Se pide: Configurar el router NAT1 para que todos los equipos de la red local salgan a la red pblica con la IP del router. Configurar el router NAT2 de forma que los equipos de la red local salgan al exterior con direcciones IP pblicas en el rango: 85.73.12.51 a 195.47.3.60 Configurar el router NAT3 de forma que se realice una traduccin de direcciones esttica con las direcciones IP pblicas 160.45.1.9 y 160.45.1.10 asignadas a 10.0.0.1 y 10.0.0.2 respectivamente. Verificar en todos los casos que la red se comporta segn lo esperado.
Solucin
Router NAT1 (NATP)
NAT1>enable NAT1#configure terminal Enter configuration commands, one per line. NAT1(config)#interface fa0/0 NAT1(config-if)#ip nat inside NAT1(config-if)#exit NAT1(config)#interface fa4/0
NAT1(config-if)#ip nat outside NAT1(config-if)#exit NAT1(config)#access-list 1 permit 192.168.01.0 0.0.0.255 NAT1(config)#ip nat inside source list 1 interface fa4/0 overload
Para comprobar la correcta configuracin, hacemos ping (desde el command prompt de algn equipo de la red LAN 1 en modo simulacin) a la direccin ip pblica de alguno de los routers de la topologa y examinamos el paquete al cruzar el router NAT1.
Veremos la diferencia entre el paquete entrante y el saliente, al modificar el router la direccin origen de la privada (del equipo interno) a la ip pblica (del router) para circular por la red pblica. Si hacemos varios pings a diferentes destinos desde los dos equipos internos, podremos comprobar como todos salen con la ip del router (por la red publica), sin embargo se hace modificacin de los puertos para poder atender a varios hosts internos con la misma IP pblica. Lo comprobamos examinando la tabla NAT del router NAT1 tras hacer diferentes ping desde los dos equipos internos hacia el exterior.
NAT2(config)#ip nat pool LAN2 85.73.12.51 85.73.12.60 netmask 255.255.255.0 NAT2(config)#access-list 2 permit 172.16.1.0 0.0.0.255 NAT2(config)#ip nat inside source list 2 pool LAN2 NAT2(config)#exit
Para comprobar esta configuracin, hacemos como en el caso anterior, pings desde el command prompt de los equipos de la red LAN 2 hacia las IP pblicas de los routers de la topologa y examinamos el paquete al cruzar el router NAT2 para comprobar la traduccin de direcciones. Router NAT3 (NAT esttico)
NAT3(config)#ip nat inside source static 10.0.0.1 160.45.1.9 NAT3(config)#ip nat inside source static 10.0.0.2 160.45.1.10 NAT3(config)#interface fa0/0 NAT3(config-if)#ip nat inside NAT3(config-if)#exit NAT3(config)#interface fa4/0 NAT3(config-if)#ip nat outside NAT3(config-if)#exit
Para comprobar esta configuracin, desde uno de los servidores de la LAN 3, hacemos un ping desde el command prompt hacia la ip pblica de alguno de los otros routers (direcciones IP pblicas). Mientras (en modo simulacin) observamos circular el paquete ICMP, podemos examinarlo al cruzar el router NAT3 y comprobar que en el paquete de entrada, la direccin origen es privada (por ejemplo 10.0.0.1), mientras que cuando el paquete sale del router (y circula por la red pblica), la direccin de origen es sustituida por 160.45.1.9. Cuando viene el paquete respuesta, es la direccin destino la que lleva la direccin 160.45.1.9 mientras circula por la red pblica, cambiando a la ip privada cuando atraviesa el router NAT3. Si desde cualquier otro equipo (en otra red) que tenga salida a la red pblica, hacemos un ping a la direccin externa, por ejemplo 160.45.1.10, esta se mapea a 10.0.0.2 cuando llega al router NAT3 y sigue su camino por el interior de la red. Esto significa que, con NAT esttico, los equipos mapeados son visibles desde la red pblica con su IP pblica.
Ejercicio 2
La empresa NoegaSoft SL desea organizar su red informtica para poder ofrecer diferentes servicios informticos en la red interna y en Internet. Para poder desplegar su red en Internet ha conseguido la asignacin del siguiente conjunto de direcciones pblicas: 207.43.6.16/28 lo que suponen 14 direcciones IP, una vez
descontadas la direccin de red y broadcast. La empresa desea disponer de dos servidores diferentes en Internet, un servidor web y un servidor FTP por lo que, para separarlos de los equipos de la red interna ha decidido crear un segmento DMZ interno enla empresa. Estos dos equipos deben ser directamente accesibles desde Internet: www.noegasoft.com y ftp.noegasoft.com. En ocasiones, clientes de la empresa desean conectar sus porttiles a la red para realizar consultas o conectarse con sus respectivas empresas, por lo que tambin se ha decidido crear un segmento de red especfico para el punto de acceso inalmbrico de invitados con acceso a Internet por NATP con una nica IP para todas las estaciones inalmbricas de invitados. El resto de los equipos de la empresa, estaciones cliente y servidores internos, se ubicarn en un tercer segmento de red. La empresa utiliza las siguientes direcciones para su Intranet: Red DMZ, direcciones 10.0.0.0/24 Red Local, direcciones 172.16.0.0/24 Red wireless, direcciones 192.168.0.0/24
Se utilizan direcciones IP estticas en la red DMZ, pero en los segmentos LAN y Wireless se desea utilizar DHCP para simplificar el soporte informtico. La empresa dispone de dos switches, un punto de acceso y un router Cisco con tres interfaces Fast Ethernet y un interfaz Serial para conexin a Internet. Se pide: Proponer y configurar la solucin de conectividad para la red de la empresa segn los criterios anteriores. Comprobar la solucin propuesta en un programa de simulacin de redes.
