TECSUP Routers: NAT Laboratorio: Router NAT Objetivos: 1. Evaluar y aplicar el uso del NAT. 2. Dominar el manejo del
Views 976 Downloads 8 File size 1MB
TECSUP
Routers: NAT
Laboratorio: Router NAT
Objetivos: 1. Evaluar y aplicar el uso del NAT. 2. Dominar el manejo del NAT en CISCO. 3. Combinar control de acceso con NAT.
Equipos, Materiales, Programas y Recursos:
Una computadora con Sistema Operativo Windows XP. Emulador de Terminal: Hiperterminal. Routers Cisco 1750 y 2600 con cables de consola. Cables WAN DB60-V35Male (DTE) Cables WAN DB60-V35female (DCE)
Introducción: El uso de redes de computadoras en las empresas ha crecido y continúa creciendo drásticamente, en la mayoría de estos casos estas redes son de uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las direcciones IP públicas hace que adquirirlas sea costoso, razón por la cuál las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son inválidas para su uso fuera de la red interna. Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traducción de direcciones que permita que con una sola conexión a la red de redes y unas cuantas direcciones IP válidas, de esta manera se puede tener un buen control sobre la seguridad de la red y sobre el tipo de información intercambiada con redes externas.
Seguridad:
Ubicar maletines y/o mochilas en el gabinete al final de aula de Laboratorio. No ingresar con líquidos ni comida al aula de Laboratorio. Tener cuidado en conectar los equipos utilizando cable y enchufes en buen estado. Asegurarse de conectar y desconectar los dispositivos cuando estén apagados. Al culminar la sesión de laboratorio, apagar correctamente la computadora y el monitor.
Preparación: El alumno debe haber revisado previamente el material que se encuentra en el Tecsup Virtu@l.
Dpto. de Informática
Pág. 1
Fundamento Teórico: Seguridad Perimetral: La recomendación “X.800: Arquitectura de Seguridad de la Interconexión de Sistemas Abiertos” del ITU-T, define los elementos arquitectónicos relacionados con la seguridad de la información en sistemas abiertos; como ataques, servicios y mecanismos. La recomendación “X.805: Arquitectura de Seguridad para Sistemas que proporcionan Comunicación extremo a extremo”, ofrece una aproximación a la seguridad en lo que respecta al mantenimiento, control y uso de la infraestructura de la red. Traslación de direcciones: Es un método mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a los equipos finales. Existen muchas variantes de traslación de direcciones que se prestan a distintas aplicaciones. Las traslaciones de direcciones nos permiten: Permite a una organización aparentar usar su red de IP con direcciones diferentes a las que realmente usa. Permite convertir espacio de IP no enrutable en direcciones enrutables. En una zona con un conjunto de direcciones de red privadas puede ser habilitada la traslación de ip´s para comunicarse con una red externa mapeando dinámicamente el conjunto de direcciones privadas a un conjunto de direcciones de red válidas globalmente, cada dirección tiene garantizada una dirección global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener acceso simultáneo a la red externa son limitados por el número de direcciones en el conjunto global. Direcciones locales individuales pueden ser estáticamente mapeadas a direcciones globales específicas para asegurarse acceso garantizado hacia fuera o para permitir acceso al host local desde hosts externos mediante una dirección pública fija. Sesiones múltiples simultáneas pueden ser iniciadas desde un nodo local, usando el mismo mapeo de dirección. Tipos de traslación de direcciones ip: Existen dos tipos de traslación ip: Traslación a una estática: En el caso de asignación estática de direcciones, existe un mapeo uno a uno de direcciones para las máquinas entre una dirección privada de red y una dirección externa de red durante el tiempo en funcionamiento del NAT. La asignación estática de direcciones asegura que NAT no tiene que administrar la gestión de direcciones con los flujos de sesión. Es útil cuando un host debe ser accesible desde el exterior mediante una dirección fija. Traslación a una dinámica: En este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. Cuando la última de las sesiones que use una dirección asociada termine, NAT liberará la asociación para que la dirección global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignación de direcciones es específica de cada implementación de NAT. Establece un mapeo entre las direcciones inside local y un pool de direcciones globales.
TECSUP
Routers: NAT
Procedimiento:
1. Indicar cuales son los números IP de las redes privadas. Las direcciones de internet privadas son: Nombre
rango de direcciones IP
número de IPs
descripción de la clase
mayor bloque de CIDR
bloque de 24 bits
10.0.0.0 – 10.255.255.255
16.777.216
clase A simple
10.0.0.0/8
bloque de 20 bits
172.16.0.0 – 172.31.255.255
1.048.576
16 clases B continuas
172.16.0.0/12
bloque de 16 bits
192.168.0.0 – 192.168.255.255
65.536
256 clases C continuas
192.168.0.0/16
bloque de 16 bits
169.254.0.0 – 169.254.255.255
65.536
clase B simple
169.254.0.0/16
2. En la siguiente Red Planifique la utilización de la numeración IP de la Red LAN Privada, la Red WAN y la Red LAN del proveedor.
