La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012.

Presentaciones similares


Presentación del tema: "INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012."— Transcripción de la presentación:

1 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONICA MECANISMO NAT Profesor Daniel Díaz Ataucuri Catedrático Titular a Tiempo Parcial FIEE-UNI / UNMSM Director de Investigación y Desarrollo Tecnológico del INICTEL-UNI Lima, Agosto-Diciembre de 2012

2 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD INTRODUCCION El NAT es un mecanismo que permite traducir una dirección de red privada a una dirección IP pública enrutable. El NAT puede ser: Estático.- Cada dirección local privada se mapea con su correspondiente dirección global. Dinámico.- Dirección IP perteneciente a un pool de direcciones IP públicas se asignan a un host de la red. Por puerto.- Llamado también PAT, relaciona varias direcciones IP privadas a una sola dirección pública.

3 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD VENTAJAS DEL NAT No es necesario volver a reasignar nuevas direcciones IP cuando se cambia de ISP. Con el PAT, sólo es necesario una dirección IP pública, ahorro sustancial de direcciones IP. Desde que las direcciones privadas internas no son accesible externamente, hay un grado de seguridad.

4 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD ACCESS CONTROL LIST-ACL ACL es una lista secuencial de sentencias, de permisos o denegaciones que se aplican a direcciones IP o protocolos de capas superiores. Clasifica direcciones y flujos de datos El uso de ACL son: Clasificar direcciones IP, puertos, entre otros. Mecanismo NATMecanismo NAT para definir una lista de direcciones privadas que serán traducidas. Especificar criterios en la tabla de enrutamiento (policy-based routing) Identificar que direcciones IP pasan por una VPN Mecanismo de seguridad

5 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD FORMACIÓN DE UNA LISTA: El Wildcard Analicemos todas las direcciones IP de la subred / = = = = = Expresado en binario Condición que a de cumplir xx xxxx Irrele- vante Condición que a de cumplir Todos en cero Dirección de referencia Wildcard Se ha formado una lista con todas las direcciones IP de la subred /26 Dirección de referencia Wildcard Comando: R(config)# access-list 1 permit

6 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD impares Analicemos todas las direcciones IP impares de la subred / Se ha formado una lista con las direcciones IP impares de la subred /26 Dirección de referencia Wildcard = = = = Expresado en binario Condición que a de cumplir Condición que a de cumplir xx xxx1 Irrele- vante Condición que a de cumplir Todos en cero Dirección de referencia Wildcard Condición que a de cumplir FORMACIÓN DE UNA LISTA: El Wildcard Comando: R(config)# access-list 1 permit

7 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD FORMACIÓN DE UNA LISTA: El Wildcard Lista que incluye todas las IP de la subred /26 excepto la dirección Comando: access-list 1 deny access-list 1 permit = = = = = Expresado en binario Condición que a de cumplir

8 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD ESCENARIO DE NAT R1 R2 R3R4 R5 R6 R7 R :p TABLA DE NAT R1 Servidor DHCP Ofrece el rango: a / / / / / / / / / / / PCa PCb PCc / Fa0/0 Fa0/1Fa0/0 Fa1/0 Fa0/1 Fa1/1 Fa0/1 Fa0/0 Fa0/1 Fa0/0 Fa1/0 Fa0/1 Fa0/0 Fa0/1 Fa1/0 Fa1/1 Fa0/1 Fa0/0 Subred de NAT /26 Donde p es el puerto ubicado en la capa 4. INSIDE OUTSIDE

9 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD IPorig = IPdest= IPorig = IPdest= FUNCIONAMIENTO DEL NAT ESTÁTICO IPorig = IPdest= IPorig = IPdest= IPorig = IPdest= IPorig = IPdest= IPorig IPdest= Las tablas de enrutamiento de la red debe indicar como llegar a /26 IPorig = IPdest= IPorig = IPdest= IPorig IPdest= Iporig = IPdest= Iporig = IPdest= Subred de NAT /26 Donde p es el puerto ubicado en la capa etc… etc… etc etc… etc… etc etc… etc… etc

