Сегодня настроим для нашей многосайдовой топологии, которую мы разбирали тут: https://dzen.ru/a/Y8_14bYdmWiP7w3k?share_to=link доступ в Интернет. И сделаем это с помощью L3VPN VRF-Aware NAT.
В данном подходе мы будет натить все запросы со всех сайдов через один ISP AS 65220, а именно на ASBR(R15).
Для того что бы это заработало, нам нужно на ASBR(R15) поднять eBGP ipv4 u пиринг c Internet'ом, создать дефолтный маршрут внутри VRF, и заанонсить его на все наши CE(R17-R20).
После того как маршруты будут получены организуем доступ в интернет, выделим пул публичных адресов для Клиента SKY, настроим правило нат, для трансляции интерфейсов Lo0 всех CE(R17-R20) в публичный пул. Определим интерфейсы nat inside/outside на ASBR, и проверим результат.
Приступим:
1. На ASBR(R15) поднимаем eBGP ipv4 unicast пиринг. (185.123.123.0/30)
2. Т.к. в нашей прошлой лабе ASBR(R15) не был PE, то на нём нужно создать vrf SKY (скопируем настройки с R13).
3. Анонсим дефолт внутрь vrf SKY.
-ip route vrf SKY 0.0.0.0 0.0.0.0 185.34.56.2 global
-AF ipv4 vrf SKY redistribute static
-AF ipv4 vrf SKY default-information originate
Проверяем что дефолт пришёл на CE(R17):
4. Создаём NAT pool для выхода в Интернет для нашего Клиента. (123.123.123.0/25)
5. Определяем интерфейсы как nat insie/outside.
6. Создаём нат правило для трансляции int Lo0 всех сайдов в IP пул.
7. Анонсим наш публичный пул в Интернет.
Проверяем результат.
Для проверки со стороны "Интернета" (R222) создадим интерфейс Lo0 222.222.222.222/32 и отдадим его нам по eBGP.
Так же проверим что есть наш анонс публичного пула:
Пинг и трассировка с CE(R17) успешные.
Похоже что работает.
Единственное думаю стоит разобраться с ненужными анонсами в сторону Интернета наших лупбэков опорной сети, которыми мы обменивались для option C в прошлой лабе.
Сделаем это с помощью prefix-list, разрешим анонс только нашего пула.
Данное решение хорошо тем, что в оно достаточно масштабируемо, нужно лишь что бы ASBR знал о всех vrf.