Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por DAVID ENRIQUE GUERRERO MARTINEZ

ENSA Module 6 7 8.es

Anuncio 
Traducido del inglés al español - www.onlinedoctranslator.com
Módulo 6: NAT para IPv4
Materiales del instructor
Redes empresariales, seguridad
y automatización v7.0 (ENSA)
Módulo 6: NAT para IPv4
Redes empresariales, seguridad
y automatización v7.0 (ENSA)
Objetivos del módulo
Título de módulo: NAT para IPv4
Objetivo del módulo: Configure los servicios NAT en el enrutador de borde para proporcionar
escalabilidad de direcciones IPv4.
Título del tema
Características NAT
Objetivo del tema
Tipos de NAT
Explique el funcionamiento de diferentes tipos de NAT.
Ventajas y desventajas de NAT
Describe las ventajas y desventajas de NAT.
NAT estática
Configure la NAT estática mediante la CLI.
NAT dinámica
Configure NAT dinámica usando la CLI.
PALMADITA
Configure PAT usando la CLI.
NAT64
Describe NAT para IPv6.
Explique el propósito y la función de NAT.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
11
6.1 Características NAT
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
12
Características NAT
Espacio de direcciones IPv4
•
•
•
•
Las redes se implementan comúnmente
utilizando direcciones IPv4 privadas,
como se define en RFC 1918.
Las direcciones IPv4 privadas no se
pueden enrutar a través de Internet y se
utilizan dentro de una organización o
sitio para permitir que los dispositivos se
comuniquen localmente.
Para permitir que un dispositivo con una
dirección IPv4 privada acceda a
dispositivos y recursos fuera de la red
local, la dirección privada primero debe
traducirse a una dirección pública.
NAT proporciona la traducción de
direcciones privadas a direcciones
públicas.
Clase
Tipo de actividad
Red /CIDR
A
10.0.0.0 - 10.255.255.255
10.0.0.0/8
B
172.16.0.0 - 172.31.255.255
172.16.0.0/12
C
192.168.0.0 - 192.168.255.255
192.168.0.0/1
6
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
13
Características NAT
Que es NAT
•
•
•
•
El uso principal de NAT es conservar
direcciones IPv4 públicas.
NAT permite que las redes utilicen
direcciones IPv4 privadas internamente
y las traduzca a una dirección pública
cuando sea necesario.
Un enrutador NAT normalmente opera
en el borde de una red de stub.
Cuando un dispositivo dentro de la red
stub desea comunicarse con un
dispositivo fuera de su red, el paquete
se reenvía al enrutador de borde que
realiza el proceso NAT, traduciendo la
dirección privada interna del dispositivo
a una dirección pública, externa y
enrutable.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
14
Características NAT
Cómo funciona NAT
La PC1 desea comunicarse con un servidor web externo con
dirección pública 209.165.201.1.
1. PC1 envía un paquete dirigido al servidor web.
2. R2 recibe el paquete y lee la dirección IPv4 de origen para
determinar si necesita traducción.
3. R2 agrega el mapeo de la dirección local a global a la
tabla NAT.
4. R2 envía el paquete con la dirección de origen traducida
hacia el destino.
5. El servidor web responde con un paquete dirigido a la
dirección global interna de la PC1 (209.165.200.226).
6. R2 recibe el paquete con la dirección de destino
209.165.200.226. R2 comprueba la tabla NAT y encuentra
una entrada para este mapeo. R2 usa esta información y
traduce la dirección global interna (209.165.200.226) a la
dirección local interna (192.168.10.10), y el paquete se
reenvía hacia la PC1.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
15
Características NAT
Terminología NAT
NAT incluye cuatro tipos de direcciones:
• Dirección local interna
• Direccion global interna
• Dirección local externa
• Dirección global externa
La terminología NAT siempre se aplica desde la perspectiva del dispositivo con la
dirección traducida:
• Dirección interior - La dirección del dispositivo que está siendo traducido por
NAT.
• Dirección exterior - La dirección del dispositivo de destino.
• Dirección local - Una dirección local es cualquier dirección que aparece en la
parte interior de la red.
• Dirección global - Una dirección global es cualquier dirección que aparece en la
parte exterior de la red.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
16
Características NAT
Terminología NAT (cont.)
