PRACTICA 5 CONIlGukAClN DL kOu1Lk5: CONIlGukAClN DL kOu1Lk5: CONIlGukAClN DL kOu1Lk5: CONIlGukAClN DL kOu1Lk5: NA1 y NAP1 NA1 y NAP1 NA1 y NAP1 NA1 y NAP1 Unidad Docente de Redes Area de Arquitectura y Tecnologia de Computadoras Departamento de InIormatica Universidad de Castilla-La Mancha 172.20.0.0/16 MADRD BARCELONA VALENCA SEVLLA ALBACETE 172.20.40.0/21 172.20.32.0/21 172.20.16.0/21 172.20.8.0/21 172.20.40.1 172.20.40.2 CONSOLA TERMINAL 1 172.20.40.3 172.20.8.1 172.20.8.2 172.20.16.1 172.20.16.2 172.20.32.1 172.20.32.2 S0/1 S0/0 F0/0 172.20.80.0/21 172.20.80.1 172.20.80.2 TERMINAL 2 172.20.40.4 172.20.48.0/21 172.20.48.1 172.20.48.2 S0/1 S0/0 F0/0 TERMINAL 2 172.20.48.4 CONSOLA TERMINAL 1 172.20.48.3 172.20.56.0/21 172.20.56.1 172.20.56.2 TERMINAL 3 172.20.56.5 S0/1 S0/0 F0/0 TERMINAL 2 172.20.56.4 CONSOLA TERMINAL 1 172.20.56.3 172.20.64.0/21 172.20.64.1 172.20.64.2 S0/1 S0/0 F0/0 TERMINAL 2 172.20.64.4 CONSOLA TERMINAL 1 172.20.64.3 172.20.72.0/21 172.20.72.1 172.20.72.2 S0/1 S0/0 F0/0 TERMINAL 2 172.20.72.4 CONSOLA TERMINAL 1 172.20.72.3 JAEN GUADALAJARA CUDAD REAL TOLEDO CUENCA 172.20.128.0/21 172.20.112.0/21 172.20.104.0/21 172.20.96.0/21 172.20.128.1 172.20.128.2 CONSOLA TERMINAL 1 172.20.128.3 TERMINAL 2 172.20.128.4 172.20.96.1 172.20.96.2 172.20.104.1 172.20.104.2 172.20.112.1 172.20.112.2 S0/0 F0/0 172.20.120.0/21 172.20.120.1 172.20.120.2 172.20.136.0/21 172.20.136.1 172.20.136.2 TERMINAL 2 172.20.136.4 S0/1 S0/0 F0/0 CONSOLA TERMINAL 1 172.20.136.3 172.20.144.0/21 172.20.144.1 172.20.144.2 TERMINAL 2 172.20.144.4 S0/1 S0/0 F0/0 CONSOLA TERMINAL 1 172.20.144.3 172.20.152.0/21 172.20.152.1 172.20.152.2 S0/1 S0/0 F0/0 TERMINAL 2 172.20.152.4 TERMINAL 3 172.20.152.5 CONSOLA TERMINAL 1 172.20.152.3 172.20.160.0/21 172.20.160.1 172.20.160.2 S0/1 S0/0 F0/0 TERMINAL 2 172.20.160.4 TERMINAL 3 172.20.160.5 CONSOLA TERMINAL 1 172.20.160.3 S0/1 GRANADA 172.20.168.0/21 172.20.168.1 172.20.168.2 S0/1 S0/0 F0/0 TERMINAL 2 172.20.168.4 TERMINAL 3 172.20.168.5 CONSOLA TERMINAL 1 172.20.168.3 DCE DCE DCE DCE DCE DTE DTE DTE DTE DTE DTE RED INTERNA 1 RED INTERNA 2 RED INTERNA 3 CENTRO DE DATOS (SP) 161.67.17.225 TOPOLOGA DEL LABORATORO DE REDES (NAT y NAPT) 161.67.18.1 F0/1 F0/1 F0/1 161.67.17.0/22 161.67.17.114 161.67.17.113 INTERNET RED EXTERNA 161.67.17.226 TERMINAL 3 172.20.64.5 TERMINAL 3 172.20.72.5 161.67.17.112 PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 3 1. Objetivo El objetivo de esta practica es que el alumno adquiera los conocimientos practicos sobre NAT (Network Addresses Translation) y NAPT (Network Address Port Translation) en la conIiguracion de routers. El objetivo Iinal de esta practica es observar el Iuncionamiento y la conIiguracion de los mismos, observando sus ventajas en lo reIerente al uso de direcciones IP privadas con conectividad global a Internet, en ambos sentidos. Este objetivo se puede desglosar en los siguientes objetivos parciales: 1. Permitir a usuarios internos con direcciones IP privadas acceder a Internet - Utilizando unicamente NAT dinamico dado un rango de varias direcciones IP 'legales. - Utilizando NAPT dada una unica direccion IP 'legal. - Utilizando NAPT dada una unica direccion IP 'legal (la de la interIaz). 2. Permitir a Internet acceder a dispositivos de la red interna con direcciones IP privadas. - Utilizando unicamente NAT dinamico y estatico dado un rango de varias direcciones IP 'legales. - Utilizando NAT estatico y NAPT dado una unica direccion IP 'legal. - Utilizando NAPT y NAT estatico dada una unica direccion IP 'legal (la de la interIaz). PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 4 2. NAT Uno de los grandes problemas existentes hoy dia con el direccionamiento en Internet con IPv4, es la Ialta de direcciones globales ('legales) IP para tener conectividad global a Internet. Practicamente, el espacio de direccionamiento IPv4 se ha dado por agotado debido a la explosion en el uso de Internet. Para resolver esta problematica, se han diseado procedimientos para aliviar esta situacion hasta que quede totalmente implantado IPv6. Estos procedimientos son el uso de CIDR (Classless Inter-Domain Routing), NAT (Network Address Translation) y NAPT (Network Address Port Translation). NAT es un mecanismo que puede ser utilizado para modiIicar las direcciones IP que viajan dentro de los paquetes IP. Este mecanismo es siendo muy utilizado hoy en dia, Iundamentalmente para permitir a redes (sitios) que utilizan un direccionamiento IP con direcciones privadas (RFC 1918) poder tener conectividad global en Internet. NAT opera habitualmente sobre un dispositivo de red Ironterizo (router), que conecta las dos redes: red interna y red externa(Internet). NAT permite a un host en