1 / 25

Network Access Address Translations

Network Access Address Translations Network Address Translation -NAT-, es un proceso que permite trasladar una dirección IP en otro equivalente pero de otra subred, a los fines de poder ser vista desde otra red no con la IP original. Network Address Translation -NAT-. NAT

arella
Download Presentation

Network Access Address Translations

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Network Access Address Translations Network Address Translation -NAT-, es un proceso que permite trasladar una dirección IP en otro equivalente pero de otra subred, a los fines de poder ser vista desde otra red no con la IP original.

  2. Network AddressTranslation -NAT-

  3. NAT • Network Address Translation, es una técnica de traducción de direcciones, diseñada para poder expander el espacio de direcciones IP, debido a que las direcciones IPv4 públicas son finitas y escasas en el día de hoy, en la cual las empresas precisas grandes bloques. • El NAT es muy utilizado, en las empresas, las cuales usan direcciones de LAN privadas, para salir al mundo público, también conocido como Internet. • Por ende emplearemos NAT, en los siguientes casos: • Cuando nos queramos conectar a Internet y no tengamos una única IP Pública. • Cuando cambiamos de ISP, y no deseamos cambiar las direcciones privadas de nuestra LAN. • Cuando queremos conectar dos redes IP, en las que el rango de direcciones IP se superponen. • Las ventajas del NAT las mencionamos a continuación: conserva las direcciones públicas; reduce los casos de solapamiento de direcciones; aumenta la flexibilidad al conectarnos a Internet. • Las desventajas del NAT serían: introduce procesamiento y delay, ya que el router debe realizar funciones adicionales; perdemos la traza end to end, o sea tenemos ciertas desmejoras en el diagnóstico de fallas; ciertas aplicaciones no funcionan sobre NAT.

  4. NAT -Tipos- • Hay tres tipos de NAT diferentes: • NAT Estático: este tipo de traslación permite la traducción 1 a 1, esto es el cambio de una local IP address a una única Global IP address. Para emplear este NAT, debemos tener una IP pública para cada PC, y como esto es imposible, debemos solo asignar direcciones públicas a aquellas PCs o Servidores que deben ser accedidos desde Internet. Por ejemplo podemos dar una IP pública a un Proxy, y que este haga la traducción. • NAT Dinámico: este tipo de NAT, permite mapear una Local IP a una Global IP de un pool de direcciones. Por ejemplo, podemos tener una LAN con máscara /24, y tener solo 8 IPs públicas, o sea un /29 para navegar, que es en definitiva lo mismo. • NAT Overloading: es el NAT más empleado por su flexibilidad y por su utilidad a la hora de la conservación de las direcciones IP. Overloading es un Tipo de NAT dinámico que mapea múltiples direcciones IPs privadas, pero solo a una única IP Global o pública. Este método también es conocido como PAT (Port Address Translation), debido a que el parámetro que emplea para diferenciar los host es el port de capa 4.

  5. NAT -Nombres- • Es importante comprender la nomenclatura que se emplea en NAT. Luego de que se ha producido la traslación, la dirección pasa de ser Local IP a Global IP, que habitualmente son de dominio público. • La Local Address es como se denomina la IP antes de ser procesada por el proceso de NAT. Estas IPs pueden dividirse en dos tipos: la Inside Local, en donde la IP local se encuentra dentro del dominio privado y es la IP origen de la comunicación en la LAN del host; y la Inside Global que es la IP luego de ser procesada y cambiada por una IP de dominio público. • Luego de la traslación la Inside Local, pasa a denominarse Inside Global, esto es fundamental recordar. Entonces pasando en limpio: • Inside Local: nombre de la IP origen antes del NAT. • Outside Local: nombre o IP del host destino después del NAT. • Inside Global: nombre de la IP origen después del NAT. • Outside Global: nombre de la IP destino del host antes del NAT.