Dirección local interna
La dirección de la origen vista desde el interior de la red.
Suele ser una dirección IPv4 privada. La dirección local
interna de PC1 es 192.168.10.10.
Direcciones globales internas
La dirección de origen vista desde la red exterior. La
dirección global interna de PC1 es 209.165.200.226
Dirección global externa
La dirección del destino como se ve desde la red exterior. La
dirección global externa del servidor web es 209.165.201.1
Dirección local externa
La dirección del destino como se ve desde la red interna. La
PC1 envía tráfico al servidor web en la dirección IPv4
209.165.201.1. Si bien es poco común, esta dirección podría
ser diferente a la dirección enrutable globalmente del destino.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
17
6.2 Tipos de NAT
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
18
Tipos de NAT
NAT estática
La NAT estática utiliza un mapeo uno a uno
de direcciones locales y globales
configuradas por el administrador de red
que permanecen constantes.
• La NAT estática es útil para servidores o
dispositivos web que deben tener una
dirección coherente a la que se pueda
acceder desde Internet, como el servidor
web de una empresa.
• También es útil para dispositivos que
deben ser accesibles por personal
autorizado cuando se encuentran fuera
del sitio, pero no para el público en
general en Internet.
Nota: La NAT estática requiere que haya
suficientes direcciones públicas disponibles
para satisfacer el número total de sesiones
de usuario simultáneas.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
19
Tipos de NAT
NAT dinámica
La NAT dinámica utiliza un conjunto de
direcciones públicas y las asigna según el
orden de llegada.
• Cuando un dispositivo interno solicita
acceso a una red externa, la NAT
dinámica asigna una dirección IPv4
pública disponible del grupo.
• Las otras direcciones del grupo todavía
están disponibles para su uso.
Nota: NAT dinámica requiere que haya
suficientes direcciones públicas disponibles
para satisfacer el número total de sesiones
de usuario simultáneas.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
20
Tipos de NAT
Traducción de dirección de puerto
La traducción de direcciones de puerto
(PAT), también conocida como sobrecarga
de NAT, asigna varias direcciones IPv4
privadas a una única dirección IPv4 pública
o unas pocas direcciones.
• Con PAT, cuando el enrutador NAT
recibe un paquete del cliente, utiliza el
número de puerto de origen para
identificar de forma única la traducción
NAT específica.
• PAT asegura que los dispositivos usen
un número de puerto TCP diferente para
cada sesión con un servidor en Internet.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
21
Tipos de NAT
Siguiente puerto disponible
PAT intenta conservar el puerto de origen
original. Si el puerto de origen original ya se
usa, PAT asigna el primer número de
puerto disponible comenzando desde el
principio del grupo de puertos apropiado 0511, 512-1,023 o 1,024-65,535.
• Cuando no hay más puertos disponibles
y hay más de una dirección externa en
el grupo de direcciones, PAT se mueve
a la siguiente dirección para intentar
asignar el puerto de origen original.
• El proceso continúa hasta que no haya
más puertos disponibles o direcciones
IPv4 externas en el grupo de
direcciones.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
22
Tipos de NAT
NAT y PAT Comparación
Resumen de las diferencias entre NAT y
PAT.
NAT - Solo modifica las direcciones IPv4
Dirección global interna
209.165.200.226
NAT
PAT
Mapeo uno a uno entre las
direcciones Inside Local y
Inside Global.
Una dirección Inside
Global se puede asignar a
muchas direcciones Inside
Local.
Utiliza solo direcciones
IPv4 en el proceso de
traducción.
Utiliza direcciones IPv4 y
números de puerto de
origen TCP o UDP en el
proceso de traducción.
Se requiere una dirección
global interna única para
cada host interno que
acceda a la red externa.
Muchos hosts internos
que acceden a la red
externa pueden compartir
una única dirección Inside
Global.
Dirección local interna
192.168.10.10
PAT - PAT modifica tanto la dirección IPv4 como
el número de puerto.
Dirección global interna
Dirección local interna
209.165.200.226:2031
192.168.10.10:2031
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
23
Tipos de NAT
Paquetes sin un segmento de capa 4
Algunos paquetes no contienen un número de puerto de capa 4, como los
mensajes ICMPv4. PAT maneja cada uno de estos tipos de protocolos de
manera diferente.
