Bonjour les gars,
Aujourd'hui, j'aimerais vous montrer comment mettre en œuvre un hairpin de NAT avec les routeurs Huawei.
C'est quoi hairpin de NAT?
C'est un type particulier de NAT qui renvoie le flux entrant à nouveau via la même interface à une adresse IP externe. Fondamentalement combine deux types de nat courants:
Serveur NAT + NAT sortant.
L'image ci-dessous parle d'elle-même:
Quel est le but de hairpin de NAT?
Est utile pour un scénario de branche à liaison unique quand aucun utilisateur n'est connecté au réseau local. Nous pouvons utiliser ce NAT spécial pour tester les capacités de bande passante (test de vitesse) sans hôte derrière le CPE de branche.
Comment faire?
Nous considérerons ci-dessus la dénomination de la topologie.
Configuration
AR1:
#
acl number 3000
rule 5 permit ip
#
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
nat server global current-interface inside 12.1.1.2 \\ process inbound flow
nat outbound 3000 \\redirect to an external ip address
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
----------------------------------------------------------------------
AR2:
#
interface Vlanif10
ip address 11.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 12.1.1.1 255.255.255.0
#
interface Ethernet0/0/0
undo portswitch
ip address 10.1.1.2 255.255.255.0
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
#
interface Ethernet0/0/7
port link-type access
port default vlan 10
#
ip route-static 10.1.1.0 255.255.255.0 10.1.1.1
ip route-static 11.1.1.0 255.255.255.0 11.1.1.2
ip route-static 12.1.1.0 255.255.255.0 12.1.1.2
#
--------------------------------------------------------------
AR3:
#
interface Ethernet0/0/0
undo portswitch
ip address 12.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 12.1.1.1
Résultats:
1.
Après l'envoi d'une requête ping de l'hôte à la version 10.1.1.1 (adresse IP de l'interface de réseau étendu AR1), l'AR1 générera le tableau de session natif ci-dessous. Reportez-vous à la nouvelle adresse IP source et de destination:
[AR1]dis nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 11.1.1.2
DestAddr Vpn : 10.1.1.1
Type Code IcmpId : 8 0 1
NAT-Info
New SrcAddr : 10.1.1.1
New DestAddr : 12.1.1.2
New IcmpId : 10242
Total : 1
2.
Nous voyons les données ICMP arriver sur AR3 après avoir démarré le ping AR1 WAN à partir de l'hôte.
AR3 rejoue la demande icmp:
<Huawei>
Aug 5 2014 11:14:42.130.1+00:00 Huawei IP/7/debug_icmp:
ICMP Receive: echo(Type=8, Code=0), Src = 10.1.1.1, Dst = 12.1.1.2, ICMP Id = 0x
2802, ICMP Seq = 125
<Huawei>
Aug 5 2014 11:14:42.130.2+00:00 Huawei IP/7/debug_icmp:
ICMP Send: echo-reply(Type=0, Code=0), Src = 12.1.1.2, Dst = 10.1.1.1, ICMP Id =
0x2802, ICMP Seq = 125
<Huawei>
Aug 5 2014 11:14:43.130.1+00:00 Huawei IP/7/debug_icmp:
ICMP Receive: echo(Type=8, Code=0), Src = 10.1.1.1, Dst = 12.1.1.2, ICMP Id = 0x
2802, ICMP Seq = 126
<Huawei>
Aug 5 2014 11:14:43.130.2+00:00 Huawei IP/7/debug_icmp:
ICMP Send: echo-reply(Type=0, Code=0), Src = 12.1.1.2, Dst = 10.1.1.1, ICMP Id =
0x2802, ICMP Seq = 126J'espère que vous apprécierez la lecture de ce cas!
Vous pouvez en savoir plus en visitant notre portail de documentation, ICI.