• Author / Uploaded
• Sergio Tejedor

Citation preview

Práctica de laboratorio: Resolución de problemas de configuración NAT (Versión para el instructor - Práctica de laboratorio opcional) Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente. Las actividades opcionales están elaboradas para mejorar la compresión o proporcionar práctica adicional.

Topología

Tabla de direccionamiento Dispositivo Gateway

Interfaces

IP Address (Dirección IP)

Máscara de subred

Gateway predeterminado

G0/1

192.168.1.1

255.255.255.0

N/D

S0/0/1

209.165.200.225

255.255.255.252

N/D

S0/0/0 (DCE)

209.165.200.226

255.255.255.252

N/D

Lo0

198.133.219.1

255.255.255.255

N/D

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.1.4

255.255.255.0

192.168.1.1

ISP

Objetivos Parte 1: Armar la red y configurar los parámetros básicos de los dispositivos Parte 2: Resolver problemas de la NAT estática Parte 3: Resolver problemas de la NAT dinámica

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 1 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT

Aspectos básicos/situación En esta práctica de laboratorio, la configuración del router Gateway estuvo a cargo de un administrador de red inexperto de la empresa. Varios errores en la configuración produjeron problemas de NAT. El jefe le solicitó a usted que resuelva y corrija los errores de NAT, y que documente su trabajo. Asegúrese de que la red admita lo siguiente: • •

La PC-A funciona como servidor web con una NAT estática y se debe poder llegar a dicha computadora desde el exterior a través de la dirección 209.165.200.254. La PC-B funciona como equipo host y recibe dinámicamente una dirección IP del conjunto de direcciones creado con el nombre NAT_POOL, que usa el rango 209.165.200.240/29.

Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: Asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte al instructor. Nota para el instructor: Consulte el manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.

Recursos necesarios •

2 routers (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)

•

1 switch (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)

•

2 PC (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)

•

Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola

•

Cables Ethernet y seriales, como se muestra en la topología

Parte 1.

Armar la red y configurar los ajustes básicos de los dispositivos

En la parte 1, establecerá la topología de la red y configurará los routers con los parámetros básicos. Se incluyen configuraciones adicionales relacionadas con NAT. La configuración NAT para el router Gateway contiene los errores que usted identificará y corregirá a medida que avance con la práctica de laboratorio.

Paso 1. Realizar el cableado de red tal como se muestra en la topología Paso 2. Configurar los equipos host Paso 3. Inicializar y vuelva a cargar el switch y los routers Paso 4. Configurar los ajustes básicos de cada router a. Acceda al router e ingrese al modo de configuración global. b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el router. no ip domain-lookup service password-encryption enable secret class banner motd # © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 2 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT Unauthorized access is strictly prohibited. # línea con 0 password cisco login logging synchronous line vty 0 4 password cisco login c.

Configure el nombre de host como se muestra en la topología.

d. Copie la configuración en ejecución en la configuración de inicio

Paso 5. Configurar el routing estático a. Cree una ruta estática del router ISP al router Gateway con el rango asignado de direcciones de red públicas 209.165.200.224/27. ISP(config)# ip route 209.165.200.224 255.255.255.224 s0/0/0 b. Cree una ruta predeterminada del router Gateway al router ISP. Gateway(config)# ip route 0.0.0.0 0.0.0.0 s0/0/1

Paso 6. Cargar las configuraciones de los routers Se incluyen las configuraciones de los routers. La configuración del router Gateway contiene errores. Identifique y corrija los errores de configuración. Configuración del router Gateway interface g0/1 ip nat outside ! ip nat inside no shutdown interface s0/0/0 ip nat outside ! no ip nat outside interface s0/0/1 ! ip nat outside no shutdown ip nat inside source static 192.168.2.3 209.165.200.254 ! ip nat inside source static 192.168.1.3 209.165.200.254 ip nat pool NAT_POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NATPOOL ! ip nat inside source list NAT_ACL pool NAT_POOL ip access-list standard NAT_ACL permit 192.168.10.0 0.0.0.255 ! permit 192.168.1.0 0.0.0.255 banner motd $AUTHORIZED ACCESS ONLY$ end

Paso 7. Guardar la configuración en ejecución en la configuración de arranque

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 3 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT

Parte 2.

Resolver problemas de la NAT estática

En la parte 2, examinará la NAT estática de la PC-A para determinar si se configuró correctamente. Resolverá los problemas de la situación hasta que se verifique la NAT estática correcta. a. Para resolver problemas de NAT, use el comando debug ip nat. Active la depuración de NAT para ver las traducciones en tiempo real a través del router Gateway. Gateway# debug ip nat b. En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ No. c.

