Cap 06 Mecanismo NAT

REDES TELEMÁTICAS: Capa de Internet
REDES TELEMÁTICAS:
Mecanismo NAT
Daniel Díaz Ataucuri
Profesor Titular de Telecomunicaciones UNI/UNMSM
Director de Investigación y Desarrollo Tecnológico del INICTEL-UNI
ddiaz1610@gmail.com
ddiaz1610@gmail.com Redes Telemáticas Daniel Díaz Ataucuri
http://tools.ietf.org/html/rfc3022
El NAT es un mecanismo que permite traducir una dirección de red
privada a una dirección IP pública enrutable.
El NAT puede ser:
►Estático.- Cada dirección local privada se mapea con su correspondiente dirección global.
►Dinámico.- Dirección IP perteneciente a un pool de direcciones IP públicas
se asignan a un host de la red.
►Por puerto .- Llamado también PAT, relaciona varias direcciones IP privadas
a una sola dirección pública.
http://docwiki.cisco.com/wiki/Category:NAT
No es necesario volver a reasignar nuevas direcciones IP cuando se cambia

de ISP.
Con el PAT, sólo es necesario una dirección IP pública, ahorro sustancial de

direcciones IP.
Desde que las direcciones privadas internas no son accesible

externamente, hay un grado de seguridad.

ACL es una lista secuencial de sentencias, de permisos o denegaciones que

se aplican a direcciones IP o protocolos de capas superiores.
►Clasifica direcciones y flujos de datos
El uso de ACL son:

►Clasificar direcciones IP, puertos, entre otros.
►Mecanismo NAT para definir una lista de direcciones privadas que serán traducidas.
►Especificar criterios en la tabla de enrutamiento
(policy-based routing)
►Identificar que direcciones IP pasan por una VPN
►Mecanismo de seguridad
Analicemos todas las direcciones IP de la subred

200.1.2.128/26. Expresado en
Condición que Irrele-
a de cumplir vante
binario
►200.1.2.128 = 200.1.2.1000 0000 200.1.2.10xx xxxx Dirección

de referencia
200.1.2.129 = 200.1.2.1000 0001 Todos en
0011 1111 Wildcard
200.1.2.130 = 200.1.2.1000 0010 cero
200.1.2.131 = 200.1.2.1000 0011

Dirección
200.1.2.191 = 200.1.2.1011 1111 200.1.2.128 de referencia
Condición que
a de cumplir
0.0.0.63 Wildcard
Se ha formado una lista con todas las

direcciones IP de la subred 200.1.2.128/26
Comando:
R(config)# access-list 1 permit 200.1.2.128 0.0.0.63
Analicemos todas las direcciones IP impares de la subred 200.1.2.128/26.

Condición que
Condición que Irrele- a de cumplir
Expresado en
a de cumplir vante
binario
►200.1.2.129 = 200.1.2.1000 0001 200.1.2.10xx xxx1 Dirección

de referencia
200.1.2.131 = 200.1.2.1000 0011 Todos en
0011 1110 Wildcard
200.1.2.133 = 200.1.2.1000 0101 cero
200.1.2.191 = 200.1.2.1011 1111

Dirección
Condición que 200.1.2.129 de referencia
a de cumplir
Condición que
a de cumplir 0.0.0.62 Wildcard
Se ha formado una lista con las direcciones

IP impares de la subred 200.1.2.128/26
Comando:
R(config)# access-list 1 permit 200.1.2.129 0.0.0.62
Lista que incluye todas las IP de la subred

200.1.2.128/26 excepto la dirección 200.1.2.129
Expresado en
binario
►200.1.2.128 = 200.1.2.1000 0000

200.1.2.129 = 200.1.2.1000 0001
200.1.2.130 = 200.1.2.1000 0010
200.1.2.131 = 200.1.2.1000 0011
200.1.2.191 = 200.1.2.1011 1111

Condición que
a de cumplir
Comando:
access-list 1 deny 200.1.2.129 0.0.0.0
access-list 1 permit 200.1.2.128 0.0.0.63
R1 Servidor DHCP 200.1.1.0/25

