En el presente documento describiremos de manera detallada los pasos que seguim
os para configurar una red WAN basada en Dial-up. Dial-up nos permite tener conexi n a internet gracias a una linea telefnica de manera remota. La prctica se desarroll en el nodo de la Facultad de Tecnologa. OBJETIVOS General: Completar una topologa fsica y lgica, basada en Dial-up y comprobar su correcto f uncionamiento. Especficos: Utilizar los comandos adecuados para la configuracin de nuestra red. Aprender a aplicar servidores de autentificacin a nuestra topologa. Comprender la relacin que existe entre proveedor y usuario.
DESARROLLO DEL LABORATORIO Como grupo consideramos las siguientes etapas a seguir. Etapas 1) Comprobacin de conectividad y telnet. 2) Configuraciones de routers (de borde e interno) 3) Configuracin de modem y acceso remoto. 4) Configuracin de servidor RADIUS 5) Testeo de la conexin dial-up
Desarrollo 1) COMPROBACION DE CONECTIVIDAD Y TELNET
a) Topologa Fsica b) Topologa Lgica c) Pruebas de conectividad
2) CONFIGURACIONES DE ROUTERS
a) Creacin de usuarios b) Protocolos de enrutamiento (RIP V2 ) c) Habilitar conexin de los mdems
3) CONEXIN DE MODEM Y ACCESO REMOTO
a) Configuracin de modem de manera remota b) Configuracin de lnea
4) CONFIGURACION DE SERVIDOR RADIUS
a) Listas de comandos
5) TESTEO DE LA CONEXIN DIAL-UP a) Prueba de marcacin
COMPROBACION DE CONECTIVIDAD TELNET
TOPOLOGIA FISICA A continuacin los equipos que utilizamos para la topologa fsica. Se debe comprobar el correcto cableado y que los equipos estn encendidos.
TOPOLOGIA LOGICA LISTA DE COMANDOS Configuracin de Router: En este primer paso lo que hacemos es configurar el router para acceso remoto (teln et) con los comandos "line" y cambiamos el valor del registro con (config-register) al valor 0x2102,valor por defecto.
Configuramos las interfaces con las direcciones IP dadas, para tener conectividad en nuestra red. La cual ser la: 172.17.9.0 De esta partiremos para asignar direcciones para servidores, de la siguiente forma: La 172.17.9.10 - servidor radius La 172.17.9.2 -servidor NAS
PRUEBAS DE CONECTIVIDAD Una vez habilitado el telnet, comprobamos la conectividad haciendo un ping a nuestr a red remota, como se muestra a continuacin
Creacin de usuarios: Dado que la practica es de Dial-up, requerimos usuarios que debemos crear en los r outers. Para los cuales usaremos el comando "username". El usuario ser: - xsin, con password cisco. Asignacion de nombres a los routers: Para esto utilizaremos el comando "hostname".
PROTROCOLOS DE ENRUTAMIENTO (RIPV2) Para una topologa pequea como esta utilizamos enrutamiento esttico, RIPv2, deb ido a que nos facilitara la administracin de la misma.
HABILITAR LA CONEXIN CON MODEMS Los comandos siguientes nos permitirn habilitar ambos mdems, de manera indepe ndiente. Uno ser el proveedor y el otro el usuario.
CONFIGURACION DE MODEM DE MANERA REMOTA Y CONFIGURACION DE LI NEA Configuramos los modem de manera remota utilizando el router administrador.
CONFIGURACION DE SERVIDOR RADIUS Para configurar el radius utilizamos el sistema operativo Linux que estaba instalado p reviamente en el administrador.
ANEXOS Debido a que en la practica no llegamos al router por problemas de frontera, ofrecem os un apartado del traductor NAT que sera la solucin a este problema.
TRADUCTOR DE DIRECCIN DE RED (NAT)
INTRODUCCIN: Debido al rpido agotamiento de las direcciones IP versin 4, las empresas o diferen tes entidades trabajan con direcciones privadas que son invlidas al momento de qu erer acceder a una red externa, para ello requieren de direcciones pblicas que previ amente deben ser traducidas por un Traductor de Direccin de Red denominado NAT , que tambin ayuda con el control de informacin que se intercambia entre red inter na y externa. TRADUCTOR DE DIRECCIN DE RED (NAT): La "Traduccin de Direcciones de Red", Network Address Translation (NAT), es un m todo mediante el que las direcciones IP son mapeadas desde un dominio de direcci ones a otro, proporcionando encaminamiento transparente a las mquinas finales. Dentro de las variantes de NAT que existen, todas tiene el siguiente comn denomin ador Asignacin transparente de direcciones. Encaminamiento transparente mediante la traduccin de direcciones (aqu el encaminamiento se refiere al reenvo de paquetes, no al intercambio de informacin de encaminamiento). Traduccin de la carga til de los paquetes de error ICMP
APLICACIN: Se aplica en redes que fueron implementadas con direcciones IP privadas y necesita n tener un acceso a Internet, se debe solicitar a un proveedor un rango de direccione s vlidas para poder asociar dichas direcciones vlidas con los hosts que tengan dire cciones invlidas y necesiten salida a Internet. O tambin puede darse el caso que el proveedor slo asigne una direccin vlida a l a empresa, en esta situacin se configura a NAT para que diferentes hosts dentro de la empresa puedan acceder a Internet mediante esta nica IP vlida asignada por el proveedor. Estos problemas tambin pueden presentarse en redes caseras ms pequeas y so n una solucin factible para habilitar una conexin a Internet sin tener que hacer una reconfiguracin de la red interna. OPERACIN BSICA: Para que una red privada tenga acceso a Internet, el acceso debe ser por medio de un router que tenga configurado NAT para la traduccin de direcciones. Existen dos tipos de asignacin de direcciones: Asignacin esttica: La asignacin esttica de direcciones asegura que NAT no tiene que administr ar la gestin de direcciones con los flujos de sesin.
