Cap 04 Mecanismo NAT

Mecanismo
NAT
 Introducción
MECANISMO  NAT Estático
NAT  NAT Dinámico
 NAT por Puerto
Propiedad intelectual de Daniel Díaz @ 2014
Profesor Daniel Díaz Ataucuri

ddiaz1610@gmail.com
ddiaz1610@gmail.com
http://www.danieldiaza.com
Catedrático Titular a Tiempo Parcial FIEE-UNI / UNMSM
Director de Investigación y Desarrollo
Tecnológico del INICTEL-UNI
Lima, Enero-Diciembre de 2014

Profesor Daniel Díaz A. http://www.danieldiaza.com
Mecanismo
NAT
El NAT es un mecanismo que permite traducir una

dirección de red privada a una dirección IP pública
enrutable.
El NAT puede ser:
►Estático.- Cada dirección local privada se mapea con su
correspondiente dirección global.
►Dinámico.- Dirección IP perteneciente a un pool de direcciones IP

públicas se asignan a un host de la red.
ddiaz1610@gmail.com
►Por puerto .- Llamado también PAT, relaciona varias direcciones IP
privadas a una sola dirección pública.
http://docwiki.cisco.com/wiki/Category:NAT
Mecanismo
NAT
No es necesario volver a reasignar nuevas direcciones IP

cuando se cambia de ISP.
Con el PAT, sólo es necesario una dirección IP pública,

ahorro sustancial de direcciones IP.
Desde que las direcciones privadas internas no son

accesible externamente, hay un grado de seguridad.
ddiaz1610@gmail.com
Mecanismo
NAT
ACL es una lista secuencial de sentencias, de permisos

o denegaciones que se aplican a direcciones IP o
protocolos de capas superiores.
►Clasifica direcciones y flujos de datos
El uso de ACL son:
►Clasificar direcciones IP, puertos, entre otros.

►Mecanismo NAT para definir una lista de direcciones privadas
que serán traducidas.
►Especificar criterios en la tabla de enrutamiento
ddiaz1610@gmail.com
(policy-based routing)
►Identificar que direcciones IP pasan por una VPN
►Mecanismo de seguridad
Mecanismo
NAT
Analicemos todas las direcciones IP de la subred

200.1.2.128/26. Expresado en
Condición que Irrele-
a de cumplir vante
binario
►200.1.2.128 = 200.1.2.1000 0000 200.1.2.10xx xxxx Dirección

de referencia
200.1.2.129 = 200.1.2.1000 0001 Todos en
cero 0011 1111 Wildcard
200.1.2.130 = 200.1.2.1000 0010
200.1.2.131 = 200.1.2.1000 0011

Dirección
200.1.2.191 = 200.1.2.1011 1111 200.1.2.128 de referencia
Condición que
a de cumplir
0.0.0.63 Wildcard
ddiaz1610@gmail.com
Se ha formado una lista con todas las
direcciones IP de la subred 200.1.2.128/26
Comando:
R(config)# access-list 1 permit 200.1.2.128 0.0.0.63
Mecanismo
NAT
Analicemos todas las direcciones IP impares de la subred

Condición que
200.1.2.128/26. Expresado en
Condición que Irrele- a de cumplir
a de cumplir vante
binario
►200.1.2.129 = 200.1.2.1000 0001 200.1.2.10xx xxx1 Dirección

de referencia
200.1.2.131 = 200.1.2.1000 0011 Todos en
cero 0011 1110 Wildcard
200.1.2.133 = 200.1.2.1000 0101
200.1.2.191 = 200.1.2.1011 1111

Dirección
Condición que 200.1.2.129 de referencia
a de cumplir
Condición que
0.0.0.62 Wildcard
ddiaz1610@gmail.com
a de cumplir
Se ha formado una lista con las direcciones

IP impares de la subred 200.1.2.128/26
Comando:
R(config)# access-list 1 permit 200.1.2.129 0.0.0.62
Mecanismo
NAT
Lista que incluye todas las IP de la subred

200.1.2.128/26 excepto la dirección 200.1.2.129
Expresado en
binario
►200.1.2.128 = 200.1.2.1000 0000