10 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD a a a :p TABLA DE NAT R1(config)#ip nat inside source static R1(config)#ip nat inside source static R1(config)#interface fastEthernet 0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#interface fastEthernet 0/1 R1(config-if)#ip nat outside CONFIGURACIÓN DEL NAT ESTÁTICO

11 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD VERIFICACIÓN DEL NAT ESTÁTICO R1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp : : : :23695 icmp : : : :24207 icmp : : : :24463 icmp : : : :24975 icmp : : : : R1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp : : : :12176 icmp : : : :12432 icmp : : : :12944 icmp : : : :13200 icmp : : : : Para borrar la tabla NAT: R1#clear ip nat translation forced

12 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD IPorig = IPdest= IPorig = IPdest= FUNCIONAMIENTO DEL NAT DINÁMICO IPorig = IPdest= IPorig = IPdest= IPorig = IPdest= IPorig = IPdest= IPorig IPdest= Las tablas de enrutamiento de la red debe indicar como llegar a /26 IPorig = IPdest= IPorig = IPdest= IPorig IPdest= Iporig = IPdest= Iporig = IPdest= Subred de NAT /26 Donde p es el puerto ubicado en la capa etc… etc… etc etc… etc… etc etc… etc… etc

13 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD R1(config)#access-list 1 deny R1(config)#access-list 1 deny R1(config)#access-list 1 permit R1(config)#ip nat pool lima netmask R1(config)#ip nat inside source list 1 pool lima R1(config)#exit ESCENARIO DE NAT DINÁMICO: Configuración a a a :p TABLA DE NAT

14 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD VERIFICACIÓN DEL NAT DINÁMICO R1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp : : : :39569 icmp : : : :40081 icmp : : : :40337 icmp : : : :40849 icmp : : : : R1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp : : : :58257 icmp : : : :58769 icmp : : : :59025 icmp : : : :59537 icmp : : : :

15 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD IPorig = IPdest= IPorig = :p1 IPdest= FUNCIONAMIENTO DEL PAT IPorig = :p1 IPdest= IPorig = :p1 IPdest= IPorig = :p1 IPdest= IPorig = :p1 IPdest= IPorig IPdest= :p1 Las tablas de enrutamiento de la red debe indicar como llegar a /26 IPorig = IPdest= :p1 IPorig = IPdest= :p1 IPorig IPdest= :p1 Iporig = IPdest= Iporig = IPdest= :p1 Subred de NAT /26 Donde p es el puerto ubicado en la capa 4.

16 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD ESCENARIO DE PAT: Configuración a a a :p TABLA DE NAT R1(config)#access-list 2 deny R1(config)#access-list 2 permit R1(config)#ip nat pool ica netmask overload R1(config)#ip nat inside source list 2 pool ica overload R1(config)#exit

17 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD VERIFICACIÓN DEL PAT R1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp : : : :40085 icmp : : : :40597 icmp : : : :40853 icmp : : : :41365 icmp : : : :41621 R1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp : : : :406 icmp : : : :662 icmp : : : :1174 icmp : : : :1430 icmp : : : :1942 R1#show ip nat translation Pro Inside global Inside local Outside local Outside global icmp : : : :24982 icmp : : : :25494 icmp : : : :25750 icmp : : : :26262 icmp : : : :26518

18 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD CONFIGURAR EL SERVIDOR DHCP R1#configure terminal R1(config)#ip dhcp excluded-address R1(config)#ip dhcp pool trujillo R1(dhcp-config)#network R1(dhcp-config)#default-router R1(dhcp-config)#dns-server R1(dhcp-config)#lease 2 R1(dhcp-config)#exit R1(config)# El rango de direcciones hasta deben ser asignadas dinámicamente usando DHCP, en la red anterior.

19 INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012 REDES TELEMÁTICAS/ REDES Y CONECTIVIDAD Plaza Mayor, Madrid- España


Descargar ppt "INSTITUTO NACIONAL DE INVESTIGACION Y CAPACITACION DE TELECOMUNICACIONES, INICTEL-UNI Propiedad intelectual de Daniel 2012."

Presentaciones similares


Anuncios Google