DHCP Y NAT

INTRODUCCIN A DHCP
- Normalmente, a nivel empresarial existen servidores DHCP dedicados. Sin embargo, en SOHOS
(empresas hogareas) se puede configurar un router Cisco para brindar servicios DHCP.
- Existen 3 tipos de asignacin de direcciones:
- Asignacin manual: el administrador asigna una direccin IP de forma manual al cliente.
- Asignacin automtica: DHCP asigna automticamente una IP esttica permanente a un
dispositivo. No la alquila, sino que se la asigna de forma permanente. Puede basarse en la
direccin MAC origen de la solicitud.
- Asignacin dinmica: DHCP asigna automticamente una IP al cliente tomada de un pool de
direcciones por un perodo determinado de tiempo, o hasta que el cliente informe al DHCP
que ya no necesita la direccin.

- En la imagen se muestra el
intercambio de mensajes DHCP
necesarios para la obtencin de
una direccin IP por parte del
cliente desde un servidor DHCP.

BOOTP Y DHCP
-Tanto DHCP como BOOTP se basan en la relacin cliente/servidor y utilizan los
puertos UDP 67 y 68 (el 68 lo usa el cliente como puerto de origen en sus peticiones
DHCP, el 67 es el puerto del servidor DHCP por el que escucha peticiones). Estos
puertos todava se conocen como puertos BOOTP.
-Cuando un cliente BOOTP solicita una direccin IP, el servidor BOOTP busca una
entrada que coincida con la direccin MAC del cliente en una tabla predefinida.
-Si la entrada existe, la direccin IP correspondiente a esa entrada se enva al cliente.
Esto significa que el enlace entre las direcciones MAC e IP se tiene que haber
configurado previamente en el servidor BOOTP.
-BOOTP es una manera de descargar configuraciones de direccin de inicio para
estaciones de trabajo sin disco. Una estacin de trabajo sin disco no tiene unidad de
disco duro ni sistema operativo. Por ejemplo, muchos sistemas de cajas
registradoras automatizadas de los supermercados son estaciones de trabajo sin
disco.
-DHCP permite la recuperacin y la reasignacin de direcciones de red a travs de un
mecanismo de arrendamiento.
-BOOTP no utiliza arrendamientos. Sus clientes tienen direcciones IP reservadas que
no se pueden asignar a ningn otro host.
-BOOTP proporciona una cantidad limitada de informacin a un host. DHCP
proporciona parmetros de configuracin IP adicionales, por ejemplo servidor DNS
y nombre de dominio.

FORMATO DE MENSAJE DHCP

-Se utiliza el mismo formato de mensaje que BOOTP para mantener la compatibilidad con el protocolo
predecesor.
-DHCP sin embargo ofrece ms funcionalidades que BOOTP, las cuales se encuentran en el campo opciones.
Este campo es omitido en BOOTP.
-Cdigo de Operacin: especifica el tipo de mensaje (1 solicitud, 2 respuesta).
-Tipo de Hardware: Se basa en que cada tecnologa de capa 2 usa un direccionamiento de hardware distinto
(MAC Ethernet, DLCI Frame Relay, etc). 1 es Ethernet, 15 es Frame Relay, etc
-Longitud de la direccin de hardware: 8 bits para identificar la longitud de la direccin (un 48 en binario sera
una MAC, por ejemplo)
-Saltos: utilizado cuando al cliente se le asigna una IP mediante DHCP/s Relay. Si el cliente obtiene la direccin
IP desde su misma subred, este campo se sita con un valor de 0.
-ID de transaccin: es un identificador que usa el cliente para identificar las respuestas obtenidas desde los
servidores DHCP a la solicitud lanzada por l mismo.
-Segundos: Segundos transcurridos desde que el cliente comenz a intentar adquirir o renovar el alquiler. Los
servidores DHCP usan este nmero para establecer un orden de prioridad para responder cuando el servidor
tiene varias solicitudes pendientes de respuesta.
-Sealadores: El bit ms significativo de este campo (bit 16) se usa como flag de broadcast (este bit debe estar
a 1 para indicar el envo en difusin). Se usa para indicar al servidor que el cliente slo puede recibir mensajes
en difusin (porque hasta que no tenga la direccin definitivamente asignada no puede recibir mensajes
unicast). Los dems bits se reservan para usos futuros.

