5.1.2.

6 Packet Tracer - Investigating NAT Operation Instructions IG

Objectives
Part 1: Investigate NAT Operation Across the Intranet
Part 2: Investigate NAT Operation Across the Internet
Part 3: Conduct Further Investigations
Scenario
As a frame travels across a network, the MAC addresses may change. IP
addresses can also change when a packet is forwarded by a device configured
with NAT. In this activity, we will investigate what happens to IP addresses during
the NAT process.
Part 1: Investigate NAT Operation Across the Intranet

Step 1: Wait for the network to converge.

It might take a few minutes for everything in the network to converge. You can
speed the process up by clicking on Fast Forward Time.

Step 2: Generate an HTTP request from any PC in the Central domain.

a. Open the Web Browser of any PC in the Central domain and type the following
without pressing enter or clicking Go: http://branchserver.pka.

b. Switch to Simulation mode and edit the filters to show only HTTP requests.
c. Click Go in the browser, a PDU envelope will appear.

Luego de configuracin solicitada al http se hace el enter y se comienza con la

traza hasta que que este quede en la siguiente solicitud D2

d. Click Capture / Forward until the PDU is over D1 or D2. Record the source and
destination
IP addresses. To what devices do those addresses belong? 10.3.0.4 and
64.100.200.1 The PC3 and R4.

Estas ip pertenecen al PC3 10.3.0.4 and 64.100.200.1 y la router R4.

interface Serial0/0/1.1 point-to-point

ip address 64.100.200.1 255.255.255.252
frame-relay interface-dlci 201
ip nat outside
clock rate 2000000

e. Click Capture / Forward until the PDU is over R2. Record the source and
destination IP addresses in the outbound packet. To what devices do those
addresses belong? 64.100.100.X and 64.100.200.1 The first address is not
assigned to an interface. R4 is the second address.

En el paquete saliente se registran las siguientes direcciones src IP origen

64.100.100.3 que pertenece aun pool de NAT en R2

ip nat pool R2Pool 64.100.100.3 64.100.100.31 netmask 255.255.255.224

ip nat inside source list 1 pool R2Pool
ip nat inside source static tcp 10.10.10.2 80 64.100.100.2 80
ip nat inside source static tcp 10.10.10.2 25 64.100.100.2 25
ip nat inside source static tcp 10.10.10.2 443 64.100.100.2 443

Y la IP de destino pertenece a

interface Serial0/0/1.1 point-to-point

ip address 64.100.200.1 255.255.255.252
frame-relay interface-dlci 201
ip nat outside
clock rate 2000000

f. Login to R2 using class to enter privileged EXEC and show the running
configuration. The address came from the following address pool:

ip nat pool R2Pool 64.100.100.3 64.100.100.31 netmask 255.255.255.224

g. Click Capture / Forward until the PDU is over R4. Record the source and
destination IP addresses in the outbound packet. To what devices do those
addresses belong? 64.100.100.X and 172.16.0.3. The first address is from R2Pool
on R2. Branchserver.pka is the second address.

La primera es la cual es de origen pertenece a la ip del equipo R2

ip nat pool R2Pool 64.100.100.3 64.100.100.31 netmask 255.255.255.224

ip nat inside source list 1 pool R2Pool
ip nat inside source static tcp 10.10.10.2 80 64.100.100.2 80
ip nat inside source static tcp 10.10.10.2 25 64.100.100.2 25
ip nat inside source static tcp 10.10.10.2 443 64.100.100.2 443

Y la ip 172.16.0.3 es del server al cual se le est enviado la solicitud

h. Click Capture / Forward until the PDU is over Branserver.pka. Record the source
and destination TCP port addresses in the outbound segment.

La anterior es la informacin general Registrar las direcciones de puerto TCP de

origen y destino en el segmento saliente. Los cuales son puerto origen 80
puerto destino 1025

i. On both R2 and R4, run the following command and match the IP addresses and
ports recorded above to the correct line of output:

R2# show ip nat translations

R4# show ip nat translations
Las reglas NAT coinciden con los puertos marcados en los equipos de destino

j. What do the inside local IP addresses have in common?

Todas estas reservadas para uso privado

k. Did any private addresses cross the Intranet?

Ninguna est cruzando la la intranet de acuerdo a la revisin del los nat

l. Return to Realtime mode.

Part 2: Investigate NAT Operation Across the Internet

Step 1: Generate an HTTP request from any computer in the home office.
a. Open the Web Browser of any computer in the home office and type the
following without pressing enter or clicking Go: http://centralserver.pka.

b. Switch to Simulation mode. The filters should already be set to show only
HTTP requests.
 c. Click Go in the browser, a PDU envelope will appear.

d. Click Capture / Forward until the PDU is over WRS. Record the inbound
source and destination IP addresses and the outbound source and
destination addresses. To what devices do those addresses belong?
192.168.0.X and 64.100.100.2, 64.104.223.2 and 64.100.100.2 The
computer and R2, WRS and R2.

