Configurar Nat en Cisco

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 39

NAT ESTTICO

(La ip que nos de nuestro ISP para navegar por internet sea utilizada slamente por una nica ip privada de nuestra red) ----------------------------------------------------------------------------------La ip pblica que nos concede nuestro ISP es la 194.194.194.5/24 ------------------------------------------------------------------------Router_nat(config)#ip nat inside source static 192.168.1.5 194.194.194.5 (Seleccionamos el tipo de NAT como esttico y le decimos que ip privada va a coger que ip pblica) Router_nat(config)#int fa0/0 (nos vamos a la interfaz de la LAN) Router_nat(config-if)# ip nat inside (la marcamos como el espacio INSIDE) Router_nat(config-if)#int s0/0 (vamos a la interfaz serial) Router_nat(config-if)#ip nat outside (la marcamos como el espacio OUTSIDE) Router_nat(config-if)#exit (salimos) NAT DINMICO (La asignacin de las ips privadas de nuestra LAN con las ips pblicas que nos ofrece el ISP se hace dinamicamente) ------------------------------------------------------------------------El rango de ips pblicas que nos da nuestro ISP es 194.194.194.0 255.255.255.248 con lo que tenemos el siguiente rango disponible 194.194.194.1 - 194.194.194.6 ------------------------------------------------------------------------Router_NAT(config)#ip nat pool RANGO_AWOISOAK 194.194.194.1 194.194.194.6 netmask 255.255.255.248 (Creamos un pool con las direcciones pblicas y la damos un nombre (en este caso RANGO_AWOISOAK) ) Router_NAT(config)#access-list 1 permit 192.168.1.0 0.0.0.255 (Creamos una access-list para hacer un filtro de las ips privadas que podran asignarse a las pblicas) Router_NAT(config)#ip nat inside source list 1 pool RANGO_AWOISOAK OVERLOAD

(asignamos el rango de ip privadas que filtramos con la access-list con el rango de ip pblicas del pool RANGO_AWOISOAK) (La opcin OVERLOAD nos permite que todos los hosts se asignen a una sla ip (no utilizando la siguiente ip del pool hasta que no se agote la primera) , sino ponemos esta opcin sera una asociacin 1 a 1 (cuando los 6 primeros ordenadores en este caso cogieran una ip pblica el sptimo ya no podra coger ninguna y por lo tanto no poder navegar por internet, por eso es recomendable al usar esta ltima opcin bajar el tiempo de asignacin de ips)) Router_nat(config)#int fa0/0 (nos vamos a la interfaz de la LAN) Router_nat(config-if)# ip nat inside (la marcamos como el espacio INSIDE) Router_nat(config-if)#int s0/0 (vamos a la interfaz serial) Router_nat(config-if)#ip nat outside (la marcamos como el espacio OUTSIDE) Router_nat(config-if)#exit (salimos) Al utilizar NAT dinmico podemos usar ademas estos comandos de configuracion: Router_nat(config)#ip nat translation timeout 120 (Para establecer la asignacion asignacion de ips a un tiempo definido (en este caso 120 segundos) ) Router_nat#clear ip nat translation * (Para borrar la tabla NAT y as el anterior comando pueda establecerse realmente)

Enrutamiento En los dos casos para que nuestro equipo de la LAN pueda conectar con el servidor tenemos que implementar un enrutamiento, para el ejemplo nos valdr con el siguiente enrutamiento esttico: Router_nat(config)#ip route 0.0.0.0 0.0.0.0 s0/0 (podemos cambiar nuestra interfaz local de enlace (s0/0) por la ip del siguiente salto (195.195.195.2) ) Router_ISP(config-if)#ip route 194.194.194.0 255.255.255.0 s0/1 (podemos cambiar la interfaz local de enlace (s0/1) por la ip del siguiente salto (195.195.195.1) )

Observacin Tanto al implementar NAT esttico o dinmico, con o sin overload podemos ejecutar los siguientes comando para observar como esta transcurriendo NAT: Router#show ip nat statistics (muestra cuantas traducciones NAT estan siendo utilizadas as como cuales son las interfaces inside y outside) Router#show ip nat translations Router#show ip translations verbose (Estos dos comandos (uno mas completo que otro) muestran las ips traducidas por NAT as como las ips de inside y outside. Tambien visualiza la ltima vez que se ha usado NAT , cuando se cre y cuanto tiempo queda para que acabe las asignaciones de ip) Haciendo Overload al utilizar una sola ip pblica para varios hosts locales se utilizan los puertos de la conexion para poder diferenciar unos hosts de otros,un ejemplo al ejecutar "show ip translations verbose" usando Overload en este ejemplo sera: Inside Global | Inside local 194.194.194.2:512 192.168.1.5:512 194.194.194.2:513 192.168.1.6:512 Outside local | Outside global 200.200.200.1:512 200.200.200.1:512 200.200.200.1:512 200.200.200.1:513 Podemos observar que dos equipos de nuestra LAN (194.168.1.5 y 192.168.1.6) han sido asignados a la misma ip pblica (194.194.194.2) diferenciando los dos sockets slo por el nmero de puerto de la conexin

