Router Teldat

Facilidad NAT
Doc. DM720 Rev. 10.70 Noviembre, 2006

ÍNDICE
Capítulo 1 Introducción ....................................................................................................1
1. 2. 2.1. 2.2. 2.3. 3. 3.1. 3.2. 3.3. Introducción al NAT .......................................................................................................... 2 Tipos de NAT..................................................................................................................... 3 NAT estático ........................................................................................................... 3 NAT dinámico ........................................................................................................ 3 NAPT/PAT (Enmascaramiento) ............................................................................. 4 Problemas comunes a todas las técnicas NAT ................................................................... 5 Información de estado............................................................................................. 5 Fragmentación......................................................................................................... 5 Comportamiento según el tipo de protocolo ........................................................... 5 a) Aplicaciones “venenosas” ...................................................................................... 5 b) Protocolos de Routing Dinámico (RIP, EGP, …) ................................................... 5 Configuración NAT............................................................................................................ 7 Posición o identificador .......................................................................................... 8 Interfaz local ........................................................................................................... 8 Interfaz global ......................................................................................................... 8 Red local ................................................................................................................. 8 Red global ............................................................................................................... 8 Tipo de transformación ........................................................................................... 8 Sentido o dirección de la transformación ................................................................ 9 Comandos de configuración NAT...................................................................................... 11 Configuración de una regla NAT ............................................................................ 11 a) Configuración del tipo de transformación .............................................................. 12 b) Configuración del sentido de transformación......................................................... 12 c) Configuración del rango de direcciones................................................................. 12 d) Configuración del Interfaz local y del Interfaz global ............................................ 12 e) Configuración de lista de acceso ............................................................................ 13 Modificación de una regla NAT ............................................................................. 13 Borrado de una regla NAT...................................................................................... 14 Listado de las reglas NAT configuradas ................................................................. 14 Habilitar / Deshabilitar la funcionalidad NAT ........................................................ 15 Mostrar el estado de la funcionalidad NAT ............................................................ 15 Mostrar toda la configuración de la funcionalidad NAT......................................... 15 EXIT ....................................................................................................................... 16 Resumen de comandos ....................................................................................................... 17

Capítulo 2 Configuración..................................................................................................6
1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 2. 2.1.

2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 3. 1.

Capítulo 3 Monitorización ................................................................................................18
Monitorización NAT .......................................................................................................... 19 ? (AYUDA)............................................................................................................. 19 LIST ........................................................................................................................ 19 a) LIST CONNECTIONS............................................................................................. 19 1.3. EXIT ....................................................................................................................... 20 1.1. 1.2. NAT estático ...................................................................................................................... 22 Cambiar las direcciones orígenes de una red entera................................................ 22 Conectar dos redes que usan el mismo espacio de direccionamiento ..................... 23 Solapamiento de direcciones (autoaliasing) ............................................................ 24

Capítulo 4 Ejemplos ..........................................................................................................21
1. 1.1. 1.2. 1.3.

- ii -

Capítulo 1 Introducción .

NAT además permite a las empresas poner en marcha estrategias de redireccionamiento en las que los cambios en las redes IP locales son mínimos. conectarse a Internet al convertir dichas direcciones en públicas (direcciones globales) que sí son accesibles desde Internet.70 . realizar así la transformación entre las redes internas de las oficinas a redes globales. Por tanto. y que por tanto no son accesibles por tabla de rutas de Internet. Cuando un paquete entra en el dominio. En lugar de realizar dicho cambio que sería muy costoso en tiempo se podría realizar NAT. ROUTER TELDAT . Cuando un paquete abandona el dominio stub. • Una empresa requiere conectividad IP entre oficinas remotas. En este caso se configura un router NAT como enlace entre el dominio privado (red local) y el dominio público (red pública: en este caso Internet). la dirección destino global del paquete se cambia por la dirección destino local.1. que está usando un espacio de direccionamiento distinto al que internamente está usando. Las desventajas del NAT aparecen cuando existen muchos equipos que requieren NAT simultáneamente o cuando las aplicaciones de red intercambian referencias a direcciones IP origen o destino: dichas aplicaciones no funcionan si su información viaja a través de un router NAT de forma transparente. Por tanto NAT permite a una empresa que utiliza direcciones privadas (direcciones locales). el primer espacio de direcciones es el “local” y el segundo espacio de direcciones es el “global”. la facilidad NAT se configura en el router frontera entre el dominio “stub” y el “backbone”. En este caso sería suficiente con configurar NAT en los routers frontera de cada oficina. Dentro del dominio local un determinado equipo poseerá una dirección local. La facilidad NAT (Network Address Translation) permite a la red IP de una empresa aparentar. Un router configurado con NAT no debe anunciar las redes locales a través de los interfaces globales. averiguando y cambiando las referencias a direcciones IP locales. En un entorno típico. 10. Introducción al NAT Dos de los principales problemas que posee Internet son la escasez de direcciones IP y el creciente tamaño de las tablas de rutas. mientras que en el exterior aparentará que posee una dirección de otro espacio de direcciones. • Se necesitan cambiar la direcciones internas de muchos equipos. NAT tiene diversas aplicaciones. de cara al resto de redes IP. El router NAT traduce las direcciones locales en direcciones globales antes de enviar los paquetes al exterior. Una ventaja muy importante del NAT es que para cambiar la dirección de muchos equipos locales solo requiere realizar cambios en los routers NAT. Como se ha dicho con anterioridad. el router NAT cambia la dirección local origen del paquete por una dirección global. en este caso la única solución es que el router NAT analice los paquetes de datos de dicha aplicación. pero no todos los equipos poseen direcciones IP globales (permitidas). siendo algunos escenarios posibles los siguientes: • Se quiere tener conectividad con Internet. NAT está descrito en la RFC 1631. Dichas oficinas remotas posee redes IP internas que no cumplen con un plan de direccionamiento con lo que las tablas de rutas para lograr conectividad entre ellas es grande o imposible.DM720 Rev. Un router NAT tendrá al menos un interfaz local (interfaz en contacto con la red local) y un interfaz global (interfaz en contacto con la red global). que ahora sí cumplen con el plan de direccionamiento.Introducción Facilidad NAT I-2 Doc. el termino “local” representa a aquellas redes que pertenecen a una empresa y que deben ser traducidas. Sin embargo las rutas globales si pueden ser anunciadas a través de los interfaces locales.

