5/26/2018 Sist. Comun II- 06-Mecanismo NAT

1/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

MECANISMO NAT

Profesor Daniel Daz Ataucuriddiaz@inictel-uni.edu.pe

http://www.danieldiaza.com

Catedrtico Titular a Tiempo Parcial FIEE-UNI / UNMSMDirector de Investigacin y Desarrollo

Tecnolgico del INICTEL-UNI

Lima, Abril-Diciembre de 2013

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

2/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

REVISINDE ASPECTOSBSICOS

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

3/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

Internet

Enlace de datos

Aplicacin

Transporte

InternetEnlace de datosRouter

Aplicacin

Fa Fb R1

R2

IP2

Fc

Fd

Tabla de enrutamientoRed de IP2 ir primero a R2

FUNCIN DE LA CAPA INTERNET:

DEFINIR TRAYECTORIADecide enviar

a la puerta de

enlace

Fa,Fb

Decide enviar

al router R2

Fc,Fd

Fc,Fd

Direccin IP de origen IP1

Direccin IP de destino IP2

Definetrayectoria

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

4/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

IPorg=200.1.1.2IPdes=200.3.3.2TTL= 3cH = 61

Suma de Chequeo=b321HMACorg=c0 05 0f 9c 00 08MACdes=00 50 79 66 68 02

R1 R2 R4

R6

30.1.1.0/30 30.1.1.4/30 30.1.1.8/30

.1 .2 .5 .6 .9 .10.13

.14.17

.18

.21

.22

200.1.1.0/24

200.2.2.0/24

200.3.3.0/24

.1

.1

.1

.2

.2

.2

R3

R7

R5

IPorg=200.1.1.2IPdes=200.3.3.2TTL=40H = 64 (decimal)Suma de Chequeo=af21HMACorg=00 50 79 66 68 00MACdes=ca 00 10 0c 00 08

IPorg=200.1.1.2IPdes=200.3.3.2TTL= 3fH = 63 (decimal)Suma de Chequeo=b021HMACorg=ca 00 10 0c 00 06MACdes=ca 01 10 oc 00 08

IPorg=200.1.1.2IPdes=200.3.3.2TTL=3eH = 62Suma de Chequeo=b121HMACorg=ca 01 10 0c 00 1cMACdes=ca 04 of 9c 00 06

0.0.0.0 0.0.0.0 30.1.1.2

0.0.0.0 0.0.0.0 30.1.1.21

0.0.0.0 0.0.0.0 30.1.1.17

200.1.1.0 255.255.255.0 30.1.1.1

200.3.3.0 255.255.255.0 30.1.1.14200.2.2.0 255.255.255.0 30.1.1.6

200.1.1.0 255.255.255.0 30.1.1.5

200.3.3.0 255.255.255.0 30.1.1.5200.2.2.0 255.255.255.0 30.1.1.10

200.1.1.0 255.255.255.0 30.1.1.9

200.3.3.0 255.255.255.0 30.1.1.9200.2.2.0 255.255.255.0 30.1.1.22

200.1.1.0 255.255.255.0 30.1.1.13

200.3.3.0 255.255.255.0 30.1.1.18200.2.2.0 255.255.255.0 30.1.1.13

Campo ID en todoslos paquetes IP esf7a2H = 63394

IPorg=200.1.1.2IPdes=200.3.3.2TTL= 3dH = 61Suma de Chequeo=b221HMACorg=ca 04 0f 9c 00 08MACdes=c0 05 0f 9c 00 06

ANALISIS DE UNA RED IPv4

Trayectoria

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

5/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

IMPORTANCIA DE LA MSCARA

Red de Mscara de Salto

Destino Red Destino Siguiente

202.2.2.0 255.255.255.0 130.1.1.6

203.3.3.0 255.255.255.128 130.1.1.6

203.3.3.128 255.255.255.128 130.1.1.18

R1R3 R4

R2 R5

R6

130.1.1.8/30

130.1.1.20/30

.1

.5

.6

.9 .10

.21 .22

.17

.18

.13

.14

.25

.26

.1

201.1.1.0/24 202.2.2.0/24

203.3.3.0/25

203.3.3.128/25

.1

.129

.55

.133

IP 203.3.3.133

203. 3 . 3 . 0

203. 3 . 3 . 133 AND

255.255.255.0 Primera mscaraNo coincide con el primer

prefijo de red de la tabla 203. 3 . 3 . 128

203. 3 . 3 . 133 AND

255.255.255.128 Segunda mscara

No coincide con el segundo

prefijo de red de la tabla

203. 3 . 3 . 128

203. 3 . 3 . 133 AND255.255.255.128 Tercera mscara

Sicoincide con el tercerprefijo de red de la tabla

Salto siguiente

130.1.1.18

IP 203.3.3.133

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

6/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

SISTEMAS AUTONOMOS (AS)

Es un conjunto de redes bajo una administracin

comn y comparten una estrategia de enrutamientocomn.

