UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLGICOS COORDINACIN DE COMPUTACIN

PRACTICA 12 CICLO 02/2013 MATERIA: PROFESOR: TEMA: SEMANA: Redes de rea amplia Ing. Rene Tejada, Tec. Manuel Guandique, Tec. Mario Brito Configuracin de NAT, PAT y DHCP . del 21 al 26 octubre del 2013

I. OBJETIVOS: Configurar de NAT estatico, NAT dinamico y NAT dinamico con sobrecarga Configurar PAT Configurar DHCP

II. MATERIALES Y EQUIPO Detalle de materiales didcticos y equipos REQUERIMIENTO Gua de trabajo N 12 Configuracin de NAT, PAT y DHCP Estacin de trabajo de PC con sistema operativo Linux Centos o Windows 7 Simulador Cisco Packet Tracer instalado.

N 1 2 3

Cantidad 1 1 1

III. PROCEDIMIENTO.
1. Armar la siguiente topologa en el simulador.

NOTA: En esta configuracin ambas interfaces del router ISP usarn cables DCE.

2. Configuracin de los routers a. Configuracin para Empresa1: Router# configure terminal Router(config)# hostname Empresa1 Empresa1(config)# enable secret cisco Empresa1(config)# line vty 0 4 Empresa1(config-line)# password remoto Empresa1(config-line)# login Empresa1(config-line)# exit Empresa1(config)# interface f0/0 Empresa1(config-if)# ip address 192.168.1.1 255.255.255.0 Empresa1(config-if)# no shutdown Empresa1(config-if)# exit Empresa1(config)# interface s0/0 Empresa1(config-if)# ip address 168.243.3.129 255.255.255.252 Empresa1(config-if)# no shutdown Empresa1(config-if)# exit Empresa1(config)# router rip Empresa1(config)# version 2 Empresa1(config-router)# network 168.243.3.128 Empresa1(config-router)# exit Empresa1(config)# exit Empresa1# copy running-config startup-config

b. Configuracin para Empresa2: Router# configure terminal 2

Router(config)# hostname Empresa2 Empresa2(config)# enable secret cisco Empresa2(config)# line vty 0 4 Empresa2(config-line)# password remoto Empresa2(config-line)# login Empresa2(config-line)# exit Empresa2(config)# interface f0/0 Empresa2(config-if)# ip address 192.168.2.1 255.255.255.0 Empresa2(config-if)# no shutdown Empresa2(config-if)# exit Empresa2(config)# interface s0/0 Empresa2(config-if)# ip address 168.243.3.133 255.255.255.252 Empresa2(config-if)# no shutdown Empresa2(config-if)# exit Empresa2(config)# router rip Empresa2(config)# version 2 Empresa2(config-router)# network 168.243.3.132 Empresa2(config-router)# exit Empresa2(config)# exit Empresa2# copy running-config startup-config c. Configuracin para ISP: Router# configure terminal Router(config)# hostname ISP ISP(config)# enable secret cisco ISP(config)# line vty 0 4 ISP(config-line)# password remoto ISP(config-line)# login ISP(config-line)# exit ISP(config)# interface f0/0 ISP(config-if)# ip address 10.0.0.1 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# interface s0/0 ISP(config-if)# ip address 168.243.3.130 255.255.255.252 ISP(config-if)# clockrate 1000000 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# interface s0/1 ISP(config-if)# ip address 168.243.3.134 255.255.255.252 ISP(config-if)# clockrate 1000000 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# router rip ISP(config)# version 2 ISP(config-router)# network 10.0.0.0 ISP(config-router)# network 168.243.3.132 ISP(config-router)# network 168.243.3.128 ISP(config-router)# exit ISP(config)# exit ISP# copy running-config startup-config 3. Configure las estaciones de trabajo y el WebServer: a. PC11: Direccin IP: 192.168.1.2, mscara de subred: 255.255.255.0, gateway: 192.168.1.1 b. PC21: Direccin IP: 192.168.2.2, mscara de subred: 255.255.255.0, gateway: 192.168.2.1 3

