La técnica de Nat on Stick consiste en combinar policy-map y NAT con la finalidad de enviar y recibir datos de diferente segmento por la misma interface, a decir de la documentación oficial de CISCO son pocas las ocasiones en que se utiliza esta técnica en la imagen 1 tenemos el caso básico en el cual aplica y sirve para entender el funcionamiento, en este caso los paquetes entrantes a R1 que procedan la dirección ip 192.168.1.2 serán siempre redirecciovados a la interface Loopback 0 y se hará NAT.
Para comprender como son tratados los paquete habilitamos los debug:
debug ip policy
debug ip nat
En la prueba inicial el R2 manda un traceroute a una ip fuera de su red en este caso 8.8.8.8
R2#traceroute 8.8.8.8
Type escape sequence to abort.
Tracing the route to 8.8.8.8
1 192.168.1.1 40 msec 40 msec 48 msec
2 2.2.2.2 !H !H *
Y el debug muestra que se aplica el policy route-map y el NAT correctamente obviamente no encontramos el destino.
*Dec 27 11:41:20.931: IP: s=192.168.1.2 (FastEthernet0/0), d=8.8.8.8, len 28, policy match
*Dec 27 11:41:20.931: IP: route map LOOP, item 10, permit
*Dec 27 11:41:20.931: IP: s=192.168.1.2 (FastEthernet0/0), d=8.8.8.8 (Loopback0), len 28, policy routed
*Dec 27 11:41:20.935: IP: FastEthernet0/0 to Loopback0 0.0.130.158
*Dec 27 11:41:20.935: NAT: s=192.168.1.2->2.2.2.2, d=8.8.8.8 [298]
*Dec 27 11:41:20.939: NAT: s=2.2.2.2, d=2.2.2.2->192.168.1.2 [64]
Vemos el que el fue NAT aplicado correctamente.
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
udp 2.2.2.2:49211 192.168.1.2:49211 8.8.8.8:33437 8.8.8.8:33437
udp 2.2.2.2:49212 192.168.1.2:49212 8.8.8.8:33438 8.8.8.8:33438
Hasta este punto la configuración es la siguiente
R1:
interface Loopback0
description LOOP
ip address 2.2.2.2 255.255.255.255
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/0
description TO_R2
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map LOOP
duplex auto
speed auto
!
ip nat inside source list 1 interface Loopback0 overload
access-list 101 permit ip any any
!
access-list 1 permit 192.168.1.2route-map LOOP permit 10
match ip address 101
set interface Loopback0
R2:
interface FastEthernet0/0
description TO_R1
ip address 192.168.1.2 255.255.255.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
En la Figura 2 tenemos un esquema de interconexión en el cual tenemos los host con IP 10.10.10.10/24 y 20.20.20.20/24 los cuales se deben interconectar pero deseamos enmascarar la IP 20.20.20.20 > 1.1.1.1 para lo caul requerimos crear un route-map y hacer un nat hacia la loopback 0
Figura 2
La prueba es desde el host con ip 10.10.10.10 y hacia el host 20.20.20.20
ping 20.20.20.20
PING 20.20.20.20 (20.20.20.20): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=127 time=2.980 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=127 time=3.049 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=127 time=2.832 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=127 time=2.933 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=127 time=2.696 ms
^C
--- 20.20.20.20 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 2.696/2.898/3.049/0.123 ms
La translación es la siguiente
Pro Inside global Inside local Outside local Outside global
icmp 1.1.1.1:1 20.20.20.20:1 10.10.10.10:1 10.10.10.10:1
La configuración del router es la siguiente:
interface Loopback0
description LOOP
ip address 1.1.1.1 255.255.255.252
ip nat outside
ip virtual-reassembly in
!
interface FastEthernet0/0
description TO_LAN
ip address 20.20.20.1 255.255.255.0 secondary
ip address 10.10.10.1 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
ip policy route-map LOOP
duplex auto
speed auto
!
ip nat inside source list 2 interface Loopback0 overload
!
access-list 2 permit 20.20.20.20
access-list 101 permit ip any any
!
route-map LOOP permit 10
match ip address 101
set interface Loopback0
Comentarios
Publicar un comentario