Un AS se identifica por un nmero de 16 bits o 32 bitsLACNIC es el que lo administra en nuestra regin.

RFC 4893 BGP Support for Four-octet AS Number Space

SISTEMA AUTNOMO 1000

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

7/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

NUMERO DE SISTEMAS AUTONOMOS (ASN)

Los ASN 0 y 65535 son reservados.El bloque de ASN: 64512 hasta 65534 es para usoprivado.

El ASN 23456 es tambin reservado.El bloque de ASN desde el 1 hasta el 64511, excepto el23456, es utilizado para el enrutamiento en la Internet.

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-1/ipj_9-1.pdf

Ingreso y

salida de

datos

Aqu se programa el ASNcon BGP

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

8/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

Algoritmo

Algoritmo Algoritmo

Algoritmo

AlgoritmoAlgoritmo

ACTUALIZACIN DE TABLA DE

ENRUTAMIENTO DENTRO DE UN AS

Dato

-- -- ---- -- ---- -- ---- -- --

-- -- ---- -- ---- -- ---- -- ---- -- ---- -- ---- -- ---- -- --

-- -- ---- -- ---- -- ---- -- --

-- -- ---- -- ---- -- ---- -- ---- -- ---- -- ---- -- ---- -- --

Inform.

Inform. Inform.

Inform.

Dato

Protocolo de enrutamiento enva informacin de los routers: usa el algoritmo.

Protocolo enrutado: Contiene los datos

Luego se ejecuta un algoritmo

en cada router para encontrar

la tabla de enrutamiento

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

9/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

COMUNICACIN ENTRE ASLAN 1 LAN 2

LAN 3

LAN 4 LAN 5

LAN 6

LAN a LAN b

Sistema Autnomo

Sistema AutnomoSistema Autnomo

LAN 1, 2, 3,etc

LAN 4, 5, 6,etc

LAN a, b,etc

LAN a, b,etc

iBGP

Se comollegar a

LAN 1,2,3

Se comollegar a

LAN 4,5,6

Se comollegar a

LAN a, b

Se comollegar a

LAN a, b

eBGP eBGP

Se comollegar a

LAN 4,5,6 y1,2,3

Se comollegar a

LAN 1,2,3 y4,5,6

Se comollegar a

LAN a, b y4,5,6

Se comollegar a

LAN a, b y1,2,3

Cada routerde borde

tienen dos tablas

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

10/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

CLASIFICACIN DE LOS PROTOCOLOS

DE ENRUTAMIENTO

IGP: RIP, IGRP, OSPF, EIGRP IGP: RIP, IGRP, OSPF, EIGRP

EGP: BGP

SISTEMA AUTNOMO SISTEMA AUTNOMO

R i i d t b i

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

11/31

ddiaz

@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

MECANISMO DE

TRADUCCIN DEDIRECCIONES:

NAT

R i i d t b i

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

12/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

INTRODUCCION

El NAT es un mecanismo que permite traducir unadireccin de red privada a una direccin IP pblicaenrutable.

El NAT puede ser:Esttico.- Cada direccin local privada se mapea con sucorrespondiente direccin global.

Dinmico.- Direccin IP perteneciente a un pool de direcciones IP

pblicas se asignan a un host de la red.

Por puerto .- Llamado tambin PAT, relaciona varias direcciones IP

privadas a una sola direccin pblica.

http://docwiki.cisco.com/wiki/Category:NAT

R i i d t b i

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

13/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

VENTAJAS DEL NAT

No es necesario volver a reasignar nuevas direcciones IPcuando se cambia de ISP.

Con el PAT, slo es necesario una direccin IP pblica,ahorro sustancial de direcciones IP.

Desde que las direcciones privadas internas no sonaccesible externamente, hay un grado de seguridad.

