• Author / Uploaded
• venusina123

Citation preview

TECSUP

Routers: NAT

Laboratorio: Router NAT

Objetivos: 1. Evaluar y aplicar el uso del NAT. 2. Dominar el manejo del NAT en CISCO. 3. Combinar control de acceso con NAT.

Equipos, Materiales, Programas y Recursos:

    

Una computadora con Sistema Operativo Windows XP. Emulador de Terminal: Hiperterminal. Routers Cisco 1750 y 2600 con cables de consola. Cables WAN DB60-V35Male (DTE) Cables WAN DB60-V35female (DCE)

Introducción: El uso de redes de computadoras en las empresas ha crecido y continúa creciendo drásticamente, en la mayoría de estos casos estas redes son de uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las direcciones IP públicas hace que adquirirlas sea costoso, razón por la cuál las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son inválidas para su uso fuera de la red interna. Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traducción de direcciones que permita que con una sola conexión a la red de redes y unas cuantas direcciones IP válidas, de esta manera se puede tener un buen control sobre la seguridad de la red y sobre el tipo de información intercambiada con redes externas.

Seguridad:

    

Ubicar maletines y/o mochilas en el gabinete al final de aula de Laboratorio. No ingresar con líquidos ni comida al aula de Laboratorio. Tener cuidado en conectar los equipos utilizando cable y enchufes en buen estado. Asegurarse de conectar y desconectar los dispositivos cuando estén apagados. Al culminar la sesión de laboratorio, apagar correctamente la computadora y el monitor.

Preparación: El alumno debe haber revisado previamente el material que se encuentra en el Tecsup Virtu@l.

Dpto. de Informática

Pág. 1

Fundamento Teórico: Seguridad Perimetral: La recomendación “X.800: Arquitectura de Seguridad de la Interconexión de Sistemas Abiertos” del ITU-T, define los elementos arquitectónicos relacionados con la seguridad de la información en sistemas abiertos; como ataques, servicios y mecanismos. La recomendación “X.805: Arquitectura de Seguridad para Sistemas que proporcionan Comunicación extremo a extremo”, ofrece una aproximación a la seguridad en lo que respecta al mantenimiento, control y uso de la infraestructura de la red. Traslación de direcciones: Es un método mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a los equipos finales. Existen muchas variantes de traslación de direcciones que se prestan a distintas aplicaciones. Las traslaciones de direcciones nos permiten: Permite a una organización aparentar usar su red de IP con direcciones diferentes a las que realmente usa. Permite convertir espacio de IP no enrutable en direcciones enrutables. En una zona con un conjunto de direcciones de red privadas puede ser habilitada la traslación de ip´s para comunicarse con una red externa mapeando dinámicamente el conjunto de direcciones privadas a un conjunto de direcciones de red válidas globalmente, cada dirección tiene garantizada una dirección global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener acceso simultáneo a la red externa son limitados por el número de direcciones en el conjunto global. Direcciones locales individuales pueden ser estáticamente mapeadas a direcciones globales específicas para asegurarse acceso garantizado hacia fuera o para permitir acceso al host local desde hosts externos mediante una dirección pública fija. Sesiones múltiples simultáneas pueden ser iniciadas desde un nodo local, usando el mismo mapeo de dirección. Tipos de traslación de direcciones ip: Existen dos tipos de traslación ip: Traslación a una estática: En el caso de asignación estática de direcciones, existe un mapeo uno a uno de direcciones para las máquinas entre una dirección privada de red y una dirección externa de red durante el tiempo en funcionamiento del NAT. La asignación estática de direcciones asegura que NAT no tiene que administrar la gestión de direcciones con los flujos de sesión. Es útil cuando un host debe ser accesible desde el exterior mediante una dirección fija. Traslación a una dinámica: En este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. Cuando la última de las sesiones que use una dirección asociada termine, NAT liberará la asociación para que la dirección global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignación de direcciones es específica de cada implementación de NAT. Establece un mapeo entre las direcciones inside local y un pool de direcciones globales.

TECSUP

Routers: NAT

Procedimiento:

1. Indicar cuales son los números IP de las redes privadas. Las direcciones de internet privadas son: Nombre

rango de direcciones IP

número de IPs

descripción de la clase

mayor bloque de CIDR

bloque de 24 bits

10.0.0.0 – 10.255.255.255

16.777.216

clase A simple

10.0.0.0/8

bloque de 20 bits

172.16.0.0 – 172.31.255.255

1.048.576

16 clases B continuas

172.16.0.0/12

bloque de 16 bits

192.168.0.0 – 192.168.255.255

65.536

256 clases C continuas

192.168.0.0/16

bloque de 16 bits

169.254.0.0 – 169.254.255.255

65.536

clase B simple

169.254.0.0/16

2. En la siguiente Red Planifique la utilización de la numeración IP de la Red LAN Privada, la Red WAN y la Red LAN del proveedor.