Por ejemplo, los mensajes de consulta ICMPv4, las solicitudes de eco y las
respuestas de eco incluyen un ID de consulta. ICMPv4 usa el ID de consulta
para identificar una solicitud de eco con su correspondiente respuesta de
eco.
Nota: Otros mensajes ICMPv4 no utilizan el ID de consulta. Estos mensajes y otros
protocolos que no utilizan números de puerto TCP o UDP varían y están más allá
del alcance de este plan de estudios.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
24
Tipos de NAT
Packet Tracer: investigar las operaciones de NAT
En este Packet Tracer, completará los siguientes objetivos:
• Investigar el funcionamiento de NAT en la intranet
• Investigar el funcionamiento de NAT en Internet
• Realizar más investigaciones
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
25
6.3 Ventajas y desventajas
de NAT
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
26
Ventajas y desventajas de NAT
Ventajas de NAT
NAT proporciona muchos beneficios:
•
•
•
•
•
•
NAT conserva el esquema de direccionamiento registrado legalmente al permitir la
privatización de las intranets.
NAT conserva las direcciones a través de la multiplexación a nivel de puerto de la
aplicación.
NAT aumenta la flexibilidad de las conexiones a la red pública.
NAT proporciona coherencia para los esquemas de direccionamiento de redes
internas.
NAT permite que el esquema de direcciones IPv4 privado existente permanezca
mientras permite un cambio fácil a un nuevo esquema de direccionamiento público.
NAT oculta las direcciones IPv4 de los usuarios y otros dispositivos.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
27
Ventajas y desventajas de NAT
Desventajas de NAT
NAT tiene inconvenientes:
•
•
•
•
•
NAT aumenta los retrasos en el reenvío.
Se pierde el direccionamiento de un extremo a otro.
Se pierde la trazabilidad de IPv4 de un extremo a otro.
NAT complica el uso de protocolos de tunelización, como IPsec.
Los servicios que requieren el inicio de conexiones TCP desde la red externa o
protocolos sin estado, como los que usan UDP, pueden interrumpirse.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
28
6.4 NAT estática
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
29
NAT estática
Escenario de NAT estática
• La NAT estática es un mapeo uno a
uno entre una dirección interna y
una dirección externa.
• La NAT estática permite que los
dispositivos externos inicien
conexiones a dispositivos internos
utilizando la dirección pública
asignada estáticamente.
• Por ejemplo, un servidor web
interno puede asignarse a una
dirección global interna específica
para que sea accesible desde redes
externas.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
30
NAT estática
Configurar NAT estática
Hay dos tareas básicas al configurar traducciones NAT estáticas:
•
•
Paso 1 - Cree un mapeo entre la dirección local interna y las direcciones globales
internas usando el ip nat inside source static mando.
Paso 2 - Las interfaces que participan en la traducción se configuran como
internas o externas en relación con NAT con el ip nat inside y ip nat outside
comandos.
R2
R2
R2
R2
R2
R2
R2
R2
R2
(configuración) # ip nat inside source static 192.168.10.254 209.165.201.5
(configuración) #
(configuración) # interfaz serial 0/1/0
(config-if) # dirección IP 192.168.1.2 255.255.255.252
(config-if) # ip nat inside
(config-if) # exit
(configuración) # interfaz serial 0/1/1
(config-if) # dirección IP 209.165.200.1 255.255.255.252
(config-if) # ip nat outside
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
31
NAT estática
Analizar NAT estática
El proceso de traducción de NAT estática entre el
cliente y el servidor web:
1. El cliente envía un paquete al servidor web.
2. R2 recibe paquetes del cliente en su interfaz
exterior NAT y verifica su tabla NAT.
3. R2 traduce la dirección global interna de la
dirección local interna y reenvía el paquete hacia
el servidor web.
4. El servidor web recibe el paquete y responde al
cliente utilizando su dirección local interna.
5. (a) R2 recibe el paquete del servidor web en su
interfaz interna NAT con la dirección de origen de
la dirección local interna del servidor web y (b)
traduce la dirección de origen a la dirección
global interna.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
32
NAT estática
Verificar NAT estática
Para verificar el funcionamiento de NAT, emita el show ip nat translations mando.
