10
NAT Dentro de la interminable lista de términos, abreviaciones y nomenclaturas de las telecomunicaciones NAT es una de las que más se repite. Antes de ver como se implementa NAT en una red primero veamos de que se trata. NAT (Network Address Translation) es uno de los mecanismos utilizados en la Internet actual para hacer frente a la escacez de direcciones IPv4 públicas junto con el enrutamiento sin clase CIDR (Classless Interdomain Routing) y la utilización de máscaras variables VLSM (Variable Lenght Subnet Mask). Hoy en día solamente queda cerca de un 5% de direcciones IPv4 públicas, con lo cual se hace cada vez más necesario comenzar con la implementación de IPv6. Sin embargo aún son muchas las organizaciones que no cuentan con IPv6 en sus redes y deben trabajar con las limitaciones de IPv4. Es ahí donde entra a funcionar NAT. Para resumir, casi groseramente, la utilidad de NAT podríamos decir que sirve para conectar a una o más redes LAN internas a Internet mediante una sola IP pública (o un grupo de ellas). En realidad NAT provee dos funcionalidades básicas que es la razón por la cual se ha seguido preferiendo este mecanismo para el funcionamiento de la mayoría de las LAN: Ahorro de direcciones públicas (y por ende, mucho dinero) y seguridad. Básicamente podemos decir que las redes utilizan un direccionamiento IP privado y que las máquinas que tienen una dirección de este tipo NO pueden ser alcanzadas desde Internet. Técnicamente, estas direcciones IP no son enrutables en la Internet pública. El rango de direcciones IP privadas está definido en el RFC 1928 y corresponde a los siguientes bloques: - 10.0.0.0/8 (10.0.0.0 – 10.255.255.255) - 172.16.0.0/12 (172.16.0.0 – 172.31.255.255) - 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)

NAT robby

Embed Size (px)

DESCRIPTION

NAT COMPLETO DE CISCO

Citation preview

NATDentro de la interminable lista de trminos, abreviaciones y nomenclaturas de las telecomunicaciones NAT es una de las que ms se repite. Antes de ver como se implementa NAT en una red primero veamos de que se trata.NAT (Network Address Translation) es uno de los mecanismos utilizados en la Internet actual para hacer frente a la escacez de direcciones IPv4 pblicas junto con el enrutamiento sin clase CIDR (Classless Interdomain Routing) y la utilizacin de mscaras variables VLSM (Variable Lenght Subnet Mask). Hoy en da solamente queda cerca de un 5% de direcciones IPv4 pblicas, con lo cual se hace cada vez ms necesario comenzar con la implementacin de IPv6. Sin embargo an son muchas las organizaciones que no cuentan con IPv6 en sus redes y deben trabajar con las limitaciones de IPv4. Es ah donde entra a funcionar NAT.Para resumir, casi groseramente, la utilidad de NAT podramos decir que sirve para conectar a una o ms redes LAN internas a Internet mediante una sola IP pblica (o un grupo de ellas). En realidad NAT provee dos funcionalidades bsicas que es la razn por la cual se ha seguido preferiendo este mecanismo para el funcionamiento de la mayora de las LAN: Ahorro de direcciones pblicas (y por ende, mucho dinero) y seguridad.Bsicamente podemos decir que las redes utilizan un direccionamiento IP privado y que las mquinas que tienen una direccin de este tipo NO pueden ser alcanzadas desde Internet. Tcnicamente, estas direcciones IP no son enrutables en la Internet pblica.El rango de direcciones IP privadas est definido en elRFC 1928y corresponde a los siguientes bloques:- 10.0.0.0/8 (10.0.0.0 10.255.255.255)- 172.16.0.0/12 (172.16.0.0 172.31.255.255)- 192.168.0.0/16 (192.168.0.0 192.168.255.255)Todas las direcciones IP que no estn en ese rango ni en los dems rangos especiales (APIPA, Loopbacks, Clase E, Clase D, etc.), son direcciones IP pblicas.Dicho esto entonces ahora podemos comprender mejor como opera NAT. Para eso vamos a ver la siguiente red de ejemplo.