Ruteo entre VLANs: router-on-a-stick


En un post anterior hemos visto las formas de realizar ruteo entre VLANs. En esta oportunidad analizaremos uno de ellos, el de router on-a-stick. La idea es ver cmo se configura en equipos Cisco. Utilizaremos para ello la topologa del siguiente diagrama:

Las tareas a realizar son las siguientes:

En el switch: o Configurar el puerto que lo conecta al router como trunk. o Enviar las VLANs deseadas por el trunk. En el router: o Levantar la interfaz que se conecta al switch. o Configurar tantas subinterfaces como VLANs se deseen rutear (una por VLAN). El identificador de cada subinterfaz puede ser cualquiera, pero se recomienda que coincida con el ID de la VLAN para que sirva de autodocumentacin.

A continuacin se pueden ver los comandos para configurar ambos equipos:


Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 2,3,4,5 Router(config)#interface fastEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.2 Router(config-subif)#encapsulation dot1Q 2 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config-subif)#exit

Router(config)#interface fastEthernet 0/0.3 Router(config-subif)#encapsulation dot1Q 3 Router(config-subif)#ip address 192.168.3.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastEthernet 0/0.4 Router(config-subif)#encapsulation dot1Q 4 Router(config-subif)#ip address 192.168.4.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastEthernet 0/0.5 Router(config-subif)#encapsulation dot1Q 5 Router(config-subif)#ip address 192.168.5.1 255.255.255.0 Router(config-subif)#exit

Configuracin bsica de un router


La intencin de este post es mostrar la configuracin bsica de un router, utilizando como ejemplo la interfaz CLI de un equipo Cisco. Los parmetros que configuraremos sern:

Nombre. Contrasea de enable. Acceso con nombre de usuario y contrasea. Acceso por telnet. Banner. IPs de cada interfaz.

Nombre de equipo
Router>enable Router#configure terminal Router(config)#hostname R1

Contrasea de enable
R1>enable R1#configure terminal R1(config)#enable secret cisco

Acceso con nombre de usuario y contrasea


R1>enable R1#configure terminal R1(config)#username alumno password class

Acceso por telnet

Hay dos posibles formas de configurar la autenticacin por telnet. La primera es definiendo una contrasea independiente y la segunda usando el nombre de usuario y contrasea seteados en el equipo. Para esto ltimo es necesario haber llevado a cabo el paso anterior.
Contrasea independiente
R1>enable R1#configure terminal R1(config)#line vty 0 4 R1(config-line)#password class R1(config-line)#login

Nombre de usuario y contrasea del equipo


R1>enable R1#configure terminal R1(config)#line vty 0 4 R1(config-line)#login local

Banner
R1>enable R1#configure terminal R1(config)#banner motd ###Sistema de uso privado. No acceder sin autorizacin###

IPs de cada interfaz


R1>enable

R1#configure terminal R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet 0/1 R1(config-if)#ip address 192.168.2.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface serial 0/0 R1(config-if)#ip address 192.168.3.1 255.255.255.252 R1(config-if)#clock rate 56000 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface serial 0/1 R1(config-if)#ip address 192.168.4.1 255.255.255.252 R1(config-if)#clock rate 56000 R1(config-if)#no shutdown R1(config-if)#exit

Configuracin de VLANs con Cisco


En este post mostrar cmo crear VLANs en un switch Cisco, configurar puertos de acceso y puertos de trunk y rutear las VLANs para que puedan comunicarse entre s. El ruteo se hace con el mtodo de router-on-stick.

Ambiente

La asignacin de VLANs quedar:

VLAN4: 192.168.4.0/24. o Switch0: puertos 1 al 9. o Switch1: puertos 1 al 9. VLAN5: 192.168.5.0/24. o Switch0: puertos 9, 10, 12. o Switch1: puertos 10 al 14. TRUNK o Switch0: fastEthernet 0/11, gigabitEthernet 1/1. o Switch1: gigabitEthernet 1/1. o Router0: fastEthernet 0/0.

