CCNA 4 v3.

1 Mdulo 1: Escalabilidad de direcciones IP

2004, Cisco Systems, Inc. All rights reserved.

Objetivos
Cuando finalice este conocer" sobre: dulo! el estudiante

#Cu"l es la diferencia entre una direccin IP $rivada % una direccin IP $&blica

-C o NA' % PA' $er iten traducir direcciones IP $rivadas a direcciones $&blicas -C o ()CP $er ite asi*nar direcciones IP $rivadas a los +osts de for a din" ica

2004, Cisco Systems, Inc. All rights reserved.

(irecciones P&blicas % Privada

2004, Cisco Systems, Inc. All rights reserved.

(irecciones IP $&blicas % $rivadas

E,isten dos ti$os de direcciones IP: $&blicas % $rivadas. -as direcciones $&blicas se $ueden enrutar a la Internet! no as. las direcciones $rivadas /ue son slo $ara el uso interno de una red. Es necesario re*istrar las direcciones de Internet $&blicas con una autoridad de Internet co o $or eje $lo! el 0e*istro A ericano de N& eros de Internet 1A0IN2. Estas direcciones de Internet $&blicas $ueden al/uilarse a una I3P ta bi4n.
2004, Cisco Systems, Inc. All rights reserved.

(irecciones IP $&blicas % $rivadas

Cada direccin $&blica le $ertenece a una red $articular. 3in e bar*o! varias redes $ueden utili5ar la is a direccin $rivada. -a si*uiente tabla uestra los blo/ues de direcciones $rivadas dis$onibles:

2004, Cisco Systems, Inc. All rights reserved.

(irecciones IP $&blicas % $rivadas

Para /ue un $a/uete $ueda ser enrutado +a% /ue traducir la direccin de ori*en 1una direccin IP $rivada2 a una direccin IP $&blica. (os ecanis os /ue lo*ran esto son NA' % PA'.

2004, Cisco Systems, Inc. All rights reserved.

NA' % PA'

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NA'

-a 'raduccin de (irecciones de 0ed 1NA' o Network Address Translation2 es un ecanis o /ue $er ite traducir una direccin IP $rivada a una $&blica de for a /ue los $a/uetes $ertenecientes a un +ost $uedan ser enrutados.

2004, Cisco Systems, Inc. All rights reserved.

"

Introduccin a NA'
Cuando un +ost dentro de una red desea +acer una trans isin a un +ost en el e,terior! env.a el $a/uete al router del *ate6a% fronteri5o. El router del *ate6a% fronteri5o reali5a el $roceso de NA'! traduciendo la direccin $rivada interna de un +ost a una direccin $&blica! enrutable % e,terna.

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NA'
7n router /ue ejecuta NA' *eneral ente o$era en la frontera de una red stub 1una red /ue $osee una sola cone,in a la red del I3P2.

2004, Cisco Systems, Inc. All rights reserved.

10

Introduccin a NA'
Cisco define los si*uientes t4r inos: #(ireccin local interna: la direccin IP $rivada asi*nada al +ost en i red. #(ireccin *lobal interna: la direccin IP $&blica asi*nada a uno o varios +osts en i red. #(ireccin e,terna 1local o *lobal2: la direccin IP $&blica asi*nada a un +ost e,terno a i red.

2004, Cisco Systems, Inc. All rights reserved.

11

'i$os de NA'
E,isten dos ti$os de NA': # NA' est"tica: utili5ada $ara servidores de e $resas o dis$ositivos de net6or8in*. Cada direccin IP $rivada se asocia con una sola direccin IP $&blica es$ec.fica. # NA' din" ica: utili5ada $ara los +osts. Cada direccin IP $rivada se asocia a una direccin IP $&blica dentro de un conjunto de direcciones IP $&blicas dis$onibles.
2004, Cisco Systems, Inc. All rights reserved.

12

Eje $lo del uso de NA'

El si*uiente es un eje $lo del uso de NA':
Inside Outside 19.9.9.19
3A 3A

1;<.=.<.=9 19.9.9.:

Internet

19.9.9.:

NA' 'able
Inside (oc&l I' Address 10.0.0.2 10.0.0.10 Inside $lo%&l I' Address 1!#.#."."0 1!#.#.".10

2004, Cisco Systems, Inc. All rights reserved.