FORMATO DE MENSAJE DHCP(continuacin)

- IP del cliente (CIADDR): Para solicitar re-alquiler. Si el cliente posee IP, incluye dicha
direccin en este campo. Si no, le asigna el valor 0 a este campo. En la respuesta del
servidor ofreciendo una IP al cliente, este campo y el siguiente se colocan con dicha
direccin IP.
- IP del servidor (YIADDR): Direccin IP que el servidor asigna al cliente.
- IP del servidor (SIADDR): Es la direccin que el cliente debe utilizar en el siguiente proceso
bootstrap (por ejemplo, primero adquiere la direccin IP, y despus en este campo se
incluye la direccin del servidor del que obtendr el sistema operativo).
- IP del Gateway (GIADDR): Cuando se utiliza un Relay DHCP, esta es la direccin del agente
Relay. Esta direccin es utilizada por solicitudes y respuestas DHCP entre un cliente y un
servidor que se encuentran en subredes o redes diferentes.
- Direccin de Hardware del cliente (CHADDR): (16 bytes) es la direccin fsica del cliente
(MAC, por ejemplo).
- Nombre del servidor (SNAME): El DHCP que enva un DHCPOFFER o DHCPACK, puede de
forma opcional colocar su nombre en este campo(ejemplo: dhcp.netacad.net).
- Opciones: Alberga las opciones de DHCP (puerta de enlace, mscara, servidores DNS,
servidores WINS, nombre de dominio, etc), que incluyen varios parmetros necesarios
para el funcionamiento de DHCP. Este campo es utilizable tanto por el servidor como por
el cliente.

CONFIGURACIN DE UN SERVIDOR DHCP

-Los routers Cisco son plenamente compatibles para actuar como
servidores de DHCP.
-El servidor de DHCP que ejecuta IOS de Cisco administra direcciones IP de
conjuntos(pools) de direcciones especificados en el router y las asigna a los
clientes de DHCP.
-Los pasos para configurar un router como servidor de DHCP son los
siguientes:

-Paso 1. Definir rango de direcciones no asignables con el comando:

Router(config)#ip dhcp excluded-address <low-ip-address high-ipaddress>
-Paso 2. Creacin del pool de DHCP con el comando:
Router(config)#ip dhcp pool <nombre-pool>

CONFIGURACIN DE UN SERVIDOR DHCP

- Paso 3. Configuracin de los parmetros especficos del pool(son opcionales).
- Mediante el comando:
Router(dhcp-config)#lease <periodo> podemos indicar el perodo de alquiler de las direcciones
arrendadas a los clientes.
- El comando:
Router(config)#service dhcp activa el servidor en el router, en el caso de que este desactivado(por
defecto viene activado). La forma no del comando lo desactiva.
- Con el comando:
Router#show ip dhcp server verificamos que el router est enviando o recibiendo mensajes DHCP,
muestra un contador de mensajes DHCP enviados y recibidos.
El comando Router#show ip dhcp binding muestra una lista de asignaciones de IP a direcciones MAC,
as como el perodo de expiracin del alquiler.
El comando Router#show ip dhcp pool muestra informacin sobre los pools de direcciones creadas
en el router.
Para dar una direccin de servidor DNS, escribimos el comando:
Router(config)#(config-dhcp)#dns-server <IP>

CONFIGURACIN DEL CLIENTE DHCP

- En un router linksys de una SOHO, cuando el tipo de conexin a Internet est definido
como Configuracin automtica: DHCP, significa que el router acta como cliente DHCP
y solicita una direccin IP al ISP.
- Para configurar una interfaz como cliente DHCP, se debe configurar el comando:
Router(config-if)#ip address dhcp

QU ES EL RELAY DHCP?
En una red jerrquica compleja, los servidores empresariales normalmente
estn contenidos en una granja de servidores. Estos servidores pueden
proporcionar servicios de DHCP, DNS, TFTP y FTP para los clientes. El
problema es que los clientes de red normalmente no estn en la misma
subred que esos servidores. Por lo tanto, los clientes deben localizar a los
servidores para poder utilizar los servicios, lo que con frecuencia hacen
mediante mensajes broadcast.
Para configurar el router R1 como
agente relay DHCP, debe configurar
la interfaz ms cercana al cliente
con el comando de configuracin
de interfaz ip helper-address. Este
comando transfiere solicitudes de
broadcast de servicios clave a una
direccin configurada. Configure la
direccin IP de helper en la interfaz
que recibe el broadcast.

DIRECCIONAMIENTO IP PBLICO Y PRIVADO

-Las direcciones de la figura representan el espacio de direccionamiento
IPv4 designado para el uso privado.
-Dichas direcciones no son enrutables a travs de Internet. Por ello, se
necesita un mecanismo de traduccin que sea capaz de sacar a estas
direcciones a la nube de Internet pblica. Este mecanismo es NAT.

QU ES NAT?

