Natpat

TOPICOS DE REDES II TOPICOS DE REDES II

PONTIFICIA UNIVERSIDAD CATOLICA DE PONTIFICIA UNIVERSIDAD CATOLICA DE VALPARAISO VALPARAISO

ESCUELA DE INGENIERIA ELECTRICAESCUELA DE INGENIERIA ELECTRICA

INGENIERIA CIVIL ELECTRONICA INGENIERIA CIVIL ELECTRONICA

PROFESOR: FRANCISCO ALONSO V. PROFESOR: FRANCISCO ALONSO V.

VALPARAISO, 2007VALPARAISO, 2007

NAT - PAT NAT - PAT

TÓPICOS DE REDES 2 (2007)TÓPICOS DE REDES 2 (2007)

NAT (NETWORK ADDRESS NAT (NETWORK ADDRESS TRANSLATION) TRANSLATION)

• Traducción de dirección de red (NAT). Traducción de dirección de red (NAT).

• Definido en RFC 1631. Definido en RFC 1631.

• Mecanismo para conservar direcciones IP registradas (públicas) en redes amplias Mecanismo para conservar direcciones IP registradas (públicas) en redes amplias y simplificar cuestiones acerca del direccionamiento IP. y simplificar cuestiones acerca del direccionamiento IP.

Primeros años de la Internetworking ( 3 categorías de hosts dentro de una Primeros años de la Internetworking ( 3 categorías de hosts dentro de una organización).organización).

1.- Sin comunicación fuera de la organización. 1.- Sin comunicación fuera de la organización.

2.- Sin comunicación fuera de la organización (excepto para servicios especiales). 2.- Sin comunicación fuera de la organización (excepto para servicios especiales).

3.- La mayoría de la comunicación fuera de la organización. 3.- La mayoría de la comunicación fuera de la organización.


DIRECCIONAMIENTO PRIVADO DIRECCIONAMIENTO PRIVADO

• Definido en RFC 1918. Definido en RFC 1918.

• Se asignan 3 bloques de direcciones privadas IP. Estas son: Se asignan 3 bloques de direcciones privadas IP. Estas son:

• Sólo uso en redes internas (privadas). Sólo uso en redes internas (privadas).

• Direcciones de Internet Públicas, deben ser registradas por una compañía con Direcciones de Internet Públicas, deben ser registradas por una compañía con autoridad en Internet (ARIN, RIPE). Pueden ser arrendadas por un proveedor autoridad en Internet (ARIN, RIPE). Pueden ser arrendadas por un proveedor de servicios (ISP). de servicios (ISP).

• Un router de borde nunca debe rutear direcciones privadas . Un router de borde nunca debe rutear direcciones privadas . TÓPICOS DE REDES 2 (2007)TÓPICOS DE REDES 2 (2007)

• Diseñado para conservar direcciones IP y permitir que las redes utilicen direcciones Diseñado para conservar direcciones IP y permitir que las redes utilicen direcciones IP privadas en redes internas. IP privadas en redes internas.

• Las direcciones internas, privadas, son traducidas a direcciones públicas, ruteables. Las direcciones internas, privadas, son traducidas a direcciones públicas, ruteables.

• Incrementa la privacidad de la red escondiendo las direcciones IP internas. Incrementa la privacidad de la red escondiendo las direcciones IP internas.

• Dispositivo NAT generalmente opera en el borde de una red Dispositivo NAT generalmente opera en el borde de una red “stub”“stub” (red que tiene (red que tiene una sola conexión a la red vecina). una sola conexión a la red vecina).



• El router de borde (gateway) realiza el proceso NAT, traduciendo la dirección El router de borde (gateway) realiza el proceso NAT, traduciendo la dirección privada de un host a una dirección pública externa y ruteable.privada de un host a una dirección pública externa y ruteable.

• En la terminología NAT, la red interna es el conjunto de redes que están sujetas En la terminología NAT, la red interna es el conjunto de redes que están sujetas a traducción. Las red externa se refiere a todas las demás direcciones. a traducción. Las red externa se refiere a todas las demás direcciones.