13

Introduccin a PA'
7na t4cnica relacionada con NA' din" ica es la 'raduccin de (irecciones $or Puerto 1PA'2! ta bi4n conocida co o sobrecar*a de direcciones $&blicas. PA' asocia varias direcciones IP $rivadas a una sola direccin IP $&blica! asi*n"ndole a cada +ost un n& ero de $uerto.
2004, Cisco Systems, Inc. All rights reserved.

14

Introduccin a PA'
Cuando se +ace una traduccin! PA' intenta asi*narle a la direccin IP $&blica el is o n& ero de $uerto /ue se le asi*n a la direccin IP ori*inal 1la $rivada2. 3i el n& ero de $uerto ori*inal est" en uso! PA' asi*na el $ri er n& ero de $uerto dis$onible co en5ando desde el $rinci$io del *ru$o de $uertos corres$ondiente 9#>11! >1:#19:3! o 19:4# ?>>3>. En teor.a! el n& ero total de direcciones internas /ue se $ueden traducir a una sola direccin e,terna $odr.a ser +asta ?>!>3? $or direccin IP. En realidad! el n& ero de $uertos /ue se $ueden asi*nar a una sola direccin IP es a$ro,i ada ente 4999.
2004, Cisco Systems, Inc. All rights reserved.

15

Eje $lo del uso de PA'

El si*uiente es un eje $lo del uso de PA':
Inside Outside 19.9.9.3
3A 1;<.<.=.=9:134> 3A 3A 19.9.9.::14>? Inside (oc&l I' Address 10.0.0.2)145 10.0.0.3)2333 1;<.<.=.=9::333

:9:.?.3.:

3A 19.9.9.3::333

Internet

NA' 'able
Inside $lo%&l I' Address 1!#.#."."0)145 1!#.#."."0)2333 *+tside (oc&l I' Address 202. .3.2)"0 12 .23.2.2)"0

1:?.:3.:.:
*+tside $lo%&l I' Address 202. .3.2)"0 12 .23.2.2)"0

19.9.9.:

2004, Cisco Systems, Inc. All rights reserved.

@entajas de NA' % PA'

NA' % PA' ofrecen las si*uientes ventajas:
# NA' % PA' eli ina la reasi*nacin de una nueva direccin IP a cada +ost cuando se ca bia a un nuevo I3P %a /ue cada +ost antiene su direccin IP $rivada. -NA' % PA' $rote*e la se*uridad de la red %a /ue las redes e,ternas no conocen las direcciones $rivadas de los +osts de la red interna. -PA' conserva las direcciones ediante la ulti$le,in a nivel de $uerto de la a$licacin. Con PA'! los +osts internos $ueden co $artir una sola direccin IP $&blica $ara toda co unicacin e,terna.
2004, Cisco Systems, Inc. All rights reserved.

1!

Confi*uracin de NA' est"tico

Es necesario entrar la direccin IP $rivada % su e/uivalente $&blico $ara cada +ost en la confi*uracin del router /ue sirve de *ate6a%:

Router(config)#ip nat inside source static 10.6.1.20 171.69.68.10

2004, Cisco Systems, Inc. All rights reserved.

1"

Confi*uracin de NA' est"tico

Inside Net6or8 Inside Interface
Inside )ost

Outside Net6or8

NA'

Outside Interface
i$ nat outside
Outside )ost

i$ nat inside

Router(config-if)#ip nat inside

)a% /ue definir cada interfa5 del router /ue reali5a NA' co o interna o e,terna.
-as interfaces fast et+ernet son internas. -as interfaces seriales son e,ternas.
2004, Cisco Systems, Inc. All rights reserved.

1#

Confi*uracin de NA' est"tico

-os si*uientes co andos confi*uran NA' est"tico
0outer1confi*2A i$ nat inside source static Blocal#i$C B*lobal#i$C Asocia la dir. privada del host a su equivalente pblica 0outer1confi*2A interface fastet+ernet Binterface#nu berC 0outer1confi*#if2A i$ address Bi$#addressC Bsubnet# as8C Esta es una direccin privada 0outer1confi*#if2A i$ nat inside 0outer1confi*#if2A e,it 0outer1confi*2A interface serial Binterface#nu berC 0outer1confi*#if2A i$ address Bi$#addressC Bsubnet# as8C Esta es una direccin privada 0outer1confi*#if2A i$ nat outside 0outer1confi*#if2A e,it

2004, Cisco Systems, Inc. All rights reserved.