Ofrece el rango: .2
PCb
192.168.1.64 a 192.168.1.254
R3 R4
192.168.1.0/24 .5 20.1.1.4/30 .6 .1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
.22 a1/0 R7
0/0
Fa 0
Fa
20
F
/3
.2 30 30 /1.6
0
/
.1.
0/1 1.0
0
/1
/
.1.2 4
.2. Fa0
OUTSIDE
1.
Fa 0.1.
. 1
INSIDE 20
8/3 a0/0
.2
21
2
0
0
Fa0/0
F
.2 .21 .10 a1/
.1 F
.1 .2 1/1 .5
R6
Fa
Fa0/1
Fa0/0
21.2.2.0/30 .13 .18 .9
R1 Fa 1F
1/0 20.1. 6 /30 Fa0/ a1/ 21
1.1 1.1 1 .2
R2 2 /30 .1 . .2 .
20 8/
3
Fa .14 .17 Fa 0
0 /1 0/0 0/ .10
Fa 1
192.168.1.2  204.4.1.2 R8
192.168.1.3  204.4.1.3 R5
204.4.1.4
.129 Fa0/0
192.168.1.4 Subred de NAT
192.168.1.63 204.4.1.14
204.4.1.0/26
192.168.1.64 204.4.1.15:p Donde p es el puerto
192.168.1.254 ubicado en la capa 4. .130
TABLA DE NAT
PCc
200.1.1.128/25
204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

etc… etc… etc IPorig = 200.1.1.2
.2
PCb
IPdest= 204.4.1.2
192.168.1.0/24 R3 R4 IPorig 200.1.1.2 IPorig = 204.4.1.2
IPdest= 204.4.1.2 IPdest= 200.1.1.2
.5 20.1.1.4/30 .6 .1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
.22 a1/0 R7
0/0
Fa 0
IPorig =192.168.1.2
Fa
204.4.1.0 255.255.255.192 21.2.2.1
20
F
/3
.2 IPdest= 200.1.1.2
30 30 /1.6
etc… etc… etc
0
/ IPorig = 200.1.1.2
.1.
0/1 1.0
0
/1
/
.1.2 IPdest= 204.4.1.2 4
.2. Fa0
1.
IPorig = 204.4.1.2
Fa 0.1.
. 1
20
8/3 a0/0
Iporig = 200.1.1.2 IPdest= 200.1.1.2 .2
21
2
IPdest=192.168.1.2 Las tablas de 0
0
Fa0/0
F
1/
IPorig 200.1.1.2 0.0.0.0 0.0.0.0 21.2.2.5
.1 .2 .21 IPdest= 204.4.1.2 enrutamiento de .10 a
F
.1 .2 1/1 la red debe .5
R6 IPorig = 204.4.1.2
Fa IPorig = 204.4.1.2 indicar como
Fa0/1
Fa0/0
21.2.2.0/30 .13 IPdest= 200.1.1.2
.18 .9
Fa llegar a 0 0/1 Fa1 2 IPdest= 200.1.1.2
R1 1/0 20.1. 204.4.1.0/26 6 /3
Fa /1 1 . 2
R2 1.1
2 .1.1 .2 .
/30 1
20.
Iporig = 200.1.1.2 IPorig = 204.4.1.2 8/
IPdest= 204.4.1.2 IPdest= 200.1.1.2 3
Fa .14 .17 /0 Fa 0
0 /1 a0 0/ .10
F 1
192.168.1.2  204.4.1.2 204.4.1.0 255.255.255.192 20.1.1.9 R8
192.168.1.3  204.4.1.3 R5 etc… etc… etc
204.4.1.4
.129 Fa0/0
192.168.1.63 204.4.1.14
204.4.1.0/26
TABLA DE NAT
PCc
200.1.1.128/25
TABLA DE NAT
192.168.1.2  204.4.1.2
192.168.1.3  204.4.1.3
192.168.1.4 204.4.1.4
a a
192.168.1.63 204.4.1.14
192.168.1.64
a 204.4.1.15:p
192.168.1.254
R1(config)#ip nat inside source static 192.168.1.2 204.4.1.2

R1(config)#ip nat inside source static 192.168.1.3 204.4.1.3
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#interface fastEthernet 0/1
R1(config-if)#ip nat outside
R1#show ip nat translation