Cisco define los siguientes términos NAT: Cisco define los siguientes términos NAT:

• Dirección Local Interna (“Inside Local Address”):Dirección Local Interna (“Inside Local Address”): La dirección IP asignada a La dirección IP asignada a un host en la red interna. un host en la red interna.

• Dirección Global Interna (“Inside Global Address”):Dirección Global Interna (“Inside Global Address”): La dirección IP legítima La dirección IP legítima asignada por el NIC o el ISP. Representa una o más direcciones IP locales internas.asignada por el NIC o el ISP. Representa una o más direcciones IP locales internas.

• Dirección Local Externa (“Outside Local Address”):Dirección Local Externa (“Outside Local Address”): La dirección IP de un host La dirección IP de un host externo, vista por el/los hosts internos. externo, vista por el/los hosts internos.

• Dirección Global Externa (“Outside Global Address”):Dirección Global Externa (“Outside Global Address”): La dirección IP de un La dirección IP de un host externo. El dueño del host asigna esta dirección. host externo. El dueño del host asigna esta dirección.



NAT (NETWORK ADDRESS NAT (NETWORK ADDRESS TRANSLATION). EJEMPLO.TRANSLATION). EJEMPLO.


NAT (NETWORK ADDRESS NAT (NETWORK ADDRESS TRANSLATION). EJERCICIO.TRANSLATION). EJERCICIO.

Escriba la dirección IP correcta en la tabla de traducción NAT. Los hosts A y B (ambos) Escriba la dirección IP correcta en la tabla de traducción NAT. Los hosts A y B (ambos) están comunicándose con el servidor WWW. El Router –A se encuentra usando NATestán comunicándose con el servidor WWW. El Router –A se encuentra usando NATdinámico con una piscina de direcciones asignadas por el ISP. dinámico con una piscina de direcciones asignadas por el ISP.


CARACTERISTICAS DE NAT Y PATCARACTERISTICAS DE NAT Y PAT

• La traducción NAT puede ser dinámica o estática.La traducción NAT puede ser dinámica o estática.

• NAT estáticoNAT estático está diseñado para permitir mapeo uno-a-uno de direcciones locales está diseñado para permitir mapeo uno-a-uno de direcciones locales con globales (útil para los hosts que se deben acceder desde Internet [servidores con globales (útil para los hosts que se deben acceder desde Internet [servidores y dispositivos de red]). y dispositivos de red]).

• NAT dinámicoNAT dinámico se diseñó para mapear una dirección IP privada a una dirección se diseñó para mapear una dirección IP privada a una dirección pública. Cualquier dirección IP de una piscina de direcciones IP públicas puede pública. Cualquier dirección IP de una piscina de direcciones IP públicas puede ser asignada a un host interno. ser asignada a un host interno.

• PAT o sobrecargaPAT o sobrecarga (“overloading”), permite mapear múltiples direcciones IP privadas (“overloading”), permite mapear múltiples direcciones IP privadasa una sola dirección IP pública. (Cada dirección privada es trazada por un número a una sola dirección IP pública. (Cada dirección privada es trazada por un número de puerto). de puerto).


CARACTERISTICAS DE NAT Y PATCARACTERISTICAS DE NAT Y PAT

• PAT ocupa número de puerto origen en la dirección IP global interna para distinguir PAT ocupa número de puerto origen en la dirección IP global interna para distinguir entre traducciones. Está codificado en 16 bits, permitiendo “teóricamente” 65,536 entre traducciones. Está codificado en 16 bits, permitiendo “teóricamente” 65,536 direcciones IP privadas por una pública (realidad 4000). direcciones IP privadas por una pública (realidad 4000).


BENEFICIOS DE NAT BENEFICIOS DE NAT

• Elimina la reasignación de una nueva dirección IP en cada host cuando se cambia de Elimina la reasignación de una nueva dirección IP en cada host cuando se cambia de ISP. Elimina la necesidad de redireccionar todos los hosts que requieren acceso ISP. Elimina la necesidad de redireccionar todos los hosts que requieren acceso externo, ganando tiempo y dinero. externo, ganando tiempo y dinero.

• Conserva direcciones públicas IP. Con PAT, los hosts internos pueden compartir unaConserva direcciones públicas IP. Con PAT, los hosts internos pueden compartir unasola dirección IP pública para todas las comunicaciones al exterior. sola dirección IP pública para todas las comunicaciones al exterior.