c. WebServer: Direccin IP: 10.0.0.2, mscara de subred: 255.255.255.0, gateway: 10.0.0.1 4. Verificacin del esquema. a. Verificar las tablas de enrutamiento de los enrutadores Empresa1 y Empresa2. Usando el comando show ip route. b. Verificar la tabla de enrutamiento del enrutador ISP. Notar que debido al carcter de redes privadas que tienen las LAN soportadas en los enrutadores Empresa, las redes 192.168.1.0/24 y 192.168.2.0/24, no aparecern en la tabla de ISP. c. Realizar las siguientes pruebas con la herramienta PING desde las estaciones de trabajo y el web server (se anotan a continuacin de cada prueba el resultado que debera obtenerse, comprelo con sus propios resultados: - Ping desde: PC11 ; hacia: 192.168.1.1 ; resultado: prueba exitosa - Ping desde: PC21 ; hacia: 192.168.2.1 ; resultado: prueba exitosa - Ping desde: PC11 ; hacia: 10.0.0.2 ; resultado: tiempo de espera agotado - Ping desde: PC21 ; hacia: 10.0.0.2 ; resultado: tiempo de espera agotado - Ping desde: WebServer ; hacia: 10.0.0.1 ; resultado: prueba exitosa - Ping desde: WebServer ; hacia: 168.243.3.129 ; resultado: prueba exitosa - Ping desde: WebServer ; hacia: 168.243.3.133 ; resultado: prueba exitosa - Ping desde: WebServer ; hacia: 192.168.1.2 ; resultado: host de destino inaccesible - Ping desde: WebServer ; hacia: 192.168.2.2 ; resultado: host de destino inaccesible Nuevamente se hace la aclaracin. Los fallos al realizar las pruebas Ping entre las estaciones de trabajo y el servidor, y viceversa, son un comportamiento normal, ya que el enrutador ISP desconoce la existencia de las redes locales de Empresa1 y Empresa2. La comunicacin entre estas redes se lograr usando NAT o PAT.

Configuracin de NAT esttico en enrutador Empresa1 .

a. Asignacin de una red IP pblica para realizar el proceso de traduccin. Las direcciones de carcter pblico que se asignarn en el enrutador Empresa1 se tomarn del rango siguiente 199.6.13.8 / 29

b. Configuracin de una direccin pblica en el enrutador Empresa1: Empresa1# configure terminal Empresa1(config)# interface loopbak 0 Empresa1(config-if)# ip address 199.6.13.9 255.255.255.248 Empresa1(config-if)# exit Empresa1(config)# router rip Empresa1(config)# version 2 Empresa1(config-router)# network 199.6.13.8 Empresa1(config-router)# exit Empresa1(config)# CTRL+Z c. Configuracin de NAT esttico para la direccin asignada a la PC11: Empresa1# configure terminal Empresa1(config)# ip nat inside source static 192.168.1.2 199.6.13.10 Empresa1(config)# interface f0/0 Empresa1(config-if)# ip nat inside Empresa1(config-if)# exit Empresa1(config)# interface s0/0 Empresa1(config-if)# ip nat outside Empresa1(config-if)# exit 4

Empresa1(config)# CTRL+Z Con los comandos anteriores se logra que cada vez que un paquete llegue a la interface f0/0 de Empresa1, y este necesite ser enviado a redes externas por medio de la s0/0, se traduzca su direccin privada a la pblica 199.6.13.10.

d. Pruebas de conectividad. Realizr las siguientes pruebas y confrontar con sus resultados. Ping desde: PC11 ; hacia: 10.0.0.2 ; resultado: prueba exitosa Ping desde: WebServer ; hacia: 192.168.1.2 ; resultado: host de destino inaccesible Ping desde: WebServer ; hacia: 199.6.13.10 ; resultado: prueba exitosa Nota: Aun con el uso de NAT no es posible hacer Ping directamente a direcciones privadas (ese es el prctica), pero si se puede acceder a la PC11 a travs de su direccin pblica. e. Revise el estado de las traducciones en el enrutador Empresa1. Use el comando siguiente: Empresa1# show ip nat translation objetivo de la

Configuracin de traducciones dinmicas en enrutador Empresa1

a. Agregue una nueva PC (PC12) y configure la siguiente direccin IP: 192.168.1.3 (para ello haga uso de un HUB). Guardar la configuracin del router, desde este punto ya no guardar la configuracin para no tener que repetir pasos b. Repita las pruebas de conectividad del apartado (d) del paso 5. Notar como al intentar acceder a redes externas con otras direcciones privadas, esto no es posible, y si se mantiene el esquema de traduccin esttica, sera necesario crear una traduccin para cada direccin privada de manera manual e individual. c. Para solventar esta situacin, activaremos una traduccin basada en un grupo de direcciones pblicas, que sern asignadas dinmicamente por orden de llegada con respecto a las privadas. Primero eliminamos la traduccin esttica creada con anterioridad. Empresa1# configure terminal Empresa1(config)# no ip nat inside source static 192.168.1.2 199.6.13.10 Empresa1(config)# exit Empresa1# clear ip nat translation * Empresa1# show ip nat translation Al ejecutar el comando show de la ltima lnea podr verificar que la traduccin esttica ya no existe el comando clear ip nat translation * elimina el contenido de la tabla. (eso se debe a que

d. Creacin del grupo (pool) de direcciones pblicas: Empresa1# configure terminal Empresa1(config)# ip nat pool grupo1 199.6.13.10 199.6.13.13 netmask 255.255.255.248 Empresa1(config)# CTRL+Z e. Creacin de una lista de acceso estndar que permita comparar las direcciones de origen (privadas) y decidir si luego estas sern traducidas a direcciones pblicas. En este caso incluiremos en el derecho a ser traducidas a toda la red 192.168.1.0 / 24 Empresa1# configure terminal Empresa1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Empresa1(config)# CTRL+Z