• Este comando muestra las traducciones NAT activas.
• Debido a que el ejemplo es una configuración NAT estática, la traducción siempre está
presente en la tabla NAT independientemente de las comunicaciones activas.
• Si el comando se emite durante una sesión activa, la salida también indica la dirección
del dispositivo externo.
R2 # show ip nat translations
Pro Dentro global Dentro local Fuera local Fuera global
--- 209.165.201.5 192.168.10.254 --- --Número total de traducciones: 1
R2 # show ip nat translations
Pro Dentro global Dentro local Fuera local Fuera global
tcp 209.165.201.5 192.168.10.254 209.165.200.254 209.165.200.254
--- 209.165.201.5 192.168.10.254 --- --Número total de traducciones: 2
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
33
NAT estática
Verificar NAT estática (cont.)
Otro comando útil show ip nat statistics.
• Muestra información sobre el número total de traducciones activas, los parámetros
de configuración de NAT, el número de direcciones en el grupo y el número de
direcciones que se han asignado.
• Para verificar que la traducción NAT está funcionando, es mejor borrar las
estadísticas de cualquier traducción anterior usando el clear ip nat statistics
comando antes de probar.
R2 # show ip nat statistics
Total de traducciones activas: 1 (1 estática, 0 dinámica; 0 extendida)
Interfaces externas:
Serial0 / 1/1
Interfaces internas:
Serial0 / 1/0
Aciertos: 4 Fallos: 1
(salida omitida)
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
34
NAT estática
Packet Tracer: configurar NAT estática
En este Packet Tracer, completará los siguientes objetivos:
• Probar el acceso sin NAT
• Configurar NAT estática
• Probar el acceso con NAT
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
35
6.5 NAT dinámica
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
36
NAT estática
Escenario de NAT dinámica
• La NAT dinámica asigna
automáticamente direcciones
internas locales a direcciones
globales internas.
• La NAT dinámica utiliza un conjunto
de direcciones globales internas.
• El conjunto de direcciones globales
internas está disponible para
cualquier dispositivo en la red
interna por orden de llegada.
• Si todas las direcciones del grupo
están en uso, un dispositivo debe
esperar una dirección disponible
antes de poder acceder a la red
externa.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
37
NAT estática
Configurar NAT dinámica
Hay cinco tareas al configurar traducciones NAT dinámicas:
•
•
•
Paso 1 - Defina el conjunto de direcciones que se utilizarán para la traducción
utilizando ip nat pool command. .
Paso 2 - Configure una ACL estándar para identificar (permitir) solo aquellas
direcciones que se van a traducir.
Paso 3 - Vincule la ACL al grupo mediante el ip nat inside source list mando.
R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL1
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
38
NAT estática
Configurar NAT dinámica (cont.)
Hay cinco tareas al configurar traducciones NAT dinámicas:
•
•
Paso 4 - Identificar qué interfaces están dentro.
Paso 5 - Identificar qué interfaces están afuera.
R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL1
R2(config)# interface serial 0/1/0
R2(config-if)# ip nat inside
R2(config-if)# interface serial 0/1/1
R2(config-if)# ip nat outside
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
39
NAT estática
Analizar NAT dinámica: de adentro hacia afuera
Proceso de traducción de NAT dinámica:
1. La PC1 y la PC2 envían paquetes
solicitando una conexión al servidor.
2. R2 recibe el primer paquete de la PC1,
verifica el ALC para determinar si el paquete
debe traducirse, selecciona una dirección
global disponible y crea una entrada de
traducción en la tabla NAT.
3. R2 reemplaza la dirección de origen local
interna de PC1, 192.168.10.10, con la
dirección global interna traducida de
209.165.200.226 y reenvía el paquete. (El
mismo proceso ocurre para el paquete de
PC2 usando la dirección traducida de
209.165.200.227.)
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
40
NAT estática
Analizar NAT dinámica: de afuera hacia adentro
Proceso de traducción de NAT dinámica:
4.
5.
El servidor recibe el paquete de la PC1 y
responde usando la dirección de destino
209.165.200.226. El servidor recibe el paquete de
la PC2 y responde utilizando la dirección de
destino 209.165.200.227.
