Escalando Direcciones IP
Material de apoyo Clase 27-sep-2011
Session Number
Presentation_ID
© 2003 Cisco Systems, Inc. All rights reserved.
1
Objetivos
• Escalar redes con Network Address Translation y
Port Address Translation
• Dynamic Host Configuration Protocol
© 2003 Cisco Systems, Inc. All rights reserved.
NAT
Session Number
Presentation_ID
© 2003 Cisco Systems, Inc. All rights reserved.
3
Repaso
• NAT permite a direcciones privadas ser traducidas
en públicas, direcciones enrutables.
• Esto conserva las direcciones IP registradas de
organizaciones y le permite al paquete ser
transportado sobre redes públicas externas, tales
como Internet.
• Una variación de NAT, llamada Port Address
Translation (PAT), permite muchas direcciones
privadas internas ser traducidas a una o más
direcciones públicas externas.
© 2003 Cisco Systems, Inc. All rights reserved.
Direccionamiento Privado
• Network Address
Translation conserva
direcciones IP contando
con el espacio de
direcciones IP privadas
reutilizables especificado
en el RFC 1918.
• Las organizaciones son
libres de usar estas
direcciones IP privadas
dentro de sus redes
internas.
© 2003 Cisco Systems, Inc. All rights reserved.
RFC 1918
Internal Address
Range
CIDR
Prefix
Class A
10.0.0.0
10.255.255.255
10.0.0.0/8
Class B
172.16.0.0
172.31.255.255
172.16.0.0/12
Class C
192.168.0.0
192.168.255.255
192.168.0.0/16
Estas direcciones son para uso privado
e interno de la red solamente y no
pueden ser enrutadas a internet.
NAT
Un dispositivo con NAT-activado típicamente opera
en la frontera de una red cerrada.
Los dispositivos dentro de la red interna tienen
direccionamiento IP privado que deberá ser
traducido a público, a direcciones ruteables.
© 2003 Cisco Systems, Inc. All rights reserved.
Términos de NAT
• Dirección Inside local— La dirección IP asignada a
un host en la red de inside. Esta dirección es
probablemente direccionamiento privado del RFC
1918.
• Dirección Inside global— Una dirección IP legítima
asignada por la NIC o proveedor de servicio que
representa una o más direcciones IP locales hacia
el mundo.
• Dirección Outside local— La dirección IP de un
host de outside como es conocida para los hosts
que están en la red de inside.
• Dirección Outside global— La dirección IP
asignada al host en la red de outside. El
propietario del host asigna esta dirección.
© 2003 Cisco Systems, Inc. All rights reserved.
Características de NAT
Inside
• NAT estático está diseñado para permitir asociación uno-a-uno de
direcciones local y global.
• NAT dinámico está diseñado para asociar una dirección IP privada a
una dirección IP pública.
© 2003 Cisco Systems, Inc. All rights reserved.
Beneficios de NAT
• Elimina la re-asignación para cada host de una
nueva dirección IP cuando se cambia a un nuevo
ISP. Los hosts conservan la dirección IP privada.
• Elimina la necesidad de re-direccionar todos los
hosts que requieren acceso externo, ahorrando
tiempo y dinero.
• Conserva direcciones a través de aplicaciones de
multiplexaje nivel-puerto (port-level)
• Protege la seguridad de la red.
© 2003 Cisco Systems, Inc. All rights reserved.
Conceptos de Network Address Translation
• NAT es el proceso de
cambiar una dirección por
otra en el encabezado del
paquete de IP.
• El host de inside en la IP
10.1.1.11 puede aparecer
como IP 165.193.1.35 a la
red externa.
• El router de NAT traduce
de inside (E0) a outside
(S1).
© 2003 Cisco Systems, Inc. All rights reserved.
NAT
E0
10.1.1.1
S1
165.193.3.1
SA
SA
10.1.1.11
165.193.1.35
Internet
Inside Host
10.1.1.11
SA= Source Address
NAT Cambia el Encabezado de IP
• Como un paquete
es enrutado a
través de un
dispositivo capaz
de hacer NAT, la
dirección IP origen
en el paquete de la
red privada interna
(no enrutable)
podría ser
traducida a una
dirección ip
externa (enrutable).