La red LAN con los PC y el router utilizan el bloque 192.168.0.0/24 mientras que el ISP ha asignado la IP pblica 200.1.1.1/29 al router en su puerta WAN. En esta red se ha implementado NAT para que todos los PC puedan salir a Internet y sean reconocidos mediante la IP 200.1.1.1. De no existir esto, cada uno de los PC necesitara una direccin IP pblica nica para poder acceder a Internet, encareciendo el costo de los servicios.Por ahora vamos a describir 4 tipos de NAT bsicos. Hay otras implementaciones ms complejas como NAT-T que por lo general se utiliza para resolver problemas de conectividad con VPNs y acceso a redes detrs de un NAT.1. NAT dinmicoEl NAT dinmico es el ms bsico de todos los mtodos de traduccin de direcciones privadas a pblicas. Consiste en tener un bloque IP pblico e ir asignando dinmicamente una de esas IP a cada mquina de la LAN interna para que salga a Internet. Si tenemos 3 mquinas en nuestra LAN, como la imagen, necesitaremos entonces 3 IP pblicas extra (aparte de la necesaria en la interfaz WAN del router) para lograr conectividad. En este tipo de NAT, las IP reservadas para el bloque pblico se van utilizando y se crea un mapping 1:1 entre las IP internas y las externas. Si definimos solo 3 IP pblicas entonces solamente podrn conectarse 3 mquinas internas hacia Internet. Esta asociacin se crea en forma dinmica.

Configuracin:Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask 255.255.255.248Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255Router(config)# ip nat inside source list 1 pool RANGOPUBLICORouter(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outsideEl comandoip nat poolpermite crear el rango de direcciones IP pblicas que vamos a asignar al NAT dinmico y asociarlo a un nombre. En este caso RANGOPUBLICO. Luego se crea una ACL estndar donde seleccionamos el rango completo de nuestro bloque LAN. Esta ACL no se utiliza para implementar bloqueo de direcciones, si no simplemente se utiliza para seleccionar cuales IP de la LAN sern traducidas.Luego el paso ms importante es definir el sentido del NAT. Siempre la LAN ser la red de adentro e Internet ser la red de afuera. Por lo mismo se declara la FastEthernet0/0 de nuestro router como interna con el comandoip nat insidey se hace lo propio en la interfaz que apunta hacia Internet con el comandoip nat outside.Mucho cuidado con no invertir este orden por que NAT nunca funcionar. En todos los tipos de NAT se debe definir las interfaces inside y outside.La desventaja de implementar NAT dinmico es que se debe contar con una IP pblica para cada PC de la LAN interna que se quiera conectar a Internet. En un entorno con ms de 100 equipos, que es lo habitual, esto encarecera enormemente los costos mensuales del acceso a Internet. Por esta razn no es muy fcil encontrar NAT dinmico actualmente.

2. NAT estticoEl NAT esttico es el ms simple de configurar y permite asociar estticamente una direccin pblica a una direccin IP privada. Es ideal para permitir el acceso desde Internet a un servidor que alojamos en una DMZ por ejemplo o en la red LAN institucional.

En nuestra LAN se ha instalado un servidor Web al cual se le ha asignado la direccin IP privada 192.168.0.10, pero es requisito que desde Internet tambin se pueda acceder. Ya que tenemos direcciones IP privadas, este servidor no puede ser alcanzado desde una red pblica, por lo tanto creamos una forma de asociar una direccin IP pblica nica al servidor. Ac hemos asignado la IP 200.1.1.5/29. Esta IP no puede ser utilizada en otro NAT al mismo tiempo ya que queda reservada para la IP 192.168.0.10. En otros sistemas, como OpenBSD, se suele utilizar el nombre de NAT 1:1 (one-to-one).Configuracin :Router(config)# ip nat inside source static 192.168.0.10 200.1.1.5Router(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outsideBasta con la declaracin del mapeo en la lneaip nat inside source static 192.168.0.10 200.1.1.5, declarar las interfaces inside y outside y listo. Claro, si ya se tiene otro mtodo de NAT en el mismo router entonces no es necesario volver a redeclarar las interfaces. Es as de simple.

3. PATEl nombre PAT proviene de Port Address Translation y es el mtodo de NAT ms utilizado probablemente. A diferencia de los dos mtodos anteriores donde cada IP privada se mapea en forma directa con una nica IP pblica, en el PAT se asocian dinmicamente todas las conexiones originadas en la LAN con una nica IP pblica, identificando cada sesin con un puerto de dicha IP (Por eso se llama Port Address Translation).Habitualmente PAT se conoce tambin como Sobrecarga u Overload, ya que se le da todo el trabajo de traduccin a una sola IP o interfaz de red.

