UNIVERSIDAD POLITCNICA DE VALENCIA

Escuela Politcnica Superior de Ganda.

Ingeniera Tcnica de Telecomunicacin

Esp.: Sistemas de Telecomunicacin

Asignatura: Arquitectura y Redes Telemticas

PRCTICA N 4:
Configuracin de NAT y PAT en un router de la marca Cisco Systems

Jaime Lloret Mauri Departamento de Comunicaciones rea de Ingeniera Telemtica

1-OBJETIVOS.
Configurar un router Cisco Systems en los siguientes casos: Ejecucin de la traduccin de direcciones de red (NAT) para convertir las direcciones IP internas (en nuestro caso direcciones privadas), en direcciones pblicas externas. Configurar el mapeo IP esttico para permitir el acceso externo a un PC interno. Uso de la traduccin de direcciones de puerto (PAT) para convertir las direcciones IP internas (en nuestro caso direcciones privadas), en una direccin pblica externa. Configurar el mapeo IP dinmico para permitir el acceso externo a una red de PCs interna. Probar la configuracin y verificar las estadsticas de NAT/PAT

2-INTRODUCCIN.
En la traduccin de direcciones de red (NAT) se traducen direcciones IP privadas por pblicas, una a una. Es decir, a cada direccin IP privada se le hace corresponder una IP pblica. A partir de la asignacin se puede utilizar dicha direccin para establecer cualquier aplicacin, independientemente del puerto de capa 4. En la traduccin de direcciones de puerto (PAT o NAPT), se realiza una traduccin no solo por cada equipo sino por cada sesin establecida. Se traduce la direccin IP Privada y el puerto Privado utilizado en la conexin (bien sea como cliente o como servidor) por una direccin IP pblica y un puerto pblico. De esta forma se puede aprovechar una nica direccin IP pblica para dar acceso a la red pblica a multitud de equipos. En Cisco se conoce tambin como NAT Overload. En la presente prctica se pretende que el alumno aprenda a configurar NAT y PAT (comnmente llamados configuraciones monopuesto y multipuesto) en un router que tiene una direccin IP pblica en su interfaz WAN.

3-PRELIMINARES.
3.1- Material necesario.
Para la realizacin de la prctica se necesitar hacer grupos de 2 o 3 personas. Los elementos y dispositivos necesarios para la realizacin de la prctica son los siguientes:

Dispositivos de interconexin por grupo: 1 encaminador de la marca Cisco Systems. 1 Switch de cualquier marca que no tenga configurado ningna VLAN. 2 PCs.

3.2-Organizacin de la prctica.
Para llevar a cabo nuestro objetivo es necesario realizar los siguientes puntos: Configuracin de direcciones IP privadas y puertas de enlace en los host. Los conmutadores que vamos a utilizar no debern tener ninguna configuracin previa (VLANs, etc.). Configurar el router para que, utilizando NAT o PAT (segn el caso), nos permita el acceso al exterior de nuestra red. Realizar pruebas correctamente. para comprobar que todo funciona

Restaurar las conexiones y direccionamiento IP de los host del laboratorio para dejarlo a disposicin de los compaeros que utilicen el laboratorio despus que nosotros.

Los alumnos asistentes a la prctica se dividirn en grupos de dos o tres personas. Cada grupo se encargar de la gestin de dos PCs y un encaminador. El diseo de la red es el mismo para todos los grupos. A lo largo de la prctica se indicarn los pasos a seguir en cada momento, as como las direcciones IP que se implementarn en cada dispositivo.

4- PRCTICA.
4.1-Montaje a realizar.
Todos los grupos realizarn el mismo montaje. El primer paso ser la conexin de los dispositivos como se indica en la siguiente figura:

Subgrupo A
IP:192.168.0.3/24 Rtr: 192.168.0.1

IP:192.168.0.2/24 Rtr: 192.168.0.1

Subgrupo B
C
IP:172.16.0.2/24 Rtr: 172.16.0.1

B
IP:130.206.220.2/24 IP:192.168.0.1/24 DCE DTE IP:130.206.220.1/24 IP:172.16.0.1/24

D
IP: 172.16.0.3/24 Rtr: 172.16.0.1

El enlace entre los encaminadotes se realizar utilizando un cable WAN con conectores V.35. El encaminador del subgrupo A ser DCE y el del subgrupo B ser DTE.

4.2-Asignacin de la direccin IP y de la puerta de enlace a los host.

