Implementacindenat 130830161622 Phpapp01

Por Paulo Coloms
www.redescisco.net
2
Por Paulo Coloms - Redes Cisco.NET - www.redescisco.net - 2010
NAT = Network Address Translation (Traduccin de
Direcciones de Red)
PAT = Port Address Translation (Traduccin de
Direcciones de Puertos)
IMPLEMENTACIN DE NAT
3
Direcciones IP Pblicas y Privadas
Segn el RFC (Request For Comments) 1918, las direcciones IP se
clasifican en Pblicas y Privadas.
4
Direcciones IP Pblicas y Privadas
Bloques de IP privadas:

10.0.0.0/8 (10.0.0.0 10.255.255.255)
172.16.0.0/12 (172.16.0.0 172.31.255.255)
192.168.0.0/16 (192.168.0.0 192.168.255.255)
Cualquier IP que no est en ese rango se considera PBLICA
5
Las siguientes IP son pblicas o privadas?
a) 11.105.33.102
b) 192.168.33.25
c) 200.33.145.1
d) 192.169.1.1
e) 172.17.3.207
6
Las siguientes IP son pblicas o privadas?
a) 11.105.33.102 (Pblica)
b) 192.168.33.25 (Privada)
c) 200.33.145.1 (Pblica)
d) 192.169.1.1 (Pblica)
e) 172.17.3.207 (Privada)
LAS IP PRIVADAS NO SON ENRUTABLES EN INTERNET
7
8
Existen varios tipos de NAT:
-Dynamic NAT
-Static NAT (1:1)
-PAT o NAT con Sobrecarga
-PAT o NAT con Sobrecarga sobre mltiples IP
-NAT-T
-Source NAT
-Entre otros
9
En esta presentacin solo veremos 4
tipos:

-NAT Dinmico
-NAT Esttico
-PAT (Overload)
-PAT (Overload) con mltiples IP pblicas
10
IMPLEMENTACIN DE NAT CASO 1: NAT Dinmico
NAT DINMICO
En el NAT dinmico, las direcciones IP internas de cada cliente de una
LAN se asocian dinmicamente con cada IP externa (pblica).
11
Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask 255.255.255.248
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool RANGOPUBLICO
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config-if)# ip nat outside
12
VENTAJAS:
-Permite esconder las direcciones internas de una LAN asocindolas con
IP pblicas.
-Asocia dinmicamente IP pblicas a IP privadas, permitiendo mantener
un direccionamiento privado dentro de la LAN

DESVENTAJAS:
-Por cada IP privada, debe existir una IP pblica
-Solamente se pueden natear tantas IP privadas como IP pblicas se
tengan
13
IMPLEMENTACIN DE NAT CASO 2: NAT Esttico
NAT ESTTICO
En el NAT esttico es posible asignar estticamente una direccin IP
pblica nica a una direccin IP privada, asegurando disponibilidad y
acceso desde Internet hacia un servidor ubicado en la LAN.

Este mtodo puede convivir con otros mecanismos de NAT
14
IMPLEMENTACIN DE NAT CASO 2: NAT Esttico
Router(config)# ip nat inside source static 192.168.0.10 200.1.1.5
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config-if)# ip nat outside
15
IMPLEMENTACIN DE NAT CASO 3: NAT con Sobrecarga (PAT)
NAT CON SOBRECARGA (PAT)
Es quiz el tipo de NAT ms ampliamente utilizado hoy en las
organizaciones y consiste en permitir que mltiples IP privadas se
conecten a Internet utilizando una sola IP (sobrecargndola). Aqu la
traduccin se hace en base a puertos.
16
Router(config)# ip nat inside source list 1 interface f0/1 overload
Router(config-if )# ip nat inside
Router(config-if )# exit
Router(config-if )# ip nat outside
17
VENTAJAS:
-Se pueden conectar N estaciones privadas a Internet utilizando
solamente una IP pblica.
- Es posible ocultar la cantidad real de direcciones privadas dificultando
la tarea de un posible atacante.