(a) Cuando R2 recibe el paquete con la dirección
de destino 209.165.200.226; realiza una
búsqueda en la tabla NAT y traduce la dirección a
la dirección local interna y reenvía el paquete
hacia la PC1.
(b) Cuando R2 recibe el paquete con la dirección
de destino 209.165.200.227; realiza una
búsqueda en la tabla NAT y traduce la dirección a
la dirección local interna 192.168.11.10 y reenvía
el paquete hacia la PC2.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
41
NAT estática
Analizar NAT dinámica: de afuera hacia adentro (Cont.)
Proceso de traducción de NAT
dinámica:
6.
PC1 y PC2 reciben los paquetes y continúan
la conversación. El enrutador realiza los
pasos 2 a 5 para cada paquete.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
42
NAT estática
Verificar NAT dinámica
La salida de la show ip nat translations El comando muestra todas las
traducciones estáticas que se han configurado y las traducciones dinámicas
que ha creado el tráfico.
R2 # show ip nat translations
Pro Dentro global Dentro local Fuera local Fuera global
--- 209.165.200.228 192.168.10.10 --- ----- 209.165.200.229 192.168.11.10 --- --R2 #
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
43
NAT estática
Verificar NAT dinámica (cont.)
Añadiendo el verbose La palabra clave muestra información adicional
sobre cada traducción, incluido cuánto tiempo hace que se creó y usó la
entrada.
R2 # show ip nat translations verbose
Pro Dentro global Dentro local Fuera local Fuera global
tcp 209.165.200.228 192.168.10.10 --- --crear 00:02:11, usar 00:02:11 tiempo de espera: 86400000, izquierda 23:57:48, Map-Id (In): 1,
banderas:
ninguno, use_count: 0, ID de entrada: 10, lc_entries: 0
tcp 209.165.200.229 192.168.11.10 --- --crear 00:02:10, usar 00:02:10 tiempo de espera: 86400000, izquierda 23:57:49, Map-Id (In): 1,
banderas:
none, use_count: 0, entrada-id: 12, lc_entries: 0
R2 #
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
44
NAT estática
Verificar NAT dinámica (cont.)
De forma predeterminada, las entradas de traducción caducan después de 24 horas,
a menos que los temporizadores se hayan reconfigurado con el ip nat translation
timeout segundos de tiempo de espera comando en el modo de configuración
global. Para borrar las entradas dinámicas antes de que expire el tiempo de espera,
utilice el clear ip nat translation comando de modo EXEC privilegiado.
R2# clear ip nat translation *
R2# show ip nat translation
Mando
Descripción
clear ip nat translation *
Borra todas las entradas de traducción de direcciones
dinámicas de la tabla de traducción de NAT.
clear ip nat translation inside ip-global-ip-local
[outside de ip-local ip-global]
Borra una entrada de traducción dinámica simple que
contiene una traducción interna o una traducción interna y
externa.
clear ip nat translation protocolo inside ip-global
puerto-global ip-local puerto-local [ outside
de ip-local puerto-local ip-global puertoglobal]
Borra una entrada de traducción dinámica extendida.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
45
NAT estática
Verificar NAT dinámica (cont.)
los show ip nat statistics El comando muestra información sobre el número total de
traducciones activas, los parámetros de configuración de NAT, el número de
direcciones en el grupo y cuántas de las direcciones se han asignado.
R2# show ip nat statistics
Total active translations: 4 (0 static, 4 dynamic; 0 extended)
Peak translations: 4, occurred 00:31:43 ago
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 47 Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 5
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool NAT-POOL1 refcount 4
pool NAT-POOL1: netmask 255.255.255.224
start 209.165.200.226 end 209.165.200.240
type generic, total addresses 15, allocated 2 (13%), misses 0
(output omitted)
R2#
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
46
NAT estática
Verificar NAT dinámica (cont.)
los show running-config comando y muestre los comandos NAT, ACL, interfaz o
grupo con los valores requeridos.
R2# show running-config | include NAT
ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
ip nat inside source list 1 pool NAT-POOL1
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
47
NAT dinámica
Packet Tracer: configurar NAT dinámica
En este Packet Tracer, completará los siguientes objetivos:
• Configurar NAT dinámica
• Verificar la implementación de NAT
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
48
6.6 PAT
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
49
PALMADITA
Configurar PAT para utilizar una única dirección IPv4
Para configurar PAT para usar una sola dirección IPv4, agregue la palabra clave
overload al ip nat inside source mando.