AND 100010101100100110010010 00011011 000000000000000000000000 11111111 010111100100000000001111 010111100100000000001111 00011011 (dirección antigua 138.1.255. En los siguientes subapartados m y n significan: m: número de direcciones IP locales. Un caso particular es cuando las dos redes contienen sólo una dirección IP (máscara de red 255.2.27) (máscara de red negada) (red 94.64. existiendo otros manuales Teldat para el resto de variedades de NAT. NAT dinámico m: n-Traslación. 2. En este caso lo que se realiza es una traslación de los puertos de protocolos de transporte (UDP. m ≥ 1 y m ≥ n (m.15.15.0) (dirección nueva 94.255).64. 10. n ∈ N) Con NAT estático se realiza traslación de redes locales en redes globales del mismo tamaño (con mismo número de direcciones IP). Tipos de NAT La traducción de direcciones puede ser: • NAT estático: la correspondencia de direcciones locales y globales es unívoca. n: número de direcciones IP globales.0 en la red global 94. Por tanto la correspondencia entre direcciones globales y locales no es unívoca y depende de condiciones de ejecución.70 . 2. n ≥ 1 y m = n (m.0. TCP).2.Introducción Facilidad NAT I-3 Doc.255. siendo la máscara de ambas redes 255. El proceso NAT puede describirse con la siguiente transformación: dirección-global = red-global OR (dirección-local AND (NOT máscara-red)) dirección-local = red-local OR (dirección-global AND (NOT máscara-red)) Ejemplo: • Regla NAT: trasladar todas las direcciones de la red local 138.64.148.DM720 Rev.255.255.0. NAT estático m : n-Traslación.201.15.201.27) Este manual se centra en la configuración de NAT estático. • NAT dinámico: se establece una correspondencia de direcciones locales en un pool de direcciones globales. n ∈ N) ROUTER TELDAT .148. • NAPT (Address Port Translation): se establece una correspondencia entre direcciones locales y una única dirección global. m.

0 • Cada nueva conexión desde la red local hacia el exterior obtiene una dirección global del pool de direcciones globales disponible.Introducción Facilidad NAT I-4 Doc.255. UDP). Otra limitación es que. El problema principal de este tipo de NAT es que muchos servicios sólo aceptan conexiones provenientes de puertos privilegiados para así asegurar que no provienen de cualquier usuario. Como diferencia con el tipo de NAT anterior. subsiguientes conexiones deben ser rechazadas devolviendo “host unreachable”.0 con máscara 255. las conexiones entrantes no están permitidas. Aquí muchas direcciones locales son trasladadas a una misma dirección global.0 en direcciones de la red global 278.255.70 .0 máscara 255.201.255.0. El número de conexiones simultáneas permitidas estará limitado al número de puertos NAT disponibles. Ejemplo: • Regla NAT: trasladar dinámicamente todas las direcciones de la red local 138. • Si el destino de los paquetes entrantes es la dirección del interfaz externo del router NAT y el puerto destino corresponde con un puerto NAT ya asignado se cambia dirección y puerto destino por la dirección local y puerto local correspondiente.3.0.DM720 Rev. ahora se permiten más de “n” conexiones. Es el tipo de NAT más usado actualmente.0.201.0 tras la dirección global del interfaz externo del router. NAPT/PAT (Enmascaramiento) m: n-Traslación. n ∈ N) Es un caso particular de NAT dinámico. o iguales pero por alguna razón no interesa que el NAT sea estático.201.112. • Si la dirección local ya posee una dirección global se vuelve a utilizar dicha correspondencia. El número de equipos locales comunicándose con el exterior simultáneamente queda limitado al número de direcciones globales disponibles. por defecto. 10. Ahora un número arbitrario de conexiones se multiplexan usando información de puertos (TCP.Este tipo de NAT es necesario cuando el número de direcciones globales disponibles es menor que el de locales. Para permitir NAPT se requiere mantener manejadores para cada conexión TCP. UDP. Ejemplo: • Regla NAT: enmascarar las direcciones globales de la red 138. m ≥ 1 y n = 1 (m. Cuando todas las direcciones globales están siendo usadas. ROUTER TELDAT . 2. • Para cada paquete saliente la dirección origen del paquete se sustituye por la dirección del interfaz externo del router NAT y el puerto origen se cambia por un puerto NAT no utilizado todavía.