20

Confi*uracin de NA' est"tico

Eje $lo del laboratorio 1.1.4c:
0outer1confi*2A i$ nat inside source static 19.19.19.19 1<<.<<.<.33 0outer1confi*2A interface fastet+ernet 9D9 0outer1confi*#if2A i$ address 19.19.19.1 :>>.:>>.:>>.9 0outer1confi*#if2A i$ nat inside 0outer1confi*#if2A e,it 0outer1confi*2A interface serial 9D9 0outer1confi*#if2A i$ address :99.:.:.1= :>>.:>>.:>>.:>: 0outer1confi*#if2A i$ nat outside 0outer1confi*#if2A e,it
2004, Cisco Systems, Inc. All rights reserved.

21

Confi*uracin de NA' est"tico

2004, Cisco Systems, Inc. All rights reserved.

22

Confi*uracin de NA' din" ico

)a% /ue definir un conjunto 1pool2 de direcciones IP $&blicas dis$onibles:
Router(config)#ip nat pool nat-pool 179.9.8.80 179.9.8.95 netmas 255.255.255.2!0

)a% /ue definir una lista de acceso /ue indi/ue cu"les direcciones $rivadas se $odr"n traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255

)a% /ue asociar a bas listas:

Router(config)#ip nat inside source list 1 pool nat-pool
2004, Cisco Systems, Inc. All rights reserved.

23

Confi*uracin de NA' din" ico

-os si*uientes co andos confi*uran NA' din" ico: 0outer1confi*2A i$ nat $ool B$ool#na eC B*lobal#start#i$C B*lobal#end#i$C net as8 Bsubnet# as8C ... Direcciones pblicas en el pool 0outer1confi*2A access#list Baccess#list#nu berC $er it Bsource#net6or8C B6ildcard# as8C ... Direcciones privadas en la red 0outer1confi*2A i$ nat inside source list Baccess#list#nu berC $ool B$ool#na eC 0outer1confi*2A interface fastet+ernet Binterface#nu berC 0outer1confi*#if2A i$ address Bi$#addressC Bsubnet# as8C ... Direccin privada de la int. al LAN 0outer1confi*#if2A i$ nat inside 0outer1confi*#if2A e,it 0outer1confi*2A interface serial Binterface#nu berC 0outer1confi*#if2A i$ address Bi$#addressC Bsubnet# as8C ... Direccin pblica de la int. al exterior 0outer1confi*#if2A i$ nat outside 0outer1confi*#if2A e,it
2004, Cisco Systems, Inc. All rights reserved.

24

Confi*uracin de NA' din" ico

Eje $lo del laboratorio 1.1.4a: 0outer1confi*2A i$ nat $ool $ublic#access 1<<.<<.<.49 1<<.<<.<.?: net as8 :>>.:>>.:>>.::4 0outer1confi*2A access#list 1 $er it 19.19.19.9 9.9.9.:>> 0outer1confi*2A i$ nat inside source list 1 $ool $ublic#access 0outer1confi*2A interface fastet+ernet 9D9 0outer1confi*#if2A i$ address 19.19.19.1 :>>.:>>.:>>.9 0outer1confi*#if2A i$ nat inside 0outer1confi*#if2A e,it 0outer1confi*2A interface serial 9D9 0outer1confi*#if2A i$ address :99.:.:.1= :>>.:>>.:>>.:>: 0outer1confi*#if2A i$ nat outside 0outer1confi*#if2A e,it
2004, Cisco Systems, Inc. All rights reserved.

25

Confi*uracin de NA' din" ico

2004, Cisco Systems, Inc. All rights reserved.

Confi*uracin de PA'
)a% /ue definir una lista de acceso /ue indi/ue cu"les direcciones $rivadas se $odr"n traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255

,&y -+e indic&r l& inter.&/ seri&l -+e est&r0 so%rec&rg&d& 1overloaded2 tr&d+ciendo v&ri&s direcciones 3riv&d&s & +n& sol& 34%lic&)
Router(config)#ip nat inside source list 1 interface serial0"0 o#erload

2004, Cisco Systems, Inc. All rights reserved.

2!

