[email protected] INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI ropiedad intelectual de Daniel Díaz @ 2013 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONI MECANISMO NAT Profesor Daniel Díaz Ataucuri [email protected] http://www.danieldiaza.com Catedrático Titular a Tiempo Parcial FIEE-UNI / UNMSM Director de Investigación y Desarrollo Tecnológico del INICTEL-UNI Lima, Abril-Diciembre de 2013
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
NAT-PATPropiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONICA
MECANISMO NAT
Director de Investigación y Desarrollo
Tecnológico del INICTEL-UNI
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
INTRODUCCION
correspondiente dirección global.
Dinámico.- Dirección IP perteneciente a un pool de direcciones IP
públicas se asignan a un host de la red.
Por puerto .- Llamado también PAT, relaciona varias direcciones IP
privadas a una sola dirección pública.
http://docwiki.cisco.com/wiki/Category:NAT
enrutable.
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VENTAJAS DEL NAT
cuando se cambia de ISP.
Con el PAT, sólo es necesario una dirección IP pública,
ahorro sustancial de direcciones IP.
Desde que las direcciones privadas internas no son
accesible externamente, hay un grado de seguridad.
*
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
ACCESS CONTROL LIST-ACL
protocolos de capas superiores.
El uso de ACL son:
Clasificar direcciones IP, puertos, entre otros.
Mecanismo NAT para definir una lista de direcciones privadas
que serán traducidas.
(policy-based routing)
Mecanismo de seguridad
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FORMACIÓN DE UNA LISTA: El Wildcard
Comando:
Analicemos todas las direcciones IP de la subred
200.1.2.128/26.
direcciones IP de la subred 200.1.2.128/26
Dirección
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FORMACIÓN DE UNA LISTA: El Wildcard
Comando:
Analicemos todas las direcciones IP impares de la subred
200.1.2.128/26.
200.1.2.129
0.0.0.62
IP impares de la subred 200.1.2.128/26
Dirección
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FORMACIÓN DE UNA LISTA: El Wildcard
Comando:
Lista que incluye todas las IP de la subred
200.1.2.128/26 excepto la dirección 200.1.2.129
200.1.2.128 = 200.1.2.1000 0000
200.1.2.129 = 200.1.2.1000 0001
200.1.2.130 = 200.1.2.1000 0010
200.1.2.131 = 200.1.2.1000 0011
200.1.2.191 = 200.1.2.1011 1111
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
ESCENARIO DE NAT
INSIDE
OUTSIDE
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FUNCIONAMIENTO DEL NAT ESTÁTICO
indicar como llegar a 204.4.1.0/26
Subred de NAT
R1
R2
R3
R4
R5
R6
R7
R8
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
R1(config)#ip nat inside source static 192.168.1.2 204.4.1.2
R1(config)#ip nat inside source static 192.168.1.3 204.4.1.3
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat inside
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VERIFICACIÓN DEL NAT ESTÁTICO
R1#clear ip nat translation forced
R1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.2:23695 192.168.1.2:23695 200.1.1.2:23695 200.1.1.2:23695
icmp 204.4.1.2:24207 192.168.1.2:24207 200.1.1.2:24207 200.1.1.2:24207
icmp 204.4.1.2:24463 192.168.1.2:24463 200.1.1.2:24463 200.1.1.2:24463
icmp 204.4.1.2:24975 192.168.1.2:24975 200.1.1.2:24975 200.1.1.2:24975
icmp 204.4.1.2:25231 192.168.1.2:25231 200.1.1.2:25231 200.1.1.2:25231
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
Pro Inside global Inside local Outside local Outside global
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FUNCIONAMIENTO DEL NAT DINÁMICO
indicar como llegar a 204.4.1.0/26
Subred de NAT
R1
R2
R3
R4
R5
R6
R7
R8
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0
R1(config)#access-list 1 deny 192.168.1.3 0.0.0.0
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.63
R1(config)#ip nat pool lima 204.4.1.4 204.4.1.14 netmask 255.255.255.192
R1(config)#ip nat inside source list 1 pool lima
