DHCP – NAT

Dynamic host configuration protocol

Estática: El administrador la configura manualmente

Dinámica: DHCP protocolo cliente/servidor.

DHCP Discover (Broadcast)

2

(Unicast) DHCP Offer

DHCP Request (Broadcast)
3
DHCP AckNowledge (Unicast)
4 (Broadcast)

Ejemplo en topología: DHCP-NAT.pkt

1- Configura dirección estática a la interfaz que configura la LAN

Core (config)# int g0/0

Core (config if)# ip address 192.168.127.1 255.255.255.0 (Asignada a la interfaz del router)

2- Configurar direcciones excluidas (Son las que no voy a entregar por DHCP)
Core(config)# ip dhcp excluded-address ? low ip address 192.168.127.1
Core(config-)# ip dhcp excluded-address ? low ip address 192.168.127.200 192.168.127.254
Core(config-)# do show run

3- Configurar el pool
Core(config)# ip dhcp pool LAN1
Core(config)# ip dhcp pool
Core(dhcp-config)# network 192.168.127.0 255.255.255.0
 4- Configurar puerta de enlace (Gateway)
Core(dhcp-config)# default-router 192.168.127.1

5- Configurar DNS
Core(dhcp-config)# dns-server 8.8.8.8
Core(dhcp-config)# do show run

6- Configurar router cliente

R-cliente(config)# ip address dhcp

Investigar:

 DHCP – Helper

Broadcast unicast

Host solicitad IP

ip helper-addreess
En redes Cisco IOS esto se puede implementar utilizando el comando ip helper-address en cliente
que requiere una configuración IP utilizando DHCP. Sin embargo este comando no solamente
reenvía solicitudes DHCP.
Varios servicios críticos para el funcionamiento de la red utilizan broadcast como DHCP: TACACS,
DNS, TFTP, NetBios, etc.; y es común que en redes complejas y extensas estos la interfaz que opera
como default-gateway del segmento de red en el que se encuentra el servidores se encuentren en
un área de red específica, en otro segmento de red. Esto implica que es necesario enrutar
solicitudes de todos estos servicios, que en su definición original se propagan por broadcast.
Esta es la situación a la que responde el comando helper-address; permite que los routers actúen
como proxies al reenviar solicitudes de estos servicios que corren sobre UDP.
El router recibe las solicitudes UDP en formato de broadcast y las reenvía como paquetes unicast
a una dirección IP específica. También puede reenviarlas a una red o subred en particular.
El comando ip helper-address reenvía por defecto 8 servicios UDP: Time, TACACS, DNS, DHCP
server, DHCP client, TFTP, NetBios name service y NetBios datagram service.
Router#configure terminal
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip helper-address 172.18.1.3
Reenvía el tráfico de servicios UDP que se recibe a través de la interfaz GigabitEthernet a la
dirección 172.18.1.3 . Este comando se puede repetir si es necesario direccionar hacia más de un
servidor.
Router(config-if)#ip helper-address 172.18.1.255
Reenvía el tráfico de servicios UDP que se recibe a través de la interfaz Fastethernet a la subred
172.18.1.0/24. Esta es la forma de aplicación cuando los diferentes servicios no están en una única
dirección IP sino en varias de un mismo segmento de red, como ocurre en una granja de servidores.
Router(config-if)#interface GigabitEthernet 0/1
Router(config-if)#ip directed-broadcast
Cuando se direccionan los servicios UDP a una granja de servidores, es preciso indicar a la interfaz
del router que da acceso a la graja de servidores que los servicios que recibe redirigidos a una
dirección de broadcast (p.e. 172.18.1.255), debe encapsularlos como broadcast de capa 2 para que
entonces puedan ver la petición todos los nodos de la subred.
Router(config-if)#exit
Router(config)#ip forward-protocol udp 517
Agrega a la lista de 8 servicios que se reenvían por defecto, el tráfico de UDP que está dirigido al
puerto 517.
Router(config)#no ip forward-protocol udp 49
Retira de la lista de servicios que se reenvían, el tráfico de TACACS (puerto 49).

Esta configuración puede verificarse utilizando el comando show ip interfaces.

 DHCP - SDM
NAT (Network Address Translatión) es uno de los mecanismos utilizados en la internet actual
para hacer frente a la escasez de direcciones

Sirve para conectar a una o mas redes LAN internas a internet mediante una sola IP pública.

El rango de direcciones IP privadas esta definido en el RFC 1918 y corresponde a los siguientes
bloques:
10.0.0.0/8 (10.0.0.0 – 10.255.255.255) Clase A
172.16.0.0/12 (172.16.0.0 – 172.31.255.255) Clase B
192.168.0.0/16 (192.168.0.0 – 192.168.255.255) Clase C

Todas las direcciones IP que no estén en ese rango ni en los demás rangos especiales (APIPA
169.0.0.0 – 169., Loopbaks, Clase E, Clase D, etc.), son direcciones IP públicas.