  6. NAT -Funcionamiento- Veamos a continuación como funciona el NAT estático. Lo fundamental de la Traslación es saber cual es el segmento Inside y cual es Outside. Para esto, nos basta con indagar en donde se generan o inician las comunicaciones a nivel de aplicación. En el lado de la red donde se inician las comunicaciones, se lo denomina Inside. Veamos la figura: Inside Outside Inside Local10.10.10.1/24 Inside Local10.10.10.1/24 Inside Global190.3.18.2/29 PC1 .254 Internet LanSwitch R1 R2 PC2 Tabla NATInside Local 10.10.10.1 – Inside Global 190.3.18.2Inside Local 10.10.10.2 – Inside Global 190.3.18.3Inside Local 10.10.10.3 – Inside Global 190.3.18.4

  7. NAT -Funcionamiento- Supongamos que la PC 1, desea comunicarse con un servidor público en donde se aloja una página web. Al intentar llegar a ese host en Internet, obviando la consulta al DNS, colocará como IP destino la Outside Global del Server (vea que el Server tiene IP pública). El paquete viajará hasta el default gateway, (R1) el cual debe encargarse de traducir 1 a 1 la inside local a la inside global. Este NAT es configurado estáticamente por el administrador, ya que al tipear los comandos sobre el router, el mismo administrador construirá la tabla de NAT, acción que no sucede en el NAT dinámico y el overloading.

  8. NAT -Funcionamiento- Veamos ahora un ejemplo de PAT, el cual introduce una variable desconocida hasta el momento. Con overloading, todas las IPs de la Inside deben ser traducidas a una única Inside Global Address. O sea, todas las comunicaciones vistas desde el mundo exterior, se generan hacia una sola IP. Observemos la figura a continuación: Inside Outside Inside Local10.10.10.1/24 Inside Local10.10.10.1/24 Inside Global190.3.18.2/29 PC1 .254 Internet LanSwitch R1 R2 PC2 Tabla NATInside Local 10.10.10.1 – Inside Global 190.3.18.2:1492 – Out Global 64.23.142.2:23Inside Local 10.10.10.2 – Inside Global 190.3.18.2:1352 – Out Global 64.23.142.2:23Inside Local 10.10.10.3 – Inside Global 190.3.18.2:1845 – Out Global 64.23.142.2:23 Inside Local10.10.10.2/24

  9. NAT -Funcionamiento- La comunicación se inicia desde el lado Inside, en donde las Inside Local se cambian por una única Inside Global, a la cual se le agrega el port TCP a los fines de poder diferenciar cada host dentro de la LAN. Como sabemos TCP, nos entrega aproximadamente 65000 ports, por ende, el nivel teórico máximo de host s a utilizar con una única Inside Global, sería 65000. A modo de información, vea que aquí también los paquetes se direccionan hacia la IP destino Outside Global del servidor, ya que no hay NAT en el otro sentido. Tenga en cuenta que el proceso de NAT demora las comunicaciones e introduce delay, que aunque no es importante, es de tener en cuenta.

  10. NAT -Configuración NAT Estático- Observemos la siguiente figura para basarnos sobre un procedimiento de configuración real: Supongamos que el Inside Device desea comunicarse a Internet, y para eso precisa, como hemos visto, antes resolver el dominio por medio de un DNS Server. Si se observa la figura, el Outside Device posee una IP del mismo bloque que el Inside Device, por ende la comunicación entre ambas no se puede establecer sin una traslación en el Router A, el cual cambiará el rango privado del lado inside por un bloque de red que no se superponga con el mundo exterior. El objetivo del router A es trasladar esa red solapada en el lado Inside, a la red 172.16.47.161/28 que es prefijo que no se ha duplicado en ningún lugar, de manera que Internet o bien la redes exteriores conozcan a Inside Device con origen la red 172.16.47.160/28. Para esto, debemos realizar lo siguiente: DNS171.69.2.132 Internet Outside Device171.68.200.48 171.68.200.0/24 172.16.47.144/28 Bloque a usar para el NAT172.16.47.160/28 .145 .146 .49 .48 Inside Device Router A Gateway