una red privada (inside network) con una direccion IP privada, comunicarse transparentemente con un host destino (outside network) en una red publica o global. Esto se consigue modiIicando la direccion Iuente IP de los paquetes que atraviesan el dispositivo NAT. NAT mantendra una tabla con las traducciones de direcciones IP que debera llevar a cabo en ambos sentidos. En la terminologia de NAT, inside network es el conjunto de redes que estan sujetas a una traduccion, y el resto de redes son consideradas outside networks. En la siguiente Iigura podemos observar el Iuncionamiento habitual de NAT. PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 5 En la Iigura anterior una compaia (inside network) utiliza la direccion privada de red 192.168.1.0/24, y la red externa (outside network) utiliza la direccion de red 207.139.221.0/24. Utilizando NAT, estas dos redes pueden comunicarse de Iorma transparente a los hosts. NAT traduce la direccion IP Iuente de los paquetes que se originan en la inside network y la cambia por una direccion IP valida (legal) en la outside network. El proceso inverso se producira cuando el paquete viaje de regreso desde la outside network hacia la inside network. 3. Tipos de NAT Dependiendo de la Iorma en la que se hacen las asignaciones entre direcciones existen diIerentes tipos de hacer NAT. 3.1 NAT Dinmico Con NAT dinamico, se permite a un conjunto de hosts pertenecientes a la inside network comunicarse de Iorma transparente con los hosts de la outside network. Con NAT dinamico el establecimiento inicial de la traduccion es unidireccional y proveniente de la inside network. Es decir, las traducciones no existen en la tabla NAT hasta que un router recibe traIico desde la inside network que requiere una traduccion. Una vez establecida dicha traduccion temporal (unicamente valida para una sesion dada), se puede producir la comunicacion bidireccional. Hasta entonces el host perteneciente a la outside network no puede comunicarse con el host de la inside network. Con NAT dinamico la traduccion entre direcciones privadas y globales se realiza de Iorma dinamica, de entre un conjunto de direcciones globales, previamente deIinido. Una vez que dicha direccion global ya no va a ser usada, se libera para poder ser utilizada en otra sesion posterior. Las traducciones dinamicas tienen un tiempo de vida en inactividad, despues del cual son eliminadas de la tabla NAT. PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 6 3.2 NAT esttico Con NAT estatico, las traducciones existen en la tabla NAT desde el momento en que se conIiguran y ellas permanecen activas indeIinidamente en dicha tabla hasta que es borrada mediante comandos de conIiguracion. Con un NAT estatico, la comunicacion entre hosts puede ser iniciada por cualquiera de ellos, independientemente desde donde este ubicado, ya que la asociacion direccion privada-direccion global se ha hecho de Iorma estatica y permanente hasta que no se indique lo contrario por parte del administrador. Este tipo de NAT se utiliza cuando se desea que un host de la inside network sea accesible en cualquier momento desde la outside network. La direccion global que se le asigne a este dispositivo interno debe ser conocido (via DNS) por los hosts de la outside network, y no puede ser utilizada para NAT dinamico. 3.3 NAPT NAPT amplia un nivel mas el concepto de traduccion/asociacion, utilizando tambien los identiIicadores de puerto de la capa de transporte. Utilizando los identiIicadores de puerto (TCP/UDP) en las traducciones, se consigue traducir/asociar varias direcciones IP privadas a una unica direccion global IP, utilizando multiplexacion de puertos utilizando una unica direccion global IP. NAPT permite a numerosos hosts de la inside network compartir una unica direccion perteneciente a la outside network. La ventaja de NAPT es que con una unica direccion IP global se pueden mantener hasta 6.400 sesiones simultaneas (limitacion de NAPT), mientras que con NAT, por cada direccion de inside network se necesitaba una direccion global IP. NAT y NAPT pueden ser utilizados a la vez, dependiendo de la version del IOS (no en la 12.0 y 12.2). La ventaja de esta combinacion es que cuando NAT agota el conjunto de direcciones IP globales que le han sido asignadas, NAPT puede ser utilizado hasta que alguna de las traducciones NAT sea liberada (y en consecuencia su direccion global). PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 7 4. Consideraciones en el diseo de NAT/NAPT Cuando se utiliza NAT y NAPT en una red, hay varias cuestiones que tienen que tenerse en consideracion. Varios Iactores contribuyen a elegir el tipo de NAT a utilizar, tal como el numero de direcciones globales IP disponibles. Las siguientes consideraciones son guias generales para el diseo y desarrollo de NAT/NAPT. 1. Con cuantas direcciones IP globales se dispone para realizar traducciones?. Si existe un numero limitado de direcciones en comparacion con la cantidad de dispositivos internos (por ejemplo, 8 direcciones globales para 250 hosts internos), NAPT o una combinacion de NAT dinamico y NAPT puede ser la solucion mas correcta. 