dirección y puerto destino. Sobra decir que si se está habilitando NAT.1.DM720 Rev. 10. • Segunda sección o sección global: del router NAT al destino. ICMP. 3. Además este tipo de información de estado debe tener un tiempo de vida limitado de tal manera que. Problemas comunes a todas las técnicas NAT Toda conexión que atraviese un router se identifica por una quintupla: protocolo. Cuando un paquete IP es fragmentado el router NAT sólo puede utilizar la información de puerto del primer fragmento ya que el resto de fragmentos tienen el puerto a 0xFFFF. Sin embargo las rutas globales si pueden ser anunciadas a través de los interfaces locales.3. etc. Esto es algo que tienen en común con los Firewalls: ambos tipos de dispositivos no sólo realizan encaminamiento de los paquetes sino que deben analizar y controlar el tipo de información que se intercambia a través de ellos y mantener información del estado de cada conexión con lo que ello conlleva: una sobrecarga importante comparado con un router sin NAT. Se recomienda utilizar routing estático. sea borrado de la lista. Sólo el router NAT posee información de lo que está ocurriendo en cada sección. 3. todo paquete que viaje del dominio local al global debe ir a través del o de los routers NAT. …) Un router configurado con NAT no debe anunciar las redes locales a través de los interfaces globales. Por tanto en este tipo de NAT se hace necesaria guardar información de estado de los fragmentos. una por cada sección: • Primera sección o sección local: del origen al router NAT. Cada aplicación de este tipo requiere un tratamiento específico.70 . EGP. pero esto también significa que el router NAT debe almacenar mucha información por conexión establecida. Información de estado Excepto para el caso de NAT estático. si un determinado equipo ha parado de transmitir información.2. cosa que no necesitan hacer los router sin NAT. Fragmentación En las estrategias NAT en las que no sólo se traducen las direcciones sino también los puertos aparece otro problema en la fragmentación. los router NAT deben guardar información dinámica sobre las correspondencias actuales entre direcciones locales y globales. Ejemplos de estas aplicaciones son FTP. • Tercera sección o sección interna: el router NAT del interfaz interno o local al interfaz externo o global. Si al router se le habilita NAT aparecerán 3 quintuplas para representar la misma conexión. dirección y puerto origen. ROUTER TELDAT . 3. b) Protocolos de Routing Dinámico (RIP.Introducción Facilidad NAT I-5 Doc.3. Comportamiento según el tipo de protocolo a) Aplicaciones “venenosas” Denominamos aplicaciones “venenosas” a aquellas aplicaciones que incluyen información de direccionamiento IP y/o puertos TCP/UDP fuera de los campos de cabecera correspondientes.

Capítulo 2 Configuración .

10.Static NAT configuration -SNAT config> Activar o desactivar NAT La facilidad NAT puede estar habilitado o deshabilitada.DM720 Rev. Salir del proceso de configuración NAT. Configuración NAT En este apartado se describen los pasos requeridos para configurar la facilidad NAT. se debe guardar la configuración y reinicializar el router para que tenga efecto la nueva configuración. • • • • • Acceso al entorno de configuración NAT. Configuración de reglas NAT.Internet protocol user configuration -IP config> Desde ahí. Después de configurar las opciones deseadas. se debe introducir el siguiente comando: IP config>nat static -. Para activar o desactivar la facilidad NAT hay que introducir los siguientes comandos: SNAT config>enable SNAT config>disable o SNAT config>no enable Configuración de reglas NAT La facilidad NAT se basa en una lista ordenada global de reglas. En caso de haber introducido la nueva configuración desde el proceso P4. Acceso al entorno de configuración NAT Para acceder al entorno de configuración NAT hay que acceder previamente al de IP: *config Config>protocol IP -. Las siguientes secciones describen el proceso de configuración con más detalle. Cada regla está compuesta por los siguientes campos: ROUTER TELDAT . cada paquete IP originado. Activar o desactivar NAT.70 .7 Doc. guardar dicha configuración y reiniciar el router para que ésta tenga efecto. Si la facilidad NAT está habilitada.1.Configuración Facilidad NAT II . traspasado o recibido será inspeccionado por la lista de reglas.

Interfaz global Es el interfaz que está en contacto o a través del cual se llega a la red global (dominio global). Es el conjunto de direcciones globales sobre los que se quiere que actúe la regla. Para cada regla hay que introducir un interfaz local asociado. dando el identificador de dicho interfaz. • Un interfaz IP lógico: para ello hay que especificar el interfaz lógico IP introduciendo la dirección IP (numerada) del interfaz del router NAT. (Por ejemplo: ethernet0/0 con dos direcciones configuradas. .5. Red global Se especifica dando la dirección y máscara de la misma.. Dado que el NAT estático realiza una asociación uno-a-uno entre las direcciones del ámbito local y las del ámbito global. Posición o identificador Cada regla posee un identificador único que especifica la posición en la lista: las reglas se analizan por orden según su identificador.10. • Si se deja sin especificar (opción UNSPECIFIED). Interfaz local Es el interfaz que está en contacto o a través del cual se llega a la red local (dominio local).4. Es el conjunto de direcciones locales sobre los que se quiere que actúe la regla. por ejemplo: ethernet0/0. Es posible también configurar como red local aquella a la que está conectado un interfaz del equipo. 1.1. serial0/0. 1. Tipo de transformación Hay dos tipos de transformación: ROUTER TELDAT . Es posible también configurar como red local aquella a la que está conectado un interfaz del equipo..2. 1. Al agregar una nueva regla hay que especificar la posición donde quiere insertarse dicha regla.8 Doc.DM720 Rev.0) • especificar el identificador del interfaz. para especificar el interfaz lógico hay que poner la dirección IP numerada deseada). no se tiene en cuenta el interfaz local a la hora de decidir si debe aplicarse la regla.70 .6.Configuración Facilidad NAT II . Los identificadores deben ser números naturales (sin el cero) consecutivos. El interfaz puede ser: • Un interfaz físico: para ello hay que • especificar el número de interfaz físico usando la misma notación que al especificar las direcciones no numeradas: (Por ejemplo: ethernet0/0 0. dando el identificador de dicho interfaz. 1. Red local Se especifica dando la dirección y máscara de la misma.3.0. Para cada regla hay que introducir un interfaz global asociado. 1.1. las máscaras de ambas redes deben ser iguales: el equipo se encarga de garantizar que ambas máscaras sean iguales. salvo que no puede dejarse sin especificar. El interfaz global se especifica del mismo modo utilizado para especificar el interfaz local.0.

