Fundación Omar Dengo

Curso CCNA 4
Instructor: Erving Pineda

Practica NAT

Paso 1. Configure los routers.

Configure hostnames, passwords de enable y vty, e interfaces de acuerdo al diagrama

de red, de tal forma que la red 192.168.1.0/24 se pueda comunicar con la red
200.200.50.0 /24.

Sugerencia: Utilice una ruta default en el router NAT y una ruta estática en el router
ISP hacia la red 192.168.1.0 /24

Los Servidores son un servidor Web y el otro un servidor tftp.

Paso 2. Asegúrese que todos los computadores y servidores se puedan hacer ping
entre si.
Paso 3. Una vez que todos los computadores se puedan hacer ping, configure una
lista de ACL en el router ISP en la interfaz serial como de entrada, para denegar el
trafico proveniente de cualquier red privada.

(10.0.0.0 –10.255.255.255 / 172.16.0.0 –172.31.0.0 / 192.168.0.0 –192.168.255.255)

Paso 4. Haga de nuevo ping de un computador a un servidor. El ping será botado por
el router ISP, por lo cual no será satisfactorio.

Paso 5. Quite la ruta estática que tenía configurada en el router ISP hacia la red
192.168.1.0 /24 y coloque ahora una nueva ruta estática hacia la red 200.200.100.8/29

Note lo que ocurre en la vida real, donde el ISP tiene una ACL denegando el trafico
desde las redes privadas hacia Internet.
Nota: No necesariamente la ACL estará configurada en el Router que da acceso al
cliente, sin embargo por cuestiones de laboratorio se coloco ahí.

--------------------------
Recordemos algunos detalles: NAT puede ser configurado en 3 distintos sabores,
ya sea estático, dinámico y PAT. A continuación vamos a configurar un NAT
dinámico.

Para configurar NAT dinámico necesitará de una ACL que especifica la red o sección
de red, a la cual se le cambiará la dirección IP por otra que se especificará de un
grupo de direcciones (POOL). Luego necesitará especificar el pool de direcciones, y
posteriormente con otro comando tendrá que unir las direcciones asociadas a la ACL,
con las asociadas al pool y que así se realice el NAT, donde se cambiarán las
direcciones especificadas en la ACL por las que se encuentran en el pool.

A continuación se muestran los comandos:

1) configurando el ACL
NAT(config)#access-list #acl permit dirección IP W mask
NAT(config)#access-list 1 permit 192.168.1.0 0.0.0.255
2) Acá configuraremos el pool de direcciones. Note que el ISP le asignó a una
red clase C pública con 6 direcciones utilizables. Reserve la primera dirección
para una futura configuración (200.200.100.9), y utilice el resto para configura
el pool.
NAT(config)#ip nat pool name ip-start ip-end netmask Máscara
NAT(config)# ip nat pool ervincito 200.200.100.10 200.200.100.14 255.255.255.248

3) Aquí enlazamos la ACL y el pool

NAT(config)#ip nat inside source list #acl pool name

NAT(config)#ip nat inside souce list 1 pool ervincito.
---------------------
Paso 6. Configure los comandos anteriores en el router
Paso 7. Configuración de las interfaces

Necesitará especificar cual interfaz es inside y cual es outside. Para esto diríjase al
modo de configuración de interfaz y especifique si esta es inside u outside.

NAT(config)#interface Interfaz respectiva ya sea FastEth o Serial

NAT(config-if)# ip nat inside / outside

Para el ejemplo note que la interfaz fast ethernet es inside y la interfaz serial es
outside.