-DESVENTAJAS:
- Cada conexin de una estacin de la LAN interna hacia Internet utiliza
un puerto de la IP pblica, permitiendo un mximo de 2
16
conexiones
como mximo (65.536)
- Inaplicable en redes de gran tamao (+ de 500 hosts)

18
IMPLEMENTACIN DE NAT CASO 4: NAT con Sobrecarga y
mltiples IP pblicas
NAT CON SOBRECARGA Y MLTIPLES IP
PBLICAS
Este tipo de NAT es una variacin del PAT tradicional pero se agrega un
grupo de IP pblicas para hacer la traduccin. Esto permite tener ms de
65536 conexiones simultneas (que es lo que permite una sola IP).
19
mltiples IP pblicas
Router(config)# ip nat pool RANGO_PAT_PUBLICO 200.1.1.1 200.1.1.4 netmask 255.255.255.248
Router(config)# ip nat inside source list 1 pool RANGO_PAT_PUBLICO overload
Router(config-if )# ip nat inside
Router(config-if )# exit
Router(config-if )# ip nat outside
20
mltiples IP pblicas
VENTAJAS:
-Permite la utilizacin de un rango de IP pblicas y balancear
dinmicamente la carga de los puertos hacia Internet
- Ideal para organizaciones con un gran nmero de hosts que deben
conectarse simultneamente hacia Internet. Consideremos un
escenario donde hay 1000 hosts en la LAN privada y 14 o 30 IP
pblicas.

DESVENTAJAS:
-Para acceder a un host de la LAN interna hay que hacer un
redireccionamiento de puertos (RDR), limitando algunas
caractersticas de extremo a extremo
21
COMANDOS TILES:
1. # show ip nat translations

2. # show ip nat static

3. # debug ip nat

4. # clear ip nat translations *
22
Inside, Outside, Local, Global
R1# show ip nat translations

Pro Inside global Inside local Outside local Outside global
Tcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333
23
Cuando quieras saber si una IP corresponde a
Inside local, Inside Global, Outside Local u
Outside Global, recuerda lo siguiente:
1. Inside u Outside se refiere a la ubicacin del dispositivo que
gener el paquete
2. Local o Global se refiere a la ubicacin actual del paquete
24
El PC 192.168.0.3 se conecta mediante la IP pblica 200.1.1.1 hacia Internet
(simulado con PC1 con 200.1.1.2)
25
INSIDE
LOCAL
INSIDE
GLOBAL
OUTSIDE
LOCAL
OUTSIDE
GLOBAL
26
IP ORIGEN IP DESTINO
192.168.0.3
200.1.1.2
D: INSIDE D: OUTSIDE
P: LOCAL P: LOCAL
D: Ubicacin del Dispositivo
P: Ubicacin del Paquete
27
IP ORIGEN IP DESTINO
200.1.1.1
200.1.1.2
D: Ubicacin del Dispositivo
P: Ubicacin del Paquete
D: INSIDE (*) D: OUTSIDE
P: GLOBAL P: GLOBAL
(*) Se refiere a la ubicacin del PC0, no del R1
28
R1# show ip nat translations

Pro Inside global Inside local Outside local Outside global
Tcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333
29
INSIDE LOCAL: Direccin IP de la red LAN interna (Privada, del
RFC 1918)

INSIDE GLOBAL: Direccin IP Pblica del Router

OUTSIDE LOCAL: Direccin IP de una mquina externa segn
como es vista desde la LAN, no siempre es una IP pblica

OUTSIDE GLOBAL: Direccin IP Pblica del servidor remoto
30
Q&A

Implementacindenat 130830161622 Phpapp01

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Implementacindenat 130830161622 Phpapp01

Caricato da

Copyright:

Formati disponibili

Por Paulo Coloms

Potrebbero piacerti anche