COMUNICACIN DE DATOS II

LABORATORIO 09

ROUTERS: NAT
Profesor: Alumnos: Ruiz Reyes, Robert Daniel Cochachez Miguel, Carlos Enrique. Villarroel Huamalies, Cristiam Martin. Grupo: C16 5 A

2010

Comunicacin de Datos II

1. INTRODUCCION
El uso de redes de computadoras en las empresas ha crecido y contina creciendo drsticamente, en la mayora de estos casos estas redes son de uso exclusivo interno, requiriendo que una mnima cantidad de terminales tengan acceso a redes externas. Adems, el rpido agotamiento de las direcciones IP pblicas hace que adquirirlas sea costoso, razn por la cual las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son invlidas para su uso fuera de la red interna. Por lo tanto NAT (Network Address Translation - Traduccin de Direccin de Red) es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin de protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo. Su uso ms comn es permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el nmero de direcciones privadas es muy grande puede usarse solo una parte de direcciones pblicas para salir a Internet desde la red privada. De esta manera simultneamente slo pueden salir a Internet con una direccin IP tantos equipos como direcciones pblicas se hayan contratado. Esto es necesario debido al progresivo agotamiento de las direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario continuar con esta prctica.

2. JUSTIFICACION
Este laboratorio se realizo con el fin de aplicar el uso de routers con mecanismos de traduccin de direcciones de red, de una red interna privada a otra red externa publica, para ello se hace uso del mecanismo del NAT, para tal motivo es importante comprender y dominar el correcto manejo de configuracin del NAT en el RAUTER CISCO, tambin desarrollar el correcto control de acceso con NAT.

Comunicacin de Datos II

3. FUNDAMENTO TEORICO.
NAT La idea bsica que hay detrs de NAT es traducir las IPs privadas de la red en una IP pblica para que la red pueda enviar paquetes al exterior; y traducir luego esa IP pblica, de nuevo a la IP privada del pc que envi el paquete, para que pueda recibirlo una vez llega la respuesta. Con un ejemplo lo veremos mejor. Imaginemos que tenemos nuestra siguiente red:

Podra ser la tpica red casera en la que tenemos un par de PCs que salen a Internet a travs del router. Cada PC tiene asignada una IP privada, y el router tiene su IP privada (puerta de enlace) y su IP pblica (que es nuestra IP de Internet). Cuando uno de los PCs de la red local quiere enviar un paquete a Internet, se lo enva al router (o a la puerta de enlace o gateway), y ste hace lo que se conoce como SNAT (Source-NAT) y cambia la direccin de origen por su IP pblica. As, el host remoto sabr a qu IP pblica ha de enviar sus paquetes. Cuando una respuesta o un paquete pertenecientes a esa conexin lleguen al router, ste traducir la direccin IP de destino del paquete (que ahora es la IP del router) y la cambiar por la direccin privada del host que corresponde, para hacer la entrega del paquete a la red local. NAT tiene muchas formas de funcionamiento, entre las que destacan: Esttico Es un tipo de NAT en el que una direccin IP privada se traduce a una direccin IP pblica, y donde esa direccin pblica es siempre la misma. Esto le permite a un host, como un servidor Web, el tener una direccin IP de red privada pero an as ser visible en Internet.. Dinmico Es un tipo de NAT en la que una direccin IP privada se mapea a una IP pblica basndose en una tabla de direcciones de IP registradas (pblicas). Normalmente, el router NAT en una red mantendr una tabla de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router elegir una direccin IP de la tabla que no est siendo usada por otra IP privada. Esto permite aumentar la seguridad de una red dado que enmascara la configuracin interna de una red

Comunicacin de Datos II

privada, lo que dificulta a los hosts externos de la red el poder ingresar a sta. Para este mtodo se requiere que todos los hosts de la red privada que deseen conectarse a la red pblica posean al menos una IP pblica asociadas.

4. COMPONENTES BASICOS.
Equipos, materiales, programas y recursos: Emulador de terminal: Hipertrminal. Computadoras. Router CISCO 1750 y 2600 con cables de consola. Cable WAN DB60-V35Male (DTE). Cable WAN DB60-V35Female (DCE).