En el router Gateway, introduzca el comando que permite ver todas las traducciones NAT actuales en dicho router. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ show ip nat translations Gateway# show ip nat translations Pro Inside global --- 209.165.200.254

Inside local 192.168.2.3

Outside local ---

Outside global ---

¿Por qué ve una traducción NAT en la tabla pero no se produjo ninguna cuando se hizo ping de la PC-A a la interfaz loopback del ISP? ¿Qué se necesita para corregir el problema? ____________________________________________________________________________________ La traducción estática es para una dirección local interna incorrecta. d. Registre todos los comandos que se necesitan para corregir el error de configuración NAT estática. ____________________________________________________________________________________ ____________________________________________________________________________________ Gateway(config)# no ip nat inside source static 192.168.2.3 209.165.200.254 Gateway(config)# ip nat inside source static 192.168.1.3 209.165.200.254 e. En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ No f.

En el router Gateway, introduzca el comando que permite observar la cantidad total de NAT actuales. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ show ip nat statistics Gateway# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended) Peak translations: 1, occurred 0:08:12 ago Outside interfaces: GigabitEthernet0/1, Serial0/0/0 Inside interfaces: Hits: 0 Misses: 0

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 4 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list NAT_ACL pool NATPOOL refcount 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

¿La NAT estática se realiza correctamente? ¿Por qué? ____________________________________________________________________________________ No se realiza ninguna traducción NAT porque las interfaces G0/1 y S0/0/0 se configuraron con el comando ip nat outside. No se asignó ningún área de interfaz activa como interna. g. En el router Gateway, introduzca el comando que permite ver la configuración actual del router. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ show running-config Gateway# show running-config Building configuration...

Current configuration : 1806 bytes ! versión 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! Redundancia ! interface GigabitEthernet0/0

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 5 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT no ip address shutdown duplex auto speed auto

! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address ip nat outside ip virtual-reassembly in shutdown clock rate 2000000 ! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.252 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat pool NAT_POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NATPOOL ip nat inside source static 192.168.1.3 209.165.200.254 ip route 0.0.0.0 0.0.0.0 Serial0/0/1 ! ip access-list standard NAT_ACL permit 192.168.10.0 0.0.0.255 ! ! ! ! control-plane ! ! banner motd ^CAUTHORIZED ACCESS ONLY^C ! línea con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 6 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

h. ¿Existe algún problema en la configuración actual que impida que se realice la NAT estática? ____________________________________________________________________________________ Sí. Las interfaces NAT interna y externa están mal configuradas. i.

Registre todos los comandos que se necesitan para corregir los errores de configuración NAT estática. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Gateway(config)# interface g0/1 Gateway(config-if)# no ip nat outside Gateway(config-if)# ip nat inside Gateway(config-if)# exit Gateway(config)# interface s0/0/0 Gateway(config-if)# no ip nat outside Gateway(config-if)# exit Gateway(config)# interface s0/0/1 Gateway(config-if)# ip nat outside Gateway(config-if)# exit

j.

En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ Sí * Mar 18 * Mar 18 Gateway# * Mar 18 * Mar 18 * Mar 18 Gateway# * Mar 18 * Mar 18 Gateway# * Mar 18

23:53:50.707: NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [187] 23:53:50.715: NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [187] 23:53:51.711: NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [188] 23:53:51.719: NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [188] 23:53:52.707: NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [189] 23:53:52.715: NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [189] 23:53:53.707: NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [190] 23:53:53.715: NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [190]

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 7 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT k.

Use el comando show ip nat translations verbose para verificar la funcionalidad de la NAT estática. Nota: El valor de tiempo de espera para ICMP es muy corto. Si no ve todas las traducciones en el resultado, vuelva a hacer el ping. Gateway# show ip nat translations verbose

Pro Inside global Inside local Outside local Outside global icmp 209.165.200.254:1 192.168.1.3:1 198.133.219.1:1 198.133.219.1:1 create 00:00:04, use 00:00:01 timeout:60000, left 00:00:58, flags: extended, use_count: 0, entry-id: 12, lc_entries: 0 --- 209.165.200.254 192.168.1.3 ----create 00:30:09, use 00:00:04 timeout:0, flags: static, use_count: 1, entry-id: 2, lc_entries: 0

¿La traducción de NAT estática se realiza correctamente? ____________________ Sí Si no se realiza la NAT estática, repita los pasos anteriores para resolver los problemas de configuración.

Parte 3.