2. Cuando se utiliza NAT estatico, se deben implementar medidas de seguridad para limitar el tipo de traIico permitido para alcanzar el dispositivo interno, ya que al ser estatico, dicho dispositivo interno podra se accedido desde cualquier dispositivo externo de Iorma directa, sin que el dispositivo interno se haya comunicado previamente con el. 3. Las prestaciones del router que implementara el NAT deben tenerse en cuenta para todos los tipos de NAT, ya que NAT incrementa el tiempo de procesamiento de los paquetes en el interior de un router, ya que cuando un paquete IP atraviesa un router con NAT la cabecera IP debe ser modiIicada. NAT/NAPT tambien requieren capacidades de almacenamiento en el router para albergar la tabla NAT. Cada traduccion de NAT consume 160 bytes de RAM. 4. No todas las aplicaciones funcionan correctamente al atravesar un NAT!!. Solo se asegura que Iuncionan aquellas cuyo traIico TCP/UDP no transporte direcciones IP Iuente /destino en la porcion de datos del paquete IP para su Iuncionamiento. En caso contrario, sera necesario el uso de ALG (Application Laver Gatewavs). Algunos ejemplos del tipo de traIico que Cisco IOS NAT soporta son: http, TFTP, Telnet, Archie, Finger, NTP, NFS, rlogin, rsh. Los siguientes ejemplos de aplicaciones a pesar de transportar direcciones IP Iuente /destino en la porcion de datos del paquete IP para su Iuncionamiento, para ellos el Cisco IOS NAT proporciona Iunciones de ALG: ICMP, FTP (including PORT and PASV commands), NetBIOS over TCP/IP, RealAudio, CuSeeMe, Streamworks, DNS, H.323/NetMeeting (IOS 12.0(1)/12.0(1)T or later), VDOLive (IOS 11.3(4), 11.3(4)T or later), Vxtreme (IOS 11.3(4), 11.3(4)T or later), IP Multicast (IOS 12.0(1)T source address translation only). Por ultimo los siguentes ejemplos de aplicaciones no son soportados por Cisco IOS NAT: Routing table updates, DNS zone transIers, BOOTP, Talk, ntalk, SNMP, NetShow. 5. La desventaja de NAT/NAPT es la perdida de conectividad IP extremo a extremo. Es mucho mas diIicil tracear paquetes que atraviesa varios NATs. Por otro lado, una ventaja del uso de NAT/NAPT es que se hace mas diIicil, por no decir imposible para hackers determinar la Iuente de un paquete para tracear u obtener la Iuente original de los datos. PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 8 4. Pasos para la configuracin de NAT y NAPT Cuando se quiere conIigurar NAT y/o NAPT es diIicil a veces saber por donde empezar. Los siguientes pasos pueden ser una guia para conIigurar NAT y NAPT. 1. DeIinir los interIaces que utilizaran NAT/NAPT como inside/outside. 2. DeIinir la Iuncion que se quiere que realice NAT/NAPT a. Permitir a usuarios internos acceder a Internet? b. Permitir a Internet acceder a dispositivos de la red interna? c. Redireccionar traIico TCP a otro puerto/direccion TCP? d. Utilizar NAT durante una transicion o cambio en la red? e. Utilizar NAT para permitir que redes con espacio de direccionamiento solapado puedan comunicarse? 3. ConIigurar NAT/NAPT acorde a lo que se quiere hacer y que ha quedado deIinido en el paso 2. En Iuncion de ello se necesitara utilizar: a. NAT estatico b. NAT dinamico c. NAPT d. Cualquier combinacion con las anteriores 4. VeriIicar el Iuncionamiento de NAT/NAPT 5. Comandos de configuracin de NAT y NAPT en CISCO IOS 5.1 Comandos de configuracin Comando de configuracin de la interface El primer paso para implementer NAT es deIinir los interIaces que van a participar en el NAT y de que tipo son: inside (conectada a la red interna) o outside (conectada a la red externa). Para ello se utiliza, desde el modo de conIiguracion de la interIaz, el comando ip nat: Router(config-if)# ip nat { inside [ outside } donde inside indica que la interIaz esta conectada a la red interna (la red sujeta a la traduccion de NAT), y outside indica que la interIaz esta conectada a la red externa. Se debe especiIicar al menos una interIace inside y una interIace outside en el router sobre el cual se desea conIigurar NAT. Solo los paquetes que llegan a una de las interIaces conIiguradas con ip nat estaran sujetos a una posible traduccion. Para eliminar la condicion de NAT sobre una interIace utiliza la Iorma no del comando (no ip nat inside [ outside ]) Comandos de configuracin global Definicin de un conjunto de