En este caso hemos habilitado PAT en la interfaz f0/1. As, todas las mquinas del bloque 192.168.0.0/24 podrn salir a Internet a travs de la IP 200.1.1.1. Para lograr esto el router mapea dinmicamente cada sesin con un puerto de la IP pblica. Este es el tipo de NAT que ms se usa, adems de venir implementado de manera predeterminada en los routers de tipo SOHO (domsticos). Noten que adems del PAT del router, tambin hay una entrada esttica que definimos anteriormente para el servidor Web en la IP 192.168.0.10. Cuando se genere una solicitud desde/hacia este servidor, el router inmediatamente aplicar su NAT esttico y no meter la IP 192.168.0.10 en la asociacin dinmica de puertos.Configuracin:Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255Router(config)# ip nat inside source list 1 interface f0/1 overloadRouter(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outsideEn este caso tambin creamos una ACL estndar para seleccionar las IP de la red LAN que sern traducidas en el PAT y luego con el comandoip nat inside source list 1 interface f0/1 overloadasociamos esa ACL (que le dimos el nmero 1) con la interfaz WAN donde haremos la sobrecarga. La palabra OVERLOAD es clave para activar PAT correctamente.4. PAT con mltiples IPAunque hemos mencionado que PAT es el mecanismo ms ampliamente configurado en las redes actuales, lo cierto es que tiene una tremenda limitacin en entornos donde la cantidad de mquinas en la LAN es de gran tamao. Si se fijan bien, en el PAT cada vez que hay una conexin originada en la red LAN, al pasar por el router este asigna un puerto de la IP 200.1.1.1 para mapear esa conexin. Sabes cuanto es el total de puertos que existe en TCP/IP?. 2 elevado a 16 puertos: 65536.Imagnense que hay 300 mquinas en una LAN donde se est haciendo PAT y cada PC est generando una gran cantidad de conexiones simultneas hacia Internet, como por ejemplo, la descarga de msica mediante una aplicacin P2P o est siendo vctima de un ataque DoS. Solo por ejemplificar, supongamos que cada mquina genera 200 conexiones simultneas. Ya habrn problemas porque 200 conexiones por 300 PC son 75000 sesiones que deber manejar el router en su asociacin PAT, pero acabamos de decir que solamente se pueden establecer un mximo de 65536 traducciones simultneas en una direccin IP, por lo que 9464 conexiones no tendran xito y expiraran. Ha experimentado el hecho de intentar abrir una pgina Web esperando una gran cantidad de tiempo y al segundo intento abre en forma instantnea? Bueno, esto es un sntoma de una saturacin en el PAT de un Router.Para solucionar ese problema simplemente podemos asociar una nueva IP pblica a la sobecarga o un rango de ellas, multiplicando las cantidades de sesiones simultneas que se permitan en la traduccin de puertos.

Esta vez hemos ampliado la capacidad del PAT agregando un pool de direcciones a la sobrecarga de la traduccin. Ya no solamente se utiliza la IP 200.1.1.1 para conectar a todos desde Internet, si no que se utilizan tambin las direcciones 200.1.1.2 a la 200.1.1.4.Router(config)# ip nat pool RANGO_PAT_PUBLICO 200.1.1.1 200.1.1.4 netmask 255.255.255.248Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255Router(config)# ip nat inside source list 1 pool RANGO_PAT_PUBLICO overloadRouter(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outsideAc hemos creado un rango de direcciones pblicas que utilizaremos para la sobrecarga y lo hemos llamado RANGO_PAT_PUBLICO. Luego creamos una ACL estndar para seleccionar el bloque LAN que vamos a traducir. Luego con el comandoip nat inside source list 1 pool RANGO_PAT_PUBLICO overloadasociamos esa ACL al pool de direcciones pblicamos y hacemos sobrecarga.Nuevamente no hay que olvidarse de definir las interfaces inside y outside.Eso es todo. No es tan complicado como se ve. Claro, hay cierta terminologa que se aplica dentro de NAT que no hemos cubierto en los ejemplos mostrados que explicamos ahora. Vale la pena detenerse un poco a comprender bien estos trminos porque por lo general causan confusin entre los alumnos e instructores (me incluyo).- Inside Local: Se conoce como Inside Local a la direccin IP interna privada de algn PC de la red LAN.- Inside Global: Es la direccin IP pblica que est siendo utilizada para traducir las IP privadas. La IP WAN del Router en la interfaz f0/1 es considerada Inside Global, as mismo como todas las IP de los rangos pblicos.- Outside Local: Corresponde a la direccin IP de un host ubicado en la red externa (Internet) tal como se muestra en la red LAN interna. No necesariamente tiene que ser una IP pblica legtima.- Outside Global: Es la direccin IP pblica de un host de destino en la red externa.