R i i d t b i

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

14/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

ACCESS CONTROL LIST-ACL

ACL es una lista secuencial de sentencias, de permisoso denegaciones que se aplican a direcciones IP oprotocolos de capas superiores.Clasifica direcciones y flujos de datos

El uso de ACL son:Clasificar direcciones IP, puertos, entre otros.

Mecanismo NATpara definir una lista de direcciones privadas

que sern traducidas.Especificar criterios en la tabla de enrutamiento

(policy-based routing)

Identificar que direcciones IP pasan por una VPN

Mecanismo de seguridad

Revisin de aspectos bsicos

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

15/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

Prop

iedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

FORMACIN DE UNA LISTA: El Wildcard

Analicemos todas las direcciones IP de la subred200.1.2.128/26.

200.1.2.128 = 200.1.2.1000 0000

200.1.2.129 = 200.1.2.1000 0001200.1.2.130 = 200.1.2.1000 0010200.1.2.131 = 200.1.2.1000 0011

200.1.2.191 = 200.1.2.1011 1111

Expresado enbinario

Condicin quea de cumplir

200.1.2.10xx xxxx

Irrele-vante

0011 1111

Condicin quea de cumplir

Todos encero

Direccinde referencia

Wildcard

200.1.2.128

0.0.0.63

Se ha formado una lista con todas las

direcciones IP de la subred 200.1.2.128/26

Direccinde referencia

Wildcard

Comando:R(config)# access-list 1 permit 200.1.2.128 0.0.0.63

Revisin de aspectos bsicos

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

16/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

Analicemos todas las direcciones IP impares de la subred200.1.2.128/26.

200.1.2.129

0.0.0.62

Se ha formado una lista con las direcciones

IP imparesde la subred 200.1.2.128/26

Direccinde referencia

Wildcard

200.1.2.129 = 200.1.2.1000 0001

200.1.2.131 = 200.1.2.1000 0011200.1.2.133 = 200.1.2.1000 0101

200.1.2.191 = 200.1.2.1011 1111

Expresado enbinario

Condicin que

a de cumplirCondicin quea de cumplir

200.1.2.10xx xxx1

Irrele-vante

0011 1110

Condicin quea de cumplir

Todos encero

Direccinde referencia

Wildcard

Condicin quea de cumplir

FORMACIN DE UNA LISTA: El Wildcard

Comando:R(config)# access-list 1 permit 200.1.2.129 0.0.0.62

Revisin de aspectos bsicos

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

17/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

FORMACIN DE UNA LISTA: El Wildcard

Lista que incluye todas las IP de la subred200.1.2.128/26 excepto la direccin 200.1.2.129

Comando:access-list 1 deny 200.1.2.129 0.0.0.0access-list 1 permit 200.1.2.128 0.0.0.63

200.1.2.128 = 200.1.2.1000 0000

200.1.2.129 = 200.1.2.1000 0001200.1.2.130 = 200.1.2.1000 0010200.1.2.131 = 200.1.2.1000 0011

200.1.2.191 = 200.1.2.1011 1111

Expresado enbinario

Condicin quea de cumplir

Revisin de aspectos bsicos

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

18/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

ESCENARIO DE NAT

R1R2

R3 R4

R5

R6

R7

R8192.168.1.2 204.4.1.2192.168.1.3 204.4.1.3

192.168.1.4192.168.1.63

204.4.1.4204.4.1.14

192.168.1.64192.168.1.254

204.4.1.15:p

TABLA DE NAT

R1 Servidor DHCP

Ofrece el rango:192.168.1.64 a 192.168.1.254

20.1.1.4/30

21.2.2.0/30

200.1.1.0/25

200.1.1.128/25

192.168.1.0/24

.2

.1.5 .6

.9

.10

.13

.14 .17

.18 .9

.10

.5

.6

.1 .2.1

.1

.129

.130

.2

PCa

PCb

PCc

.21

.22.2

Fa0/0

Fa0/1

Fa0/0

Fa0/1 Fa0/0Fa0/0

Fa0/0Subred de NAT

204.4.1.0/26

Donde pes el puerto

ubicado en la capa 4.

