VPP源地址NAT

最新推荐文章于 2024-01-04 21:00:08 发布
最新推荐文章于 2024-01-04 21:00:08 发布
阅读量942 收藏
点赞数
分类专栏: VPP 文章标签: nat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/126201476
版权
本文详细介绍了NAT44的配置过程,包括接口状态设置、IP地址分配、SNAT配置以及网络拓扑。通过启用NAT44,配置SNAT接口的in/out,添加地址池,并通过实际的ping测试验证了源地址转换的正确性。在双SNAT配置中,探讨了地址池选取的随机性和问题,以及开启output-feature选项后NAT转换的影响。内容涉及网络通信、地址转换和网络配置策略。
摘要由CSDN通过智能技术生成

接口基本配置:

DBGvpp# set interface state port7 up
DBGvpp# set interface state port8 up
DBGvpp# set interface ip address port7 50.1.1.1/24
DBGvpp# set interface ip address port8 192.168.1.203/24

网络拓扑:

|-----------|         |------------|          |---------------|
| 50.1.1.2  |---------|    vpp     |----------| 192.168.1.103 |
|-----------|         |------------|          |---------------|
   Host-A           port7        port8             Host-B

启用NAT44配置:

DBGvpp# nat44 enable

SNAT配置一

配置接口的in/out

DBGvpp# set interface nat44 in port7 out port8
DBGvpp# nat44 add interface address port8
DBGvpp#
DBGvpp# show nat44 interfaces
NAT44 interfaces:
 port7 in
 port8 out
DBGvpp#
DBGvpp# show nat44 addresses
NAT44 pool addresses:
192.168.1.203
  tenant VRF independent

在主机50.1.1.2上ping主机192.168.1.103进行测试,在103上抓包,可看到源地址转换为了192.168.1.203,即接口port8的地址。以下增加地址池:

DBGvpp# nat44 add address 192.168.1.204-192.168.1.205
DBGvpp#
DBGvpp# show nat44 addresses
NAT44 pool addresses:
192.168.1.203
  tenant VRF independent
192.168.1.204
  tenant VRF independent
192.168.1.205
  tenant VRF independent
NAT44 twice-nat pool addresses:

再次执行ping,在103上抓包,可看到源地址转换成了192.168.1.205。如果将主机A的地址修改为50.1.1.25,其源地址将转换为地址池中的192.168.1.204,参见以下会话列表,可见转换地址是根据不同的内部地址(主机A地址)而改变的。

DBGvpp# show nat44 sessions
NAT44 ED sessions:
-------- thread 0 vpp_main: 42 sessions --------
    i2o 50.1.1.2 proto ICMP port 1 fib 0
    o2i 192.168.1.205 proto ICMP port 28717 fib 0
       external host 192.168.1.103:1
       i2o flow: match: saddr 50.1.1.2 sport 1 daddr 192.168.1.103 dport 1 proto ICMP fib_idx 0 rewrite: saddr 192.168.1.205 daddr 192.168.1.103 icmp-id 28717 txfib 0
       o2i flow: match: saddr 192.168.1.103 sport 28717 daddr 192.168.1.205 dport 28717 proto ICMP fib_idx 0 rewrite: daddr 50.1.1.2 icmp-id 1 txfib 0
       index 31
       last heard 1175.08
       total pkts 6, total bytes 360
       dynamic translation

    i2o 50.1.1.25 proto ICMP port 1 fib 0
    o2i 192.168.1.204 proto ICMP port 49895 fib 0
       external host 192.168.1.103:1
       i2o flow: match: saddr 50.1.1.25 sport 1 daddr 192.168.1.103 dport 1 proto ICMP fib_idx 0 rewrite: saddr 192.168.1.204 daddr 192.168.1.103 icmp-id 49895 txfib 0
       o2i flow: match: saddr 192.168.1.103 sport 49895 daddr 192.168.1.204 dport 49895 proto ICMP fib_idx 0 rewrite: daddr 50.1.1.25 icmp-id 1 txfib 0
       index 8
       last heard 1323.26
       total pkts 6, total bytes 360
       dynamic translation

SNAT配置二

如果我们需要在上一节,port7->port8的SNAT基础上,再实现port8->port7的SNAT.尝试以下配置:

