ios del libro

UT11 - Actividades de simulacin de redes

Ejercicio 1
Dada la topologa de la figura:

Se pide: Configurar el router NAT1 para que todos los equipos de la red local salgan a la red pblica con la IP del router. Configurar el router NAT2 de forma que los equipos de la red local salgan al exterior con direcciones IP pblicas en el rango: 85.73.12.51 a 195.47.3.60 Configurar el router NAT3 de forma que se realice una traduccin de direcciones esttica con las direcciones IP pblicas 160.45.1.9 y 160.45.1.10 asignadas a 10.0.0.1 y 10.0.0.2 respectivamente. Verificar en todos los casos que la red se comporta segn lo esperado.

Solucin
Router NAT1 (NATP)
NAT1>enable NAT1#configure terminal Enter configuration commands, one per line. NAT1(config)#interface fa0/0 NAT1(config-if)#ip nat inside NAT1(config-if)#exit NAT1(config)#interface fa4/0

End with CNTL/Z.

CFGS Administracin de Sistemas Informticos en Red

ios del libro

NAT1(config-if)#ip nat outside NAT1(config-if)#exit NAT1(config)#access-list 1 permit 192.168.01.0 0.0.0.255 NAT1(config)#ip nat inside source list 1 interface fa4/0 overload

Para comprobar la correcta configuracin, hacemos ping (desde el command prompt de algn equipo de la red LAN 1 en modo simulacin) a la direccin ip pblica de alguno de los routers de la topologa y examinamos el paquete al cruzar el router NAT1.

Veremos la diferencia entre el paquete entrante y el saliente, al modificar el router la direccin origen de la privada (del equipo interno) a la ip pblica (del router) para circular por la red pblica. Si hacemos varios pings a diferentes destinos desde los dos equipos internos, podremos comprobar como todos salen con la ip del router (por la red publica), sin embargo se hace modificacin de los puertos para poder atender a varios hosts internos con la misma IP pblica. Lo comprobamos examinando la tabla NAT del router NAT1 tras hacer diferentes ping desde los dos equipos internos hacia el exterior.

Router NAT2 (NAT dinmico)

NAT2>enable NAT2#configure terminal Enter configuration commands, one per line. NAT2(config)#interface fa0/0 NAT2(config-if)#ip nat inside NAT2(config-if)#exit NAT2(config)#interface fa4/0 NAT2(config-if)#ip nat outside NAT2(config-if)#exit

End with CNTL/Z.

CFGS Administracin de Sistemas Informticos en Red

ios del libro

NAT2(config)#ip nat pool LAN2 85.73.12.51 85.73.12.60 netmask 255.255.255.0 NAT2(config)#access-list 2 permit 172.16.1.0 0.0.0.255 NAT2(config)#ip nat inside source list 2 pool LAN2 NAT2(config)#exit

Para comprobar esta configuracin, hacemos como en el caso anterior, pings desde el command prompt de los equipos de la red LAN 2 hacia las IP pblicas de los routers de la topologa y examinamos el paquete al cruzar el router NAT2 para comprobar la traduccin de direcciones. Router NAT3 (NAT esttico)
NAT3(config)#ip nat inside source static 10.0.0.1 160.45.1.9 NAT3(config)#ip nat inside source static 10.0.0.2 160.45.1.10 NAT3(config)#interface fa0/0 NAT3(config-if)#ip nat inside NAT3(config-if)#exit NAT3(config)#interface fa4/0 NAT3(config-if)#ip nat outside NAT3(config-if)#exit

Para comprobar esta configuracin, desde uno de los servidores de la LAN 3, hacemos un ping desde el command prompt hacia la ip pblica de alguno de los otros routers (direcciones IP pblicas). Mientras (en modo simulacin) observamos circular el paquete ICMP, podemos examinarlo al cruzar el router NAT3 y comprobar que en el paquete de entrada, la direccin origen es privada (por ejemplo 10.0.0.1), mientras que cuando el paquete sale del router (y circula por la red pblica), la direccin de origen es sustituida por 160.45.1.9. Cuando viene el paquete respuesta, es la direccin destino la que lleva la direccin 160.45.1.9 mientras circula por la red pblica, cambiando a la ip privada cuando atraviesa el router NAT3. Si desde cualquier otro equipo (en otra red) que tenga salida a la red pblica, hacemos un ping a la direccin externa, por ejemplo 160.45.1.10, esta se mapea a 10.0.0.2 cuando llega al router NAT3 y sigue su camino por el interior de la red. Esto significa que, con NAT esttico, los equipos mapeados son visibles desde la red pblica con su IP pblica.

