NAT (Network Address Traslation)
Anuncio
NAT (Network Address Traslation)
• Permite a una organización aparentar usar su red
de IP con direcciones diferentes a las que
realmente usa.
• Permite convertir espacio de IP no enrutable en
direcciones enrutables.
• Permite cambiar de ISP de una forma amigable.
• Definido en el RFC 1631
Posibles usos de NAT
• Se desea conectar al Internet, pero no se posee
espacio asignado. Se puede usar un
direccionamiento privado. El NAT se configura en
enrutador frontera creando una red interna y una
externa (Internet). El NAT traduce la dirección
interna a una dirección global y única.
• Se necesita cambiar el direccionamiento de IP.
Esto puede resultar caro y laborioso, en lugar se
introduce un NAT para traducir al nuevo espacio.
Posibles esquemas
• Las direcciones de las LANs
no son enrutables. Por medio
del NAT se logra un acceso a
Internet
Internet
NAT
LAN 3
LAN 1
LAN 2
Espacio de IP no enrutable
Posibles esquemas
• La traslación puede ser aplicada sólo
a algunos segmentos (LANs 1-3) sin
afectar a los servidores que necesiten
una dirección fija de IP.
Internet
www DNS Correo
NAT
LAN 3
LAN 4
Espacio de IP enrutable
LAN 1
LAN 2
Espacio de IP no enrutable
Términos
• Inside local address
– La dirección de IP asignada a un host en la red interna. La
dirección es probablemente no legítima.
• Inside global address
– Una dirección de IP legítima que representa una o más inside local
IP address para el mundo exterior.
• Outside local address
– La dirección de IP de un host externo como aparenta hacia la red
interna.
• Outside global address
– La dirección de IP de un host asignada a este por el propietario del
host.
Tipos de NAT
• Traslación Estática
– Establece un mapeo uno-a-uno entre una dirección
inside local y una dirección inside global. Es útil
cuando un host debe ser accesible desde el exterior
mediante una dirección fija.
• Traslación Dinámica
– Establece un mapeo entre las direcciones inside local y
un pool de direcciones globales.
Configuración de NAT
• ip nat {inside | outside}
• ip nat pool name start-ip end-ip {netmask
netmask | prefix-length prefix-length}
• ip nat inside source {list {access-list-number |
name} pool name | static local-ip global-ip}
• ip nat translation timeout seconds
Ejemplo
• La red local sale a Internet
por el ISP1 con direcciones
ISP2
propias.
• La red en el Eth 1 del Router
C sale por el
ISP2 haciendo NAT con el
Router B
• Routers A,B y C deben correr
un IGP. Router C debe tener
una ruta estática de “último
recurso” apuntando hacia
Router B. Éste debe apuntar
hacia el ISP2 y Router A
hacia el ISP1
Internet
ISP1
s0
s0
Router B
Eth 0
Router A
Eth 0
Eth 0
Router C
Eth 1
Red Local
Configuración
Router C
interface Ethernet0
ip address 132.250.88.1 255.255.255.0
ip address 132.250.89.1 255.255.255.0 secondary
!
interface Ethernet1
ip address 132.250.101.6 255.255.255.0
!
router eigrp 2404
network 132.250.0.0
!
no ip classless
ip route 0.0.0.0 0.0.0.0 132.250.101.5
Configuración
Router B
ip nat translation timeout 7200
ip nat pool red-1 149.245.9.10 149.245.9.253 netmask 255.255.255.0
ip nat inside source list 1 pool red-1
interface Ethernet0
ip address 132.250.101.5 255.255.255.0
ip nat inside
!
interface Serial0
ip address 200.23.215.242 255.255.255.252
ip nat outside
!
router eigrp 2404
no ip classless
ip route 0.0.0.0 0.0.0.0 200.23.215.241
network 132.250.0.0
access-list 1 permit 132.250.88.0 0.0.0.255
access-list 1 permit 132.250.89.0 0.0.0.255
Recomendaciones en el uso del
NAT
• Basar el direccionamiento privado en el RFC 1918
para evitar el overlapping.
• El NAT deberá tener mínimo una interfaz interior
y una exterior
• Verificar que el espacio de IP demandado no sea
mayor que el espacio de IP global disponible.
