Silver Peak SD-WAN Branch NAT 的配置

在有些网络设计中每个站点都重复地使用了相同的 IP 地址网段,这些站点间如果需要相互通信就需要依赖于 NAT,在 Silver Peak SD-WAN 中我们将其称为 Branch NAT,如下图:

三个站点的 LAN 都使用了 172.16.10.0/24 的网段,下面我们来示范如何配置 Branch NAT 使他们可以相互通信。

我们在正常的建立 SD-WAN Fabric 以后首先查看一下这些站点的路由表,以 ECV-Hot-1 为例:

我们会发现有三个关于 172.16.10.0/24 的路由存在,他们分别是 ECV-Hot-1 的本地连接,两外两条是通过 subnet-sharing 分别从 ECV-Hot-2 和 ECV-Hot-3 学到的。为了优化网络,或者照成不必要的困惑我们需要把重复且无用的路由条目剔除掉,方法就是关闭 subnet-sharing:

接着我们来配置 NAT,将 ECV-Hot-1 的 LAN 上连接的 PC (172.16.10.2) NAT 成 1.1.1.1,将 ECV-Hot-2 的 LAN 上连接的 PC (同样是 172.16.10.2) NAT 成为 2.2.2.2,从 ECV-Hot-1 的 PC ping 到 ECV-Hot-2 的 PC:

NAT 的配置引入了新的 IP 地址,那么如何将这些用来做 NAT 的 IP 宣告到 SD-WAN 里面呢?很简单,我们利用静态路由重分布,在每个配置 NAT 的站点配置指向 NAT IP 的静态路由,并将其重分布到 SD-WAN Fabric 里面。如下图,我们在 ECV-Hot-1 上配置了一条关于 1.1.1.1/32 的静态路由

然后我们将其重分布:

同样的操作需要在所有做 NAT 的 ECV 上进行。完成之后我们来看一下 ping 测试的结果,下图是从 ECV-Hot-1 上看到的数据包,做了一个 SNAT:

下图是在 ECV-Hot-2 上看到的数据包,做了 DNAT:

发表评论

电子邮件地址不会被公开。