NAT ON STICK

La técnica de Nat on Stick consiste en combinar policy-map y NAT con la finalidad de enviar y recibir datos de diferente segmento por la misma interface, a decir de la documentación oficial de CISCO son pocas las ocasiones en que se utiliza esta técnica en la imagen 1 tenemos el caso básico en el cual aplica y sirve para entender el funcionamiento, en este caso los paquetes entrantes a R1 que procedan la dirección ip 192.168.1.2 serán siempre redirecciovados a la interface Loopback 0 y se hará NAT.

Para comprender como son tratados los paquete habilitamos los debug:
debug ip policy
debug ip nat

En la prueba inicial el R2 manda un traceroute a una ip fuera de su red en este caso 8.8.8.8

R2#traceroute 8.8.8.8

Type escape sequence to abort.

Tracing the route to 8.8.8.8

  1 192.168.1.1 40 msec 40 msec 48 msec

  2 2.2.2.2 !H  !H  * 

Y el debug muestra que se aplica el policy route-map y el NAT correctamente obviamente no encontramos el destino.

*Dec 27 11:41:20.931: IP: s=192.168.1.2 (FastEthernet0/0), d=8.8.8.8, len 28, policy match

*Dec 27 11:41:20.931: IP: route map LOOP, item 10, permit

*Dec 27 11:41:20.931: IP: s=192.168.1.2 (FastEthernet0/0), d=8.8.8.8 (Loopback0), len 28, policy routed

*Dec 27 11:41:20.935: IP: FastEthernet0/0 to Loopback0 0.0.130.158

*Dec 27 11:41:20.935: NAT: s=192.168.1.2->2.2.2.2, d=8.8.8.8 [298]

*Dec 27 11:41:20.939: NAT: s=2.2.2.2, d=2.2.2.2->192.168.1.2 [64]

Vemos el que el fue NAT aplicado correctamente.

R1#show ip nat translations 

Pro Inside global      Inside local       Outside local      Outside global

udp 2.2.2.2:49211      192.168.1.2:49211  8.8.8.8:33437      8.8.8.8:33437

udp 2.2.2.2:49212      192.168.1.2:49212  8.8.8.8:33438      8.8.8.8:33438

Hasta este punto la configuración es la siguiente

R1:
interface Loopback0
 description LOOP
 ip address 2.2.2.2 255.255.255.255
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet0/0
 description TO_R2
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map LOOP
 duplex auto
 speed auto
!
ip nat inside source list 1 interface Loopback0 overload
access-list 101 permit ip any any

!

access-list 1 permit 192.168.1.2
route-map LOOP permit 10
 match ip address 101
 set interface Loopback0

R2:
interface FastEthernet0/0
 description TO_R1
 ip address 192.168.1.2 255.255.255.0
 duplex auto
 speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1

En la Figura 2 tenemos un esquema de interconexión en el cual tenemos los host con IP 10.10.10.10/24 y 20.20.20.20/24 los cuales se deben interconectar pero deseamos enmascarar la IP 20.20.20.20 > 1.1.1.1 para lo caul requerimos crear un route-map y hacer un nat hacia la loopback 0

Figura 2

La prueba es desde el host con ip 10.10.10.10 y hacia el host 20.20.20.20

ping  20.20.20.20

PING 20.20.20.20 (20.20.20.20): 56 data bytes

64 bytes from 1.1.1.1: icmp_seq=0 ttl=127 time=2.980 ms

64 bytes from 1.1.1.1: icmp_seq=1 ttl=127 time=3.049 ms

64 bytes from 1.1.1.1: icmp_seq=2 ttl=127 time=2.832 ms

64 bytes from 1.1.1.1: icmp_seq=3 ttl=127 time=2.933 ms

64 bytes from 1.1.1.1: icmp_seq=4 ttl=127 time=2.696 ms

^C

--- 20.20.20.20 ping statistics ---

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 2.696/2.898/3.049/0.123 ms

La translación es la siguiente

Pro Inside global      Inside local       Outside local      Outside global
icmp 1.1.1.1:1         20.20.20.20:1      10.10.10.10:1      10.10.10.10:1

La configuración del router es la siguiente:

interface Loopback0
 description LOOP
 ip address 1.1.1.1 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
!
interface FastEthernet0/0
 description TO_LAN
 ip address 20.20.20.1 255.255.255.0 secondary
 ip address 10.10.10.1 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 ip policy route-map LOOP
 duplex auto
 speed auto
!
ip nat inside source list 2 interface Loopback0 overload
!
access-list 2 permit 20.20.20.20
access-list 101 permit ip any any
!
route-map LOOP permit 10
 match ip address 101
 set interface Loopback0