En el ejemplo, todos los hosts de la red 192.168.0.0/16 (coincidente con ACL 1) que
envían tráfico a través del enrutador R2 a Internet se traducirán a la dirección IPv4
209.165.200.225 (dirección IPv4 de la interfaz S0 / 1/1). Los flujos de tráfico se
identificarán mediante números de puerto en la tabla NAT porque elsobrecarga La
palabra clave está configurada.
R2(config)# ip nat inside source list 1 interface serial 0/1/0 overload
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface Serial0/1/1
R2(config-if)# ip nat outside
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
50
PALMADITA
Configurar PAT para usar un grupo de direcciones
Un ISP puede asignar más de una dirección IPv4 pública a una organización. En este
escenario, la organización puede configurar PAT para utilizar un grupo de direcciones
públicas IPv4 para la traducción.
Para configurar PAT para un grupo de direcciones NAT dinámicas, simplemente
agregue la palabra clave overload al ip nat inside source mando.
En el ejemplo, NAT-POOL2 está vinculado a una ACL para permitir la traducción de
192.168.0.0/16. Estos hosts pueden compartir una dirección IPv4 del grupo porque
PAT está habilitado con la palabra clave overload.
R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# interface serial0/1/0
R2(config-if)# ip nat outside
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
51
PALMADITA
Analizar PAT: servidor a PC
1. PC1 y PC2 envían paquetes a Svr1 y
Svr2.
2. El paquete de PC1 llega primero a R2.
R2 modifica la dirección IPv4 de origen a
209.165.200.225 (dirección global
interna). A continuación, el paquete se
reenvía hacia Svr1.
3. El paquete de PC2 llega a R2. PAT
cambia la dirección IPv4 de origen de la
PC2 a la dirección global interna
209.165.200.225. PC2 tiene el mismo
número de puerto de origen que la
traducción para PC1. PAT incrementa el
número de puerto de origen hasta que
es un valor único en su tabla. En este
caso, 1445.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
52
PALMADITA
Analizar PAT - PC a servidor
1. PC1 y PC2 envían paquetes a Svr1 y
Svr2.
2. El paquete de PC1 llega primero a R2.
R2 modifica la dirección IPv4 de origen
a 209.165.200.225 (dirección global
interna). A continuación, el paquete se
reenvía hacia Svr1.
3. El paquete de PC2 llega a R2. PAT
cambia la dirección IPv4 de origen de
la PC2 a la dirección global interna
209.165.200.225. PC2 tiene el mismo
número de puerto de origen que la
traducción para PC1. PAT incrementa
el número de puerto de origen hasta
que es un valor único en su tabla. En
este caso, es 1445.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
53
PALMADITA
Analizar PAT: servidor a PC
1. Los servidores utilizan el puerto de origen
del paquete recibido como puerto de
destino y la dirección de origen como
dirección de destino para el tráfico de
retorno.
2. R2 cambia la dirección IPv4 de destino del
paquete de Srv1 de 209.165.200.225 a
192.168.10.10 y reenvía el paquete hacia
la PC1.
3. R2 cambia la dirección de destino del
paquete de Srv2. desde 209.165.200.225
hasta 192.168.10.11. y modifica el puerto
de destino de nuevo a su valor original de
1444. El paquete se reenvía hacia la PC2.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
54
PALMADITA
Verificar PAT
Los mismos comandos que se utilizan para verificar NAT estática y dinámica se
utilizan para verificar PAT. show ip nat translations El comando muestra las
traducciones de dos hosts diferentes a diferentes servidores web. Observe que a dos
hosts internos diferentes se les asigna la misma dirección IPv4 de 209.165.200.226
(dirección global interna). Los números de puerto de origen en la tabla NAT
diferencian las dos transacciones.
R2#
Pro
tcp
tcp
R2#
show ip nat translations
Inside global
Inside local
209.165.200.225:1444 192.168.10.10:1444
209.165.200.225:1445 192.168.11.10:1444
Outside local
Outside global
209.165.201.1:80
209.165.201.1:80
209.165.202.129:80 209.165.202.129:80
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
55
PALMADITA
Verificar PAT (Cont.)
show ip nat statistics El comando verifica que NAT-POOL2 haya asignado una única
dirección para ambas traducciones. También se muestran la cantidad y el tipo de
traducciones activas, los parámetros de configuración de NAT, la cantidad de
direcciones en el grupo y cuántas se han asignado.