Pro Inside global Inside local Outside local Outside global
icmp 204.4.1.2:23695 192.168.1.2:23695 200.1.1.2:23695 200.1.1.2:23695
icmp 204.4.1.2:24207 192.168.1.2:24207 200.1.1.2:24207 200.1.1.2:24207
icmp 204.4.1.2:24463 192.168.1.2:24463 200.1.1.2:24463 200.1.1.2:24463
icmp 204.4.1.2:24975 192.168.1.2:24975 200.1.1.2:24975 200.1.1.2:24975
icmp 204.4.1.2:25231 192.168.1.2:25231 200.1.1.2:25231 200.1.1.2:25231
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
Para borrar la tabla NAT:
R1#show ip nat translation R1#clear ip nat translation forced
--- 204.4.1.2 192.168.1.2 --- ---
icmp 204.4.1.3:12176 192.168.1.3:12176 200.1.1.2:12176 200.1.1.2:12176
icmp 204.4.1.3:12432 192.168.1.3:12432 200.1.1.2:12432 200.1.1.2:12432
icmp 204.4.1.3:12944 192.168.1.3:12944 200.1.1.2:12944 200.1.1.2:12944
icmp 204.4.1.3:13200 192.168.1.3:13200 200.1.1.2:13200 200.1.1.2:13200
icmp 204.4.1.3:13712 192.168.1.3:13712 200.1.1.2:13712 200.1.1.2:13712
--- 204.4.1.3 192.168.1.3 --- ---
204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

etc… etc… etc IPorig = 200.1.1.2
.2
PCb
IPdest= 204.4.1.4
192.168.1.0/24 R3 R4 IPorig 200.1.1.2 IPorig = 204.4.1.4
IPdest= 204.4.1.4 IPdest= 200.1.1.2
.5 20.1.1.4/30 .6 .1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
.22 a1/0 R7
0/0
Fa 0
IPorig =192.168.1.9
Fa
204.4.1.0 255.255.255.192 21.2.2.1
20
F
/3
.9 IPdest= 200.1.1.2
30 30 /1.6
etc… etc… etc
0
/ IPorig = 200.1.1.2
.1.
0/1 1.0
0
/1
/
.1.2 IPdest= 204.4.1.4 4
.2. Fa0
1.
IPorig = 204.4.1.4
Fa 0.1.
. 1
20
8/3 a0/0
Iporig = 200.1.1.2 IPdest= 200.1.1.2 .2
21
2
0
Fa0/0
F
1/
IPorig 200.1.1.2 0.0.0.0 0.0.0.0 21.2.2.5
.1 .2 .21 IPdest= 204.4.1.4 enrutamiento de .10 a
F
.1 .2 1/1 la red debe .5
R6 IPorig = 204.4.1.4
Fa IPorig = 204.4.1.4 indicar como
Fa0/1
Fa0/0
21.2.2.0/30 .13 IPdest= 200.1.1.2
.18 .9
Fa llegar a 0 0/1 Fa1 2 IPdest= 200.1.1.2
R1 1/0 20.1. 204.4.1.0/26 6 /3
Fa /1 1 . 2
R2 1.1
2 .1 .1 .2 .
/30 1
20.
Iporig = 200.1.1.2 IPorig = 204.4.1.4 8/
IPdest= 204.4.1.4 IPdest= 200.1.1.2 3
Fa .14 .17 /0 Fa 0
0 /1 a0 0/ .10
F 1
192.168.1.2  204.4.1.2 204.4.1.0 255.255.255.192 20.1.1.9 R8
192.168.1.3  204.4.1.3 R5 etc… etc… etc
204.4.1.4
.129 Fa0/0
192.168.1.63 204.4.1.14
204.4.1.0/26
TABLA DE NAT
PCc
200.1.1.128/25
TABLA DE NAT
192.168.1.2  204.4.1.2
192.168.1.3  204.4.1.3
192.168.1.4 204.4.1.4
a a
192.168.1.63 204.4.1.14
192.168.1.64
a 204.4.1.15:p
192.168.1.254
R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.63
R1(config)#ip nat pool lima 204.4.1.4 204.4.1.14 netmask 255.255.255.192
R1(config)#ip nat inside source list 1 pool lima
R1(config)#exit