R1(config)#exit
192.168.1.2 204.4.1.2
192.168.1.3 204.4.1.3
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VERIFICACIÓN DEL NAT DINÁMICO
Pro Inside global Inside local Outside local Outside global
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
--- 204.4.1.4 192.168.1.9 --- ---
Pro Inside global Inside local Outside local Outside global
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
--- 204.4.1.4 192.168.1.9 --- ---
--- 204.4.1.5 192.168.1.20 --- ---
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FUNCIONAMIENTO DEL PAT
indicar como llegar a 204.4.1.0/26
Subred de NAT
R1
R2
R3
R4
R5
R6
R7
R8
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
ESCENARIO DE PAT: Configuración
R1(config)#ip nat pool ica 204.4.1.15 204.4.1.15 netmask 255.255.255.192
R1(config)#ip nat inside source list 2 pool ica overload
R1(config)#exit
192.168.1.2 204.4.1.2
192.168.1.3 204.4.1.3
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VERIFICACIÓN DEL PAT
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.15:40085 192.168.1.64:40085 200.1.1.2:40085 200.1.1.2:40085
icmp 204.4.1.15:40597 192.168.1.64:40597 200.1.1.2:40597 200.1.1.2:40597
icmp 204.4.1.15:40853 192.168.1.64:40853 200.1.1.2:40853 200.1.1.2:40853
icmp 204.4.1.15:41365 192.168.1.64:41365 200.1.1.2:41365 200.1.1.2:41365
icmp 204.4.1.15:41621 192.168.1.64:41621 200.1.1.2:41621 200.1.1.2:41621
R1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.15:406 192.168.1.100:406 200.1.1.2:406 200.1.1.2:406
icmp 204.4.1.15:662 192.168.1.100:662 200.1.1.2:662 200.1.1.2:662
icmp 204.4.1.15:1174 192.168.1.100:1174 200.1.1.2:1174 200.1.1.2:1174
icmp 204.4.1.15:1430 192.168.1.100:1430 200.1.1.2:1430 200.1.1.2:1430
icmp 204.4.1.15:1942 192.168.1.100:1942 200.1.1.2:1942 200.1.1.2:1942
R1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.15:24982 192.168.1.215:24982 200.1.1.2:24982 200.1.1.2:24982
icmp 204.4.1.15:25494 192.168.1.215:25494 200.1.1.2:25494 200.1.1.2:25494
icmp 204.4.1.15:25750 192.168.1.215:25750 200.1.1.2:25750 200.1.1.2:25750
icmp 204.4.1.15:26262 192.168.1.215:26262 200.1.1.2:26262 200.1.1.2:26262
icmp 204.4.1.15:26518 192.168.1.215:26518 200.1.1.2:26518 200.1.1.2:26518
*
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
CONFIGURAR EL SERVIDOR DHCP
R1(config)#ip dhcp pool trujillo
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
la red anterior.
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
Plaza Mayor,
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONICA
MECANISMO NAT
Director de Investigación y Desarrollo
Tecnológico del INICTEL-UNI
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
INTRODUCCION
correspondiente dirección global.
Dinámico.- Dirección IP perteneciente a un pool de direcciones IP
públicas se asignan a un host de la red.
Por puerto .- Llamado también PAT, relaciona varias direcciones IP
privadas a una sola dirección pública.
http://docwiki.cisco.com/wiki/Category:NAT
enrutable.
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VENTAJAS DEL NAT
cuando se cambia de ISP.
Con el PAT, sólo es necesario una dirección IP pública,
ahorro sustancial de direcciones IP.
Desde que las direcciones privadas internas no son
accesible externamente, hay un grado de seguridad.
*
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
ACCESS CONTROL LIST-ACL
protocolos de capas superiores.
El uso de ACL son:
Clasificar direcciones IP, puertos, entre otros.
Mecanismo NAT para definir una lista de direcciones privadas
que serán traducidas.
(policy-based routing)
Mecanismo de seguridad
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FORMACIÓN DE UNA LISTA: El Wildcard
Comando:
Analicemos todas las direcciones IP de la subred
200.1.2.128/26.
direcciones IP de la subred 200.1.2.128/26
Dirección
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FORMACIÓN DE UNA LISTA: El Wildcard
Comando:
Analicemos todas las direcciones IP impares de la subred
200.1.2.128/26.
