网络工程 - Cisco IOS 多 WAN 与 Loopback0 上的 NAT 与 ip sla - 吾爱随笔录

Cisco IOS 多 WAN 与 Loopback0 上的 NAT 与 ip sla

网络工程思科纳特环回

2022-02-24 18:12:21

我正在尝试跨一对链路配置 WAN 冗余，使用 ip sla 来监控链路状态并在其中一个失败时切换路由。

该设计使用 Loopback0 作为 NAT 接口，两个 WAN 接口作为传输网络。ISP 路由器将具有动态路由，以便分配给 Loopback0 的 IP 可通过任一链路访问。

配置当前如下所示：

track 100 ip sla 1 reachability
!
interface Loopback0
 ip address 1.2.3.224 255.255.255.254
 ip nat outside
 ip virtual-reassembly in
!
interface GigabitEthernet0/0
 description COLT WAN
 ip address 1.2.3.9 255.255.255.254
 ip virtual-reassembly in
 duplex full
 speed 100
 no cdp enable
!
interface GigabitEthernet0/1
 description INSIDE LAN
 ip address 172.200.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly in
 duplex full
 speed 100
!         
interface GigabitEthernet0/1/0
 description VODAFONE INTERCONNECT
 switchport access vlan 100
 no ip address
 duplex full
 speed 100
 no cdp enable
!         
interface Vlan100
 description VODAFONE WAN
 ip address 1.2.3.135 255.255.255.254
 ip virtual-reassembly in
!
ip route 0.0.0.0 0.0.0.0 1.2.3.134 track 100
ip route 0.0.0.0 0.0.0.0 1.2.3.8 200
!
ip sla 1
 icmp-echo 1.2.3.134 source-ip 1.2.3.135
 frequency 5000
ip sla schedule 1 life forever start-time now

路由器可以 ping1.2.3.8和1.2.3.134，这两个都可以 ping 1.2.3.224。我还验证了如果其中一个链接关闭，冗余路由也可以工作，尽管这似乎与这个 NAT 问题没有任何关系。

从172.200.0.0/24我可以 ping 172.200.0.1, 1.2.3.224,1.2.3.9但1.2.3.135不能1.2.3.8或1.2.3.134

2个回答

我认为你这样做不正确。WAN 故障转移应该独立于您的 NAT。尝试这样的事情：

track 100 ip sla 1 reachability
!
interface Loopback0
 ip address 1.2.3.224 255.255.255.254
 ip virtual-reassembly in
!
interface GigabitEthernet0/0
 description COLT WAN
 ip address 1.2.3.9 255.255.255.254
 ip nat outside
 ip virtual-reassembly in
 duplex full
 speed 100
 no cdp enable
!
interface GigabitEthernet0/1
 description INSIDE LAN
 ip address 172.200.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly in
 duplex full
 speed 100
!         
interface GigabitEthernet0/1/0
 description VODAFONE INTERCONNECT
 switchport access vlan 100
 no ip address
 duplex full
 speed 100
 no cdp enable
!         
interface Vlan100
 description VODAFONE WAN
 ip address 1.2.3.135 255.255.255.254
 ip nat outside
 ip virtual-reassembly in
!
ip nat inside source list 10 interface Loopback0 overload
!
access-list 10 permit 172.200.0.0 0.0.255.255
!
ip route 0.0.0.0 0.0.0.0 1.2.3.134 track 100
ip route 0.0.0.0 0.0.0.0 1.2.3.8 200
!
ip sla 1
 icmp-echo 1.2.3.134 source-ip 1.2.3.135
 frequency 5000
ip sla schedule 1 life forever start-time now

您从内部接口 NATGigabitEthernet0/1到外部接口GigabitEthernet0/0和Vlan100. 您使用该Loopback0接口作为转换的地址，而不是使用该ip nat inside source list 10 interface Loopback0 overload命令的外部接口。

问题是到 Internet 的流量直接路由到 WAN 端口，因此没有经过 NAT。为了实现你想要的，你需要一个指向你的“外部”接口的默认路由，在这种情况下就是你的环回。

但是，仅添加指向环回的静态路由是行不通的，因为还需要路由经过 NAT 的流量。因此，您必须为基于策略的路由创建一个路由映射，仅将“未经过 NAT 处理的”流量引导到环回接口。

interface gi0/1 
 ip policy route-map loopback-nat

access-list 101 permit ip 172.200.0.1 0.0.255.255 any 

route-map loopback-nat permit 10
 match ip address 101
 set interface Loopback0

这是假设您的 NAT 配置的其余部分是正确的：

ip nat inside source list 101 interface Loopback0 overload

有关更多说明，请参阅本文。

其它你可能感兴趣的问题