--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
icmp 204.4.1.4:39569 192.168.1.9:39569 200.1.1.2:39569 200.1.1.2:39569
icmp 204.4.1.4:40081 192.168.1.9:40081 200.1.1.2:40081 200.1.1.2:40081
icmp 204.4.1.4:40337 192.168.1.9:40337 200.1.1.2:40337 200.1.1.2:40337
icmp 204.4.1.4:40849 192.168.1.9:40849 200.1.1.2:40849 200.1.1.2:40849
icmp 204.4.1.4:41105 192.168.1.9:41105 200.1.1.2:41105 200.1.1.2:41105
--- 204.4.1.4 192.168.1.9 --- ---
--- 204.4.1.2 192.168.1.2 --- ---
--- 204.4.1.3 192.168.1.3 --- ---
--- 204.4.1.4 192.168.1.9 --- ---
icmp 204.4.1.5:58257 192.168.1.20:58257 200.1.1.2:58257 200.1.1.2:58257
icmp 204.4.1.5:58769 192.168.1.20:58769 200.1.1.2:58769 200.1.1.2:58769
icmp 204.4.1.5:59025 192.168.1.20:59025 200.1.1.2:59025 200.1.1.2:59025
icmp 204.4.1.5:59537 192.168.1.20:59537 200.1.1.2:59537 200.1.1.2:59537
icmp 204.4.1.5:59793 192.168.1.20:59793 200.1.1.2:59793 200.1.1.2:59793
--- 204.4.1.5 192.168.1.20 --- ---
IPorig = 200.1.1.2 200.1.1.0/25

IPdest= 204.4.1.15:p1
.2
PCb
192.168.1.0/24 R3 R4 IPorig 200.1.1.2 IPorig = 204.4.1.15:p1
IPdest= 204.4.1.15:p1 IPdest= 200.1.1.2
.5 20.1.1.4/30 .6 .1 Fa0/0
PCa .1 Fa0/1 Fa0/0 .9
.22 a1/0 R7
0/0
Fa 0
IPorig =192.168.1.64
Fa
20
F
/3
.64 IPdest= 200.1.1.2
30 .6
0
/ IPorig = 200.1.1.2
30
.1.
0/1 1.0
0 1
/1
.1.2 .4/
IPdest= 204.4.1.15:p1 0/
1.
IPorig = 204.4.1.15:p1
Fa
Fa 0.1.
1 2
20. .2.
8/3 a0/0
Iporig = 200.1.1.2 IPdest= 200.1.1.2
2 1
2
0
Fa0/0 IPorig 200.1.1.2
F
.2 .21IPdest= 204.4.1.15:p1enrutamiento de .10 a 1/
.1 F
.1 .2 1/1 la red debe .5
R6
Fa IPorig = 204.4.1.15:p1 indicar como
Fa0/1
Fa0/0
21.2.2.0/30 .13 IPdest= 200.1.1.2 .18 .9 IPorig = 204.4.1.15:p1
Fa llegar a 1F IPdest= 200.1.1.2
R1 1/0 20.1. 204.4.1.0/26 6 /30 Fa0/ a1/ 21
R2 1.1 1.1 1 .2
IPorig = 204.4.1.15:p1 2/3 .1 . .2 .
Iporig = 200.1.1.2
IPdest= 200.1.1.2
0 20 8/
3
IPdest= 204.4.1.15:p1
Fa .14 .17 Fa 0
0 /1 0/0 0/ .10
Fa 1
192.168.1.2  204.4.1.2 R8
192.168.1.3  204.4.1.3 R5
204.4.1.4
.129 Fa0/0
192.168.1.63 204.4.1.14
204.4.1.0/26
TABLA DE NAT
PCc
200.1.1.128/25
TABLA DE NAT
192.168.1.2  204.4.1.2
192.168.1.3  204.4.1.3
192.168.1.4 204.4.1.4
a a
192.168.1.63 204.4.1.14
192.168.1.64
a 204.4.1.15:p
192.168.1.254

R1(config)#access-list 2 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat pool ica 204.4.1.15 204.4.1.15 netmask 255.255.255.192
R1(config)#ip nat inside source list 2 pool ica overload
R1(config)#exit