-Cuando el cliente enva paquetes fuera de la red, NAT traduce la

direccin IP interna del cliente a una direccin externa.
-Para los usuarios externos, todo el trfico que entra a la red y sale de
ella tiene la misma direccin IP o proviene del mismo conjunto de
direcciones.
-NAT tiene muchos usos, pero la utilidad clave es el ahorro de
direcciones IP al permitir que las redes utilicen direcciones IP
privadas.
-NAT traduce direcciones internas, privadas y no enrutables a
direcciones pblicas enrutables.
-NAT tiene el beneficio adicional de agregar un nivel de privacidad y
seguridad a una red porque oculta las direcciones IP internas de las
redes externas.
-Un dispositivo que ejecuta NAT generalmente opera en la frontera de
una red de conexin nica.

TERMINOLOGA NAT
-Direccin Local Interna: Representa la direccin IP de un host interno.
Normalmente esta es una IP del RFC 1918, pero no es obligatorio.
-Direccin Global Interna: Direccin IP pblica que representa a la red
Interna
(puede haber varias). Es la IP traducida.
-Direccin Global Externa: Direccin IP pblica de destino.
-Direccin Local Externa: Direccin IP privada de un host externo al que
se accede (por ejemplo, al realizar una redireccin de puertos).

TIPOS DE TRADUCCIN NAT

-TRADUCCIN NAT DINMICA: Esta traduccin usa un conjunto de
direcciones pblicas y las asigna en orden de llegada. Cuando un host con
una IP privada solicita acceso a Internet, NAT dinmica elije una IP de un
conjunto de direcciones que no est siendo utilizada por otro host.
-TRADUCCIN NAT ESTTICA: Utiliza un sistema de asignacin de uno a uno
entre las direcciones locales y las globales, y la asignacin es constante. La IP
local interna siempre tiene la misma IP global interna asociada. Es til para
que servidores sean accesibles desde Internet siempre con la misma IP,
ocultando a su vez la verdadera IP del servidor.
-NAT DINMICO CON SOBRECARGA (PAT o Multiplexacin a nivel de puerto):
Tcnica que asigna a varias direcciones IP privadas una nica direccin IP
pblica, o un pequeo grupo de direcciones IP pblicas. Es el mtodo ms
utilizado. Cuando el cliente inicia una sesin TCP/IP, el router NAT asigna un
nmero de puerto a la solicitud origen correspondiente, intentando siempre
mantener el puerto de origen del cliente. De no ser posible (porque este ya
est en uso), le asigna el siguiente nmero de puerto disponible. Para su
funcionamiento, siempre guarda una asociacin del puerto origen del
cliente, IP origen del cliente, puerto origen PAT e IP global utilizada PAT.
-La cantidad mxima de direcciones locales internas que se pueden asignar a
una nica direccin IP global interna es de 4000.

EJEMPLO DE NAT DINMICO CON SOBRECARGA O PAT

VENTAJAS Y DESVENTAJAS DEL USO DE NAT

VENTAJAS:
- Conserva las direcciones IPv4, las cuales se estaban agotando de forma inminente.
- Es sencillo cambiar de ISP, sin vernos afectados por el cambio. Las direcciones IP globales
internas pueden seguir siendo las mismas, y lo nico que cambiara sera la direccin IP global
interna a la que se traducen todas las dems direcciones locales internas.
- Proporciona seguridad a la red. Los host internos no desvelan cual es su direccin, y para un
atacante resulta ms complicado localizar un host objetivo, ya que todos los host de la red se
ven de cara hacia fuera con la misma direccin IP global interna.
DESVENTAJAS:
- El hecho de que los hosts de Internet parezcan comunicarse con el dispositivo NAT, en lugar
de hacerlo con el verdadero host con el que se comunican crea una serie de problemas, en
contraposicin con la ventaja del agregado de seguridad.
- NAT aumenta los retrasos en la conmutacin, debido a la operacin que tiene que realizar
para cada solicitud que parte hacia fuera. Adems, el router examina cada paquete para saber
si debe o no debe ser traducida (ACL). El primer paquete es el ms lento de todos y viaja por
la ruta lenta, pues ser el que cree una primera entrada en cach para dicha comunicacin.
Los dems viajan por lo que se conoce como ruta rpida (a travs de la entrada en cach ya
creada).
- Prdida de la capacidad de rastreo de extremo a extremo, dificultando la resolucin de
problemas (por ejemplo, un tracert no sera capaz de determinar todos los saltos en el
camino).
- Ciertos protocolos requieren que la funcionalidad se aplique de extremo a extremo, y que los
paquetes se enven sin modificaciones de origen a destino. IPSec puede verse afectado puesto
que NAT modifica los valores en los encabezados interfiriendo con los controles de integridad
realizados por IPSec.