• Protege y otorga seguridad a la red. Debido a que las redes privadas no anuncian sus Protege y otorga seguridad a la red. Debido a que las redes privadas no anuncian sus direcciones y la topología interna. direcciones y la topología interna.


PAT (PORT ADDRESS PAT (PORT ADDRESS TRANSLATION). EJERCICIO.TRANSLATION). EJERCICIO.

Escriba la combinación dirección/puerto correcta en la tabla de traducción NAT. Escriba la combinación dirección/puerto correcta en la tabla de traducción NAT. Los hosts A y B (ambos) están comunicándose con el servidor WWW. El Router –A Los hosts A y B (ambos) están comunicándose con el servidor WWW. El Router –A se encuentra usando PAT a través de la dirección IP de la interfaz serial. se encuentra usando PAT a través de la dirección IP de la interfaz serial.


CONFIGURACION NATCONFIGURACION NATTRADUCCION ESTATICATRADUCCION ESTATICA

Marcar la interfaz como conectada al exterior. Router(config-if)#ip nat outside

5

Especificar la interfaz externa.Router(config-if)#interface type number

4

Marcar la interfaz como conectada al interior.Router(config-if)#ip nat inside

3

Ingresar el comando interface. El CLI prompt cambia de (config)# a (config-if)#

Especificar la interfaz interna. Router(config)# interface type number

2

Ingresar el comando global no ip nat inside source static para remover la traducción estática de origen.

Establecer traducción estática entre una dirección local interna y una dirección global interna. Router(config)# ip nat inside source static local-ip global-ip

1

Notas AcciónPaso

Las traducciones estáticas son ingresadas directamente en la configuración y se encuentran siempre en la tabla de traducción. TÓPICOS DE REDES 2 (2007)TÓPICOS DE REDES 2 (2007)

CONFIGURACION NATCONFIGURACION NATTRADUCCION ESTATICA TRADUCCION ESTATICA

• Una interfaz en un router puede ser definida como interna o externa.Una interfaz en un router puede ser definida como interna o externa.

• Las traducciones ocurren entre interfaces interiores y exteriores.Las traducciones ocurren entre interfaces interiores y exteriores.


CONFIGURACION NAT Y PATCONFIGURACION NAT Y PATEJEMPLO TRADUCCION ESTATICA EJEMPLO TRADUCCION ESTATICA


CONFIGURACION NAT CONFIGURACION NAT TRADUCCION DINAMICA TRADUCCION DINAMICA


Especificar la interfaz internaRouter(config-if)#interface type number

4

Ingresar el comando global no ip nat inside source para remover la traducción dinámica de origen.

Establecer traducción dinámica de origen especificando la lista de acceso definida en el paso anterior.Router(config)#ip nat inside source list access-list-number pool name

3

Ingresar el comando global no access-list access-list-number para remover la lista de acceso.

Definir una lista de control de acceso estándar permitiendo aquellas direcciones que serán traducidas. Router(config)#access-list access-list-number permit source [source-wildcard]

2

Ingresar el comando global no ip nat pool para remover la piscina de direcciones globales.

Definir una piscina de direcciones globales necesarias. Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}

1

Notas AcciónPaso


CONFIGURACION NATCONFIGURACION NATTRADUCCION DINAMICA TRADUCCION DINAMICA

Marcar la interfaz conectada al exterior. Router(config-if)# ip nat outside

7

Especificar la interfaz externa.Router(config-if)#interface type number

6

Marcar la interfaz como conectada al interior. Router(config-if)# ip nat inside

5

Notas AcciónPaso

• La lista de acceso es usada por NAT para seleccionar direcciones para latraducción dinámica.

• Traducción dinámica utiliza las direcciones permitidas por la lista de accesoa ser traducida.


CONFIGURACION NATCONFIGURACION NATEJEMPLO TRADUCCION EJEMPLO TRADUCCION DINAMICA DINAMICA


CONFIGURACION PAT CONFIGURACION PAT

Especificar la dirección global, como una piscina, que será usada para “overloading”. Router(config)#ip nat pool name ip-address {netmask netmask | prefix-length prefix-length}Establecer traducción overload.Router(config)#ip nat inside source list acl-number pool name overload

3

Ingresar el comando global no ip nat inside source para remover la traducción dinámica de origen. La palabra clave overload habilita PAT.