Figura 1: NAT esttico: cuando el host 192.168.0.2 enva un paquete al servidor 20 7.28.194.84 tiene en la cabecera de sus paquetes los datos mostrados en "A", al pas ar estos paquetes por el router NAT, los datos son modificados y llegan al servidor co n los datos mostrados en "B". Las relaciones de direcciones de la tabla del router so n puestas estticamente Asignacin dinmica: Cuando la ltima de las sesiones que use una direccin asociada termine, NA T liberar la asociacin para que la direccin global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignacin de direcciones es esp ecfica de cada implementacin de NAT. Figura 2: NAT dinmico: en este caso sucede lo mismo que en el anterior con las c abeceras de los paquetes que salen de "A", en este caso la tabla muestra una lista c on las direcciones vlidas disponibles para ser usadas, estas direcciones son asigna das dinmicamente a los hosts. 1.1 NAT tradicional: En un NAT tradicional, las sesiones son unidireccionales, salientes de la red privada. Las sesiones en la direccin opuesta pueden ser permitidas en una base excepcion al usando mapeos de direccin estticos para hosts preseleccionados. Existen dos v ariantes del NAT Tradicional: NAT Bsico y NAPT (Network Address Port Translation) . 1.1.1 NAT Bsico: La operacin de NAT Bsico funciona bsicamente cuando existe una zona con un c onjunto de direcciones de red privadas que puede ser habilitada para comunicarse c on una red externa mapeando dinmicamente el conjunto de direcciones privadas a un conjunto de direcciones de red vlidas globalmente. En caso de no existir direccio nes globales para cada una de las direcciones privadas, los nodos habilitados para t ener acceso simultneo a la red externa son limitados por el nmero de direcciones en el conjunto global. Las direcciones dentro de la zona son locales para este dominio y no son vlidas fue ra de l. De este modo, las direcciones dentro de la zona pueden ser reusadas por al guna otra. 1.1.2 NAPT (Traduccin de Direccin de Red y Puerto) NAPT permitira mapeos de tuplas del tipo (direcciones IP local, nmero de puerto T U local) a tipos del tipo (direccin IP registrada, nmero de puerto TU asignado). Es decir que la organizacin tiene una red que posee una IP privada y al router de la zo na de red se le asigna una nica direccin vlida globalmente en la conexin WAN. En este caso, a los nodos en la red privada se les puede permitir acceder simultnea mente a la red externa, usando la nica direccin IP registrada con la ayuda de NAP T. Este modelo debe ser extendido para permitir acceso entrante mapeando estticame nte un nodo local por cada puerto de servicio TU de la direccin IP registrada. 1.2 Fases de Traduccin: Ligando la direccin, con NAT Bsico, una direccin privada es ligada a una direccin externa, cuando la primera sesin saliente es iniciada desde el host privado. Despus de esto, todas las otras sesiones salientes originadas desde la misma direccin privada usarn la misma direccin unida por la traduccin de paquete. En el caso de NAPT, la unin sera desde la tupla de (direccin privada, puerto TU pr ivado) a la tupla de (direccin asignada, puerto TU asignado). Bsqueda y traduccin de direccin, Despus de que una unin de direccin o unin de tupla (direccin, puerto TU) en el caso de NAPT es establecida, se puede mantener un estado para cada una de las conexiones usando la unin.
Desligando la direccin, Cuando la ltima sesin basada en una unin de direccin o de tupla (direccin, puerto TU) es terminada, su unin puede ser terminada.
