Sie sind auf Seite 1von 38

CCNA 4 v3.

1 Mdulo 1: Escalabilidad de direcciones IP

2004, Cisco Systems, Inc. All rights reserved.

Objetivos
Cuando finalice este mdulo, el estudiante conocer sobre: -Cul es la diferencia entre una direccin IP privada y una direccin IP pblica
-Cmo NAT y PAT permiten traducir direcciones IP privadas a direcciones pblicas -Cmo DHCP permite asignar direcciones IP privadas a los hosts de forma dinmica

2004, Cisco Systems, Inc. All rights reserved.

Direcciones Pblicas y Privada

2004, Cisco Systems, Inc. All rights reserved.

Direcciones IP pblicas y privadas


Existen dos tipos de direcciones IP: pblicas y privadas. Las direcciones pblicas se pueden enrutar a la Internet, no as las direcciones privadas que son slo para el uso interno de una red. Es necesario registrar las direcciones de Internet pblicas con una autoridad de Internet como por ejemplo, el Registro Americano de Nmeros de Internet (ARIN). Estas direcciones de Internet pblicas pueden alquilarse a una ISP tambin.
2004, Cisco Systems, Inc. All rights reserved.

Direcciones IP pblicas y privadas


Cada direccin pblica le pertenece a una red particular. Sin embargo, varias redes pueden utilizar la misma direccin privada. La siguiente tabla muestra los bloques de direcciones privadas disponibles:

2004, Cisco Systems, Inc. All rights reserved.

Direcciones IP pblicas y privadas

Para que un paquete pueda ser enrutado hay que traducir la direccin de origen (una direccin IP privada) a una direccin IP pblica. Dos mecanismos que logran esto son NAT y PAT.

2004, Cisco Systems, Inc. All rights reserved.

NAT y PAT

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NAT

La Traduccin de Direcciones de Red (NAT o Network Address Translation) es un mecanismo que permite traducir una direccin IP privada a una pblica de forma que los paquetes pertenecientes a un host puedan ser enrutados.

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NAT
Cuando un host dentro de una red desea hacer una transmisin a un host en el exterior, enva el paquete al router del gateway fronterizo. El router del gateway fronterizo realiza el proceso de NAT, traduciendo la direccin privada interna de un host a una direccin pblica, enrutable y externa.

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NAT
Un router que ejecuta NAT generalmente opera en la frontera de una red stub (una red que posee una sola conexin a la red del ISP).

2004, Cisco Systems, Inc. All rights reserved.

10

Introduccin a NAT
Cisco define los siguientes trminos: -Direccin local interna: la direccin IP privada asignada al host en mi red. -Direccin global interna: la direccin IP pblica asignada a uno o varios hosts en mi red. -Direccin externa (local o global): la direccin IP pblica asignada a un host externo a mi red.

2004, Cisco Systems, Inc. All rights reserved.

11

Tipos de NAT
Existen dos tipos de NAT: - NAT esttica: utilizada para servidores de empresas o dispositivos de networking. Cada direccin IP privada se asocia con una sola direccin IP pblica especfica. - NAT dinmica: utilizada para los hosts. Cada direccin IP privada se asocia a una direccin IP pblica dentro de un conjunto de direcciones IP pblicas disponibles.
2004, Cisco Systems, Inc. All rights reserved.

12

Ejemplo del uso de NAT


El siguiente es un ejemplo del uso de NAT:
Inside Outside 10.0.0.10
SA SA

179.8.9.80 10.0.0.2

Internet

10.0.0.2

NAT Table
Inside Local IP Address 10.0.0.2 10.0.0.10 Inside Global IP Address 179.9.8.80 179.9.8.10

2004, Cisco Systems, Inc. All rights reserved.

13

Introduccin a PAT
Una tcnica relacionada con NAT dinmica es la Traduccin de Direcciones por Puerto (PAT), tambin conocida como sobrecarga de direcciones pblicas. PAT asocia varias direcciones IP privadas a una sola direccin IP pblica, asignndole a cada host un nmero de puerto.
2004, Cisco Systems, Inc. All rights reserved.

14

Introduccin a PAT
Cuando se hace una traduccin, PAT intenta asignarle a la direccin IP pblica el mismo nmero de puerto que se le asign a la direccin IP original (la privada). Si el nmero de puerto original est en uso, PAT asigna el primer nmero de puerto disponible comenzando desde el principio del grupo de puertos correspondiente 0-511, 512-1023, o 102465535. En teora, el nmero total de direcciones internas que se pueden traducir a una sola direccin externa podra ser hasta 65,536 por direccin IP. En realidad, el nmero de puertos que se pueden asignar a una sola direccin IP es aproximadamente 4000.
2004, Cisco Systems, Inc. All rights reserved.

