Xc lab-7-nat
- 1. Lab 7: NAT con IOS José Mª Barceló Ordinas 1. NAT NAT (Network Address Translation) es el proceso que permite la traslación de direcciones privadas a públicas mediante la substitución o alteración de las direcciones IP o puertos en las cabeceras IP y TCP del paquete transmitido. Para que NAT funcione debemos disponer de un router que implemente NAT en alguna o varias de sus variantes: NAT estático, NAT dinámico y NAT por puertos (PAT). No siempre se usa NAT para trasladar direcciones privadas a públicas. Hay ocasiones en que se trasladan direcciones privadas a privadas o direcciones públicas a direcciones públicas. Por consiguiente se usa la siguiente nomenclatura genérica a la hora de usar NAT: o Direcciones Internas (Inside addresses): aquellas que se quieren trasladar o Direcciones Externas (Outside addresses): aquellas a las que se traslada Las direcciones internas pueden ser tanto privadas como públicas. El caso más típico es aquel en que la dirección interna es una dirección privada y la dirección externa es una dirección pública. La clasificación anterior se puede subdividir a su vez: o Direcciones locales internas (Inside local addresses): la dirección IP interna asignada a un host en al red interna o Direcciones globales internas (Inside global addresses): la dirección IP de un host en la red interna tal como aparece a una red externa o Direcciones locales externas (Outside local addresses): la dirección IP de un host externo tal como aparece a la red interna o Direcciones globales externas (Outside global addresses): la dirección IP asignada a un host externo en una red externa Ver que la diferencia entre una dirección local y global interna es que la dirección local interna es la dirección que queremos trasladar mientras que la dirección global interna es la dirección ya trasladada. 1.1. NAT estático Usamos NAT estático cuando las direcciones están almacenadas en una tabla de consulta del router y se establece un mapeo directo entre las direcciones internas locales y las direcciones internas globales. Eso significa que por cada dirección interna local existe una dirección interna global. Este mecanismo se suele usar cuando se quiere cambiar un esquema de direcciones de una red a otro esquema de direcciones o cuando se tienen servidores que tienen que mantener una dirección IP fija de cara al exterior como DNS o servidores Web. 1.1.1. Configuración de NAT estático Para configurar NAT estático seguiremos los siguientes pasos: o Definir el mapeo de las direcciones estáticas: ip nat inside source static local-ip global-ip ip nat inside source static network local-network global-network mask o Especificar la interfaz interna ip nat inside o Especificar la interfaz externa ip nat outside 1
- 2. Lab 7: NAT con IOS José Mª Barceló Ordinas Ejemplo: Direcciones R Direcciones internas externas 10.1.1.1 e0 s0 198.3.4.1 R# configure terminal R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1 R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R# 1.2. NAT dinámico Usamos NAT dinámico cuando disponemos de un conjunto de direcciones globales internas que se asignarán de forma dinámica y temporal a las direcciones locales internas. Esta asignación se efectuará cuando se recibe tráfico en el router y tiene un Temporizador asignado. 1.2.1. Configuración de NAT dinámico Para configurar NAT dinámico seguiremos los siguientes pasos: o Crear un conjunto de direcciones globales: ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} o Crear una ACL que identifique a los hosts para la traslación access-list access-list-number permit source {source-wildcard} o Configurar NAT dinámico basado en la dirección origen ip nat inside source list access-list-number pool name o Especificar la interfaz interna ip nat inside o Especificar la interfaz externa ip nat outside Ejemplo: Direcciones R Direcciones internas externas 10.1.1.0/24 e0 s0 198.3.4.1 – 198.3.4.254 2
- 3. Lab 7: NAT con IOS José Mª Barceló Ordinas R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R# show ip nat translations Las entradas se asignan por defecto 24 horas. Si se quiere modificar el valor del temporizador usar el siguiente comando: R(config)# ip nat translation timeout seconds Donde “seconds” es el tiempo que se asignará al temporizador. 1.3. NAT overload o PAT (Port Address Translation) Usamos PAT (NAT por puertos) cuando disponemos de una dirección global interna puede direccional todo un conjunto grande (centenares) de direcciones locales internas. Esta asignación la efectúa cuando el par dirección global/puerto. Aunque disponemos de 65535 puertos (16 bits) en realidad el router PAT solo puede usar un subconjunto de estos puertos (depende del router, pero aproximadamente unas 4000 puertos por dirección global). PAT se puede usar en conjunción con NAT dinámico de forma que varias direcciones globales con múltiples puertos diréccionan un mayor número de direcciones locales internas. 1.3.1. Configuración de PAT Para configurar PAT seguiremos los siguientes pasos: o Crear un conjunto de direcciones globales (puede ser una sola dirección): ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} o Crear una ACL que identifique a los hosts para la traslación access-list access-list-number permit source {source-wildcard} o Configurar PAT basado en la dirección origen ip nat inside source list access-list-number pool name overload o Especificar la interfaz interna ip nat inside o Especificar la interfaz externa ip nat outside Ejemplo: usaremos hasta 30 direcciones internas globales, cada una de las cuales hace PAT 3
- 4. Lab 7: NAT con IOS José Mª Barceló Ordinas Direcciones R Direcciones internas externas 10.1.1.0/24 e0 s0 198.3.4.1 – 198.3.4.30 R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc overload R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R# show ip nat translations En el caso de que no haya un conjunto de direcciones globales podemos usar la dirección asignada a la interficie “s0” de la siguiente manera: R(config)# ip nat inside source list 2 interface s0 overload 1.4. Verificación de una configuración NAT Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado): show ip nat translations show ip nat translations verbose show ip nat statistics debug ip nat (no debug ip nat) clear ip nat translations * à elimina todas las traslaciones NAT 2. Sesión de laboratorio La topología del laboratorio es la siguiente: 2 terminales conectados al switch del aula del laboratorio formando la RedA y un terminal conectado al router formando la RedB. RA T1 T2 RED B T3 RED A La RedA es la 10.0.1.0/24 y la RedB es la 192.6.X.0/24, donde X es el número de PC asignado al terminal T 3. 1. Hacer NAT estático y monitorizar y verificar la conectividad 2. Hacer NAT dinámico y monitorizar y verificar la conectividad 3. Hacer PAT y monitorizar y verificar la conectividad 4