NAT
E0
10.1.1.1
165.193.3.1
SA
SA
10.1.1.11
165.193.1.35
Inside Host
10.1.1.11
© 2003 Cisco Systems, Inc. All rights reserved.
E1
Outside Host
SA= Source Address
Tabla de NAT
•La tabla de NAT registra las asociaciones de inside
a outside.
© 2003 Cisco Systems, Inc. All rights reserved.
Inside & Outside
Local & Global
Session Number
Presentation_ID
© 2003 Cisco Systems, Inc. All rights reserved.
13
Direcciones Inside & Outside
NAT
• Dirección de Inside
- La dirección IP de un
host ubicado en la red
interna
e0
10.1.1.1
e1
165.193.3.1
Inside
address
Podría ser una dirección
privada no enrutable.
Local Host
10.0.0.11
© 2003 Cisco Systems, Inc. All rights reserved.
Destination
Host
165.193.3.2
DIrecciones Inside & Outside
NAT
• Dirección de Outside
- Dirección IP de un host
ubicado en la red externa
e0
10.1.1.1
165.193.3.1
Outside
address
Podría ser una dirección
públicamente enrutable
Local Host
10.0.0.11
© 2003 Cisco Systems, Inc. All rights reserved.
e1
Destination
Host
165.193.3.2
Direcciones Local & Global
• Dirección de Local –
dirección IP de un host
interno o externo según
aparece en el
encabezado de IP
interno.
NAT
e0
10.1.1.1
Red Interna
e1
165.193.3.1
Red
Externa
Encabezado Interno de IP (Direcciones
Locales)
Dirección
Origen
Dirección
Destino
10.0.0.11
165.193.3.2
© 2003 Cisco Systems, Inc. All rights reserved.
Host Local
10.0.0.11
Host Destino
165.193.3.2
Direcciones Local & Global
NAT
• Dirección Global
- Dirección IP de un host
interno o externo según
aparece en el encabezado
de IP externo.
e0
10.1.1.1
Red Interna
e1
165.193.3.1
Red
Externa
Encabezado de IP Externo (Direcciones
Globales)
Dirección
Origen
Dirección
Destino
165.193.1.35
165.193.3.2
© 2003 Cisco Systems, Inc. All rights reserved.
Host Local
10.0.0.11
Host Destino
165.193.3.2
Direcciones Local & Global
• Inside Local Address–
dirección interna de un host
local
• Outside Local Address –
dirección interna del
sistema destino
• Inside Global Address –
dirección externa de un host
local
• Outside Global Address –
dirección externa del
sistema destino
Encabezado IP Interno
(Direcciones Locales)
Dirección Origen
Dirección
Destino
10.0.0.11
165.193.3.2
Inside Local
Address
Encabezado IP Externo
(Direcciones Globales)
Dirección Origen
Dirección
Destino
165.193.1.35
165.193.3.2
Inside Global
Address
© 2003 Cisco Systems, Inc. All rights reserved.
Outside Local
Address
Outside Global
Address
Traducción del Encabezado de IP
•Inside Local
Direcciones que se
volvieron Inside Global
Addresses
Encabezado IP Interno
(Direcciones Locales)
Dirección Origen
Dirección
Destino
10.0.0.11
165.193.3.2
Inside Local
Address
Outside Local
Address
NAT
•Outside Local
Direcciones que se
volvieron Outside
Global Addresses
© 2003 Cisco Systems, Inc. All rights reserved.
Encabezado IP Externo
(Direcciones Globales)
Dirección Origen
Dirección
Destino
165.193.1.35
165.193.3.2
Inside Global
Address
Outside Global
Address
Network Address Translation
Internal Network
Dirección
Destino
Dirección Origen
Inside Local
Address
10.1.1.11
165.193.3.2
Outside Local
Address
Network Address Translation
External Network
Dirección
Destino
Dirección Origen
Inside Global
Address
165.193.1.35
© 2003 Cisco Systems, Inc. All rights reserved.