10.1.1.1 / 8

LAN Privada

IP Pública

R Red WAN servidor web www.tecsup.edu.pe

PC1

PC2

3. Establezca la conectividad en las siguientes redes.  Asignar IP a las PC.  Asignar las IP en las interfaces Ethenet de los ROUTERs y activarlas.

Dpto. de Informática

Pág. 3

Asignación de ip´s a interfaces del router   

Asignar IP en las interfaces seriales de los ROUTERs, utilizar el protocolo PPP, Clock (si es necesario) y activarlas. Instale un servidor WEB (Port….…) Instale un servidor FTP (Port….…)

4. Pruebas de conectividad.  Compruebe la conectividad con el comando Ping desde el la ventana de comando.  Compruebe que PC1 y PC2 tenga acceso al servidor WEB y al servidor TFP.

Prueba de conectividad

Prueba de acceso a servidor ftp

Prueba de acceso a servidor web

TECSUP

Routers: NAT

CONFIGURACIÓN DE TRADUCTOR DE DIRECCIÓN DE RED (NAT) ESTÁTICO: Para configurar NAT estático se deben seguir los siguientes pasos: Definir el mapeo de las direcciones estáticas: ip nat inside source static local-ip global-ip ip nat inside source static network local-network global-network mask Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside

Ejemplo:

R# configure terminal R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1 R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R#

PRUEBAS (PC1) ACCIÓN conexión al servicio Web

RESULTADO Permitido

Ping a la IP del servidor

Permitido

# netstat –a –n | grep tcp

192.3.4.1

Que IP origen aparece  Verificación de una configuración NAT Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado): show ip nat translations

Dpto. de Informática

Pág. 5

show ip nat translations verbose

show ip nat statistics

debug ip nat (no debug ip nat)

clear ip nat translations

…elimina todas las traslaciones NAT

TECSUP

Routers: NAT

5. CONFIGURACIÓN DE TRADUCTOR DE DIRECCIÓN DE RED (NAT) DINÁMICO: Para configurar NAT dinámico se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales: ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslación access-list access-list-number permit source {source-wildcard} Configurar NAT dinámico basado en la dirección origen ip nat inside source list access-list-number pool name Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside

Ejemplo:

R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit

Configuración NAT dinámico R# show ip nat translations

Dpto. de Informática

Pág. 7

PRUEBAS (PC1) ACCIÓN conexión al servicio Web

RESULTADO

Ping a la IP del servidor

Permitido Permitido

# netstat –a –n | grep tcp

198.3.4.1

Que IP origen aparece 

Verificación de una configuración NAT Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado): show ip nat translations

show ip nat translations verbose

TECSUP

Routers: NAT

show ip nat statistics

debug ip nat (no debug ip nat) clear ip nat translations

…elimina todas las traslaciones NAT

6. CONFIGURACIÓN TRADUCCIÓN DE DIRECCIÓN DE RED Y PUERTO – NAPT Para configurar NAPT se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales (puede ser una sola dirección): ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslación access-list access-list-number permit source {source-wildcard} Configurar PAT basado en la dirección origen ip nat inside source list access-list-number pool name overload Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside Ejemplo: Usaremos hasta 30 direcciones internas globales, cada una de las cuales hace NAPT

R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc overload R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit Dpto. de Informática

Pág. 9

R# show ip nat translations

Prueba de conectividad desde la red global

TECSUP

Routers: NAT

Traslación de direcciones Verificación de una configuración NAT Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado): show ip nat translations

show ip nat translations verbose

show ip nat statistics

Dpto. de Informática

Pág. 11

debug ip nat (no debug ip nat)

clear ip nat translations

Eliminando todas las traslaciones NAT

Observaciones: Se debe especificar de forma precisa las interfaces que servirán de entrada o salida para la interconexión con otras redes. Se deben utilizar las direcciones privadas de manera predeterminada, la traducción de direcciones de red utiliza el identificador de red privada. Es posible utilizar un rango de direcciones, pueden escribirse como un intervalo o serie de intervalos; para ello se debe indicar las direcciones IP de inicio y de final. Las traslaciones de dirección incrementan el retardo debido a la traducción.

Conclusiones: NAT permite al router, actuar como un agente entre Internet (red pública) y una red local (red privada), donde solo hace falta una única dirección IP para representar a un grupo de equipos. Además se encarga de variar el puerto asociado a una dirección IP, por lo que es válido asociar una sola IP a todo un grupo de ordenadores. Implementando NAT se crea una especie de Firewall entre la red interna y las redes externas, o entre la red interna e Internet. NAT solo permite conexiones que se originen dentro del dominio. En esencia, esto significa que un ordenador en una red externa no puede conectarse con un equipo de la red interna directamente a menos que el equipo de la red interna inicie la conexión. Mediante NAT también se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que lleguen sean dirigidas a una máquina concreta que haya sido determinada en la red local.