DBGvpp# nat44 add address 192.168.1.204-192.168.1.205 del
DBGvpp# 
DBGvpp# set interface nat44 in port8 out port7
DBGvpp# nat44 add interface address port7
DBGvpp#
DBGvpp# show nat44 addresses
NAT44 pool addresses:
192.168.1.203
  tenant VRF independent
50.1.1.1
  tenant VRF independent
NAT44 twice-nat pool addresses:
DBGvpp# 
DBGvpp# show nat44 interfaces
NAT44 interfaces:
 port8 in out
 port7 in out

这时由主机B运行ping主机A,两者是通的。在主机A上抓包,源地址192.168.1.103转换为了50.1.1.1(port7接口地址),SNAT转换正常。反过来主机A->ping->主机B,在主机B抓包,看到源地址50.1.1.2转换成了50.1.1.1,按照SNAT应该是出接口IP:192.168.1.203。查看NAT会话,两个方向应该是走了同一个会话。

DBGvpp# show nat44 sessions

    i2o 50.1.1.2 proto ICMP port 1 fib 0
    o2i 50.1.1.1 proto ICMP port 3449 fib 0
       external host 192.168.1.103:1
       i2o flow: match: saddr 50.1.1.2 sport 1 daddr 192.168.1.103 dport 1 proto ICMP fib_idx 0 rewrite: saddr 50.1.1.1 daddr 192.168.1.103 icmp-id 3449 txfib 0
       o2i flow: match: saddr 192.168.1.103 sport 3449 daddr 50.1.1.1 dport 3449 proto ICMP fib_idx 0 rewrite: daddr 50.1.1.2 icmp-id 1 txfib 0
       index 29
       last heard 8132.79
       total pkts 168, total bytes 10080
       dynamic translation

如下地址池中再增加一个地址,这时由主机A到主机B不通,在主机B上查看,源地址50.1.1.2转换成了192.168.1.204,但是不知道什么原因,地址池地址192.168.1.204不在回应ARP请求,导致ping回复报文不能发送。

在增加192.168.1.204地址之前,两者能通,在于主机A发送ping请求时,NAT选择了地址50.1.1.1,而此地址与主机B的地址192.168.1.103不在同一网段,不发送请求50.1.1.1硬件地址的ARP。

DBGvpp# nat44 add address 192.168.1.204
DBGvpp# show nat44 addresses
NAT44 pool addresses:
192.168.1.203
  tenant VRF independent
50.1.1.1
  tenant VRF independent
192.168.1.204
  tenant VRF independent
NAT44 twice-nat pool addresses:

可见,NAT在地址池中选取地址有随机性,地址的选择没有关联出接口,另外,也没有优先选择与目的地址同网段的地址。两边同时做SNAT看起来是不行的。

SNAT配置三

如下开启output-feature选项。

DBGvpp# set interface nat44 in port7
DBGvpp# set interface nat44 out port8 output-feature
DBGvpp# nat44 add interface address port8
DBGvpp#
DBGvpp# show nat44 interfaces
NAT44 interfaces:
 port7 in
 port8 output-feature in out
DBGvpp#
DBGvpp# show nat44 addresses
NAT44 pool addresses:
192.168.1.203
  tenant VRF independent
NAT44 twice-nat pool addresses:

在开启output-feature选项之后,在位于ip4-output的节点nat-pre-in2out-output之中执行in2out地址转换,其在ACL插件acl-plugin-out-ip4-fa之前运行,这里ACL的out策略需要根据变换之后的地址配置才能生效。

 163 VNET_FEATURE_INIT (nat_pre_in2out_output, static) = {
 164   .arc_name = "ip4-output",
 165   .node_name = "nat-pre-in2out-output",
 166   .runs_after = VNET_FEATURES ("ip4-sv-reassembly-output-feature"),
 167   .runs_before = VNET_FEATURES ("acl-plugin-out-ip4-fa"),
 168 };

对于未开启output-feature的情况,NAT转换都是在ip-unicast的node节点nat-pre-in2out和nat-pre-out2in中实现的。两者都位于ACL插件acl-plugin-in-ip4-fa之后,可见acl规则执行之后才进行地址变换。

