Está en la página 1de 68

20/5/2015 Protocolos de tnel VPN

Alusarestesitioaceptaelusodecookiesparaanlisis,contenidopersonalizadoypublicidad. Saberms

ProtocolosdetnelVPN
Seaplicaa:WindowsServer2008

Lostnelespermitenlaencapsulacindeunpaquetedeuntipodeprotocolodentrodeldatagramaaunprotocolodiferente.Porejemplo,VPNusaPPTPpara
encapsularpaquetesIPatravsdeunaredpblica,comoInternet.EsposibleconfigurarunasolucinVPNbasadaenelprotocolodetnelpuntoapunto(PPTP),
elprotocolodetneldecapados(L2TP)oelprotocolodetneldesocketsseguros(SSTP).

PPTP,L2TPySSTPdependenengranmedidadelascaractersticasespecificadasoriginalmenteparaelprotocolopuntoapunto(PPP).PPPsedisepara
enviardatosatravsdeconexionespuntoapuntodeaccesotelefnicoodedicadas.ParaIP,PPPencapsulalospaquetesIPdentrodetramasPPPyluego
transmitelospaquetesPPPencapsuladosatravsdeunvnculopuntoapunto.PPPsedefinioriginalmentecomoelprotocoloquedebausarseentreuncliente
deaccesotelefnicoyunservidordeaccesoalared.

PPTP
PPTPpermitequeeltrficomultiprotocolosecifreyseencapsuleenunencabezadoIPparaque,deestemodo,seenveatravsdeunaredIPounaredIP
pblica,comoInternet.PPTPpuedeutilizarseparaelaccesoremotoylasconexionesVPNentresitios.CuandoseusaInternetcomolaredpblicadeunaVPN,
elservidorPPTPesunservidorVPNhabilitadoparaPPTPconunainterfazenInternetyunasegundainterfazenlaintranet.

Encapsulacin
PPTPencapsulalastramasPPPendatagramasIPparasutransmisinatravsdelared.PPTPusaunaconexinTCPparalaadministracindeltnelyuna
versinmodificadadeGRE(encapsulacindeenrutamientogenrico)paraencapsularlastramasPPPdelosdatosenviadosatravsdeltnel.Lascargasdelas
tramasPPPencapsuladaspuedencifrarse,comprimirseoambascosas.EnlasiguienteilustracinsemuestralaestructuradeunpaquetePPTPquecontieneun
datagramaIP.

EstructuradeunpaquetePPTPquecontieneundatagramaIP

Cifrado
LatramaPPPsecifraconMPPE(cifradopuntoapuntodeMicrosoft)medianteelusodeclavesdecifradogeneradasapartirdelprocesodeautenticacinMS
CHAPv2oEAPTLS.LosclientesdelaredprivadavirtualdebenusarelprotocolodeautenticacinMSCHAPv2oEAPTLSparapodercifrarlascargasdelas
tramasPPP.PPTPaprovechaelcifradoPPPsubyacenteyencapsulaunatramaPPPpreviamentecifrada.

L2TP
L2TPpermitecifrareltrficomultiprotocoloyenviarloatravsdecualquiermediocompatibleconlaentregadedatagramaspuntoapunto,comoIPoATM(modo
detransferenciaasincrnico).L2TPesunacombinacindePPTPyL2F(reenvodenivel2),unatecnologadesarrolladaporCiscoSystems,Inc.L2TPpresenta
lasmejorescaractersticasdePPTPyL2F.

AdiferenciadePPTP,laimplementacindeMicrosoftdeL2TPnousaMPPEparacifrarlosdatagramasPPP.L2TPsebasaenIPsec(protocolodeseguridadde
Internet)enmododetransporteparalosserviciosdecifrado.LacombinacindeL2TPeIPsecsedenominaL2TP/IPsec.

TantoelclientecomoelservidorVPNdebensercompatiblesconL2TPeIPsec.LacompatibilidaddelclienteconL2TPestintegradaenlosclientesdeacceso
remotodeWindowsVistayWindowsXPylacompatibilidaddelservidorVPNconL2TPestintegradaenlosmiembrosdelasfamiliasde
WindowsServer2008yWindowsServer2003.