200.1.2.129 = 200.1.2.1000 0001
200.1.2.130 = 200.1.2.1000 0010
200.1.2.131 = 200.1.2.1000 0011
200.1.2.191 = 200.1.2.1011 1111

Condición que
a de cumplir
ddiaz1610@gmail.com
Comando:
access-list 1 deny 200.1.2.129 0.0.0.0
access-list 1 permit 200.1.2.128 0.0.0.63

Mecanismo
NAT
R1 Servidor DHCP
200.1.1.0/25
Ofrece el rango: .2 PCb
192.168.1.64 a 192.168.1.254
R3 R4
192.168.1.0/24 .5 20.1.1.4/30 .6 .1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
.22 R7
.2 .6
OUTSIDE
INSIDE
Fa0/0 .2 .21
.1 .10
.1 .2 .5
R6
Fa0/1
Fa0/0
.18
21.2.2.0/30 .13 .9
R1
R2
.14 .17
.10
192.168.1.2  204.4.1.2 R8
 204.4.1.3 R5
ddiaz1610@gmail.com
192.168.1.3
204.4.1.4
.129 Fa0/0
192.168.1.4 Subred de NAT
192.168.1.63 204.4.1.14
204.4.1.0/26
192.168.1.64 204.4.1.15:p Donde p es el puerto
192.168.1.254 ubicado en la capa 4. .130
TABLA DE NAT
PCc
200.1.1.128/25
Mecanismo
NAT
204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

etc… etc… etc IPorig = 200.1.1.2
.2 PCb
IPdest= 204.4.1.2
192.168.1.0/24 R3 R4 IPorig 200.1.1.2 IPorig = 204.4.1.2
.5 20.1.1.4/30 .6 IPdest= 204.4.1.2 IPdest= 200.1.1.2
.1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
IPorig =192.168.1.2
204.4.1.0 255.255.255.192 21.2.2.1 .22 R7
.2 IPdest= 200.1.1.2
etc… etc… etc IPorig = 200.1.1.2 .6
IPorig = 204.4.1.2 IPdest= 204.4.1.2
Iporig = 200.1.1.2 IPdest= 200.1.1.2
IPdest=192.168.1.2 Las tablas de
Fa0/0 .2 .21 IPorig 200.1.1.2 0.0.0.0 0.0.0.0 21.2.2.5
.1 IPdest= 204.4.1.2 enrutamiento de .10
.1 .2 la red debe .5
indicar como R6
Fa0/1
Fa0/0
IPorig = 204.4.1.2 .18

21.2.2.0/30 .13 IPdest= 200.1.1.2 .9 IPorig = 204.4.1.2

llegar a IPdest= 200.1.1.2
R1 204.4.1.0/26
Iporig = 200.1.1.2 IPorig = 204.4.1.2 R2
IPdest= 200.1.1.2
IPdest= 204.4.1.2 .14 .17
.10
192.168.1.2  204.4.1.2 204.4.1.0 255.255.255.192 20.1.1.9 R8
 204.4.1.3 R5
ddiaz1610@gmail.com
192.168.1.3 etc… etc… etc
204.4.1.4
.129 Fa0/0
192.168.1.63 204.4.1.14
204.4.1.0/26
TABLA DE NAT
PCc
200.1.1.128/25
Mecanismo
NAT
TABLA DE NAT
192.168.1.2  204.4.1.2
192.168.1.3  204.4.1.3
192.168.1.4 204.4.1.4
a a
192.168.1.63 204.4.1.14
192.168.1.64
a 204.4.1.15:p
192.168.1.254
R1(config)#ip nat inside source static 192.168.1.2 204.4.1.2

R1(config)#ip nat inside source static 192.168.1.3 204.4.1.3
R1(config)#interface fastEthernet 0/0
ddiaz1610@gmail.com
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#interface fastEthernet 0/1
R1(config-if)#ip nat outside

Mecanismo
NAT
R1#show ip nat translation

Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.2:23695 192.168.1.2:23695 200.1.1.2:23695 200.1.1.2:23695
icmp 204.4.1.2:24207 192.168.1.2:24207 200.1.1.2:24207 200.1.1.2:24207
icmp 204.4.1.2:24463 192.168.1.2:24463 200.1.1.2:24463 200.1.1.2:24463
icmp 204.4.1.2:24975 192.168.1.2:24975 200.1.1.2:24975 200.1.1.2:24975
icmp 204.4.1.2:25231 192.168.1.2:25231 200.1.1.2:25231 200.1.1.2:25231
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
Para borrar la tabla NAT:

