Resumen Sesion 09 - NAT PARA IPV4 PDF

Preview

Summary

DESCRIPCIÓNNAT PARA IPVTodas las direcciones IPv4 públicas que se usan en Internet deben registrarse en un registro regional de Internet (RIR). Las organizaciones pueden arrendar direcciones públicas de un proveedor de servicios. El titular registrado de una dirección IP pública puede asignar esa di...

Description

SESIÓN 09 DESCRIPCIÓN

NAT PARA IPV4 Todas las direcciones IPv4 públicas que se usan en Internet deben registrarse en un registro regional de Internet (RIR). Las organizaciones pueden arrendar direcciones públicas de un proveedor de servicios. El titular registrado de una dirección IP pública puede asignar esa dirección a un dispositivo de red. Con un máximo teórico de 4300 millones de direcciones, el espacio de direcciones IPv4 es muy limitado. Cuando Bob Kahn y Vint Cerf desarrollaron por primera vez la suite de protocolos TCP/IP que incluía IPv4 en 1981, nunca imaginaron en qué podría llegar a convertirse Internet. En aquel entonces, la computadora personal era, en la mayoría de los casos, una curiosidad para los aficionados, y todavía faltaba más de una década para la aparición de la World Wide Web. Con la proliferación de los dispositivos informáticos personales y la llegada de la World Wide Web, pronto resultó evidente que los 4300 millones de direcciones IPv4 no serían suficientes. La solución a largo plazo era el protocolo IPv6, pero se necesitaban soluciones más inmediatas para abordar el agotamiento de direcciones. A corto plazo, el IETF implementó varias soluciones, entre las que se incluía la traducción de direcciones de red (NAT) y las direcciones IPv4 privadas definidas en RFC 1918. En este capítulo, se analiza cómo se utiliza NAT combinada con el espacio de direcciones privadas para conservar y usar de forma más eficaz las direcciones IPv4, a fin de proporcionar acceso a Internet a las redes de todos los tamaños.

CAPACIDAD Configurar y resolver problemas de NAT para IPv4.

TEMÁTICA  Funcionamiento de NAT  Configuración NAT  Resolución de problemas de NAT  Actividades  Resumen

1. Network Address Translation

Procedimiento estándar que modifica la dirección IP de origen de los paquetes IP, “traduciéndola” por otra dirección IP compatible con la red de destino. Se encuentra definido en el RFC 2633. En la práctica se utiliza para habilitar terminales configuradas con direcciones IP privadas de modo que puedan establecer comunicaciones sobre Internet, o para reducir la cantidad de direcciones IP públicas que es necesario disponer para establecer comunicaciones a través de la red pública (Internet). En su implementación, Cisco IOS utiliza algunos conceptos y terminología que es preciso conocer antes de abordar el proceso de configuración propiamente dicho En primer lugar, esta traducción se realiza en un dispositivo NAT, también denominado NAT box, que opera típicamente en el borde de un área stub y es el responsable de traducir las direcciones IP y mantener las tablas respectivas. Un dispositivo NAT puede ser:  Un router Cisco.  Un firewall ASA.  Un sistema UNIX.  Un servidor Windows.  Otro tipo de dispositivo.

Figura 1. Direccionamiento NAT Fuente: Tomado de CCENT/CCNA ICND1 100-105 Official Cert Guide

2. Terminología NAT

Al implementar y analizar NAT es fundamental tener presente una terminología que es propia de esta implementación. El punto de referencia es primariamente el mismo NAT server.

1

2.1 Red inside. Red que se encuentra del lado “interno” del dispositivo NAT, y cuyas direcciones requieren traducción. Habitualmente coincide con la red LAN.

Figura 2. Terminología NAT Fuente: Tomado de Guía de preparación para el examen de certificación CCNA R&S 200-120 v6.3

2.2 Red outside. Red del lado “externo” del dispositivo NAT que requiere direcciones IP válidas. Habitualmente coincide con la red WAN o Internet.