CONFIGURACIN DE NAT ESTTICA

-Recordar que NAT esttico es una asignacin de uno a uno, entre una
direccin interna y una direccin externa. Podemos usarlo, por ejemplo,
para asignar a una direccin local interna especfica una direccin global
interna, en el caso de un servidor web accesible desde internet.
-La configuracin de NAT esttico es simple. Primero se define la sentencia
static, y despus indicamos la direccin local interna y la direccin global
interna a la que ser traducido. Siempre, como ltimo paso, se deben
indicar las interfaces inside y outside.
- Como vemos en la figura, no es
necesario que la IP pblica se localice
en la serial 0/1/0.
- El router puede tener varias
direcciones NAT para traducir distintos
orgenes.
- Los routers de Internet han de conocer
la manera de llegar a todas ests
direcciones NAT, aunque no residan
directamente en la interfaz serial.
- Cuando escribimos el comando ip nat,
el router automticamente atiende
solicitudes a la direccin IP global
indicada.

CONFIGURACIN DE NAT DINMICA

-Mientras que NAT esttico proporciona asignaciones permanentes, NAT
dinmica asigna direcciones IP privadas a direcciones pblicas de forma
dinmica y no de uno a uno. Estas direcciones pblicas se localizan
dentro de un conjunto NAT.
-Para su configuracin, necesitamos una ACL que defina las direcciones
que tienen permiso para ser traducidas.
-Necesitaremos un nat pool
que defina el grupo de
direcciones globales
internas asignables para
salir a Internet.
-Necesitaremos asociar este
nat pool a la lista de acceso
creada anteriormente.
-Finalmente, como siempre,
tendremos que asociar nat
a lo que ser la interfaz
inside y lo que ser la
interfaz outside.

CONFIGURACIN DE NAT CON SOBRECARGA

-MTODO 1: SOBRECARGA NAT CON UNA NICA DIRECCIN IP.
-Normalmente, esta direccin IP es la asignada a la interfaz externa que
conecta la red con el ISP. Debido a que en ocasiones esta direccin se
obtiene de un DHCP del ISP, su configuracin no define una IP global
interna nica, si no la propia interfaz.

- Como vemos, la
configuracin es muy
similar a la anterior.
- En las configuraciones de
PAT, siempre hemos de
incluir al final la palabra
clave overload , que indica
sobrecarga en la direccin.

CONFIGURACIN DE NAT CON SOBRECARGA

-MTODO 2: Configuracin de PAT para un conjunto de direcciones IP
pblicas.
-En ocasiones, es requerido que el ISP proporciones ms de una direccin
IP Pblica, y hacer PAT sobre el conjunto de direcciones. La configuracin
ser exactamente igual que NAT dinmico, a excepcin de la inclusin de
la palabra clave overload al final del comando.
-Se empezara usando siempre la primera de las direcciones pblicas,
hasta sobrepasar las 4000 IPs privadas, pasando posteriormente a usar la
segunda de las direcciones del pool, y as sucesivamente. EN EL
EJEMPLO FALTA EL COMANDO NETMASK Y LA MASCARA PARA EL
POOL!!!!

CONFIGURACIN DE REENVO DE PUERTOS

- Tambin conocido como forwarding. Es el acto de recibir una solicitud a
un puerto de la direccin IP global interna, y pasarle dicha solicitud a un
host con una direccin IP local interna.
- En la figura, vemos la configuracin
para un Linksys de reenvo de
puerto para solicitud HTTP a una
direccin IP local interna.
-Para redirigir peticiones realizadas a una ip pblica, a un host de la red
privada mediante el Cisco IOS debemos utilizar el siguiente comando:
-Router(config)#ip nat inside source static <tcp/udp> <IPLocalInterna>
<Puerto> <IPGlobalInterna> <Puerto>

COMANDOS DE VERIFICACIN DE NAT

- El comando #show ip nat translations muestra las traducciones realizadas por el router.
- Se le considera el comando ms til de verificacin de NAT. Podemos agregar al final
del comando la palabra verbose para ver informacin adicional de cada traduccin
(como antigedad y uso de la entrada).
- Las entradas NAT se mantienen en la tabla 24 horas por defecto. Para modificar este
valor, podemos utilizar el comando (config)#ip nat translation timeout <segundos>.
- Mediante el comando #clear ip nat translations * borramos todas las traducciones
realizas por el router. Podemos tambin, si lo deseamos, borrar entradas especficas sin
necesidad de eliminar la tabla NAT al completo.
- Los comandos clear son especialmente tiles a la hora de verificar la operacin de las
funciones configuradas.
- El comando #show ip nat statistics nos muestra estadsticas acerca de la cantidad de
traducciones activas y parmetros de configuracin de nat, como la cantidad de
direcciones que hay en el conjunto y la cantidad de direcciones que se asignaron.
- Como siempre, tambin disponemos del comando #show running-config para verificar
los parmetros configurados en el router en busca de algn error.
- El comando #debug ip nat es el comando de depuracin que nos permite verificar la
operacin de NAT a medida que se va produciendo. Podemos agregar la palabra
detailed al final para obtener informacin adicional de cada proceso de traducin
NAT realizado.