15

Ejemplo del uso de PAT


El siguiente es un ejemplo del uso de PAT:
Inside Outside 10.0.0.3
SA 179.9.8.80:1345 SA SA 10.0.0.2:1456 Inside Local IP Address 10.0.0.2:1456 10.0.0.3:2333 179.9.8.80:2333

202.6.3.2

SA 10.0.0.3:2333

Internet

NAT Table
Inside Global IP Address 179.9.8.80:1456 179.9.8.80:2333 Outside Local IP Address 202.6.3.2:80 126.23.2.2:80

126.23.2.2
Outside Global IP Address 202.6.3.2:80 126.23.2.2:80

10.0.0.2

2004, Cisco Systems, Inc. All rights reserved.

16

Ventajas de NAT y PAT


NAT y PAT ofrecen las siguientes ventajas:
- NAT y PAT elimina la reasignacin de una nueva direccin IP a cada host cuando se cambia a un nuevo ISP ya que cada host mantiene su direccin IP privada. -NAT y PAT protege la seguridad de la red ya que las redes externas no conocen las direcciones privadas de los hosts de la red interna. -PAT conserva las direcciones mediante la multiplexin a nivel de puerto de la aplicacin. Con PAT, los hosts internos pueden compartir una sola direccin IP pblica para toda comunicacin externa.
2004, Cisco Systems, Inc. All rights reserved.

17

Configuracin de NAT esttico


Es necesario entrar la direccin IP privada y su equivalente pblico para cada host en la configuracin del router que sirve de gateway:

Router(config)#ip nat inside source static 10.6.1.20 171.69.68.10

2004, Cisco Systems, Inc. All rights reserved.

18

Configuracin de NAT esttico


Inside Network Inside Interface
Inside Host

Outside Network

NAT

Outside Interface
ip nat outside
Outside Host

ip nat inside

Router(config-if)#ip nat inside

Hay que definir cada interfaz del router que realiza NAT como interna o externa.
Las interfaces fast ethernet son internas. Las interfaces seriales son externas.
2004, Cisco Systems, Inc. All rights reserved.

19

Configuracin de NAT esttico


Los siguientes comandos configuran NAT esttico
Router(config)# ip nat inside source static <local-ip> <global-ip> Asocia la dir. privada del host a su equivalente pblica Router(config)# interface fastethernet <interface-number> Router(config-if)# ip address <ip-address> <subnet-mask> Esta es una direccin privada Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface serial <interface-number> Router(config-if)# ip address <ip-address> <subnet-mask> Esta es una direccin privada Router(config-if)# ip nat outside Router(config-if)# exit

2004, Cisco Systems, Inc. All rights reserved.

20

Configuracin de NAT esttico


Ejemplo del laboratorio 1.1.4c:
Router(config)# ip nat inside source static 10.10.10.10 199.99.9.33 Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 10.10.10.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface serial 0/0 Router(config-if)# ip address 200.2.2.18 255.255.255.252 Router(config-if)# ip nat outside Router(config-if)# exit
2004, Cisco Systems, Inc. All rights reserved.

21

Configuracin de NAT esttico

2004, Cisco Systems, Inc. All rights reserved.

22

Configuracin de NAT dinmico


Hay que definir un conjunto (pool) de direcciones IP pblicas disponibles:
Router(config)#ip nat pool nat-pool 179.9.8.80 179.9.8.95 netmask 255.255.255.240

Hay que definir una lista de acceso que indique cules direcciones privadas se podrn traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255

Hay que asociar ambas listas:


Router(config)#ip nat inside source list 1 pool nat-pool
2004, Cisco Systems, Inc. All rights reserved.

23

Configuracin de NAT dinmico


Los siguientes comandos configuran NAT dinmico: Router(config)# ip nat pool <pool-name> <global-start-ip> <global-end-ip> netmask <subnet-mask> ... Direcciones pblicas en el pool Router(config)# access-list <access-list-number> permit <source-network> <wildcard-mask> ... Direcciones privadas en la red Router(config)# ip nat inside source list <access-list-number> pool <pool-name> Router(config)# interface fastethernet <interface-number> Router(config-if)# ip address <ip-address> <subnet-mask> ... Direccin privada de la int. al LAN Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface serial <interface-number> Router(config-if)# ip address <ip-address> <subnet-mask> ... Direccin pblica de la int. al exterior Router(config-if)# ip nat outside Router(config-if)# exit
2004, Cisco Systems, Inc. All rights reserved.