  82 VNET_FEATURE_INIT (nat_pre_in2out, static) = {
  83   .arc_name = "ip4-unicast",
  84   .node_name = "nat-pre-in2out",
  85   .runs_after = VNET_FEATURES ("acl-plugin-in-ip4-fa",
  86                    "ip4-sv-reassembly-feature"),
  87 };
  88 VNET_FEATURE_INIT (nat_pre_out2in, static) = {
  89   .arc_name = "ip4-unicast",
  90   .node_name = "nat-pre-out2in",
  91   .runs_after = VNET_FEATURES ("acl-plugin-in-ip4-fa",
  92                                "ip4-dhcp-client-detect",
  93                    "ip4-sv-reassembly-feature"),
  94 };
redwingz
关注
专栏目录
FD.io/VPPNAT
烟云的计算
05-25 1559
目录 文章目录目录NATSNATDNAT NAT SNAT # 设置 SNAT 的 IP 地址nat44 add address <ip4-range-start> [- <ip4-range-end>] [tenant-vrf <vrf-id>] [twice-nat] [del] # EXAMPLE # 配置指定 VRF 的 SNAT IP 地址 nat44 add address 211.1.1.216 tenant-vrf 20001 # 使用指定接口作
Release notes for VPP 21.06
weixin_37097605的博客
07-14 664
Release notes for VPP 21.06本次发布比上次发布新增了787个提交,其中包括364个修复。发布亮点本次发布添加了许多新功能,在此特别介绍其中几个特色功能。Linux...
DPDK-VPP 学习笔记-05 NAT配置
奋斗中拥有
01-24 1588
DPDK-VPP 学习笔记-05 NAT配置 WAN: TenGigabitEthernet5/0/1 172.16.41.1 LAN: TenGigabitEthernet5/0/0 172.16.40.1 注: VPP v2101 版本NAT配置有差异; VPP Config LAN->NAT44->WAN vpp# show version vpp v20.05.1-release built by root on d17a60fbc087 at 2020-07-15T20:27:00
VPP NAT测试,不支持VLAN,在NAT下arp学习有问题,需要手动添加;直连接口ICMP不支持,
shaoyunzhe的专栏
07-20 2268
=================================                 CARRIER GRADE NAT - NAT44 README                 =================================   What is implemented: ==================== * NAT44 UDP, TCP,
vpp中做nat实验
choumin的专栏
11-25 2988
最近在熟悉 vpp 的各项功能,摆在眼前的第一个就是 nat,网上相关的资料还比较少。下面就整理一下目前所学到的,在 vpp 中进行 nat 实验的基本流程,还不完善,可能有理解上的错误,欢迎指正。 首先给出该 nat 实验的网络拓扑连接,下面的步骤稍微有点多,但目的是为了搭建这样的拓扑图。 基本流程: 1)在 host 中创建一对 veth 设备 vpp1outside 和 vpp1outsidehost $ ip link add name vpp1outside ...
vppnat44
opencv学习之霍夫变换检测同心圆
04-30 2019
Nat44 从18.07发布的NAT44代码已经被拆分为普通的NAT44和额外的特性NAT44端点依赖模式。NAT44端点依赖模式支持对某些特性需要的所有会话进行端点依赖的过滤和映射。一些现有功能,如服务负载平衡、两次nat、out2in-only静态映射、未知协议动态转换和带有动态转换的转发特性,现在仅在端点依赖模式下可用。端点依赖模式使用6元组(源IP地址、源端口、目标IP地址、目标端口、协议、FIB表索引)会话哈希表键,而不是4元组(源IP地址、源端口、协议、FIB表索引)。要启用NAT插件端点依赖模
vpp 源代码
04-25
vpp 官网源代码,从https://github.com/FDio/vpp 官网上下载的正版源代码,后续会持续更新,由于github上下载源代码特别的慢,所以传到csdn上方便大家
vppnat功能测试
qq_36849711的博客
07-14 1212
vppnat功能测试 设置网络地址 在运行vpp后,其会接管192.168.101.37和192.168.102.1的这两张网卡,再接管后这两张网卡是没有启动同时也没有ip地址,这里需要通过vpp的命令进行配置; set interface state GigabitEthernet2/1/0 up set interface ip address GigabitEthernet2/1/0 192.168.101.37/24 set interface state GigabitEthernet2/