Para el correcto desarrollo de la prctica es indispensable la eleccin de un rango de direcciones IP acorde a nuestras necesidades. Como vamos a movernos en un entono de una red de rea local privada, los rangos de direcciones privadas reservadas por, Internet Assigned Numbers Authority (IANA; Autoridad de asignacin de nmeros de Internet), nos servirn para alcanzar nuestro objetivo. Elegiremos un rango distinto para cada subgrupo, un rango para los subgrupos A y otro rango para los subgrupos B. En el caso del subgrupo A asignaremos direcciones pertenecientes al rango 192.168.0.0 y con mscara de subred 255.255.255.0. En todos los host habilitaremos como direccin de puerta de enlace 192.168.0.1. Est direccin IP se corresponde con la direccin que en una seccin posterior asignaremos a una interfaz del encaminador. En el caso del subgrupo B (VLAN B) asignaremos direcciones pertenecientes al rango 172.16.0.0 y con mscara de subred 255.255.255.0. En todos los host habilitaremos como direccin de puerta de enlace 172.16.0.1. Est direccin IP se corresponde con la direccin que en una seccin posterior asignaremos a una interfaz del encaminador. Para cambiar la direccin IP del ordenador, hacer clic con el botn derecho sobre el icono de Entorno de red Propiedades. En la pestaa de Configuracin seleccionaremos el componente TCP/IP y clic en Propiedades. En esta ventana seleccionaremos la pestaa Direccin

IP, para configurar la direccin IP, o la de Puerta de Enlace, que ser la direccin de la subinterfaz del encaminador a la que enviaremos todos los datagramas IP que no pertenezcan a nuestra LAN. Cuando introduzcamos las direcciones designadas en la figura, presionar Aceptar dos veces y esperaremos a que tengan efecto los cambios realizados.

4.3-Tareas a realizar por cada Configuracin de las IPs del encaminador.

subgrupo.

Llegados a este punto de la prctica cada uno de los subgrupos emprender tareas diferentes destinadas a llegar a un objetivo comn, poder realizar la comunicacin entre PCs que se encuentran en diferentes LAN. Antes de empezar la prctica, borraremos las configuraciones de los routers tal como se indica a continuacin: Primero se borra la configuracin del router poniendo los siguientes comandos: Router#erase startup-config Como respuesta, aparecer la siguiente peticin de entrada: Erasing the nvram filesystem will remove all files! Continue? [confirm] Presionar Intro para confirmar. La respuesta deber ser: Erase of nvram: complete En el modo EXEC privilegiado, introducir el comando reload. Router#reload Como respuesta, aparecer la siguiente peticin de entrada: System configuration has been modified. Save? [yes/no]: Escribir no y luego presionar Intro. Como respuesta, aparecer la siguiente peticin de entrada:

Proceed with reload? [confirm] Presione Intro para confirmar. La primera lnea de la respuesta ser: Reload requested by console. La siguiente peticin de entrada aparecer despus de que el router se recargue: Would you like to enter the initial configuration dialog? [yes/no]: Escribir n y luego presione Intro. Como respuesta, aparecer la siguiente peticin de entrada: Press RETURN to get started! Presionar Intro. Ahora el router est listo para iniciar la prctica de laboratorio asignada. A partir de ahora, cada subgrupo seguir el guin que le corresponda.

4.3.A- SUBGRUPO A.
Para ello seguiremos estos pasos: Estaremos por defecto en modo User EXEC (Router>). Introduciremos enable y pasaremos a modo Privileged EXEC (Router#). Entraremos en modo de configuracin con: Router#configure terminal Router(config)# Seguidamente debemos configurar cada una de las interfaces. El interfaz RJ-45 puede ser una ethernet (con lo cual ser Ethernet 0) o Fastethernet (con lo cual ser Fastethernet 0). En el caso de tener un interfaz Serial WAN DB60 o Smart (ser Serial 0). Podria ocurrir que estuviramos ante un interfaz que permite varios interfaces, por lo que tendramos Serial 0/0, Serial 0/1, etc. Los comandos a introducir para la configuracin de los interfaces son los siguientes: 5

Router(config)#interface fastethernet 0
Entramos en la interface fastethernet 0 que es la que corresponde a la interface LAN

Router(config-if)#ip address 192.168.0.1 255.255.255.0

Configuramos la direccin IP de la interfaz

Router(config-if)#no shutdown
Tras configurar un interfaz, debemos habilitarla pues por defecto, si no est configurada, est deshabilitada.

Router(config-if)#exit Router(config)# interface serial 0

Pasamos al interfaz Serial para configurar nuestra IP WAN.

Router(config-if)#ip address 130.206.220.1 255.255.255.0 Router(config-if)#clockrate 64000

Con este comando indicaremos a este encaminador que es el que marcar la seal de reloj y por tanto ser DCE. 64000 es el ancho de banda de ese enlace.

Router(config-if)#no shutdown El siguiente paso ya es guardar la configuracin actual del encaminador en el archivo de inicio (startup-config). Para esto: Router(config-if)#exit Router(config)#exit Router#copy running-config startup-config Con esto terminamos la configuracin bsica del encaminador. Comprobar que el ordenador puede realizar un ping a la direccin IP del interfaz del router y que el router puede realizar un ping a la direccin IP del interfaz del router vecino.

