Sesion 18 NAT Do

N A T
NAT (NETWORK ADDRESS TRANSLATION)
Permitir a usuarios internos con direcciones ip privadas acceder a Internet: Utilizando NAT Esttico, una direccin interna a una direccin pblica. Utilizado NAT Dinmico, dado un rango de varias direcciones privadas a varias direcciones pblicas.
Utilizando NAT Dinmico (Overload), dado un rango direcciones privadas a una nica direccin pblica.
2
NAT (NETWORK ADDRESS TRANSLATION)

Es un mecanismo que puede ser utilizado para modificar las direcciones ip que viajan dentro de los paquetes IP. Este mecanismo se utiliza para permitir que redes internas que tengan asignadas direcciones privadas puedan tener conectividad a Internet. El NAT opera sobre un dispositivo de red fronterizo
(router), que conecta las dos redes, interno (inside) y

externo (outside). NAT mantiene una tabla con las traducciones de
direcciones IP que deber llevar a cabo en ambos

sentidos.
3
NAT
RED INTERNA INSIDE ROUTER DE FRONTERA RED EXTERNA OUTSIDE
Interface Inside Ip nat inside
Interface outside Ip nat outside

S0/0
NAT FE0/0 .1
RED INTERNA 192.168.1.0/24
S0/1 .66
PSI
INTERNET
.65 200.88.20.64 /30
NAT ESTATICO
RED INTERNA INSIDE RED EXTERNA OUTSIDE
200.88.20.64 /30
FE0/0
RED INTERNA 192.168.1.0/24
.1
S0/0
NAT
S0/1
.66
PSI
INTERNET
.65
Interface Inside Ip nat inside
Interface outside Ip nat outside
IP PUBLICAS DISPONIBLES 200.87.15.70 200.89.15.85
NAT ESTATICO
I. Definir las interfaces INSIDE, OUTSIDE y la configuracin NAT esttico. Utilizando una direccin privada y una direccin pblica, en el router de FRONTERA.
Interface serial 0/0 Ip address 172.22.6.194 255.255.255.252 Encapsulation ppp Ip nat outside No shutdown FE0/0 .1 CORREO .3 FTP .4 NAT DTE 192.168.1.0/24 Interface fastethernet 0/0 Ip address 192.168.1.1 255.255.255.0 Ip nat inside No shutdown S0/0 .194 S0/0 PPP .195 DCE PSI
INTERNET
WEB .2
172.22.6.193/24
Pool de ips publicas 200.60.131.145/28 - 200.60.131.159/28 Direccin de Sub red : 200.60.131.144 Primer ip : 200.60.131.145 Ultimo ip : 200.60.131.158 Broadcast : 200.60.131.159
Habilitar nat esttico

Router(config)# ip nat inside source static 192.168.1.2 200.60.131.145 Router(config)# ip nat inside source static 192.168.1.3 200.60.131.146 Router(config)# ip nat inside source static 192.168.1.4 200.60.131.147
EJEMPLO NAT ESTATICO

1. Definir la interfaces de modo inside o outside, con el siguiente comando:
Router(config)# interface tipo de interface router(config-if)# ip nat inside/outside
Ejemplo 1: Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config)# no shutdown Router(config)# exit Ejemplo 2: Router(config)# interface serial 0/0 Router(config-if)# ip address 172.22.6.194 255.255.255.252 Router(config-if)# encapsulation ppp Router(config-if)# ip nat outside Router(config-if)# no shutdown Router(config-if)# exit
2 Habilitar el NAT esttico con el siguiente comando.

router(config)# ip nat inside source static IP PRIVADO IP PUBLICO router(config-if)# ip nat inside/outside
Habilitar nat esttico

Router(config)# ip nat inside source static 192.168.1.2 200.60.131.145 Router(config)# ip nat inside source static 192.168.1.3 200.60.131.146 Router(config)# ip nat inside source static 192.168.1.4 200.60.131.147

Configurando el Router NAT Router> enable Router# configure terminal Router(config)# hostname NAT NAT(config)# interface fastethernet 0/0 NAT(config-if)# ip address 192.168.1.1 255.255.255.0 NAT(config-if) # ip nat inside NAT(config-if)# no shutdown NAT(config)# Interface serial 0/0 NAT(config-if)# ip address 172.6.22.194 255.255.255.252 NAT(config-if)# encapsulation ppp NAT(config-if) # ip nat i outside NAT(config-if)# no shutdown