INSIDE

OUTS

IDE

Revisin de aspectos bsicos

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

19/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

R1R2

R3 R4

R5

R6

R7

R8192.168.1.2 204.4.1.2192.168.1.3 204.4.1.3

192.168.1.4192.168.1.63

204.4.1.4204.4.1.14

192.168.1.64192.168.1.254

204.4.1.15:p

TABLA DE NAT

20.1.1.4/30

21.2.2.0/30

200.1.1.0/25

200.1.1.128/25

192.168.1.0/24

.2

.1.5 .6

.9

.10

.13

.14 .17

.18 .9

.10

.5

.6

.1 .2.1

.1

.129

.130

.2

PCa

PCb

PCc

.21

.22.2

Fa0/0

Fa0/1

Fa0/0

Fa0/1 Fa0/0Fa0/0

Fa0/0

IPorig =192.168.1.2IPdest= 200.1.1.2

IPorig = 204.4.1.2IPdest= 200.1.1.2

FUNCIONAMIENTO DEL NAT ESTTICO

IPorig = 204.4.1.2IPdest= 200.1.1.2

IPorig = 204.4.1.2IPdest= 200.1.1.2

IPorig = 204.4.1.2IPdest= 200.1.1.2

IPorig = 204.4.1.2IPdest= 200.1.1.2

IPorig 200.1.1.2IPdest= 204.4.1.2

Las tablas deenrutamiento de

la red debeindicar como

llegar a204.4.1.0/26

IPorig = 200.1.1.2IPdest= 204.4.1.2

IPorig = 200.1.1.2

IPdest= 204.4.1.2

IPorig 200.1.1.2IPdest= 204.4.1.2

Iporig = 200.1.1.2

IPdest=192.168.1.2

Iporig = 200.1.1.2IPdest= 204.4.1.2

Subred de NAT

204.4.1.0/26

Donde pes el puerto

ubicado en la capa 4.

204.4.1.0 255.255.255.192 20.1.1.21

etc etc etc

204.4.1.0 255.255.255.192 20.1.1.9

etc etc etc

0.0.0.0 0.0.0.0 21.2.2.5

204.4.1.0 255.255.255.192 21.2.2.1

etc etc etc

Revisin de aspectos bsicos

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

20/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

192.168.1.2 204.4.1.2192.168.1.3 204.4.1.3

192.168.1.4a

192.168.1.63

204.4.1.4a

204.4.1.14

192.168.1.64a

192.168.1.254

204.4.1.15:p

TABLA DE NAT

R1(config)#ip nat inside source static 192.168.1.2 204.4.1.2

R1(config)#ip nat inside source static 192.168.1.3 204.4.1.3R1(config)#interface fastEthernet 0/0

R1(config-if)#ip nat inside

R1(config-if)#exit

R1(config)#interface fastEthernet 0/1

R1(config-if)#ip nat outside

CONFIGURACIN DEL NAT ESTTICO

Revisin de aspectos bsicos

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

21/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDan

ielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

VERIFICACIN DEL NAT ESTTICO

R1#show ip nat translationPro Inside global Inside local Outside local Outside globalicmp 204.4.1.2:23695 192.168.1.2:23695 200.1.1.2:23695 200.1.1.2:23695

icmp 204.4.1.2:24207 192.168.1.2:24207 200.1.1.2:24207 200.1.1.2:24207

icmp 204.4.1.2:24463 192.168.1.2:24463 200.1.1.2:24463 200.1.1.2:24463

icmp 204.4.1.2:24975 192.168.1.2:24975 200.1.1.2:24975 200.1.1.2:24975

icmp 204.4.1.2:25231 192.168.1.2:25231 200.1.1.2:25231 200.1.1.2:25231--- 204.4.1.2 192.168.1.2 --- ------ 204.4.1.3 192.168.1.3 --- ---

R1#show ip nat translationPro Inside global Inside local Outside local Outside global

--- 204.4.1.2 192.168.1.2 --- ---icmp 204.4.1.3:12176 192.168.1.3:12176 200.1.1.2:12176 200.1.1.2:12176

icmp 204.4.1.3:12432 192.168.1.3:12432 200.1.1.2:12432 200.1.1.2:12432

icmp 204.4.1.3:12944 192.168.1.3:12944 200.1.1.2:12944 200.1.1.2:12944

icmp 204.4.1.3:13200 192.168.1.3:13200 200.1.1.2:13200 200.1.1.2:13200

icmp 204.4.1.3:13712 192.168.1.3:13712 200.1.1.2:13712 200.1.1.2:13712

--- 204.4.1.3 192.168.1.3 --- ---

Para borrar la tabla NAT:

R1#clear ip nat translation forced

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

22/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

R1R2

R3 R4

R5

R6

R7

R8192.168.1.2 204.4.1.2192.168.1.3 204.4.1.3

192.168.1.4192.168.1.63

204.4.1.4204.4.1.14

192.168.1.64192.168.1.254

204.4.1.15:p

TABLA DE NAT

20.1.1.4/30

21.2.2.0/30

200.1.1.0/25

200.1.1.128/25

192.168.1.0/24

.2

.1.5 .6

.9

.10

.13

.14 .17

.18 .9

.10

.5

.6

.1 .2.1

.1

.129

.130

.2

PCa

PCb

PCc

.21

.22.9

Fa0/0

Fa0/1

Fa0/0

Fa0/1 Fa0/0Fa0/0

Fa0/0

IPorig =192.168.1.9IPdest= 200.1.1.2

IPorig = 204.4.1.4IPdest= 200.1.1.2

FUNCIONAMIENTO DEL NAT DINMICO

IPorig = 204.4.1.4IPdest= 200.1.1.2

IPorig = 204.4.1.4IPdest= 200.1.1.2

IPorig = 204.4.1.4IPdest= 200.1.1.2

IPorig = 204.4.1.4IPdest= 200.1.1.2

IPorig 200.1.1.2IPdest= 204.4.1.4

Las tablas deenrutamiento de

la red debeindicar como

llegar a204.4.1.0/26

IPorig = 200.1.1.2IPdest= 204.4.1.4

IPorig = 200.1.1.2

IPdest= 204.4.1.4

IPorig 200.1.1.2IPdest= 204.4.1.4

Iporig = 200.1.1.2

IPdest=192.168.1.9

Iporig = 200.1.1.2IPdest= 204.4.1.4

Subred de NAT

204.4.1.0/26

Donde pes el puerto

ubicado en la capa 4.

204.4.1.0 255.255.255.192 20.1.1.21

etc etc etc

204.4.1.0 255.255.255.192 20.1.1.9

etc etc etc

0.0.0.0 0.0.0.0 21.2.2.5

204.4.1.0 255.255.255.192 21.2.2.1

etc etc etc

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

23/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0

R1(config)#access-list 1 deny 192.168.1.3 0.0.0.0R1(config)#access-list 1 permit 192.168.1.0 0.0.0.63

R1(config)#ip nat pool lima 204.4.1.4 204.4.1.14 netmask 255.255.255.192

R1(config)#ip nat inside source list 1 pool lima

R1(config)#exit

ESCENARIO DE NAT DINMICO: Configuraci

192.168.1.2 204.4.1.2192.168.1.3 204.4.1.3

192.168.1.4a

192.168.1.63

204.4.1.4a

204.4.1.14

192.168.1.64a

192.168.1.254

204.4.1.15:p

TABLA DE NAT

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

24/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

Revisin de aspectos bsicos.

Mecanismo NAT

VERIFICACIN DEL NAT DINMICOR1#show ip nat translation

Pro Inside global Inside local Outside local Outside global--- 204.4.1.2 192.168.1.2 --- ------ 204.4.1.3 192.168.1.3 --- ---icmp 204.4.1.4:39569 192.168.1.9:39569 200.1.1.2:39569 200.1.1.2:39569

icmp 204.4.1.4:40081 192.168.1.9:40081 200.1.1.2:40081 200.1.1.2:40081

icmp 204.4.1.4:40337 192.168.1.9:40337 200.1.1.2:40337 200.1.1.2:40337

icmp 204.4.1.4:40849 192.168.1.9:40849 200.1.1.2:40849 200.1.1.2:40849icmp 204.4.1.4:41105 192.168.1.9:41105 200.1.1.2:41105 200.1.1.2:41105

--- 204.4.1.4 192.168.1.9 --- ---R1#show ip nat translationPro Inside global Inside local Outside local Outside global