R2# show ip nat statistics
Total active translations: 4 (0 static, 2 dynamic; 2 extended)
Peak translations: 2, occurred 00:31:43 ago
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 4 Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool NAT-POOL2 refcount 2
pool NAT-POOL2: netmask 255.255.255.224
start 209.165.200.225 end 209.165.200.240
type generic, total addresses 15, allocated 1 (6%), misses 0
(output omitted)
R2#
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
56
NAT dinámica
Packet Tracer: configurar PAT
En este Packet Tracer, completará los siguientes objetivos:
• Configurar NAT dinámica con sobrecarga
• Verificar NAT dinámica con implementación de sobrecarga
• Configurar PAT usando una interfaz
• Verificar la implementación de la interfaz PAT
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
57
6.7 NAT64
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
58
NAT64
NAT para IPv6?
IPv6 se desarrolló con la intención de hacer que NAT para IPv4 fuera innecesaria la
traducción entre direcciones IPv4 públicas y privadas.
• Sin embargo, IPv6 incluye su propio espacio de direcciones privadas IPv6,
direcciones locales únicas (ULA).
• Las direcciones locales únicas IPv6 (ULA) son similares a las direcciones privadas
RFC 1918 en IPv4 pero tienen un propósito diferente.
• Las direcciones ULA están destinadas únicamente a las comunicaciones locales
dentro de un sitio. Las direcciones ULA no están destinadas a proporcionar espacio
de direcciones IPv6 adicional ni a proporcionar un nivel de seguridad.
• IPv6 proporciona traducción de protocolo entre IPv4 e IPv6 conocida como NAT64.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
59
NAT64
NAT64
•
•
•
NAT para IPv6 se utiliza en un contexto
muy diferente al de NAT para IPv4.
Las variedades de NAT para IPv6 se
utilizan para proporcionar de forma
transparente acceso entre redes solo
IPv6 y redes solo IPv4, como se
muestra. No se utiliza como una forma
de traducción privada de IPv6 a IPv6
global.
NAT para IPv6 no debe usarse como
una estrategia a largo plazo, sino como
un mecanismo temporal para ayudar en
la migración de IPv4 a IPv6.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
60
6.8 Prueba y práctica del
módulo
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
61
NAT dinámica
Packet Tracer: configurar NAT para IPv4
En este Packet Tracer, completará los siguientes objetivos:
• Configurar NAT dinámica con PAT
• Configurar NAT estática
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
62
NAT dinámica
Packet Tracer: configurar NAT para IPv4
En este laboratorio, completará los siguientes objetivos:
• Construya la red y configure los ajustes básicos del dispositivo
• Configurar y verificar NAT para IPv4
• Configurar y verificar PAT para IPv4
• Configurar y verificar la NAT estática para IPv4
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
63
Prueba y práctica del módulo
¿Qué aprendí en este módulo?
• No hay suficientes direcciones IPv4 públicas para asignar una dirección única a cada
•
•
•
•
•
•
•
•
•
dispositivo conectado a Internet.
El uso principal de NAT es conservar direcciones IPv4 públicas.
En terminología NAT, la red interna es el conjunto de redes que está sujeto a traducción. La
red exterior se refiere a todas las demás redes.
La terminología NAT siempre se aplica desde la perspectiva del dispositivo con la dirección
traducida.
La dirección interna es la dirección del dispositivo que está siendo traducida por NAT.
La dirección externa es la dirección del dispositivo de destino.
La dirección local es cualquier dirección que aparece en la parte interior de la red.
La dirección global es cualquier dirección que aparece en la parte exterior de la red.
La NAT estática utiliza un mapeo uno a uno de direcciones locales y globales.
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de
llegada.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
64
Prueba y práctica del módulo
¿Qué aprendí en este módulo? (Cont.)
• La traducción de direcciones de puerto (PAT), también conocida como sobrecarga de NAT,
•
•
•
•
•
•
•
asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o unas pocas
direcciones.
