PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

NETWORK

ADDRESS TRANSLATION

Fecha del documento 11-02-2007

Pgina 1 de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

Configurando Network Address Trans ation

Hay dos problemas clave ue surgen en el momento de hacer !rente a "nternet# son el agotamiento de direcciones "P y el aumento en el routing$ %et&or' (ddress )ranslation *%()+ es una venta,a ue permite a la red "P de una organi-aci.n aparecer al e/terior usando di!erentes "P0s de las ue actualmente est usando$ 1e este modo# %() permite a una organi-aci.n ue no tiene direcciones globales conectarse a "nternet traduciendo esas direcciones$ %() tambi2n permite una mayor estrategia de renumeraci.n para organi-aciones ue estn cambiando de proveedores de servicio o ue voluntariamente estn ordenando sus direcciones$

A! i"a"iones de NAT
%() tiene varias aplicaciones seg3n los siguientes casos4 - Para conectarse a "nternet# pero no todos los hosts tienen una 3nica direcci.n "P global$ %() permite a redes ue usan direcciones "P privadas la cone/i.n a "nternet$ %() se con!igura en el router ue est en el l5mite entre la red interna y la p3blica# como "nternet$ %() traduce las direcciones locales internas a una 3nica direcci.n global antes de enviar pa uetes a la red e/terna$ - 6i es necesario cambiar las direcciones internas$ 7n lugar de cambiarlas# lo cual puede suponer un considerable aumento de traba,o# se traducen utili-ando %()$ - 6i se uiere hacer distribuci.n bsica de carga de tr!ico )8P$ 6e puede mapear una direcci.n "P global para varias direcciones "P locales usando la !acilidad de distribuci.n de carga$ 8omo soluci.n al problema de conectividad# %() es prctico cuando relativamente pocos hosts de una red interna se comunican con la red e/terna simultneamente$ 7n 2ste caso# s.lo un pe ue9o con,unto de direcciones "P de la red podrn ser traducidas a la global cuando la comunicaci.n con el e/terior sea necesaria# y estas direcciones pueden ser reusadas$

Benefi"io
:na venta,a signi!icativa del %() es ue puede estar con!igurado sin reali-ar cambios en hosts o en routers a parte de los pocos routrers en los ue se va a con!igurar %()$ %() no es prctico si un gran n3mero de hosts de la red interna se comunican con la red e/terna$ 1e todos modos# varias aplicaciones usan direcciones "P impl5citas de modo ue para %() es imposible traducir$ 7stas aplicaciones no pueden traba,ar transparentemente para el e uipo ue usa %()$ (dems# %() esconde la identidad de los hosts# lo cual puede ser una venta,a o desventa,a$
Fecha del documento 11-02-2007 Pgina 2 de 13 Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

:n router con!igurado con %() tendr por lo menos un inter!ace en el interior y otro en el e/terior$ 7n un escenario t5pico# %() se con!igura en el router entre la red interna y el bac'bone$ 8uando un pa uete sale de la red interna# %() traduce la direcci.n local como si !uera una global$ 8uando un pa uete entra# %() lo traduce de la red global a la local$ 6i e/iste ms de una via de salida# todo en %() tiene la misma tabla de translaci.n$ 6i el so!t&are no asigna una direcci.n por ue tiene ue !uncionar !uera de esas direcciones# tira el pa uete y env5a un pa uete "8;P de Host :nreachable$ :n router con!igurado con %() no debe anunciar las redes locales al e/terior$ 6in embargo# la in!ormaci.n de routing ue %() recibe del e/terior puede ser anunciada a la red interna$