A partir de esta división en red inside y red outside, se distinguen 4 diferentes direcciones IP vinculadas al proceso:

Figura 3. Terminología NAT Fuente: Tomado de Guía de preparación para el examen de certificación CCNA R&S 200-120 v6.3

2

2.3 Inside Local Address. Direcciones que tienen configuradas los dispositivos que se encuentran conectados a la red Inside y que utilizan para sus comunicaciones locales. Típicamente, es una dirección IP privada.

2.4 Inside Global Address. Direcciones válidas en la red Outside que han de utilizar los dispositivos de la red Inside para establecer comunicaciones con dispositivos que se encuentran en la red Outside. Es la dirección que representa a una terminal de la red Inside en la red Outside. Típicamente es la dirección IP pública que se asigna a la terminal de la red Inside.

2.5 Outside Local Address. Dirección configurada en los dispositivos que se encuentran conectados a la red Outside.

2.6 Outside Global Address. Dirección que representa a un dispositivo de la red Outside en la red Inside. Típicamente es la dirección IP pública del dispositivo destino. Si el dispositivo de la red Outside también atraviesa un sistema NAT, entonces la dirección Outside Global y la Outside Local serán diferentes, aunque el dispositivo de la red Inside no podrá diferenciarlo.

3. Modalidades de NAT

Existen diferentes modalidades de NAT:

3.1 NAT estático. La traducción se define manualmente de IP local a IP global. Se asegura de este modo que un nodo de la red Inside esté siempre representado por la misma dirección global en la red Outside. Generalmente utilizado para habilitar el acceso desde la red Global a un servidor alojado en la red Inside.

3

Figura 4. NAT estático Fuente: Tomado de CCENT/CCNA ICND1 100-105 Official Cert Guide

3.2 NAT dinámico. No hay una asignación uno a uno de IP local a IP global, sino que se define un conjunto de direcciones locales de origen que se traducen dinámicamente utilizando un conjunto de direcciones globales. Se asigna dinámicamente una IP global para cada IP local que atraviesa el dispositivo NAT.

Figura 5. NAT dinámico Fuente: Tomado de CCENT/CCNA ICND1 100-105 Official Cert Guide

3.3 NAT overload o PAT. La asignación dinámica se realiza ahora por conversación (sesión TCP o UDP), no por IP. El origen de cada conversación generada en la red Inside (IP local: puerto origen) se traduce por una IP y puerto aptos para ser enrutados en la red Outside (IP global: puerto).  NAT: Traducción de una IP privada a una IP pública.  PAT: Traducción de varias IP privadas a una IP pública.

4

Figura 6. NAT overload (PAT) Fuente: Tomado de CCENT/CCNA ICND1 100-105 Official Cert Guide

En la configuración de un dispositivo NAT se pueden aplicar una o más de estas modalidades simultáneamente. En la práctica se suele implementar una solución mixta:  NAT estático para identificar dispositivos que deben ser accedidos desde la red pública como servidores.  PAT para las terminales que necesitan acceder a Internet.

4. Configuración de NAT:

4.1 Procedimiento para la configuración de NAT en IOS:  Identificación de la interfaz que conecta a la red Inside para NAT.  Identificación de la interfaz que conecta a la red Outside de NAT.  Definición de los parámetros de traducción.

Router#configure terminal Router(config)#interface GigabitEthernet 0/0 Router(config-if)#ip nat inside

Define la interfaz que conecta a la red Inside. Router(config-if)#interface serial 0/0/0 Router(config-if)#ip nat outside

Define la interfaz que conecta a la red Outside.

5

Router(config-if)#exit Router(config)#ip nat inside source static [ip local] [ip global]

Define la traducción estática de una dirección IP local a una dirección IP pública. Router(config)#access-list [1-99] permit [ip local]

Para definir una implementación de NAT dinámico, en primer lugar es necesario definir el conjunto de direcciones locales que se han de traducir. Con este propósito se utiliza una lista de acceso IP estándar para definir el conjunto de direcciones IP locales. Router(config)#ip nat pool [name] [ip inicial] [ip final] netmask X.X.X.X

En segundo lugar, debemos definir el pool (conjunto) de direcciones globales a utilizar en el proceso de traducción. Con este propósito definimos la dirección inicial del pool, la dirección final y la máscara de subred que le corresponde. Router(config)#ip nat inside source list [X] pool [name]