NAT(config)# ip nat inside source static 192.168.1.2 200.60.131.145 NAT(config)# ip nat inside source static 192.168.1.3 200.60.131.146 NAT(config)# ip nat inside source static 192.168.1.4 200.60.131.147 NAT(config)# ip route 0.0.0.0 0.0.0.0 172.6.22.195 Configurando el Router PSI Router> enable Router# configure terminal Router(config)# hostname PSI PSI(config)# Interface serial 0/0 PSI(config-if)# ip address 172.6.22.195 255.255.255.252 PSI(config-if)# encapsulation ppp PSI(config-if)# clock rate 64000 PSI(config-if)# no shutdown PSI(config-if)# exit PSI(config)# ip route 192.168.1.0 255.255.255.0 172.6.22.194
9
NAT DINAMICO
Utilizando un Rango de varias Direcciones Privadas a Varias direcciones Publicas.
RED INTERNA INSIDE
WAN HDLC 20.20.20.0/30 S 0/0: .2 DCE PSI
RED EXTERNA OUTSIDE
RED INTERNA 192.168.1.0/24
Fa 0/0: .1 NAT
S 0/0: .1 DTE
INTERNET
REDES ORIGEN 192.168.1.2/24 192.168.1.3/24 . . . 192.168.1.254/24
DIRECCION DESTINO 216.200.20.2/28 216.200.20.3/28 . . . 216.200.20.14/28
10
NAT DINAMICO
1. Definir las interfaces inside y outside 2. Definir el pool de direcciones pblicas
Router(config)#ip nat pool Nombre inicio-ip fin-ip {Netmask <mascara> / Prefix-length <unos de mascara>}
Ejm: Router(config)# ip nat pool <RED-PUBLICA> 207.139.221.10 207.139.221.128 netmask 255.255.255.0 Router(config)# Ip nat pool <RED-PUBLICA> 207.139.221.10 207.139.221.128 prefix-length 24
11
3. Definir el Rango de Ip Privadas va una lista de acceso

Router(config)# access-list Standard <RED-INTERNA> permit 192.168.1.0 0.0.0.255 Router(config)# access-list 20 permit 192.168.1.0 0.0.0.255
4. Habilitar el NAT Dinmico

Router(config)# ip nat inside source list <RED-INTERNA> pool <RED-PUBLICA>
12
NAT DINAMICO
Configurando el Router NAT
Router> enable Router# configure terminal Router(config)# hostname NAT NAT(config)# interface fastethernet 0/0 NAT(config-if)# ip address 192.168.1.1 255.255.255.0 NAT(config-if) # ip nat inside NAT(config-if)# no shutdown NAT(config)# Interface serial 0/0 NAT(config-if)# ip address 20.20.20.1 255.255.255.252 NAT(config-if)# encapsulation ppp NAT(config-if) # ip nat outside NAT(config-if)# no shutdown
13
NAT DINAMICO
NAT(conf)# access-list 20 permit 192.168.1.0 0.0.0.255 NAT(conf)# ip nat pool PUBLICA1 216.20.20.2 216.20.20.14 netmask 255.255.255.240
NAT(conf)# ip nat inside source list 20 PUBLICA1 NAT(config)# ip route 0.0.0.0 Configurando el Router PSI Router> enable Router# configure terminal Router(config)# hostname PSI PSI(config)# Interface serial 0/0 PSI(config-if)# ip address 20.20.20.2 255.255.255.252 PSI(config-if)# encapsulation ppp PSI(config-if)# clock rate 64000 PSI(config-if)# no shutdown PSI(config)# ip route 192.168.1.0 255.255.255.0 20.20.20.1 0.0.0.0 172.6.22.195
14
NAT DINAMICO (NAPT)

Utilizando un Rango de varias Direcciones Privadas a una direccin Publicas.
RED INTERNA INSIDE
WAN HDLC 20.20.20.0/30 S 0/0: .1 S 0/0: .2
RED EXTERNA OUTSIDE
Fa 0/0: .1
RED INTERNA 192.168.1.0/24 REDES ORIGEN 192.168.1.2/24 192.168.1.3/24 . . . 192.168.1.254/24
NAT
DTE
DCE
INTERNET
PSI
DIRECCION DESTINO 216.200.20.2/28
15
NAT DINAMICO (NAPT)

1. Definir las interfaces Inside y Outside Red Interna (inside) - Red externa (outside) 2. Definir el Rango de direcciones privadas Definir el Rango de Ip Privadas va una lista de acceso Router(config)# access-list Standard RED-INTERNA permit 192.168.1.0 0.0.0.255
O
Route(config)# access-list 20 permit 192.168.1.0 0.0.0.255 3. Definir el pool de la nica direccin pblica Router(config)# ip nat pool RED-PUBLICA 200.89.15.71 200.89.15.71 netmask 255.255.255.192
16
NAT DINAMICO (NAPT)

4. Habilitar el NAT Dinmico
Router(config)# ip nat inside source list RED-INTERNA pool RED-PUBLICAL overload
Nota: la ventaja de NAPT es que con una nica direccin ip pblica se puede mantener hasta 6400 sesiones simultnea. Mientras que con un NAT cada direccin de inside network se necesita una direccin ip pblica.
NAT y NAPT pueden ser utilizados a la vez dependiendo de la versin de IOS. La ventaja de esta combinacin es que cuando NAT agota su conjunto de direcciones pblicas que se le ha asignado, NAPT puede ser utilizado hasta que algunas de la traducciones NAT sea liberada.
17
NAT DINAMICO (NAPT)

