Router Teldat

Facilidad NAPT
Doc. DM735 Rev.10.00 Diciembre, 2002

ÍNDICE
Capítulo 1 Introducción ............................................................................................... 1
1. 2. Introducción a la facilidad NAPT .......................................................................................2 Excepciones al NAPT.........................................................................................................3 2.1. Puertos visibles........................................................................................................3 2.2. Subredes visibles .....................................................................................................3 Configuración de la facilidad NAPT ..................................................................................5 Creación de un puerto visible ..................................................................................5 Modificación de un puerto visible ...........................................................................6 Borrado de un puerto visible....................................................................................6 Listado de los puertos visibles configurados............................................................7 Creación de una subred visible ................................................................................7 Modificación de una subred visible .........................................................................8 Borrado de una subred visible .................................................................................8 Listado de las subredes visibles configuradas..........................................................8 Habilitar y deshabilitar NAPT.................................................................................9 Listado del estado del NAPT...................................................................................9 Configuración del rango de puertos a utilizar ..........................................................10 Listado del rango configurado de puertos NAPT.....................................................10 EXIT........................................................................................................................11 Resumen de comandos........................................................................................................12

Capítulo 2 Configuración de la facilidad NAPT ........................................................ 4
1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 2. 1.

Capítulo 3 Monitorización de la facilidad NAPT ....................................................... 13
Monitorización de la facilidad NAPT.................................................................................14 ? (AYUDA).............................................................................................................14 DELETE..................................................................................................................14 a) DELETE ADDRESS ................................................................................................14 b) DELETE ENTRIES..................................................................................................15 c) DELETE IDENTS....................................................................................................15 1.3. LIST ........................................................................................................................15 a) LIST ADDRESS .......................................................................................................15 b) LIST ALL .................................................................................................................15 c) LIST ENTRIES ........................................................................................................16 d) LIST IDENTS ..........................................................................................................17 e) LIST STATISTICS....................................................................................................17 1.4. EXIT........................................................................................................................18 1.1. 1.2. Descripción del ejemplo de configuración..........................................................................20 Configuración de las oficinas ..................................................................................20 a) Configuración de la oficina central.........................................................................20 b) Configuración de los enlaces NAPT........................................................................20 1.2. Configuración de las reglas de NAPT .....................................................................21 1.3. Configuración del enlace (200.12.100.129, 200.12.100.27) ....................................22 a) Configuración de los Puertos Visibles.....................................................................22 b) Configuración de la Subred Visible.........................................................................22 1.4. Configuración del enlace (200.12.100.129, 200.12.100.18) ....................................23 a) Configuración de la Subred Visible.........................................................................23 1.1.

Capítulo 4 Ejemplo de configuración de la facilidad NAPT....................................... 19
1.

- ii -

Capítulo 1 Introducción .

1. UDP.168.4. Tradicionalmente.21.100 192. c) Traducción de la información útil de los paquetes ICMP de error. Para paquetes destinados fuera de la red privada. etc).A. Introducción a la facilidad NAPT La Traducción de Direcciones de Red (Network Address Translation) es un método por el que las direcciones se mapean de una red a otra.1.10 192. Berrojo Tel da t Atlas 200. b) Routing transparente a través de la traducción de direcciones (el rutado aquí se refiere al encaminamiento de los paquetes y no al intercambio de paquetes de información sobre el routing. Esto permite que los identificadores de transporte de un número de hosts privados se multiplexen a través de otros identificadores de transporte con una única dirección común para todos. con la intención de proporcionar un routing transparente a las distintas estaciones de la red. realizando también la traducción del identificador de transporte (Puertos UDP o TCP. Berrojo Tel da t WAN Atlas hecho por M.10.0 LEYENDA Dirección del dominio público: en negrita Dirección del dominio privado: en cursiva (según RFC 1918) 192.1. TCP o ICMP).DM735 Rev. RIP.1. El escenario típico de NAT es el que se describe a continuación.21. Puede combinarse con la facilidad NAT básica (Traducción de direcciones). Algoritmos para recalcular los checksums de forma diferencial se proporcionan en la RFC 1361 (IP Network Address Translator).00 . o los identificadores ICMP). ROUTER TELDAT – Facilidad NAPT Introducción I-2 Doc.129 La facilidad NAPT (Network Address Port Translation) extiende la idea de traducción un paso más.4.168.168.1.187 200. hay características comunes entre los dispositivos que hacen NAT: a) Asignación transparente de direcciones.168. NAPT traduce la dirección IP fuente.A. Sin embargo. Para los paquetes que vayan a entrar en el dominio privado se traducen la dirección destino y los identificadores de transporte y además se recalculan los checksums de los paquetes implicados.111 hecho por M. En él.168. OSPF.250 192. el identificador de transporte fuente y actualiza los campos correspondientes a los distintos checksums de los paquetes implicados (IP. Los identificadores de transporte pueden ser puertos de UDP/TCP o bien los identificadores de petición ICMP. se muestra un router que hace NAT y que está conectado a un Proveedor de Servicio de Internet (ISP) a través de otro router perteneciente a la WAN ( Wide Area Network ) del proveedor. Dominio Privado Subred 192. los dispositivos de NAT se emplean para aislar dominios de direcciones con direcciones privadas no registradas de dominios externos con direcciones únicas asignadas de forma unívoca. Hay una gran variedad de traducción de direcciones que se utiliza en distintas aplicaciones.1.