4.3.B- SUBGRUPO B.
6

Para ello seguiremos estos pasos: Estaremos por defecto en modo User EXEC (Router>). Introduciremos enable y pasaremos a modo Privileged EXEC (Router#). Entraremos en modo de configuracin con: Router#configure terminal Router(config)# Seguidamente debemos configurar cada una de las interfaces. El interfaz RJ-45 puede ser una ethernet (con lo cual ser Ethernet 0) o Fastethernet (con lo cual ser Fastethernet 0). En el caso de tener un interfaz Serial WAN DB60 o Smart (ser Serial 0). Podria ocurrir que estuviramos ante un interfaz que permite varios interfaces, por lo que tendramos Serial 0/0, Serial 0/1, etc. Los comandos a introducir para la configuracin de los interfaces son los siguientes: Router(config)#interface fastethernet 0
Entramos en la interface fastethernet 0 que es la que corresponde a la interface LAN

Router(config-if)#ip address 172.16.0.1 255.255.255.0

Configuramos la direccin IP de la interfaz

Router(config-if)#no shutdown
Tras configurar un interfaz, debemos habilitarla pues por defecto, si no est configurada, est deshabilitada.

Router(config-if)#exit Router(config)# interface serial 0

Pasamos al interfaz Serial para configurar nuestra IP WAN.

Router(config-if)#ip address 130.206.220.2 255.255.255.0 Router(config-if)#no shutdown El siguiente paso ya es guardar la configuracin actual del encaminador en el archivo de inicio (startup-config). Para esto:

Router(config-if)#exit Router(config)#exit Router#copy running-config startup-config Con esto terminamos la configuracin bsica del encaminador. Comprobar que el ordenador puede realizar un ping a la direccin IP del interfaz del router y que el router puede realizar un ping a la direccin IP del interfaz del router vecino.

4.4- Configuracin del NAT esttico. 4.4.A- SUBGRUPO A.

Se va a traducir la direccin pblica 130.206.220.1 por una privada de la red 192.168.0.0. La traduccin se realiza de forma manual (administrativamente) y por tanto es permanente. La red Ethernet es una red local privada y por tanto las direcciones IP no son visibles en Internet. Cuando configuramos NAT a las direcciones privadas se les denomina direcciones locales. En el interface Serial tenemos configurado una direccin IP Pblica que s es visible en Internet. Est direccin nos la ha asignado nuestro ISP. Las direcciones Pblicas son denominadas por NAT como direcciones globales. Configuramos NAT esttico de forma que un equipo de la red privada (solamente uno y siempre el mismo) pueda acceder a Internet. Tendr acceso a cualquier servicio y tambin desde Internet se tendr acceso al equipo a cualquier servicio (este modo de configuracin es comnmente conocido como monopuesto): Router(config)#ip nat inside source static [IP_local] [IP_global] Que para el ejemplo que tenemos: router(config)#ip nat inside source static 192.168.0.2 130.206.220.1 Hemos elegido el equipo 192.168.0.2 de la red local para acceder a Internet. Para cualquier trfico generado por este equipo en Internet, parecer que proviene de la direccin IP 130.206.220.1, la direccin IP Pblica asignada al router. A continuacin debemos indicar qu Interface est conectado a la red local (la red privada):

router(config)#interface Fastethernet 0 router(config-if)#ip nat inside y qu interface est conectado a la red global (la red publica): router(config-if)#interface Serial 0 router(config-if)#ip nat outside Comentar que la opcin INSIDE en el comando con el que creamos la tabla NAT esttica, nos indica que: 1) Cuando el paquete atraviesa el router desde el interfaz inside hacia el outside, desde la red privada hacia Internet, se traduce la IP Origen. 2) Cuando el paquete atraviesa el router desde el interfaz outside hacia el inside, desde Internet hacia la red Privada, se traduce la IP Destino. Para comprobar que la traduccin se ha realizado correctamente, realizaremos un ping a la direccin IP del interfaz WAN del router del grupo B y seguidamente ejecutamos el comando: router#show ip nat translation Y mostrar la tabla con las traducciones entre las direcciones locales (privadas) y globales (pblicas). En este caso, mostrar una entrada permanente. Evidentemente la utilidad del NAT esttico es muy limitada por que nicamente permite acceder a Internet a un equipo por cada direccin IP pblica, y adems es siempre el mismo. Comprobar que los PCs configurados en modo monopuesto de ambas redes responden ante un ping.