Dicho esto, entonces ahora podemos comprender mejor como opera NAT. Para eso vamos a ver
la siguiente red de ejemplo.

Internet

NAT Dinámico (Asignación secuencial uno a uno): Es el más básico de todos los métodos de
traducción de direcciones privadas a públicas. Consiste en tener un bloque IP publico e ir asignando
dinámicamente una de esas IP a cada maquina de la LAN interna para que salga a internet. Si
tenemos 3 máquinas en nuestra LAN, como la imagen, necesitaremos entonces 3 IP públicas.
 IP-1 192.168.0.4
IP-1 200.1.1.4
cvcv

IP-2 200.1.1.3
IP-2
cvcv

Internet
192.168.0.4

IP-3 200.1.1.2
cvcv

IP-3 192.168.0.4

Configuracion:

Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask 255.255.255.248

Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 (Mascara wilcar)
Router(config)# ip nat inside source list 1 pool RANGOPUBLICO
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1
Router(config-if)# Ip nat outside

El comando ip nat pool permite crear el rango de direcciones IP publicas que vamos a asignar al
NAT dinámico y asociarlo a un nombre.
En este caso RANGOPUBLICO. Luego se crea una ACL estándar donde seleccionamos
 NAT estático (Se usa para para proveedores de servicio (Servidores)a través de internet, que
requieren ser ubicados fácilmente.):
El Nat estático es el mas simple de configurar y permite asociar estáticamente una dirección
publica a una dirección IP privada. Es ideal para permitir el acceso desde internet a un servidor que
este alojada

Router(config)# ip nat inside source static 192.168.0.10 200.1.1.5

Router(config)# interface FastEthernet0/0 (Se declara la interfaz de entrada)
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1 (Se declara la interfaz de salida)
Router(config-if)# Ip nat outside

Basta con la declaración del mapeo en la línea ip nat inside source static 192.168.0.10 200.1.1.5,
declarar las interfaces inside y ouside y listo.

PAT. (Utilizo una sola IP publica para traducir todos puertos lógicos) Proviene de “Port Address
Translation” y es el método de NAT mas utilizado probablemente. A diferencia de los dos métodos
anteriores donde cada IP privada se mapea en forma directa con una única IP publica, en el PAT se
asocian dinámicamente todas las conexiones originadas en la LAN con una única IP publica,
identificando cada sesión con un puerto de dicha IP (Por eso se llama PORT Address Translation)

IP-1 192.168.0.4

200.1.1.2
cvcv
IP-2
NAT PAT

192.168.0.4 Internet

200.1.1.5
IP-3 cvcv
NAT estático

192.168.0.4

192.168.0.5
 Configuración:
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface f0/1 overload
Router(config)# interface FastEthernet0/0 (Se declara la interfaz de entrada)
Router(config-if) # ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1 (Se declara la interfaz de salida)
Router(config-if)# ip nat inside

PAT con múltiples IP.

IP-1 192.168.0.4

IP-2 NAT PAT Inside Global

200.1.1.1
192.168.0.4 Internet
cvcv

200.1.1.2
cvcv
IP-3
200.1.1.3
cvcv
200.1.1.4
192.168.0.4
cvcv
Inside local

192.168.0.5 NAT estático 200.1.1.5

cvcv

Configuración:
Router(config)# ip nat pool RANGO_PAT_PUBLICO 200.0.0.0 200.1.1.4 netmask
255.255.255.248
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip
Router(config-if) #
Router(config-if)#
Router(config)#
Router(config-if)#

Inside Local: Se conoce como inside local a la dirección IP interna privada de algún PC de la red
LAN.
Inside Global: Es la dirección IP publica que esta siendo utilizada para traducir las IP privadas. La
IP WAN del router en la interfaz f0/1 es considerada inside Global, así mismo como todas las IP de
los rangos públicos.
Outside Local: Corresponde a la dirección IP de un host ubicado en la red externa (Internet) tal
como se muestra en la red LAN interna. No necesariamente tiene que ser una IP publica legitima.
Outside Global: Es la dirección IP publica de un host de destino en la red externa.

Comandos útiles:
Show ip nat Translation
Show ip nat static
Debug ip nat
Para dehabilitar NAT en el router:
1 Desactive las interfaces inside y ouside
Router(config)# interface FastEthernet0/0
Router(config-if)# no ip nat inside
Router(config-if)# exit
Router(config) # interface FastEthernet0/1
Router(config-if)# no ip nat outside