Para evitar esta situación puede “publicar” el puerto FTP del servidor (que se encuentra en el dominio privado) en el router de acceso con otro puerto. perderá el acceso al servidor del router por la conexión que realiza NAPT.21. Puerto Interno) Puerto Externo En el caso del servidor FTP podría ser: (192. 2.10. Para ello habría que establecer la siguiente asociación: (Dirección Interna. se traducen . Si desde el dominio externo o global se intenta acceder al puerto FTP del servidor. Excepciones al NAPT Surgen dos excepciones al NAPT cuando el dominio privado se encuentra con determinadas necesidades. los paquetes serán capturados por el router que da acceso. Puertos visibles Imagínese que se desea facilitar acceso a un servidor FTP que está emplazado en el segmento de la red local del dominio privado.1.2. de tal modo que el servidor FTP inicial no podría ser alcanzado por el dominio externo. FTP o TELNET) si previamente se traslada el puerto que captura el equipo. que queda reservado para este servidor.1. si se desea que las conexiones al puerto TELNET por defecto (23) de la dirección pública no correspondan a una conexión al servidor TELNET del router sino a una conexión al servidor TELNET de un equipo del dominio privado.DM735 Rev. las conexiones a la dirección pública del router al puerto destino 6400 (el publicado para hacer accesible el servidor FTP). es decir.2. De manera análoga se procede si se quisiera hacer públicos los puertos de Telnet de distintas máquinas de la red privada. Si no traslada el puerto del router. debe trasladar el puerto del servicio del router (por ejemplo. Subredes visibles La otra excepción de NAPT es el caso que se da cuando se dispone de un conjunto de direcciones del dominio público y se quiere que sean accesibles a través del router de acceso que está haciendo NAPT. 2. a la dirección del propio servidor y al puerto destino 21 (puerto estándar del FTP) haciendo posible la conexión FTP con dicho servidor.168. u otros servicios en los que los paquetes destinados a puertos estándar sean capturados por el router de acceso. al puerto 8023) y publicar en el puerto estándar. ROUTER TELDAT – Facilidad NAPT Introducción I-3 Doc. 21) 6400 Así. Se pueden “publicar” puertos estándar ya capturados por el router de acceso (por ejemplo. mediante NAPT.00 .

Capítulo 2 Configuración de la facilidad NAPT .

Si configura como puerto externo y como puerto interno el valor 0. consultar el manual asociado Dm 702.NAPT configuration -NAPT config> Las reglas NAPT se añaden o borran directamente desde el menú de configuración de IP. dicha dirección IP se convierte en el destino de todo el tráfico destinado a puertos desconocidos por el router..00 . Los comandos se definen según la siguiente nomenclatura: RULE <rule id> [NO] Parte obligatoria.5 Doc.1.Internet protocol user configuration -IP config>NAT PAT -. Internal port (Puerto interno): Es el puerto destino del host interno. Configuración de la facilidad NAPT El acceso al menú de configuración de la facilidad de NAPT se realiza a través del menú de configuración de IP. 1. mediante los siguientes comandos: *P 4 Config>PROTOCOL IP -. IP Host address (Dirección IP): Es la dirección IP del host del dominio interno. Parte obligatoria a determinar por el usuario.1. El resto de la configuración de esta facilidad se realiza desde el menú de configuración de NAPT.10. Creación de un puerto visible La configuración de un puerto visible tiene el objeto de permitir la entrada de paquetes procedentes del dominio externo destinados a un puerto determinado (puerto externo) y redirigirlos a una dirección IP del dominio interno a un puerto determinado (puerto interno) El comando para configurar un puerto visible es el siguiente: NAPT config>VISIBLE-PORT <external port> RULE <rule id> PORT <internal port> IP <IP host address> External port (Puerto externo): Puerto de conexión visible desde el dominio externo para acceder al servicio que proporciona el host interno. hacia la dirección indicada. el tráfico entrante por la conexión afectada por el NAPT que por defecto descartaría.DM735 Rev. ROUTER TELDAT – Facilidad NAPT Configuración II . está definiendo que el router redirija. A continuación se describe cómo configurar las distintas posibilidades que ofrece el NAPT. Para obtener más información. Parte opcional. Rule ID (Identificador de regla): Es el identificador de la regla para la que queremos hacer visible un determinado puerto.