5. TOPOLOGIA A IMPLEMENTAR.

6. PROCEDIMIENTO.

Comunicacin de Datos II

Establecer la conectividad en las siguientes redes: Establecer IP a las PC. Asignar las IP en las interfaces Ethernet de los Router y activarlas. Asignar IP en las interfaces seriales de los Routers, utilizar el protocolo PPP.

7. CONFIGURACION DE TRADUCTOR DE DIRECCIN DE RED (NAT) ESTTICO:

Configuracin NAT esttico: Para configurar NAT esttico se deben seguir los siguientes pasos: Definir el mapeo de las direcciones estticas: ip nat inside source static local-ip global-ip ip nat inside source static network local-network global-network mask Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside Ejemplo:

Comunicacin de Datos II

R# configure terminal R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1 R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R# Ping hacia 192.168.26.111

8. CONFIGURACION DE TRADUCTOR DE DIRECCION DE RED (NAT) DINMICO:

Comunicacin de Datos II

Para configurar NAT dinmico se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales: ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslacin access-list access-list-number permit source {source-wildcard} Configurar NAT dinmico basado en la direccin origen ip nat inside source list access-list-number pool name Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside Ejemplo:

R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R# show ip nat translations

Ping hacia google.

Comunicacin de Datos II

9. CONFIGURACION TRADUCCION DE DIRECCIN DE RED Y PUERTO-NAPT.

Para configurar NAPT se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales (puede ser una sola direccin): ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslacin access-list access-list-number permit source {source-wildcard} Configurar PAT basado en la direccin origen ip nat inside source list access-list-number pool name overload Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside Ejemplo: Usaremos hasta 30 direcciones internas globales, cada una de las cuales hace NAPT

R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255

Comunicacin de Datos II

R(config)# ip nat inside source list 2 pool fib-xc overload R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit

R# show ip nat translations Verificacin de una configuracin NAT

Comunicacin de Datos II

Usamos los siguientes comandos para verificar que la configuracin NAT es correcta (desde modo privilegiado): show ip nat translations

show ip nat translations verbose

show ip nat statistics

Comunicacin de Datos II

debug ip nat (no debug ip nat) clear ip nat translations

10. OBSERVACIONES:
Para la configuracion de NAT, debemos de tener en cuenta las redes a tomar, debemos configurar la parte INSIDE para nuestra red interna, y la parte OUTSIDE para la red externa. Para configurar la direccin IP en un servicio de un servidor ya sea web, ftp, de correo, etc es preferible configurarlo con NAT esttico, con el cual el servicio puede ser accedido desde el exterior. Para redes internas donde los que salen al exterior son los hosts de la red interna es preferible configurarlos con NAT dinmicos, con la cual los hosts pueden salir a la red publica, con esta configuracion el router asignara una IP publica desocupada en ese momento al host que quiere salir a la red externa. La configuracin de Nat constituye un modelo de seguridad, donde podemos observar un tipo de enmascaramiento con que sale la direccin IP de una red interna.

11.CONCLUSIONES:
Con NAT se puede ahorrar direcciones IP validas, por que permite a varios hosts dentro de una red interna tenga acceso a la red externa o pblica usando una o pocas direcciones IP validas que sean pblicas. Con NAT se pueda proveer cierto grado de seguridad dentro de nuestra red interna, ya que los equipos externos (PCs, hosts, etc) de la red no conocen las direcciones verdaderas de los hosts internos de nuestra red, de este modo evitaremos intentos y/o ataques en nuestra red. NAT es un mecanismo de conducir y manejar dos redes en una sola, es decir tener e igualar una red privada hacia una red pblica y viceversa, de este modo nos permite crear redes locales con gran flexibilidad, pero

Comunicacin de Datos II

tambin tiene algunos inconvenientes, como por ejemplo algunas aplicaciones no podran funcionar cuando se encuentren detrs de un equipo configurado como NAT. Los dos tipos mas importantes con que cuenta NAT son el dinmico (DNAT) y esttico (SNAT). Gracias a las configuraciones que se realizan dentro del router, evita que genere conflictos con otras redes pblicas de otras redes.