L2TPseinstalaconelprotocoloTCP/IP.

Encapsulacin
LaencapsulacindelospaquetesL2TP/IPsecconstadedosniveles:

Primernivel:encapsulacinL2TP
UnatramaPPP(undatagramaIP)seencapsulaconunencabezadoL2TPyunencabezadoUDP.

EstructuradeunpaqueteL2TPquecontieneundatagramaIP

Segundonivel:encapsulacinIPsec
ElmensajeL2TPseencapsulaconunencabezadoyunfinalizadorESP(cargadeseguridadencapsuladora)IPsec,unfinalizadordeautenticacinIPsecque
proporcionaintegridadyautenticacindemensajeyunencabezadoIPfinal.EnelencabezadoIPseencuentranlasdireccionesIPdeorigenydestinoque
correspondenalclienteyalservidorVPN.

CifradodetrficoL2TPconESPIPsec

https://technet.microsoft.com/es-es/library/cc771298(d=printer,v=ws.10).aspx 1/2
20/5/2015 Protocolos de tnel VPN

Cifrado
ElmensajeL2TPsecifraconDES(estndardecifradodedatos)o3DES(TripleDES)medianteelusodelasclavesdecifradogeneradasenelprocesode
negociacindeIKE(intercambiodeclavesporred).

SSTP
Elprotocolodetneldesocketsseguros(SSTP)esunnuevoprotocolodetnelqueusaelprotocoloHTTPSatravsdelpuertoTCP443parahacerpasarel
trficoatravsdefirewallsyproxieswebquepodranbloqueareltrficoPPTPyL2TP/IPsec.SSTPproporcionaunmecanismoparaencapsulareltrficoPPPa
travsdeuncanalSSL(capadesocketsseguros)delprotocoloHTTPS.ElusodePPPpermitelacompatibilidadconmtodosdeautenticacinseguros,como
EAPTLS.SSLproporcionaseguridaddeniveldetransporteconnegociacindeclavesmejorada,cifradoycomprobacindeintegridad.

CuandounclientetratadeestablecerunaconexinVPNbasadaenSSTP,loprimeroquehaceSSTPesestablecerunnivelHTTPSbidireccionalconelservidor
SSTP.AtravsdeestenivelHTTPS,lospaquetesdelprotocolosetransmitencomolacargadedatos.

Encapsulacin
SSTPencapsulalastramasPPPendatagramasIPparasutransmisinatravsdelared.SSTPusaunaconexinTCP(atravsdelpuerto443)parala
administracindeltnel,ascomotramasdedatosPPP.

Cifrado
ElmensajeSSTPsecifraconelcanalSSLdelprotocoloHTTPS.

Seleccindeprotocolosdetnel
AlahoradeelegirentrelassolucionesVPNdeaccesoremotobasadasenPPTP,L2TP/IPsecySSTP,tengaencuentalossiguientesaspectos:

PPTPpuedeutilizarsecondiversosclientesdeMicrosoft,comoMicrosoftWindows2000,WindowsXP,WindowsVista,yWindowsServer2008.Al
contrarioqueL2TP/IPsec,PPTPnorequiereelusodeunainfraestructuradeclavepblica(PKI).Graciasalcifrado,lasconexionesVPNbasadasenPPTP
proporcionanconfidencialidaddedatos(lospaquetescapturadosnopuedeninterpretarsesinlaclavedecifrado).Sinembargo,lasconexionesVPN
basadasenPPTPnoofrecenintegridaddedatos(pruebasdequelosdatosnosemodificarondurantesutrnsito)niautenticacindelorigendedatos
(pruebasdequelosdatosfueronenviadosporelusuarioautorizado).

L2TPslopuedeusarseenequiposclientequeejecutenWindows2000,WindowsXPoWindowsVista.L2TPadmitecertificadosdeusuarioounaclave
previamentecompartidacomomtododeautenticacinparaIPsec.Laautenticacindecertificadosdeequipo,queeselmtododeautenticacin
recomendado,requiereunaPKIparaemitircertificadosdeequipoalservidorVPNyatodoslosequiposclienteVPN.GraciasaIPsec,lasconexionesVPN
basadasenL2TP/IPsecproporcionanconfidencialidad,integridadyautenticacindedatos.

