1 © 2003 cisco systems, inc. all rights reserved. session number presentation_id escalando...

1© 2003 Cisco Systems, Inc. All rights reserved.

Session NumberPresentation_ID

Escalando Direcciones IP

Material de apoyo Clase 27-sep-2011

© 2003 Cisco Systems, Inc. All rights reserved.

Objetivos

• Escalar redes con Network Address Translation y Port Address Translation

• Dynamic Host Configuration Protocol



NAT


Repaso

• NAT permite a direcciones privadas ser traducidas en públicas, direcciones enrutables.

• Esto conserva las direcciones IP registradas de organizaciones y le permite al paquete ser transportado sobre redes públicas externas, tales como Internet.

• Una variación de NAT, llamada Port Address Translation (PAT), permite muchas direcciones privadas internas ser traducidas a una o más direcciones públicas externas.


Direccionamiento Privado

RFC 1918Internal Address

RangeCIDR Prefix

Class A 10.0.0.0 10.255.255.255 10.0.0.0/8

Class B 172.16.0.0 172.31.255.255 172.16.0.0/12

Class C 192.168.0.0 192.168.255.255192.168.0.0/1

6

• Network Address Translation conserva direcciones IP contando con el espacio de direcciones IP privadas reutilizables especificado en el RFC 1918.

• Las organizaciones son libres de usar estas direcciones IP privadas dentro de sus redes internas.

Estas direcciones son para uso privado e interno de la red solamente y no pueden ser enrutadas a internet.


NAT

Un dispositivo con NAT-activado típicamente opera en la frontera de una red cerrada.

Los dispositivos dentro de la red interna tienen direccionamiento IP privado que deberá ser traducido a público, a direcciones ruteables.


Términos de NAT

• Dirección Inside local— La dirección IP asignada a un host en la red de inside. Esta dirección es probablemente direccionamiento privado del RFC 1918.

• Dirección Inside global— Una dirección IP legítima asignada por la NIC o proveedor de servicio que representa una o más direcciones IP locales hacia el mundo.

• Dirección Outside local— La dirección IP de un host de outside como es conocida para los hosts que están en la red de inside.

• Dirección Outside global— La dirección IP asignada al host en la red de outside. El propietario del host asigna esta dirección.


Características de NAT

• NAT estático está diseñado para permitir asociación uno-a-uno de direcciones local y global.

• NAT dinámico está diseñado para asociar una dirección IP privada a una dirección IP pública.

Inside


Beneficios de NAT

• Elimina la re-asignación para cada host de una nueva dirección IP cuando se cambia a un nuevo ISP. Los hosts conservan la dirección IP privada.

• Elimina la necesidad de re-direccionar todos los hosts que requieren acceso externo, ahorrando tiempo y dinero.

• Conserva direcciones a través de aplicaciones de multiplexaje nivel-puerto (port-level)

• Protege la seguridad de la red.


Conceptos de Network Address Translation

Internet

E0 S1

165.193.3.110.1.1.1

SA

10.1.1.11

SA

165.193.1.35

NAT

SA= Source Address

Inside Host10.1.1.11

• NAT es el proceso de cambiar una dirección por otra en el encabezado del paquete de IP.

• El host de inside en la IP 10.1.1.11 puede aparecer como IP 165.193.1.35 a la red externa.

• El router de NAT traduce de inside (E0) a outside (S1).


NAT Cambia el Encabezado de IP

• Como un paquete es enrutado a través de un dispositivo capaz de hacer NAT, la dirección IP origen en el paquete de la red privada interna (no enrutable) podría ser traducida a una dirección ip externa (enrutable).

E0 E1

165.193.3.110.1.1.1

SA

10.1.1.11

SA

165.193.1.35

NAT

SA= Source Address

Outside HostInside Host10.1.1.11


Tabla de NAT

•La tabla de NAT registra las asociaciones de inside a outside.



Inside & Outside

Local & Global


Direcciones Inside & Outside

• Dirección de Inside

- La dirección IP de un host ubicado en la red interna

Podría ser una dirección privada no enrutable.