direcciones (pool) Para la asignacion dinamica de direcciones por parte de NAT se debe deIinir un conjunto(rango) de direcciones IP. Estas direcciones seran utilizadas por NAT conIorme las vaya necesitando. Este conjunto podria deIinir o un conjunto global interno, un conjunto local externo, o un conjunto rotatorio. Para ello se utiliza, desde el modo de conIiguracion global, el comando ip nat pool. Para eliminar una o mas direcciones utiliza la Iorma no de este comando. PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 9 Router(config)# ip nat pool name~ start -ip~ end-ip~ { netmask netmask~ [ prefix-length prefix-length~ Aame es el nombre que le asignamos al conjunto de direcciones (pool). Start-ip es la primera direccion IP del conjunto (rango). End-ip es la ultima direccion IP del conjunto (rango). Netmask netmask especiIica la mascara de red/subred de la red a la cual pertenece el conjunto de direcciones. Prefix-length prefix-length indica el numero de 1s que tiene la mascara. En el siguiente ejemplo se especiIica un conjunto de direcciones globales con el nombre net-208, que contiene el rango de direcciones IP desde 207.139.221.10 a la 207.139.221.128. ip nat pool net-208 207.139.221.10 207.139.221.128 netmask 255.255.255.0 o ip nat pool net-208 207.139.221.10 207.139.221.128 prefix-length 24 Habilitar la traduccin de direcciones fuente internas Para habilitar NAT para la traduccion de direcciones Iuente internas utiliza, desde el modo de conIiguracion global, el comando ip nat inside source. Para eliminar una traduccion estatica o una asociacion dinamica a un conjunto de direcciones IP utiliza la Iorma no de este comando. Router(config)# ip nat inside source {list {access-list-number [ name} { pool name [ interface interface-name}[overload] [ static local-ip global-ip} List access-list number es el numero de lista de acceso IP estandar. Unicamente los paquetes cuya direccion Iuente pasan la lista de acceso son traducidos dinamicamente utilizando las direcciones globales del pool name. List name es el nombre de lista de acceso IP estandar. Pool name es el nombre del conjunto de direcciones que seran asignadas de Iorma dinamica. Overload (opcional) habilita al router para que utilice una unica direccion global para varias direcciones locales utilizando NAPT. Interface interface es el nombre de la interIaz cuya direccion IP sera asignada de Iorma dinamica utilizando NAPT Static local-ip establece una traduccion estatica simple entre local-ip y global- ip. Esta direccion global IP asignada al dispositivo interno sera la direccion que sera vista desde el exterior. Este comando tiene tres Iormas: NAT esttico, NAT dinmica y NAPT. La Iorma que utiliza la lista de acceso establece traduccion dinamica. Los paquetes cuyas direcciones encajan en la lista de acceso estandar son traducidos dinamicamente utilizando las direcciones globales del pool name. Alternativamente, si se utiliza la palabra clave static se establece NAT estatico entre local-ip y global-ip. Si se utiliza la palabra clave overload se establece NAPT para los paquetes cuyas direcciones encajan en la lista de acceso estandar utilizando las direccion global del pool name. PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 10 En el siguiente ejemplo se especiIica que el traIico originado desde 192.168.1.0 hacia cualquier lugar sera traducido dinamicamente (NAT dinamico) basado en su direccion Iuente utilizando el siguiente conjunto(rango) de direcciones IP 207.139.221.10- 207.139.221.128. Se traducira la direccion Iuente y no la direccion destino. ip nat pool net-207 207.139.221.10 207.139.221.128 netmask 255.255.255.0 access-list 10 permit 192.168.1.0 0.0.0.255 ip nat inside source list 10 pool net-207 Para habilitar una traduccion estatica (NAT estatico) entre el host interno 192.168.1.10 y la direccion global IP 207.139.221.10 se utilizaria el siguiente comando: ip nat inside source static 192.168.1.10 207.139.221.10 Para habilitar NAPT especiIicando que el traIico originado desde 192.168.1.0 hacia cualquier lugar sera traducido basado en su direccion Iuente utilizando una unica direccion IP 207.139.221.10 se introduciria las siguientes lineas de comandos. ip nat pool net-207 207.139.221.10 207.139.221.10 netmask 255.255.255.0 access-list 10 permit 192.168.1.0 0.0.0.255 ip nat inside source list 10 pool net-207 overload Configuracin de los timeouts de traduccin Las traducciones dinamicas expiran despues de un cierto periodo de tiempo sin uso. Cuando NAPT no esta conIigurado, la entradas en la tabla de traducciones dinamicas espiran a las 24 horas sin uso. Estos tiempos pueden ser ajustados, en modo de conIiguracion global, con el comando ip nat translation. Para