snat.rar_JIRZ_SNAT实现方法_VQW_vpp feature snat
09-21
2. **会话跟踪**:为了正确地进行反向NAT,即从公网回源到私网,系统必须跟踪每个连接的源IP、目的IP、源端口和目的端口等信息,这通常通过会话表来实现。 3. **动态地址分配**:当内部用户发起对外连接时,SNAT...
TCP/IP 协议报文转发
qq_14957991的博客
09-02 3080
TCP/IP 协议报文转发 TCP/IP 协议简介 TCP/IP协议允许计算机、智能手机和嵌入式设备之间通信,并且可以兼容来自不同计算机生产商的设备和各种不同的软件。TCP/IP协议是一个开放的系统,协议族定义和许多实现是公开的,他是构成全球网络的基础。TCP/IP层协议采用四层结构,分别是应用层,传输层,网络层和链路层。如下图所示: TCP/IP 协议数据包转发 通过上图,我们可以看到,当我...
思科VPP介绍(包括性能数据).pdf
04-28
vpp相关介绍,可以更加全面了解VPP
FDIO VPP快速入门指导手册
08-07
Linux基金会FDIO的开源项目Cisco VPP的官方快速入门手册,纯净英文版本,非常适合VPP初学者快速上手VPP
vxlan转发原理
lingshengxiyou的博客
12-21 1533
openstack neutron组件也用到了vxlan,还有dvr,在云计算环境到底分布式网关好还是集中式网关好,vxlan对称还是非对称转发好,什么样的控制平面好,要对这些问题得出结论不管怎样先得深刻理解vxlan转发流程。
为何vxlan需要封装在UDP里而不是直接使用IP包封装?
lingshengxiyou的博客
11-07 2229
如果使用IP封装,VxLAN 协议头需要提供字段支持NAT,即使这样,还需要VxLAN端点之间路径上的NAT设备升级软件,这是吃力不讨好的方案。由于源端口号基于内层以太网头的HASH,不同的Source MAC/ Destination MAC对应不同的业务,会将不同的业务映射到不同的。看到另外两位同学的答案,UDP端口提供了更灵活的负载均衡的潜能,观点正确,算是使用UDP封装的一个原因,在这里我给大家分析一下。如果运营商不支持用户组播,则需要头端设备将用户的广播、组播,复制为多份进行单播传输,无状态的。
vpp作为路由器nat44测试
gbbfum的博客
12-05 3117
环境准备 Vpp接管2个网卡:GigabitEthernet3/0/0,GigabitEthernetb/0/0 GigabitEthernetb/0/0地址配置: set interface ip address GigabitEthernetb/0/0 192.168.1.1/24 GigabitEthernet3/0/0地址配置: set interface ip address ...
VPP命令获取NAT日志
qq_42718649的博客
10-14 295
此项目基于VPP小型操作系统的NAT日志获取,并发送至服务器。
VPP添加nat测试-通过vpp中的nat使主机访问外网
weixin_42141525的博客
02-10 1543
1.连接 2.nat配置命令 [1]添加nat44地址nat44 add address : ip地址 nat44 add int address :接口名称 [2]将NAT44用作本地网络接口和外部网络接口的接口输出功能 set interface nat44 in out :接口名称 3.访问外网过程 [1]配置vpp接口ip GigabitEthernet6/0/0接口连接外网 [2]配置连接外网的默认路由 测试vpp能够ping通百度 [3]配置nat [4]设置接口的状态为u
cisco vpp NAT VLAN支持
zqt520的专栏
12-29 823
What is implemented: ==================== * NAT44 UDP, TCP, ICMP protocols * Show and config commands for various parameters for the same * NF9 logging is implemented but is not tested   What is
VPP配置指南:NAT“三板斧”
最新发布
衡水铁头哥的博客
01-04 1565
正文共:1024 字 15 图,预估阅读时间:1 分钟前面我们介绍过VSR的NAT配置(地址重叠时,用户如何通过NAT访问对端IP网络?地址重叠的时候怎么使用NAT解决访问问题,看这里),可以说是很简单的操作了。那VPPNAT该如何配置呢?我们今天就用一个简易环境来简单介绍一下。设备组网如下图所示:我们首先配置好设备互联,VPP72的接口配置如下:vppctl set int state eth...
vpp由源ip地址找到报文入接口
06-07
vpp中,从源IP地址找到报文入接口的过程如下: 1. 首先,数据包会经过输入接口模块进行接收,并且会被解析和分类。在这个过程中,vpp会把数据包的源IP地址提取出来。 2. 接着,数据包会被传递到路由模块进行路由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值