Lab - NAT
Lab - NAT
Lab - NAT
Routers: NAT
Objetivos: 1. Evaluar y aplicar el uso del NAT. 2. Dominar el manejo del NAT en CISCO. 3. Combinar control de acceso con NAT.
Una computadora con Sistema Operativo Windows XP. Emulador de Terminal: Hiperterminal. Routers Cisco 1750 y 2600 con cables de consola. Cables WAN DB60-V35Male (DTE) Cables WAN DB60-V35female (DCE)
Introduccin: El uso de redes de computadoras en las empresas ha crecido y contina creciendo drsticamente, en la mayora de estos casos estas redes son de uso exclusivo interno, requiriendo que una mnima cantidad de terminales tengan acceso a redes externas. Adems, el rpido agotamiento de las direcciones IP pblicas hace que adquirirlas sea costoso, razn por la cul las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son invlidas para su uso fuera de la red interna. Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traduccin de direcciones que permita que con una sola conexin a la red de redes y unas cuantas direcciones IP vlidas, de esta manera se puede tener un buen control sobre la seguridad de la red y sobre el tipo de informacin intercambiada con redes externas.
Seguridad:
Ubicar maletines y/o mochilas en el gabinete al final de aula de Laboratorio. No ingresar con lquidos ni comida al aula de Laboratorio. Tener cuidado en conectar los equipos utilizando cable y enchufes en buen estado. Asegurarse de conectar y desconectar los dispositivos cuando estn apagados. Al culminar la sesin de laboratorio, apagar correctamente la computadora y el monitor.
Preparacin: El alumno debe haber revisado previamente el material que se encuentra en el Tecsup Virtu@l.
Dpto. de Informtica
Pg. 1
Fundamento Terico: Seguridad Perimetral: La recomendacin X.800: Arquitectura de Seguridad de la Interconexin de Sistemas Abiertos del ITU-T, define los elementos arquitectnicos relacionados con la seguridad de la informacin en sistemas abiertos; como ataques, servicios y mecanismos. La recomendacin X.805: Arquitectura de Seguridad para Sistemas que proporcionan Comunicacin extremo a extremo, ofrece una aproximacin a la seguridad en lo que respecta al mantenimiento, control y uso de la infraestructura de la red. Traslacin de direcciones: Es un mtodo mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a los equipos finales. Existen muchas variantes de traslacin de direcciones que se prestan a distintas aplicaciones. Las traslaciones de direcciones nos permiten: Permite a una organizacin aparentar usar su red de IP con direcciones diferentes a las que realmente usa. Permite convertir espacio de IP no enrutable en direcciones enrutables. En una zona con un conjunto de direcciones de red privadas puede ser habilitada la traslacin de ips para comunicarse con una red externa mapeando dinmicamente el conjunto de direcciones privadas a un conjunto de direcciones de red vlidas globalmente, cada direccin tiene garantizada una direccin global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener acceso simultneo a la red externa son limitados por el nmero de direcciones en el conjunto global. Direcciones locales individuales pueden ser estticamente mapeadas a direcciones globales especficas para asegurarse acceso garantizado hacia fuera o para permitir acceso al host local desde hosts externos mediante una direccin pblica fija. Sesiones mltiples simultneas pueden ser iniciadas desde un nodo local, usando el mismo mapeo de direccin. Tipos de traslacin de direcciones ip: Existen dos tipos de traslacin ip: Traslacin a una esttica: En el caso de asignacin esttica de direcciones, existe un mapeo uno a uno de direcciones para las mquinas entre una direccin privada de red y una direccin externa de red durante el tiempo en funcionamiento del NAT. La asignacin esttica de direcciones asegura que NAT no tiene que administrar la gestin de direcciones con los flujos de sesin. Es til cuando un host debe ser accesible desde el exterior mediante una direccin fija. Traslacin a una dinmica: En este caso, las direcciones externas son asignadas a las mquinas de la red privada, o viceversa, de manera dinmica, basndose en los requisitos de uso y el flujo de sesin que el NAT determine heursticamente. Cuando la ltima de las sesiones que use una direccin asociada termine, NAT liberar la asociacin para que la direccin global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignacin de direcciones es especfica de cada implementacin de NAT. Establece un mapeo entre las direcciones inside local y un pool de direcciones globales.