deshabilitar un time-out utiliza la Iorma no de este comando. Router(config)# ip nat translation {timeout [ udp-timeout [ dns-timeout [ tcp-timeout [ finrst-timeout} seconds Timeout especiIica el valor de timeout que se aplica a las traducciones dinamicas excepto a las traducciones NAPT. El valor por deIecto es 24 horas. Udp-timeout especiIica el valor de timeout que se aplica a los puertos UDP. El valor por deIecto es 300 segundos. Dns-timeout especiIica el valor de timeout que se aplica a a las conexiones de DNS. El valor por deIecto es 60 segundos. Tcp-timeout especiIica el valor de timeout que se aplica a los puertos TCP. El valor por deIecto es 24 horas. Finrst-timeout especiIica el valor de timeout que se aplica a los paquetes Finish y Reset TCP, los cuales terminan una conexion. El valor por deIecto es 60 segundos. Seconds es el numero de segundos. En el siguiente ejemplo se especiIica que las traducciones NAT expiraran a los 600 segundos de inactividad. ip nat translation timeout 600 PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 11 5.2 Comandos de verificacin Mostrar traducciones activas Para mostrar traducciones NAT activas utiliza, en modo privilegiado, el comando Router# show ip nat translations [ verbose ] verbose opcionalmente muestra inIormacion adicional para cada traduccion, incluyendo la antigedad de dicha entrada. Mostrar estadsticas de las traducciones NAT Para mostrar estadisticas de las traducciones NAT utiliza, en modo privilegiado, el comando Router# show ip nat statistics Router#show ip nat statistics Total translations: 2 (0 static, 2 dynamic; 0 extended) Outside interIaces: Serial0 Inside interIaces: Ethernet1 Hits: 135 Misses: 5 Expired translations: 2 Dynamic mappings: Inside Source access-list 1 pool net-208 reIcount 2 pool net-208: netmask 255.255.255.240 start 171.69.233.208 end 171.69.233.221 type generic, total addresses 14, allocated 2 (14), misses 0 Total translations Numero de traducciones activas en el sistema. Hits Numero de veces que el soItware necesita hacer una traduccion y la encuentra ya creada en la tabla. Misses Numero de veces que el soItware necesita hacer una traduccion y no la encuentra en la tabla y debe de crear una entrada nueva. Expired translations Numero de traducciones que han expirado desde que se arranco el router. Borrar traducciones dinmicas Para borrar las traducciones dinamicas NAT de la tabla de traducciones antes de que expiren, utiliza en modo privilegiado, el comando Router# clear ip nat translation { [ [inside global-ip local-ip] [outside local-ip global-ip]} o Router# clear ip nat translation protocol { [inside global-ip global-port local-ip local- port] [outside local-ip global-ip]} Debugging Para activar el debug de NAT, utiliza, en modo privilegiado, el comando Router# debug ip nat [ list~ ] [ detailed ] PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 12 5.2 Ejemplos de configuracin Ejemplo 1: Configuracin de NAT entre una red privada e Internet, para permitir a usuarios internos acceder a Internet. La compaia XYZ ha decidido permitir a sus empleados acceder a Internet. Se ha contratado con un proveedor de servicios de Internet (ISP) una linea dedicada y se ha adquirido un router para encaminar el traIico interno hacia el ISP. El ISP ha asignado un rango de 128 direcciones IP globales (207.139.221.0/25) a la compaia para utilizarlas con tal Iin. Los administradores de la red de la compaia XYZ han utilizado la direccion privada 192.168.1.0/24 para sus dispositivos internos (ver Iigura). La conIiguracion de este router para conseguir tal Iin podria ser la siguiente: Router# configure terminal interface ethernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside no shutdown interface serial0 ip address 207.139.221.1 255.255.255.128 ip nat outside no shutdown exit access-list 10 permit 192.168.1.0 0.0.0.255 ip nat pool net-207 207.139.221.2 207.139.221.126 netmask 255.255.255.128 ip nat pool net-207-napt 207.139.221.127 207.139.221.127 netmask 255.255.255.128 ip nat inside source list 10 pool net-207 ip nat inside source list 10 pool net-207-napt overload NOTA: NAPT ocurrira una vez que NAT haya utilizado todas las direcciones disponibles en net-207 pool. Esta opcion NOesta disponible en todas las versiones del IOS (en la 12.0 y 12.2, NO lo esta). PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 13 Ejemplo 2: Configuracin de NAT entre una red privada e Internet, para permitir a Internet acceder a dispositivos de la red interna. La compaia del ejemplo anterior ha decidido instalar un servidor Web y un servidor de correo en una de sus LAN, como un DMZ (en una red aparte). Esta red donde se ubicaran los servidores utilizara la red privada 