Solucin
Se dispone de 14 direcciones IP pblicas en la subred 207.43.6.16/28 que resultan 207.43.6.17 hasta 207.43.6.30
Al router se le asigna la mayor IP pblica disponible: 207.43.6.30 Se hace la siguiente asociacin para NAT esttico en la zona desmilitarizada: Equipo IP privada 10.0.0.1 10.0.0.2 IP pblica 207.43.6.17 207.43.6.18
Se reserva la IP 207.43.6.19 para hacer NATP para la red inalmbrica (192.168.0.0/24) El resto de IP pblicas pasan a formar parte del pool de direcciones pblicas para hacer NAT dinmico a equipos de la red local cuando accedan a Internet. El rango de direcciones restantes para este pool es: 207.43.6.20 hasta 207.43.6.29
Para la red de invitados (zona con cobertura inalmbrica) se configura un servicio DHCP con las siguientes propiedades:
Direccin de red: 192.168.0.0/24 Pool de direcciones: 192.168.0.1 hasta 192.168.0.200 Puerta de enlace: 192.168.0.254 Servidor DNS: 10.0.0.2
Para la red de rea local se configura un servicio DHCP en el router con las siguientes propiedades:
Direccin de red: 172.16.0.0/16 Pool de direcciones: 172.16.0.1 hasta 172.16.0.200 Puerta de enlace: 172.16.0.254 Servidor DNS: 10.0.0.2
Veamos la configuracin del router siguiendo estas directrices: Nombre del router e Interface serial externo
Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname NoegaSoft NoegaSoft(config)#interface serial0/0 NoegaSoft(config-if)#clock rate 64000 NoegaSoft(config-if)#ip address 207.43.6.30 255.255.255.0 NoegaSoft(config-if)#ip nat outside NoegaSoft(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial0/0, changed state to up NoegaSoft(config)#router rip NoegaSoft(config-router)#network 207.43.6.0 NoegaSoft(config-router)#exit
Se configura el interfaz y se anuncia (rip) la red externa. Las redes internas no se anuncian con RIP ya que no deben ser accesibles desde el exterior (salvo los equipos con NAT esttico).
Interfaces en la red privada: fa1/0 DMZ, fa2/0 LAN y fa3/0 zona wifi
NoegaSoft(config)#interface fa1/0 NoegaSoft(config-if)#ip address 10.0.0.254 255.0.0.0 NoegaSoft(config-if)#ip nat inside NoegaSoft(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up NoegaSoft(config-if)#exit NoegaSoft(config)#interface fa2/0
NoegaSoft(config-if)#ip address 172.16.0.254 255.255.0.0 NoegaSoft(config-if)#ip nat inside NoegaSoft(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet2/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet2/0, changed state to up NoegaSoft(config-if)#exit NoegaSoft(config)#interface fa3/0 NoegaSoft(config-if)#ip address 192.168.0.254 255.255.255.0 NoegaSoft(config-if)#ip nat inside NoegaSoft(config-if)#no shutdown NoegaSoft(config-if)# %LINK-5-CHANGED: Interface FastEthernet3/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/0, changed state to up NoegaSoft(config-if)#exit NoegaSoft(config)#
En este momento los dos servidores ya deben poder hacer un ping a los equipos de Internet y, si estos hacen un ping a las direcciones IP externas de estos equipos, el router debe hacer NAT inverso y propagarlas al interior de la red con la IP privada.
En la imagen estamos examinando el contenido del paquete correspondiente a un ping desde el Servidor web local (10.0.0.1) hacia un equipo de Internet (69.63.190.10). El paquete ha sido capturado y examinado al pasar por el router. podemos comprobar como el paquete entrante (izquierda) tiene como direccin origen 10.0.0.1 y destino 69.63.190.10, mientras que el paquete saliente ya ha sido traducido a la direccin pblica del servidor web y ahora tiene como origen 207.43.6.17 y destino 69.63.190.10, es decir, en el router se produce la traduccin de la IP de origen (10.0.0.2 -> 207.43.6.17) para que el paquete pueda seguir viajando por la red pblica. Al llegar el paquete respuesta, el router deshar la traduccin para que pueda circular por la red interna. Configuracin del NAT dinmico en la red local
NoegaSoft(config)#ip nat pool lan 207.43.6.20 207.43.6.29 netmask 255.255.255.0 NoegaSoft(config)#access-list 2 permit 172.16.0.0 0.0.255.255 NoegaSoft(config)#ip nat inside source list 2 pool lan
En este momento ya podemos realizar ping desde los equipos de la red LAN hacia equipos de Internet. Si despus de ello nos fijamos en la tabla NAT del router, veremos (adems de las asociaciones estticas para los equipos de DMZ) las nuevas asociaciones NAT dinmicas que se generan con el trfico.
Tabla NAT del router tras unos PING desde los equipos de la LAN al exterior
Si ahora hacemos ping desde los dos equipos de invitado a alguna mquina de la zona pblica y examinamos la tabla NAT del router, veremos que los dos equipos salen con la misma direccin IP pblica (overload) pero hay una traduccin de puertos al vuelo para distinguir los trficos.