ROUTER TELDAT .DM720 Rev. Source address global A Destination address local B Request data NAT local to global Source address global A Destination address NAT (local B) Request data Source address local B Destination address global A Reponse data NAT global to local Source address NAT(local B) Destination address global A Response data 1.7. Y a todo paquete que pase del dominio global al local (siempre que cumpla los demás requisitos de la regla) se le cambiará la dirección destino global por su correspondiente local. • No cambiar global. • Global a Local: Si el paquete entra por el interfaz global y su dirección (origen o destino) pertenece a la red global entonces cambiar dirección (origen o destino) global por su correspondiente dirección local. • Local a Global y Global a Local: las dos anteriores simultáneamente. Source address local A Destination address global B Request data NAT local to global Source address NAT (local A) Destination address global B Request data Source address global B Destination address local A Reponse data NAT global to local Source address global B Destination address NAT (local A) Response data • Destino interno: A todo paquete que pase del dominio local al global (siempre que cumpla los demás requisitos de la regla) se le cambiará la dirección destino local por la correspondiente global.10.70 . Si el paquete entra por el interfaz local y sale por el interfaz global y su dirección (origen o destino) pertenece a la red local entonces no realizar cambio alguno.• Origen interno: A todo paquete que pase del dominio local al global (siempre que cumpla los demás requisitos de la regla) se le cambiará la dirección origen local por la correspondiente global. • No cambiar local.Configuración Facilidad NAT II . Y a todo paquete que pase del dominio global al local (siempre que cumpla los demás requisitos de la regla) se le cambiará la dirección origen global por su correspondiente local.9 Doc. Sentido o dirección de la transformación Hay cinco sentidos de transformación: • Local a Global: Si el paquete entra por el interfaz local y sale por el interfaz global y su dirección (origen o destino) pertenece a la red local entonces cambiar dirección (origen o destino) local por su correspondiente dirección global. Este tipo de regla sirve para definir excepciones y evitar que se apliquen otras reglas más genéricas.

Si el paquete entra por el interfaz global y su dirección (origen o destino) pertenece a la red global entonces no realizar cambio alguno.70 . NOTA: (origen o destino) lo determina el tipo de transformación.DM720 Rev.10 Doc.10. ROUTER TELDAT .Configuración Facilidad NAT II . Este tipo de regla sirve para definir excepciones y evitar que se apliquen otras reglas más genéricas.

Configuración de una regla NAT Como se ha indicado anteriormente. Estos comandos le permitirán configurar el comportamiento de la facilidad NAT del router.Internet protocol user configuration -IP config>nat static -. Para facilitar la configuración/modificación. y poder de esta forma llegar a las especificaciones de funcionamiento deseadas. la configuración de una regla NAT permite realizar una traslación de direcciones entre el dominio STUB (local) y el dominio BACKBONE (global).70 .11 Doc.DM720 Rev. Los comandos se definen según la siguiente nomenclatura: Parte obligatoria <rule id> Parte obligatoria a determinar por el usuario <SOURCE | DESTINATION> Parte obligatoria con varias opciones RULE 2. Dispone de comandos para configurar cada uno de los parámetros que componen una regla NAT. que crea una regla con los valores por defecto.Static NAT configuration -SNAT config> A continuación se describe cómo configurar las distintas posibilidades que ofrece el NAT. Para acceder al prompt se debe teclear lo siguiente: *config Config>protocol IP -.2. basta con utilizar el comando relativo a dicho parámetro indicando el identificador de la regla a modificar. Para modificar un parámetro de una regla NAT.10.Configuración Facilidad NAT II . Comandos de configuración NAT Esta sección resume y explica todos los comandos de configuración de la facilidad NAT del router. Los valores por defecto de los parámetros de una regla NAT son: • • • • • • Tipo de transformación: Sentido de la transformación: Interfaz local: Interfaz global: Subred local: Subred global: origen interno (TRANSLATE SOURCE) local a global y global a local (DIRECTION BOTH) ethernet0/0 ethernet0/0 ethernet0/0 ethernet0/0 ROUTER TELDAT . puede configurar varios parámetros en un mismo comando.1. Para crear una regla NAT debe utilizar la opción DEFAULT.

255. d) Configuración del Interfaz local y del Interfaz global Al configurar una regla NAT debe indicar cuál es el interfaz que proporciona acceso al dominio local y cuál es el interfaz que proporciona acceso al dominio global. si configura la regla como SKIP-GLOBAL. o bien puede indicarse que se trata de la red a la que está conectado un interfaz del equipo. se ignorará el rango de direcciones local configurado para la regla.Configuración Facilidad NAT II . RULE <rule id> LOCAL-NETWORK {<IP network address> <IP address mask> | <Interface ID>} RULE <rule id> GLOBAL-NETWORK {<IP network address> <IP address mask> | <Interface ID>} Las redes local y global se especifican mediante la dirección y máscara de las mismas.6. dando el identificador de dicho interfaz. De igual modo.255. RULE <rule id> LOCAL-INTERFACE <IP address | Interface UNSPECIFIED> RULE <rule id> GLOBAL-INTERFACE <IP address | Interface ID> ID | ROUTER TELDAT .a) Configuración del tipo de transformación RULE <rule id> TRANSLATE <SOURCE | DESTINATION> SOURCE DESTINATION origen interno destino interno SNAT config>rule 1 translate destination b) Configuración del sentido de transformación RULE <rule id> DIRECTION <LOCAL-TO-GLOBAL | GLOBAL-TO-LOCAL | BOTH | SKIP-LOCAL | SKIP-GLOBAL> SNAT config>rule 1 direction skip-local Si configura una regla como SKIP-LOCAL se ignorará el rango de direcciones global configurado para la regla. se modificará automáticamente la máscara para hacerlas concordar.0 255. la máscara de la otra subred no es igual.2.255.12 Doc.2.6.0 Si al configurar una de las subredes.0 255. SNAT config>rule 1 local-network 192.70 .255.10.DM720 Rev. c) Configuración del rango de direcciones Al configurar una regla NAT debe indicar las direcciones locales que deben transformarse en direcciones globales.0 SNAT config>rule 1 global-network 80.