Configurando el Router NAT
Router> enable Router# configure terminal Router(config)# hostname NAT NAT(config)# interface fastethernet 0/0 NAT(config-if)# ip address 192.168.1.1 255.255.255.0 NAT(config-if)# ip nat inside NAT(config-if)# no shutdown NAT(config)# Interface serial 0/0 NAT(config-if)# ip address 20.20.20.1 255.255.255.252 NAT(config-if)# encapsulation ppp NAT(config-if)# ip nat outside NAT(config-if)# no shutdown
18
NAT DINAMICO (NAPT)
NAT(conf)# NAT(conf)# netmask NAT(conf)# access-list 20 permit 192.168.1.0 0.0.0.255 ip nat pool PUBLICA1 216.20.20.2 216.20.20.2 255.255.255.240 ip nat inside source list 20 PUBLICA1
NAT(config)# ip route 0.0.0.0 0.0.0.0 172.6.22.195 Configurando el Router PSI Router> enable Router# configure terminal Router(config)# hostname PSI PSI(config)# Interface serial 0/0 PSI(config-if)# ip address 20.20.20.2 255.255.255.252 PSI(config-if)# encapsulation ppp PSI(config-if)# clock rate 64000 PSI(config-if)# no shutdown PSI(config)# ip route 192.168.1.0 255.255.255.0 20.20.20.1
19
EJEMPLO NAT DINAMICO (NAPT)

Dado el siguiente esquema implementar NAT para su salida a Internet.
Pool de ips publicas 216.200.20.1/25 - 216.200.20.14/25
RED INTERNA INSIDE RED EXTERNA OUTSIDE
RUTA ESTATICA PARA VER A TODA LA RED PRIVADA IP ROUTE 192.168.1.0 255.255.255.0 200.20.20.2 o IP ROUTE 192.168.1.0 255.255.255.0 Serial 0/0
WAN 200.20.20.0/30
RED INTERNA 192.168.1.0/24
NAT S0/0 .2 S0/0 .1
INTERNET
PSI
HDLC
*
IP ROUTE 0.0.0.0 0.0.0.0 200.20.20.1 o IP ROUTE 0.0.0.0 0.0.0.0 Serial 0/0 Ruta por default para salir a internet
20
CONFIGURANDO SERVIDOR NAT

Router> enable Router# configure terminal Router(config)# configure terminal Router(config)# hostname NAT NAT(config)# interface FastEthernet 0/0 NAT(config-if)# ip nat inside NAT(config-if)# ip address 192.168.1.1 255.255.255.0
NAT(config-if)# no shutdown
NAT(config-if)# exit
21
CONFIGURANDO SERVIDOR NAT

NAT(config)# interface serial 0/0 NAT(config-if)# ip nat outside
NAT(config-if)# ip address 216.200.20.2 255.255.255.240

NAT(config-if)# encapsulation HDLC NAT(config-if)# no shutdown NAT(config-if)# exit NAT(config)# exit NAT# write memory
22
HABILITANDO NAT DINAMICO

NAT(config)# ip nat pool PUBLICAS 216.200.20.1 216.200.20.14 netmask 255.255.255.128 NAT(config)# ip access-list standard RED-INTERNA NAT(config)# deny host 192.168.1.10 NAT(config)# permit 192.168.1.0 0.0.0.255 NAT(config)# ip nat inside source list RED-INTERNA pool PUBLICAS
NAT(config)# ip route 0.0.0.0 0.0.0.0 200.20.20.1 NAT(config)# exit NAT# write memory
En el router del Operador(ISP) ISP(config) # ip route 192.168.1.0 255.255.255.0
216.200.20.2
23
CONFIGURACIN DE NAT ENTRE UNA RED PRIVADA E INTERNET PARA PERMITIR A LOS USUARIOS INTERNOS ACCEDER A INTERNET
La empresa ABC ha decidido permitir a sus empleados acceder a Internet se ha contratado a un proveedor de servicio de Internet (ISP) una lnea dedicada y se ha adquirido un router para encaminar el trfico Internet hacia el proveedor de servicio de Internet. El ISP ha asignado un rango de 128 direcciones pblicas 207.139.221.0 /25. El Administrador de la red de la empresa ABC ha utilizado la red privada 192.168.1.0 /24 para sus hosts internos (ver grfico). Se pide la configuracin del router para de frontera para tal fin. *
Router1 .1 F 0/0 NAT Translation table
Inside local
207.139.221.0 /25 .1 S 0/0 .2