  11. NAT -Configuración NAT Estático- En la siguiente serie de comandos vemos como configurar un NAT Estático: Router_A>ena Router_A#conf t Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#int s1/1 Router_A(config-if)#ip nat inside Router_A(config-if)#int s1/0 Router_A(config-if)#ip nat outside Router_A(config-if)#exit Router_A(config)#ip nat inside source static 171.68.200.48 172.16.47.161 Router_A(config)#^Z Router_A# Router_A#wr Router_A#sh ip nat trans Pro Inside global Inside local Outside local Outside global --- 172.16.47.161 171.68.200.48 --- --- Lo que nos entrega esta última configuración, es que hay un NAT configurado que cambia la IP Local 171.68.200.48 a la IP 172.16.47.161, por ende todo el mundo exterior verá al router con esta última.

  12. NAT -Configuración NAT Estático- Veamos conceptualmente, cual es la acción que toma Router_A, sobre la red a trasladar. En el ejemplo, hemos verificado la traslación por medio de un ping hacia Gateway desde Inside_Devide, y procedimos con el “debug ip packets” en el primero de los routers mencionados. Luego de tal acción, hemos realizado lo mismo nuevamente, a los fines de verificar los “hits” : Router_A#sh ip nat sta Total active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces: Serial1/0 Inside interfaces: Serial1/1 Hits: 30 Misses: 0 Expired translations: 0 Dynamic mappings: Router_A#sh ip nat tra Pro Inside global Inside local Outside local Outside global --- 172.16.47.161 171.68.200.48 --- --- Router_A#sh ip nat sta Total active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces: Serial1/0 Inside interfaces: Serial1/1 Hits: 40 Misses: 0 Expired translations: 0 Dynamic mappings:

  13. NAT -Configuración NAT Estático- A continuación vemos el extracto del debug, en donde verificamos que la traslación ha sido exitosa, ya que el origen de los paquetes es la 172.16.47.161. Solo debe tener en cuenta, que al Gateway debe agregarle una ruta estática hacia la red 172.16.47.160/28, de manera que el ping pueda regresar, sino la traslación solo se realiza en un sentido. Gateway# *Jul 18 14:31:57.443: CEF: Try to CEF switch 172.16.47.145 from Serial1/0 *Jul 18 14:31:57.443: IP: tableid=0, s=172.16.47.161 (Serial1/0), d=172.16.47.145 (Serial1/0), routed via RIB *Jul 18 14:31:57.443: IP: s=172.16.47.161 (Serial1/0), d=172.16.47.145 (Serial1/0), len 100, rcvd 3 *Jul 18 14:31:57.443: IP: tableid=0, s=172.16.47.145 (local), d=172.16.47.161 (Serial1/0), routed via FIB *Jul 18 14:31:57.447: IP: s=172.16.47.145 (local), d=172.16.47.161 (Serial1/0), len 100, sending *Jul 18 14:31:57.683: CEF: Try to CEF switch 172.16.47.145 from Serial1/0 *Jul 18 14:31:57.683: IP: tableid=0, s=172.16.47.161 (Serial1/0), d=172.16.47.145 (Serial1/0), routed via RIB *Jul 18 14:31:57.683: IP: s=172.16.47.161 (Serial1/0), d=172.16.47.145 (Serial1/0), len 100, rcvd 3 *Jul 18 14:31:57.683: IP: tableid=0, s=172.16.47.145 (local), d=172.16.47.161 (Serial1/0), routed via FIB *Jul 18 14:31:57.687: IP: s=172.16.47.145 (local), d=172.16.47.161 (Serial1/0), len 100, sending *Jul 18 14:31:57.883: CEF: Try to CEF switch 172.16.47.145 from Serial1/0 *Jul 18 14:31:57.883: IP: tableid=0, s=172.16.47.161 (Serial1/0), d=172.16.47.145 (Serial1/0), routed via RIB *Jul 18 14:31:57.883: IP: s=172.16.47.161 (Serial1/0), d=172.16.47.145 (Serial1/0), len 100, rcvd 3 *Jul 18 14:31:57.883: IP: tableid=0, s=172.16.47.145 (local), d=172.16.47.161 (Serial1/0), routed via FIB *Jul 18 14:31:57.883: IP: s=172.16.47.145 (local), d=172.16.47.161 (Serial1/0), len 100, sending *Jul 18 14:31:58.043: CEF: Try to CEF switch 172.16.47.145 from Serial1/0