R1#show ip nat translation R1#clear ip nat translation forced
--- 204.4.1.2 192.168.1.2 --- ---
icmp 204.4.1.3:12176 192.168.1.3:12176 200.1.1.2:12176 200.1.1.2:12176
ddiaz1610@gmail.com
icmp 204.4.1.3:12432 192.168.1.3:12432 200.1.1.2:12432 200.1.1.2:12432
icmp 204.4.1.3:12944 192.168.1.3:12944 200.1.1.2:12944 200.1.1.2:12944
icmp 204.4.1.3:13200 192.168.1.3:13200 200.1.1.2:13200 200.1.1.2:13200
icmp 204.4.1.3:13712 192.168.1.3:13712 200.1.1.2:13712 200.1.1.2:13712
--- 204.4.1.3 192.168.1.3 --- ---
Mecanismo
NAT
204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

etc… etc… etc IPorig = 200.1.1.2
.2 PCb
IPdest= 204.4.1.4
192.168.1.0/24 R3 R4 IPorig 200.1.1.2 IPorig = 204.4.1.4
.5 20.1.1.4/30 .6 IPdest= 204.4.1.4 IPdest= 200.1.1.2
.1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
IPorig =192.168.1.9
204.4.1.0 255.255.255.192 21.2.2.1 .22 R7
.9 IPdest= 200.1.1.2
etc… etc… etc IPorig = 200.1.1.2 .6
IPorig = 204.4.1.4 IPdest= 204.4.1.4
Iporig = 200.1.1.2 IPdest= 200.1.1.2
IPdest=192.168.1.9 Las tablas de
Fa0/0 .2 .21 IPorig 200.1.1.2 0.0.0.0 0.0.0.0 21.2.2.5
.1 IPdest= 204.4.1.4 enrutamiento de .10
indicar como R6
Fa0/1
Fa0/0
IPorig = 204.4.1.4 .18

21.2.2.0/30 .13 IPdest= 200.1.1.2 .9 IPorig = 204.4.1.4

R1 204.4.1.0/26
Iporig = 200.1.1.2 IPorig = 204.4.1.4 R2
IPdest= 200.1.1.2
IPdest= 204.4.1.4 .14 .17
.10
192.168.1.2  204.4.1.2 204.4.1.0 255.255.255.192 20.1.1.9 R8
 204.4.1.3 R5
ddiaz1610@gmail.com
192.168.1.3 etc… etc… etc
204.4.1.4
.129 Fa0/0
192.168.1.63 204.4.1.14
204.4.1.0/26
TABLA DE NAT
PCc
200.1.1.128/25
Mecanismo
NAT
TABLA DE NAT
192.168.1.2  204.4.1.2
192.168.1.3  204.4.1.3
192.168.1.4 204.4.1.4
a a
192.168.1.63 204.4.1.14
192.168.1.64
a 204.4.1.15:p
192.168.1.254
R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.63
ddiaz1610@gmail.com
R1(config)#ip nat pool lima 204.4.1.4 204.4.1.14 netmask 255.255.255.192
R1(config)#ip nat inside source list 1 pool lima
R1(config)#exit

Mecanismo
NAT

--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
icmp 204.4.1.4:39569 192.168.1.9:39569 200.1.1.2:39569 200.1.1.2:39569
icmp 204.4.1.4:40081 192.168.1.9:40081 200.1.1.2:40081 200.1.1.2:40081
icmp 204.4.1.4:40337 192.168.1.9:40337 200.1.1.2:40337 200.1.1.2:40337
icmp 204.4.1.4:40849 192.168.1.9:40849 200.1.1.2:40849 200.1.1.2:40849
icmp 204.4.1.4:41105 192.168.1.9:41105 200.1.1.2:41105 200.1.1.2:41105
--- 204.4.1.4 192.168.1.9 --- ---