--- 204.4.1.2 192.168.1.2 --- ---

--- 204.4.1.3 192.168.1.3 --- ------ 204.4.1.4 192.168.1.9 --- ---icmp 204.4.1.5:58257 192.168.1.20:58257 200.1.1.2:58257 200.1.1.2:58257

icmp 204.4.1.5:58769 192.168.1.20:58769 200.1.1.2:58769 200.1.1.2:58769

icmp 204.4.1.5:59025 192.168.1.20:59025 200.1.1.2:59025 200.1.1.2:59025

icmp 204.4.1.5:59537 192.168.1.20:59537 200.1.1.2:59537 200.1.1.2:59537

icmp 204.4.1.5:59793 192.168.1.20:59793 200.1.1.2:59793 200.1.1.2:59793

--- 204.4.1.5 192.168.1.20 --- ---

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

25/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

p

Mecanismo NAT

R1R2

R3 R4

R5

R6

R7

R8192.168.1.2 204.4.1.2192.168.1.3 204.4.1.3

192.168.1.4192.168.1.63

204.4.1.4204.4.1.14

192.168.1.64192.168.1.254

204.4.1.15:p

TABLA DE NAT

20.1.1.4/30

21.2.2.0/30

200.1.1.0/25

200.1.1.128/25

192.168.1.0/24

.2

.1.5 .6

.9

.10

.13

.14 .17

.18 .9

.10

.5

.6

.1 .2.1

.1

.129

.130

.2

PCa

PCb

PCc

.21

.22.64

Fa0/0

Fa0/1

Fa0/0

Fa0/1 Fa0/0Fa0/0

Fa0/0

IPorig =192.168.1.64IPdest= 200.1.1.2

IPorig = 204.4.1.15:p1IPdest= 200.1.1.2

FUNCIONAMIENTO DEL PAT

IPorig = 204.4.1.15:p1IPdest= 200.1.1.2

IPorig = 204.4.1.15:p1IPdest= 200.1.1.2

IPorig = 204.4.1.15:p1IPdest= 200.1.1.2

IPorig = 204.4.1.15:pIPdest= 200.1.1.2

IPorig 200.1.1.2IPdest= 204.4.1.15:p1

Las tablas deenrutamiento de

la red debeindicar como

llegar a204.4.1.0/26

IPorig = 200.1.1.2IPdest= 204.4.1.15:p1

IPorig = 200.1.1.2IPdest= 204.4.1.15:p1

IPorig 200.1.1.2IPdest= 204.4.1.15:p1

Iporig = 200.1.1.2

IPdest=192.168.1.64

Iporig = 200.1.1.2IPdest= 204.4.1.15:p1

Subred de NAT

204.4.1.0/26

Donde pes el puerto

ubicado en la capa 4.

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

26/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

p

Mecanismo NAT

ESCENARIO DE PAT: Configuracin

192.168.1.2 204.4.1.2192.168.1.3 204.4.1.3

192.168.1.4a

192.168.1.63

204.4.1.4a

204.4.1.14

192.168.1.64a

192.168.1.254

204.4.1.15:p

TABLA DE NAT

R1(config)#access-list 2 deny 192.168.1.0 0.0.0.63

R1(config)#access-list 2 permit 192.168.1.0 0.0.0.255R1(config)#ip nat pool ica 204.4.1.15 204.4.1.15 netmask 255.255.255.192

R1(config)#ip nat inside source list 2 pool ica overload

R1(config)#exit

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

27/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

p

Mecanismo NAT

VERIFICACIN DEL PATR1#show ip nat translationPro Inside global Inside local Outside local Outside global

icmp 204.4.1.15:40085 192.168.1.64:40085 200.1.1.2:40085 200.1.1.2:40085

icmp 204.4.1.15:40597 192.168.1.64:40597 200.1.1.2:40597 200.1.1.2:40597

icmp 204.4.1.15:40853 192.168.1.64:40853 200.1.1.2:40853 200.1.1.2:40853

icmp 204.4.1.15:41365 192.168.1.64:41365 200.1.1.2:41365 200.1.1.2:41365

icmp 204.4.1.15:41621 192.168.1.64:41621 200.1.1.2:41621 200.1.1.2:41621

R1#show ip nat translationPro Inside global Inside local Outside local Outside global

icmp 204.4.1.15:406 192.168.1.100:406 200.1.1.2:406 200.1.1.2:406

icmp 204.4.1.15:662 192.168.1.100:662 200.1.1.2:662 200.1.1.2:662

icmp 204.4.1.15:1174 192.168.1.100:1174 200.1.1.2:1174 200.1.1.2:1174

icmp 204.4.1.15:1430 192.168.1.100:1430 200.1.1.2:1430 200.1.1.2:1430

icmp 204.4.1.15:1942 192.168.1.100:1942 200.1.1.2:1942 200.1.1.2:1942R1#show ip nat translationPro Inside global Inside local Outside local Outside global