192.168.2.0/24 (ver Iigura). Para permitir a Internet acceder a dispositivos de la red interna (siendo cualquier usuario de Internet, el que inicie la conexion) se deberan utilizar traducciones estaticas para las direcciones de los servidores. La conIiguracion de este router para conseguir tal Iin podria ser la siguiente: 192.168.2.2 192.168.2.3 Router# configure terminal interface ethernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside no shutdown interface serial0 ip address 207.139.221.1 255.255.255.128 ip nat outside no shutdown interface ethernet1 ip address 192.168.2.1 255.255.255.0 ip nat inside no shutdown exit access-list 10 permit 192.168.1.0 0.0.0.255 ip nat pool net-207 207.139.221.4 207.139.221.126 netmask 255.255.255.128 ip nat pool net-207-napt 207.139.221.127 207.139.221.127 netmask 255.255.255.128 ip nat inside source list 10 pool net-207 ip nat inside source list 10 pool net-207-napt overload.com ip nat inside source static 192.168.2.2 207.139.221.2 ip nat inside source static 192.168.2.3 207.139.221.3 NOTA: NAPT ocurrira una vez que NAT haya utilizado todas las direcciones disponibles en net-207 pool. Esta opcion NO esta disponible en todas las versiones del IOS.(en la 12.0 y 12.2, NO lo esta). PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 14 Ejemplo 3: Configuracin simultnea de NAT esttica y dinmica. Dada la topologia de red de la Iigura se desea permitir el acceso al dispositivo A desde el exterior a la vez que se desea tener acceso al exterior desde la red interna (10.10.10.0/24). Para ello se permite utilizar el rango de direcciones externas 172.16.132.1 172.16.131.10. La conIiguracion del router para conseguir tal Iin podria ser la siguiente: NOTA: Con NAT dinamico, las traducciones no existen en la tabla NAT hasta que un router recibe traIico que requiere una traduccion. Las traducciones dinamicas tienen un tiempo de vida en inactividad, despues del cual son eliminadas de la tabla NAT. Con NAT estatico, las traducciones existen en la tabla NAT desde el momento en que se conIiguran y ellas permanecen indeIinidamente en dicha tabla hasta que es borrada mediante comandos de conIiguracion. Router# configure terminal interface e 0 ip address 10.10.10.254 255.255.255.0 ip nat inside no shutdown interface s 0 ip address 172.16.131.254 255.255.255.0 ip nat outside no shutdown access-list 7 denv host 10.10.10.1 access-list 7 permit 10.10.10.0 0.0.0.255 ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0 ip nat inside source list 7 pool test ip nat inside source static 10.10.10.1 172.16.131.1 PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 15 Router#show ip nat translations Pro Inside global Inside local Outside local Outside global --- 172.16.131.1 10.10.10.1 --- --- Observa que solo la traduccion estatica es mostrada en la tabla NAT. Esta entrada traduce la direccion global interna a la direccion local interna, lo cual signiIica que cualquier dispositivo externo puede enviar paquetes a la direccion global 172.16.131.1 y alcanzar el dispositivo en la red interna, en cual tiene la direccion local 10.10.10.1. Ninguna otra entrada aparecera en la tabla NAT hasta que el router reciba un paquete por su interIace inside con una direccion Iuente permitida por la ACL 7. Observa tambien que la ACL 7 deniega la direccion del dispositivo 10.10.10.1 que es utilizado en la traduccion estatica. Esto servira para que los paquetes con direccion Iuente 10.10.10.1 no generen traducciones NAT dinamicas. Esto es necesario ya que la direccion 10.10.10.1 ya esta siendo utilizada en el NAT estatico. Si no pusieramos esta condicion tambien podria utilizar traducciones dinamicas ya que 10.10.10.1 cumpliria con la ACL-7. Esta practica debe de ser tenida en cuenta cuando se conIiguren NAT estatico y dinamico simultaneamente. Ejemplo 4: Configuracin simultnea de NAT esttica y NAPT. Dada la topologia de red de la Iigura anterior se desea permitir el acceso al dispositivo A (servidor de correo electronico) desde el exterior a la vez que se desea tener acceso al exterior desde la red interna (10.10.10.0/24). Para ello se permite utilizar unicamente la direccion IP de la interIaz serial 0 del router hacia la red externa. La conIiguracion del router para conseguir tal Iin podria ser la siguiente: Router# configure terminal interface e 0 ip address 10.10.10.254 255.255.255.0 ip nat inside no shutdown interface s 0 ip address 172.16.131.254 255.255.255.0 ip nat outside no shutdown access-list 7 denv host 10.10.10.1 access-list 7 permit 10.10.10.0 0.0.0.255 ip nat inside source list 7 interface serial 0 overload ip nat inside source static tcp 10.10.10.1 25 172.16.131.254 25 En este ejemplo hemos conIigurado NAPT sobre