Solucionar los problemas de NAT dinámica

a. En la PC-B, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ________________ No b. En el router Gateway, introduzca el comando que permite ver la configuración actual del router. ¿Existe algún problema en la configuración actual que impida que se realice la NAT dinámica? ____________________________________________________________________________________ Sí. El conjunto de NAT está mal identificado en la instrucción de origen. La lista de acceso de NAT tiene una instrucción network incorrecta. c.

Registre todos los comandos que se necesitan para corregir los errores de configuración NAT dinámica. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Gateway(config)# no ip nat inside source list NAT_ACL pool NATPOOL Gateway(config)# ip nat inside source list NAT_ACL pool NAT_POOL Gateway(config)# ip access-list standard NAT_ACL Gateway(config-std-nacl)# no permit 192.168.10.0 0.0.0.255 Gateway(config-std-nacl)# permit 192.168.1.0 0.0.0.255

d. En la PC-B, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ Sí *Mar 19 00:01:17.303: NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [198] *Mar 19 00:01:17.315: NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [198] Gateway# *Mar 19 0:01:18.307: NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [199] *Mar 19 0:01:18.315: NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [199]

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 8 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT *Mar 19 0:01:19.303: Gateway# *Mar 19 0:01:19.315: *Mar 19 0:01:20.303: *Mar 19 0:01:20.311:

NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [200] NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [200] NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [201] NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [201]

e. Use el comando show ip nat statistics para ver el uso de NAT. Gateway# show ip nat statistics

Total active translations: 2 (1 static, 1 dynamic; 0 extended) Peak translations: 3, occurred 0:02:58 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 24 Misses: 0 CEF Translated packets: 24, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: -- Inside Source [Id: 2] access-list NAT_ACL pool NAT_POOL refcount 1 pool NAT_POOL: netmask 255.255.255.248 start 209.165.200.241 end 209.165.200.246 type generic, total addresses 6, allocated 1 (16%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

¿La NAT se realiza correctamente? _______________ Sí ¿Qué porcentaje de direcciones dinámicas se asignó? __________ El 16% f.

Desactive toda depuración con el comando undebug all.

Reflexión 1. ¿Cuál es el beneficio de una NAT estática? _______________________________________________________________________________________ _______________________________________________________________________________________ Una NAT estática permite que los usuarios fuera de la LAN tengan acceso a la computadora o al servidor en la red interna. 2. ¿Qué problemas surgirían si 10 equipos host en esta red intentaran comunicarse con Internet al mismo tiempo? _______________________________________________________________________________________ _______________________________________________________________________________________ No existen suficientes direcciones públicas en el conjunto de NAT para admitir 10 sesiones de usuario simultáneas. A medida que se descarten hosts, diferentes hosts podrán solicitar direcciones del conjunto para acceder a Internet.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 9 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT

Tabla de resumen de interfaces de router Resumen de interfaces de router Modelo de router

Interfaz Ethernet 1

Interfaz Ethernet 2

Interfaz serial 1

Interfaz serial 2

1800

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1 (F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900

Gigabit Ethernet 0/0 (G0/0)

Gigabit Ethernet 0/1 (G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1 (F0/1)

Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811

Fast Ethernet 0/0 (F0/0)

Fast Ethernet 0/1 (F0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900

Gigabit Ethernet 0/0 (G0/0)

Gigabit Ethernet 0/1 (G0/1)

Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS para representar la interfaz.

Configuración de dispositivos Router Gateway Gateway#show run Building configuration... Current configuration : 1805 bytes ! versión 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! no ip domain lookup ip cef

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 10 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT no ipv6 cef ! multilink bundle-name authenticated ! Redundancia ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown ! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.252 ip nat outside ip virtual-reassembly in ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat pool NAT_POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NAT_POOL ip nat inside source static 192.168.1.3 209.165.200.254 ip route 0.0.0.0 0.0.0.0 Serial0/0/1 ! ip access-list standard NAT_ACL permit 192.168.1.0 0.0.0.255 ! control-plane ! banner motd ^CAUTHORIZED ACCESS ONLY^C !

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 11 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT línea con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router ISP ISP#show run Building configuration... Current configuration : 1482 bytes ! versión 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip cef ! no ipv6 cef multilink bundle-name authenticated ! interface Loopback0

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 12 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT ip address 198.133.219.1 255.255.255.255 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 209.165.200.226 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 209.165.200.224 255.255.255.224 Serial0/0/0 ! control-plane ! línea con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 13 de 14

Práctica de laboratorio: Resolución de problemas de configuración NAT login transport input all line vty 5 15 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 14 de 14