O entendimento dessa técnica exige o conhecimento básico de NAT (Network Address Translation) ou tradução de endereços de rede, e PBR (Policy Based Routing) que consiste no roteamento de pacotes baseado em fatores diferentes do endereço (camada 3, IP) de destino.
NAT
How NAT Works* [IP Addressing Services] - Cisco Systems
PBR
Understanding Policy Routing - Cisco Systems
NAT é feito utilizando pelo menos duas interfaces:
uma interface de entrada (nat inside) e uma interface de saída (nat outside).
Um NAT (ipv4) básico consiste em se traduzir o endereço IP de origem de um pacote por um outro endereço IP. (Existem muitas variações de NAT: policy nat, outside nat, nat estático, etc)
Agora imaginem a situação (ver a figura abaixo) onde temos um roteador (R1) com apenas 1 interface física (e0/0) e ainda assim precisamos realizar um NAT para que os clientes da LAN 192.168.2.0 possam acessar a Internet pelo provedor (roteador R2). Vamos dizer que isso ocorreu porque o roteador do provedor não estava configurado para realizar NAT para o cliente. Podemos resolver esse problema utilizando a técnica de Nat on a stick.
O objetivo, aqui, é traduzir o endereço de origem 192.168.2.1 por um outro endereço (no caso 200.10.10.10) quando o PC acessar algum endereço externo (no caso 66.66.66.66).
Como o roteador tem apenas 1 interface, precisamos, dar um jeito de criar outra interface que será usada como saída (nat outside), e para isso usamos uma interface virtual:
interface loopback.
As configurações do NAT (overload = PAT) não mudam em relação a um NAT básico.
interface Loopback0
ip add 192.168.4.1 255.255.255.255
ip nat outside
interface Ethernet0/0
ip ad 192.168.2.1 255.255.255.0
ip nat inside
ip nat pool nat_pool 200.10.10.10 200.10.10.10 netmask 255.255.255.0
ip nat inside source list 1 pool nat_pool overload
!
access-list 1 permit 192.168.2.0 0.0.0.255
route-map rm_pbr permit 10
match ip address 1
set ip next-hop 192.168.4.1
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip policy route-map rm_pbr
Esta imagem foi redimensionada. Clique na barra para ver a imagem em tamanho real. O tamanho da imagem original é 688x344. |
Técnicas como essa, utilizando uma interface loopback e PBR, são vistas em algumas outras situações, como por exemplo no uso de ACL reflexivas, onde desejamos fazer com que os pacotes gerados no próprio roteador sejam "sujeitos" processados por essas access-lists. Mas, isso fica pra um outro post.
Artigo original em: http://under-linux.org/b571-nat-com-1-unica-interface-fisica-nat-stick