Establecer traducción dinámica de origen, especificando la lista de acceso definida en el paso anterior. Router(config)#ip nat inside source list acl- number interface interface overload

2

Ingresar el comando global no access-list access-list-number para remover la lista de acceso.

Definir una lista de acceso permitiendo aquellas direcciones que serán traducidas. Router(config)#access-list acl-number permit source [source-wildcard]

1

Notas AcciónPaso


CONFIGURACION PAT CONFIGURACION PAT

Especificar la interfaz externa.Router(config-if)#interface type numberMarcar la interfaz conectada al exterior. Router(config-if)# ip nat outside

5


Especificar la interfaz internaRouter(config-if)#interface type numberMarcar la interfaz como conectada al interior. Router(config-if)# ip nat inside

4

Notas AcciónPaso

• La lista de acceso IP estándar es usada por NAT para seleccionar direcciones para la traducción.

• Establecer traducción dinámica, especificando la dirección IP que serásobrecargada (overloaded), aquella que será asignada a la interfaz externa.


CONFIGURACION PAT CONFIGURACION PAT EJERCICIOEJERCICIO


VERIFICACION DE LA VERIFICACION DE LA CONFIGURACION NAT Y PAT CONFIGURACION NAT Y PAT

• Una vez que NAT (ó PAT se ha configurado), utilice los comandos Una vez que NAT (ó PAT se ha configurado), utilice los comandos clear clear y y showshow, , para verificar que está operando como se espera.para verificar que está operando como se espera.

• Por defecto, la traducción de dirección dinámica va a expirar de la tabla de Por defecto, la traducción de dirección dinámica va a expirar de la tabla de traducción después de un periodo de inutilización. traducción después de un periodo de inutilización.

• Cuando la traducción por puerto no está configurada, las entradas en NAT expiran Cuando la traducción por puerto no está configurada, las entradas en NAT expiran después de 24 horas, a no ser que se vuelva a reconfigurar con el comando después de 24 horas, a no ser que se vuelva a reconfigurar con el comando ip nat translationip nat translation. .

• Se debe eliminar (clear) las entradas antes del tiempo de expiración usando uno Se debe eliminar (clear) las entradas antes del tiempo de expiración usando uno de los siguientes comandos: de los siguientes comandos:



Elimina una simple entrada de traducción dinámica.

Clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside local-ip local-port global-ip global-port]

Elimina una entrada simple de traducción dinámica que contiene una traducción interna o ambas traducciones (interna/externa).

clear ip nat translation inside global-ip local-ip[outside local-ip global-ip]

Elimina todas las entradas de traducción dinámica de la tabla de traducción NAT.

clear ip nat translation *

Descripción Comando



Permite visualizar las estadísticas de la traducción

show ip nat statistics

Permite visualizar las traducciones activas.

show ip nat translations

Descripción Comando


PRUEBA DE FALLAS EN LA PRUEBA DE FALLAS EN LA CONFIGURACION NAT Y PAT CONFIGURACION NAT Y PAT

• Utilizar el comando Utilizar el comando debug ip nat debug ip nat para verificar la operación de la característica o para verificar la operación de la característica o proceso NAT, el cual entrega información acerca de cada paquete que es traducidoproceso NAT, el cual entrega información acerca de cada paquete que es traducidopor el router.por el router.

• El comando El comando debug ip nat detailed debug ip nat detailed genera una descripción de cada paquete genera una descripción de cada paquete considerado para la traducción. Este comando también entrega información acerca considerado para la traducción. Este comando también entrega información acerca errores o fallas en asignar direcciones públicas.errores o fallas en asignar direcciones públicas.

• Para apagar el comando de depuración se debe escribir Para apagar el comando de depuración se debe escribir undebug allundebug all..


PRUEBA DE FALLAS EN LA PRUEBA DE FALLAS EN LA CONFIGURACION NAT Y PAT CONFIGURACION NAT Y PAT


Natpat

Documents

Transcript of Natpat