PSI
Internet
.2
.3
.4
192.168.1.2 192.168.1.3
Outside local -------------
Outside global 207.139.221.2 207.139.221.3 207.139.221.4 207.139.221.5
192.168.1.0 /24
192.168.1.4 192.168.1.5
24
CONFIGURACIN DE NAT ENTRE UNA RED PRIVADA E INTERNET PARA PERMITIR A LOS USUARIOS INTERNOS ACCEDER A INTERNET
Router# configure terminal Router(conf)# interface fastethernet 0/0 Router(conf-if)# ip address 192.168.1.1 255.255.255.0 Router(conf-if)# ip nat inside Router(conf-if)# no shutdown Router(conf-if)# exit Router(conf)# interface serial 0/0 Router(conf-if)# ip address 207.139.221.1 255.255.255.128 Router(conf-if)# ip nat outside Router(conf-if)# no shutdown Router(conf-if)# exit Router(conf)# access-list 20 permit 192.168.1.0 0.0.0.255 Router(conf)# ip nat pool PUBLICA1 207.139.221.2 207.139.221.126 netmask 255.255.255.128 Router(conf)# ip nat inside source list 20 PUBLICA1
Router(conf)# ip nat pool PUBLICA2 207.139.221.127 207.139.221.127 netmask 255.255.255.128 Router(conf)# ip nat inside source list 20 PUBLICA2 overload
Router(conf)# ip route 0.0.0.0 0.0.0.0 207.139.221.2
Nota: NAPT ocurrir una vez que NAT all utilizado todas sus 25 direcciones disponibles del pool de direcciones de la lista pblica1
CONFIGURACION DE NAT ENTRE UNA RED PRIVADA E INTERNET

La empresa del ejemplo anterior ha decidido instalar un servidor web y un servidor de correo en una de sus LAN, como un DMZ (una red aparte). Esta red donde ubicarn los servidores utilizar la red privada 192.168.2.0/24 (ver grfica). Para permitir a Internet acceder a dispositivos de la red interna (siendo cualquier usuario de Internet, el que inicie la conexin) se debern utilizar traducciones estticas para las traducciones de los servidores. *
Router1 .1 F 0/0 F 0/1 .1 .2 .3 .4 207.139.221.0 /25 .1 S 0/0 .2
PSI
Internet
192.168.1.0 /24
Web Server
E-mail Server
26
192.168.2.0 /24
Router# configure terminal Router(conf)# interface fastethernet 0/0 Router(conf-if)# ip address 192.168.1.1 255.255.255.0 Router(conf-if)# ip nat inside Router(conf-if)# no shutdown Router(conf-if)# exit Router(conf)# interface fastethernet 0/1 Router(conf-if)# ip address 192.168.2.1 255.255.255.0 Router(conf-if)# ip nat inside Router(conf-if)# no shutdown Router(conf-if)# exit Router(conf)# interface serial 0/0 Router(conf-if)# ip address 207.139.221.1 255.255.255.128
27

... Router(conf-if)# ip nat outside Router(conf-if)# no shutdown Router(conf-if)# exit Router(conf)# access-list 30 permit 192.168.1.0 0.0.0.255 Router(conf)# ip nat pool PUBLICA1 207.139.221.4 207.139.221.126 netmask 255.255.255.128 Router(conf)# ip nat pool PUBLICA2 207.139.221.127 207.139.221.127 netmask 255.255.255.128 Router(conf)# ip nat inside source list 30 PUBLICA1 Router(conf)# ip nat inside source list 30 PUBLICA2 overload Router(conf)# ip nat inside source static 192.168.2.2 207.139.221.2 Router(conf)# ip nat inside source static 192.168.2.3 207.139.221.3 Router(conf)# router rip Router(conf)# version 2 Router(conf)# 192.168.1.0 Router(conf)# 192.168.2.0 Router(conf)# default-information originate Router(config)# ip route 0.0.0.0 0.0.0.0 207.139.221.2
28
COMANDOS PARA LA VERIFICACION DEL FUNCIONAMIENTO DE NAT/NAPT

Activar: Router# debug ip nat
Borrar la tabla NAT: Router# clear ip nat translation Mostrar las traducciones activos:
Router# show ip nat translation

Estadsticas de traducciones : Router# show ip nat statistics
29
EJEMPLO 1
LAN 3 172.16.200.0 /24
RED PUBLICA
e1 S0: .2 DTE S1: .2 DTE R2 e0 S0 DCE e0 LAN 1 192.168.100.0 /24 R3 e1 Lan 2 192.168.200.0 /24 WAN 1 5.5.5.0 /30 WAN 2 6.6.6.0/30 LAN 4 172.16.100.0 /24
S0: .1 DCE R1 e1
E0: .70
E0: .65 WAN 3 200.89.15.64 /26
PSI
I N T E R N E T
LAN 5 192.168.254.0 /24
SISTEMA AUTONOMO RIP V2 INTRANET DEL LA EMPRESA XXX
web
.10 .72
ftp
.20 .73
email
.30 .74
30
EJEMPLO 1
R1# show running-config R1(config)# interface Ethernet 0/0 R1(config-if)# ip address 192.168.254.1 255.255.255.0 R1(config-if)# ip nat inside R1(config-if)# no shutdown R1(config-if)# exit R1(config)# interface Serial 0/0 R1(config-if)# ip address 6.6.6.1 255.255.255.252 R1(config-if)# ip nat inside R1(config-if)# clockrate 64000 R1(config-if) # no shutdown R1(config-if) # exit
Habilitando las interfaces respectivas, para la Red Lan y Wan.
R1(configf)# interface Ethernet 0/1 R1(config-if)# ip address 200.89.15.70 255.255.255.192 R1(config-if)# ip nat outside R1(config-if) # no shutdown ! R1(configf)# router rip R1(config-router)# version 2 R1(config-router)# network 6.0.0.0 Habilitando el protocolo RIP v2 en el router . R1(config-router)# network 192.168.254.0 R1(config-router)# default-information originate ! R1(config)# ip nat inside source static 192.168.100.30 200.89.15.74 R1(config)# ip nat inside source static 192.168.100.20 200.89.15.73 R1(config)# ip nat inside source static 192.168.100.10 200.89.15.72 R1(config)# ip route 0.0.0.0 0.0.0.0 200.89.15.65 !
Habilitando NAT ESTATICO para dar salida a Internet Y publicar los servidores a Internet.
Habilitando una ruta esttica hacia Internet.
31
EJEMPLO 1
R1(config)# ip access-list standard MIRED
Declara la lista estndar MIRED.
R1(config-std-nacl)# permit 192.168.200.0
0.0.0.31
Caso I: De la LAN 2 solamente podran acceder los 30 primeros Hosts.
0.0.0.17
Caso II: De la LAN 4 solamente podra salir los 14 primeros hosts
0.0.0.254
Caso III: De la LAN5 solamente podran tener acceso hosts con IP pares
R1(config)# ip nat pool OPTICAL 200.89.15.71 200.89.15.71 netmask 255.255.255.192
Define un pool OPTICAL (una nica direccin pblica)