Outside Global
Address
165.193.3.2
NAT Dinámico
Session Number
Presentation_ID
© 2003 Cisco Systems, Inc. All rights reserved.
21
NAT Dinámico
• NAT puede ser dinámico o estático.
• NAT Dinámico traduce direcciones inside usando un
conjunto (pool) de direcciones globales.
• Cada dirección inside local es dinámicamente
asignada a una dirección inside global de un
conjunto (pool) de direcciones definido
administrativamente.
• NAT Dinámico habilita los hosts en una red privada
para acceder a internet traduciendo las direcciones
privadas en direcciones públicas.
© 2003 Cisco Systems, Inc. All rights reserved.
Tráfico de Entrada
• Conforme un paquete de entrada
ingresa en el router de NAT destinado
para un host en la red interna, la
dirección global es referenciada en la
tabla de NAT y reemplazada con la
dirección inside local.
Inside Local
IP Address
Inside Global
IP Address
10.0.0.110
204.168.1.33
10.0.0.111
204.168.1.34
10.0.0.112
204.168.1.35
DA
DA
10.1.1.112
204.168.1.35
Local Address
Global Address
© 2003 Cisco Systems, Inc. All rights reserved.
Configure NAT Dinámico
1.
1.
Defina un conjunto de direcciones globales para ser
asignadas como se necesite.
router(config)# ip nat pool pool-name
start-ip end-ip netmask netmask
Defina una lista de acceso estándar para identificar
cuáles hosts serán traducidos.
router(config)# access-list number permit network
mask
2.
Establezca traducción de origen dinámica, identificando
la lista de acceso definida en el paso previo.
router(config)# ip nat inside source list accesslist-num pool pool-name
3.
Identifique interfaces como inside u outside con respecto
a NAT.
router(config-if)# ip nat {inside|outside}
© 2003 Cisco Systems, Inc. All rights reserved.
Ejemplo de Configuración de NAT Dinámico
© 2003 Cisco Systems, Inc. All rights reserved.
Confirmando la Operación de NAT
© 2003 Cisco Systems, Inc. All rights reserved.
Troubleshooting NAT
outgoing
incoming
© 2003 Cisco Systems, Inc. All rights reserved.
NAT Estático
Session Number
Presentation_ID
© 2003 Cisco Systems, Inc. All rights reserved.
28
NAT Estático
• Permite a los dispositivos
con una dirección privada ser
vistos en una red pública.
• Las traducciones estáticas
son ingresadas directamente
en la configuración y están
siempre en la tabla de
traducciones.
• Típicamente usado para
servidores de web.
SA
10.1.1.11
SA
192.168.1.35
Internet
Inside Host
10.1.1.11
© 2003 Cisco Systems, Inc. All rights reserved.
Configure NAT Estático
1.
Establezca traducción estática entre direcciones de
inside y outside.
router(config)# ip nat inside source static
local-ip global-ip
2.
Identifique interfaces como inside u outside con
respecto a NAT.
router(config-if)# ip nat {inside|outside}
© 2003 Cisco Systems, Inc. All rights reserved.
Configurando NAT Estático
e0
SA
10.1.1.11
s0
SA
192.168.1.35
Internet
Inside Host
10.1.1.11
router(config)# ip nat inside source static 10.1.1.11 192.168.1.35
router(config)#interface e0
rotuer(config-if)#ip nat inside
router(config)#interface s0
rotuer(config-if)#ip nat outside
© 2003 Cisco Systems, Inc. All rights reserved.
Port Address Translation
Session Number
Presentation_ID
© 2003 Cisco Systems, Inc. All rights reserved.
32
Port Address Translation (PAT)
192.168.1.33:1743
• PAT es el proceso de asociar
dinámicamente múltiples
direcciones inside a una o
más direcciones
globalmente enrutables.
• Utiliza números de puerto
para diferenciar entre los
hosts de inside.
© 2003 Cisco Systems, Inc. All rights reserved.
192.168.1.33:1103
PAT
10.0.0.111:1103
• Algunas veces llamado
overloading.