Inside Inside addressaddress

Destination Host

165.193.3.2

165.193.3.1

Local Host10.0.0.11

NAT

e0 e1

10.1.1.1


DIrecciones Inside & Outside

• Dirección de Outside

- Dirección IP de un host ubicado en la red externa

Podría ser una dirección públicamente enrutable

Outside Outside addressaddress

Destination Host

165.193.3.2

165.193.3.1

Local Host10.0.0.11

NAT

e0 e1

10.1.1.1


Direcciones Local & Global

• Dirección de Local – dirección IP de un host interno o externo según aparece en el encabezado de IP interno.

Dirección Origen

Dirección Destino

10.0.0.11 165.193.3.2

Encabezado Interno de IP (Direcciones Locales)

Host Destino165.193.3.2

165.193.3.1

Host Local10.0.0.11

NAT

e0 e1

10.1.1.1

Red Interna Red Externa


• Dirección Global- Dirección IP de un host interno o externo según aparece en el encabezado de IP externo.

Dirección Origen

Dirección Destino

165.193.1.35 165.193.3.2

Encabezado de IP Externo (Direcciones Globales)

Host Destino165.193.3.2

165.193.3.1

Host Local10.0.0.11

NAT

e0 e1

10.1.1.1

Red Interna Red Externa



• Inside Local Address– dirección interna de un host local

• Outside Local Address – dirección interna del sistema destino

• Inside Global Address – dirección externa de un host local

• Outside Global Address – dirección externa del sistema destino

Dirección OrigenDirección Destino

10.0.0.11 165.193.3.2

Encabezado IP Interno (Direcciones Locales)

Inside Local Address

Outside Local Address


165.193.1.35 165.193.3.2

Encabezado IP Externo(Direcciones Globales)

Inside Global Address

Outside Global Address



Traducción del Encabezado de IP


10.0.0.11 165.193.3.2

Encabezado IP Interno(Direcciones Locales)


165.193.1.35 165.193.3.2

Encabezado IP Externo (Direcciones Globales)

NAT

•Inside Local Direcciones que se volvieron Inside Global Addresses

•Outside Local Direcciones que se volvieron Outside Global Addresses






Network Address Translation

Internal Network

Dirección Origen


10.1.1.11

Dirección Destino


165.193.3.2

Network Address Translation

External Network

Dirección Origen


165.193.1.35

Dirección Destino


165.193.3.2



NAT Dinámico


NAT Dinámico

• NAT puede ser dinámico o estático.

• NAT Dinámico traduce direcciones inside usando un conjunto (pool) de direcciones globales.

• Cada dirección inside local es dinámicamente asignada a una dirección inside global de un conjunto (pool) de direcciones definido administrativamente.

• NAT Dinámico habilita los hosts en una red privada para acceder a internet traduciendo las direcciones privadas en direcciones públicas.


Tráfico de Entrada

• Conforme un paquete de entrada ingresa en el router de NAT destinado para un host en la red interna, la dirección global es referenciada en la tabla de NAT y reemplazada con la dirección inside local.

204.168.1.3510.0.0.112

204.168.1.3410.0.0.111

204.168.1.3310.0.0.110

Inside GlobalIP Address

Inside LocalIP Address

DA

204.168.1.35

DA

10.1.1.112

Global AddressLocal Address


Configure NAT Dinámico

1. Defina un conjunto de direcciones globales para ser asignadas como se necesite.

router(config)# ip nat pool pool-name start-ip end-ip netmask netmask

1. Defina una lista de acceso estándar para identificar cuáles hosts serán traducidos.

router(config)# access-list number permit network mask

2. Establezca traducción de origen dinámica, identificando la lista de acceso definida en el paso previo.

router(config)# ip nat inside source list access-list-num pool pool-name

3. Identifique interfaces como inside u outside con respecto a NAT.

router(config-if)# ip nat {inside|outside}


Ejemplo de Configuración de NAT Dinámico


Confirmando la Operación de NAT


Troubleshooting NAT

outgoing

incoming



NAT Estático


NAT Estático

• Permite a los dispositivos con una dirección privada ser vistos en una red pública.