1 e) Configuración de lista de acceso Al configurar una regla NAT se puede indicar que una lista de control de acceso. 0.x.3 Global Ifc --------------serial0/0 81.5. SNAT config>rule 1 acces-list 3 2.67.. que consiste en dejar el interfaz local sin especificar (opción UNSPECIFIED). ejecute el comando: ROUTER TELDAT .0/24 <-S-> Global network -----------------. controle el tráfico al cual se aplica la regla NAT.12 serial0/0 Local network -----------------192. el valor 0 (cero).Configuración Facilidad NAT II .0. SNAT config>rule 1 local-interface 0. para modificar un parámetro de una regla NAT. el interfaz se puede especificar de dos modos: • Dirección IP correspondiente al interfaz.23.23. RULE <rule id> ACCESS-LIST <access list ID> La lista de acceso a aplicar en la regla debe estar previamente configurada en el menu específico de la facilidad ACCES-LIST. el interfaz global y la red global de la regla número 1.13 Doc. Al listar la configuración. indica que la regla no está asociada a ninguna lista de acceso.1 SNAT config>rule 1 local-interface serial0/0 SNAT config>rule 1 local-interface 192. 81. Imaginemos que tenemos configuradas las siguientes reglas NAT: SNAT config>list all Static NAT is: enabled Id --1 2 3 Local Ifc --------------ethernet0/0 ethernet0/0 10..70 .0.0/24 80. Esto significa que no se tiene en cuenta el interfaz local a la hora de decidir si debe aplicarse la regla.2. Modificación de una regla NAT Como se ha indicado anteriormente.15. serial0/0.6..23. en caso de tratarse del interfaz que proporciona acceso al dominio local.0.Como se puede observar.168... ya sea una dirección estándar o una dirección no numerada (es decir. previamente configurada.DM720 Rev. Además.0/24 >-S-! .2. !-S-< 192. es decir.0.2. basta con utilizar el comando relativo a dicho parámetro indicando el identificador de la regla a modificar.10. existe una tercera posibilidad. donde x es el número del interfaz) • Identificador del interfaz.6.-----------1 0 2 0 3 0 SNAT config> Para modificar el sentido.4. ..0/24 Id Acces-List --.4.1. ethernet0/0.

23.70 .4. Sentido: Local a Global y Global a Local. • <-D-< Tipo: Destino interno.23. Sentido: No cambiar global ROUTER TELDAT . Listado de las reglas NAT configuradas Para listar las reglas NAT configuradas dispone del comando: LIST RULES Cada regla lleva asociado un identificador.5.0 El resultado es el siguiente: SNAT config>list all Static NAT is: enabled Id --1 2 3 Local Ifc --------------ethernet0/0 ethernet0/0 10. Sentido: Local a Global.23.0 255. Este identificador constituye el número de orden o posición de la regla dentro de la lista. !-S-< 192.0/24 <-S-> Global network -----------------80.3. Sentido :Global a Local.6.0/24 Id Acces-List --.255.15.Configuración Facilidad NAT II . Sentido: No cambiar local • >-D-! Tipo: Destino interno.3.14 Doc. Borrado de una regla NAT Para borrar una regla NAT. • <-D-> Tipo: Destino interno. Sentido: Global a Local..0/24 80. Sentido: Local a Global.SNAT config>rule 1 direction both SNAT config>rule 1 global-interface serial0/1 SNAT config>rule 1 global-network 80.12 serial0/0 Local network -----------------192.67.0/24 <-S-> .10.2..255.23. • >-D-> Tipo: Destino interno. Sentido: Local a Global y Global a Local.2. • >-S-> Tipo: Origen interno.23.4. • <-S-< Tipo: Origen interno.6. Sentido: No cambiar local • !-S-< Tipo: Origen interno.DM720 Rev. dispone del siguiente comando: NO RULE <rule id> SNAT config>no rule 1 Rule deleted 2.0/24 81.3 Global Ifc --------------serial0/1 81.4. El tipo y sentido de transformación viene especificado de la siguiente manera: • <-S-> Tipo: Origen interno. • >-S-! Tipo: Origen interno.3.-----------1 0 2 0 3 0 SNAT config> 2.

7. Sentido: Local a Global y Global a Local. Sentido: No cambiar global SNAT config>list rules Id Local Ifc --.67.5.DM720 Rev.12 serial0/0 Local network -----------------192.0/24 2. • <-D-> Tipo: Destino interno.23. Este identificador constituye el número de orden o posición de la regla dentro de la lista..0/24 <-S-> Global network -----------------. Cada regla lleva asociado un identificador.Configuración Facilidad NAT II .23. Mostrar el estado de la funcionalidad NAT Para consultar el estado global de la funcionalidad NAT.23.0/24 >-S-! ... Mostrar toda la configuración de la funcionalidad NAT Para listar toda la configuración de NAT estático.2. dispone del comando: LIST ALL Se presenta toda la información que puede ser visualizada con el resto de comandos LIST por separado.6.4.• !-D-< Tipo: Destino interno. En primer lugar se muestra el estado global de la funcionalidad NAT.10.3 SNAT config> Global Ifc --------------serial0/0 81..15 Doc. Seguidamente se muestran las reglas NAT configuradas. 81. El tipo y sentido de transformación viene especificado de la siguiente manera: • <-S-> Tipo: Origen interno.70 .0/24 80. Habilitar / Deshabilitar la funcionalidad NAT Puede activar o desactivar la funcionalidad NAT de modo global.5.--------------1 ethernet0/0 2 ethernet0/0 3 10.4. Sentido: Local a Global y Global a Local.6. dispone del siguiente comando: LIST STATE SNAT config>list state Static NAT is: enabled SNAT config> 2. Dispone de los siguiente comandos: ENABLE DISABLE ó NO ENABLE SNAT config>enable SNAT config>disable 2.15.2. ROUTER TELDAT . !-S-< 192.6.