Fecha del documento 11-02-2007

Pgina 3 de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

Ter#ino og$a NAT

7l t2rmino inside se re!iere a a uellas redes propiedad de una organi-aci.n ue deben ser traducidas$ 1entro de este dom5nio# los hosts tendrn direcciones internas# mientras ue en el e/terior# aparecern con otro rango de direcciones cuando %() est con!igurado$ 7l primer rango se re!iere a las direcciones locales y el segundo a las globales$ 1el mismo modo# outside se re!iere a a uellas redes con las ue uiere conectar la red interna# generalmente no estn ba,o el control de la organi-aci.n$ <os e uipos de las redes e/ternas pueden ser motivo de traslaci.n# y de este modo puede tener direcciones locales y globales$ 7n resumen# %() usa las siguientes de!iniciones4 - Inside o"a % <a direcci.n "P asignada a un e uipo de la red interna$ 7sta direcci.n probablemente no sea una direcci.n legal# asignada por el %"8 *%et&or' "n!ormation 8enter+ o por el proveedor de servicios$ - Inside g o&a % :na direcci.n "P legal *asignada por el %"8 o el proveedor de servicios+ ue representa a una o varias inside local hacia el mundo e/terior$ - Outside o"a % <a direcci.n "P de un e uipo ue aparece en la red interna$ %o tiene ue ser necesariamente legal# est asignada desde el rango de ruteo del interior$ - Outside g o&a % <a direcci.n "P asignada a un e uipo de la red e/terior por el due9o de los e uipos$ <a direcci.n ha sido asignad por el rango de ruteo global$

Fecha del documento 11-02-2007

Pgina = de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

CO'ANDOS DE DIRECCIONA'IENTO IP ()* i! nat

Para especi!icar ue a uel tr!ico originado o destinado por el inter!ace est2 sometido a %()# se usa el comando de con!iguraci.n i! nat) Para impedir ue ese inter!ace sea traducido con %()# se usa el comando de con!iguraci.n no i! nat) ip nat {inside | outside} no ip nat {inside | outside}

Des"ri!"i+n
Inside "ndica el inter!ace conectado a la red interna *la red sometida a %()+

Outside

"ndica el inter!ace conectado a la red e/terna$

,or#a de uso
6.lo los pa uetes ue se mueven entre los inter!ace >inside? y >outside? pueden ser traducidos$ 6e debe especi!icar por lo menos uno de cada en cada uno de los routers ue limitan con la red e/terior donde se uiera aplicar %()$

Fecha del documento 11-02-2007

Pgina @ de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

-)* Trans ating Inside Sour"e Addresses

8uando se establecen comunicaciones con redes e/ternas se puede traducir las direcciones "P propias a otra direcci.n para ser visto en el e/terior$ Hay dos tipos de translaci.n de direcciones "P4 esttica y dinmica4 -)(* Trans a"i+n est.ti"a% asigna una direcci.n "P global 3nica a una direcci.n "P de la red$ %ormalmente se usa cuando un e uipo necesita conectarse a otro de la red e/terna con una direcci.n !i,a$ Para con!igurar una translaci.n esttica de una direcci.n "P con origen interno se usan los siguientes comandos4 i! nat inside sour"e stati" local-ip global-ip44 7stablece la translaci.n entre una direcci.n local y una direcci.n global$ Interfa"e tipo-nmero 4 7speci!icar el inter!ace interno y n3mero$ I! nat inside4 ;arca al inter!ace como la cone/i.n interna$ Interfa"e tipo-nmero 4 7speci!icar el inter!ace e/terno y n3mero$ I! nat outside% ;arca el inter!ace como cone/i.n e/terna$

7l siguiente e,emplo muestra la translaci.n esttica de una direcci.n de origen 1A2$1BC$C2$B7 a una direcci.n global 10$@2$CA$B@$ ip nat inside source static 192.168.82.67 10.52.89.65 ! interface serial 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.1.94 255.255.255.0 ip nat inside -)- * Trans a"i+n din.#i"a% establece un mapeo entre direcciones internas locales y un pool de direcciones globales$ <os pa uetes ue provienen de un rango de direcciones englobado dentro de una access list sern traducidos a las direcciones globales de!inidas dentro del pool con el comando i! nat !oo ) Para con!igurar una translaci.n dinmica se usan los siguientes comandos4