Creacin de las VLAN


sw0(config)# interface vlan 4 sw0(config-if)# description Vlan4 sw0(config-if)# no shutdown sw0(config)# interface vlan 5 sw0(config-if)# description Vlan5 sw0(config-if)# no shutdown sw1(config)# interface vlan 4 sw1(config-if)# description Vlan4 sw1(config-if)# no shutdown sw1(config)# interface vlan 5 sw1(config-if)# description Vlan5 sw1(config-if)# no shutdown

Asignar puertos a las VLAN


sw0(config)#interface range fastEthernet 0/1 - fastEthernet 0/8 sw0(config-if-range)#switchport mode access sw0(config-if-range)#switchport access vlan 4 sw0(config-if-range)#exit sw0(config)#interface range fastEthernet 0/9, fastEthernet 0/10, fastEthernet0/12 sw0(config-if-range)#switchport mode access sw0(config-if-range)#switchport access vlan 5 sw0(config-if-range)#exit sw1(config)#interface range fastEthernet 0/1 - fastEthernet 0/9 sw1(config-if-range)#switchport mode access sw1(config-if-range)#switchport access vlan 4 sw1(config-if-range)#exit sw1(config)#interface range fastEthernet 0/10 - fastEthernet 0/14 sw1(config-if-range)#switchport mode access sw1(config-if-range)#switchport access vlan 5 sw1(config-if-range)#exit

Configurar los puertos de Trunk


sw0(config)#interface fastEthernet 0/11 sw0(config-if)#switchport mode trunk sw0(config-if)#switchport trunk encapsulation dot1q sw0(config-if)#switchport trunk allowed vlan 4,5 sw0(config-if)#exit sw0(config)#interface gigabitEthernet 1/1 sw0(config-if)#switchport mode trunk sw0(config-if)#switchport trunk encapsulation dot1q sw0(config-if)#switchport trunk allowed vlan 4,5 sw0(config-if)#exit sw1(config)#interface gigabitEthernet 1/1 sw1(config-if)#switchport mode trunk sw0(config-if)#switchport trunk encapsulation dot1q sw1(config-if)#switchport trunk allowed vlan 4,5 sw1(config-if)#exit

Ruteo entre VLANs


central(config)#interface fastEthernet 0/0 central(config-if)#no shutdown central(config-if)#exit central(config)# interface fastEthernet 0/0.4 central(config-if)# encapsulation dot1Q 4 central(config-if)# ip address 192.168.4.1 255.255.255.0 exit central(config)# interface fastEthernet 0/0.5 central(config-if)# encapsulation dot1Q 5 central(config-if)# ip address 192.168.5.1 255.255.255.0 exit

Verificacin de la configuracin de las VLAN


sw1#show vlan brief

VLAN Name ---- -------------------------------1 default Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig1/2 4 VLAN0004 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9 5 VLAN0005 Fa0/14 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default sw1#show vlan id 4

Status Ports --------- ------------------------------active Fa0/15, Fa0/16, Fa0/17, Fa0/18 active active active active active active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/10, Fa0/11, Fa0/12, Fa0/13

VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------4 VLAN0004 active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -----4 enet 100004 1500 0 0 sw1#show interfaces vlan 4 Vlan4 is up, line protocol is up Hardware is CPU Interface, address is 0007.ecaa.64a6 (bia 0007.ecaa.64a6) MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 21:40:21, output never, output hang never Last clearing of "show interface" counters never

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 1682 packets input, 530955 bytes, 0 no buffer Received 0 broadcasts (0 IP multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 563859 packets output, 0 bytes, 0 underruns 0 output errors, 23 interface resets 0 output buffer failures, 0 output buffers swapped out sw1#show interfaces trunk Port Mode Encapsulation Gig1/1 on 802.1q Port Gig1/1 Port Gig1/1 Port Gig1/1 Vlans allowed on trunk 4-5 Vlans allowed and active in management domain 4,5 Vlans in spanning tree forwarding state and not pruned 4,5 Status trunking Native vlan 1

Configurar un Etherchannel en Cisco


Un Etherchannel es un tipo especial de interfaz que agrupa varios puertos fsicos en un nico puerto lgico. De esta manera es posible armar uplinks con mayor capacidad que la provista por los puertos individuales. Por ejemplo, en la siguiente topologa:

Podra aprovecharse all la redundancia para en lugar de tener dos enlaces a 1 gigabit (de los cules slo uno funcionar si utilizamos STP) tengamos un nico enlace lgico a 2 gigabits. En este punto es preciso saber que un etherchannel puede configurarse de modo esttico o de modo dinmico. El segundo caso nos provee adems redundancia, ya que si uno de los enlaces se cae el etherchannel contina funcionando con un ancho de banda menor. Para configurarlo de esta manera:
SWA(config)#interface range gigabitEthernet 0/1 -gigabitEthernet 0/2 SWA(config-if-range)#channel-group 1 mode desirable SWA(config-if-range)#end SWB(config)#interface range gigabitEthernet 0/1 -gigabitEthernet 0/2 SWB(config-if-range)#channel-group 1 mode desirable SWB(config-if-range)#end SWA#show etherchannel Channel-group listing: ---------------------Group: 1 ---------Group state = L2 Ports: 2 Maxports = 8 Port-channels: 1 Max Portchannels = 1 Protocol: PAGP SWA#show etherchannel 1 summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator u - unsuitable for bundling

w - waiting to be aggregated d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------1 Po1(SD) PAgP Gi0/1(D) Gi0/2(D)