• Las traducciones estáticas son ingresadas directamente en la configuración y están siempre en la tabla de traducciones.

• Típicamente usado para servidores de web.

Internet

SA10.1.1.11

SA192.168.1.35



Configure NAT Estático

1. Establezca traducción estática entre direcciones de inside y outside.

router(config)# ip nat inside source static local-ip global-ip

2. Identifique interfaces como inside u outside con respecto a NAT.

router(config-if)# ip nat {inside|outside}


Configurando NAT Estático

router(config)# ip nat inside source static 10.1.1.11 192.168.1.35router(config)#interface e0rotuer(config-if)#ip nat insiderouter(config)#interface s0rotuer(config-if)#ip nat outside

Internet

SA10.1.1.11

SA192.168.1.35


e0 s0



Port Address Translation


Port Address Translation (PAT)

• PAT es el proceso de asociar dinámicamente múltiples direcciones inside a una o más direcciones globalmente enrutables.

• Utiliza números de puerto para diferenciar entre los hosts de inside.

• Algunas veces llamado overloading.

10.0.0.110:4376

10.0.0.112:1743

10.0.0.111:1103192.168.1.33:1743

192.168.1.33:4376

192.168.1.33:1103

PAT


Características de PAT

PAT usa números de puerto origen únicos en la dirección IP inside global para distinguir entre traducciones.

El router PAT mantiene la cuenta de las diferentes conversaciones asociando números de puerto TCP y UDP en la tabla de NAT.


Configurando PAT (Overloading NAT)

• Configure un pool de NAT. (U overload una interface.)

• Genere una lista de acceso para determinar cuál dirección deberá ser traducida.

• Asigne esta lista de acceso al pool de NAT y configúrelo para overload.

• Asigne inside y outside a las interfaces.


Overloading NAT

1. Configure el pool de NAT Rango de direcciones:

ip nat pool bigpool 192.168.1.33 192.168.1.57 netmask 255.255.255.224

Dirección simple:

ip nat pool smallpool 192.168.1.33 192.168.1.33 netmask 255.255.255.224

2. Crea una lista de acceso estándar para identificar cuál dirección deberá ser traducidaaccess-list 24 permit 10.0.0.0 0.255.255.255

3. Asigne esta lista de acceso para el pool de NAT y configúrelo para overloadip nat inside source list 24 pool bigpool overload

4. Asigne inside y outside a las interfacesrouter(config-if)# ip nat {inside|outside}


Configurando PAT

Interface is used in place of a NAT pool.


Verificando PAT

router#sh ip nat tran

Pro Inside global Inside local Outside local Outside global

tcp 12.215.221.161:58713 192.168.1.17:58713 12.224.201.213:33143 12.224.201.213:33143

tcp 12.215.221.161:58731 192.168.1.17:58731 134.215.240.122:6348 134.215.240.122:6348

tcp 12.215.221.161:58539 192.168.1.17:58539 198.107.1.170:6346 198.107.1.170:6346

router#sh ip nat stat

Total active translations: 922 (0 static, 922 dynamic; 922 extended)

Outside interfaces:

Ethernet1

Inside interfaces:

Ethernet0

Hits: 91218894 Misses: 358943

Expired translations: 355669

Dynamic mappings:

-- Inside Source

access-list 2 interface Ethernet1 refcount 922

Despliega traducciones activas

Despliega traducciones estáticas


Aspectos de NAT



DHCP


Repaso de DHCP

• El Dynamic Host Configuration Protocol (DHCP) fue diseñado para asignar direcciones IP y otra importante información de configuración de red dinámicamente.

• Porque los clientes de escritorio típicamente son la mayoría de los nodos de red, DHCP es una herramienta extremadamente útil que ahorra tiempo para administradores de red.

• Algunos dispositivos, tales como servidores, deberán estar estáticamente asignados.


DHCP Request

El cliente de DHCP envía un broadcast de IP dirigido con un DHCP request.

