An easy way of identifying traffic through several NAT translations.

Objetivo: utilizar el marcado de paquetes en el campo dscp y su posterior macheo con ACLs para identificar cierto tráfico en el extremo de una conexión que cruza por varios procesos NAT.

Topología y configuración:

El router Border hace la traducción de la red 10. a la red 192.
Esta configuración le pone marca af13 solamente a los paquetes de la PC1 que eventualmente serán nateados cuando vayan a la red externa 192.168.1.2.
En el router Outside se colocó una acl que machea todos los paquetes que tienen marca dscp af13, en este caso ayuda a identificar dentro de todo el tráfico nateado, cuál corresponde a la PC1.

Comprobación:

Internet#sh ip access-lists
Extended IP access list match
10 permit ip any any dscp af13 log (135 matches)
20 permit ip any any

PC1#ping 192.168.1.2 repeat 20
Type escape sequence to abort.
Sending 20, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (20/20), round-trip min/avg/max = 92/125/260 ms

Internet#sh ip access-lists
Extended IP access list match
10 permit ip any any dscp af13 log (155 matches)
20 permit ip any any

Cómo PC2 no es marcado, no aumenta el contado de la sentencia 10 de la acl.

PC2#ping 192.168.1.2 repeat 20
Type escape sequence to abort.
Sending 20, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (20/20), round-trip min/avg/max = 92/164/1144 ms

Internet#sh ip access-lists
Extended IP access list match
10 permit ip any any dscp af13 log (155 matches)
20 permit ip any any (20 matches)

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s