--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
--- 204.4.1.4 192.168.1.9 --- ---
ddiaz1610@gmail.com
icmp 204.4.1.5:58257 192.168.1.20:58257 200.1.1.2:58257 200.1.1.2:58257
icmp 204.4.1.5:58769 192.168.1.20:58769 200.1.1.2:58769 200.1.1.2:58769
icmp 204.4.1.5:59025 192.168.1.20:59025 200.1.1.2:59025 200.1.1.2:59025
icmp 204.4.1.5:59537 192.168.1.20:59537 200.1.1.2:59537 200.1.1.2:59537
icmp 204.4.1.5:59793 192.168.1.20:59793 200.1.1.2:59793 200.1.1.2:59793
--- 204.4.1.5 192.168.1.20 --- ---
Mecanismo
NAT
IPorig = 200.1.1.2 200.1.1.0/25

IPdest= 204.4.1.15:p1
.2 PCb
192.168.1.0/24 R3 R4 IPorig 200.1.1.2 IPorig = 204.4.1.15:p1
.5 20.1.1.4/30 .6 IPdest= 204.4.1.15:p1 IPdest= 200.1.1.2
.1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
IPorig =192.168.1.64 .22 R7
.64 IPdest= 200.1.1.2
IPorig = 200.1.1.2 .6
IPorig = 204.4.1.15:p1 IPdest= 204.4.1.15:p1
Iporig = 200.1.1.2 IPdest= 200.1.1.2
IPdest=192.168.1.64 IPorig 200.1.1.2 Las tablas de
Fa0/0 .2 .21IPdest=
.1 204.4.1.15:p1enrutamiento de .10
indicar como R6
Fa0/1
Fa0/0
IPorig = 204.4.1.15:p1 .18

21.2.2.0/30 .13 IPdest= 200.1.1.2 .9 IPorig = 204.4.1.15:p1

R1 204.4.1.0/26
R2
Iporig = 200.1.1.2 IPorig = 204.4.1.15:p1
IPdest= 204.4.1.15:p1 IPdest= 200.1.1.2 .14 .17
.10
192.168.1.2  204.4.1.2 R8
 204.4.1.3 R5
ddiaz1610@gmail.com
192.168.1.3
204.4.1.4
.129 Fa0/0
192.168.1.63 204.4.1.14
204.4.1.0/26
TABLA DE NAT
PCc
200.1.1.128/25
Mecanismo
NAT
TABLA DE NAT
192.168.1.2  204.4.1.2
192.168.1.3  204.4.1.3
192.168.1.4 204.4.1.4
a a
192.168.1.63 204.4.1.14
192.168.1.64
a 204.4.1.15:p
192.168.1.254

R1(config)#access-list 2 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat pool ica 204.4.1.15 204.4.1.15 netmask 255.255.255.192
ddiaz1610@gmail.com
R1(config)#ip nat inside source list 2 pool ica overload
R1(config)#exit

Mecanismo
NAT

icmp 204.4.1.15:40085 192.168.1.64:40085 200.1.1.2:40085 200.1.1.2:40085
icmp 204.4.1.15:40597 192.168.1.64:40597 200.1.1.2:40597 200.1.1.2:40597
icmp 204.4.1.15:40853 192.168.1.64:40853 200.1.1.2:40853 200.1.1.2:40853
icmp 204.4.1.15:41365 192.168.1.64:41365 200.1.1.2:41365 200.1.1.2:41365
icmp 204.4.1.15:41621 192.168.1.64:41621 200.1.1.2:41621 200.1.1.2:41621
icmp 204.4.1.15:406 192.168.1.100:406 200.1.1.2:406 200.1.1.2:406
icmp 204.4.1.15:662 192.168.1.100:662 200.1.1.2:662 200.1.1.2:662