El servidor nota el campo de dirección en blanco así como también la dirección de hardware del cliente.


DHCP Reply

• El servidor DHCP toma una dirección IP del pool disponible para el segmento, así como también el otro segmento y parámetros globales. El servidor agrega estos valores a los campos apropiados del paquete DHCP.

• Usando la dirección de hardware del cliente, este envía esta trama de regreso hacia el cliente.


Diferencias entre BOOTP y DHCP

• DHCP define mecanismos a través de los cuales a los clientes pueden asignárseles una dirección IP para un periodo de tiempo de préstamo finito.

• Este periodo de tiempo le permite la re-asignación de la dirección IP a otro cliente posteriormente, o para que el cliente obtenga otra asignación, si el cliente se mueve a otra subred.

• Los clientes pueden también renovar los préstamos y mantener la misma dirección IP.

• DHCP proporciona el mecanismo para que un cliente obtenga otros parámetros de configuración de IP, tales como WINS y nombre de dominio.


Características de DHCP


Operación de DHCP

• El cliente DHCP envía broadcasts del paquete DHCPDISCOVER en la subred local.

• El servidor DHCP envía el paquete OFFER con la información con la información de arrendamiento.

• El cliente de DHCP selecciona el arrendamiento y envía en broadcasts el paquete DHCPREQUEST.

• El servidor DHCP seleccionado envía un paquete DHCP ACK.


Transmisión de Mensajes DHCP


Configurando DHCP

1. Especifique el pool de DHCP. (Múltiples pools pueden ser configurados en un simple servidor.)

router(config)#ip dhcp pool pool-name

2. Especifique el rango de direcciones para el pool.

router(dhcp-config)#network ip-address mask

3. Excluya las direcciones según sea necesario.

router(config)#ip dhcp excluded-address begin-ip-address end-ip-address


Configurando DHCP: Parámetros Opcionales

1. Asigne un default router.

2. Configure servidor(es) DNS.

3. Configure un servidor de nombres netbios.

4. Configure el nombre del dominio.

5. Configure el tiempo de arrendamiento.


Configurando un Ejemplo de DHCP

Creando el pool y agregando parámetros.

Excluyendo direcciones


Verificando & Troubleshooting DHCP


IP Helper-Address

• Los clientes de DHCP usan broadcasts de IP ára encontrar el servidor DHCP en el segmento.

• ¿Qué sucede cuando el servidor y el cliente no están en el mismo segmento y están separados por un router? Los routers no reenvía estos broadcasts.

• Requiere configuración de un ip helper-address en el router.

• Un router puede ser configurado para aceptar un request de broadcast para un servicio UDP y entonces reenviarlo como unicast a una dirección IP específica.


Configuración de Ip Helper-Address

• IP helper-addresses son configurados en el router:

router(config)# interface Ethernet0

router(config-if)# ip helper-address 161.44.54.7

router(config-if)#ip helper-address 161.44.55.8


DHCP Relay


Resumen

• Direcciones privadas son para uso interno, privado y no pueden ser enrutadas por un router a Internet público.

• NAT altera el encabezado de IP de un paquete así que la dirección destino, la dirección origen, o ambas direcciones son reemplazadas con diferentes direcciones.

• PAT usa números de puerto origen únicos en la dirección IP inside global para distinguir entre traducciones.

• Las traducciones de NAT pueden ocurrir dinámica o estáticamente y pueden ser utilizadas para una variedad de situaciones.

• El proceso para verificar la configuración de NAT y PAT incluye los comandos clear y show.

• Un servidor DHCP maneja pools de direcciones IP y parámetros asociados. Cada pool es dedicado a una subred IP lógica individual.

• Los routers usan el comando ip helper-address para enviar una solicitud de broadcast para cliente de DHCP.

1 © 2003 cisco systems, inc. all rights reserved. session number presentation_id escalando...

Documents

nat direccin

ip direcciones

outside direccin ip

local direccin ip

outside direccin

direccin ip asignada

direccin ip origen en

una direccin ip pblica