192.168.1.33:4376
10.0.0.110:4376
Características de PAT
PAT usa números de puerto origen únicos en la dirección IP
inside global para distinguir entre traducciones.
El router PAT mantiene la cuenta de las diferentes
conversaciones asociando números de puerto TCP y UDP en la
tabla de NAT.
© 2003 Cisco Systems, Inc. All rights reserved.
Configurando PAT (Overloading NAT)
• Configure un pool de NAT. (U overload una
interface.)
• Genere una lista de acceso para determinar cuál
dirección deberá ser traducida.
• Asigne esta lista de acceso al pool de NAT y
configúrelo para overload.
• Asigne inside y outside a las interfaces.
© 2003 Cisco Systems, Inc. All rights reserved.
Overloading NAT
1. Configure el pool de NAT
Rango de direcciones:
ip nat pool bigpool 192.168.1.33 192.168.1.57 netmask
255.255.255.224
Dirección simple:
ip nat pool smallpool 192.168.1.33 192.168.1.33 netmask
255.255.255.224
2. Crea una lista de acceso estándar para identificar cuál dirección
deberá ser traducida
access-list 24 permit 10.0.0.0 0.255.255.255
3. Asigne esta lista de acceso para el pool de NAT y configúrelo para
overload
ip nat inside source list 24 pool bigpool overload
4. Asigne inside y outside a las interfaces
router(config-if)# ip nat {inside|outside}
© 2003 Cisco Systems, Inc. All rights reserved.
Configurando PAT
Interface is
used in place
of a NAT pool.
© 2003 Cisco Systems, Inc. All rights reserved.
Verificando PAT
Despliega traducciones activas
router#sh ip nat tran
Pro Inside global
Inside local
Outside local
Outside global
tcp 12.215.221.161:58713
192.168.1.17:58713
12.224.201.213:33143
12.224.201.213:33143
tcp 12.215.221.161:58731
192.168.1.17:58731
134.215.240.122:6348
134.215.240.122:6348
tcp 12.215.221.161:58539
192.168.1.17:58539
198.107.1.170:6346
198.107.1.170:6346
Despliega traducciones estáticas
router#sh ip nat stat
Total active translations: 922 (0 static, 922 dynamic; 922 extended)
Outside interfaces:
Ethernet1
Inside interfaces:
Ethernet0
Hits: 91218894
Misses: 358943
Expired translations: 355669
Dynamic mappings:
-- Inside Source
access-list 2 interface Ethernet1 refcount 922
© 2003 Cisco Systems, Inc. All rights reserved.
Aspectos de NAT
© 2003 Cisco Systems, Inc. All rights reserved.
DHCP
Session Number
Presentation_ID
© 2003 Cisco Systems, Inc. All rights reserved.
40
Repaso de DHCP
• El Dynamic Host Configuration Protocol (DHCP) fue
diseñado para asignar direcciones IP y otra
importante información de configuración de red
dinámicamente.
• Porque los clientes de escritorio típicamente son la
mayoría de los nodos de red, DHCP es una
herramienta extremadamente útil que ahorra tiempo
para administradores de red.
• Algunos dispositivos, tales como servidores,
deberán estar estáticamente asignados.
© 2003 Cisco Systems, Inc. All rights reserved.
DHCP Request
El cliente de DHCP envía un broadcast de IP
dirigido con un DHCP request.
El servidor nota el campo de dirección en blanco
así como también la dirección de hardware del
cliente.
© 2003 Cisco Systems, Inc. All rights reserved.
DHCP Reply
• El servidor DHCP toma una dirección IP del pool disponible para
el segmento, así como también el otro segmento y parámetros
globales. El servidor agrega estos valores a los campos
apropiados del paquete DHCP.
• Usando la dirección de hardware del cliente, este envía esta
trama de regreso hacia el cliente.
© 2003 Cisco Systems, Inc. All rights reserved.
Diferencias entre BOOTP y DHCP
• DHCP define mecanismos a través de los cuales a los clientes
pueden asignárseles una dirección IP para un periodo de tiempo
de préstamo finito.