icmp 204.4.1.15:40085 192.168.1.64:40085 200.1.1.2:40085 200.1.1.2:40085
icmp 204.4.1.15:40597 192.168.1.64:40597 200.1.1.2:40597 200.1.1.2:40597
icmp 204.4.1.15:40853 192.168.1.64:40853 200.1.1.2:40853 200.1.1.2:40853
icmp 204.4.1.15:41365 192.168.1.64:41365 200.1.1.2:41365 200.1.1.2:41365
icmp 204.4.1.15:41621 192.168.1.64:41621 200.1.1.2:41621 200.1.1.2:41621
icmp 204.4.1.15:406 192.168.1.100:406 200.1.1.2:406 200.1.1.2:406
icmp 204.4.1.15:662 192.168.1.100:662 200.1.1.2:662 200.1.1.2:662
icmp 204.4.1.15:1174 192.168.1.100:1174 200.1.1.2:1174 200.1.1.2:1174
icmp 204.4.1.15:1430 192.168.1.100:1430 200.1.1.2:1430 200.1.1.2:1430
icmp 204.4.1.15:1942 192.168.1.100:1942 200.1.1.2:1942 200.1.1.2:1942
icmp 204.4.1.15:24982 192.168.1.215:24982 200.1.1.2:24982 200.1.1.2:24982
icmp 204.4.1.15:25494 192.168.1.215:25494 200.1.1.2:25494 200.1.1.2:25494
icmp 204.4.1.15:25750 192.168.1.215:25750 200.1.1.2:25750 200.1.1.2:25750
icmp 204.4.1.15:26262 192.168.1.215:26262 200.1.1.2:26262 200.1.1.2:26262
icmp 204.4.1.15:26518 192.168.1.215:26518 200.1.1.2:26518 200.1.1.2:26518
Prefijo NAT
132.3.4.0/24
LABORATORIO  Implementar las tablas de
enrutamiento estáticos según
R2 R3 las rutas indicadas.
 Analizar cada uno de los mensajes
DHCP generados con wireshark.
 Configurar los NAT indicados.
R1 PROVEEDOR R4
DE SERVICIOS
Prefijo LAN: DE INTERNET Prefijo LAN:
192.168.1.0/24 205.5.5.0/24
NAT por
dinámico: Ra Rd
132.3.4.1 a Direcciones IP R5 R6
132.3.4.9 .1 Dinámicas con DHCP:
Solo será habilitado
para el rango: Rc
192.168.1.128 a
192.168.1.254 Prefijo WAN: 211.1.1.0/24 NAT por
Direcciones IP Direcciones IP puerto a
Estáticas del Dinámicas con DHCP: 132.3.4.10
Bloque:
192.168.1.2 a ... Solo será habilitado
para todos los usuarios
de la red
...
192.168.1.127
Asignación
Estática/Dinámica
Prefijo LAN:
de IP
192.168.1.0/24 ...
Plaza Mayor,
Madrid-
España

Cap 06 Mecanismo NAT

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cap 06 Mecanismo NAT

Cargado por

Copyright:

Formatos disponibles

REDES TELEMÁTICAS: Capa de Internet

No es necesario volver a reasignar nuevas direcciones IP cuando se cambia

Con el PAT, sólo es necesario una dirección IP pública, ahorro sustancial de

Desde que las direcciones privadas internas no son accesible

ddiaz1610@gmail.com Redes Telemáticas Daniel Díaz Ataucuri

ACL es una lista secuencial de sentencias, de permisos o denegaciones que

El uso de ACL son:

Analicemos todas las direcciones IP de la subred

►200.1.2.128 = 200.1.2.1000 0000 200.1.2.10xx xxxx Dirección

200.1.2.131 = 200.1.2.1000 0011

Se ha formado una lista con todas las

Analicemos todas las direcciones IP impares de la subred 200.1.2.128/26.

►200.1.2.129 = 200.1.2.1000 0001 200.1.2.10xx xxx1 Dirección

200.1.2.191 = 200.1.2.1011 1111

Se ha formado una lista con las direcciones

Lista que incluye todas las IP de la subred

►200.1.2.128 = 200.1.2.1000 0000

200.1.2.191 = 200.1.2.1011 1111

R1 Servidor DHCP 200.1.1.0/25

204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

R1(config)#ip nat inside source static 192.168.1.2 204.4.1.2

R1#show ip nat translation

204.4.1.0 255.255.255.192 20.1.1.21 200.1.1.0/25

R1(config)#access-list 1 deny 192.168.1.2 0.0.0.0

ddiaz1610@gmail.com Redes Telemáticas Daniel Díaz Ataucuri

R1#show ip nat translation

IPorig = 200.1.1.2 200.1.1.0/25

R1(config)#access-list 2 deny 192.168.1.0 0.0.0.63

ddiaz1610@gmail.com Redes Telemáticas Daniel Díaz Ataucuri

R1#show ip nat translation

ddiaz1610@gmail.com Redes Telemáticas Daniel Díaz Ataucuri

También podría gustarte