Fecha del documento 11-02-2007

Pgina B de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

i! nat !oo nombre del pool + dir IP inicio + dir IP final net#ask mscara de red4 1e!ine un rango con las direcciones globales ue usar %()$ a""es* ist nmero de la access-list !er#it direccin IP origen + wildcard mask4 1e!ine una lista de acceso permitiendo a esas direcciones la translaci.n por %()$ i! nat inside sour"e ist access-list-number !oo nombre del pool 4 7stablece una translaci.n de origen dinmica# especi!icando la lista de acceso de!inida en el punto anterior$ interfa"e tipo nmero 4 7speci!ica el inter!ace interno$ i! nat inside4 ;arca el inter!ace como conectado al interior$ interfa"e tipo nmero 4 7speci!ica el inter!ace e/terno$ i! nat outside4 ;arca el inter!ace como conectado al e/terior$

7l siguiente e,emplo muestra la translaci.n de todas las direcciones de origen re!erents a la lista de acceso 1 *con direcci.n de origen 1A2$1BC$1$0D2=+ a una direcci.n del pool llamado net-20C$ 7l rango de direcciones del pool va desde la 171$BA$233$20C a 171$BA$233$233$ ip nat pool net-208 171.69.233.208 171.69.233.233 netmas 255.255.255.240 ip nat inside source list 1 pool net-208 ! interface serial 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 0 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255

Fecha del documento 11-02-2007

Pgina 7 de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

/)* O0er oad

8uando se re uiere ue las direcciones locales conserven las mismas direcciones del pool al hacer la translaci.n dinmica se usa el comando overload$ 8uando el overload est con!igurado# el router mantiene mucha ms in!ormaci.n sobre protocolos de niveles superiores# como n3meros de puertos )8P o :1P para traducir la direcci.n global de nuevo a la direcci.n local correcta$ Para con!igurar overload de las direcciones internas globales se usan los siguientes comandos4 - i! nat !oo nombre del pool + dir IP inicio + dir IP final net#ask mscara de red4 1e!ine un rango con las direcciones globales ue usar %()$ - a""es* ist nmero de la access-list !er#it direccin IP origen + wildcard mask4 1e!ine una lista de acceso permitiendo a esas direcciones la translaci.n por %()$ - i! nat inside sour"e ist nmero de la access-list !oo nombre del pool o0er oad 47stablece una translaci.n de origen dinmica# especi!icando la lista de acceso de!inida en el punto anterior$ - interfa"e tipo nmero 4 7speci!ica el inter!ace interno$ - i! nat inside4 ;arca el inter!ace como conectado al interior$ - interfa"e tipo nmero 4 7speci!ica el inter!ace e/terno$ - i! nat outside4 ;arca el inter!ace como conectado al e/terior$

Fecha del documento 11-02-2007

Pgina C de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

1)* Tradu"iendo Dire""iones So a!adas

<a vision general de %() trata de traducir direcciones "P# pero es posible tener direcciones "P ue no sean loegales# aun ue han sido asignadas o!icialmente$ Eui- sea posible escoger direcciones "P ue o!icialmente pertene-car a otra red$ Fste caso en ue una direcci.n es usada legal e ilegalmente seconoce como overlapping$ 6e puede usar %() para traducir direcciones internas ue se solapan con direcciones e/ternas$ 6e usa %() si las direcciones de una red casualmente coinciden con las legales de otra red# y hay necesidad de comunicar esas dos redes$ NA! !ranslatin" O#erlappin" Addresses

Fecha del documento 11-02-2007

Pgina A de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

2)* Pro0iding TCP Load Distri&ution

Gtro uso del %() no tiene relaci.n con las direcciones de "nternet$ Pongamos por e,emplo ue en una empresa tiene varios e uipos ue se necesitan comunicar con otro e uipo el cual tiene mucho uso$ 8on %()# se puede establecer un host virtual en la red interna ue coordina la carga a trav2s de hosts reales$ <as direcciones de destino relacionadas con una lista de acceso se reempla-an con direcciones del rango rotativo$ NA! !CP $oad %istri&ution