10.1.1.1 / 8
LAN Privada
IP Pública
R Red WAN servidor web www.tecsup.edu.pe
PC1
PC2
3. Establezca la conectividad en las siguientes redes. Asignar IP a las PC. Asignar las IP en las interfaces Ethenet de los ROUTERs y activarlas.
Dpto. de Informática
Pág. 3
Asignación de ip´s a interfaces del router
Asignar IP en las interfaces seriales de los ROUTERs, utilizar el protocolo PPP, Clock (si es necesario) y activarlas. Instale un servidor WEB (Port….…) Instale un servidor FTP (Port….…)
4. Pruebas de conectividad. Compruebe la conectividad con el comando Ping desde el la ventana de comando. Compruebe que PC1 y PC2 tenga acceso al servidor WEB y al servidor TFP.
Prueba de conectividad
Prueba de acceso a servidor ftp
Prueba de acceso a servidor web
TECSUP
Routers: NAT
CONFIGURACIÓN DE TRADUCTOR DE DIRECCIÓN DE RED (NAT) ESTÁTICO: Para configurar NAT estático se deben seguir los siguientes pasos: Definir el mapeo de las direcciones estáticas: ip nat inside source static local-ip global-ip ip nat inside source static network local-network global-network mask Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside
Ejemplo:
R# configure terminal R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1 R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit R#
PRUEBAS (PC1) ACCIÓN conexión al servicio Web
RESULTADO Permitido
Ping a la IP del servidor
Permitido
# netstat –a –n | grep tcp
192.3.4.1
Que IP origen aparece Verificación de una configuración NAT Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado): show ip nat translations
Dpto. de Informática
Pág. 5
show ip nat translations verbose
show ip nat statistics
debug ip nat (no debug ip nat)
clear ip nat translations
…elimina todas las traslaciones NAT
TECSUP
Routers: NAT
5. CONFIGURACIÓN DE TRADUCTOR DE DIRECCIÓN DE RED (NAT) DINÁMICO: Para configurar NAT dinámico se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales: ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslación access-list access-list-number permit source {source-wildcard} Configurar NAT dinámico basado en la dirección origen ip nat inside source list access-list-number pool name Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside
Ejemplo:
R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit
Configuración NAT dinámico R# show ip nat translations
Dpto. de Informática
Pág. 7
PRUEBAS (PC1) ACCIÓN conexión al servicio Web
RESULTADO
Ping a la IP del servidor
Permitido Permitido
# netstat –a –n | grep tcp
198.3.4.1
Que IP origen aparece
Verificación de una configuración NAT Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado): show ip nat translations
show ip nat translations verbose
TECSUP
Routers: NAT
show ip nat statistics
debug ip nat (no debug ip nat) clear ip nat translations
…elimina todas las traslaciones NAT
6. CONFIGURACIÓN TRADUCCIÓN DE DIRECCIÓN DE RED Y PUERTO – NAPT Para configurar NAPT se deben seguir los siguientes pasos: Crear un conjunto de direcciones globales (puede ser una sola dirección): ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length} Crear una ACL que identifique a los hosts para la traslación access-list access-list-number permit source {source-wildcard} Configurar PAT basado en la dirección origen ip nat inside source list access-list-number pool name overload Especificar la interfaz interna ip nat inside Especificar la interfaz externa ip nat outside Ejemplo: Usaremos hasta 30 direcciones internas globales, cada una de las cuales hace NAPT
R# configure terminal R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask 255.255.255.0 (config)# access-list 2 permit 10.1.1.0 0.0.0.255 R(config)# ip nat inside source list 2 pool fib-xc overload R(config)# interface e0 R(config-if)# ip nat inside R(config-if)# exit R(config)# interface s0 R(config-if)# ip nat outside R(config-if)# exit R(config)# exit Dpto. de Informática
Pág. 9
R# show ip nat translations
Prueba de conectividad desde la red global
TECSUP
Routers: NAT
Traslación de direcciones Verificación de una configuración NAT Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado): show ip nat translations
show ip nat translations verbose
show ip nat statistics
Dpto. de Informática
Pág. 11
debug ip nat (no debug ip nat)
clear ip nat translations
Eliminando todas las traslaciones NAT
Observaciones: Se debe especificar de forma precisa las interfaces que servirán de entrada o salida para la interconexión con otras redes. Se deben utilizar las direcciones privadas de manera predeterminada, la traducción de direcciones de red utiliza el identificador de red privada. Es posible utilizar un rango de direcciones, pueden escribirse como un intervalo o serie de intervalos; para ello se debe indicar las direcciones IP de inicio y de final. Las traslaciones de dirección incrementan el retardo debido a la traducción.
Conclusiones: NAT permite al router, actuar como un agente entre Internet (red pública) y una red local (red privada), donde solo hace falta una única dirección IP para representar a un grupo de equipos. Además se encarga de variar el puerto asociado a una dirección IP, por lo que es válido asociar una sola IP a todo un grupo de ordenadores. Implementando NAT se crea una especie de Firewall entre la red interna y las redes externas, o entre la red interna e Internet. NAT solo permite conexiones que se originen dentro del dominio. En esencia, esto significa que un ordenador en una red externa no puede conectarse con un equipo de la red interna directamente a menos que el equipo de la red interna inicie la conexión. Mediante NAT también se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que lleguen sean dirigidas a una máquina concreta que haya sido determinada en la red local.