  14. NAT -Configuración NAT Dinámico- Ahora configuremos NAT Dinámico, a los fines de poder trasladar una serie de direcciones IPs, a un bloque de menor tamaño, denominado pool. Sigamos empleando la siguiente topología: El pool de direcciones a emplear para traducir es el 172.16.47.161 hasta la ip 172.16.47.163. O sea que usaremos un pool con nombre TMX de longitud 3 direcciones. Para probar esto, configuramos 3 direcciones de Loopback en Inside_Device, de manera de poder agotar el espacio de direcciones asignadas a la traducción y verificar que sucede. Recuerde agregar todas las rutas estáticas necesidad para poder probar conectividad ping extremo a extremo, antes de configurar el NAT Dinámico. 171.68.200.0/24 172.16.47.144/28 Bloque a usar para el NAT172.16.47.160/28 .145 .146 .49 .48 Inside Device Router A Gateway

  15. NAT -Configuración NAT Dinámico- Comencemos configurando la lista accesso standart número 7, de manera de indicarle al proceso de NAT cual es el tráfico interesante a trasladar. Router_A#conf t Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#ip access-list standard 7 Router_A(config-std-nacl)#permit 171.68.200.0 0.0.0.255 Router_A(config-std-nacl)#permit 192.168.0.0 0.0.0.255 Router_A(config-std-nacl)#permit 192.168.1.0 0.0.0.255 Router_A(config-std-nacl)#permit 192.168.2.0 0.0.0.255 Ahora ingresemos a cada interface, a los fines de indicar cuales son los lados Inside y Outside: Router_A(config)#int s1/1 Router_A(config-if)#ip nat insi Router_A(config-if)#ip nat inside Router_A(config-if)#int s1/0 Router_A(config-if)#ip nat out

  16. NAT -Configuración NAT Dinámico- Por último, debemos realizar dos cosas: la primera consta de configurar el segmento de direcciones que utilizaremos, y para ello, usamos el siguiente comando: Router_A(config)#ip nat pool TMX 172.16.47.161 172.16.47.163 netmask 255.255.255.240 Y finalmente, indicar al proceso de NAT indicar en el lado Inside y Outside cual es la Access List a aplicarle el pool: Router_A(config)#ip nat inside source list 7 pool TMX Router_A(config)#ip nat outside source list 7 pool TMX

  17. NAT -Configuración NAT Dinámico- Observemos las salidas que nos han entregado los comandos, realizando ping con diferentes loopbacks. Pro Inside global Inside local Outside local Outside global --- 172.16.47.161 171.68.200.48 --- --- --- 172.16.47.162 192.168.0.1 --- --- --- 172.16.47.163 192.168.1.1 --- --- Router_A#sh ip nat statistics Total active translations: 3 (0 static, 3 dynamic; 0 extended) Outside interfaces: Serial1/0 Inside interfaces: Serial1/1 Hits: 27 Misses: 3 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list 7 pool TMX refcount 3 pool TMX: netmask 255.255.255.240 start 172.16.47.161 end 172.16.47.163 type generic, total addresses 3, allocated 3 (100%), misses 11 -- Outside Source [Id: 2] access-list 7 pool CTECH refcount 0 pool TMX: netmask 255.255.255.240 start 172.16.47.161 end 172.16.47.163 type generic, total addresses 3, allocated 3 (100%), misses 11