Tipo: Destino interno.2.23. Por último se presentan las listas de acceso asociadas a cada regla.-----------1 21 2 0 3 0 SNAT config> 2. Sentido: No cambiar global. EXIT Permite volver al nivel superior (IP) de prompt.16 Doc.67. 81.. Tipo: Origen interno. Tipo: Destino interno.12 serial0/0 Local network -----------------192. Tipo: Origen interno.4. Sentido: No cambiar local.0/24 80. Tipo: Destino interno.0/24 Id Acces-List --. SNAT config>exit IP config> ROUTER TELDAT .8.6.70 . !-S-< 192.15.0/24 >-S-! .3 Global Ifc --------------serial0/0 81.• • • • • • • • >-S-> >-D-> <-S-< <-D-< >-S-! >-D-! !-S-< !-D-< Tipo: Origen interno.10.23.DM720 Rev... Tipo: Destino interno.4.23. El valor 0 indica que la regla no tiene asociada ninguna lista de acceso.6. Sentido :Global a Local.2. Sentido: Local a Global. Tipo: Origen interno.0/24 <-S-> Global network -----------------. Sentido: Local a Global. SNAT config>list all Static NAT is: enabled Id --1 2 3 Local Ifc --------------ethernet0/0 ethernet0/0 10.. Sentido: Global a Local.Configuración Facilidad NAT II . Sentido: No cambiar local.5. Sentido: No cambiar global.

70 .17 Doc.10.3.Configuración Facilidad NAT II . Resumen de comandos DISABLE [NO] ENABLE LIST ACCES-LIST-RULES ALL RULES STATE NO RULE <id> RULE <id> DEFAULT TRANSLATE <SOURCE | DESTINATION> DIRECTION <BOTH |LOCAL-TO-GLOBAL |GLOBAL-TO-LOCAL |SKIP-LOCAL |SKIP-GLOBAL> LOCAL-INTERFACE <IP address | Interface ID | UNSPECIFIED> GLOBAL-INTERFACE <IP address | Interface ID> LOCAL-NETWORK {<IP address> <IP mask> | <Interface ID>} GLOBAL-NETWORK {<IP address> <IP mask> | <Interface ID>} ACCESS-LIST <access list ID> La regla por defecto tiene la siguiente configuración: TRANSLATE SOURCE DIRECTION BOTH LOCAL-INTERFACE ethernet0/0 GLOBAL-INTEFACE ethernet0/0 LOCAL-NETWORK ethernet0/0 GLOBAL-NETWORK ethernet0/0 ACCESS-LIST 0 EXIT ROUTER TELDAT .DM720 Rev.

Capítulo 3 Monitorización .

Lista parámetros del NAT.1.70 .19 Doc. Sintaxis: SNAT monit+? Ejemplo: SNAT monit+? list Lists static NAT parameters exit Exit to parent menu SNAT monit+ 1. ? (AYUDA) Utilizar el comando ? (AYUDA) para listar los comandos válidos en el nivel donde se está programando el router. Para acceder al prompt de monitorización se debe teclear lo siguiente: *monitor Console Operator +PROTOCOL IP IP+NAT STATIC -.Static NAT monitoring -SNAT monit+ Comando ? (AYUDA) LIST EXIT Función Lista comandos u opciones.DM720 Rev. LIST Utilizar este comando para visualizar distintos parámetros monitorizables de la facilidad NAT.Monitorización Facilidad NAT III . 1. Adicionalmente dispone del subsistema de eventos SNAT para obtener información del funcionamiento en tiempo real.2. Estos comandos le permitirán monitorizar el comportamiento de la facilidad NAT del router. En el caso del NAT estático sólo pertenecen a esta categoría las conexiones de control del FTP que tienen el cliente en el dominio local y el servidor en el dominio global y que han transmitido comandos PORT en los que ha habido cambio de longitud de paquetes. También se puede utilizar este comando después de un comando específico para listar sus opciones. y poder de esta forma llegar a las especificaciones de funcionamiento deseadas.1. ROUTER TELDAT . Sintaxis: SNAT monit+list ? connections Displays non-transparent connections to the NAT SNAT monit+list a) LIST CONNECTIONS Muestra una lista de las conexiones no transparentes frente al NAT. Sale de la monitorización NAT. Monitorización NAT Esta sección resume y explica todos los comandos de monitorización de la facilidad NAT del router.10.

70 .5:21 Age ---1440 1440 1440 Active -----YES YES YES 1.6.3:21 192.1.6.1.169:1147 FTP_CTRL 192.Monitorización Facilidad NAT III .6. • Edad: tiempo de vida que le queda a la entrada antes de ser borrada. dirección destino y puerto destino de la conexión.DM720 Rev.3. Sintaxis: SNAT monit+list connections Ejemplo: SNAT monit+list connections Type Addr:Port Source --------.6.20 Doc.10.5:21 192.169:1147 SNAT monit+ Addr:Port Dest -----------------192.6. Todos en formato global (como lo vería el dominio global).----------------FTP_CTRL 192.1.1.1. Sintaxis: SNAT monit+exit Ejemplo: SNAT monit+exit IP+ ROUTER TELDAT . • Activo: indica si está activa o no la conexión (si el router NAT ha detectado que está activa o no la conexión).169:1146 FTP_CTRL 192. En el caso del NAT estático sólo son conexiones no transparentes las conexiones de control del FTP. EXIT Utilizar el comando EXIT para volver al nivel de prompt en el que se estaba anteriormente.Los campos de la lista de conexiones representan lo siguiente: • Tipo: el tipo de conexión no transparente que está atravesando el router NAT.1.6. • Dir:Puerto Origen y Dir:Puerto Destino: representan dirección origen. puerto origen.

Capítulo 4 Ejemplos .