la direccion IP de la interIace serial 0 del router. Esto signiIica que mas de una direccion local interna sera traducida dinamicamente sobre la misma direccion IP global, utilizando las direcciones de puerto (TCP/UDP) para distinguir las sesiones. Ademas, hemos conIigurado estaticamente NAT para que los paquetes dirigidos al servidor de correo electronico ubicado en 10.10.10.1 puedan ser dirigidos por los dispositivos externos al puerto 25 de la IP de la interIaz s 0 del router. PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 16 6. Casos prcticos Para realizar los diIerentes casos practicos que se plantean como tareas para esta practica tendremos en cuenta la topologa del laboratorio de Redes (NAT y NAPT) que ha sido diseada para este Iin. En ella podemos observar las siguientes caracteristicas: 1. Existen tres redes internas, y una unica red externa (acceso a Internet) cada una con su router Ironterizo con la red externa para conIigurar NAT/NAPT. Estos routers son Madrid, 1aen y Guadalajara. Por lo tanto solo se conIigurara el NAT/NAPT en estos tres routers, el resto de subredes saldran a traves de estos. 2. Cada red interna trabajara separadamente del resto (de hecho las hemos desconectado entre si), y se vera como una unica red interna que quiere conectarse a Internet en ambos sentidos a traves de la red externa 161.67.17.0/22 3. El Centro de Datos de la EPSA hara de ISP para nosotros, proporcionandonos acceso a INTERNET a nuestras redes con direccionamiento privado. El rango de direcciones que se nos ha asignado son: a. Para la red interna 1: 161.67.17.227-161.67.17.231 b. Para la red interna 2: 161.67.17.232-161.67.17.236 c. Para la red interna 3: 161.67.17.237-161.67.17.245 4. Se han situado dos maquinas en el laboratorio con conexion unicamente a la red externa 161.67.17.0/22 (255.255.252.0) para realizar pruebas de conectividad posteriormente. Son las maquinas con direcciones 161.67.17.225 y 161.67.17.226. Podrian ser las terminales 3 de Madrid y Barcelona (por ejemplo) 5. El router de salida hacia Internet de los routers Madrid, Jaen y Guadalajara es 161.67.18.1. Para tener conectividad hacia Iuera deberas tener en cuenta que las tablas de encaminamiento de todos los routers consideran esta opcion o la que le corresponda. (ip route ... ... 11.7.18.1 en Madrid, Jaen y Guadalajara, ip route ... ... x.x.x.x(siguiente salto), en el resto ) 6. Los DNS que nos proporciona el ISP son 161.67.8.208 y/o 161.67.1.28. (utiles para la conIiguracion del TCP/IP de las estaciones) 7. Cada grupo de alumnos debe participar en la conIiguracion NAT/NAPT del router segun a la red interna a la que pertenezca, para ello los que no esten Iisicamente en las consolas correspondientes a Madrid, Jaen y Guadalajara se pueden conectar via Telnet con el router que le toque y participar en la conIiguracion parcial que le corresponda. Tener cuidado con la parte de conIiguracion que realiza cada pareja de alumnos pues estareis varios modiIicando la conIiguracion NAT del router simultaneamente. Poneros de acuerdo en la parte que conIigura cada uno. 8. Para veriIicar el Iuncionamiento de NAT/NAPT se recomienda utilizar los comandos de veriIicacion vistos anteriormente. Otro mecanismo de depuracion bastante potente es activar el debug con debug ip nat y realizar un ping entre las direcciones involucradas en la comunicacion, para ver realmente como esta Iuncionando el NAT. 9. Para desarrollar esta practica realiza los casos prcticos planteados A y B, y dentro de cada caso realiza las diIerentes tareas conIigurando NAT/NAPT acorde a las condiciones impuestas en cada tarea, veriIicando su Iuncionamiento. Anota todo lo que consideres de interes. PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 17 CASO PRCTICO A: PERMITIR A TODOS LOS USUARIOS INTERNOS ACCEDER A INTERNET. Sigue los siguientes pasos para cada una de las tareas propuestas: Paso 0. Realiza un ping desde cualquier maquina de tu red interna a la maquina externa 161.67.17.225 o intenta salir a Internet conectandote a alguna Web. Has podido?. Por que si o por que no?. Paso 1. DeIinir los interIaces que utilizaran NAT/NAPT como inside/outside. Paso 2. DeIinir la Iuncion que se quiere que realice NAT/NAPT Paso 3. ConIigurar NAT/NAPT acorde a lo que se quiere hacer utilizando las restricciones que impone cada tarea. Paso 4. VeriIicar el Iuncionamiento de NAT/NAPT. Para ello activa debug ip nat y borra la tabla NAT con clear ip nat translation . Realiza un ping desde cualquier maquina de tu red interna a la maquina externa 161.67.17.225 o intenta salir a Internet conectandote a alguna Web. Que tipo de inIormacion proporciona el debug?. Los resultados obtenidos son acorde a lo esperado?. Si los