TECSUP

Routers: NAT

INFORME Se deberá presentar un informe, al iniciar el siguiente laboratorio, el cual debe constar de: 1. Carátula:  Logo de la Institución  Nombre del curso  Nombre del Laboratorio  Nombre de los integrantes  Sección a la que pertenecen  Fecha de presentación  Nombre del profesor. 2. Fundamento teórico:  Se deberá incluir una hoja donde se desarrolle conceptos teóricos complementarios a los desarrollados en clase. En algunos casos se incluirán temas que sirvan como referencia. Temas.  Concepto Seguridad Perimetral  Traslación de Direcciones  Tipos de traslación de direcciones IP 3. Resultados del laboratorio.  Se deberá incluir los procedimientos y resultados desarrollados. 4. Observaciones y conclusiones.  En esta sección contiene la síntesis de los resultados alcanzados a la finalización de la experiencia. 5. Aplicación de lo aprendido.  En esta sección se especifica el uso que se puede dar a lo aprendido de la experiencia práctica. En algunos casos se incluirán algunas referencias.  Desarrollar un proyecto de un ISP para su localidad donde reside en el cual se requiere dar conexión a Internet a 150 hogares y 50 cabinas de internet cada cabina utilizara 20 computadoras, se pide lo siguiente: o o o o o o

Indicar la tecnología de acceso a los usuarios a utilizar fundamentar. Diagrama topológico de la red a Implementar Indicar los equipos a utilizar tanto en lado central y usuarios domésticos y cabinas. Indicar costo de proyecto Calcular el Ancho de Banda a adquirir a proveedor de Internet Detalle de gabinete de los equipos a usar en lado central.

Dpto. de Informática

Pág. 13

o

Detallar el cronograma del proyecto para su implementación.

Actividades 1 Realizar un estudio de la zona Identificar los puntos de red Elaborar diagrama de red Estimar costos de implementación Implementar y configurar router central Realizar pruebas de conectividad

o

2

3

Configuración de Equipo Central

interface FastEthernet0/0 Description Primary link ISP1 ip address 192.168.26.1 255.255.255.0 ip nat outside

interface FastEthernet1/0 Description Secondary link ISP2 ip address 192.168.10.1 255.255.255.0 ip nat outside

interface FastEthernet1/1 Description Inside LAN segment ip address 172.168.60.1 255.255.255.0 ip nat inside

4

5

6

TECSUP

Routers: NAT

access-list 100 permit ip 172.168.60.0 0.0.0.255 any

route-map isp1 permit 10 match ip address 100 match interface FastEthernet0/0

route-map isp2 permit 10 match ip address 100 match interface FastEthernet1/0

ip nat inside source route-map isp1 interface FastEthernet0/0 overload ip nat inside source route-map isp2 interface FastEthernet1/0 overload

ip route 0.0.0.0 0.0.0.0 192.168.26.1 ip route 0.0.0.0 0.0.0.0 192.168.10.1 10

route-map isp1static permit 10 match interface FastEthernet0/0

route-map isp2static permit 10 match interface FastEthernet1/0

ip nat inside source static 172.168.60.2 192.168.26.1 route-map isp1static ip nat inside source static 172.168.60.2 192.168.10.1 route-map isp2static

Dpto. de Informática

Pág. 15

Redes y Comunicaciones de Datos Rúbrica

d) Los estudiantes diseñan y optimizan sistemas de redes de computadoras y comunicaciones de datos con creatividad. Resultado "d": Criterio de desempeño :

d.2 Diseña aplicaciones para la administración de sistemas de hardware y software

Curso:

Comunicaciones de Datos II Traslación de Direcciones IP (NAT)

Actividad: Nombre del alumno

Sección:

Semestre:

5

Semana:

9

Docente:

Periodo:

Fecha:

Excelente

Bueno

Requiere Mejora

No aceptable

Determina las características de los equipos para su compatibilidad en la configuración de la red ( laboratorio)

4

3

2

1-0

Planifica el uso de las direcciones públicas y las privadas.

4

3

2

1-0

Configura los equipos de acuerdo a protocolo estándar , instala y prueba su configuración (laboratorio)

4

3

2

1-0

Describe la secuencia correcta de las operaciones y presenta conclusiones y recomendaciones. (informe en archivo electrónico)

4

3

2

1-0

Configura una red modelo de acuerdo a los criterios aprendidos (Informe en archivo electrónico)

4

3

2

1-0

CRITERIOS A EVALUACIÓN

Puntaje Logrado

Puntaje Total

Puntaje

Excelente

4

Bueno

3

Requiere mejora No Aceptable

2 1-0

Descripción Demuestra un completo entendimiento del problema o realiza la actividad cumpliendo todos los requerimientos especificados. Demuestra un considerable entendimiento del problema o realiza la actividad cumpliendo con la mayoría de los requerimientos especificados Demuestra un bajo entendimiento del problema o realiza la actividad cumpliendo con la pocos de los requerimientos especificados.. No demuestra entendimiento del problema o de la actividad.