R1(config)# ip nat inside source list MIRED pool OPTICAL overload Habilitar el NAT dinmico
32
EJEMPLO 1
R2# show running-config ! R2(config)# interface Ethernet 0/0 R2(config-if)# ip address 172.16.100.1 255.255.255.0 R2(config-if)# no shutdown ! R2(config)# interface Serial 0/0 R2(config-if)# ip address 5.5.5.2 255.255.255.252 R2(config-if)# no shutdown ! R2(config)# interface Ethernet 0/1 R2(config-if)# ip address 172.16.200.1 255.255.255.0 R2(config-if)# no shutdown ! R2(config)# interface Serial 0/1 R2(config-if)# ip address 6.6.6.2 255.255.255.252 R2(config-if)# no shutdown ! R2(config)# router rip R2(config-router)# version 2 R2(config)-router# network 5.0.0.0 R2(config-router)# network 6.0.0.0 R2(config-router)# network 172.16.0.0
Habilitando el protocolo RIP v2 en el router .

33
EJEMPLO 1
R3# show running-config ! R3(config)# interface Ethernet 0/0 R3(config-if)# ip address 192.168.100.1 255.255.255.0 R3(config-if)# no shutdown ! R3(config)# interface Serial 0/0 R3(config-if)# ip address 5.5.5.1 255.255.255.252 R3(config-if)# no shutdown R3(config-if)# clockrate 64000 ! R3(config)# interface Ethernet 0/1 R3(config-if)# ip address 192.168.200.1 255.255.255.0 R3(config-if)# no shutdown ! R3(config)# router rip R3(config-if)# version 2 Habilitando el protocolo R3(config-if)# network 5.0.0.0 v2 en el router . R3(config-if)# network 192.168.100.0 R3(config-if)# network 192.168.200.0 ! R3#
RIP
34
EJEMPLO 1
Mostrando las tablas de Rutas: ROUTER 1. R1# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 200.89.15.65 to network 0.0.0.0 R C R R C C R S* 5.0.0.0/8 [120/1] via 6.6.6.2, 00:00:05, Serial0/0 6.0.0.0/30 is subnetted, 1 subnets 6.6.6.0 is directly connected, Serial0/0 172.16.0.0/16 [120/1] via 6.6.6.2, 00:00:05, Serial0/0 192.168.200.0/24 [120/2] via 6.6.6.2, 00:00:05, Serial0/0 200.89.15.0/26 is subnetted, 1 subnets 200.89.15.64 is directly connected, Ethernet0/1 192.168.254.0/24 is directly connected, Ethernet0/0 192.168.100.0/24 [120/2] via 6.6.6.2, 00:00:05, Serial0/0 0.0.0.0/0 [1/0] via 200.89.15.65
Ruta hacia Internet o la red Publica
35
EJEMPLO 1
Mostrando las tablas de Rutas: ROUTER R2. R2# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 6.6.6.1 to network 0.0.0.0 5.0.0.0/30 is subnetted, 1 subnets C 5.5.5.0 is directly connected, Serial0/0 6.0.0.0/30 is subnetted, 1 subnets C 6.6.6.0 is directly connected, Serial0/1 172.16.0.0/24 is subnetted, 2 subnets C 172.16.200.0 is directly connected, Ethernet0/1 C 172.16.100.0 is directly connected, Ethernet0/0 R 192.168.200.0/24 [120/1] via 5.5.5.1, 00:00:24, Serial0/0 R 192.168.254.0/24 [120/1] via 6.6.6.1, 00:00:02, Serial0/1 R 192.168.100.0/24 [120/1] via 5.5.5.1, 00:00:24, Serial0/0 R* 0.0.0.0/0 [120/1] via 6.6.6.1, 00:00:02, Serial0/1 Ruta hacia Internet o la red Publica 36
EJEMPLO 1
Mostrando las tablas de Rutas: ROUTER R2. R2# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 6.6.6.1 to network 0.0.0.0 5.0.0.0/30 is subnetted, 1 subnets C 5.5.5.0 is directly connected, Serial0/0 6.0.0.0/30 is subnetted, 1 subnets C 6.6.6.0 is directly connected, Serial0/1 172.16.0.0/24 is subnetted, 2 subnets C 172.16.200.0 is directly connected, Ethernet0/1 C 172.16.100.0 is directly connected, Ethernet0/0 R 192.168.200.0/24 [120/1] via 5.5.5.1, 00:00:24, Serial0/0 R 192.168.254.0/24 [120/1] via 6.6.6.1, 00:00:02, Serial0/1 R 192.168.100.0/24 [120/1] via 5.5.5.1, 00:00:24, Serial0/0 R* 0.0.0.0/0 [120/1] via 6.6.6.1, 00:00:02, Serial0/1 Ruta hacia Internet o la red Publica 37