MANIPULACION DE CABECERAS: En el modelo NAT Bsico, el encabezado IP de todos los paquetes debe ser modific ado. Esta modificacin incluye la direccin IP, tanto como de origen y destino, y la su ma de control IP. Para las sesiones TCP y UDP, las modificaciones deben incluir actualizacin de la su ma de control en los encabezados TCP/UDP. Como una excepcin, los encabezados UDP con suma de control 0 no deben ser mo dificados. En el modelo NAPT, las modificaciones al encabezado IP son similares a las del mod elo NAT Bsico. Para las sesiones TCP/UDP, las modificaciones deben ser extendid as para incluir la traduccin del puerto TU (puerto TU origen para paquetes salientes y puerto TU destino para paquetes entrantes) en el encabezado TCP/UDP. El encab ezado ICMP en los paquetes de peticin ICMP deben tambin ser modificados para r eemplazar el ID de peticin y la suma de control del encabezado ICMP. La suma de control del encabezado ICMP debe ser corregida para contar la traduccin del ID de peticin. Estas son algunas de las modificaciones efectuadas: Ajuste de la suma de control, las modificaciones de NAT son por paquete y puede ser un cmputo muy intensivo, ello involucra una o ms modificaciones a la suma de control, inclusive para traducciones de un slo campo. Modificaciones al paquete de error ICMP, los cambios al mensaje de error ICMP incluirn cambios a los encabezados IP e ICMP en la capa saliente como bien cambios a los encabezados de los paquetes embebidos en la carga til del mensaje ICMP-error. Manipulando la opcin IP, un datagrama IP con una de las opciones IP de Registrar Ruta, Encaminamiento de Origen Fijo o Encaminamiento de Origen No Estricto involucrara registro o uso de direcciones IP de routers intermedios. Un router NAT intermedio puede elegir no soportar estas opciones o dejar las direcciones sin traducir mientras que si procesa las opciones. El resultado de dejar las direcciones sin traducir sera que direcciones privadas a lo largo del encaminamiento origen son expuestas de extremo a extremo. En general, NAT no debera trabajar con ninguna aplicacin que enve direcciones IP o puertos como datos NAT CON MLTIPLES DIRECCIONES: La configuracin NAT con mltiples direcciones se refiere al NAPT mediante el cual s e pueden tener varias direcciones globales asignadas a la red y por cada direccin p ueden salir grupos de hosts a redes externas. En la configuracin NAT Bsico, cuando los nodos de la red privada agotan las direc ciones globales disponibles para el mapeo, el acceso a la red externa para algunos d e los nodos locales es abruptamente cortado cuando la ltima direccin IP vlida de l a lista fue asignada. Esto es un inconveniente y puede ser evitado permitiendo que el router NAT Bsico pueda conmutar a una configuracin NAPT para la ltima direccin global de la lista de direcciones. Haciendo esto asegurar que los hosts de la red privada tengan cont inuidad en el acceso a los nodos externos y servicios para la mayora de las aplicaci ones.
CONFIGURACIN: A continuacin presentaremos los pasos a seguir para configurar NAT esttico, din mico y NAPT. Configuracin NAT esttico: Definir el mapeo de las direcciones estticas: - ip nat inside source static local-ip global-ip - ip nat inside source static network local-network global-network mask Especificar la interfaz interna - ip nat inside Especificar la interfaz externa - ip nat outside
Configuracin NAT dinmico: Crear un conjunto de direcciones globales: - ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix- length} Crear una ACL que identifique a los hosts para la traslacin - access-list access-list-number permit source {source-wildcard} Configurar NAT dinmico basado en la direccin origen - ip nat inside source list access-list-number pool name Especificar la interfaz interna - ip nat inside Especificar la interfaz externa - ip nat outside
Ejemplo:
R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R# show ip nat translations
Configuracin NAPT: Crear un conjunto de direcciones globales (puede ser una sola direccin): - ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix- length} Crear una ACL que identifique a los hosts para la traslacin - access-list access-list-number permit source {source-wildcard} Configurar PAT basado en la direccin origen - ip nat inside source list access-list-number pool name overload Especificar la interfaz interna - ip nat inside Especificar la interfaz externa - ip nat outside
Ejemplo: Usaremos hasta 30 direcciones internas globales, cada una de las cuales hace NAP T
R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc overload R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R# show ip nat translations
En el caso de que no haya un conjunto de direcciones globales podemos usar la dire ccin asignada a la interface "s0" de la siguiente manera: R(config)# ip nat inside source list 2 interface s0 overload
Verificacin de una configuracin NAT Usamos los siguientes comandos para verificar que la configuracin NAT es correcta (desde modo privilegiado): show ip nat translations show ip nat translations verbose show ip nat statistics debug ip nat (no debug ip nat) clear ip nat translations elimina todas las traslaciones NAT
CONCLUSIONES: NAT, detuvo el agotamiento de las direcciones IP vlidas, porque permite que varios hosts dentro de una red privada, tengan acceso a Internet con slo usar unas pocas direcciones IP vlidas. Ventaja que brinda el tiempo necesario en la etapa de transici n entre IPv4 e IPv6. Otra ventaja de NAT es que provee cierta seguridad a un router que este configurado con este traductor, ya que los hosts externos a la red no conocen las direcciones ver daderas de los hosts que se encuentran dentro de la red privada, haciendo que sea difcil poder realizar un ataque desde hosts externos. Una desventaja de NAPT es cuando se debe traducir paquetes fragmentados TCP/U DP, slo el primer fragmento contiene el encabezado TCP/UDP que sera necesario para asociar el paquete a una sesin para la traduccin. El problema surge cuando e xisten dos hosts de la red privada que utilizaron el mismo identificador de fragmentac in, cuando estos llegan al host destino, este es incapaz de identificar cual de ambas sesiones pertenece a cada datagrama, por ende, lavas sesiones se corrompen.