AdiferenciadePPTPySSTP,L2TP/IPsecpermitelaautenticacindeequiposenelnivelIPsecylaautenticacindeusuarioenelnivelPPP.

SSTPslopuedeusarseconequiposclientequeejecutenWindowsVistaServicePack1(SP1)oWindowsServer2008.GraciasaSSL,lasconexiones
VPNbasadasenSSTPproporcionanconfidencialidad,integridadyautenticacindedatos.

LostrestiposdetnelestransportanlastramasPPPsobrelapiladeprotocolosdered.Porlotanto,lascaractersticascomunesdePPP,comolos
esquemasdeautenticacin,lanegociacindelosprotocolosdeInternetversin4(IPv4)yversin6(IPv6),ylaproteccindeaccesoaredes(NAP),no
sufrenvariacionesenlostrestiposdetneles.

Referenciasadicionales
PPTPaparecedocumentadoenRFC2637enlabasededatosdeRFCdeIETF(puedeestareningls)

L2TPaparecedocumentadoenRFC2661enlabasededatosdeRFCdeIETF(puedeestareningls)

L2TP/IPsecaparecedocumentadoenRFC3193enlabasededatosdeRFCdeIETF(puedeestareningls)

Adicionesdecomunidad

2015Microsoft

https://technet.microsoft.com/es-es/library/cc771298(d=printer,v=ws.10).aspx 2/2
20/5/2015 Configure the Network Access Server
Alusarestesitioaceptaelusodecookiesparaanlisis,contenidopersonalizadoypublicidad. Saberms

ConfiguretheNetworkAccessServer
Actualizado:marzode2008

Seaplicaa:WindowsServer2008,WindowsServer2008R2

UsethisproceduretoconfigurenetworkaccessserversforusewithNPS.Whenyoudeploynetworkaccessservers(NASs)asRADIUSclients,youmust
configuretheclientstocommunicatewiththeNPSserverswheretheNASsareconfiguredasclients.

ThisprocedureprovidesgeneralguidelinesaboutthesettingsyoushouldusetoconfigureyourNASsforspecificinstructionsonhowtoconfigurethedeviceyou
aredeployingonyournetwork,seeyourNASproductdocumentation.

Administrativecredentials

Tocompletethisprocedure,youmustbeamemberoftheAdministratorsgroup.

Toconfigurethenetworkaccessserver
1. OntheNAS,inRADIUSsettings,selectRADIUSauthenticationonUserDatagramProtocol(UDP)port1812andRADIUSaccountingonUDPport
1813.

2. InAuthenticationserverorRADIUSserver,specifyyourNPSserverbyIPaddressorfullyqualifieddomainname(FQDN),dependingontherequirements
oftheNAS.

3. InSecretorSharedsecret,typeastrongpassword.WhenyouconfiguretheNASasaRADIUSclientinNPS,youwillusethesamepassword,sodonot
forgetit.

4. IfyouareusingPEAPorEAPasanauthenticationmethod,configuretheNAStouseEAPauthentication.

5. Ifyouareconfiguringawirelessaccesspoint,inSSID,specifyaServiceSetIdentifier(SSID),whichisanalphanumericstringthatservesasthenetwork
name.Thisnameisbroadcastbyaccesspointstowirelessclientsandisvisibletousersatyourwirelessfidelity(WiFi)hotspots.

6. Ifyouareconfiguringawirelessaccesspoint,in802.1XandWEP,enableIEEE802.1XauthenticationifyouwanttodeployPEAPMSCHAPv2,PEAP
TLS,orEAPTLS.

Adicionesdecomunidad

2015Microsoft

https://technet.microsoft.com/es-es/library/cc754040(d=printer,v=ws.10).aspx 1/1
20/5/2015 Protocolo y componentes RADIUS
Alusarestesitioaceptaelusodecookiesparaanlisis,contenidopersonalizadoypublicidad. Saberms

ProtocoloycomponentesRADIUS
Seaplicaa:WindowsServer2008

ProtocoloycomponentesRADIUS
ElServiciodeautenticacinremotatelefnicadeusuario(RADIUS)esunprotocoloestndardelaindustriaquesedescribeenlasolicituddecomentarios
(RFC)2865,quetratasobreelServiciodeautenticacinremotatelefnicadeusuario(RADIUS),yRFC2866,queserefierealascuentasRADIUS.RADIUSse
usaparaproporcionarserviciosdeautenticacindered,autorizacinyadministracindecuentas.