Finalmente se define el mecanismo de traducción. En este caso definimos un mecanismo de traducción tipo NAT dinámico una a una. El comando asocia la lista de acceso creada antes para definir las direcciones locales a traducir con el pool de direcciones públicas que se debe utilizar. Router(config)#ip nat inside source list [X] interface [int] overload

Otra posibilidad es definir el uso de PAT o NAT overload sobre una única dirección IP global. Para esto se requiere este comando, asociando ahora las direcciones inside definidas en la lista de acceso con la interfaz outside (se usará como dirección global la de la interfaz). La keyword “overload” indica que se realizará una traducción tipo PAT: IP-puerto a IP-puerto. Router(config)#ip nat inside source list [X] pool [name] overload

Finalmente, otra opción es traducir un conjunto de direcciones IP locales utilizando un conjunto de direcciones IP globales, pero en modo PAT. Con este propósito utilizamos el mismo comando que ya conocemos para hacer NAT dinámico, pero agregando el keyword “overload”.

4.2 Comandos adicionales Router#clear ip nat translation *

6

Borra todas las entradas almacenadas en la tabla de traducción de direcciones IP. Router(config)#ip nat translation timeout [segundos]

Define el tiempo en segundos que mantiene una entrada de NAT dinámico en la tabla de traducciones. Valor por defecto 86400 (24 horas).

4.3 Comandos de monitoreo de NAT Router#show ip nat translation

Muestra la tabla de traducción de direcciones IP. Router#show ip nat statistics

Muestra información de configuración (interfaz inside y outside) y estadísticas de traducción Router#debug ip nat

Muestra los eventos de traducción.

5. Ejemplos de configuración

Escenario:

5.1 NAT estático NAT# show running-config ! ! Líneas omitidas intencionalmente ! interface GigabitEthernet0/0 ip address 10.1.1.3 255.255.255.0 ip nat inside ! interface Serial0/0/0

7

ip address 200.1.1.251 255.255.255.0 ip nat outside ! ip nat inside source static 10.1.1.2 200.1.1.2 ip nat inside source static 10.1.1.1 200.1.1.1 NAT# show ip nat translations Pro Inside global

Inside local Outside local Outside global

--- 200.1.1.1

10.1.1.1

---

---

--- 200.1.1.2

10.1.1.2

---

---

NAT# show ip nat statistics Total active translations: 2 (2 static, 0 dynamic; 0 extended) Outside interfaces: Serial0/0/0 Inside interfaces: GigabitEthernet0/0 Hits: 100 Misses: 0 Expired translations: 0 Dynamic mappings:

5.2 NAT dinámico NAT# show running-config ! ! Líneas omitidas intencionalmente ! interface GigabitEthernet0/0 ip address 10.1.1.3 255.255.255.0 ip nat inside ! interface Serial0/0/0 ip address 200.1.1.251 255.255.255.0 ip nat outside ! ip nat pool pedro 200.1.1.1 200.1.1.2 netmask 255.255.255.252 ip nat inside source list 1 pool pedro ! access-list 1 permit 10.1.1.2 access-list 1 permit 10.1.1.1

NAT# show ip nat translations NAT# show ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Peak translations: 8, occurred 00:02:44 ago Outside interfaces: Serial0/0 Inside interfaces: Ethernet0/0 Hits: 0 Misses: 0

8

CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [id 1] access-list 1 pool fred refcount 0 pool pedro: netmask 255.255.255.252 start 200.1.1.1 end 200.1.1.2 type generic, total addresses 2, allocated 0 (0%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

5.3 NAT dinámico Escenario:

Configuración: NAT# show running-config ! ! Lines Omitted for Brevity ! interface GigabitEthernet0/0 ip address 10.1.1.3 255.255.255.0 ip nat inside ! interface Serial0/0/0 ip address 200.1.1.249 255.255.255.252 ip nat outside ! ip nat inside source list 1 interface Serial0/0/0 overload ! access-list 1 permit 10.1.1.2 access-list 1 permit 10.1.1.1 ! NAT# show ip nat translations Pro Inside global 200.1.1.249:3212