Ejercicio 2
La empresa NoegaSoft SL desea organizar su red informtica para poder ofrecer diferentes servicios informticos en la red interna y en Internet. Para poder desplegar su red en Internet ha conseguido la asignacin del siguiente conjunto de direcciones pblicas: 207.43.6.16/28 lo que suponen 14 direcciones IP, una vez

CFGS Administracin de Sistemas Informticos en Red

ios del libro

descontadas la direccin de red y broadcast. La empresa desea disponer de dos servidores diferentes en Internet, un servidor web y un servidor FTP por lo que, para separarlos de los equipos de la red interna ha decidido crear un segmento DMZ interno enla empresa. Estos dos equipos deben ser directamente accesibles desde Internet: www.noegasoft.com y ftp.noegasoft.com. En ocasiones, clientes de la empresa desean conectar sus porttiles a la red para realizar consultas o conectarse con sus respectivas empresas, por lo que tambin se ha decidido crear un segmento de red especfico para el punto de acceso inalmbrico de invitados con acceso a Internet por NATP con una nica IP para todas las estaciones inalmbricas de invitados. El resto de los equipos de la empresa, estaciones cliente y servidores internos, se ubicarn en un tercer segmento de red. La empresa utiliza las siguientes direcciones para su Intranet: Red DMZ, direcciones 10.0.0.0/24 Red Local, direcciones 172.16.0.0/24 Red wireless, direcciones 192.168.0.0/24

Se utilizan direcciones IP estticas en la red DMZ, pero en los segmentos LAN y Wireless se desea utilizar DHCP para simplificar el soporte informtico. La empresa dispone de dos switches, un punto de acceso y un router Cisco con tres interfaces Fast Ethernet y un interfaz Serial para conexin a Internet. Se pide: Proponer y configurar la solucin de conectividad para la red de la empresa segn los criterios anteriores. Comprobar la solucin propuesta en un programa de simulacin de redes.

Nota: Se adjunta archivo Actividad01a.pkt preconfigurado para realizar la simulacin.

Solucin

Se dispone de 14 direcciones IP pblicas en la subred 207.43.6.16/28 que resultan 207.43.6.17 hasta 207.43.6.30

CFGS Administracin de Sistemas Informticos en Red

ios del libro

Al router se le asigna la mayor IP pblica disponible: 207.43.6.30 Se hace la siguiente asociacin para NAT esttico en la zona desmilitarizada: Equipo IP privada 10.0.0.1 10.0.0.2 IP pblica 207.43.6.17 207.43.6.18

servidor web servidor FTP

Se reserva la IP 207.43.6.19 para hacer NATP para la red inalmbrica (192.168.0.0/24) El resto de IP pblicas pasan a formar parte del pool de direcciones pblicas para hacer NAT dinmico a equipos de la red local cuando accedan a Internet. El rango de direcciones restantes para este pool es: 207.43.6.20 hasta 207.43.6.29

Para la red de invitados (zona con cobertura inalmbrica) se configura un servicio DHCP con las siguientes propiedades:

Direccin de red: 192.168.0.0/24 Pool de direcciones: 192.168.0.1 hasta 192.168.0.200 Puerta de enlace: 192.168.0.254 Servidor DNS: 10.0.0.2

Para la red de rea local se configura un servicio DHCP en el router con las siguientes propiedades:

Direccin de red: 172.16.0.0/16 Pool de direcciones: 172.16.0.1 hasta 172.16.0.200 Puerta de enlace: 172.16.0.254 Servidor DNS: 10.0.0.2

Siguiendo estas pautas, la topologa quedara como se muestra en la figura:

CFGS Administracin de Sistemas Informticos en Red

ios del libro

Veamos la configuracin del router siguiendo estas directrices: Nombre del router e Interface serial externo
Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname NoegaSoft NoegaSoft(config)#interface serial0/0 NoegaSoft(config-if)#clock rate 64000 NoegaSoft(config-if)#ip address 207.43.6.30 255.255.255.0 NoegaSoft(config-if)#ip nat outside NoegaSoft(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial0/0, changed state to up NoegaSoft(config)#router rip NoegaSoft(config-router)#network 207.43.6.0 NoegaSoft(config-router)#exit

Se configura el interfaz y se anuncia (rip) la red externa. Las redes internas no se anuncian con RIP ya que no deben ser accesibles desde el exterior (salvo los equipos con NAT esttico).