TECSUP
Routers: NAT
Procedimiento:
1. Indicar cuales son los nmeros IP de las redes privadas. Las direcciones de internet privadas son: Nombre bloque de 24 bits bloque de 20 bits bloque de 16 bits bloque de 16 bits rango de direcciones IP 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.255 169.254.0.0 169.254.255.255 nmero de IPs 16.777.216 1.048.576 65.536 65.536 descripcin de la clase clase A simple 16 clases B continuas 256 clases C continuas clase B simple mayor bloque de CIDR 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16
2. En la siguiente Red Planifique la utilizacin de la numeracin IP de la Red LAN Privada, la Red WAN y la Red LAN del proveedor.
10.1.1.1 / 8
IP Pblica
LAN Privada
R
Red WAN
servidor web www.tecsup.edu.pe
PC1
PC2
3. Establezca la conectividad en las siguientes redes. Asignar IP a las PC. Asignar las IP en las interfaces Ethenet de los ROUTERs y activarlas.
Dpto. de Informtica
Pg. 3
Asignar IP en las interfaces seriales de los ROUTERs, utilizar el protocolo PPP, Clock (si es necesario) y activarlas. Instale un servidor WEB (Port.) Instale un servidor FTP (Port.)
4. Pruebas de conectividad. Compruebe la conectividad con el comando Ping desde el la ventana de comando. Compruebe que PC1 y PC2 tenga acceso al servidor WEB y al servidor TFP.
Prueba de conectividad
TECSUP
Routers: NAT
CONFIGURACIN DE TRADUCTOR DE DIRECCIN DE RED (NAT) ESTTICO: Para configurar NAT esttico se deben seguir los siguientes pasos: Definir el mapeo de las direcciones estticas: ip nat inside source static local-ip global-ip ip nat inside source static network local-network global-network mask Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside
Ejemplo:
R# configure terminal R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1 R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R#
PRUEBAS (PC1) ACCIN conexin al servicio Web Ping a la IP del servidor # netstat a n | grep tcp Que IP origen aparece
Verificacin de una configuracin NAT Usamos los siguientes comandos para verificar que la configuracin NAT es correcta (desde modo privilegiado): show ip nat translations
Dpto. de Informtica
Pg. 5
TECSUP
Routers: NAT
5. CONFIGURACIN DE TRADUCTOR DE DIRECCIN DE RED (NAT) DINMICO: Para configurar NAT dinmico se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales: ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslacin access-list access-list-number permit source {source-wildcard} Configurar NAT dinmico basado en la direccin origen ip nat inside source list access-list-number pool name Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside
Ejemplo:
R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit
Dpto. de Informtica
Pg. 7
PRUEBAS (PC1) ACCIN conexin al servicio Web Ping a la IP del servidor # netstat a n | grep tcp Que IP origen aparece
Verificacin de una configuracin NAT Usamos los siguientes comandos para verificar que la configuracin NAT es correcta (desde modo privilegiado): show ip nat translations
TECSUP
Routers: NAT
6. CONFIGURACIN TRADUCCIN DE DIRECCIN DE RED Y PUERTO NAPT Para configurar NAPT se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales (puede ser una sola direccin): ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslacin access-list access-list-number permit source {source-wildcard} Configurar PAT basado en la direccin origen ip nat inside source list access-list-number pool name overload Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside Ejemplo: Usaremos hasta 30 direcciones internas globales, cada una de las cuales hace NAPT
R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc overload R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit
Dpto. de Informtica Pg. 9
TECSUP
Routers: NAT
Traslacin de direcciones Verificacin de una configuracin NAT Usamos los siguientes comandos para verificar que la configuracin NAT es correcta (desde modo privilegiado): show ip nat translations
Dpto. de Informtica
Pg. 11
Observaciones: Se debe especificar de forma precisa las interfaces que servirn de entrada o salida para la interconexin con otras redes. Se deben utilizar las direcciones privadas de manera predeterminada, la traduccin de direcciones de red utiliza el identificador de red privada. Es posible utilizar un rango de direcciones, pueden escribirse como un intervalo o serie de intervalos; para ello se debe indicar las direcciones IP de inicio y de final. Las traslaciones de direccin incrementan el retardo debido a la traduccin.