Paso 8. Intente hacer ping de las computadoras a los servidores. El ping deberá ser
satisfactorio. Intente abrir la pagina Web del servidor con dirección 200.200.50.2 y
posteriormente intente transmitir un archivo del servidor tftp con la dirección
200.200.50.3. Haga lo mismo con todos los host disponibles. Y utilice el comando
show ip nat translations por cada host utilizado, para observar el cambio de
dirección.
Una vez hecho lo anterior, utilice el comando clear ip nat translations * para
borrar todas las entradas de la tabla en el router. Nota: Si ejecuta este comando
cuando un host se está comunicando con el servidor ya sea porque está cargando la
pagina web o porque está transfiriendo un archivo, la comunicación se perderá.
Haga de nuevo ping desde alguna computadora al servidor y ejecute de nuevo
el comando show ip nat translations. Puede utilizar otros comandos tales como:
show ip nat translations verbose y el show ip nat statistics, además debug ip nat.
Un tiempo mas tarde: La empresa le dice a ud. Que ellos quieren tener su propio
servidor Web, por lo cual usted decide instalarlo en el host con la dirección IP
192.168.1.2, sin embargo usted sabe que eso no funcionará porque hay un NAT
dinámico y no se sabe cual dirección o si ninguna, estarán ligadas al host 192.168.1.2.
Por lo tanto usted necesita configurar un NAT estático para que el host
192.168.1.2 sea conocido siempre con una dirección IP que ud. establece.
Recuerde que una de las direcciones asignadas por el ISP (200.200.100.9),
usted no la utilizó en el pool, por lo cual utilice esta dirección para mapear el host
192.168.1.2.

El comando para NAT estático es:

NAT(config)#ip nat inside source static local-ip global-ip
NAT(config)#ip nat inside source static 192.168.1.2 200.200.100.9

Note que el comando ip nat puede especificar si es inside u outside, además note en
el comentario (antes del paso 6) como la fuente puede ser estática para NAT estático
o un conjunto de direcciones mediante ACL.

Paso 9. Configure el comando anterior para que el host 192.168.1.2 pueda ser
accesado desde Internet.
Haga ping desde un servidor a la dirección 200.200.100.9. El ping debe ser
satisfactorio. Un punto importante es que algunas veces se utilizan direcciones
públicas en las interfaces seriales para la comunicación entre el cliente y el ISP, lo cual
es incorrecto ya que para ese enlace se estarían desperdiciando 2 direcciones que se
pueden aprovechar con NAT. Por lo general, lo que se utiliza en estos enlaces es
direcciones privadas y las direcciones públicas son dadas a conocer por el
enrutamiento o rutas estáticas.

Paso 10. EL DESAFIO

Imagínate que el ISP quiere cobrarle un monto de $20 mensuales por cada dirección
IP pública que usted posea, con lo cual su jefe le pregunta a usted si puede hacer que
las computadoras se comuniquen como antes pero con solo una dirección IP pública.

Luego de unos minutos de suspenso e investigación, descubres que si es posible

mediante el uso del PAT. Con lo cual usted decide configurar PAT e involucrarse en
esa bronca.
Nota: Antes de configurar PAT, quite el NAT estático y borre también el pool, y cree
un nuevo pool pero solo con la dirección IP 200.200.100.9, realizando esto, puede
continuar con el comando siguiente:
NAT(config)# ip nat inside source list #acl pool name overload
NAT(config)# ip nat inside source list 1 pool ervincito overload

Paso 11. Llama otra vez el jefe..... Resulta que el jefe ha notado que las
computadoras pueden salir a Internet pero los clientes lo han llamado para decirle que
no pueden conectar a la pagina Web de la empresa. Por lo cual el jefe le pide
rehabilitarle el servidor Web. Sin embargo ya usted no puede realizar un NAT estático
porque está utilizando la única dirección para PAT. Tienes dos salida, agarrarse con
esta otra bronca o renunciar.
Ud. decide tomarse el reto, investigando descubre que hay un comando para mapear
un puerto estáticamente. Algo así como un NAT estático pero con PAT. Los
comandos son los siguientes:
NAT(config)#ip nat inside source static tcp 192.168.1.2 80 200.200.200.100.9 80 extendable

Intente hacer ping desde cualquier servidor (internet) al computador 192.168.1.2 utilice
los commandos show mencionados en paso 8. Si funciona, pida un aumento.