VRF-aware NAT, PATとは
VRF(Virtual Routing and Forwarding)コンテキスト内でNAT(Network Address Translation)やPAT(Port Address Translation)を実行する機能です。
VRF-Aware Software Infrastructure (VASI) とは
VRF-Aware Software Infrastructure (VASI) NATとは、Ciscoのルータやスイッチで使用される技術で、仮想ルーティングおよびフォワーディング(VRF)インスタンス間のNAT(ネットワークアドレス変換)をサポートするものです。これにより、異なるVRF間で通信を行う際に、IPアドレスの変換が可能となります。
設定例
各機器のpre-config
R1
hostname R1
int g0/3
ip address 192.168.1.1 255.255.255.0
no shut
int lo1
ip address 1.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.1.254
R2
hostname R2
int g0/3
ip address 192.168.1.1 255.255.255.0
no shut
int lo2
ip address 2.2.2.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.1.254
R3
hostname R3
ip vrf R14
rd 1:10
ip vrf R25
rd 1:20
int g0/1
ip vrf forwarding R14
ip address 192.168.1.254 255.255.255.0
no shut
int g0/4
ip vrf forwarding R14
ip address 192.168.2.254 255.255.255.0
no shut
int g0/2
ip vrf forwarding R25
ip address 192.168.1.254 255.255.255.0
no shut
int g0/5
ip vrf forwarding R25
ip address 192.168.2.254 255.255.255.0
no shut
int g0/6
ip address 172.16.100.254 255.255.255.0
no shut
ip route vrf R14 1.1.1.0 255.255.255.0 192.168.1.1
ip route vrf R14 4.4.4.0 255.255.255.0 192.168.2.1
ip route vrf R25 2.2.2.0 255.255.255.0 192.168.1.1
ip route vrf R25 5.5.5.0 255.255.255.0 192.168.2.1
ip route 6.6.6.0 255.255.255.0 172.16.100.1
R4
hostname R4
int g0/3
ip address 192.168.2.1 255.255.255.0
no shut
int lo4
ip address 4.4.4.4 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.2.254
R5
hostname R5
int g0/3
ip address 192.168.2.1 255.255.255.0
no shut
int lo5
ip address 5.5.5.5 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.2.254
R6
hostname R6
int g0/3
ip address 172.16.100.1 255.255.255.0
no shut
int lo6
ip address 6.6.6.6 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.16.100.254
VRF内でNATする設定
以下の設定例はvrfR14内で動作するNATの設定例で送信元192.168.1.0/24を192.168.2.254に変換しています。
R3(config)#ip nat pool TEST 192.168.2.254 192.168.2.254 netmask 255.255.255.0
R3(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R3(config)#ip nat inside source list 1 pool TEST vrf R14 overload
R3(config)#interface Gi0/1
R3(config-if)#ip nat inside
R3(config-if)#interface Gi0/4
R3(config-if)#ip nat outside
VRFからVRF外へNATする設定
以下の設定例はVRF:R14から外部ネットワークへ通信をできるようにルーティングして、NAT変換をする設定例です。VRF R14のルーティングではglobal キーワードにより、このルートがグローバルなルーティングテーブルに影響することを示しています。
R3(config)#ip route vrf R14 6.6.6.0 255.255.255.0 Gi0/6 172.16.100.1 global
R3(config)#ip access-list standard TEST
R3(config-std-nacl)#permit 192.168.1.0 0.0.0.255
R3(config-std-nacl)#exit
R3(config)#ip nat inside source list TEST interface Gi0/6 vrf R14 overload
R3(config)#interface Gi0/1
R3(config-if)#ip nat inside
R3(config-if)#exit
R3(config)#interface Gi0/6
R3(config-if)#ip nat outside
R3(config-if)#exit
異なるVRF間でNATする設定
R3にて以下のようなイメージとなるVASIを作成します。作成されたVASIのペアは自動的にパケットを送信し合います。
R3(config)#interface vasileft1
R3(config-if)#ip vrf forwarding R14
R3(config-if)#ip address 10.0.0.254 255.255.255.0
R3(config-if)#exit
R3(config)#interface vasiright1
R3(config-if)#ip vrf forwarding R25
R3(config-if)#ip address 10.1.0.254 255.255.255.0
R3(config-if)#exit
R3(config)#ip route vrf R14 0.0.0.0 0.0.0.0 vasileft1
R3(config)#ip route vrf R25 0.0.0.0 0.0.0.0 vasiright1
vasiright1を内部ネットワーク、G5を外部ネットワークとして設定します。
R3(config)#interface vasiright1
R3(config-if)#ip nat inside
R3(config-if)#exit
R3(config)#interface GigabitEthernet5
R3(config-if)#ip nat outside
R3(config-if)#exit
R3(config)#access-list 1 permit 1.1.1.1
R3(config)#ip nat inside source list 1 interface GigabitEthernet5 vrf R14 overload
PC1からPC5へPINGを実行してR3とR5の通信をパケットキャプチャするとNAT変換されていることが分かります。
参考文献
Configuring the VRF-Aware Software Infrastructure
【ASR1000】VASIとNATの設定例