200.1.2.129
0.0.0.62
IP impares de la subred 200.1.2.128/26
Dirección
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FORMACIÓN DE UNA LISTA: El Wildcard
Comando:
Lista que incluye todas las IP de la subred
200.1.2.128/26 excepto la dirección 200.1.2.129
200.1.2.128 = 200.1.2.1000 0000
200.1.2.129 = 200.1.2.1000 0001
200.1.2.130 = 200.1.2.1000 0010
200.1.2.131 = 200.1.2.1000 0011
200.1.2.191 = 200.1.2.1011 1111
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
ESCENARIO DE NAT
INSIDE
OUTSIDE
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FUNCIONAMIENTO DEL NAT ESTÁTICO
indicar como llegar a 204.4.1.0/26
Subred de NAT
R1
R2
R3
R4
R5
R6
R7
R8
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
R1(config)#ip nat inside source static 192.168.1.2 204.4.1.2
R1(config)#ip nat inside source static 192.168.1.3 204.4.1.3
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat inside
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VERIFICACIÓN DEL NAT ESTÁTICO
R1#clear ip nat translation forced
R1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.2:23695 192.168.1.2:23695 200.1.1.2:23695 200.1.1.2:23695
icmp 204.4.1.2:24207 192.168.1.2:24207 200.1.1.2:24207 200.1.1.2:24207
icmp 204.4.1.2:24463 192.168.1.2:24463 200.1.1.2:24463 200.1.1.2:24463
icmp 204.4.1.2:24975 192.168.1.2:24975 200.1.1.2:24975 200.1.1.2:24975
icmp 204.4.1.2:25231 192.168.1.2:25231 200.1.1.2:25231 200.1.1.2:25231
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
Pro Inside global Inside local Outside local Outside global
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FUNCIONAMIENTO DEL NAT DINÁMICO
indicar como llegar a 204.4.1.0/26
Subred de NAT
R1
R2
R3
R4
R5
R6
R7
R8
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0
R1(config)#access-list 1 deny 192.168.1.3 0.0.0.0
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.63
R1(config)#ip nat pool lima 204.4.1.4 204.4.1.14 netmask 255.255.255.192
R1(config)#ip nat inside source list 1 pool lima
R1(config)#exit
192.168.1.2 204.4.1.2
192.168.1.3 204.4.1.3
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VERIFICACIÓN DEL NAT DINÁMICO
Pro Inside global Inside local Outside local Outside global
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
--- 204.4.1.4 192.168.1.9 --- ---
Pro Inside global Inside local Outside local Outside global
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
--- 204.4.1.4 192.168.1.9 --- ---
--- 204.4.1.5 192.168.1.20 --- ---
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
FUNCIONAMIENTO DEL PAT
indicar como llegar a 204.4.1.0/26
Subred de NAT
R1
R2
R3
R4
R5
R6
R7
R8
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
ESCENARIO DE PAT: Configuración
R1(config)#ip nat pool ica 204.4.1.15 204.4.1.15 netmask 255.255.255.192
R1(config)#ip nat inside source list 2 pool ica overload
R1(config)#exit
192.168.1.2 204.4.1.2
192.168.1.3 204.4.1.3
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
VERIFICACIÓN DEL PAT
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.15:40085 192.168.1.64:40085 200.1.1.2:40085 200.1.1.2:40085
icmp 204.4.1.15:40597 192.168.1.64:40597 200.1.1.2:40597 200.1.1.2:40597
icmp 204.4.1.15:40853 192.168.1.64:40853 200.1.1.2:40853 200.1.1.2:40853
icmp 204.4.1.15:41365 192.168.1.64:41365 200.1.1.2:41365 200.1.1.2:41365
icmp 204.4.1.15:41621 192.168.1.64:41621 200.1.1.2:41621 200.1.1.2:41621
R1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.15:406 192.168.1.100:406 200.1.1.2:406 200.1.1.2:406
icmp 204.4.1.15:662 192.168.1.100:662 200.1.1.2:662 200.1.1.2:662
icmp 204.4.1.15:1174 192.168.1.100:1174 200.1.1.2:1174 200.1.1.2:1174
icmp 204.4.1.15:1430 192.168.1.100:1430 200.1.1.2:1430 200.1.1.2:1430
icmp 204.4.1.15:1942 192.168.1.100:1942 200.1.1.2:1942 200.1.1.2:1942
R1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.15:24982 192.168.1.215:24982 200.1.1.2:24982 200.1.1.2:24982
icmp 204.4.1.15:25494 192.168.1.215:25494 200.1.1.2:25494 200.1.1.2:25494
icmp 204.4.1.15:25750 192.168.1.215:25750 200.1.1.2:25750 200.1.1.2:25750
icmp 204.4.1.15:26262 192.168.1.215:26262 200.1.1.2:26262 200.1.1.2:26262
icmp 204.4.1.15:26518 192.168.1.215:26518 200.1.1.2:26518 200.1.1.2:26518
*
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
CONFIGURAR EL SERVIDOR DHCP
R1(config)#ip dhcp pool trujillo
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
la red anterior.
Propiedad intelectual de Daniel Díaz @ 2013
REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD
Plaza Mayor,
Related Documents