  18. NAT -Configuración NAT Dinámico- Ahora lo que intentamos hacer es un ping a Gateway con origen la Loopback 2 en Inside_Device, veamos lo sucedido: Router_A# *Jul 20 18:05:28.591: IP: tableid=0, s=192.168.2.1 (Serial1/1), d=172.16.47.145 (Serial1/0), routed via FIB *Jul 20 18:05:28.591: IP: tableid=0, s=171.68.200.49 (local), d=192.168.2.1 (Serial1/1), routed via FIB *Jul 20 18:05:28.591: IP: s=171.68.200.49 (local), d=192.168.2.1 (Serial1/1), len 56, sending *Jul 20 18:05:28.595: ICMP type=3, code=1 *Jul 20 18:05:28.651: IP: tableid=0, s=192.168.2.1 (Serial1/1), d=172.16.47.145 (Serial1/0), routed via FIB *Jul 20 18:05:30.635: IP: tableid=0, s=192.168.2.1 (Serial1/1), d=172.16.47.145 (Serial1/0), routed via FIB *Jul 20 18:05:30.635: IP: tableid=0, s=171.68.200.49 (local), d=192.168.2.1 (Serial1/1), routed via FIB *Jul 20 18:05:30.635: IP: s=171.68.200.49 (local), d=192.168.2.1 (Serial1/1), len 56, sending *Jul 20 18:05:30.639: ICMP type=3, code=1 *Jul 20 18:05:30.691: IP: tableid=0, s=192.168.2.1 (Serial1/1), d=172.16.47.145 (Serial1/0), routed via FIB *Jul 20 18:05:32.663: IP: tableid=0, s=192.168.2.1 (Serial1/1), d=172.16.47.145 (Serial1/0), routed via FIB *Jul 20 18:05:32.663: IP: tableid=0, s=171.68.200.49 (local), d=192.168.2.1 (Serial1/1), routed via FIB *Jul 20 18:05:32.663: IP: s=171.68.200.49 (local), d=192.168.2.1 (Serial1/1), len 56, sending *Jul 20 18:05:32.667: ICMP type=3, code=1 Vemos que los paquetes ICMP no están llegando al host, por tal motivo es que Router_A responde ICMP Type=2 y Code=1 al router origen. Esto se debe a que ya no posee direcciones IP del pool para asignar, ya que poseía las 3 disponibles asignadas a la WAN, Loop 0 y Loop1 de Inside_Device. Esto es una limitación del NAT Dinámico.

  19. NAT -Configuración NAT Overloading- • Ahora por último, probaremos el ejemplo que nos ha quedado pendiente, en donde debemos trasladar todo el segmento Inside a una sola dirección IP del lado Outside. Veamos la siguiente Figura: • Hay solo dos diferencias entre NAT Dinámico y NAT Overloading: • En la configuración del bloque asignado para la traslación, el bloque Overloading inicia y termina con la misma IP, por ende es de extensión uno. • En la sentencia ip nat inside source list, se agrega al final la palabra overloading. • Este esquema de configuración es muy útil, cuando poseemos una IP Pública del lado Outside que nos ha sido otorgada por el ISP, de manera que una pequeña red de computadores puedan navegar a la vez. 171.68.200.0/24 172.16.47.144/28 Bloque a usar para el NAT172.16.47.160/28 .145 .146 .49 .48 Inside Device Router A Gateway

  20. NAT -Configuración NAT Overloading- Veamos la configuración, empleando la misma ACL 7: Router_A#conf t Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#ip access-list standard 7 Router_A(config-std-nacl)#permit 171.68.200.0 0.0.0.255 Router_A(config-std-nacl)#permit 192.168.0.0 0.0.0.255 Router_A(config-std-nacl)#permit 192.168.1.0 0.0.0.255 Router_A(config-std-nacl)#permit 192.168.2.0 0.0.0.255 Router_A(config)#ip nat pool TMX 172.16.47.161 172.16.47.161 netmask 255.255.255.240 Router_A(config)#ip nat inside source list 7 pool TMX overload Router_A(config)#int s1/1 Router_A(config-if)#ip nat ins Router_A(config-if)#ip nat inside Router_A(config-if)#int s1/0 Router_A(config-if)#ip nat out Router_A(config-if)#do wr 171.68.200.0/24 172.16.47.144/28 Bloque a usar para el NAT172.16.47.160/28 .145 .146 .49 .48 Inside Device Router A Gateway

