192.168.1.254 255.255.255.0
 ip nat inside

interface fast0/1.10
 description * SIM1 outside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 10.0.10.1
! ip nat inside           <--- dear me! how could I copy&waste that one! (edited after comment)
 ip nat outside

ip nat inside source static 192.168.1.2 10.0.10.2 vrf VRF-SIM1
ip nat inside source static 192.168.1.3 10.0.10.3 vrf VRF-SIM1
ip nat inside source static 192.168.1.4 10.0.10.4 vrf VRF-SIM1

ip route vrf VRF-SIM1 0.0.0.0 0.0.0.0 fast0/1.10 10.0.10.254

!
! End of per VRF or per SIMn section
!

Observe: a parte nat pode precisar de alguns ajustes aqui, mas como a interface interna e externa está no mesmo VRF, não acho que seja necessária mais mágica de configuração.

Então, no Cat3850, você precisará de um conjunto de VLANs e SVIs ( interface vlan) para corresponder ao lado "direito" do R1:

vlan 10 
 name SIM1-TRANSIT

vlan 20
 name SIM2-TRANSIT

vlan 30
 name SIM3-TRANSIT

int g1/0/1
 desc * R1 fast0/1 *
 switchport mode trunk
 switchport nonegotiate
 switchport trunk allowed vlan 10,20,30
 spanning-tree portfast trunk

interface vlan 10
 desc * transit subnet to SIM1 *  
 ip address 10.0.10.254 255.255.255.0

interface vlan 20
 desc * transit subnet to SIM2 *  
 ip address 10.0.20.254 255.255.255.0

interface vlan 30
 desc * transit subnet to SIM3 *  
 ip address 10.0.30.254 255.255.255.0
Marc 'netztier' Luethi
fonte
11
Seu pseudo-código estava bem próximo. Eu mudo a interface fast0 / 1.10 para ip nat fora. As instruções ip nat inside precisavam de match-in-vrf no final e, por algum motivo, as rotas listadas não funcionavam, mas a rota ip vrf SIM1 0.0.0.0 0.0.0.0 10.0.10.254 funcionava. Eu tive que usar um switch virtual L3 Extreme Networks no GNS3, pois não consigo carregar um 3850, mas os princípios são efetivamente os mesmos.
umhelp
11
A configuração de um roteador em poucas palavras evita a necessidade de VLANs adicionais, SVIs e um tronco 802.1q no Cat3850: 1. Configure no lado do SIM / laboratório, como acima, um VRF por ambiente do SIM. 2. Cada VRF-SIMn possui um subif na interface lateral do SIM (como antes) e (novo) um subif com etiqueta 802.1q na interface "esquerda" do cabo de loop. 3. Cada VRF-SIMn faz sua própria coisa NAT (como antes). 4. um VRF-FRONT adicional possui n subifs marcados com 802.1q na interface "direita" do cabo de loop e uma interface única para o cat3850. 5. O Cat3850 precisa direcionar as faixas de IP NAT para VRF-FRONT.
Marc 'netztier' Luethi
11
@umhelp, o roteador “faça tudo isso” precisará de pelo menos 4 interfaces / portas (portas roteadas apropriadas, não portas de um módulo de switch integrado, como pode ser encontrado no 800series ou similar). Interface1 em relação ao VMware vSwitch. Interface4 em direção ao cat-3850, mais interface2 e interface3 conectadas entre si com um cabo "loop" ou "ear" . Esse cabo de loop tem uma extremidade "esquerda" e "direita". No lado esquerdo, há n subifs mapeados no n VRF-SIMn. Na extremidade direita, há também n subinfs, todos mapeados para VRF-FRONT. O VRF-FRONT está assumindo o papel de rotina que o 3850 tinha antes.
Marc 'netztier' Luethi 23/10
11
@umhelp dependendo da licença fornecida, um roteador IOS XE pode simular esse cabo de loop com pares internos de interfaces completamente virtuais chamados vasileft<number>/vasiright<number>. Com eles, é possível conectar os VRFs sem desperdiçar interfaces e sem a dor de cabeça do vazamento de rotas, e ainda ter a maioria dos recursos (roteamento dinâmico, NAT, etc.). Consulte cisco.com/c/en/us/support/docs/ip/… para obter exemplos.
Marc 'netztier' Luethi 23/10
11
@umhelp: com relação ao desempenho: você terá que decidir se o tráfego fornecido pode passar por um roteador duas vezes (lembre-se de que mesmo os ASRs possuem um shaper de plataforma que limita a taxa de transferência geral). Com um cabo de loop, qualquer tráfego conta em dobro contra o limite do shaper. E haverá um tempo adicional de enfileiramento / latência / tempo de serialização (provavelmente muito baixo de qualquer maneira, mas há aplicativos que não gostam disso). Esses efeitos provavelmente são um pouco mais fracos ao usar as interfaces vasileft <número> / vasiright <número>. Então ... também não posso recomendar.
Marc 'netztier' Luethi