La lista de acceso anterior NO SE DEBE APLICAR a ninguna interface. Recuerde que esta ACL se usa solo para efectos de comparar el origen de los paquetes y tomar la decisin sobre la traduccin. No se usa la lista de acceso para afectar al trfico entrante o saliente en las interfaces involucradas en la traduccin. 5

f. Ahora se configurar la traduccin dinmica con base en el pool y la lista de acceso creadas previamente. EMPRESA1# configure terminal EMPRESA1(config)# ip nat inside source list 1 pool grupo1 EMPRESA1(config)# CTRL+Z No es necesario volver a definir el sentido de la traduccin (inside / outside), ya que si recuerda eso ya se haba configurado en la traduccin esttica y no debe cambiar (f0/0 inside ; s0/0 outside). g. Haga una prueba Ping desde PC12 hacia 10.0.0.2. En este caso la traduccin se llevar a cabo correctamente obtendr una respuesta exitosa. Revise de nuevo el estado de las traducciones usando el comando y se

show ip nat translation

h. Veamos que sucede cuando las traducciones requeridas exceden el nmero de direcciones pblicas que comprenden el pool. Hacer lo siguiente: - Agregar una nueva PC y asignarle la ip 192.168.1.4 ; haga ping a: 10.0.0.2 ; revise las traducciones Notar que se crea una nueva traduccin por cada IP privada que necesita acceso a redes externas - Agregar una nueva PC y asignarle la ip 192.168.1.5 ; haga ping a: 10.0.0.2 ; revise las traducciones - Agregar una nueva PC y asignarle la ip 192.168.1.6 ; haga ping a: 10.0.0.2 ; En este ltimo caso podr notar que la prueba Ping no tiene xito. Esto se debe a que el pool de direcciones pblicas (de 199.6.13.10 hasta 199.6.13.13) se ha agotado. i. Limpie las traducciones con el comando siguiente: EMPRESA1# clear ip nat translation * j. Ahora nuevamente realice la prueba ping desde la pc que dio resultado no exitoso en el paso anterior. Ahora si se tendr xito. Revise el estado de las traducciones, para confirmar que las anteriores fueron eliminadas y ahora solo queda la que se necesito para la direccin 192.168.1.6 k. Reiniciar el enrutador EMPRESA1 (asegrese que la nica configuracin guardada sea la realizada hasta el literal (a) del paso 2 de esta seccin). La configuracin bsica servir para la seccin de DHCP, y no debe haber ninguna configuracin de NAT para ese momento.

Configuracin de PAT en enrutador EMPRESA2

a. Imaginemos una situacin similar a la que presenta el enrutador EMPRESA1. Se tiene un rango de direcciones pblicas limitado: 201.100.11.16 / 29 b. En este caso las condiciones se vuelven crticas, ya que las direcciones pblicas existentes, tambin sern distribuidas entre ciertos servidores y estaciones de trabajo de la LAN soportada por EMPRESA2, de la siguiente manera: Direccin: 201.100.11.17 ; asignada a: Interface loopback 0 de enrutador EMPRESA2 Direccin: 201.100.11.18 ; asignada a servidor web de EMPRESA2 Direccin: 201.100.11.19 ; asignada a servidor ftp de EMPRESA2 Direccin: 201.100.11.20 ; asignada a servidor de correo electrnico de EMPRESA2 Las suposiciones anteriores reducen nuestro pool a dos direcciones. Veamos como es posible solventar este problema usando PAT. c. Configuracin previa a PAT en enrutador EMPRESA2: EMPRESA2# configure terminal EMPRESA2(config)# interface loopback 0 EMPRESA2(config-if)# ip address 201.100.11.17 255.255.255.248 EMPRESA2(config-if)# exit EMPRESA2(config)# router rip 6