Ejemplos Facilidad NAT IV .0 ppp1 ethernet0/0 • Configuración de interfaces (básica) *config Config>set data-link sync serial0/0 Config>add device ppp 1 Config>network ppp1 -.1 Resto de redes Router NAT Tabla de rutas: 0. 1.201.0 Red A (global):1.1.0.0).1 Red A 138.0. y que por supuesto no aceptan ningún tipo de solución que provoque el incumplimiento de dicho contrato.3.2 Router Defecto Red A (local): 138.0.1.Base Interface Configuration -- ROUTER TELDAT .0. La primera solución que aparece es la de cambiar las direcciones de su dominio local por direcciones pertenecientes a la red asignada a la empresa.70 .22 Doc. pero en seguida se dan cuenta que no pueden porque el departamento posee muchos clientes que han contratado servicio de conectividad continuada (las 24 horas al día y los 7 días a la semana) a las direcciones de dicho dominio local.0.0 Dir: 138.201.0.0.0. En este ejemplo se tiene una empresa grande que está usando una red IP de clase A (1. Cambiar las direcciones orígenes de una red entera Este es el caso clásico del NAT estático.1.0 FFFF0000 Dir: 1.DM720 Rev.1.10.0. Pasan los años y llega un momento en que surge la necesidad de conectividad total debido al creciente desarrollo de las nuevas tecnologías de comunicación.0. Surge un pequeño departamento en la empresa que por causas diversas necesita direcciones IP y pensando que nunca van a tener que conectarse con el resto de la empresa eligen arbitrariamente una red (138.0 00000000 1.201.3.0. NAT estático Durante los capítulos anteriores se han ido remarcando los posibles campos de aplicación del NAT estático.201.0. Veamos como se configuraría el router NAT: DOMINIO LOCAL DOMINIO GLOBAL Dir: 1.1.Generic PPP User Configuration -ppp1 config>base-interface -.3. La solución para el departamento de esta empresa es configurar NAT estático en el router que realiza la conexión entre el departamento y el resto de la Intranet corporativa de modo que la red de dicho departamento sea accesible para el resto de la Intranet como 1.1.0). ahora se va a tratar de dar una serie de ejemplos para aprender a utilizar la implementación actual.

0 255.0.0 SNAT config>rule 1 global-interface serial0/0 SNAT config>rule 1 global-network 1.255.1.201.0 255.0 0.0 SNAT config> El comando “rule 1 default” es equivalente a los commandos: “rule 1 translate source” “rule 1 direction both” 1. Se puede utilizar NAT para conectar dichas redes. Hay que conseguir que en el dominio local la red pública (externa) que ya posee una dirección global sea vista como si poseyera otra dirección (NAT de tipo: cambio de destino interno).0.0.1.0.3.0.0 255.201.0 ppp1 config>route 1.3.70 .0 ppp1 config>exit Config>network ethernet0/0 -.10. Con dos reglas bidireccionales se solucionaría el problema.Ethernet Interface User Configuration -ethernet0/0 config>ip address 138.1 255.0. ROUTER TELDAT . Conectar dos redes que usan el mismo espacio de direccionamiento El caso en el que una red privada que quiera conectarse a otra pública tenga direcciones IP que oficialmente pertenecen a esa red pública se denomina “solapamiento” (overlapping).0.0.0.Static NAT configuration -SNAT config>enable SNAT config>rule 1 default SNAT config>rule 1 local-interface ethernet0/0 SNAT config>rule 1 local-network 138.23 Doc.1 255.0.0 ethernet0/0 config>exit Config> • Configuración de IP Config>protocol ip -IP IP IP Internet protocol user configuration -config>route 0.ppp1 Base IFC config>base-interface serial0/0 link ppp1 Base IFC config>exit ppp1 config>ip address 1.2.Ejemplos Facilidad NAT IV .0 ethernet0/0 config> • Configuración NAT IP config>nat static -.255.255. Al mismo tiempo hay que conseguir que en el dominio global la red privada (interna) sea vista con direcciones globales (NAT de tipo: cambio de origen interno).DM720 Rev.255.0.0.0.0.

1.7.1.1.2.1.2 2.0 secondary ethernet0/0 config>exit Config>protocol ip -IP IP IP Internet protocol user configuration -config>route 4.2 • Configuración de IP *config Config>network ethernet0/0 -.0 SNAT config>rule 1 global-interface 2.1 SNAT config>rule 1 global-network 4.0 Dir: 2.255.DM720 Rev.0 SNAT config>rule 2 translate destination SNAT config>rule 2 direction both SNAT config>rule 2 local-interface 2. Muchos clientes quieren configurar NAT de tal manera que puedan traducir sus direcciones locales a direcciones globales no utilizadas de una subred directamente conectada al router NAT.1.2.1.255.2 Router NAT Tabla de rutas: 4.7.1.1.1.255.7.255.1.0 255.0 255.2 1 config> • Configuración NAT IP config>nat static -.1 255.2.7.1 SNAT config>rule 2 local-network 5.1 SNAT config>rule 2 global-network 3.Static NAT configuration -SNAT config>enable SNAT config>rule 1 translate source SNAT config>rule 1 direction both SNAT config>rule 1 local-interface 2.7.0 2.0 255.1.1.1.1.255.1.0 ethernet0/0 config>ip address 2.1.7.1 255.255.1 Router Interno Dir: 2.1.0 SNAT config> 1.1.255.255.7.7.1.70 .0 2.0 FFFFFF00 Router Externo Red A (local): 3.2.2.1 SNAT config>rule 1 local-network 3. Este caso requiere que el router responda a peticiones ARP de dichas direcciones globales de tal manera que todo paquete que vaya dirigido a una de esas direcciones globales sea aceptado y traducido por el router NAT.1. Veamos un ejemplo sencillo de este caso.2.0 Red B (local): 5. Solapamiento de direcciones (autoaliasing) A este caso se le denomina “autoaliasing”.1.10. ROUTER TELDAT .255.0 255.1.1.1.Ethernet Interface User Configuration -ethernet0/0 config>ip address 2.7.1.255.1.7.2.1.0 Red A (global): 4.1.7.Ejemplos Facilidad NAT IV .0 Dir: 2. La creación de dichas entradas ARP no es automática y debe ser realizada como un paso más en el proceso de configuración seguido por el administrador del router NAT.0 SNAT config>rule 2 global-interface 2.1.255.7.255.255.DOMINIO LOCAL DOMINIO GLOBAL Red A 3.24 Doc.1. Para ello es necesario que se configure en el router entradas ARP permanentes y públicas.255.1.0 255.1.255.7.1.1 Red B 3.3.255.1.2 Dir: 2.2 1 config>route 5.0 2.0 Red B (global): 3.1.7.0 255.0 FFFFFF00 5.