168. NAPT config>visible-port 8021 rule 1 port 21 ip 192.5.168.5 NAPT config> Redirigir el puerto externo 8021 de la conexión del router afectada por la regla de NAPT 1 al puerto 21 de la dirección interna 192.1.168. no podrá acceder al servidor HTTP del router por la conexión afectada por la regla de NAPT número 1).1. New IP Host address (Nueva dirección IP): si es distinta a la dirección anteriormente configurada.3.1.1.0 de tipo genérico.Adicionalmente dispone de la opción DEFAULT que establece los valores por defecto para el puerto visible. se sustituye por el indicado.0.168.6 NAPT config> 1.168.0.168.2.: NAPT config>NO VISIBLE-PORT <external port> RULE <rule id> Ejemplo: NAPT config>NO VISIBLE-PORT 80 RULE 1 Port deleted ROUTER TELDAT – Facilidad NAPT Configuración II . Borrado de un puerto visible El comando para borrar un puerto visible es el siguiente.DM735 Rev.5: con esta configuración conseguiría que las conexiones HTTP realizadas contra el router por la conexión afectada por la regla de NAPT 1 al puerto por defecto HTTP se redirigieran a un servidor HTTP interno (Si no ha cambiado el puerto del servidor HTTP del router.10.5: con esta configuración conseguiría que las conexiones realizadas contra el router por la conexión afectada por la regla de NAPT número 1 al puerto 8021 constituyan realmente una conexión FTP al servidor interno 192. puerto interno 0 a dirección interna 0. se sustituye por la dirección indicada Ejemplo: NAPT config>VISIBLE-PORT 8021 RULE 1 PORT 6021 IP 192. es decir. NAPT config>VISIBLE-PORT 80 RULE 1 PORT 80 IP 192.1.5 NAPT config> 1. Modificación de un puerto visible El comando para modificar un puerto visible es el siguiente: NAPT config>VISIBLE-PORT <external port> RULE <rule id> PORT <internal new port> IP <new IP host address> Internal new port (Nuevo puerto interno): si es distinto al puerto anteriormente configurado. Ejemplos: Redirigir el puerto externo 80 (HTTP) de la conexión afectada por la regla de NAPT número 1 al puerto 80 de la dirección interna 192.6 Doc.00 .1.

0.168.5. en este campo hay que configurar una dirección de la subred visible. Router por defecto (opcional): En el caso de que la subred visible esté directamente conectada al router de acceso por un interfaz que no tiene dirección en dicha subred. con esta configuración consigue que el tráfico procedente o destinado a dicha subred que atraviese el router por la conexión afectada por la regla de NAPT número 1 lo haga de forma transparente.0) para no utilizar una dirección de la subred visible en dicho interfaz y permitir un correcto funcionamiento del entorno.12. ROUTER TELDAT – Facilidad NAPT Configuración II .5 Int. Identificador de regla: Es el identificador de la regla. Listado de los puertos visibles configurados El comando para listar los puertos visibles configurados es el siguiente: NAPT config>LIST VISIBLE-PORT Ejemplo: NAPT config>LIST VISIBLE-PORT ======================== = NAPT VISIBLE PORTS = ======================== Rule ---1 1 Internal Address ---------------192.Port --------------80 --> 80 21 --> 8021 NAPT config> 1.10. Máscara de la subred visible: Es la máscara de la subred que se va a hacer visible a través de la conexión definida por la regla de NAPT. actuando el router para dichas direcciones como si no tuviera NAPT configurado. para que el router de acceso responda a las peticiones ARP de los hosts de la subred. Las reglas configuradas aparecen listadas previamente. si la subred no está directamente conectada o el router tiene asignada una dirección de la subred visible en el interfaz directamente conectado a dicha subred.168.100. El comando para configurar una subred visible es el siguiente: NAPT config>SUBNET <IP Network address> <IP Network mask> RULE <rule id> < DEFAULT | GATEWAY <IP address>] Dirección IP de la subred visible: Es la dirección IP de la subred que se va a hacer visible a través de la conexión definida por la regla de NAPT.0.5 192. el único parámetro es GATEWAY que configura a 0. es decir.Port --> Ext.DM735 Rev.4. La opción DEFAULT establece los parámetros por defecto (en este caso. Ejemplo: Hacer visible la subred no directamente conectada 200.7 Doc. se dejará este campo con valor por defecto (0.0.4. Creación de una subred visible La configuración de una subred visible tiene el objetivo de proporcionar total transparencia hacia y desde determinadas direcciones del dominio interno. Si no es así.0.0. es decir.1. concretamente la pasarela de la ruta por defecto de los hosts de la subred visible.1.128/25 a través de la conexión afectada por la regla NAPT número 1.00 . equivalente a NO GATEWAY).