4.4.B- SUBGRUPO B.
Se va a traducir la direccin pblica 130.206.220.2 por una privada de la red 172.16.0.0. La traduccin se realiza de forma manual (administrativamente) y por tanto es permanente. La red Ethernet es una red local privada y por tanto las direcciones IP no son visibles en Internet. Cuando configuramos NAT a las direcciones privadas se les denomina direcciones locales. En el interface Serial tenemos configurado una direccin IP Pblica que s es visible en Internet. Est

direccin nos la ha asignado nuestro ISP. Las direcciones Pblicas son denominadas por NAT como direcciones globales. Configuramos NAT esttico de forma que un equipo de la red privada (solamente uno y siempre el mismo) pueda acceder a Internet. Tendr acceso a cualquier servicio y tambin desde Internet se tendr acceso al equipo a cualquier servicio (este modo de configuracin es comnmente conocido como monopuesto): Router(config)#ip nat inside source static [IP_local] [IP_global] Que para el ejemplo que tenemos: router(config)#ip nat inside source static 172.16.0.2 130.206.220.2 Hemos elegido el equipo 172.16.0.2 de la red local para acceder a Internet. Para cualquier trfico generado por este equipo en Internet, parecer que proviene de la direccin IP 130.206.220.2, la direccin IP Pblica asignada al router. A continuacin debemos indicar qu Interface est conectado a la red local (la red privada): router(config)#interface Fastethernet 0 router(config-if)#ip nat inside y qu interface est conectado a la red global (la red publica): router(config-if)#interface Serial 0 router(config-if)#ip nat outside Comentar que la opcin INSIDE en el comando con el que creamos la tabla NAT esttica, nos indica que: 1) Cuando el paquete atraviesa el router desde el interfaz inside hacia el outside, desde la red privada hacia Internet, se traduce la IP Origen. 2) Cuando el paquete atraviesa el router desde el interfaz outside hacia el inside, desde Internet hacia la red Privada, se traduce la IP Destino. Para comprobar que la traduccin se ha realizado correctamente, realizaremos un ping a la direccin IP del interfaz WAN del router del grupo A y seguidamente ejecutamos el comando: router#show ip nat translation

10

Y mostrar la tabla con las traducciones entre las direcciones locales (privadas) y globales (pblicas). En este caso, mostrar una entrada permanente. Evidentemente la utilidad del NAT esttico es muy limitada por que nicamente permite acceder a Internet a un equipo por cada direccin IP pblica, y adems es siempre el mismo. Comprobar que los PCs configurados en modo monopuesto de ambas redes responden ante un ping.

4.5- Configuracin del NAT dinmico. 4.5.A- SUBGRUPO A.

Traduccin de una direccin IP pblica por una direccin IP privada. La traduccin se hace solo cuando se solicita y tiene una validez temporal (permanecer en la tabla NAT solo durante un periodo de tiempo determinado despus de la concesin). Como ocurre con NAT esttico, solo un equipo podr entrar a Internet en cada instante (por cada direccin IP pblica disponible), tendr acceso a todos los servicios en Internet y ser accesible para cualquier servicio desde Internet. La ventaja respecto a NAT esttico, es que la asignacin solo dura un periodo de tiempo determinado y cuando caduca se asigna a otro equipo. Con lo cual podrn acceder a Internet varios equipos de la red privada, pero eso s, de uno en uno (en el caso de disponer de una nica direccin IP pblica, que es lo habitual en un entorno domstico o de pequea empresa). Para configurarlo tenemos que realizar los siguientes 4 pasos: 1- Definir una tabla con el rango de direcciones pblicas de que disponemos. Podemos disponer de ms de una direccin IP pblica para asignar, o solamente de una IP pblica, en ambos casos este paso es obligatorio, este rango debemos definirlo siempre aunque conste de una nica direccin IP: router(config)#ip nat pool Nombre_tabla [IP_inicial] [IP_global] netmask [mascara de red] Por ejemplo, supongamos que disponemos de las direcciones pblicas que van desde la direccin IP: 130.206.220.10 a la direccin IP 130.206.220.20, y creamos la tabla de nombre MiTabla:

11

router(config)#ip nat pool MiTabla 130.206.220.10 130.206.220.20 netmask 255.255.255.0 El parametro netmask indica la mscara de red de dichas direcciones de red. Si disponemos de una nica direccin IP pblica, por ejemplo de la direccin IP 130.206.220.1, como en el ejemplo de NAT esttico, tendramos que poner: router(config)#ip nat pool MiTabla 130.206.220.1 130.206.220.1 netmask 255.255.255.0 Es decir, esta direccin sera la IP inicial y final del rango. 2- Definir que equipos de la red privada (que direcciones IP de esta red) son los que pueden hacer uso del NAT. Para ello debemos crear una lista de acceso estndar (obligatoriamente debe ser una ACL estndar, no extendida) permitiendo las direcciones IP de la red privada que van a tener acceso al servicio de traducciones. router(config)#access-list [numero_ACL] permit [IP] [wildcard] Por ejemplo, si queremos que tenga acceso toda la red local ethernet con direccin de red 192.168.0.0 con mscara de red 255.255.255.0: router(config)#access-list 1 permit 192.168.0.0 0.0.0.255 3- Creamos la Tabla NAT dinmica asociando la tabla de direcciones pblicas disponibles con la lista de acceso que las va a utilizar. router(config)#ip [Nombre_tabla] nat inside source list [Numero_ACL] pool

