implementación de nat/pat en routers cisco

Implementación de NAT/PAT

Por Paulo Coloméswww.redescisco.net

http://www.redescisco.net/

2

Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010

NAT = Network Address Translation (Traducción de Direcciones de Red)PAT = Port Address Translation (Traducción de Direcciones de Puertos)

IMPLEMENTACIÓN DE NAT

3



Direcciones IP Públicas y Privadas

Según el RFC (Request For Comments) 1918, las direcciones IP se clasifican en Públicas y Privadas.

4



Direcciones IP Públicas y Privadas

Bloques de IP privadas:

•10.0.0.0/8 (10.0.0.0 – 10.255.255.255)•172.16.0.0/12 (172.16.0.0 – 172.31.255.255)•192.168.0.0/16 (192.168.0.0 – 192.168.255.255)

Cualquier IP que no esté en ese rango se considera PÚBLICA

5



¿Las siguientes IP son públicas o privadas?

a) 11.105.33.102b) 192.168.33.25c) 200.33.145.1d) 192.169.1.1e) 172.17.3.207

6



¿Las siguientes IP son públicas o privadas?

a) 11.105.33.102 (Pública)b) 192.168.33.25 (Privada)c) 200.33.145.1 (Pública)d) 192.169.1.1 (Pública)e) 172.17.3.207 (Privada)

LAS IP PRIVADAS NO SON ENRUTABLES EN INTERNET

7



8



Existen varios tipos de NAT:-Dynamic NAT-Static NAT (1:1)-PAT o NAT con Sobrecarga-PAT o NAT con Sobrecarga sobre múltiples IP-NAT-T-Source NAT-Entre otros

9



En esta presentación solo veremos 4 tipos:

-NAT Dinámico-NAT Estático-PAT (Overload)-PAT (Overload) con múltiples IP públicas

10


IMPLEMENTACIÓN DE NAT CASO 1: NAT Dinámico

NAT DINÁMICO

En el NAT dinámico, las direcciones IP internas de cada cliente de una LAN se asocian dinámicamente con cada IP externa (pública).

11



Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask 255.255.255.248Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255Router(config)# ip nat inside source list 1 pool RANGOPUBLICORouter(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outside

12



VENTAJAS: -Permite “esconder” las direcciones internas de una LAN asociándolas con IP públicas.-Asocia dinámicamente IP públicas a IP privadas, permitiendo mantener un direccionamiento privado dentro de la LAN

DESVENTAJAS:-Por cada IP privada, debe existir una IP pública-Solamente se pueden “natear” tantas IP privadas como IP públicas se tengan

13


IMPLEMENTACIÓN DE NAT CASO 2: NAT Estático

NAT ESTÁTICO

En el NAT estático es posible asignar estáticamente una dirección IP pública única a una dirección IP privada, asegurando disponibilidad y acceso desde Internet hacia un servidor ubicado en la LAN.

Este método puede convivir con otros mecanismos de NAT

14


IMPLEMENTACIÓN DE NAT CASO 2: NAT Estático

Router(config)# ip nat inside source static 192.168.0.10 200.1.1.5Router(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outside

15


IMPLEMENTACIÓN DE NAT CASO 3: NAT con Sobrecarga (PAT)

NAT CON SOBRECARGA (PAT)

Es quizá el tipo de NAT más ampliamente utilizado hoy en las organizaciones y consiste en permitir que múltiples IP privadas se conecten a Internet utilizando una sola IP (sobrecargándola). Aquí la traducción se hace en base a puertos.

16



Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255Router(config)# ip nat inside source list 1 interface f0/1 overloadRouter(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outside

17



VENTAJAS:-Se pueden conectar N estaciones privadas a Internet utilizando solamente una IP pública.- Es posible ocultar la cantidad real de direcciones privadas dificultando la tarea de un posible atacante.

-DESVENTAJAS:- Cada conexión de una estación de la LAN interna hacia Internet utiliza un puerto de la IP pública, permitiendo un máximo de 216 conexiones como máximo (65.536)- Inaplicable en redes de gran tamaño (+ de 500 hosts)

18


IMPLEMENTACIÓN DE NAT CASO 4: NAT con Sobrecarga y múltiples IP públicas

NAT CON SOBRECARGA Y MÚLTIPLES IP PÚBLICAS

Este tipo de NAT es una variación del PAT tradicional pero se agrega un grupo de IP públicas para hacer la traducción. Esto permite tener más de 65536 conexiones simultáneas (que es lo que permite una sola IP).

19



Router(config)# ip nat pool RANGO_PAT_PUBLICO 200.1.1.1 200.1.1.4 netmask 255.255.255.248Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255Router(config)# ip nat inside source list 1 pool RANGO_PAT_PUBLICO overloadRouter(config)# interface FastEthernet0/0Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1Router(config-if)# ip nat outside

20



VENTAJAS:-Permite la utilización de un rango de IP públicas y balancear dinámicamente la carga de los puertos hacia Internet- Ideal para organizaciones con un gran número de hosts que deben conectarse simultáneamente hacia Internet. Consideremos un escenario donde hay 1000 hosts en la LAN privada y 14 o 30 IP públicas.

DESVENTAJAS:-Para acceder a un host de la LAN interna hay que hacer un redireccionamiento de puertos (RDR), limitando algunas características de extremo a extremo

21



COMANDOS ÚTILES:1. # show ip nat translations

2. # show ip nat static

3. # debug ip nat

4. # clear ip nat translations *

22



Inside, Outside, Local, Global

R1# show ip nat translations

Pro Inside global Inside local Outside local Outside globalTcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333

23




Cuando quieras saber si una IP corresponde a Inside local, Inside Global, Outside Local u Outside Global, recuerda lo siguiente:

1. Inside u Outside se refiere a la ubicación del dispositivo que generó el paquete2. Local o Global se refiere a la ubicación actual del paquete

24




El PC 192.168.0.3 se conecta mediante la IP pública 200.1.1.1 hacia Internet (simulado con PC1 con 200.1.1.2)

25




INSIDE LOCAL

INSIDE GLOBAL

OUTSIDE LOCAL

OUTSIDE GLOBAL

26




IP ORIGEN IP DESTINO

192.168.0.3 200.1.1.2

D: INSIDE D: OUTSIDEP: LOCAL P: LOCAL

D: Ubicación del DispositivoP: Ubicación del Paquete

27




IP ORIGEN IP DESTINO

200.1.1.1 200.1.1.2D: Ubicación del DispositivoP: Ubicación del Paquete

D: INSIDE (*) D: OUTSIDEP: GLOBAL P: GLOBAL(*) Se refiere a la ubicación del PC0, no del R1

28




R1# show ip nat translations

Pro Inside global Inside local Outside local Outside globalTcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333

29



INSIDE LOCAL: Dirección IP de la red LAN interna (Privada, del RFC 1918)

INSIDE GLOBAL: Dirección IP Pública del Router

OUTSIDE LOCAL: Dirección IP de una máquina externa según como es vista desde la LAN, no siempre es una IP pública

OUTSIDE GLOBAL: Dirección IP Pública del servidor remoto

30



Q&A

implementación de nat/pat en routers cisco

Technology

nat caso

dynamic nat static nat

nat dinmico routerconfig

nat esttico routerconfig

nat dinmico nat dinmico

nat esttico nat esttico

ip nat pool rangopublico

sobrecarga pat nat