La ip de origen hace referncia la home laptop con la ip 192.168.0.100 , llegando a

la ip de destino 64.100 100.2 que pertenece a la router2 de la interface Serial0/0/0 .
interface Serial0/0/0
ip address 64.100.100.2 255.255.255.224
encapsulation ppp
ppp authentication pap
ppp pap sent-username R2 password 0 cisco
ip nat outside
clock rate 2000000

En el paquete de salida tenemos la ip 64.104.223.2 que pertenece a la interface

internet del equipo WRS
Y la IP de destino es

interface Serial0/0/0
ip address 64.100.100.2 255.255.255.224
encapsulation ppp
ppp authentication pap
ppp pap sent-username R2 password 0 cisco
ip nat outside
clock rate 2000000

e. Click Capture / Forward until the PDU is over R2. Record the source and
destination IP addresses in the outbound packet. To what devices do those
addresses belong? 64.104.223.2 and 10.10.10.2 WRS and
centralserver.pka.
 En el paquete de salida podemos verificar que la ip de origen es la
64.104.223.2 que es la interface que pertenece a la interface internet del
equipo WRS y la ip 10.01.10.2 pertenece a la ip del server
centralserver.pka.

f. On R2, run the following command and match the IP addresses and ports
recorded above to the correct line of output:

R2# show ip nat translations

 g. Return to Realtime mode. Did all of the web pages appear in the browsers?

Al ver la carga del servidor este logra cargar todas las pginas

La traza general es la siguiente

Part 3: Conduct Further Investigations
a. Experiment with more packets, both HTTP and HTTPS. There are many
questions to consider such as:
- Do the NAT translation tables grow?

Al realizar mas envo de peticiones se puede observar un cambio creciente es las

tablas NAT ya que estas hacen la traduccin completa origen y destino y van
grabado el camino de llegando.

- Does WRS have a pool of addresses?

Este tipo de dispositivos no realizan este tipo de asociaciones por ser equipos
de distribucin Este equipo no maneja este tipo de estructura

- Is this how the computers in the classroom connect to the Internet?

Esta es una de las estructuras ms utilizadas para los usuario finales ya que este
tipo de conexiones validan autenticacin al medio ya los equipos capa 3 son lo
que permiten identificar si estn dentro de los equipos permitidos en la red

- Why does NAT use four columns of addresses and ports?

Est definido para poder identificar la ruta complete por donde est realizando al
traduccin desde las direcciones locales hasta pasar por losas direcciones
globales la cueles indican a donde dele llegar el paquete al llegar a la red externa.
Conclusiones

Con las NAT podemos el agotamiento de las direcciones IP vlidas, porque

permite que varios hosts dentro de una red privada, tengan acceso a Internet con
slo usar unas pocas direcciones IP vlidas

Aunque un router que utiliza NAT no es un cortafuegos (firewall), provee de cierta

seguridad, porque los hosts externos a la red no conocen las direcciones
verdaderas de los hosts que se encuentran dentro de la red privada, haciendo que
sea difcil poder realizar un ataque desde hosts externos.

El problema se presenta cuando dos hosts de la red privada originan paquetes

TCP/UDP fragmentados al mismo host destino, si por coincidencia usaron el
mismo identificador de fragmentacin, cuando el host destino recibe los
datagramas de ambas fuentes (que no tienen relacin entre si) con el mismo
identificador de fragmentacin y desde la misma direccin de host asignada, es
incapaz de determinar a cual de las dos sesiones pertenece cada datagrama y las
dos sesiones se corrompen.
 Bibliografia

CAMPUS VIRTUAL UNAD: ENTRAR AL SITIO

En el texto: (Campus14.unad.edu.co, 2016)
Bibliografa: Campus14.unad.edu.co. (2016). Campus Virtual UNAD: Entrar al sitio.
[online] Available at: http://campus14.unad.edu.co/ecbti09/mod/forum/discuss.php?
d=3949

CISCO SECURITY APPLIANCE COMMAND LINE CONFIGURATION GUIDE,

VERSION 8.0 - CONFIGURING NAT [CISCO ASA 5500-X SERIES FIREWALLS]
En el texto: (Cisco, 2016)
Bibliografa: Cisco. (2016). Cisco Security Appliance Command Line Configuration
Guide, Version 8.0 - Configuring NAT [Cisco ASA 5500-X Series Firewalls]. [online]
Available at:
http://www.cisco.com/c/en/us/td/docs/security/asa/asa80/configuration/guide/conf_
gd/cfgnat.html