Confi*uracin de PA' din" ico

-os si*uientes co andos confi*uran PA' din" ico: 0outer1confi*2A access#list Baccess#list#nu berC $er it Bsource#net6or8C B6ildcard# as8C ... Direcciones privadas en la red 0outer1confi*2A i$ nat inside source list Baccess#list#nu berC interface serial Binterface#nu berC overload 0outer1confi*2A interface fastet+ernet Binterface#nu berC 0outer1confi*#if2A i$ address Bi$#addressC Bsubnet# as8C ... Direccin privada de la int. al LAN 0outer1confi*#if2A i$ nat inside 0outer1confi*#if2A e,it 0outer1confi*2A interface serial Binterface#nu berC 0outer1confi*#if2A i$ address Bi$#addressC Bsubnet# as8C ... Direccin pblica de la int. 0outer1confi*#if2A i$ nat outside 0outer1confi*#if2A e,it
2004, Cisco Systems, Inc. All rights reserved.

de los hosts al exterior

2"

Confi*uracin de PA'
Eje $lo del laboratorio 1.1.4b:
0outer1confi*2A access#list 1 $er it 19.19.19.9 9.9.9.:>> 0outer1confi*2A i$ nat inside source list 1 interface serial 9D9 overload 0outer1confi*2A interface fastet+ernet 9D9 0outer1confi*#if2A i$ address 19.19.19.1 :>>.:>>.:>>.9 0outer1confi*#if2A i$ nat inside 0outer1confi*#if2A e,it 0outer1confi*2A interface serial 9D9 0outer1confi*#if2A i$ address :99.:.:.1= :>>.:>>.:>>.:>: 0outer1confi*#if2A i$ nat outside 0outer1confi*#if2A e,it
2004, Cisco Systems, Inc. All rights reserved.

2#

Confi*uracin de PA'

2004, Cisco Systems, Inc. All rights reserved.

30

PA' % (ME
A enudo dese os /ue un deter inado $uerto de una i$ *lobal interna se redireccione a un deter inado $uerto de una i$ local interna! co o en una (ME.

2004, Cisco Systems, Inc. All rights reserved.

31

PA' % (ME

En estos casos utili5a os un for a $articular de PA'.

1confi*2A i$ nat inside source static B$rotocoloC Bi$#localC B$uertoC Bi$#*lobalC B$uertoC

A esto +a% /ue aFadir los co andos Gi$ nat insideH e Gi$ nat outsideH en las interfaces interna % e,terna del router.

2004, Cisco Systems, Inc. All rights reserved.

32

@erificacin de la confi*uracin de NA' % PA'

Para ver la traduccin NA' en un router se usa el co ando s+o6 i$ nat translations. Para ver las estad.sticas de NA' % PA' se usa el co ando s+o6 i$ nat statistics. Para eli inar todas las entradas de traduccin de direcciones din" icas se usa el co ando clear i$ nat translation I Para eli inar una entrada de traduccin de din" ica se usa el co ando clear i$ nat translation inside B*lobal#i$C Blocal#i$C
2004, Cisco Systems, Inc. All rights reserved.

33

@erificacin de la confi*uracin de NA' % PA'

2004, Cisco Systems, Inc. All rights reserved.

34

(ia*nstico de fallas en la confi*uracin de NA' % PA'

7tilice el co ando debu* i$ nat $ara verificar la o$eracin de NA' visuali5ando la infor acin acerca de cada $a/uete /ue el router traduce.

2004, Cisco Systems, Inc. All rights reserved.

35

(ia*nstico de fallas en la confi*uracin de NA' % PA'

2004, Cisco Systems, Inc. All rights reserved.

@entajas de NA'

Con $ocas IPJs $&blicas $ode os cubrir uc+os +osts $rivados. Kran fle,ibilidad los odos acceso! $er itiendo lineas de bac8u$! redireccin de $uertos... Inde$endencia del I3P A$orta se*uridad al aislar la red interna del e,terior.

2004, Cisco Systems, Inc. All rights reserved.

3!

Proble as de NA'
Per itir la traduccin de direcciones causa una $4rdida en la funcionalidad de ciertas a$licaciones 1fir as di*itales! t&neles... al ca biar la i$ de ori*en2. NA' au enta el retardo debido a la traduccin. Inicios de sesiones desde el e,terior solo si +a% so$orte e,$l.cito en el router. 7na desventaja si*nificativa /ue sur*e al i $le entar % utili5ar NA'! es la $4rdida de la $osibilidad de rastreo IP de e,tre o a e,tre o.
2004, Cisco Systems, Inc. All rights reserved.

3"