Nota

ElServidordedirectivasderedes(NPS)esunservidorRADIUSquecumpleconlosestndaresdelsector.

LosatributosdeRADIUSsedescribenenlasRFC2865,RFC2866,RFC2867,RFC2868,RFC2869yRFC3162.LasRFCyborradoresdeInternetpara
atributosespecficosdelosproveedores(VSA),comoRFC2548,quetratasobrelosatributosdeRADIUSespecficosdelosproveedoresdeMicrosoft,definenlos
atributosadicionalesdeRADIUS.

ComponentesdelainfraestructuraRADIUS
Lossiguientescomponentesformanpartedelainfraestructuradeautenticacin,autorizacinycuentasRADIUS:

Clientesdeacceso

Servidoresdeacceso(clientesRADIUS)

ProxyRADIUS

ServidoresRADIUS

Basesdedatosdecuentasdeusuario

Estoscomponentessemuestranenlailustracinsiguiente.

Clientesdeacceso
Unclientedeaccesoesundispositivoquerequieredeterminadoniveldeaccesoaunareddemayortamao.Entrelosejemplosdeclientesdeaccesose
encuentranlosclientesdeaccesotelefnicooredesprivadasvirtuales(VPN),losclientesinalmbricosolosclientesdeLANconectadosaunconmutador.

Servidoresdeacceso(clientesRADIUS)
Unservidordeaccesoesundispositivoqueproporcionadeterminadoniveldeaccesoaunareddemayortamao.Unservidordeaccesoqueusauna
infraestructuraRADIUStambinesunclienteRADIUS,queenvasolicitudesdeconexinymensajesdecuentasaunservidorRADIUS.Lossiguientesson
ejemplosdeservidoresdeacceso:

ServidoresdeaccesoalaredqueproporcionanconectividaddeaccesoremotoalareddeunaorganizacinoaInternet.Unejemplodeestoesunequipo
queejecutaWindowsServer2003yelServiciodeenrutamientoyaccesoremoto,yofreceserviciostradicionalesdeaccesotelefnicooderedprivada
virtual(VPN)alaintranetdeunaorganizacin.

Puntosdeaccesoinalmbricoqueproporcionanaccesodenivelfsicoalareddeunaorganizacinmedianteunatransmisinbasadaenunaconexin
inalmbricaytecnologasderecepcin.

Conmutadoresqueproporcionanaccesodenivelfsicoalareddeunaorganizacin,mediantetecnologastradicionalesdeLAN,comoEthernet.

https://technet.microsoft.com/es-es/library/cc726017(d=printer,v=ws.10).aspx 1/3
20/5/2015 Protocolo y componentes RADIUS

Importante

Losequiposclientes,comolosequiposporttilesinalmbricosuotrosequiposconsistemasoperativoscliente,nosonclientesdeRADIUS.Losclientesde
RADIUSsonservidoresdeaccesodered,comopuntosdeaccesoinalmbrico,conmutadorescompatiblescon802.1X,servidoresderedprivadavirtual(VPN)y
servidoresdeaccesotelefnico.EstosedebeaqueusanelprotocoloRADIUSparacomunicarseconlosservidoresRADIUS,comolosServidoresdedirectivas
deredes(NPS).

ProxyRADIUS
UnproxyRADIUSesundispositivoquereenvaoenrutasolicitudesdeconexinymensajesdecuentasRADIUSentreclientesRADIUS(yproxyRADIUS)y
servidoresRADIUS(oproxyRADIUS).ElproxyRADIUSusainformacindentrodelmensajeRADIUS,comolosatributosRADIUSNombredeusuarioo
Identificadordeestacinllamada,paraenrutarelmensajeRADIUSalservidorRADIUScorrespondiente.

UnproxyRADIUSsepuedeusarcomopuntodereenvoparamensajesRADIUScuandolaautenticacin,autorizacinyadministracindecuentasdeben
producirseenvariosservidoresRADIUSendiferentesorganizaciones.