Por ejemplo, en este caso tenemos la lista de acceso 1 y la tabla MiTabla, por lo que: router(config)#ip nat inside source list 1 pool MiTabla 4- Determinar qu interface est conectado a la red privada (o red local) y que interface est conectado a la parte exterior o global (red pblica) del router. Esto es idntico a como lo hacamos en NAT esttico:

12

router(config)#interface fastethernet 0 router(config-if)#ip nat inside router(config-if)#interface Serial 0 router(config-if)#ip nat outside Cuando ejecutemos el comando de monitorizacin de la tabla NAT: router#show ip nat translation Veremos entradas dinmicas de las traducciones, segn los clientes (los equipos de la red privada) las van solicitando. Fijaros que slo los equipos de la red privada tienen permiso por la lista de acceso para crear la entrada NAT. Desde Internet no se puede crear una entrada dinmica. Pero una vez establecida dicha entrada (dicha traduccin entre IP pblica e IP Privada) desde Internet se tendr acceso completo (a todos los puertos que tenga abiertos) al equipo de la red privada. El timeout por defecto, es decir, el tiempo que permanece una entrada en la tabla dinmica, es de 24 horas. As que si queremos agilizar los cambios en la tabla deberemos reducir este tiempo con el comando: router(config)#ip nat translation timeout [valor_en_seg]

4.5.B- SUBGRUPO B.
Traduccin de una direccin IP pblica por una direccin IP privada. La traduccin se hace solo cuando se solicita y tiene una validez temporal (permanecer en la tabla NAT solo durante un periodo de tiempo determinado despus de la concesin). Como ocurre con NAT esttico, solo un equipo podr entrar a Internet en cada instante (por cada direccin IP pblica disponible), tendr acceso a todos los servicios en Internet y ser accesible para cualquier servicio desde Internet. La ventaja respecto a NAT esttico, es que la asignacin solo dura un periodo de tiempo determinado y cuando caduca se asigna a otro equipo. Con lo cual podrn acceder a Internet varios equipos de la red privada, pero eso s, de uno en uno (en el caso de disponer de una nica direccin IP pblica, que es lo habitual en un entorno domstico o de pequea empresa). Para configurarlo tenemos que realizar los siguientes 4 pasos:

13

1- Definir una tabla con el rango de direcciones pblicas de que disponemos. Podemos disponer de ms de una direccin IP pblica para asignar, o solamente de una IP pblica, en ambos casos este paso es obligatorio, este rango debemos definirlo siempre aunque conste de una nica direccin IP: router(config)#ip nat pool Nombre_tabla [IP_inicial] [IP_global] netmask [mascara de red] Por ejemplo, supongamos que disponemos de las direcciones pblicas que van desde la direccin IP: 130.206.220.30 a la direccin IP 130.206.220.40, y creamos la tabla de nombre MiTabla: router(config)#ip nat pool MiTabla 130.206.220.30 130.206.220.40 netmask 255.255.255.0 El parametro netmask indica la mscara de red de dichas direcciones de red. Si disponemos de una nica direccin IP pblica, por ejemplo de la direccin IP 130.206.220.2, como en el ejemplo de NAT esttico, tendramos que poner: router(config)#ip nat pool MiTabla 130.206.220.2 130.206.220.2 netmask 255.255.255.0 Es decir, esta direccin sera la IP inicial y final del rango. 2- Definir que equipos de la red privada (que direcciones IP de esta red) son los que pueden hacer uso del NAT. Para ello debemos crear una lista de acceso estndar (obligatoriamente debe ser una ACL estndar, no extendida) permitiendo las direcciones IP de la red privada que van a tener acceso al servicio de traducciones. router(config)#access-list [numero_ACL] permit [IP] [wildcard] Por ejemplo, si queremos que tenga acceso toda la red local ethernet con direccin de red 172.16.0.0 con mscara de red 255.255.255.0: router(config)#access-list 1 permit 172.16.0.0 0.0.0.255 3- Creamos la Tabla NAT dinmica asociando la tabla de direcciones pblicas disponibles con la lista de acceso que las va a utilizar.