Espacio privado de IP (RFC 1918)
• 10.0.0.0 - 10.255.255.255
– (prefijo 10/8, clase A)
• 172.16.0.0 - 172.31.255.255
– (prefijo 172.16/12, 16 clases B contiguas)
• 192.168.0.0 - 192.168.255.255
– (prefijo 192.168/16, 256 clases C contiguas)
Policy Routing
• Policy routing es un mecanismo más flexible para
enrutar paquetes que ruteo basado en fuente. Es un
proceso donde el enrutador pone paquetes en un
route-map antes de enrutarlos.
• El route-map determina cual es el siguiente
enrutador.
• Se puede habilitar policy routing si se desea que
ciertos paquetes se enruten en alguna forma
diferente al path óptimo.
Policy Routing
Internet
• Router A y la red local
salen por el ISP1
ISP2
• Router B y las redes
conectadas a el salen por
el ISP2
Eth 1
• Router C debe salir por el
ISP1
ISP1
Eth 0
Router C
Eth 1
ISP1
s0
Router B
Eth 0
s0
Router A
Eth 0
Red Local
Policy Routing
Router A y Router C se configuraran normalmente corriendo un IGP
Router B
interface Ethernet0
ip address 131.170.79.3 255.255.255.0
ip policy route-map ruta_alterna
!
router eigrp 6342
network 131.170.0.0
!
no ip classless
ip route 0.0.0.0 0.0.0.0 131.170.79.2
access-list 2 permit 131.170.68.0 0.0.0.255
access-list 3 permit any
route-map ruta_pabellon permit 10
match ip address 2
set ip default next-hop 131.170.79.1
!
route-map ruta_pabellon permit 20
match ip address 3
HSRP
• Provee redundancia automática entre dos
enrutadores Cisco.
• Para IP, HSRP permite que un enrutador
asuma las responsabilidades de un segundo
enrutador si este segundo falla.
HSRP
3.3.3.10
3.3.3.1
3.3.3.2
Router A
Router B
1.1.1.1
1.1.1.2
1.1.1.10
HSRP
3.3.3.10
Ethernet 1
3.3.3.2
3.3.3.1
Router A
Router B
1.1.1.3
1.1.1.1
1.1.1.2
Ethernet 0
router-virtual
1.1.1.10
Terminología
• Active Router
– El enrutador que actualmente está forwardeando paquetes como el
enrutador virtual
• Standby Router
– Es el enrutador de respaldo primario
• Standby Group
– El grupo de enrutadores participand en HSRP que juntos emulan el
enrutador virtual
• Hello Time
– El intervalo entre mensajes “HSRP Hello” enviados a un enrutador
• Hold Time
– El intervalo entre la recepción de un “Hello” y la suposición de que el
enviante ha fallado
Funcionamiento (RFC2281)
• Los enrutadores que esten dentro del mismo grupo contienden por ser el enrutador
virtual. El que tenga la mayor prioridad se convierte en el enrutador activo (por
default la prioridad=100). El siguiente enrutador en prioridad se convierte en el
enrutador de respaldo.
• El enrutaador activo toma entonces control de la dirección de ip virtual y de la
MAC address virtual (La dirección de ip es asignada por el administrador de la red,
la asignación de la MAC address es automática, para detalles ver RFC2281 punto
6)
• El enrutador activo deberá informar a los demás enrutadores de su disponibilidad
mediante paquetes de “hello”. Estos paquetes deben enviarse en un período de
tiempo(hello time) menor al “hold time”.
• En caso de que estos paquetes no se reciban, el enrutador de respaldo toma el
control y se convierte en el nuevo enrutador activo.
• En cuanto el enrutador con mayor prioridad reenvía paquetes de “hello”, una nueva
contención se lleva a cabo.