6.0.3 3.Ejemplos Facilidad NAT IV .7.1.7.169 Dir: 192.6.6.3 Resto de redes Router por defecto Router NAT Dir Local: 3.1.255.1.1.Internet protocol user configuration -IP config>route 0.6.1.0 secondary ethernet0/0 config>exit Config>protocol ip -.0.255 3.1.251 255.169 Publica • Configuramos las direcciones y las rutas: *config Config>network ethernet0/0 -.1.169 Tabla de rutas: 3.7.169/32 via 3.169 IP config>exit Config> La ruta 192.0 00000000 192.255.0.251 Dir: 192.1.255.7.6.0.1.255.0.1.0 192.255.1.1.6.169 FFFFFFFF Entradas ARP: macRouterNAT 192.6.1.1.251 255.1.Ethernet Interface User Configuration -ethernet0/0 config>ip address 3.1.6.0.0 FFFFFF00 0.251 sino por el interfaz 3. • Configuramos ARP: *p 4 Config>protocol arp -.251 Eth/0 Eth/0 192.0 ethernet0/0 config>ip address 192.7.1.169 00-a0-26-5c-1-1c public ARP config> NOTA: la dirección MAC del router NAT la puede obtener mediante: *monitor Console Operator + +device ethernet0/0 Auto-test valids 1 Auto-test failures 0 Maintenance failures 0 Interface ethernet0/0 CSR FA200E00 Vect 27 Physical address: PROM address: Speed: 00A02670074C 00A02670074C 10 Mbps ROUTER TELDAT .7.6.6.251.7.10.0 FFFFFF00 192.1.1.6.6.169 es necesaria para que los paquetes dirigidos a la dirección IP 192.255.169 255.70 .ARP user configuration -ARP config>entry ethernet0/0 192.3 IP config>route 192.DM720 Rev.1.169 Dir Global: 192.25 Doc.7.0 0.6.6.169 no se encaminen por el interfaz 192.DOMINIO LOCAL DOMINIO GLOBAL Ethernet Ethernet Dir: 3.1.1.

255.7.251 global-network 192.X25-node interface configuration -no ip address .255.1. .1.251 global-interface 192.0 secondary .251 255. FIFO underrun SQE test error internal MAC trans errors 0 0 0 0 0 0 0 0 • Configuramos NAT: SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT SNAT Config>enable config>rule 1 config>rule 1 config>rule 1 config>rule 1 config>rule 1 config>rule 2 config>rule 2 config>rule 2 config>rule 2 config>rule 2 config>rule 3 config>rule 3 config>rule 3 config>rule 3 config>rule 3 config>rule 4 config>rule 4 config>rule 4 config>rule 4 config>rule 4 config>rule 4 config> translate source direction skip-global local-interface 3.1.251 255.1.7.255.1.251 global-network 192.255.251 local-network 3.7.255.7. frame too long failed.7.70 .0 255. FCS error failed.Input statistics: failed.6..6.251 global-interface 192.255 translate source direction skip-global local-interface 3.7.251 global-network 192.Ejemplos Facilidad NAT IV . -. network x25-node .255 translate source direction both local-interface 3.255 255. .6.255. .0 Listamos la configuración completa: Config>show config .1.6.0 ip address 192.6. carrier sense err late collision Ethernet MAC code release 1 + 0 0 0 0 0 0 0 0 failed. ATLAS Router 2 156 Version 10.251 255.6.255. .0 global-interface 192.255.6.255.6.251 global-network 192.26 Doc.1.1.1.7. exit ROUTER TELDAT .6.255. network ethernet0/0 .0 255.0 255.1.255. . alignment error internal MAC rcv error Output statistics: deferred transmission multiple collisions failed.1. . Showing System Configuration for access-level 15 .10.0 log-command-errors no configuration set data-link x25 serial0/0 set data-link x25 serial0/1 set data-link x25 serial0/2 .255 translate source direction skip-global local-interface 3.255.1.DM720 Rev.255. FIFO overrun packets missed single collision total collisions failed.1.Ethernet Interface User Configuration -ip address 3.1.251 global-interface 192. -.255.1. excess collisions failed. exit ..

1.Ejemplos Facilidad NAT IV .0 255.255.255 3.6.70 . protocol arp .1.6.255.251 rule 4 global-interface 192.251 255.255 .1.end --Config> ROUTER TELDAT .1.0. exit .0 192.1. -.6.0. rule 4 default rule 4 local-interface 3.7.6.255.1.6.6.7.251 rule 3 global-network 192. rule 2 default rule 2 direction skip-global rule 2 local-interface 3.0.251 rule 2 global-network 192.255. .251 rule 4 local-network 3.255. -.0 255.Static NAT configuration -enable rule 1 default rule 1 direction skip-global rule 1 local-interface 3.27 Doc. protocol ip .255 .0 0.251 rule 3 global-interface 192.7.255. nat static . dump-command-errors end .3 route 192.0 255.169 255.1.251 rule 2 global-interface 192.1. . .255.7.Internet protocol user configuration -route 0.10.DM720 Rev.6.6.1.1.6.255.169 .7.1.1. -.1.255.0.0 .255 .1.255 255. --.169 00-a0-26-5c-01-1c public exit .ARP user configuration -entry ethernet0/0 192. exit .251 rule 1 global-network 192.255.6.255.255.0 rule 4 global-network 192.251 rule 1 global-interface 192.. rule 3 default rule 3 direction skip-global rule 3 local-interface 3.1.7.1.1.6.

Sign up to vote on this title
UsefulNot useful