EJEMPLO 1
Mostrando las tablas de Rutas: ROUTER R3. R3# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 5.5.5.2 to network 0.0.0.0 5.0.0.0/30 is subnetted, 1 subnets C 5.5.5.0 is directly connected, Serial0/0 R 6.0.0.0/8 [120/1] via 5.5.5.2, 00:00:06, Serial0/0 R 172.16.0.0/16 [120/1] via 5.5.5.2, 00:00:06, Serial0/0 C 192.168.200.0/24 is directly connected, Ethernet0/1 R 192.168.254.0/24 [120/2] via 5.5.5.2, 00:00:06, Serial0/0 C 192.168.100.0/24 is directly connected, Ethernet0/0 15.0.0.0/24 is subnetted, 1 subnets C 15.15.15.0 is directly connected, Ethernet0/0 R* 0.0.0.0/0 [120/2] via 5.5.5.2, 00:00:06, Serial0/0 Ruta hacia Internet o la red Publica 38
EJEMPLO 1
Trasando rutas al servidor de: www.google.com
R1# traceroute www.cisco.com Type escape sequence to abort. Tracing the route to www.cisco.com (198.133.219.25) 1 200.89.15.65 0 msec 4 msec 8 msec 2 200.89.15.137 4 msec 8 msec 4 msec 3 200.89.9.1 8 msec 4 msec 4 msec 4 200.89.0.102 4 msec 4 msec 8 msec 5 200.89.0.1 4 msec 9 msec 4 msec 6 DS3.Peru-Miami.comsat-internacional.net (200.47.167.229) 80 msec 88 msec 84 msec 7 so-1-1-2.ar2.MIA1.gblx.net (64.214.174.145) 85 msec 84 msec 93 msec 8 so2-1-0-2488M.ar1.DCA3.gblx.net (67.17.67.57) 116 msec 116 msec 116 msec 9 sl-st20-ash-13-0.sprintlink.net (144.232.8.17) 116 msec 120 msec 120 msec 10 sl-bb23-rly-5-0.sprintlink.net (144.232.20.153) 125 msec 140 msec 116 msec 11 sl-bb21-rly-9-0.sprintlink.net (144.232.14.133) 181 msec 412 msec 313 msec 12 sl-bb22-rly-13-0.sprintlink.net (144.232.7.254) 116 msec 117 msec 124 msec 13 sl-bb22-sj-10-0.sprintlink.net (144.232.20.186) 176 msec 165 msec 160 msec 14 sl-bb20-sj-15-0.sprintlink.net (144.232.3.166) 164 msec 165 msec 168 msec 15 sl-gw11-sj-9-0.sprintlink.net (144.232.3.138) 164 msec 169 msec 164 msec 16 sl-ciscopsn2-11-0-0.sprintlink.net (144.228.44.14) 164 msec 176 msec 172 msec 17 sjce-dmzbb-gw1.cisco.com (128.107.239.89) 173 msec 168 msec 168 msec 18 sjck-dmzdc-gw2.cisco.com (128.107.224.73) 168 msec 244 msec 204 msec 39
EJEMPLO 1
Trasando rutas al servidor de: WWW.CISCO.COM
R1# TRACEROUTE WWW.CISCO.COM Type escape sequence to abort. Tracing the route to www.cisco.com (198.133.219.25) 1 200.89.15.65 4 msec 4 msec 4 msec 2 200.89.15.137 4 msec 4 msec 4 msec 3 200.89.9.1 4 msec 4 msec 4 msec 4 200.89.0.102 8 msec 8 msec 8 msec 5 200.89.0.1 4 msec 4 msec 4 msec 6 DS3.Peru-Miami.comsat-internacional.net (200.47.167.229) 81 msec 88 msec 92 msec 7 so-1-1-2.ar2.MIA1.gblx.net (64.214.174.145) 88 msec 84 msec 88 msec 8 so2-1-0-2488M.ar1.DCA3.gblx.net (67.17.67.57) 113 msec 116 msec 120 msec 9 sl-st20-ash-13-0.sprintlink.net (144.232.8.17) 120 msec 112 msec 117 msec 10 sl-bb23-rly-5-0.sprintlink.net (144.232.20.153) 120 msec 120 msec 116 msec 11 sl-bb21-rly-9-0.sprintlink.net (144.232.14.133) 148 msec 177 msec 140 msec 12 sl-bb22-rly-13-0.sprintlink.net (144.232.7.254) 120 msec 120 msec 120 msec 13 sl-bb22-sj-10-0.sprintlink.net (144.232.20.186) 168 msec 164 msec 160 msec 14 sl-bb20-sj-15-0.sprintlink.net (144.232.3.166) 165 msec 180 msec 168 msec 15 sl-gw11-sj-9-0.sprintlink.net (144.232.3.138) 164 msec 165 msec 160 msec 16 sl-ciscopsn2-11-0-0.sprintlink.net (144.228.44.14) 168 msec 173 msec 176 msec 17 sjce-dmzbb-gw1.cisco.com (128.107.239.89) 172 msec 164 msec 169 msec 18 sjck-dmzdc-gw2.cisco.com (128.107.224.73) 164 msec 168 msec 165 msec 40