14

router(config)#ip [Nombre_tabla]

nat

inside

source

list

[Numero_ACL]

pool

Por ejemplo, en este caso tenemos la lista de acceso 1 y la tabla MiTabla, por lo que: router(config)#ip nat inside source list 1 pool MiTabla 4- Determinar qu interface est conectado a la red privada (o red local) y que interface est conectado a la parte exterior o global (red pblica) del router. Esto es idntico a como lo hacamos en NAT esttico: router(config)#interface fastethernet 0 router(config-if)#ip nat inside router(config-if)#interface Serial 0 router(config-if)#ip nat outside Cuando ejecutemos el comando de monitorizacin de la tabla NAT: router#show ip nat translation Veremos entradas dinmicas de las traducciones, segn los clientes (los equipos de la red privada) las van solicitando. Fijaros que slo los equipos de la red privada tienen permiso por la lista de acceso para crear la entrada NAT. Desde Internet no se puede crear una entrada dinmica. Pero una vez establecida dicha entrada (dicha traduccin entre IP pblica e IP Privada) desde Internet se tendr acceso completo (a todos los puertos que tenga abiertos) al equipo de la red privada. El timeout por defecto, es decir, el tiempo que permanece una entrada en la tabla dinmica, es de 24 horas. As que si queremos agilizar los cambios en la tabla deberemos reducir este tiempo con el comando: router(config)#ip nat translation timeout [valor_en_seg] Comprobar que los PCs configurados en modo monopuesto de ambas redes responden ante un ping.

4.6- Configuracin del PAT esttico.

15

4.6.A- SUBGRUPO A.
En este caso se realiza una traduccin de la direccin IP y tambin del puerto TCP o UDP. La traduccin se realiza manualmente, una para cada puerto y para cada IP que queramos a utilizar. Es utilizado para que servidores de la red interna (red privada) sean visibles en Internet (red pblica). nicamente se tendr acceso al puerto del servidor sobre el cual se ha realizado la traduccin, pero no al resto de puertos. La asignacin es permanente. Para crear la tabla de asignaciones utilizamos el mismo comando utilizado para realizar las asignaciones NAT estticas, pero utilizando la opcin de indicar tanto el puerto pblico como el privado, indicando si se trata de un puerto TCP o UDP: Router(config)#ip nat inside source static {TCP|UDP} [IP_local] [Puerto_local] [IP_global] [Puerto_global] Por ejemplo, si tenemos: Red Privada: 192.168.0.0 con mscara de red 255.255.255.0 IP Privada del Router (fastethernet 0): 192.168.0.1/24 IP Pblica del Router (Serial 0): 130.206.220.1/24 IP Servidor web: 192.168.0.2/24 IP Servidor ftp: 192.168.0.3/24 Y queremos que ambos servidores, http (descargarlo de http://www.keyfocus.net/kfws/download/) y FTP (descargarlo de http://www.sofotex.com/download/FTP_Software/Ftp_Servers/) sean accesibles desde Internet, pero que nicamente se pueda acceder a los puertos 80 y 21 respectivamente, de estos servidores. Entonces creamos dos entradas estticas en la tabla PAT : router(config)#ip nat inside source static tcp 130.206.220.1 80 router(config)#ip nat inside source static tcp 130.206.220.1 21 192.168.0.2 192.168.0.3 80 21

En este caso, y normalmente ser as, el puerto local coincide con el puerto global, ya que deseamos que las peticiones al puerto 80 o 21 de la direccin IP pblica sean desviadas a los mismos puertos 80 y 21 respectivamente pero de direcciones IP privadas. Como en el caso del NAT deberemos indicar que interfaz pertenece a la parte local de la red y que interfaz pertenece a la parte global:

16

router(config)#interface fastethernet 0 router(config-if)#ip nat inside router(config-if)#interface Serial 0 router(config-if)#ip nat outside PAT esttico suele configurarse en los routers con conexin a Internet, como por ejemplo con ADSL o RDSI, para dar acceso desde Internet a los puertos y direcciones IP concretos de los servidores de la red local que se desea que sean pblicos. En cambio, no sera lgico utilizar PAT esttico para que los clientes de la red local accedan a Internet, ya que obligara a crear manualmente una lista inmensa de asignaciones con todas las direcciones IP y todos los puertos utilizados. Lgicamente para esta tarea se utilizar PAT dinmico. Comprobar que desde un PC se puede acceder al servidor web y al servidor ftp del otro grupo.