Inside local Outside local 10.1.1.1:3212 170.1.1.1:23

Outside global tcp 170.1.1.1:23 tcp

9

200.1.1.249:3213 200.1.1.249:38913

10.1.1.2:3213 10.1.1.2:38913

170.1.1.1:23 170.1.1.1:23 tcp 170.1.1.1:23 170.1.1.1:23

NAT# show ip nat statistics Total active translations: 3 (0 static, 3 dynamic; 3 extended) Peak translations: 12, occurred 00:01:11 ago Outside interfaces: Serial0/0/0 Inside interfaces: GigabitEthernet0/0 Hits: 103 Misses: 3 Expired translations: 0 Dynamic mappings: -- Inside Source access-list 1 interface Serial0/0/0 refcount 3

6. Resumen

 Todos los nodos en una red requieren una dirección IP única que se comunique con otros dispositivos. La asignación estática de información de direccionamiento IP en una red grande produce una carga administrativa que puede eliminarse mediante el uso de DHCPv4 y DHCPv6 para asignar de forma dinámica información de direccionamiento IPv4 e IPv6, respectivamente.  En este capítulo, se explicó cómo se utiliza NAT para contribuir a mitigar el agotamiento del espacio de direcciones IPv4. La NAT para IPv4 permite que los administradores de red utilicen el espacio de direcciones privadas definido en RFC 1918, a la vez que proporciona conectividad a Internet, mediante una única dirección pública o una cantidad limitada de estas.  NAT conserva el espacio de direcciones públicas y reduce la sobrecarga administrativa de forma considerable al administrar las adiciones, los movimientos y las modificaciones. NAT y PAT se pueden implementar para conservar espacio de direcciones públicas sin afectar la conexión al ISP. Sin embargo, NAT presenta desventajas en términos de sus efectos negativos en el rendimiento de los dispositivos, la movilidad y la conectividad de extremo a extremo, y se debe considerar como una implementación a corto plazo para el agotamiento de direcciones, cuya solución a largo plazo es IPv6.  En esta sesión, se analizó la NAT para IPv4, incluido lo siguiente:  Las características, la terminología y las operaciones generales de NAT  Los diferentes tipos de NAT, incluidas la NAT estática, la NAT dinámica y PAT  Las ventajas y las desventajas de NAT  La configuración, la verificación y el análisis de la NAT estática, la NAT dinámica y PAT  La forma en la que se puede usar el reenvío a puerto asignado para acceder a un dispositivo interno desde Internet  Por qué NAT está disponible pero no es un componente integral de las redes IPv6

10

 La resolución de problemas de NAT mediante los comandos show y debug

7. Actividades

La siguiente es la guía de actividades que se desarrollarán para la sesión: Actividad

Título de la actividad

Configuraciones en Packet Tracer

Trabajo con equipos

Ejercicios de refuerzo Examen de Capítulo Examen de habilidades

Descripción Actividad de casa

9.2.2.6: Configuración de NAT dinámica y estática. 9.2.3.7: Configuración de la traducción de la dirección del puerto (PAT).

Actividad de aula

9.4.1.2: Desafío de integración de habilidades

Actividad de casa

Examen de capítulo 8.

Actividad de casa

Examen de habilidades 5 en PT

Actividad de casa

8. Referencias bibliográficas

 Ariganello, E. (2016). Redes cisco guía de estudio para la certificación CCNA routing y switching, 4ta ed. España: RA-MA Editorial. ISBN: 978-84-9964-664-0  Gerometta, O. (2018). Guía de preparación para el examen de certificación CCNA R&S 200120 v6.3, 1ra ed. Argentina: Ediciones Edubooks. ISBN: 978-987-3868-14-6  Odom, W. (2016). CCENT/CCNA ICND1 100-105 Official Cert Guide, 1th ed. USA: Cisco Press. ISBN: 978-1-58720-580-4  Netacad.com. (2018). Cisco Networking Academy Builds IT Skills & Education For Future Careers. [online] Disponible en: http://www.netacad.com/  Firewall.cx (2018). Routing Information & Expertise to Network Professionals. [online]. Disponible en: http://www.firewall.cx/  Networklessons.com (2018). Networking in plain English. [online]. Disponible es: http://www.networklessons.com

11...