Conclusiones: NAT permite al router, actuar como un agente entre Internet (red pblica) y una red local (red privada), donde solo hace falta una nica direccin IP para representar a un grupo de equipos. Adems se encarga de variar el puerto asociado a una direccin IP, por lo que es vlido asociar una sola IP a todo un grupo de ordenadores. Implementando NAT se crea una especie de Firewall entre la red interna y las redes externas, o entre la red interna e Internet. NAT solo permite conexiones que se originen dentro del dominio. En esencia, esto significa que un ordenador en una red externa no puede conectarse con un equipo de la red interna directamente a menos que el equipo de la red interna inicie la conexin. Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que lleguen sean dirigidas a una mquina concreta que haya sido determinada en la red local.
TECSUP
Routers: NAT
INFORME Se deber presentar un informe, al iniciar el siguiente laboratorio, el cual debe constar de: 1. Cartula: Logo de la Institucin Nombre del curso Nombre del Laboratorio Nombre de los integrantes Seccin a la que pertenecen Fecha de presentacin Nombre del profesor. 2. Fundamento terico: Se deber incluir una hoja donde se desarrolle conceptos tericos complementarios a los desarrollados en clase. En algunos casos se incluirn temas que sirvan como referencia. Temas. Concepto Seguridad Perimetral Traslacin de Direcciones Tipos de traslacin de direcciones IP 3. Resultados del laboratorio. Se deber incluir los procedimientos y resultados desarrollados. 4. Observaciones y conclusiones. En esta seccin contiene la sntesis de los resultados alcanzados a la finalizacin de la experiencia. 5. Aplicacin de lo aprendido. En esta seccin se especifica el uso que se puede dar a lo aprendido de la experiencia prctica. En algunos casos se incluirn algunas referencias. Desarrollar un proyecto de un ISP para su localidad donde reside en el cual se requiere dar conexin a Internet a 150 hogares y 50 cabinas de internet cada cabina utilizara 20 computadoras, se pide lo siguiente: o o o o o o Indicar la tecnologa de acceso a los usuarios a utilizar fundamentar. Diagrama topolgico de la red a Implementar Indicar los equipos a utilizar tanto en lado central y usuarios domsticos y cabinas. Indicar costo de proyecto Calcular el Ancho de Banda a adquirir a proveedor de Internet Detalle de gabinete de los equipos a usar en lado central.
Dpto. de Informtica
Pg. 13
Actividades 1 Realizar un estudio de la zona Identificar los puntos de red Elaborar diagrama de red Estimar costos de implementacin Implementar y configurar router central Realizar pruebas de conectividad
interface FastEthernet0/0 Description Primary link ISP1 ip address 192.168.26.1 255.255.255.0 ip nat outside
interface FastEthernet1/0 Description Secondary link ISP2 ip address 192.168.10.1 255.255.255.0 ip nat outside
interface FastEthernet1/1 Description Inside LAN segment ip address 172.168.60.1 255.255.255.0 ip nat inside
TECSUP
Routers: NAT
ip nat inside source route-map isp1 interface FastEthernet0/0 overload ip nat inside source route-map isp2 interface FastEthernet1/0 overload
ip nat inside source static 172.168.60.2 192.168.26.1 route-map isp1static ip nat inside source static 172.168.60.2 192.168.10.1 route-map isp2static
Dpto. de Informtica
Pg. 15
d) Los estudiantes disean y optimizan sistemas de redes de computadoras y comunicaciones de datos con creatividad.
Resultado "d": Criterio de desempeo : Curso: Actividad: Nombre del alumno
Periodo:
Fecha:
CRITERIOS A EVALUACIN Determina las caractersticas de los equipos para su compatibilidad en la configuracin de la red ( laboratorio) Planifica el uso de las direcciones pblicas y las privadas. Configura los equipos de acuerdo a protocolo estndar , instala y prueba su configuracin (laboratorio) Describe la secuencia correcta de las operaciones y presenta conclusiones y recomendaciones. (informe en archivo electrnico) Configura una red modelo de acuerdo a los criterios aprendidos (Informe en archivo electrnico)
Excelente
Bueno
Requiere Mejora
No aceptable
Puntaje Logrado
4 4
3 3
2 2
1-0 1-0
1-0
1-0
1-0
Puntaje Total
Puntaje
Excelente
Bueno
2 1-0
Descripcin Demuestra un completo entendimiento del problema o realiza la actividad cumpliendo todos los requerimientos especificados. Demuestra un considerable entendimiento del problema o realiza la actividad cumpliendo con la mayora de los requerimientos especificados Demuestra un bajo entendimiento del problema o realiza la actividad cumpliendo con la pocos de los requerimientos especificados.. No demuestra entendimiento del problema o de la actividad.