ServidoresRADIUS
UnservidorRADIUSesundispositivoquerecibeyprocesasolicitudesdeconexinomensajesdecuentasenviadosporclientesRADIUSoproxyRADIUS.Enel
casodelassolicitudesdeconexin,elservidorRADIUSprocesalalistadeatributosRADIUSenlasolicituddeconexin.Deacuerdoconunconjuntodereglasy
lainformacindelabasededatosdecuentasdeusuario,elservidorRADIUSautenticayautorizalaconexin,ydevuelveunmensajedeaceptacindeaccesoo
unmensajederechazodeacceso.Elmensajedeaceptacindeaccesopuedecontenerrestriccionesdeconexinquesonimplementadasporelservidorde
accesodurantelaconexin.

Basesdedatosdecuentasdeusuario
LabasededatosdecuentasdeusuarioeslalistadecuentasdeusuariosysuspropiedadesquepuedensercomprobadasporunservidorRADIUSpara
comprobarlascredencialesdeautenticacinylaspropiedadesdecuentasdeusuarioquecontieneninformacindeautorizacinyparmetrosdeconexin.

LasbasesdedatosdecuentasdeusuarioqueNPSpuedeusarsonelAdministradordecuentasdeseguridad(SAM),undominiodeMicrosoftWindowsNT4.0o
losServiciosdedominiodeActiveDirectory(ADDS).ParaADDS,NPSpuedeproporcionarautenticacinyautorizacinparacuentasdeusuarioodeequipoen
eldominiodelqueelservidorNPSesmiembro,dominiosdeconfianzabidireccionalesybosquesdeconfianzaconcontroladoresdedominioqueejecutan
WindowsServer2008,WindowsServer2003,StandardEdition,WindowsServer2003,EnterpriseEditionyWindowsServer2003,DatacenterEdition.

Silascuentasdeusuarioparalaautenticacinresidenenuntipodiferentedebasededatos,NPSsepuedeconfigurarcomoproxyRADIUSparareenviarla
solicituddeautenticacinaunservidorRADIUSquetieneaccesoalabasededatosdecuentasdeusuario.LasdiferentesbasesdedatosparaADDSincluyen
bosquesydominiosquenosondeconfianza,odominiosdeconfianzaunidireccionales.

ProtocoloRADIUS
UnclienteRADIUS(normalmenteunservidordeaccesotelefnico,unservidorVPN,unconmutadordeautenticacin802.1Xounpuntodeaccesoinalmbrico)
envacredencialesdeusuarioeinformacindeparmetrosdeconexinenformademensajeRADIUSaunservidorRADIUS.ElservidorRADIUSautenticay
autorizalasolicituddeclienteRADIUSydevuelveunarespuestademensajeRADIUS.LosclientesRADIUStambinenvanmensajesdecuentasRADIUSa
servidoresRADIUS.Adems,losestndaresRADIUSadmitenelusodelosproxyRADIUS.UnproxyRADIUSesunequipoquereenvamensajesRADIUSentre
equiposhabilitadosparaRADIUS.

SeenvanmensajesRADIUScomomensajesdeProtocolodedatagramasdeusuario(UDP).SloseincluyeunmensajeRADIUSenlacargaUDPdeunpaquete
RADIUS.

ElpuertoUDP1812seusaparalosmensajesdeautenticacinRADIUSyelpuertoUDP1813seusaparalosmensajesdecuentasRADIUS.Algunosservidores
deaccesoalaredpuedenusarelpuertoUDP1645paralosmensajesdeautenticacinRADIUSyelpuertoUDP1646paralosmensajesdecuentasRADIUS.De
manerapredeterminada,NPSadmitelarecepcindemensajesRADIUSdestinadosaambosconjuntosdepuertosUDP.

LasRFC2865y2866definenlossiguientestiposdemensajesRADIUS:

Solicituddeacceso

LaenvaunclienteRADIUSparasolicitarautenticacinyautorizacinparaunintentodeconexin.

Aceptacindeacceso

LaenvaunservidorRADIUScomorespuestaaunmensajedesolicituddeacceso.EstemensajeinformaalclienteRADIUSdequeelintentodeconexin
seautenticayautoriza.