EMPRESA2(config-router)# network 201.100.11.0 EMPRESA2(config-router)# exit EMPRESA2(config)# CTRL+Z d. Configuracin de PAT (NAT Overloaded) EMPRESA2# configure terminal EMPRESA2(config)# ip nat pool grupo2 201.100.11.21 201.100.11.22 netmask 255.255.255.248 EMPRESA2(config)# access-list 2 permit 192.168.2.0 0.0.0.255 EMPRESA2(config)# ip nat inside source list 2 pool grupo2 overloaded EMPRESA2(config)# interface f0/0 EMPRESA2(config-if)# ip nat inside EMPRESA2(config-if)# exit EMPRESA2(config)# interface s0/0 EMPRESA2(config-if)# ip nat outside EMPRESA2(config)# CTRL+Z e. Pruebas de conectividad. Pruebe con Ping, y despus de cada prueba revise el estado de las traducciones EMPRESA2. Ping desde: PC21; hacia: 10.0.0.2 ; resultado: prueba exitosa Agregar una nueva pc y asignarle la ip: 192.168.2.3 ; haga Ping hacia: 10.0.0.2 ; resultado: prueba exitosa Agregar una nueva pc y asignarle la ip: 192.168.2.4 ; haga Ping hacia: 10.0.0.2 ; resultado: prueba exitosa Notara que al usar la sobrecarga en la traduccin de direcciones de forma dinmica, ya no hay mayores problemas nuestro pool de direcciones pblicas es mas pequeo que el nmero real de direcciones privadas a traducir. en

si

8. Reiniciar el enrutador EMPRESA2. Solamente debe quedar guardada al configuracin inicial bsica, ya que a continuacin se desarrollar la seccin de DHCP (no debe haber ninguna configuracin de NAT o PAT para poder comenzar dicha seccin).

CONFIGURACIN DE DHCP
9. Configuracin previa a DHCP a. Cambie la configuracin TCP/IP de las PC de la LAN de Empresa1 de modo que obtenga los valores de configuracin de forma automtica b. Tambin cambie la configuracin de las PC de la LAN de Empresa2, para que obtenga direccin y otros parmetros automticamente. c. Incluya las redes LAN de los enrutadores EMPRESA1 y EMPRESA2 a los respectivos procesos de enrutamiento (en este caso no sern tratadas como privadas) EMPRESA1# configure terminal EMPRESA1(config)# router rip EMPRESA1(config-router)# network 192.168.1.0 EMPRESA1(config-router)# exit EMPRESA1(config)# CTRL+Z EMPRESA2# configure terminal EMPRESA2(config)# router rip EMPRESA2(config-router)# network 192.168.2.0 EMPRESA2(config-router)# exit EMPRESA2(config)# CTRL+Z

10. Configuracin de un scope para la LAN de EMPRESA1 a. En el enrutador Empresa1 crearemos una rango de direcciones que se asignarn a las maquinas solicitantes en la LAN 192.168.1.0 / 24 Empresa1# configure terminal Empresa1(config)# ip dhcp pool empresa1 Empresa1(dhcp-config)# network 192.168.1.0 255.255.255.0 Empresa1(dhcp-config)# exit Empresa1(config)# CTRL+Z

b. En la PC11,use el comando ipconfig. Note que al conseguir la informacin solamente los parmetros bsicos (direccin y mscara de subred) son ofrecidos por el servidor DHCP. En el enrutador Empresa1 puede verificar los leases activos con el comando: ISP# show ip dhcp binding d. Si se desea se puede excluir un espacio de direcciones dentro de un pool (por ejemplo para usar las primeras 20 direcciones de forma manual). Esto puede hacerlo as: Empresa1# configure terminal Empresa1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.20 Empresa1(config)# CTRL+Z

Ahora forzar a las PC de la LAN que tomen nuevamente una direccin para ver el efecto de esta exclusin de direcciones.

11. Configurar un scope para la LAN de EMPRESA2 utilizando mas opciones de informacin a. Configuracin en enrutador Empresa2: Empresa2# configure terminal Empresa2(config)# ip dhcp pool empresa2 Empresa2(dhcp-config)# network 192.168.2.0 255.255.255.0 Empresa2(dhcp-config)# default-router 192.168.2.1 Empresa2(dhcp-config)# dns-server 192.168.2.250 Empresa2(dhcp-config)# exit Empresa2(config)# CTRL+Z b. Y en este caso excluiremos dos rangos de direcciones dentro del pool Empresa2# configure terminal Empresa2(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.20 Empresa2(config)# ip dhcp excluded-address 192.168.2.240 192.168.2.254 Empresa2(config)# CTRL+Z c. Verificar los parmetro obtenidos en las PC de la LAN de Empresa2. Con el comando ipconfig /all, muestra todos los parmetros obtenidos del dhcp.

Guarde los cambios en la simulacin y muestre la simulacin a su instructor.

Apague la computadora.