Para con!igurar la translaci.n rotativa de direcciones de destino se usan los siguientes comandos$ 7stos comandos permiten mapear un host virtual para varios hosts reales$ 8ada nueva sesi.n )8P abierta con el host virtual ser traducida en una sesi.n con un e uipo di!erente$ - i! nat !oo nombre + dir. Inicio + dir.final + net#ask mscara de red t3!e rotar34 1e!ine un rango de direcciones comprendidas en direcciones de hosts reales$ - a"ess* ist nmero de lista de acceso !er#it direccin fuente + wildcard mask 4 1e!ine una lista de acceso permitiendo la direcci.n del host virtual$ - i! nat inside destination ist nmero de lista de acceso !oo nombre 4 7stablece la translaci.n dinmica de destino interno# identi!icando la lista de acceso de!inida en el paso anterior$ - interfa"e tipo interface + nmero % 7speci!ica el inter!ace interno$ - i! nat inside4 ;arca el inter!ace como conectado al interior$ - interfa"e tipo interface + nmero % 7speci!ica el inter!ace interno$ - i! nat outside4 ;arca el inter!ace como conectado al e/terior$
Fecha del documento 11-02-2007 Pgina 10 de 13 Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

i! nat !oo real-hosts 1A2$1BC$1@$2 1A2$1BC$1@$1@ !refi4* engt5 2C t3!e rotar3 i! nat inside destination ist 2 !oo real-hosts H inter!ace serial 0 ip address 1A2$1BC$1@$12A 2@@$2@@$2@@$2=0 i! nat outside H inter!ace ethernet 0 ip address 1A2$1BC$1@$17 2@@$2@@$2@@$2=0 i! nat inside H a""ess* ist 2 !er#it 1A2$1BC$1@$1

Fecha del documento 11-02-2007

Pgina 11 de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

6)* Ca#&io de 0a or timeout !ara una trans a"i+n

Por de!ecto# la translaci.n dinmica de direcciones se detiene tras un cierto tiempo sin usar$ Fste tiempo se conoce como timeout# y su valor puede variarse si es necesario$ 8uando no est con!igurado el overload# el timeout se produce tras 2= horas de inactividad$ Para cambiar este valor se usa el siguiente comando4 - i! nat trans ation ti#eout nmero de segundos4 8uando se ha con!igurado la translaci.n de puerto# el control sobre los timeout de translaci.n debe ser ms !ino por ue cada entrada contiene ms conte/to sobre el tr!ico ue lo est usando$ - i! nat trans ation ud!*ti#eout nmero de segundos 4 @ minutos - i! nat trans ation dns*ti#eout nmero de segundos 4 1 minuto$ - i! nat trans ation t"!*ti#eout nmero de segundos 4 2= horas$ - i! nat trans ation i"#!*ti#eout nmero de segundos 4 1 minuto$ - i! nat trans ation s3n*ti#eout nmero de segundos 4 1 minuto

Fecha del documento 11-02-2007

Pgina 12 de 13

Revisado por

PRUEBAS BSICAS SEGN SERVICIO

CGP PLATA AAPP

BARCELONA

7)* 'onitori8a"i+n 3 'anteni#iento de NAT

Para el mantenimiento y monitori-aci.n del %() se pueden usar los siguientes comandos en modo 7I784 - " ear i! nat trans ation 94 limpia todas las entradas de translaciones dinmicas de direcciones de la tabla de translaci.n de %()$ - " ear i! nat trans ation inside global-ip local-ip Joutside local-ip global-ipK4 <impia una entrada de la translaci.n interna o ambas interna y e/terna$ - " ear i! nat trans ation outside local-ip global-ip 4 <impia una entrada de la translaci.n e/terna$ - " ear i! nat trans ation protocol inside global-ip global-port local-ip local-port Joutside local-ip local-port global-ip global-portK 4 <impia una entrada de una translaci.n dinmica e/tendida$ 6e puede obtener in!ormaci.n de la translaci.n usando los siguientes commandos4 - s5ow i! nat trans ations% ;uestra la translaciones activas$ - s5ow i! nat statisti"s% ;uestra las estad5sticas de las translaciones$

Fecha del documento 11-02-2007

Pgina 13 de 13

Revisado por