24

Configuracin de NAT dinmico


Ejemplo del laboratorio 1.1.4a: Router(config)# ip nat pool public-access 199.99.9.40 199.99.9.62 netmask 255.255.255.224 Router(config)# access-list 1 permit 10.10.10.0 0.0.0.255 Router(config)# ip nat inside source list 1 pool public-access Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 10.10.10.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface serial 0/0 Router(config-if)# ip address 200.2.2.18 255.255.255.252 Router(config-if)# ip nat outside Router(config-if)# exit
2004, Cisco Systems, Inc. All rights reserved.

25

Configuracin de NAT dinmico

2004, Cisco Systems, Inc. All rights reserved.

26

Configuracin de PAT
Hay que definir una lista de acceso que indique cules direcciones privadas se podrn traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255

Hay que indicar la interfaz serial que estar sobrecargada (overloaded) traduciendo varias direcciones privadas a una sola pblica:
Router(config)#ip nat inside source list 1 interface serial0/0 overload

2004, Cisco Systems, Inc. All rights reserved.

27

Configuracin de PAT dinmico


Los siguientes comandos configuran PAT dinmico: Router(config)# access-list <access-list-number> permit <source-network> <wildcard-mask> ... Direcciones privadas en la red Router(config)# ip nat inside source list <access-list-number> interface serial <interface-number> overload Router(config)# interface fastethernet <interface-number> Router(config-if)# ip address <ip-address> <subnet-mask> ... Direccin privada de la int. al LAN Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface serial <interface-number> Router(config-if)# ip address <ip-address> <subnet-mask> ... Direccin pblica de la int. y de los hosts al exterior Router(config-if)# ip nat outside Router(config-if)# exit
2004, Cisco Systems, Inc. All rights reserved.

28

Configuracin de PAT
Ejemplo del laboratorio 1.1.4b:
Router(config)# access-list 1 permit 10.10.10.0 0.0.0.255 Router(config)# ip nat inside source list 1 interface serial 0/0 overload Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 10.10.10.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface serial 0/0 Router(config-if)# ip address 200.2.2.18 255.255.255.252 Router(config-if)# ip nat outside Router(config-if)# exit
2004, Cisco Systems, Inc. All rights reserved.

29

Configuracin de PAT

2004, Cisco Systems, Inc. All rights reserved.

30

PAT y DMZ
A menudo desemos que un determinado puerto de una ip global interna se redireccione a un determinado puerto de una ip local interna, como en una DMZ.

2004, Cisco Systems, Inc. All rights reserved.

31

PAT y DMZ

En estos casos utilizamos un forma particular de PAT.

(config)# ip nat inside source static <protocolo> <ip-local> <puerto> <ip-global> <puerto>

A esto hay que aadir los comandos ip nat inside e ip nat outside en las interfaces interna y externa del router.

2004, Cisco Systems, Inc. All rights reserved.

32

Verificacin de la configuracin de NAT y PAT


Para ver la traduccin NAT en un router se usa el comando show ip nat translations. Para ver las estadsticas de NAT y PAT se usa el comando show ip nat statistics. Para eliminar todas las entradas de traduccin de direcciones dinmicas se usa el comando clear ip nat translation * Para eliminar una entrada de traduccin de dinmica se usa el comando clear ip nat translation inside <global-ip> <local-ip>
2004, Cisco Systems, Inc. All rights reserved.

33

Verificacin de la configuracin de NAT y PAT

2004, Cisco Systems, Inc. All rights reserved.

34

Diagnstico de fallas en la configuracin de NAT y PAT

Utilice el comando debug ip nat para verificar la operacin de NAT visualizando la informacin acerca de cada paquete que el router traduce.

2004, Cisco Systems, Inc. All rights reserved.

35

Diagnstico de fallas en la configuracin de NAT y PAT

2004, Cisco Systems, Inc. All rights reserved.

36

Ventajas de NAT

Con pocas IP's pblicas podemos cubrir muchos hosts privados. Gran flexibilidad los modos acceso, permitiendo lineas de backup, redireccin de puertos... Independencia del ISP Aporta seguridad al aislar la red interna del exterior.

2004, Cisco Systems, Inc. All rights reserved.

37

Problemas de NAT
Permitir la traduccin de direcciones causa una prdida en la funcionalidad de ciertas aplicaciones (firmas digitales, tneles... al cambiar la ip de origen). NAT aumenta el retardo debido a la traduccin. Inicios de sesiones desde el exterior solo si hay soporte explcito en el router. Una desventaja significativa que surge al implementar y utilizar NAT, es la prdida de la posibilidad de rastreo IP de extremo a extremo.
2004, Cisco Systems, Inc. All rights reserved.

38