HSRP
hostname Router A
!
interface ethernet 0
ip address 1.1.1.3 255.255.255.0
standby 1 ip 1.1.1.1
standby 1 preempt
standby 1 priority 110
standby 1 authentication hsrp
standby 1 timers 5 15
!
router eigrp 1
network 1.0.0.0
network 3.0.0.0
Default de timers 3 y 8 segundos
hostname Router B
!
interface ethernet 0
ip address 1.1.1.2 255.255.255.0
standby 1 ip 1.1.1.3
standby 1 preempt
standby 1 authentication hsrp
standby 1 timers 5 15
!
router eigrp 1
network 1.0.0.0
network 2.0.0.0
Monitoreo de HRSP
RouterA#show standby
Vlan100 - Group 1
Local state is Active, priority 110, may preempt
Hellotime 5 holdtime 15
Next hello sent in 00:00:01.484
Hot standby IP address is 1.1.1.1 configured
Active router is local
Standby router is 1.1.1.2 expires in 00:00:07
RouterB#show standby
Ethernet4/1 - Group 1
Local state is Standby, priority 100, may preempt
Hellotime 5 holdtime 15
Next hello sent in 00:00:01.808
Hot standby IP address is 1.1.1.1 configured
Active router is 1.1.1.3 expires in 00:00:07
Standby router is local
Monitoreo de HSRP
RouterB#show standby brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active addr Standby addr Group addr
Et0
1 100 P Standby 1.1.1.3
local
131.178.100.1
Tipos de VLANs
• ATM - Ethernet/Token Ring
– LANE
• FastEthernet-Gigaethernet
– ISL (Cisco)
– IEEE 802.1Q
• FDDI, Token Ring, FE, GE
– IEEE 802.1Q
LANE/VLAN
Internetworking
Dentro de la ELAN
Entre ELANs
Layer 2 Switching
ATM Switch
ATM Router
Layer 3 Switching
Beneficios de VLANs
• Reduce costos administrativos
• Membresia físicamente dispersa.
• Se puede limitar el dominio de
broadcast
• Los usuarios pueden reasignarse a otra
VLAN diferente mediante una
aplicación de administración
• Protección de entrada a intrusos
mediante políticas de membresía
• Los Servidores pueden estar en
muchas VLANs al mismo tiempo
• Seguridad adicional mediante firewalls
entre VLANs reforzadas por un router
Evolución de una red Switched
ATM Workgroup Switch
Compartido Switched
Multilayer Switch
(Layer 2 and 3)
Si
Sistema de
VLANs
Backbone
tradicionalmente
colapsado
El nuevo
Wiring
Closet
LAN Switch
(Layer 2)
ATM
Campus
Switch
ATM
Internetworking
Software
Hub
El nuevo
backbone
Switched
Diseño de un red Plana
100Mb Ethernet
•
•
•
•
Bridging
Sin control de broadcast
Sin VLANs
Severas implicaciones de escalamiento
VLANs
100Mb ISL Trunk
• Tres dominios de broadcast vía VLANs
• VLANs se mantienen separadas en las troncales
• Sin comunicación inter-VLAN
VLANs y ELANsRouter
ATM
LES/BUS
AT
M
M
AT
LES/BUS
LES/BUS
100Mb Trunks
• VLANs transportadas por el trunk
• VLANs deben ser mapeadas a ELANs
• Routeo entre ELANs
Configurar VLANs (FE/GE/FDDI)
• En configuración de subinterfaz
– encapsulation isl vlan-identifier
• ISL, identificador de 10 bits
– encapsulation sde said
• SAID, Security association identifier. El valor puede
ser usado como idenficador de VLAN (IEEE
802.10). El valor válido es de 0 a 0xFFFFFFFE.
Ejemplo VLANs
FastEth 0.1 Vlan 101
ISL
Switch-A
Trunk
Vlan 101
Router-1
FastEth 0.1 Vlan 1
...
FastEth 0.n Vlan n
Fastethernet
switch-1
Switch-2
Switch-3 Switch-4
interface FastEthernet0/0
no ip address
full-duplex
!
interface FastEthernet0/0.1
description Conexion al Campus
encapsulation isl 101
ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet1/0
no ip address
full-duplex
!
interface FastEthernet1/0.1
encapsulation isl 1
ip address 10.10.10.1 255.255.255.0
ip helper-address 131.178.1.1
!
interface FastEthernet1/0.2
encapsulation isl 50
ip address 10.1.2.1 255.255.255.0
Layer 3 switching
• MPLS Multi-Protocol Label Switching
(IETF), Tag Switching (Prop.Cisco)
• MLS Multi-Layer Switching (Propietario de
Cisco)
• MPOA Multi-Protocol Over ATM (LANEATM)
• IP-switching (ATM, prop. de Ipsilon)
MPLS-Tag Switching
•
•
•
•
•
Incrementar la demanda de throughput
Escalamiento
Ingeniería de Tráfico
Incremento de la funcionalidad del enrutamiento de IP.