Comandos tiles:show ip nat translationshow ip nat staticdebug ip nat

Para deshabilitar NAT en el router:1. Desactive las interfaces inside y outsideRouter(config)# interface FastEthernet0/0Router(config-if)# no ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# no ip nat outside2. Limpie la tabla de traducciones:Router# clear ip nat translations3. Elimine las ACL y los comandos NAT creados anteponiendo la palabra no. Ejemplo:Router(config)# no ip nat pool RANGO_PAT_PUBLICO 200.1.1.1 200.1.1.4 netmask 255.255.255.248Router(config)# no access-list 1 permit 192.168.0.0 0.0.0.255outer(config)# no ip nat inside source list 1 pool RANGO_PAT_PUBLICO overloadPara ms informacin puede consultar los siguientes enlaces:


W05 robby & rob

W05 robby & rob

Education
5 Robby Beas / DGC

5 Robby Beas / DGC

Education
Jazzophoniker Repertoireliste vorlage · Jazzophoniker.at!!! !! The!Lady!is!a!tramp!–!Robby! Thenearnessofyou!–!Nat!KingCole! Thinkingoutloud–!EdSheeran! Truecolors–!CindyLauper!!

Jazzophoniker Repertoireliste vorlage · Jazzophoniker.at!!! !! The!Lady!is!a!tramp!–!Robby! Thenearnessofyou!–!Nat!KingCole! Thinkingoutloud–!EdSheeran! Truecolors–!CindyLauper!!

Documents
Dualboot robby

Dualboot robby

Data & Analytics
未命名 -1 Halal.pdf12.3 124 NAT NAT- NAT- 129 NAT- -132 NAT NAT- 133 -134 NAT NAT- 135 NAT. 137 NAT. NA NAT- 139 140 NAT. 141 142 NAT- NAT- 143 NAT- NAT 147 NAT- This certificate

未命名 -1 Halal.pdf12.3 124 NAT NAT- NAT- 129 NAT- -132 NAT NAT- 133 -134 NAT NAT- 135 NAT. 137 NAT. NA NAT- 139 140 NAT. 141 142 NAT- NAT- 143 NAT- NAT 147 NAT- This certificate

Documents
Robby johnson digital book

Robby johnson digital book

Documents
Robby Muller

Robby Muller

Documents
Manajemen paket robby

Manajemen paket robby

Education
M robby f_mi2b_tugas 2

M robby f_mi2b_tugas 2

Education
Robby Cobarrubias Part 5 Presentation

Robby Cobarrubias Part 5 Presentation

Presentations & Public Speaking
Laporan Robby Rismawan 1

Laporan Robby Rismawan 1

Documents
Robby 2011

Robby 2011

Documents
NAT SQ - Ciffreo Bona · superficie - surface nat sq nat sq nat sq nat sq nat sq nat sq nat nat nat nat nat nat nat shell of25 oe36 of63 oe48 oe44 oe52 of13 of17 of21 oe80 a oe84

NAT SQ - Ciffreo Bona · superficie - surface nat sq nat sq nat sq nat sq nat sq nat sq nat nat nat nat nat nat nat shell of25 oe36 of63 oe48 oe44 oe52 of13 of17 of21 oe80 a oe84

Documents
Robby trenggana IPA3 [Tugas Tikom]

Robby trenggana IPA3 [Tugas Tikom]

Documents
Robby Dwitama 1206217300 LR03

Robby Dwitama 1206217300 LR03

Documents
robby edwardsen

robby edwardsen

Documents
Robby Week1 Oodlc

Robby Week1 Oodlc

Documents
Robby and Liz Blum Lawsuit

Robby and Liz Blum Lawsuit

Documents
VAT Robby Nair

VAT Robby Nair

Documents
Welcome! Principal Robby Dodd

Welcome! Principal Robby Dodd

Documents
Robby Eriend (0910912021)

Robby Eriend (0910912021)

Documents
Robby Williams - She's the One

Robby Williams - She's the One

Documents
Status Mata Robby

Status Mata Robby

Documents
PRESENTED BY ROBBY ROBINSON

PRESENTED BY ROBBY ROBINSON

Documents
Kir Sidiq, Robby, Faizul

Kir Sidiq, Robby, Faizul

Documents
Robby Johnson Digital Booklet

Robby Johnson Digital Booklet

Entertainment & Humor
Uji Tarik Robby 3c

Uji Tarik Robby 3c

Documents
Responsi Robby

Responsi Robby

Documents
Robby Titip

Robby Titip

Documents
Robby the robot -on patrol

Robby the robot -on patrol

Entertainment & Humor