255.128 RULE 1 NO GATEWAY NAPT config> o NAPT config>SUBNET 200.128 RULE 1 DEFAULT NAPT config> 1.7.00 .255.12. este escenario es típico en accesos WAN en los que su ISP le proporciona un conjunto de direcciones públicas: su interfaz WAN tendrá una dirección de dicha subred: deberá configurar NAPT para permitir el acceso al exterior a los equipos con direccionamiento privado situados en el dominio interno a la vez que tiene acceso transparente a los equipos asociados a las direcciones de la subred asignada.128/25 con router por defecto 200. Modificación de una subred visible Solo se puede modificar el parámetro “gateway” de una subred visible definida.255.255.100.255. conexión que tiene asignada precisamente la dirección 200.12.255.100.129 NAPT config> 1.128 255. Listado de las subredes visibles configuradas El comando para listar las subredes visibles es el siguiente: ROUTER TELDAT – Facilidad NAPT Configuración II .129 a través de la conexión afectada por la regla NAPT número 1.128 255.12.100.128 RULE 1 DEFAULT NAPT config> Hacer visible la subred directamente conectada 200.12. Ejemplo: NAPT config>SUBNET 200.NAPT config>SUBNET 200.10. Borrado de una subred visible El comando para borrar una subred visible es el siguiente: NAPT config>NO SUBNET <IP network address> <IP network mask> RULE <rule id> Ejemplo: NAPT config>NO SUBNET 200.129. con la particularidad de que la dirección y máscara de la subred coinciden con los valores de una subred visible ya definida.255.100. NAPT config>SUBNET <IP network address> <IP network mask> RULE <rule id> GATEWAY | GATEWAY <IP address> > < NO Dado que actualmente solo hay un parámetro configurable en las subredes visibles (GATEWAY).255.100.6.8.DM735 Rev.128 255.100.128 RULE 1 Subnet deleted 1.12.128 255.100.128 255.100.12.8 Doc.12.128 RULE 1 GATEWAY 200.255.El comando para modificar el gateway es el mismo que el utilizado para definir una subred visible.100.12. puede utilizar indistintamente DEFAULT o NO GATEWAY. Ejemplo: NAPT config>SUBNET 200.255.12.

NAPT config>LIST SUBNET Ejemplo: NAPT config>LIST SUBNET ======================== = NAPT VISIBLE SUBNETS = ======================== Rule ---1 Net Address -------------200.128 Default Gateway --------------200.9 Doc.12.00 .255.129 NAPT config> 1.DM735 Rev. Habilitar y deshabilitar NAPT Puede habilitar o deshabilitar de modo global la funcionalidad de NAPT mediante los siguientes comandos: NAPT config>ENABLE o NAPT config>DISABLE o NAPT config>NO ENABLE Ejemplo: NAPT config>ENABLE NAPT enabled NAPT config> o NAPT config>DISABLE NAPT disabled NAPT config> 1.10.255.10.100.9. Listado del estado del NAPT El comando para listar el estado de la facilidad NAPT es el siguiente: NAPT config>LIST CONFIGURATION Ejemplo: NAPT config>LIST CONFIGURATION ======================== = NAPT CONFIGURATION = ======================== NAPT Disabled NAPT First Port : 32768 NAPT Entries (number of ports): 1024 NAPT config> ROUTER TELDAT – Facilidad NAPT Configuración II .12.128 Net Mask --------------255.100.

Los comandos para configurar el rango de puertos son los siguientes: NAPT config>NUMBER-OF-PORTS <value> NAPT config>FIRST-PORT <value> Ejemplo: Vamos a duplicar el número de puertos disponibles para NAPT y configurar como primer puerto el 60000.10.DM735 Rev. etc). Listado del rango configurado de puertos NAPT El comando para listar el rango de puertos NAPT es el siguiente: NAPT config>LIST CONFIGURATION Ejemplo: NAPT config>LIST CONFIGURATION ======================== = NAPT CONFIGURATION = ======================== NAPT Disabled NAPT First Port : 60000 NAPT Entries (number of ports): 1024 NAPT config> ROUTER TELDAT – Facilidad NAPT Configuración II .10 Doc. si la configuración de Puerto Inicial y Número de Entradas NAPT hace que se sobrepase el valor del puerto máximo.00 . capacidad de procesamiento.12. NOTA: Debido a que el puerto máximo que se puede utilizar es el 65535 (0xFFFF). 1. NAPT config>NUMBER-OF-PORTS Number of NAPT entries [1024]? 2048 NAPT config> NAPT config>FIRST-PORT First NAPT port (1024-65535) [32768]? 60000 NAPT config> NOTA: A mayor número de entradas NAPT más host del dominio interno pueden acceder simultáneamente al dominio externo. pero requiere la utilización de más recursos del equipo (memoria.1. Configuración del rango de puertos a utilizar El router ofrece la posibilidad de definir el rango de puertos a utilizar por el NAPT mediante dos parámetros de configuración: el puerto inicial y el número de puertos a utilizar. el número de entradas NAPT se limita internamente al valor comprendido entre el Puerto Inicial y 65535.11.

NAPT config>EXIT Ejemplo: NAPT config>EXIT IP config> ROUTER TELDAT – Facilidad NAPT Configuración II . EXIT El comando EXIT permite salir del entorno de configuración de la facilidad NAPT.00 .DM735 Rev.11 Doc.1.10.13.