Interfaces en la red privada: fa1/0 DMZ, fa2/0 LAN y fa3/0 zona wifi
NoegaSoft(config)#interface fa1/0 NoegaSoft(config-if)#ip address 10.0.0.254 255.0.0.0 NoegaSoft(config-if)#ip nat inside NoegaSoft(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up NoegaSoft(config-if)#exit NoegaSoft(config)#interface fa2/0

CFGS Administracin de Sistemas Informticos en Red

ios del libro

NoegaSoft(config-if)#ip address 172.16.0.254 255.255.0.0 NoegaSoft(config-if)#ip nat inside NoegaSoft(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet2/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet2/0, changed state to up NoegaSoft(config-if)#exit NoegaSoft(config)#interface fa3/0 NoegaSoft(config-if)#ip address 192.168.0.254 255.255.255.0 NoegaSoft(config-if)#ip nat inside NoegaSoft(config-if)#no shutdown NoegaSoft(config-if)# %LINK-5-CHANGED: Interface FastEthernet3/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/0, changed state to up NoegaSoft(config-if)#exit NoegaSoft(config)#

Configuracin del servicio DHCP en la red inalmbrica

NoegaSoft(config)#ip dhcp excluded-address 192.168.0.201 192.168.0.254 NoegaSoft(config)#ip dhcp pool wifi NoegaSoft(dhcp-config)#network 192.168.0.0 255.255.255.0 NoegaSoft(dhcp-config)#default-router 192.168.0.254 NoegaSoft(dhcp-config)#dns-server 10.0.0.2 NoegaSoft(dhcp-config)#exit

Configuracin DHCP en la red local

NoegaSoft(config)#ip dhcp excluded-address 172.16.0.200 172.16.0.254 NoegaSoft(config)#ip dhcp pool lan NoegaSoft(dhcp-config)#network 172.16.0.0 255.255.0.0 NoegaSoft(dhcp-config)#default-router 172.16.0.254 NoegaSoft(dhcp-config)#dns-server 10.0.0.2 NoegaSoft(dhcp-config)#exit
Nota: Configuramos un sencillo DNS en el servidor FTP para resolver los nombres en la red interna y hay otro servidor DNS en la nube de Internet para resolver nombres en la red pblica. No es importante en el ejercicio, nicamente por poder resolver los nombres de los servidores del ejemplo.

Configuracin del NAT esttico en el segmento DMZ

NoegaSoft(config)#ip nat inside source static 10.0.0.1 207.43.6.17 NoegaSoft(config)#ip nat inside source static 10.0.0.2 207.43.6.18

En este momento los dos servidores ya deben poder hacer un ping a los equipos de Internet y, si estos hacen un ping a las direcciones IP externas de estos equipos, el router debe hacer NAT inverso y propagarlas al interior de la red con la IP privada.

CFGS Administracin de Sistemas Informticos en Red

ios del libro

En la imagen estamos examinando el contenido del paquete correspondiente a un ping desde el Servidor web local (10.0.0.1) hacia un equipo de Internet (69.63.190.10). El paquete ha sido capturado y examinado al pasar por el router. podemos comprobar como el paquete entrante (izquierda) tiene como direccin origen 10.0.0.1 y destino 69.63.190.10, mientras que el paquete saliente ya ha sido traducido a la direccin pblica del servidor web y ahora tiene como origen 207.43.6.17 y destino 69.63.190.10, es decir, en el router se produce la traduccin de la IP de origen (10.0.0.2 -> 207.43.6.17) para que el paquete pueda seguir viajando por la red pblica. Al llegar el paquete respuesta, el router deshar la traduccin para que pueda circular por la red interna. Configuracin del NAT dinmico en la red local
NoegaSoft(config)#ip nat pool lan 207.43.6.20 207.43.6.29 netmask 255.255.255.0 NoegaSoft(config)#access-list 2 permit 172.16.0.0 0.0.255.255 NoegaSoft(config)#ip nat inside source list 2 pool lan

En este momento ya podemos realizar ping desde los equipos de la red LAN hacia equipos de Internet. Si despus de ello nos fijamos en la tabla NAT del router, veremos (adems de las asociaciones estticas para los equipos de DMZ) las nuevas asociaciones NAT dinmicas que se generan con el trfico.

Tabla NAT del router tras unos PING desde los equipos de la LAN al exterior

CFGS Administracin de Sistemas Informticos en Red

ios del libro

Por ltimo, la configuracin del NATP dinmico en la red wifi de invitados:

NoegaSoft(config)#ip nat pool wifi 207.43.6.19 207.43.6.19 netmask 255.255.255.0 NoegaSoft(config)#access-list 3 permit 192.168.0.0 0.0.0.255 NoegaSoft(config)#ip nat inside source list 3 pool wifi overload

Si ahora hacemos ping desde los dos equipos de invitado a alguna mquina de la zona pblica y examinamos la tabla NAT del router, veremos que los dos equipos salen con la misma direccin IP pblica (overload) pero hay una traduccin de puertos al vuelo para distinguir los trficos.

CFGS Administracin de Sistemas Informticos en Red