• Este periodo de tiempo le permite la re-asignación de la dirección
IP a otro cliente posteriormente, o para que el cliente obtenga
otra asignación, si el cliente se mueve a otra subred.
• Los clientes pueden también renovar los préstamos y mantener
la misma dirección IP.
• DHCP proporciona el mecanismo para que un cliente obtenga
otros parámetros de configuración de IP, tales como WINS y
nombre de dominio.
© 2003 Cisco Systems, Inc. All rights reserved.
Características de DHCP
© 2003 Cisco Systems, Inc. All rights reserved.
Operación de DHCP
• El cliente DHCP envía broadcasts del paquete DHCPDISCOVER en la subred local.
• El servidor DHCP envía el paquete OFFER con la información con la información
de arrendamiento.
• El cliente de DHCP selecciona el arrendamiento y envía en broadcasts el paquete
DHCPREQUEST.
• El servidor DHCP seleccionado envía un paquete DHCP ACK.
© 2003 Cisco Systems, Inc. All rights reserved.
Transmisión de Mensajes DHCP
© 2003 Cisco Systems, Inc. All rights reserved.
Configurando DHCP
1.
Especifique el pool de DHCP. (Múltiples pools
pueden ser configurados en un simple servidor.)
router(config)#ip dhcp pool pool-name
2.
Especifique el rango de direcciones para el pool.
router(dhcp-config)#network ip-address mask
3.
Excluya las direcciones según sea necesario.
router(config)#ip dhcp excluded-address begin-ipaddress end-ip-address
© 2003 Cisco Systems, Inc. All rights reserved.
Configurando DHCP: Parámetros Opcionales
1.
Asigne un default router.
2.
Configure servidor(es) DNS.
3.
Configure un servidor de nombres netbios.
4.
Configure el nombre del dominio.
5.
Configure el tiempo de arrendamiento.
© 2003 Cisco Systems, Inc. All rights reserved.
Configurando un Ejemplo de DHCP
Creando el pool y agregando parámetros.
Excluyendo direcciones
© 2003 Cisco Systems, Inc. All rights reserved.
Verificando & Troubleshooting DHCP
© 2003 Cisco Systems, Inc. All rights reserved.
IP Helper-Address
• Los clientes de DHCP usan broadcasts de IP ára
encontrar el servidor DHCP en el segmento.
• ¿Qué sucede cuando el servidor y el cliente no
están en el mismo segmento y están separados por
un router? Los routers no reenvía estos
broadcasts.
• Requiere configuración de un ip helper-address en
el router.
• Un router puede ser configurado para aceptar un
request de broadcast para un servicio UDP y
entonces reenviarlo como unicast a una dirección
IP específica.
© 2003 Cisco Systems, Inc. All rights reserved.
Configuración de Ip Helper-Address
• IP helper-addresses son configurados en el router:
router(config)# interface Ethernet0
router(config-if)# ip helper-address 161.44.54.7
router(config-if)#ip helper-address 161.44.55.8
© 2003 Cisco Systems, Inc. All rights reserved.
DHCP Relay
© 2003 Cisco Systems, Inc. All rights reserved.
Resumen
• Direcciones privadas son para uso interno, privado y no pueden
ser enrutadas por un router a Internet público.
• NAT altera el encabezado de IP de un paquete así que la
dirección destino, la dirección origen, o ambas direcciones son
reemplazadas con diferentes direcciones.
• PAT usa números de puerto origen únicos en la dirección IP inside
global para distinguir entre traducciones.
• Las traducciones de NAT pueden ocurrir dinámica o estáticamente
y pueden ser utilizadas para una variedad de situaciones.
• El proceso para verificar la configuración de NAT y PAT incluye
los comandos clear y show.
• Un servidor DHCP maneja pools de direcciones IP y parámetros
asociados. Cada pool es dedicado a una subred IP lógica
individual.
• Los routers usan el comando ip helper-address para enviar
una solicitud de broadcast para cliente de DHCP.
© 2003 Cisco Systems, Inc. All rights reserved.
Descargar

PPT