Resumen de comandos DISABLE [NO] ENABLE NO VISIBLE-PORT <external port> RULE <id> VISIBLE-PORT <external port> RULE <id> DEFAULT PORT <port number> IP <IP address> NO SUBNET <IP address> <IP mask> RULE <id> SUBNET <IP address> <IP mask> RULE <id> DEFAULT GATEWAY <IP address> NO GATEWAY NO VIRTUAL-IP <IP address> RULE <id> VIRTUAL-IP <IP address> RULE <id> DEFAULT FIRST-PORT <port number> MAXIMUM-NUMBER-OF-PORTS <number> REAL-IP <IP address> NO FIRST-PORT NO MAXIMUM-NUMBER-OF-PORTS NO REAL-IP <IP address> ROUTER TELDAT – Facilidad NAPT Configuración II .2.DM735 Rev.00 .10.12 Doc.

Capítulo 3 Monitorización de la facilidad NAPT .

DM735 Rev. Muestra los distintos parámetros de monitorización de la facilidad NAPT. DELETE El comando DELETE del menú de monitorización de NAPT permite purgar diferentes parámetros.2. ROUTER TELDAT -Monitorización de la facilidad NAPT III . 1. Realiza el purgado de diferentes parámetros. Sintaxis: NAPT>DELETE ? ADDRESS ENTRIES IDENTS NAPT> a) DELETE ADDRESS Borra las entradas NAPT utilizadas por una determinada dirección IP. el equipo los irá solicitando. Monitorización de la facilidad NAPT El acceso al menú de monitorización de la facilidad de NAPT se realiza a través del menú de monitorización de IP. Se puede también utilizar este comando después de un comando específico para listar las opciones disponibles. mediante los siguientes comandos: *P 3 +PROTOCOL IP IP>NAPT NAPT> Los comandos disponibles en el entorno de monitorización de la facilidad NAPT son lo siguientes: Comando ? (AYUDA) DELETE LIST EXIT Función Lista los comandos u opciones disponibles.1.10.00 .1. si no se introducen en la línea de comandos todos los parámetros necesarios para completar un comando. Sale del prompt de monitorización de la facilidad NAPT. ? (AYUDA) Este comando muestra los comandos válidos en el nivel donde se está programando el router. Sintaxis: NAPT>? Ejemplo: NAPT>? DELETE LIST EXIT NAPT> 1.14 Doc. En general.

1:1286 => conn src 172. 2. 200.0.0. 5.0.24. 5.200. 200.1:32778.200.15 Doc.200.24.1:32769.Ejemplo: NAPT>DELETE ADDRESS IP address [0. 200.1:1284 => conn src 172.200.0.0. 2.200. 200.24.1:32776.0.1:1280 => conn 200.1:32777. age age age age age age age age age age age age 5. flags flags flags flags flags flags flags flags flags flags flags flags 0x1 0x7 0x1 0x7 0x1 0x7 0x1 0x7 0x1 0x7 0x1 0x7 172. 2. ROUTER TELDAT -Monitorización de la facilidad NAPT III . 200.200.24. 200. Ejemplo: NAPT>LIST ADDRESS IP address [0.1:32775.200.200.24.24.DM735 Rev. 200.24.200.0.200. Ejemplo: NAPT>DELETE IDENTS 1. 200.1:32768.24.1:32773.0.24.200. Sintaxis: NAPT>LIST ? ADDRESS ALL ENTRIES IDENTS STATISTICS a) LIST ADDRESS Muestra las entradas NAPT utilizadas por una determinada dirección IP.1:1290 => conn src 172.0.1:1285 => conn src 172.1:32771. 200.200.1 b) DELETE ENTRIES Borra todas las entradas NAPT utilizadas. 200.0.1:1283 => conn src 172.1:32774.1:32772. 2.200.24.0.200.200.200.1:32770.24.10. 5.1:32779. 2.0. Ejemplo: NAPT>DELETE ENTRIES c) DELETE IDENTS Borra todos los identificadores ICMP utilizados.200.0. LIST El comando LIST del menú de monitorización de NAPT muestra los distintos parámetros de monitorización asociados.24.1 172.0.24.1:1289 => conn src 172.24.0.0]? 172.1:1281 => conn src 172.24.200.0.200. 5.0.1:1288 => conn src 172.200.200.3.1 uses 12 NAPT entries NAPT> b) LIST ALL Muestra toda la información de monitorización de NAPT.0.200.200.1 NAPT Entries: src 172.0]? 172. 200.00 .200. 5.1:1287 => conn src 172.1:1291 => conn src 172.24.1:1282 => conn src 172.0. 2.0.