4.6.B- SUBGRUPO B.
En este caso se realiza una traduccin de la direccin IP y tambin del puerto TCP o UDP. La traduccin se realiza manualmente, una para cada puerto y para cada IP que queramos a utilizar. Es utilizado para que servidores de la red interna (red privada) sean visibles en Internet (red pblica). nicamente se tendr acceso al puerto del servidor sobre el cual se ha realizado la traduccin, pero no al resto de puertos. La asignacin es permanente. Para crear la tabla de asignaciones utilizamos el mismo comando utilizado para realizar las asignaciones NAT estticas, pero utilizando la opcin de indicar tanto el puerto pblico como el privado, indicando si se trata de un puerto TCP o UDP: Router(config)#ip nat inside source static {TCP|UDP} [IP_local] [Puerto_local] [IP_global] [Puerto_global] Por ejemplo, si tenemos: Red Privada: 172.16.0.0 con mscara de red 255.255.255.0 IP Privada del Router (fastethernet 0): 172.16.0.1/24 IP Pblica del Router (Serial 0): 130.206.220.2/24 IP Servidor web: 172.16.0.2/24 IP Servidor ftp: 172.16.0.3/24 Y queremos que ambos servidores, http://www.keyfocus.net/kfws/download/) y http (descargarlo FTP (descargarlo de de

17

http://www.sofotex.com/download/FTP_Software/Ftp_Servers/) sean accesibles desde Internet, pero que nicamente se pueda acceder a los puertos 80 y 21 respectivamente, de estos servidores. Entonces creamos dos entradas estticas en la tabla PAT: router(config)#ip nat inside source static tcp 172.16.0.2 80 130.206.220.2 80 router(config)#ip nat inside source static tcp 172.16.0.3 21 130.206.220.2 21 En este caso, y normalmente ser as, el puerto local coincide con el puerto global, ya que deseamos que las peticiones al puerto 80 o 21 de la direccin IP pblica sean desviadas a los mismos puertos 80 y 21 respectivamente pero de direcciones IP privadas. Como en el caso del NAT deberemos indicar que interfaz pertenece a la parte local de la red y que interfaz pertenece a la parte global: router(config)#interface fastethernet 0 router(config-if)#ip nat inside router(config-if)#interface Serial 0 router(config-if)#ip nat outside PAT esttico suele configurarse en los routers con conexin a Internet, como por ejemplo con ADSL o RDSI, para dar acceso desde Internet a los puertos y direcciones IP concretos de los servidores de la red local que se desea que sean pblicos. En cambio, no sera lgico utilizar PAT esttico para que los clientes de la red local accedan a Internet, ya que obligara a crear manualmente una lista inmensa de asignaciones con todas las direcciones IP y todos los puertos utilizados. Lgicamente para esta tarea se utilizar PAT dinmico. Comprobar que desde un PC se puede acceder al servidor web y al servidor ftp del otro grupo.

4.7- Configuracin del PAT dinmico. 4.7.A- SUBGRUPO A.

En este caso la traduccin entre direccin IP y puerto privados por direccin y puerto pblicos se realiza de forma dinmica, es decir, segn se va necesitando. Cada vez que se inicia una conexin TCP/IP Cliente Servidor, se crear una nueva entrada en la tabla PAT de

18

forma dinmica. PAT Dinmico se utiliza para dar acceso a toda una red Privada a Internet utilizando nicamente unas pocas direcciones pblicas, o incluso una nica direccin IP pblica. Por tanto traduciremos: 1- Direccin IP y puerto Origen cuando el trfico es desde el interior de la red Privada a Internet. 2- Direccin IP y puerto Destino cuando el trfico es desde Internet hacia la red Privada. Es decir, que lo normal ser traducir el puerto CLIENTE de la conexin TCP/IP, ya que el cliente estar en la red local y el servidor en Internet, normalmente. Al contrario de lo que hacamos con PAT INSIDE Esttico, donde se traduca el puerto SERVIDOR de la conexin, ya que lo utilizamos para dar acceso a servidores internos. La forma de configurar PAT dinmico es idntica a la configuracin de NAT dinmico pero aadindole la opcin OVERLOAD al crear la tabla PAT: 1 Paso: Definimos la tabla con el rango de direcciones pblicas disponibles: router(config)#ip nat pool Nombre_tabla [IP_inicial] [IP_global] netmask [mascara de red] 2 Paso: Creamos una ACL indicando quien podr utilizar la tabla PAT, es decir, quien podr abrir nuevas entradas dinmicas en la tabla: router(config)#access-list [numero_ACL] permit [IP] [wildcard] 3 Paso: Creamos la tabla NAT dinmica asociando la tabla con las direcciones pblicas a la lista de acceso con las direcciones privadas y le aadimos la opcin OVERLOAD para indicar que queremos hacer PAT, traduccin de direcciones de puerto: router(config)#ip nat inside [Nombre_tabla] OVERLOAD source list [Numero_ACL] pool

4 Paso: Como siempre asignamos los interfaces LOCAL y GLOBAL: Router(config)#interface ethernet 0 Router(config-if)#ip nat inside Router(config-if)#interface Serial 0 Router(config-if)#ip nat outside

19

En nuestro caso, si queremos dar acceso a todos los equipos dentro de la red local 192.168.0.0/24 a Internet, y disponemos nicamente de la direccin IP pblica: 130.206.220.1/24, tendremos la siguiente configuracin: router(config)#ip nat pool MiTabla 130.206.220.1 130.206.220.1 netmask 255.255.255.0 router(config)#access-list 1 permit 192.168.0.0 0.0.0.255 router(config)#ip nat inside source list 1 pool MiTabla overload router(config)#interface fastethernet 0 router(config-if)#ip nat inside router(config-if)#interface Serial 0 router(config-if)#ip nat outside Comprobar que no se puede acceder desde la red interna al servidor web que hay situado en la otra red. Esto es debido a que el router no redirecciona el puerto 80 a una direccin IP de un equipo de su LAN.

