NAT-VLANs mit denselben IP-Subnetzen

Ich habe eine VMware-Umgebung, in der VMs eine Simulationssuite ausführen. Die verwendete Software verfügt über fest codierte IP-Adressen, etwa 10 bis 15 VMs, und wir führen mehrere Instanzen dieser Software jeweils in verschiedenen verteilten Portgruppen aus. Das SIM1-VM-Set hat also 192.168.1.0/24 in VLAN10 und SIM2 hat 192.168.1.0/24 in VLAN20 usw.

Dies funktioniert einwandfrei. SIM1-VMs müssen nicht mit SIM2-VMs usw. kommunizieren. Eine neue Anforderung ist aufgetaucht und ich muss jetzt in der Lage sein, den Fortschritt aus der Ferne zu überwachen, Daten von einem physischen Satz von Maschinen zu verwalten und gemeinsam zu nutzen. Die Management-PCs befinden sich in VLAN200, das mit einem Katalysator-Cisco-Switch verbunden ist.

Ich habe 4x10gbe Uplinks auf dem verteilten Switch. Ich wollte diese auf einem Cisco 10gbe-Router ausführen (ich möchte die 10gbe-Konnektivität zu den VMs beibehalten, nicht genau wissen, welches Modell dies tun würde) und VRF für Subschnittstellen für jedes VLAN verwenden, wobei diese Schnittstelle als Gateway und statisches NAT für jede virtuelle Schnittstelle verwendet wird Maschine. SIM1 machine1 hat also die IP 192.168.1.2, die NAT öffentlich zu 10.0.10.2 machen würde. Das 4. Oktett würde mit der privaten VM-IP übereinstimmen und das 3. Oktett würde mit dem VLAN übereinstimmen. Also würde SIM2 machine1 (192.168.1.2) NAT auf 10.0.20.2 setzen. Die Verwaltungsseite kann auch eine Subschnittstelle an einem anderen Port sein und in einer globalen oder einer gemeinsam genutzten VRF leben. Um SIM2 machine1 zu verwalten, sollte ich 10.0.20.2 verwenden können. Wenn gemeinsame Routen zwischen den VRFs und NAT funktionieren.

Ich fing an, etwas Ähnliches in GNS3 aufzubauen und wurde schnell überwältigt. Ich möchte also sicherstellen, dass mein Design vernünftig ist oder dass es eine andere, vernünftigere Art gibt, mit dem Problem umzugehen. Oder irgendwelche Tipps oder Hinweise, wie dies erreicht werden kann?

Vielen Dank!

Bearbeiten: Diagramm hinzugefügt:

Die Idee wäre, dass SIM1-S1 NAT zu 10.0.10.2, SIM1-S2 NAT zu 10.0.10.3 usw. wäre. SIM2-S1 würde NAT zu 10.0.20.2, SIM2-S2 würde NAT zu 10.0.20.3 usw. ...

Mit ein bisschen VRF-Lite und VRF-fähigem NAT und der Hilfe der Routing-Fähigkeit des Cat-3850 finden Sie hier einige Konfigurations-Snippets, die funktionieren sollten oder Sie zumindest auf halbem Weg dorthin bringen sollten - alles basierend auf dem von Ihnen gezeigten Diagramm.

Ein paar Einschränkungen:

• In diesem Beispiel wird davon ausgegangen, dass der Cat-3850 möglicherweise als L3-Switch fungiert und mindestens zwischen direkt angeschlossenen Subnetzen / VLANs routen kann.
• Cisco IOS und IOS-XE weisen einige geringfügige Unterschiede in Bezug auf NAT auf, insbesondere wenn es um NAT von einer VRF zur anderen geht, können einige Lizenzierungsfragen auftreten. Ich glaube nicht, dass uns das hier weh tut.
• Dies ist ein freihändig zusammengesetzter "Pseudocode", der möglicherweise nicht vollständig kopiert und eingefügt werden kann, aber Sie sollten zu einer Lösung führen.
• Die Trennung von SIM-Umgebungen wird nicht erzwungen. Eine Umgebung kann mit den NAT-Adressen der anderen Umgebung "sprechen". Wenn dies ein Problem darstellt, legen Sie nicht in jeder VRF die Standardroute fest (nur eine statische Route für das Managementsystem oder sein Subnetz) oder verwenden Sie ZBFW auf dem ASR-1001

Beginnen wir mit R1 und richten die Schnittstellen ein

interface fastEthernet0/0
 desc * Vmware-dSwitch *
 no ip address

interface Fasterthern0/1
 desc * Cisco-3850 Port 1* 
 no ip address

Anschließend müssen Sie für jede SIM-Karte oder Unterumgebung Folgendes wiederholen: Beachten Sie, dass im Beispiel auf beiden Seiten von R1 dasselbe VLAN-Tag verwendet wird. Sie können unterschiedlich sein, um der VMware-Umgebung auf der einen Seite und der LAN-Umgebung auf der anderen Seite zu entsprechen.

!
! Start of per VRF or per SIMn section
!
! replace VRF names, dot1q tags, interface names as appropriate

vrf defintion VRF-SIM1
 address-family ipv4
 exit-address-family

interface fast0/0.10
 description * SIM1 inside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 192.168.1.254 255.255.255.0
 ip nat inside

interface fast0/1.10
 description * SIM1 outside subinterface *
 vrf forwarding VRF-SIM1
 encapsulation dot1q 10
 ip address 10.0.10.1
! ip nat inside           <--- dear me! how could I copy&waste that one! (edited after comment)
 ip nat outside

ip nat inside source static 192.168.1.2 10.0.10.2 vrf VRF-SIM1
ip nat inside source static 192.168.1.3 10.0.10.3 vrf VRF-SIM1
ip nat inside source static 192.168.1.4 10.0.10.4 vrf VRF-SIM1

ip route vrf VRF-SIM1 0.0.0.0 0.0.0.0 fast0/1.10 10.0.10.254

!
! End of per VRF or per SIMn section
!

Bitte beachten Sie: Der Nat-Teil muss hier möglicherweise angepasst werden, aber da sich die Innen- und Außenschnittstelle in derselben VRF befinden, glaube ich nicht, dass weitere Konfigurationsmagie erforderlich ist.

Dann benötigen Sie auf dem Cat3850 eine Reihe von VLANs und SVIs ( interface vlan), die mit der "rechten" Seite von R1 übereinstimmen:

vlan 10 
 name SIM1-TRANSIT

vlan 20
 name SIM2-TRANSIT

vlan 30
 name SIM3-TRANSIT

int g1/0/1
 desc * R1 fast0/1 *
 switchport mode trunk
 switchport nonegotiate
 switchport trunk allowed vlan 10,20,30
 spanning-tree portfast trunk

interface vlan 10
 desc * transit subnet to SIM1 *  
 ip address 10.0.10.254 255.255.255.0

interface vlan 20
 desc * transit subnet to SIM2 *  
 ip address 10.0.20.254 255.255.255.0

interface vlan 30
 desc * transit subnet to SIM3 *  
 ip address 10.0.30.254 255.255.255.0