EJEMPLO 2
LAN 3 172.16.200.0/24
RED PUBLICA e1 S0: .2 DTE R2 e0
S1: .2 DTE
WAN 2 6.6.6.0/30 LAN 4 172.16.100.0 /24
S0: .1 DCE R1 e1
E0: .70
E0: .65 PSI
WAN 3 200.89.15.64/26
WAN 1 S0 DCE e0 LAN 1 192.168.100.0 /24 R3 e1 Lan 2 5.5.5.0/30
I N T E R N E T
LAN 5 192.168.254.0/24
SISTEMA AUTONOMO IGRP 100 INTRANET DEL LA EMPRESA XXX
192.168.200.0/24
web .10 .72
ftp .20 .73
email .30 .74
41
EJEMPLO 2
Router 1
R1(config)#interface Ethernet 0/0 R1(config-if)# ip address 192.168.254.1 255.255.255.0 R1(config-if)# ip nat inside R1(config)# No shutdown ! R1(config)# interface Serial 0/0 R1(config-if)# ip address 6.6.6.1 255.255.255.252 R1(config-if)# ip nat inside R1(config-if)# clockrate 64000 R1(config-if)# No shutdown ! R1(config)# interface Ethernet 0/1 R1(config-if)# ip address 200.89.15.70 255.255.255.192 R1(config-if)# ip nat outside R1(config-if)# No sutdown !
42
EJEMPLO 2
Router 1
R1(config)# router igrp 100 R1(config-router)# pasive-interface Ethernet 0/1 R1(config-router)# network 6.0.0.0 R1(config-router)# network 192.168.254.0 R1(config-router# network 200.89.15.0 ! R1(config)# ip access-list standard MIRED R1(config-std-nacl)# permit 192.168.200.0 0.0.0.31 R1(config-std-nacl)# permit 172.16.100.0 0.0.0.17 R1(config-std-nacl)# permit 192.168.254.0 0.0.0.254 R1(config-std-nacl)# permit 172.16.200.0 0.0.0.7 R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# ip nat inside source list MIRED pool OPTICAL overload ip nat pool OPTICAL 200.89.15.71 200.89.15.71 netmask 255.255.255.192 ip nat inside source static 192.168.100.10 200.89.15.72 ip nat inside source static 192.168.100.20 200.89.15.73 ip nat inside source static 192.168.100.30 200.89.15.74
R1(config)# ip default-network 200.89.15.0 R1(config)# ip route 0.0.0.0 0.0.0.0 200.89.15.65
43
EJEMPLO 2
Router 2
R2# show running-config ! R2(config)# interface Ethernet 0/0 R2(config-if)# ip address 172.16.100.1 255.255.255.0 R2(config-if)# no shutdown ! R2(config)# interface Serial 0/0 R2(config-if)# ip address 5.5.5.2 255.255.255.252 R2(config-if)# no shutdown ! R2(config)# interface Ethernet 0/1 R2(config-if)# ip address 172.16.200.1 255.255.255.0 R2(config-if)#no shutdown ! R2(config-if)# interface Serial 0/1 R2(config-if)# ip address 6.6.6.2 255.255.255.252 R2(config-if)#no shutdown ! R2(config)# router igrp 100 R2(config-if)# network 5.0.0.0 R2(config-if)# network 6.0.0.0 R2(config-if)# network 172.16.0.0
44
EJEMPLO 2
Router 3
R3#show running-config ! R3(config)# interface Ethernet 0/0 R3(config-if)# ip address 192.168.100.1 255.255.255.0 R3(config-if)# no shutdown ! R3(config)# interface Serial 0/0 R3(config-if)# ip address 5.5.5.1 255.255.255.252 R3(config-if)# no shutdown R3(config-if)# clockrate 64000 ! R3(config)# interface Ethernet 0/1 R3(config-if)# ip address 192.168.200.1 255.255.255.0 R3(config-if)# no shutdown ! R3(config)# router igrp 100 R3(config-if)# network 5.0.0.0 R3(config-if)# network 192.168.100.0
45
EJEMPLO 2
Analizando el NAT
R1#show ip nat translations Pro Inside global Inside local --- 200.89.15.72 192.168.100.10 --- 200.89.15.73 192.168.100.20 --- 200.89.15.74 192.168.100.30 --- 200.89.15.75 192.168.100.2 --- 200.89.15.76 192.168.100.5 Outside local ----------Outside global -----------
R1#show ip nat statistics ? | Output modifiers <cr>