Ejemplo: NAPT>LIST ENTRIES Internal Address External Address ----------------------------------------172.200.197 [ 256] => 200.200.197 :1296 172.24.200.200.197 :1305 => 200.1 [ 2] 172.200.200.3 Packets not processed because of: Bad version ------------------------Bad header length ------------------Bad checksum -----------------------Bad tcp checksum -------------------Received ports out of range --------Received idents out of range -------Wrong target IP address ------------NAPT> 0 0 0 0 17 0 0 c) LIST ENTRIES Muestra todas las entradas NAPT utilizadas.200.5.5.1 :32789 200.5.1 :32793 200.200.197 :1303 172.5.200.5.200.200.200.24.5.1 :32790 200.24.200.200.200.200.24.5.5.15 Maximum used idents ----------------.200.1 :32777 200.197 :1305 172.1 :32775 200.1007 Maximum used ports -----------------.1 :32779 200.5.24.200.0.200.24.5.5.197 :1304 => 200.1 :32780 200.10.197 :1298 172.200.200.16 Doc.0.197 :1303 => 200.200.1 :32785 200.197 :1302 172.Ejemplo: NAPT>LIST ALL Internal Address --------------------172.5.200.5.1 :32791 Age ---5 2 5 Flags -----0x0001 0x0007 0x0001 Delta ----0 0 2 3 0 0 ROUTER TELDAT -Monitorización de la facilidad NAPT III .24.24.117 [ 256] => 200.24.24.24.200.0.1 :32788 200.197 :1297 172.200.200.200.1 :32769 Age ---5 2 5 2 5 2 5 2 5 2 2 1 1 1 1 1 1 Age --2 2 Flags -----0x0001 0x0007 0x0001 0x0007 0x0001 0x0007 0x0001 0x0007 0x0001 0x0007 0x0007 0x0001 0x0001 0x0001 0x0001 0x0001 0x0001 Delta ----0 0 2 3 0 0 2 3 0 0 2 3 0 0 2 3 0 0 2 3 2 3 0 0 0 0 0 0 0 0 0 0 0 0 => => => => => => => => => => => => => => => => => Internal Ident External Ident ------------------------------------------172.24.200.200.1 [ 3] Memory: Reserved port-address structures ---Used port-address structures -------Reserved ident-address structures --Used ident-address structures ------- 1024 4 16 1 Port information: Number of used ports ---------------.200.1 :1289 172.24.200.200.200.200.24.00 .1 :1285 172.24.0.24.17 Number of free ports ---------------.5.1 :1281 External Address --------------------200.200.200.197 :1300 172.DM735 Rev.614 Ident information: Number of used idents --------------.200.0.200.200.1 :1291 172.200.24.24.1 :32793 172.1 :32787 200.197 :1304 172.200.200.0.5.1 :1287 172.1 :32792 200.24.197 :1299 172.1 :32791 200.24.200.200.1 :32786 200.1 :1283 172.1 :32773 200.1 Number of free idents --------------.0.197 :1292 172.1 :32784 200.24.1 :32792 172.197 :1301 172.1 :32771 200.24.

1 200.24.24.200.1 172.5.1 200.1 200.24.200.197 172.24.24.0.24.197 172.117 [ 256] => 200.15 Maximum used idents ----------------.1 172.200.200.200.614 Ident information: Number of used idents --------------.200.200.1 :32790 :32789 :32788 :32787 :32786 :32785 :32784 :32783 :32782 :32781 :32780 :32779 :32777 :32775 :32773 :32771 :32769 2 5 2 5 2 5 2 5 2 5 2 1 1 1 1 1 1 0x0007 0x0001 0x0007 0x0001 0x0007 0x0001 0x0007 0x0001 0x0007 0x0001 0x0007 0x0001 0x0001 0x0001 0x0001 0x0001 0x0001 2 0 2 0 2 0 2 0 2 0 2 0 0 0 0 0 0 3 0 3 0 3 0 3 0 3 0 3 0 0 0 0 0 0 d) LIST IDENTS Muestra los identificadores ICMP traducidos mediante NAPT.24.200.200.1 200.0.200.197 172.24.5.1 172.5.17 Doc.24.3 Packets not processed because of: Bad version ------------------------Bad header length ------------------Bad checksum -----------------------Bad tcp checksum -------------------Received ports out of range --------Received idents out of range -------Wrong target IP address ------------NAPT> 0 0 0 0 15 0 0 El significado de los estadísticos es el siguiente: ROUTER TELDAT -Monitorización de la facilidad NAPT III .1 200.1 172.200.197 [ 256] => 200.1 200.200.200.200.200.200.200.1 200.200.24.5.10. Ejemplo: NAPT>LIST IDENTS Internal Ident External Ident ------------------------------------------172.24.0.200.200.200.1 200.DM735 Rev.5.200.1 200.197 172.1 NAPT> :1302 :1301 :1300 :1299 :1298 :1297 :1296 :1295 :1294 :1293 :1292 :1291 :1289 :1287 :1285 :1283 :1281 => => => => => => => => => => => => => => => => => 200.1 200.1 200.1 172.197 172.24.4 Number of free ports ---------------.24.197 172.200.200.1 Number of free idents --------------.197 172.0.24.200.197 172.200.00 .200.200.200.24. Ejemplo: NAPT>LIST STATISTICS Memory: Reserved port-address structures ---Used port-address structures -------Reserved ident-address structures --Used ident-address structures ------1024 4 16 1 Port information: Number of used ports ---------------.0.200.0.200.1 [ 2] 172.5.24.5.197 172.1 200.5.197 172.197 172.5.200.1 [ 3] NAPT> Age --2 2 e) LIST STATISTICS Muestra los distintos estadísticos de NAPT.5.172.5.1 200.1 200.24.200.1020 Maximum used ports -----------------.200.1 200.24.1 200.24.5.200.200.200.200.0.

