Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Curso CCNA 4
Instructor: Erving Pineda
Practica NAT
Sugerencia: Utilice una ruta default en el router NAT y una ruta estática en el router
ISP hacia la red 192.168.1.0 /24
Paso 2. Asegúrese que todos los computadores y servidores se puedan hacer ping
entre si.
Paso 3. Una vez que todos los computadores se puedan hacer ping, configure una
lista de ACL en el router ISP en la interfaz serial como de entrada, para denegar el
trafico proveniente de cualquier red privada.
Paso 4. Haga de nuevo ping de un computador a un servidor. El ping será botado por
el router ISP, por lo cual no será satisfactorio.
Paso 5. Quite la ruta estática que tenía configurada en el router ISP hacia la red
192.168.1.0 /24 y coloque ahora una nueva ruta estática hacia la red 200.200.100.8/29
Note lo que ocurre en la vida real, donde el ISP tiene una ACL denegando el trafico
desde las redes privadas hacia Internet.
Nota: No necesariamente la ACL estará configurada en el Router que da acceso al
cliente, sin embargo por cuestiones de laboratorio se coloco ahí.
--------------------------
Recordemos algunos detalles: NAT puede ser configurado en 3 distintos sabores,
ya sea estático, dinámico y PAT. A continuación vamos a configurar un NAT
dinámico.
Para configurar NAT dinámico necesitará de una ACL que especifica la red o sección
de red, a la cual se le cambiará la dirección IP por otra que se especificará de un
grupo de direcciones (POOL). Luego necesitará especificar el pool de direcciones, y
posteriormente con otro comando tendrá que unir las direcciones asociadas a la ACL,
con las asociadas al pool y que así se realice el NAT, donde se cambiarán las
direcciones especificadas en la ACL por las que se encuentran en el pool.
Necesitará especificar cual interfaz es inside y cual es outside. Para esto diríjase al
modo de configuración de interfaz y especifique si esta es inside u outside.
Para el ejemplo note que la interfaz fast ethernet es inside y la interfaz serial es
outside.
Paso 8. Intente hacer ping de las computadoras a los servidores. El ping deberá ser
satisfactorio. Intente abrir la pagina Web del servidor con dirección 200.200.50.2 y
posteriormente intente transmitir un archivo del servidor tftp con la dirección
200.200.50.3. Haga lo mismo con todos los host disponibles. Y utilice el comando
show ip nat translations por cada host utilizado, para observar el cambio de
dirección.
Una vez hecho lo anterior, utilice el comando clear ip nat translations * para
borrar todas las entradas de la tabla en el router. Nota: Si ejecuta este comando
cuando un host se está comunicando con el servidor ya sea porque está cargando la
pagina web o porque está transfiriendo un archivo, la comunicación se perderá.
Haga de nuevo ping desde alguna computadora al servidor y ejecute de nuevo
el comando show ip nat translations. Puede utilizar otros comandos tales como:
show ip nat translations verbose y el show ip nat statistics, además debug ip nat.
Un tiempo mas tarde: La empresa le dice a ud. Que ellos quieren tener su propio
servidor Web, por lo cual usted decide instalarlo en el host con la dirección IP
192.168.1.2, sin embargo usted sabe que eso no funcionará porque hay un NAT
dinámico y no se sabe cual dirección o si ninguna, estarán ligadas al host 192.168.1.2.
Por lo tanto usted necesita configurar un NAT estático para que el host
192.168.1.2 sea conocido siempre con una dirección IP que ud. establece.
Recuerde que una de las direcciones asignadas por el ISP (200.200.100.9),
usted no la utilizó en el pool, por lo cual utilice esta dirección para mapear el host
192.168.1.2.
Note que el comando ip nat puede especificar si es inside u outside, además note en
el comentario (antes del paso 6) como la fuente puede ser estática para NAT estático
o un conjunto de direcciones mediante ACL.
Paso 9. Configure el comando anterior para que el host 192.168.1.2 pueda ser
accesado desde Internet.
Haga ping desde un servidor a la dirección 200.200.100.9. El ping debe ser
satisfactorio. Un punto importante es que algunas veces se utilizan direcciones
públicas en las interfaces seriales para la comunicación entre el cliente y el ISP, lo cual
es incorrecto ya que para ese enlace se estarían desperdiciando 2 direcciones que se
pueden aprovechar con NAT. Por lo general, lo que se utiliza en estos enlaces es
direcciones privadas y las direcciones públicas son dadas a conocer por el
enrutamiento o rutas estáticas.
Paso 11. Llama otra vez el jefe..... Resulta que el jefe ha notado que las
computadoras pueden salir a Internet pero los clientes lo han llamado para decirle que
no pueden conectar a la pagina Web de la empresa. Por lo cual el jefe le pide
rehabilitarle el servidor Web. Sin embargo ya usted no puede realizar un NAT estático
porque está utilizando la única dirección para PAT. Tienes dos salida, agarrarse con
esta otra bronca o renunciar.
Ud. decide tomarse el reto, investigando descubre que hay un comando para mapear
un puerto estáticamente. Algo así como un NAT estático pero con PAT. Los
comandos son los siguientes:
NAT(config)#ip nat inside source static tcp 192.168.1.2 80 200.200.200.100.9 80 extendable
Intente hacer ping desde cualquier servidor (internet) al computador 192.168.1.2 utilice
los commandos show mencionados en paso 8. Si funciona, pida un aumento.