ping NO son exitosos utiliza los comandos de veriIicacion para depurar los errores. Para cada una de las tareas responde estas preguntas: a. Que ocurre si estais conectados a Internet mas dispositivos que el numero de direcciones IP 'legales que tiene vuestro rango?. b. Muestra las traducciones activas que tienes con el comando show ip nat translations y las estadisticas de las traducciones NAT con show ip nat statistics. Los resultados obtenidos son acorde a lo esperado?. c. Cuanto tiempo duran las entradas en la tabla NAT? d. Anota todo lo que consideres de interes. Tarea 1. Utilizando nicamente NAT dinmico dado un rango de varias direcciones IP ~legales. Como ayuda vamos a indicar el de Madrid. Modifica posteriormente los timeouts para observar las diIerencias. Madrid# configure terminal interface f0/0 ip address 172.20.40.1 255.255.248.0 ip nat inside no shutdown interface s0/0 ip address 172.20.8.1 255.255.248.0 ip nat inside no shutdown interface f0/1 ip address 161.67.17.112 255.255.252.0 ip nat outside no shutdown exit router rip network 172.20.0.0 network 161.67.17.0 exit ip route 0.0.0.0 0.0.0.0 161.67.18.1 access-list 1 permit 172.2.4. ..7.255 access-list 1 permit 172.2.48. ..7.255 access-list 1 permit 172.2.5. ..7.255 access-list 1 permit 172.2.8. ..7.255 access-list 1 permit 172.2.1. ..7.255 ip nat pool red-int1 11.7.17.227 11.7.17.231 netmask 255.255.252. ip nat inside source list 1 pool red-int1 Tarea 2. Utilizando NAPT dada una nica direccin IP ~legal. Tarea 3. Utilizando NAPT dada una nica direccin IP ~legal (la de la interfaz). PRACT!CA 5. CONF!GURAC!ON DE ROUTERS: NAT y NAPT 18 CASO PRCTICO B: PERMITIR A INTERNET ACCEDER A DISPOSITIVOS DE LA RED INTERNA (a la vez que se sigue permitiendo acceder a Internet) Sigue los siguientes pasos para cada una de las tareas propuestas: Paso previo: Seleccionar una maquina de vuestra red interna que sea la que deseeis que sea accesible desde Iuera. Anotar su IP para utilizarla en la conIiguracion posterior. Paso 0. Realiza un ping desde la maquina 161.67.17.226 a la maquina de tu red interna que elegiste para tener acceso desde Iuera. Has podido?. Por que si o por que no?. Paso 1. DeIinir los interIaces que utilizaran NAT/NAPT como inside/outside. Paso 2. DeIinir la Iuncion que se quiere que realice NAT/NAPT Paso 3. ConIigurar NAT acorde a lo que se quiere hacer utilizando las restricciones que impone cada tarea. Paso 4. VeriIicar el Iuncionamiento de NAT/NAPT. Para ello activa debug ip nat y borra la tabla NAT con clear ip nat translation . Realiza un ping desde la maquina 161.67.17.226 a la maquina de tu red interna que elegiste para tener acceso desde Iuera. Para comprobar que sigues teniendo acceso hacia Iuera realiza un ping desde cualquier maquina de tu red interna a la maquina externa 161.67.17.225 o intenta salir a Internet conectandote a alguna Web. Que tipo de inIormacion proporciona el debug?. Los resultados obtenidos son acorde a lo esperado?. Si los ping NO son exitosos utiliza los comandos de veriIicacion para depurar los errores. Para cada una de las tareas responde estas preguntas: a. Pueden conectarse desde otros host de otras redes internas al host de tu red interna que hiciste accesible desde Iuera?. Puedes conectarte desde cualquier host de tu red interna a los hosts que han hecho accesibles desde Iuera las otras redes internas?. b. Muestra las traducciones activas que tienes con el comando show ip nat translations y las estadisticas de las traducciones NAT con show ip nat statistics. Los resultados obtenidos son acorde a lo esperado?. Anota todo lo que consideres de interes. Tarea 1. Utilizando nicamente NAT dinmico y esttico dado un rango de varias direcciones IP ~legales. Como ayuda vamos a indicar el de Madrid. Madrid# configure terminal interface f0/0 ip address 172.20.40.1 255.255.248.0 ip nat inside no shutdown interface s0/0 ip address 172.20.8.1 255.255.248.0 ip nat inside no shutdown interface f0/1 ip address 161.67.17.112 255.255.252.0 ip nat outside no shutdown exit router rip network 172.20.0.0 network 161.67.17.0 exit ip route 0.0.0.0 0.0.0.0 161.67.18.1 access-list 1 deny host 172.2.4.3 access-list 1 permit 172.2.4. ..7.255 access-list 1 permit 172.2.48. ..7.255 access-list 1 permit 172.2.5. ..7.255 access-list 1 permit 172.2.8. ..7.255 access-list 1 permit 172.2.1. ..7.255 ip nat pool red-int1 11.7.17.228 11.7.17.231 netmask 255.255.252. ip nat inside source list 1 pool red-int1 ip nat inside source static 172.2.4.3 11.7.17.227 Tarea 2. Utilizando NAT esttico y NAPT dado una nica direccin IP ~legal. Tarea 3. Utilizando NAPT y NAT esttico dada una nica direccin IP ~legal (la de la interfaz). (Utilizar el Cliente/Servidor de ECHO, puerto 7).