Puertos disponibles. Estructuras de identificadores ICMP reservadas en memoria.4. Identificadores ICMP utilizados. Puertos utilizados. 1.Reserved port-address structures Used port-address structures Reserved ident-address structures Used ident-address structures Number of used ports Number of free ports Maximum used ports Number of used idents Number of free idents Maximum used idents Bad version Bad header length Bad checksum Bad tcp checksum Received ports out of range Received idents out of range Wrong target IP address Estructuras NAPT reservadas en memoria (debe coincidir con el número de entradas NAPT configuradas salvo en el caso de que se sobrepase el puerto máximo permitido). Identificadores ICMP disponibles.DM735 Rev.10. EXIT El comando EXIT permite salir del entorno de monitorización de la facilidad NAPT. Paquetes destinados a identificadores ICMP fuera del rango permitido. Paquetes con checksum de IP incorrecto. Paquetes con checksum de TCP incorrecto. Estructuras NAPT utilizadas.00 . Paquetes con longitud de cabecera IP incorrecta. Paquetes con versión de IP incorrecta. Número máximo de puertos que se han llegado a utilizar. Sintaxis: NAPT>EXIT Ejemplo: NAPT>EXIT IP> ROUTER TELDAT -Monitorización de la facilidad NAPT III . Estructuras de identificadores ICMP utilizadas. Paquetes dirigidos a puertos fuera del rango permitido.18 Doc. Paquetes no dirigidos a direcciones de las conexiones IP. Número máximo de identificadores ICMP que se han llegado a utilizar.

Capítulo 4 Ejemplo de configuración de la facilidad NAPT .

172.224 visible desde el puerto 6421 y además el servidor de Telnet del host 192.12.128 máscara 255. Al tratarse de un enlace Punto a Multipunto las direcciones remotas de ambos circuitos deben estar especificadas para que el equipo sea capaz de distinguir por cuál de los circuitos va a comunicarse con el resto de la red.100. Descripción del ejemplo de configuración Supóngase que se desea configurar un dominio privado de forma que un router interconecte una oficina central con tres oficinas.100.2.100.1/24. En la oficina central está localizado el router que interconecta ambos dominios.1/24.1/24. Además se habilita la capacidad de firewall para esta conexión. FTP.12.2/24) (Oficina Central.1.0.168.168.2/24) (Oficina Central. Así.128.168.168.16. Oficina 2) === ( 172.0).16.100. A continuación se describen las características de las distintas conexiones.168.10. DNS. Para las conexiones por el enlace (200. b) Configuración de los enlaces NAPT Para mostrar las posibilidades de NAPT los enlaces que interconectan la oficina central del dominio privado con el dominio público.168.00 . con dirección de subred 200. La dirección de acceso al dominio público es la dirección IP 200.0.100.100.18) se hacen accesibles direcciones públicas que están en el dominio privado en forma de subred visible. 200.27).3. a través de un enlace Punto a Multipunto. Por último. es decir que se ocultan los puertos de Telnet.27.12.27 y 200.168.255.100.12. pertenecientes a la subred 192.0.129.168.121 a través del puerto 5423.16.16. Se establecen dos conexiones de NAPT con distintas características. de dirección IP 192.2.16.129.DM735 Rev. 172. 1.27. Configuración de las oficinas a) Configuración de la oficina central La red del dominio privado de la oficina central es una red definida con direcciones privadas (RFC 1918) de clase C.100.2/24) Las redes locales de las Oficinas 1.128 y máscara 255.255. Estas direcciones son 200.18.12.255.12. pertenecientes a las subredes 192. con dos conexiones que hagan uso de la facilidad NAPT.12.255.3. se configuran de distinta forma.255. La red resultante queda como se muestra en la figura: ROUTER TELDAT -Ejemplo de configuración NAPT IV .1.20 Doc.12. 3 también están definidas con direcciones privadas (RFC 1918) de clase C.101.29. Oficina 3) === ( 172. para las conexiones por el enlace (200.128 y accesible desde 192. Además deben pertenecer a la misma subred.1.255. 200. se hace accesible un servidor FTP instalado en el host 192.12.129 con máscara de clase C (255. 2. 192. Esta oficina está conectada a las otras tres oficinas a través de los siguientes enlaces: (Oficina Central. directamente conectada a la LAN del router de acceso con dirección de subred 200.0. y 192. Oficina 1) === ( 172.29.28.30. etc para el tráfico entrante por este enlace.1.30.2.111 a través del puerto 6423. y permita el acceso tanto al dominio público como al dominio privado. También se hace visible un servidor de Telnet de la Oficina 2.16. esta conexión de NAPT da acceso a una subred visible accesible a través de la Oficina 3. 172.27.

