我目前正在为一个 SP 做一个项目,他们的一个要求让我很难过。
背景 :
客户想要迁移到供应商的 WAN 解决方案,对于底层,我们正在使用 DMVPN。DMVPN 隧道的端点是 CPE。客户路由器,遗憾的是主要是 EOS,不支持 DMVPN 阶段 3。对于服务,客户需要
- 网络连接
- 中心站点和分支机构之间的 LAN 访问
问题
由于公共 IP 数量有限(2x/30),我们必须使用动态 NAT。满足要求 2 被证明是具有挑战性的。我理解的数据包流是这样的:
DC 的客户端(例如 10.1.1.1/32)尝试访问 Branch 的客户端(例如 10.20.1.1)
数据包遵循默认路由到客户路由器,其中它被 NATTed 到公共 IP。外部全局条目设置为 10.20.1.1,内部全局和本地为 :port 和 10.1.1.1:port
数据包通过 DMVPN 隧道路由到 10.20.1.1(建立 CPE 之间的路由)。
- 10.20.1.1 用自己的地址回复 10.20.1.1
- 10.20.1.1 在分支机构客户路由器上被 NAT 到连接的公共 IP
- 此数据包通过隧道到达 DC CPE,该隧道尝试在 NAT 表中执行查找,但在全局外部与本地条目内部未找到任何匹配项(请记住,回复的来源已在步骤 5 中确定)
什么已经尝试过
我正在考虑一个解决方案,其中 NAT 在 CPE 上完成,我们使用 VRF 分离流量。CPE-PE 位于 VRF INET 中,用作 DMVPN 的底层。EIGRP over DMVPN 允许客户从全局 RIB 访问 LAN。到 INET vrf 的默认路由以及 INET 和全局之间的一些泄漏允许访问 Internet。这里的挑战是外部接口将位于 VRF 中,这不是 VRF AWARE NAT 的典型情况(源位于 VRF 中)。我尝试在 EVE 上运行它,但无法让它工作。
我也听说过双 NAT,但无法将其包含在解决我的问题中
很感谢任何形式的帮助。