icmp 204.4.1.15:24982 192.168.1.215:24982 200.1.1.2:24982 200.1.1.2:24982

icmp 204.4.1.15:25494 192.168.1.215:25494 200.1.1.2:25494 200.1.1.2:25494

icmp 204.4.1.15:25750 192.168.1.215:25750 200.1.1.2:25750 200.1.1.2:25750

icmp 204.4.1.15:26262 192.168.1.215:26262 200.1.1.2:26262 200.1.1.2:26262

icmp 204.4.1.15:26518 192.168.1.215:26518 200.1.1.2:26518 200.1.1.2:26518

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

28/31

ddiaz@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

p

Mecanismo NAT

ESCENARIO DE IMPLEMENTACIN

VLAN3

VLAN2

VLAN10

Fa0/1

SW2 SW3SW1

R1

Dominio de Colisin

Dominio de Colisin

Dominiode

Colisin

Fa0/2

Fa0/1

Fa0/2

Fa0/3

Fa0/6

Fa0/9

Fa0/10 Fa0/8

Fa0/1

Fa0/3

Fa0/4

Fa0/5

Fa0/6

Fa0/7

Fa0/8

Fa0/9

Fa0/12

Fa0/13

Fa0/11 Fa0/2

VLAN 2 (ELECTRNICA) : 192.168.2.0/26 Puerta de Enlace: 192.168.2.1VLAN 3 (MECATRNICA) : 192.168.2.64/26 Puerta de Enlace: 192.168.2.65VLAN 10 (ECONOMA) : 192.168.2.128/26 Puerta de Enlace: 192.168.2.129

VLAN 99 (VLAN nativa) : 192.168.2.192/27 Puerta de Enlace: 192.168.2.193 (VLAN de AdministraciVLAN 1 (VLAN defecto) : 192.168.2.224/27 Puerta de Enlace: 192.168.2.225

Fa0/1.10 Fa0/1.3

Fa0/1.2

Fa0/13

IP:192.168.2.200VLAN 99

Fa0/1.9

R2100.1.1.0/30

200.1.5.0/24

NAT: 204.4.4.0/26

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

29/31

ddia

z@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

Mecanismo NAT

CONFIGURAR EL SERVIDOR DHCP

R1#configure terminalR1(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.63

R1(config)#ip dhcp pool trujillo

R1(dhcp-config)#network 192.168.1.0 255.255.255.0

R1(dhcp-config)#default-router 192.168.1.1

R1(dhcp-config)#dns-server 200.4.4.4

R1(dhcp-config)#lease 2

R1(dhcp-config)#exit

R1(config)#

El rango de direcciones 192.168.1.64 hasta 192.168.1.254deben ser asignadas dinmicamente usando DHCP, enla red anterior.

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

30/31

ddia

z@inictel-uni.edu.pe

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI

PropiedadintelectualdeDanielDaz@2

013

Mecanismo NAT

TAREA 1: MECANISMO NAT CON DHCP

Rc 213.13.13.0/24

Enrutamiento

por default

Ra

Rb

Enrutamiento

por defaultEnrutamiento

por default

R1

R3

R4

R5

VLSM 2

172.16.7.0/24 172.16.7.0/24

Se debe cumplir la trayectoria indicada Se debe llegar a todos los enlaces WAN

Preparar un informe individual que serpresentado al inicio del examen parcial

172.16.7.2 210.1.1.2172.16.7.3 210.1.1.3

172.16.7.4172.16.7.63

210.1.1.4210.1.1.14

172.16.7.64172.16.7.254

210.1.1.15

TABLA DE NAT

172.16.7.2 220.2.2.2172.16.7.3 220.2.2.3

172.16.7.4172.16.7.63

220.2.2.4220.2.2.14

172.16.7.64172.16.7.254

220.2.2.15

TABLA DE NAT

R2

Prefijo WAN: 110.10.10.0/24

Configurar tablas de enrutamiento esttico Configurar mecanismo NAT El rango 172.16.7.64 a 172.16.7.254 por DHCP

Implementar individualmenteen GNS3 previo al laboratorio

Presentar un informe de lorealizado en GNS3 antes deliniciar el laboratorio

Revisin de aspectos bsicos.

5/26/2018 Sist. Comun II- 06-Mecanismo NAT

31/31

ddia

z@inictel-uni.edu.pe

PropiedadintelectualdeDanielDaz@2

013

Mecanismo NAT

Plaza Mayor,

Madrid-

Espaa