Berrojo 200.0 192.2 Host en dominio interno con dirección del dominio externo.DM735 Rev.30.27.16.16.10.29.2 Subred 192.18 T eldat Atla s 172.3.100.12.168.0 200.224 200.12.Dominio Privado Oficina Central Dominio Privado Oficina 2 TELNET SERVER visible en puerto 5423 192.111 172.168.2 Subred 192.168.168.128 255. conectado a través de 192.100.16.12.12.168.12.168.168. directamente conectado a la LAN Subred 192.100.A.28.2 1 ROUTER TELDAT -Ejemplo de configuración NAPT IV .199 GW: 200.100.2.129 Dominio Privado Oficina 1 LEYENDA Dirección de dominio público:en negrita Dirección de dominio privado:en cursiva (según RFC 1918) Dominio Privado Oficina 3 Los pasos a seguir para configurar la facilidad NAPT en el router de acceso para que el entorno descrito anteriormente se encuentre operativo son los que se describen a continuación.0 192.27.12.16.2.129 config>rule 2 remote-ip 200.27 config>rule 1 napt translation config>rule 1 napt firewall config>rule 2 local-ip 200.100.255. Berrojo 200.101.27.30.12.27 T eldat hecho por M.168.21 Doc.16.101.A.100.130 192.2 Subred 192.128 192.1.101.A.100.12.2 172.12.18 config>rule 2 napt translation config>route 200.2.168.0 172.100.30.129 WAN Dominio Público 172.168.255. 1.1 172.12.30.3.129 config>rule 1 remote ip 200.1. Configuración de las reglas de NAPT En el menú de configuración de IP: *P 4 Config>PROTOCOL IP -IP IP IP IP IP IP IP IP Internet protocol user configuration -config>rule 1 local-ip 200. Berrojo Atla s TELNET SERVER visible en puerto 6423 T eldat Atlas 200.29.1 hecho por M.12.00 .1 hecho por M.121 FTP SERVER visible en puerto 6421 Host en dominio interno con dirección del dominio externo.16.

para permitir el acceso a los puertos de Telnet de las direcciones IP 192.27) Para cumplir los requisitos exigidos para el enlace (200. 200. NAPT config>SUBNET 200.128 RULE 1 DEFAULT NAPT config> En el menú de configuración de ARP del router de la oficina 3: *P 4 Config>PROTOCOL ARP ARP config>entry ethernet0/0 200.224.27.255.100. A la hora de configurar los puertos y las subredes visibles será necesario introducir el identificador de la regla IP asociada que se ha creado previamente en el menú de configuración de IP.168.129.00 .27.168.128 255. 5423 y 6421.27.12. 1.129 00-A0-26-43-3C-7C public ARP config> donde la dirección MAC es la del router de la Oficina 3 ROUTER TELDAT -Ejemplo de configuración NAPT IV .12.29.12.100.168.111 y 192.101.121 y al de FTP con dirección IP 192.29. a) Configuración de los Puertos Visibles En este ejemplo.27.NAPT configuration -NAPT config>VISIBLE-PORT 6423 RULE 1 PORT 23 IP 192. Configuración del enlace (200.100.101. Para configurar los puertos visibles como el entorno especifica hay que introducir: IP config>NAT PAT -.3.12.168.DM735 Rev.224 FTP NAPT config>VISIBLE-PORT 5423 RULE 1 PORT 23 IP 192.27) es el 1.121 NAPT config> b) Configuración de la Subred Visible No hace falta introducir gateway porque la subred no está directamente conectada. no dejando acceder a sus puertos estándar.100.168.12.100.111 NAPT config>VISIBLE-PORT 6421 RULE 1 PORT 21 IP 192. el identificador de la regla que define el enlace que se está configurando (200.12.12. Por ese motivo se muestran las reglas IP disponibles.12.168.22 Doc.27) es necesario configurar tres puertos visibles.NOTA: La primera de las reglas definidas es la que hace que el router de acceso actúe de firewall. NOTA: Con todos los puertos que el router tenga capturados por tener servicios en dichos puertos es necesario hacer la asignación de puertos que se muestra en el ejemplo para los puertos FTP y Telnet. Los puertos empleados para ello son respectivamente 6423.100.255. 200. 200.10.129.129.

255.DM735 Rev.100. Configuración del enlace (200.10. a) Configuración de la Subred Visible El identificador de la regla que define el enlace (200. 200.129.255.100.12.128 RULE 1 GATEWAY 200.129.100.100.23 Doc.12.1. NAPT config>SUBNET 200.128 ethernet0/0 1 ROUTER TELDAT -Ejemplo de configuración NAPT IV .129 NAPT config> En el menú de configuración de IP del router de acceso se efectúa lo siguiente: IP config>ROUTE 200.18) Para cumplir los requisitos que el entorno define para este enlace se debe realizar lo siguiente.128 255.128 255.12.255. para configurar las subredes visibles es necesario configurar el gateway en la subred visible porque dicha subred está directamente conectada y el interfaz directamente conectado no tiene dirección en dicha subred.12.100.18) es el 2.4. Por ello.100.255.12. 200.12.00 .100.12.

Sign up to vote on this title
UsefulNot useful