  21. NAT -Configuración NAT Overloading- Realizando un sh ip nat trans vemos el resultado de la configuración, la cual fue exitosa: Pro Inside global Inside local Outside local Outside global tcp 172.16.47.161:15247 171.68.200.48:15247 172.16.47.145:23 172.16.47.145:23 icmp 172.16.47.161:11 171.68.200.48:11 172.16.47.145:11 172.16.47.145:11 icmp 172.16.47.161:12 171.68.200.48:12 172.16.47.145:12 172.16.47.145:12 icmp 172.16.47.161:13 171.68.200.48:13 172.16.47.145:13 172.16.47.145:13 icmp 172.16.47.161:14 171.68.200.48:14 172.16.47.145:14 172.16.47.145:14 icmp 172.16.47.161:15 171.68.200.48:15 172.16.47.145:15 172.16.47.145:15 icmp 172.16.47.161:16 171.68.200.48:16 172.16.47.145:16 172.16.47.145:16 icmp 172.16.47.161:17 171.68.200.48:17 172.16.47.145:17 172.16.47.145:17 171.68.200.0/24 172.16.47.144/28 Bloque a usar para el NAT172.16.47.160/28 .145 .146 .49 .48 Inside Device Router A Gateway

  22. Sugerencias Una vez Nateado, el paquete al llegar al destino, debe ser replicado. Esta replicación consiste en el intercambio de la IP Origen, por la IP Destino, estando esta última Nateada. Si el router que debe generar el replay, no posee en su tabla de ruteo una entrada para la red Nateada, este no sabrá hacia donde digirir los paquetes de vuelta. Red para NATRed C Rutas hacia:Red A -> ConnectedRed B -> OSPF Red C -> ??? Outside Inside Red A Red B Router 2 Router 1 Router 3

  23. Sugerencias • Para resolver este inconveniente existen tres alternativas comúnmente utilizadas, las cuales son: • Configurar una ruta estática de retorno, con la red nateada como destino, y como Next Hop, el router contiguo. • Configurar una ruta estática a la null0, en el router que Natea, y redistribuir la misma en el protocolo de ruteo con el comando “redistribute static”. • Configurar una IP de Loopback con una IP del segmento utilizado para NAT, y configurar la sentencia de NAT con origen la interface loopback. P.e. “ip nat inside source list N int loopback 0 overload”. Red para NATRed C Rutas hacia:Red A -> ConnectedRed B -> OSPF Red C -> Static Outside Inside Red A Red B Router 2 Router 1 Router 3 ip route RED C vía Router 2

  24. Actividad La empresa A y B, desean conectarse a Internet. Para lo cual han contratado el correspondiente servicio de Internet al Carrier correspondiente. Como es de público conocimiento, las PCs de la LAN no pueden navegar con IP Privada, por lo cual, indique como sería el NAT Overloading a configurar en cada router de cliente. Internet ISP 10.210.0.0/24 .1 .2 .3 R2 R1 Empresa BIPs Públicas: 190.3.10.8/29IPs LAN :172.16.10.0/24 Empresa AIPs Públicas: 190.3.10.0/29IPs LAN :192.168.100.0/24

  25. Actividad La empresa A y B, desean conectarse entre sí, pero observan que ambas poseen una red que se superpone, imposibilitando la comunicación entre ambas. Para lo mencionado, ambas empresas han decidido utilizar OSPF como protocolo de ruteo, y no emplear una ruta estática para asegurar el retorno del tráfico, sino que deben hallar la solución a través de OSPF. Como solucionaría este inconveniente, en caso de que la Empresa B sea la encargada de Natear, y como serían las reglas de NAT dinámico. Bloque a usar para el NAT172.16.100.0/24 172.16.47.144/28 .145 .146 192.168.0.0/24128.0.0.0/16 .1 .1 192.168.0.0/2410.170.0.0/19 Empresa B Empresa A

More Related