TECSUP
Routers: NAT
INFORME Se deberá presentar un informe, al iniciar el siguiente laboratorio, el cual debe constar de: 1. Carátula: Logo de la Institución Nombre del curso Nombre del Laboratorio Nombre de los integrantes Sección a la que pertenecen Fecha de presentación Nombre del profesor. 2. Fundamento teórico: Se deberá incluir una hoja donde se desarrolle conceptos teóricos complementarios a los desarrollados en clase. En algunos casos se incluirán temas que sirvan como referencia. Temas. Concepto Seguridad Perimetral Traslación de Direcciones Tipos de traslación de direcciones IP 3. Resultados del laboratorio. Se deberá incluir los procedimientos y resultados desarrollados. 4. Observaciones y conclusiones. En esta sección contiene la síntesis de los resultados alcanzados a la finalización de la experiencia. 5. Aplicación de lo aprendido. En esta sección se especifica el uso que se puede dar a lo aprendido de la experiencia práctica. En algunos casos se incluirán algunas referencias. Desarrollar un proyecto de un ISP para su localidad donde reside en el cual se requiere dar conexión a Internet a 150 hogares y 50 cabinas de internet cada cabina utilizara 20 computadoras, se pide lo siguiente: o o o o o o
Indicar la tecnología de acceso a los usuarios a utilizar fundamentar. Diagrama topológico de la red a Implementar Indicar los equipos a utilizar tanto en lado central y usuarios domésticos y cabinas. Indicar costo de proyecto Calcular el Ancho de Banda a adquirir a proveedor de Internet Detalle de gabinete de los equipos a usar en lado central.
Dpto. de Informática
Pág. 13
o
Detallar el cronograma del proyecto para su implementación.
Actividades 1 Realizar un estudio de la zona Identificar los puntos de red Elaborar diagrama de red Estimar costos de implementación Implementar y configurar router central Realizar pruebas de conectividad
o
2
3
Configuración de Equipo Central
interface FastEthernet0/0 Description Primary link ISP1 ip address 192.168.26.1 255.255.255.0 ip nat outside
interface FastEthernet1/0 Description Secondary link ISP2 ip address 192.168.10.1 255.255.255.0 ip nat outside
interface FastEthernet1/1 Description Inside LAN segment ip address 172.168.60.1 255.255.255.0 ip nat inside
4
5
6
TECSUP
Routers: NAT
access-list 100 permit ip 172.168.60.0 0.0.0.255 any
route-map isp1 permit 10 match ip address 100 match interface FastEthernet0/0
route-map isp2 permit 10 match ip address 100 match interface FastEthernet1/0
ip nat inside source route-map isp1 interface FastEthernet0/0 overload ip nat inside source route-map isp2 interface FastEthernet1/0 overload
ip route 0.0.0.0 0.0.0.0 192.168.26.1 ip route 0.0.0.0 0.0.0.0 192.168.10.1 10
route-map isp1static permit 10 match interface FastEthernet0/0
route-map isp2static permit 10 match interface FastEthernet1/0
ip nat inside source static 172.168.60.2 192.168.26.1 route-map isp1static ip nat inside source static 172.168.60.2 192.168.10.1 route-map isp2static
Dpto. de Informática
Pág. 15
Redes y Comunicaciones de Datos Rúbrica
d) Los estudiantes diseñan y optimizan sistemas de redes de computadoras y comunicaciones de datos con creatividad. Resultado "d": Criterio de desempeño :
d.2 Diseña aplicaciones para la administración de sistemas de hardware y software
Curso:
Comunicaciones de Datos II Traslación de Direcciones IP (NAT)
Actividad: Nombre del alumno
Sección:
Semestre:
5
Semana:
9
Docente:
Periodo:
Fecha:
Excelente
Bueno
Requiere Mejora
No aceptable
Determina las características de los equipos para su compatibilidad en la configuración de la red ( laboratorio)
4
3
2
1-0
Planifica el uso de las direcciones públicas y las privadas.
4
3
2
1-0
Configura los equipos de acuerdo a protocolo estándar , instala y prueba su configuración (laboratorio)
4
3
2
1-0
Describe la secuencia correcta de las operaciones y presenta conclusiones y recomendaciones. (informe en archivo electrónico)
4
3
2
1-0
Configura una red modelo de acuerdo a los criterios aprendidos (Informe en archivo electrónico)
4
3
2
1-0
CRITERIOS A EVALUACIÓN
Puntaje Logrado
Puntaje Total
Puntaje
Excelente
4
Bueno
3
Requiere mejora No Aceptable
2 1-0
Descripción Demuestra un completo entendimiento del problema o realiza la actividad cumpliendo todos los requerimientos especificados. Demuestra un considerable entendimiento del problema o realiza la actividad cumpliendo con la mayoría de los requerimientos especificados Demuestra un bajo entendimiento del problema o realiza la actividad cumpliendo con la pocos de los requerimientos especificados.. No demuestra entendimiento del problema o de la actividad.