icmp 204.4.1.15:1174 192.168.1.100:1174 200.1.1.2:1174 200.1.1.2:1174
icmp 204.4.1.15:1430 192.168.1.100:1430 200.1.1.2:1430 200.1.1.2:1430
icmp 204.4.1.15:1942 192.168.1.100:1942 200.1.1.2:1942 200.1.1.2:1942
ddiaz1610@gmail.com
icmp 204.4.1.15:24982 192.168.1.215:24982 200.1.1.2:24982 200.1.1.2:24982
icmp 204.4.1.15:25494 192.168.1.215:25494 200.1.1.2:25494 200.1.1.2:25494
icmp 204.4.1.15:25750 192.168.1.215:25750 200.1.1.2:25750 200.1.1.2:25750
icmp 204.4.1.15:26262 192.168.1.215:26262 200.1.1.2:26262 200.1.1.2:26262
icmp 204.4.1.15:26518 192.168.1.215:26518 200.1.1.2:26518 200.1.1.2:26518
Mecanismo
NAT
LABORATORIO
Rb
Prefijo WAN: 20.2.2.0/30
Enrutamiento estático
R2
Ra Rd
LAN UTP:
LAN LIMA: 10.10.3.0/24
Habilitar el NAT por puerto
 VLAN 1 a 201.1.1.1
 VLAN 2 a 201.1.1.2
Rc
 VLAN 3 a 201.1.1.3
R1 LAN UTP: 10.10.0.0/22
VLAN 1: 10.10.1.0/24
VLAN 2: 10.10.2.0/24
VLAN 3: 10.10.3.0/24
SW1 SW2 LAN LIMA:
 Habilitar el NAT por puerto
VLAN1 para el rango 10.10.3.2 hasta
ddiaz1610@gmail.com
VLAN3 el 10.10.3.63, con la IP
pública 202.2.2.1
 Habilitar el NAT dinámico
para el rango 10.10.3.64
hasta 10.10.3.254 con el
VLAN2 rango público 202.2.2.2
a 202.2.2.15
Mecanismo
NAT
Plaza Mayor,
Madrid-
España
ddiaz1610@gmail.com

Cap 04 Mecanismo NAT

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Cap 04 Mecanismo NAT

Diunggah oleh

Hak Cipta:

Format Tersedia

Mecanismo

Profesor Daniel Díaz Ataucuri

Lima, Enero-Diciembre de 2014

El NAT es un mecanismo que permite traducir una

correspondiente dirección global.

►Dinámico.- Dirección IP perteneciente a un pool de direcciones IP

No es necesario volver a reasignar nuevas direcciones IP

Con el PAT, sólo es necesario una dirección IP pública,

Desde que las direcciones privadas internas no son

ACL es una lista secuencial de sentencias, de permisos

►Clasificar direcciones IP, puertos, entre otros.

Analicemos todas las direcciones IP de la subred

►200.1.2.128 = 200.1.2.1000 0000 200.1.2.10xx xxxx Dirección

200.1.2.131 = 200.1.2.1000 0011

Analicemos todas las direcciones IP impares de la subred

►200.1.2.129 = 200.1.2.1000 0001 200.1.2.10xx xxx1 Dirección

200.1.2.191 = 200.1.2.1011 1111

Se ha formado una lista con las direcciones

Lista que incluye todas las IP de la subred

►200.1.2.128 = 200.1.2.1000 0000

200.1.2.131 = 200.1.2.1000 0011

200.1.2.191 = 200.1.2.1011 1111

Profesor Daniel Díaz A. http://www.danieldiaza.com

204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

IPorig = 204.4.1.2 .18

21.2.2.0/30 .13 IPdest= 200.1.1.2 .9 IPorig = 204.4.1.2

R1(config)#ip nat inside source static 192.168.1.2 204.4.1.2

Profesor Daniel Díaz A. http://www.danieldiaza.com

R1#show ip nat translation

Para borrar la tabla NAT:

204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

IPorig = 204.4.1.4 .18

21.2.2.0/30 .13 IPdest= 200.1.1.2 .9 IPorig = 204.4.1.4

R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0

Profesor Daniel Díaz A. http://www.danieldiaza.com

R1#show ip nat translation

R1#show ip nat translation

IPorig = 200.1.1.2 200.1.1.0/25

IPorig = 204.4.1.15:p1 .18

21.2.2.0/30 .13 IPdest= 200.1.1.2 .9 IPorig = 204.4.1.15:p1

R1(config)#access-list 2 deny 192.168.1.0 0.0.0.63

Profesor Daniel Díaz A. http://www.danieldiaza.com

R1#show ip nat translation

icmp 204.4.1.15:662 192.168.1.100:662 200.1.1.2:662 200.1.1.2:662

Anda mungkin juga menyukai