Академический Документы
Профессиональный Документы
Культура Документы
Objetivos
Cuando finalice este mdulo, el estudiante conocer sobre: -Cul es la diferencia entre una direccin IP privada y una direccin IP pblica
-Cmo NAT y PAT permiten traducir direcciones IP privadas a direcciones pblicas -Cmo DHCP permite asignar direcciones IP privadas a los hosts de forma dinmica
Para que un paquete pueda ser enrutado hay que traducir la direccin de origen (una direccin IP privada) a una direccin IP pblica. Dos mecanismos que logran esto son NAT y PAT.
NAT y PAT
Introduccin a NAT
La Traduccin de Direcciones de Red (NAT o Network Address Translation) es un mecanismo que permite traducir una direccin IP privada a una pblica de forma que los paquetes pertenecientes a un host puedan ser enrutados.
Introduccin a NAT
Cuando un host dentro de una red desea hacer una transmisin a un host en el exterior, enva el paquete al router del gateway fronterizo. El router del gateway fronterizo realiza el proceso de NAT, traduciendo la direccin privada interna de un host a una direccin pblica, enrutable y externa.
Introduccin a NAT
Un router que ejecuta NAT generalmente opera en la frontera de una red stub (una red que posee una sola conexin a la red del ISP).
10
Introduccin a NAT
Cisco define los siguientes trminos: -Direccin local interna: la direccin IP privada asignada al host en mi red. -Direccin global interna: la direccin IP pblica asignada a uno o varios hosts en mi red. -Direccin externa (local o global): la direccin IP pblica asignada a un host externo a mi red.
11
Tipos de NAT
Existen dos tipos de NAT: - NAT esttica: utilizada para servidores de empresas o dispositivos de networking. Cada direccin IP privada se asocia con una sola direccin IP pblica especfica. - NAT dinmica: utilizada para los hosts. Cada direccin IP privada se asocia a una direccin IP pblica dentro de un conjunto de direcciones IP pblicas disponibles.
2004, Cisco Systems, Inc. All rights reserved.
12
179.8.9.80 10.0.0.2
Internet
10.0.0.2
NAT Table
Inside Local IP Address 10.0.0.2 10.0.0.10 Inside Global IP Address 179.9.8.80 179.9.8.10
13
Introduccin a PAT
Una tcnica relacionada con NAT dinmica es la Traduccin de Direcciones por Puerto (PAT), tambin conocida como sobrecarga de direcciones pblicas. PAT asocia varias direcciones IP privadas a una sola direccin IP pblica, asignndole a cada host un nmero de puerto.
2004, Cisco Systems, Inc. All rights reserved.
14
Introduccin a PAT
Cuando se hace una traduccin, PAT intenta asignarle a la direccin IP pblica el mismo nmero de puerto que se le asign a la direccin IP original (la privada). Si el nmero de puerto original est en uso, PAT asigna el primer nmero de puerto disponible comenzando desde el principio del grupo de puertos correspondiente 0-511, 512-1023, o 102465535. En teora, el nmero total de direcciones internas que se pueden traducir a una sola direccin externa podra ser hasta 65,536 por direccin IP. En realidad, el nmero de puertos que se pueden asignar a una sola direccin IP es aproximadamente 4000.
2004, Cisco Systems, Inc. All rights reserved.
15
202.6.3.2
SA 10.0.0.3:2333
Internet
NAT Table
Inside Global IP Address 179.9.8.80:1456 179.9.8.80:2333 Outside Local IP Address 202.6.3.2:80 126.23.2.2:80
126.23.2.2
Outside Global IP Address 202.6.3.2:80 126.23.2.2:80
10.0.0.2
16
17
18
Outside Network
NAT
Outside Interface
ip nat outside
Outside Host
ip nat inside
Hay que definir cada interfaz del router que realiza NAT como interna o externa.
Las interfaces fast ethernet son internas. Las interfaces seriales son externas.
2004, Cisco Systems, Inc. All rights reserved.
19
20
21
22
Hay que definir una lista de acceso que indique cules direcciones privadas se podrn traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255
23
24
25
26
Configuracin de PAT
Hay que definir una lista de acceso que indique cules direcciones privadas se podrn traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255
Hay que indicar la interfaz serial que estar sobrecargada (overloaded) traduciendo varias direcciones privadas a una sola pblica:
Router(config)#ip nat inside source list 1 interface serial0/0 overload
27
28
Configuracin de PAT
Ejemplo del laboratorio 1.1.4b:
Router(config)# access-list 1 permit 10.10.10.0 0.0.0.255 Router(config)# ip nat inside source list 1 interface serial 0/0 overload Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 10.10.10.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface serial 0/0 Router(config-if)# ip address 200.2.2.18 255.255.255.252 Router(config-if)# ip nat outside Router(config-if)# exit
2004, Cisco Systems, Inc. All rights reserved.
29
Configuracin de PAT
30
PAT y DMZ
A menudo desemos que un determinado puerto de una ip global interna se redireccione a un determinado puerto de una ip local interna, como en una DMZ.
31
PAT y DMZ
(config)# ip nat inside source static <protocolo> <ip-local> <puerto> <ip-global> <puerto>
A esto hay que aadir los comandos ip nat inside e ip nat outside en las interfaces interna y externa del router.
32
33
34
Utilice el comando debug ip nat para verificar la operacin de NAT visualizando la informacin acerca de cada paquete que el router traduce.
35
36
Ventajas de NAT
Con pocas IP's pblicas podemos cubrir muchos hosts privados. Gran flexibilidad los modos acceso, permitiendo lineas de backup, redireccin de puertos... Independencia del ISP Aporta seguridad al aislar la red interna del exterior.
37
Problemas de NAT
Permitir la traduccin de direcciones causa una prdida en la funcionalidad de ciertas aplicaciones (firmas digitales, tneles... al cambiar la ip de origen). NAT aumenta el retardo debido a la traduccin. Inicios de sesiones desde el exterior solo si hay soporte explcito en el router. Una desventaja significativa que surge al implementar y utilizar NAT, es la prdida de la posibilidad de rastreo IP de extremo a extremo.
2004, Cisco Systems, Inc. All rights reserved.
38