4.7.B- SUBGRUPO B.
En este caso la traduccin entre direccin IP y puerto privados por direccin y puerto pblicos se realiza de forma dinmica, es decir, segn se va necesitando. Cada vez que se inicia una conexin TCP/IP Cliente Servidor, se crear una nueva entrada en la tabla PAT de forma dinmica. PAT Dinmico se utiliza para dar acceso a toda una red Privada a Internet utilizando nicamente unas pocas direcciones pblicas, o incluso una nica direccin IP pblica. Por tanto traduciremos: 1- Direccin IP y puerto Origen cuando el trfico es desde el interior de la red Privada a Internet. 2- Direccin IP y puerto Destino cuando el trfico es desde Internet hacia la red Privada. Es decir, que lo normal ser traducir el puerto CLIENTE de la conexin TCP/IP, ya que el cliente estar en la red local y el servidor en Internet, normalmente. Al contrario de lo que hacamos con PAT INSIDE Esttico, donde se traduca el puerto SERVIDOR de la conexin, ya que lo utilizamos para dar acceso a servidores internos.

20

La forma de configurar PAT dinmico es idntica a la configuracin de NAT dinmico pero aadindole la opcin OVERLOAD al crear la tabla PAT: 1 Paso: Definimos la tabla con el rango de direcciones pblicas disponibles: router(config)#ip nat pool Nombre_tabla [IP_inicial] [IP_global] netmask [mascara de red] 2 Paso: Creamos una ACL indicando quien podr utilizar la tabla PAT, es decir, quien podr abrir nuevas entradas dinmicas en la tabla: router(config)#access-list [numero_ACL] permit [IP] [wildcard] 3 Paso: Creamos la tabla NAT dinmica asociando la tabla con las direcciones pblicas a la lista de acceso con las direcciones privadas y le aadimos la opcin OVERLOAD para indicar que queremos hacer PAT, traduccin de direcciones de puerto: router(config)#ip nat inside [Nombre_tabla] OVERLOAD source list [Numero_ACL] pool

4 Paso: Como siempre asignamos los interfaces LOCAL y GLOBAL: Router(config)#interface ethernet 0 Router(config-if)#ip nat inside Router(config-if)#interface Serial 0 Router(config-if)#ip nat outside En nuestro caso, si queremos dar acceso a todos los equipos dentro de la red local 172.16.0.0/24 a Internet, y disponemos nicamente de la direccin IP pblica: 130.206.220.2/24, tendremos la siguiente configuracin: router(config)#ip nat pool MiTabla 130.206.220.2 130.206.220.2 netmask 255.255.255.0 router(config)#access-list 1 permit 172.16.0.0 0.0.0.255 router(config)#ip nat inside source list 1 pool MiTabla overload router(config)#interface fastethernet 0 router(config-if)#ip nat inside router(config-if)#interface Serial 0

21

router(config-if)#ip nat outside Comprobar que no se puede acceder desde la red interna al servidor web que hay situado en la otra red. Esto es debido a que el router no redirecciona el puerto 80 a una direccin IP de un equipo de su LAN.

5- ANTES DE ABANDONAR EL AULA.

Antes de abandonar el puesto del laboratorio es necesario que la configuracin IP de los PCs utilizados y las conexiones en el rack queden como al dar comienzo la sesin de prcticas. Antes de abandonar el laboratorio: Los PCs con los que se ha estado trabajando durante la prctica deben tener un cable de par trenzado con conectores RJ-45 directo conectado con el switch de salida del aula a la red de la UPV. Teniendo encendido los ordenadores con los que se han estado trabajando durante la prctica, las tarjetas de red deben tener la luz verde o naranja encendida (indicando que el enlace es correcto). Los equipos debern obtener una direccin IP por DHCP y sta deber ser del rango 158.42.X.X. Los equipos no debern tener ninguna puerta de enlace configurada manualmente (slo la obtenida por DHCP).

- El Sistema Operativo utilizado deber validar en el dominio UPVNET con el usuario invitado y sin contrasea. Al finalizar esta configuracin, deber mostrarse el resultado de la misma al profesor antes de abandonar el aula.

22