Rechazodeacceso

LoenvaunservidorRADIUScomorespuestaaunmensajedesolicituddeacceso.EstemensajeinformaalclienteRADIUSdequeelintentodeconexin
serechaza.UnservidorRADIUSenvaestemensajesilascredencialesnosonautnticasonoseautorizaelintentodeconexin.

Desafodeacceso

LoenvaunservidorRADIUScomorespuestaaunmensajedesolicituddeacceso.EstemensajeesundesafoalclienteRADIUSquesolicitauna
respuesta.

Solicitudderegistrodeactividad

LaenvaunclienteRADIUSparaespecificarinformacindesolicitudderegistrodeactividadparaunaconexinaceptada.

Respuestadecuenta

https://technet.microsoft.com/es-es/library/cc726017(d=printer,v=ws.10).aspx 2/3
20/5/2015 Protocolo y componentes RADIUS
LaenvaunservidorRADIUScomorespuestaaunmensajedesolicitudderegistrodeactividad.Estemensajeconfirmalarecepcincorrectayel
procesamientodelmensajedesolicitudderegistrodeactividad.

UnmensajeRADIUSsecomponedeunencabezadoRADIUSyceroomsatributosRADIUS.CadaatributoRADIUSespecificaunapartedelainformacinsobre
elintentodeconexin.Porejemplo,hayatributosRADIUSparaelnombredeusuario,lacontraseadeusuario,eltipodeserviciosolicitadoporelusuarioyla
direccinIPdelservidordeacceso.LosatributosRADIUSseusanparatransmitirinformacinentreclientesRADIUS,proxyRADIUSyservidoresRADIUS.Por
ejemplo,lalistadeatributosenelmensajedesolicituddeaccesoincluyeinformacinsobrelascredencialesdelusuarioylosparmetrosdelintentodeconexin.
Encambio,elmensajedeaceptacindeaccesoincluyeinformacinsobreeltipodeconexinquesepuedeestablecer,lasrestriccionesdeconexinycualquier
VSA.

Consultetambin
Conceptos
ConfiguracindelainformacindelpuertoUDPdeNPS
ConfiguracindeNPSenunequipodehostmltiple

Adicionesdecomunidad

2015Microsoft

https://technet.microsoft.com/es-es/library/cc726017(d=printer,v=ws.10).aspx 3/3
Scaling IP Addresses

Accessing the WAN Chapter 7

ITE I Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1
Objectives
Scaling networks with Network Address Translation
(NAT) and Port Address Translation (PAT)
Dynamic Host Configuration Protocol (DHCP)
Configure new generation RIP (RIPng) to use IPv6

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 2
Private Addressing
Limited number of public addresses
Private addresses used internal

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 3
NAT
Translates private addresses to public
A NAT-enabled device typically operates at the border
of a stub network.

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 4
NAT Terminology
Inside Local Addresses An IP address assigned to a host inside
a network. This address is likely to be a private address.
Inside Global Address A legitimate IP address assigned by the
NIC or service provider that represents one or more inside local
IP address to the outside world.
Outside Local Address - The IP address of an outside host as it is
known to the hosts in the inside network.
Outside Global Address - The IP address assigned to a host on the
outside network. The owner of the host assigns this address.

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 5
NAT Features

Static NAT is designed to allow one-to-one mapping of local


and global addresses
- Manually configured
- Example: Enterprise Server

Dynamic NAT is designed to map a private IP address to a


public address. Uses a pool of addresses and assign them on
a first-come, first-served basis
- Configured on the Border gateway router
- The router performs the translation

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 6
NAT Features

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 7
PAT Features
PAT uses unique source port numbers on the inside global IP
address to distinguish between translations.