R1#show ip nat statistics Total active translations: 5 (5 static, 0 dynamic; 0 extended) Outside interfaces: Ethernet0/1 Inside interfaces: Ethernet0/0, Serial0/0 Hits: 438348 Misses: 0 Expired translations: 3 Dynamic mappings: -- Inside Source access-list MIRED pool OPTICAL refcount 0 pool OPTICAL: netmask 255.255.255.192 start 200.89.15.71 end 200.89.15.71 type generic, total addresses 1, allocated 0 (0%), misses 0
46

Sesion 18 NAT Do

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Sesion 18 NAT Do

Diunggah oleh

Hak Cipta:

Format Tersedia

N A T

NAT (NETWORK ADDRESS TRANSLATION)

NAT (NETWORK ADDRESS TRANSLATION)

(router), que conecta las dos redes, interno (inside) y

direcciones IP que deber llevar a cabo en ambos

Interface Inside Ip nat inside

Interface outside Ip nat outside

RED INTERNA 192.168.1.0/24

.65 200.88.20.64 /30

RED INTERNA 192.168.1.0/24

Interface Inside Ip nat inside

Interface outside Ip nat outside

IP PUBLICAS DISPONIBLES 200.87.15.70 200.89.15.85

Habilitar nat esttico

EJEMPLO NAT ESTATICO

2 Habilitar el NAT esttico con el siguiente comando.

Habilitar nat esttico

EJEMPLO NAT ESTATICO

EJEMPLO NAT ESTATICO

RED EXTERNA OUTSIDE

RED INTERNA 192.168.1.0/24

REDES ORIGEN 192.168.1.2/24 192.168.1.3/24 . . . 192.168.1.254/24

DIRECCION DESTINO 216.200.20.2/28 216.200.20.3/28 . . . 216.200.20.14/28

3. Definir el Rango de Ip Privadas va una lista de acceso

4. Habilitar el NAT Dinmico

NAT DINAMICO (NAPT)

RED EXTERNA OUTSIDE

RED INTERNA 192.168.1.0/24 REDES ORIGEN 192.168.1.2/24 192.168.1.3/24 . . . 192.168.1.254/24

DIRECCION DESTINO 216.200.20.2/28

NAT DINAMICO (NAPT)

NAT DINAMICO (NAPT)

NAT DINAMICO (NAPT)

NAT DINAMICO (NAPT)

EJEMPLO NAT DINAMICO (NAPT)

CONFIGURANDO SERVIDOR NAT

CONFIGURANDO SERVIDOR NAT

NAT(config-if)# ip address 216.200.20.2 255.255.255.240

HABILITANDO NAT DINAMICO

207.139.221.0 /25 .1 S 0/0 .2

Outside local -------------

Outside global 207.139.221.2 207.139.221.3 207.139.221.4 207.139.221.5

CONFIGURACION DE NAT ENTRE UNA RED PRIVADA E INTERNET

CONFIGURACION DE NAT ENTRE UNA RED PRIVADA E INTERNET

CONFIGURACION DE NAT ENTRE UNA RED PRIVADA E INTERNET

COMANDOS PARA LA VERIFICACION DEL FUNCIONAMIENTO DE NAT/NAPT

Router# show ip nat translation

LAN 3 172.16.200.0 /24

E0: .65 WAN 3 200.89.15.64 /26

LAN 5 192.168.254.0 /24

SISTEMA AUTONOMO RIP V2 INTRANET DEL LA EMPRESA XXX

Habilitando las interfaces respectivas, para la Red Lan y Wan.

Habilitando una ruta esttica hacia Internet.

R1(config-std-nacl)# permit 192.168.200.0

R1(config-std-nacl)# permit 172.16.100.0

R1(config-std-nacl)# permit 192.168.254.0

R1(config)# ip nat pool OPTICAL 200.89.15.71 200.89.15.71 netmask 255.255.255.192

Define un pool OPTICAL (una nica direccin pblica)

Habilitando el protocolo RIP v2 en el router .

Ruta hacia Internet o la red Publica

RED PUBLICA e1 S0: .2 DTE R2 e0

E0: .65 PSI

WAN 1 S0 DCE e0 LAN 1 192.168.100.0 /24 R3 e1 Lan 2 5.5.5.0/30

SISTEMA AUTONOMO IGRP 100 INTRANET DEL LA EMPRESA XXX