Hola,
Hoy me gustaría mostrarles cómo implementar NAT Hairpin en routers Huawei.
¿Qué es NAT Hairpin?
Es un tipo especial de NAT que regresa el flujo entrante de tráfico a través de la misma interfaz hacia una dirección IP externa. Básicamente combina dos tipos de NAT:
NAT server + NAT saliente.
A continuación una imagen que habla por sí misma:
¿Cuál es el propósito de NAT Hairpin?
Es útil para escenarios con un solo enlace donde no hay usuarios conectados a la LAN. Podemos utilizar este NAT especial para probar el ancho de banda (Speed Test) sin un host detrás del CPE
¿Cómo llevarlo a cabo?
Consideraremos la nomenclatura de la topología de arriba.
Configuración
AR1:
#
acl number 3000
rule 5 permit ip
#
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
nat server global current-interface inside 12.1.1.2 \\ Flujo entrante
nat outbound 3000 \\Redirección a una dirección IP externa
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
----------------------------------------------------------------------
AR2:
#
interface Vlanif10
ip address 11.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 12.1.1.1 255.255.255.0
#
interface Ethernet0/0/0
undo portswitch
ip address 10.1.1.2 255.255.255.0
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
#
interface Ethernet0/0/7
port link-type access
port default vlan 10
#
ip route-static 10.1.1.0 255.255.255.0 10.1.1.1
ip route-static 11.1.1.0 255.255.255.0 11.1.1.2
ip route-static 12.1.1.0 255.255.255.0 12.1.1.2
#
--------------------------------------------------------------
AR3:
#
interface Ethernet0/0/0
undo portswitch
ip address 12.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 12.1.1.1
Resultados:
1. Después de hacer ping desde el host hacia 10.1.1.1 (Dirección IP de la interfaz WAN del AR1), el AR1 generará la siguiente tabla de sesión de NAT. Verificar las nuevas direcciones IP origen y destino
[AR1]dis nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 11.1.1.2
DestAddr Vpn : 10.1.1.1
Type Code IcmpId : 8 0 1
NAT-Info
New SrcAddr : 10.1.1.1
New DestAddr : 12.1.1.2
New IcmpId : 10242
Total : 1
2. Vemos paquetes ICMP llegando al AR3 después de hacer ping a la WAN de AR1 desde el host. AR3 contesta los paquetes ICMP Request:
<Huawei>
Aug 5 2014 11:14:42.130.1+00:00 Huawei IP/7/debug_icmp:
ICMP Receive: echo(Type=8, Code=0), Src = 10.1.1.1, Dst = 12.1.1.2, ICMP Id = 0x
2802, ICMP Seq = 125
<Huawei>
Aug 5 2014 11:14:42.130.2+00:00 Huawei IP/7/debug_icmp:
ICMP Send: echo-reply(Type=0, Code=0), Src = 12.1.1.2, Dst = 10.1.1.1, ICMP Id =
0x2802, ICMP Seq = 125
<Huawei>
Aug 5 2014 11:14:43.130.1+00:00 Huawei IP/7/debug_icmp:
ICMP Receive: echo(Type=8, Code=0), Src = 10.1.1.1, Dst = 12.1.1.2, ICMP Id = 0x
2802, ICMP Seq = 126
<Huawei>
Aug 5 2014 11:14:43.130.2+00:00 Huawei IP/7/debug_icmp:
ICMP Send: echo-reply(Type=0, Code=0), Src = 12.1.1.2, Dst = 10.1.1.1, ICMP Id =
0x2802, ICMP Seq = 126
Espero hayan disfrutado leer este caso.
Pueden encontrar más casos visitando nuestro portal de documentación, AQUÍ.