Documentos de Académico
Documentos de Profesional
Documentos de Cultura
IPv4
Routing and Switching Essentials v6.0
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 1
Capítulo 9
Protocolos de capa de red
Configuración de NAT
Solucionar problemas en configuraciones de NAT
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 2
Características de NAT
Espacio de direcciones IPv4 privadas
El espacio de direcciones IPv4 no es suficiente para
todos los que necesitan una conexión a Internet.
Las direcciones privadas pueden mitigar la escasez de
IPv4, pero necesitan ser traducidas con NAT.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 3
Características de NAT
¿Qué es NAT?
NAT se utiliza para traducir direcciones privadas de la red interna a
direcciones públicas en Internet.
Se implementa en los dispositivos de red fronterizos, como los
firewalls o los routers.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 4
NAT: Network Address Translation (Traducción de direcciones de red)
DA
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 5
Características de NAT
Terminología de NAT
Según la terminología de NAT, la red interna es el conjunto de
dispositivos que utilizan direcciones privadas. El resto de las redes son
las redes externas.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 6
Funcionamiento de NAT
NAT estática
La NAT estática asigna uno a uno entre direcc. locales y globales.
Es útil cuando se debe acceder a los servidores de la red interna
desde la red externa.
Un administrador de red puede acceder mediante SSH a un servidor
en la red interna al indicarle a su cliente SSH la dirección global
interna correcta.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 7
Funcionamiento de NAT
NAT dinámica
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 8
Funcionamiento de NAT
NAT de traducción de la dirección del puerto (PAT)
PAT asigna varias direcciones IPv4 privadas a una única
dirección IPv4 pública o a unas pocas direcciones.
PAT utiliza la combinación de puerto de origen y dirección
IP de origen para poder seguir el tráfico que pertenece a
cada cliente interno.
PAT también se conoce como NAT con sobrecarga.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 9
Funcionamiento de NAT
Comparación entre NAT y PAT
NAT traduce direcciones IPv4 en una relación de 1:1 entre
direcciones privadas y públicas.
Con PAT se usa solo una o muy pocas direcciones IPv4 públicas.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 10
Configuración de NAT estática
Use “nat.pkt” para configurar NAT
Verifique que no hay conectividad
La figura es una configuración NAT estática simple aplicada a ambas interfaces.
entre la red interna y la externa
El router siempre traduce los paquetes provenientes del host interno de la red
Configure en R2 NAT estático.
con la dirección privada de 192.168.10.254 ipanat una dirección
inside source externa
static 192.168.10.254 de
209.165.200.254
209.165.200.254. Considere a se0/0/1 inside y a
se0/0/0 como outside
Verifque:
Desde S2: ping 209.165.200.254 ok
ping 192.168.10.254 no
Desde S1: ping 209.165.202.2 ok
Desde PC1: ping 209.165.202.2 no
En simulación: ver en R2 ping de S1 a S2
ver ping desde S2 a 209.165.200.254
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 12
Configuración de NAT estática
Verificación de NAT estática
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 13
Configuración de NAT dinámica
Configuración NAT DINÁMICO.
1.- Verifique
Para configurar NAT dinámica, necesita una ACL que que no hay conectividad
seleccione las
entre S2 y PC1/PC2, en amos sentidos.
direcciones que se traducirán.
2.- Configure NAT-POOL-1 en R2:
inside outside - ip nat pool NAT-POOL-1 209.165.200.226
209.165.200.240 netmask 255.255.255.224
3.- Configure la ACL1 en R2:
- access-list 1 permit 192.168.20.0 0.0.0.255
4.- Configure NAT relacionando el ACL y
el POOL
- ip nat inside source list 1 pool NAT-POOL-1
5.- Configure las interfaces.
6.- Verifique la conectividad de PC1 a S2.
Determine que dirección pública se le
asignó.
7.- Verifique la conectividad de PC2 a S2
Determine si se le ha asignado una
IP pública diferente.
8.- Determine si S2 puede hacer ping a
PC1 (192.168.20.10)
La configuración permite la traducción para todos los hosts de las redes
192.168.10.0 y 192.168.11.0 cuando generan tráfico que entra por S0/0/0 y sale
por S0/1/0. Estos hosts se traducen a una dirección disponible del rango
209.165.200.226 a 209.165.200.240.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 14
Configuración de NAT dinámica
Verificación de NAT dinámica
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 15
Configuración de la sobrecarga deConfiguración
NAT para una de NAT con
única Sobrecarga
dirección IP pública
1.- Borre la configuración de NAT dinámico.
2.- Borre el pool
3.- Mantenga la ACL 1
4.- Configure NAT con sobrecarga
- ip nat inside source list 1 interface se0/0/0 overload
5.- Verifique la conectividad de PC1 y PC2 con S2
6.- Verifique que ambas PC´s usan la misma IP
- show ip nat translations
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 16
Configuración de la traducción de la dirección del puerto (PAT)
Verificación de PAT
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 17
Configuración de la sobrecarga de NAT para un conjunto de
direcciones IP públicas
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 19
Reenvío de puertos
Ejemplo de SOHO
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 20
Use el PT “reenvio”
Reenvío de puertos Configure las IPs y el Nat estático
Configuración de reenvíocon
denúmero
puertos con IOS
de puerto
En IOS, el reenvío de puertos es, básicamente, una
traducción de NAT estática con un número de puerto
TCP o UDP específico.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 21
¿NAT para IPv6?
Con una dirección de 128 bits, IPv6 proporciona
340 sextillones de direcciones. Por lo tanto, el espacio de
direcciones no es un problema.
IPv6 se desarrolló con la intención de que la NAT para IPv4
con su traducción entre direcciones IPv4 públicas y privadas
resulte innecesaria.
Sin embargo, IPv6 implementa una forma de NAT.
IPv6 incluye su propio espacio de direcciones IPv6 privadas y
NAT, que se implementan de manera distinta de como se
hace para IPv4.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 22
Direcciones IPv6 locales únicas
Las direcciones IPv6 locales únicas (ULA) se asemejan a las
direcciones privadas en IPv4, pero también existen
diferencias considerables.
El objetivo de las ULA es proporcionar espacio de direcciones
IPv6 para las comunicaciones dentro de un sitio local, no
tienen el propósito de proporcionar espacio adicional de
direcciones IPv6 ni un nivel de seguridad.
Las ULA tienen el prefijo FC00::/7, lo que produce un rango
que va desde FC00 hasta FDFF.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 23
Resolución de problemas de NAT: comandos show
Paso 1. Defina claramente lo que debe lograr la NAT.
Paso 2. Verifique que las traducciones sean correctas use:
show ip nat translations.
Paso 3. Verifique si se vuelven a crear las entradas dinámicas después
de borrarlas, use los comandos clear y debug.
Paso 4. Revise en detalle lo que sucede con el paquete use:
show ip nat statistics y show ip nat translations
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 24
Resolución de problemas de NAT: comando debug
El comando debug ip nat, muestra información sobre cada paquete que
traduce el router.
El comando debug ip nat detailed genera una descripción de cada
paquete que se tiene en cuenta para traducir.
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 25
Caso práctico
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 26
Caso práctico
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 27
Actividades prácticas
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 28