NAT aumenta los retrasos en el reenvío porque la traducción de cada dirección IPv4 dentro
de los encabezados de los paquetes lleva tiempo.
NAT complica el uso de protocolos de tunelización, como IPsec, porque NAT modifica los
valores en los encabezados, lo que provoca que fallen las comprobaciones de integridad.
los mostrar traducciones ip nat El comando muestra todas las traducciones estáticas que
se han configurado y las traducciones dinámicas que ha creado el tráfico.
Para borrar las entradas dinámicas antes de que expire el tiempo de espera, utilice el
traducción nat clara ip comando de modo EXEC privilegiado.
IPv6 se desarrolló con la intención de hacer que NAT para IPv4 fuera innecesaria la
traducción entre direcciones IPv4 públicas y privadas.
Las direcciones locales únicas IPv6 (ULA) son similares a las direcciones privadas RFC 1918
en IPv4 pero tienen un propósito diferente.
IPv6 proporciona traducción de protocolo entre IPv4 e IPv6 conocida como NAT64.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
65
Module 7: WAN Concepts
New Terms and Commands
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
public WAN
private WAN
single-carrier WAN connection
dual-carrier WAN connection
Synchronous Digital Hierarchy (SDH)
Synchronous Optical Networking (SONET)
Dense Wavelength Division Multiplexing (DWDM)
data terminal equipment (DTE)
date communication equipment (DCE)
customer premises equipment (CPE)
point-of-presence
demarcation point
local loop
last mile
central office (CO)
toll network
backhaul network
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Voiceband modem
DSL modem
cable modem
CSU/DSU
optical converter
serial communication
synchronous Digital Hierarchy (SDH)
synchronous Optical Networking (SONET)
Dense Wavelength Division Multiplexing (DWDM)
T-carrier
E-carrier
frame relay
asynchronous transfer mode (ATM)
dark fiber
metropolitan Ethernet (Metro E)
Ethernet over MPLS (EoMPLS)
Virtual Private LAN service (VPLS)
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
65
Module 7: WAN Concepts
New Terms and Commands
•
•
•
•
•
•
•
•
•
•
•
•
•
•
label switched routers (LSRs)
Customer edge (CE) router
Provider edge (PE) router
Internal provider (P) router
DSL access multiplexer (DSLAM)
PPP over Ethernet (PPPoE)
Data over Cable Service Interface Specification (DOCSIS)
hybrid fiber-coaxial (HFC)
Cable Modem Termination System (CMTS)
Fiber to the x (FTTx)
Fiber to the Home (FTTH)
Fiber to the Building (FTTB)
Fiber to the Node/Neighborhood (FTTN)
Municipal Wi-Fi
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
66
Module 8: VPN and IPsec Concepts
New Terms and Commands
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Cisco Adaptive Security Appliance (ASA) firewall
SOHO
Cisco AnyConnect
Generic Routing Encapsulation (GRE)
Site-to-Site VPN
Remote access VPN
Multiprotocol Label Switching (MPLS)
SSL VPN
IPsec
Dynamic Multipoint VPN (DMVPN)
Multipoint Generic Routing Encapsulation (mGRE)
Virtual Tunnel Interface (VTI)
Diffie-Hellman
Security Association (SA)
Authentication Header (AH)
Encapsulation Security Protocol (ESP)
•
•
•
•
•
•
•
•
DES
3DES
AES
SEAL
Secure Hash Algorithm (SHA)
Message-Digest 5 (MD5)
Rivest, Shamir, and Adleman (RSA)
pre-shared secret key (PSK)
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
41
Documentos relacionados
Configuración NAT con distribución Linux (Debian, Ubuntu, Fedora
Configuración NAT con distribución Linux (Debian, Ubuntu, Fedora
Configuración SPA9xx detrás del NAT y de experimentar el
Configuración SPA9xx detrás del NAT y de experimentar el
Packet Tracer: configuración de NAT dinámica (instrucciones)
Packet Tracer: configuración de NAT dinámica (instrucciones)
Atención médica
Atención médica
Actividad de clase: Revisión de NAT
Actividad de clase: Revisión de NAT
Actividad de clase: NAT conceptual (instrucciones)
Actividad de clase: NAT conceptual (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Descargar
Anuncio
Anuncio