Simplificar la integración de ATM y tecnologías basadas en
IP.
• La idea básica es integrar la capa 3 del modelo OSI con la
capa 2 (ATM). Obteniendo los beneficios de la rapidez de
mover datos en ATM con hardware optimizado y las ventajas
de lo protocolos de enrutamiento de IP.
MPLS-Tag Switching
• En L3 convencional, cada vez que un paquete atraviesa
una red, cada enrutador extrae la información de forwardeo
del encabezado de nivel 3. Este análisis se repite cuantas
veces un paquete atraviese hops.
• En MPLS-TS, el encabezado de nivel 3 sólo es analizado
una vez. Entonces es mapeado a un pequeño prefijo
llamado “etiqueta” (tag-label).
• En cada salto, la decisión de forwardeo es hecha solamente
en el valor de la etiqueta. No hay necesidad de reanalizar el
encabezado de nivel 3. Debido a que la etiqueta es de
tamaño fijo, esto es rápido y simple.
MPLS-Tag Switching
• Una red MPLS-TS consiste en tag edge routers y tag
switches.
• Tag edge routers se localizan en los límites de la red y usan
los protocolos estándares de enrutamiento para crear las tablas
de enrutamiento. Basados en las tablas de enrutamiento, usan
el Tag Distribution Protocol (TDP) para aplicar y distribuir
etiquetas entre otros tag edge routers o tag switches.
• Tag switches están localizados en el centro de la red. Estos
reciben información a trvés de TDP y construyen su tabla de
forwarding. Entonces mueven paquetes en base en etiquetas
sin mirar al encabezado de L3.
MPLS-Tag Switching
Tag edge router
Tag Switch
(Switch ATM o
enrutador
MLS
• MLS provee conmutación a nivel 3 basado en hardware
para algunas de las series de switches Cisco.
• MLS conmuta flujos de paquetes de IP unicast entre
subredes usando circuitos integrados para aplicaciones
avanzadas de uso específico (ASIC). Esta conmutación en
hardware, permite la descarga de procesamiento de los
enrutadores tradicionales.
• Los paquetes son conmutados de esta forma siempre y
cuando se tenga un path entre los dos host que los generan.
MLS
• Los paquetes que no tengan un path parcial o completo
hacia sus destinos son enviados por enrutadores en la
forma tradicional (OSPF, EIGRP, RIP, IS-IS).
• MLS provee estadísticas de tráfico que pueden usarse para
identificar las características de tráfico para
administración, planeación y resolución de problemas.
• MLS usa NetFlow Data Export (NDE) para exportar
estadísticas de flujos de tráfico.
Componentes de MLS
• Multilayer Switching-Switching Engine (MLS-SE)
– La MLS-SE provee los servicios de Layer 3 LAN-switching .
• Multilayer Switching-Route Processor (MLS-RP)
– Un enrutador que soporte MLS. El MLS-RP provee multiprotocol
routing, servicios de capa de red, control y configuración central de
los switches.
• Multilayer Switching Protocol (MLSP)
– Es el protocolo corriendo entre el MLS-SE y el MLS-RP para
habilitar MLS.
MLS
• Host A y Host B están en diferente VLAN. EL primer
paquete de A es enviado a su enrutador (gateway o MLSRP). EL MLS-SE identifica el flujo de tráfico y las MAC
Address involucradas (A, B y enrutador) y crea una
entrada en su cache. (solo si el flujo fue válido)
• El siguiente paquete de A a B es identificado nuevamente
por el MLS-SE, al ya existir una tabla en el cache, el MLSSE intercepta el paquete y modifica el contenido del header
de L2 (MAC fuente y destino) y el header de L3 (TTL,
checksum)
MLS