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 8
Benefits with NAT/PAT

Eliminates re-assigning each host a new IP address


when changing to a new ISP
Eliminates the need to re-address all hosts that require
external access, saving time and money
Conserves addresses through application port-level
multiplexing
Protects network security

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 9
Configuring NAT and PAT

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 10
Configuring Static NAT

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 11
Configuring Dynamic NAT

Translate to these
outside addresses

Start
here

Source IP address
must match here

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 12
Configuring PAT

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 13
Configuring PAT

ip nat inside source list 1 pool mypool overload


ip nat pool mypool 172.16.3.1 172.1.3.15 netmask 255.255.0.0
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 14
Verifying NAT and PAT Configuration

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 15
Troubleshooting NAT and PAT

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 16
Dynamic Host Configuration Protocol (DHCP)
The function of DHCP in a network

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 17
Dynamic Host Configuration Protocol (DHCP)

Works in a client/server mode


Enable clients to obtain their configurations from server
Less work
Most significant configuration option: IP-addresses

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 18
DHCP

DHCP works by providing a process for a server to allocate the


IP information to clients
Pre-defined pools of addresses in DHCP server
Scalable and easy to manage
Clients lease the information from the server for an
administratively defined period
Offers other information; DNS server address, domain name etc.

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 19
DHCP

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 20
Major DHCP Features
Automatic Allocation
Manual Allocation
Dynamic Allocation

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 21
The Order of DHCP Messages
Transmitting

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 22
DHCP Operation

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 23
Configuring DHCP

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 24
Configuring DHCP While Excluding IP

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 25
Verifying DHCP

Router# show ip dhcp server statistics

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 26
Troubleshooting DHCP

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 27
DHCP Relay

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 28
IPv6
Number of users on the Internet grows
IPv6 satisfies the increasingly complex requirements of
hierarchical addressing that IPv4 does not provide

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 29
IPv6 - Larger Address Space

IPv4
32 bits or 4 bytes long
~
= 4,200,000,000 possible addressable nodes

IPv6
128 bits or 16 bytes: four times the bits of IPv4
~
= 3.4 * 1038 possible addressable nodes
~
= 340,282,366,920,938,463,374,607,432,768,211,456
~
= 5 * 1028 addresses per person

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 30
IPv6 - Format

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 31
IPv6 Transition Strategies
Different methods to implement IPv6
Most common: Dual stack and Tunneling

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 32
IPv6 Transition Strategies

Dual Stack
- Routers and switches are configured to support both IPv4
and IPv6 protocols
- IPv6 preferred

Tunneling
- Several tunneling techniques available
- IPv6 packets are encapsulated within the IPv4 protocol

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 33
New Generation RIP (RIPng) to use IPv6
Existing routing protocols are modified to support IPv6
Longer addresses
address header field increased from 64 bits to 256 bits

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 34
Configure IPv6 Addresses
Two basic steps
-Activate IPv6 traffic forwarding
-Configure each interface
that requires IPv6

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 35
Configure RIPng with IPv6
Create routing process
Enable routing process on interfaces

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 36
Summary
Private IP addresses
Class A = 10.x.x.x
Class B = 172.16.x.x 172.31.x.x
Class C = 192.168.x.x

Network Address Translation (NAT)


A means of translating private IP addresses to public IP
addresses
Types of NAT
Static
Dynamic
Some commands used for troubleshooting
Show ip nat translations
Show ip nat statistics
Debug ip nat
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 37
Summary
Dynamic Host Control Protocol (DHCP)
This is a means of assigning IP address and other configuration
information automatically.

DHCP operation
3 different allocation methods
Manual
Automatic
Dynamic
Steps to configure DHCP
Define range of addresses
Create DHCP pool
Configure DHCP pool specifics

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 38
Summary
DHCP Relay
Concept of using a router configured to listen for DHCP
messages from DHCP clients and then forwards those
messages to servers on different subnets

Troubleshooting DHCP
Most problems arise due to configuration errors
Commands to aid troubleshooting
Show ip dhcp
Show run
debug

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 39
Summary

IPv6
A 128 bit address that uses colons to separate entries
Normally written as 8 groups of 4 hexadecimal digits

Cisco IOS Dual Stack


A way of permitting a node to have connectivity to an IPv4 &
IP v6 network simultaneously

IPv6 Tunneling
An IPV6 packet is encapsulated within another protocol

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 40
Summary

Configuring RIPng with IPv6


1st globally enable IPv6
2nd enable IPv6 on interfaces on which IPv6 is to be enabled
3rd enable RIPng using
global: ipv6 router rip name
interface: ipv6 router name enable

ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 41
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 42