Introduccin a OSPF
En este post intentar dar una introduccin muy breve al protocolo OSPF. Ir dejando unos cuntos links para poder ampliar el tema, aunque probablemente en un futuro est escribiendo algo ms sobre OSPF.
Introduccin

OSPF es un protocolo de enrutamiento dinmico estndar definido en la RFC 2328 para IPv4 y en la RFC 5340 para IPv6. Su funcin (por ser un protocolo de enrutamiento) es la de recolectar la informacin necesaria para armar las tablas de ruteo. Se lo puede clasificar como protocolo de estado de enlace y, a su vez, dentro del grupo de los IGP (Interior Gateway Protocol), dado que est pensado para ser utilizado dentro del dominio de un sistema autnomo.
Caractersticas bsicas de OSPF

Estndar y de especificacin abierta. Intra sistema autnomo. Converge rpidamente. Soporta diseo jerrquico, lo que lo hace muy escalable. Enva actualizaciones disparadas y slo con la informacin que cambia.

Se comunica utilizando multicast. Soporta autenticacin.

Informacin utilizada por OSPF

OSPF mantiene tres tablas:


Tabla de enrutamiento: el objetivo de cualquier protocolo de enrutamiento, lograr una tabla que dada una red de destino indique el camino para alcanzarla. Tabla de adyacencias (o de vecinos): en esta tabla se mantiene la informacin sobre los vecinos con los cules se realizan intercambios OSPF. Tabla de topologa (o base de datos de LSA): en esta tabla se almacenan todos los LSA recibidos de toda la red. Los LSA son paquetes OSPF que contienen informacin sobre rutas (red y camino para alcanzarla). De esta manera es como un router OSPF conoce la topologa completa de la red. De hecho, utilizando la tabla de topologa es posible dibujar toda la red con los costos de cada enlace.

Algoritmo OSPF

El algoritmo de OSPF puede resumirse en los siguientes pasos:


1. Lo primero que se necesita es formar adyacencias con los vecinos directamente conectados. Por ello, todos los routers de la red envan paquetes de saludo por todas sus interfaces. Con esta informacin, un router OSPF conoce sus vecinos que ser con los que se mantendr en contacto para enviar la informacin de enrutamiento. 2. Si se tratara de una red multiacceso como Ethernet entonces deber elegirse un router designado (DR) y un router resignado de respaldo (BDR). El objetivo es disminuir el trfico de enrutamiento intercambiado en la red haciendo que los routers se comuniquen slo con el DR y el BDR. En un prximo post explicar con ms detalle este tema. 3. Una vez establecidas las adyacencias, el siguiente paso es enviar la informacin de enrutamiento mediante paquetes LSU (un paquete que uno o ms LSA) a todos los vecinos, lo que provoca una inundacin (flooding) de LSU en la red. 4. Terminado el paso anterior, todos los routers tienen la tabla de topologa completa y ya es posible calcular las rutas ms cortas hacia cada destino, lo que se hace ejecutando el algoritmo de Dijkstra (o algoritmo de SPF). Este es un proceso que ejecuta cada router OSPF por s mismo y sin intervencin de ningn otro router. 5. En el paso anterior se arma la tabla de enrutamiento con lo cul luego del mismo un router OSPF ya puede comenzar a enrutar paquetes. A partir de ahora el intercambio entre los equipos sern:

o o

Paquetes de saludo: se envan de forma peridica para mantener las adyacencias y detectar la cada de un equipo vecino. Actualizaciones de estado de enlace (LSU): enviadas slo si el estado de algn enlace cambia.

OSPF en un router Cisco


Este post muestra la configuracin bsica de OSPF en una nica rea utilizando routers Cisco. Se recomienda primero la lectura del post Introduccin a OSPF, que sirve como material previo a este artculo.

Ambiente
Para este post se utiliza dynamips con 5 routers con etherswitch, conectados entre s tanto por enlaces ethernet como seriales. La versin de IOS que se utiliza es:
Router#show version Cisco IOS Software, C2600 Software (C2600-ADVSECURITYK9-M), Version 12.3(4)T, RELEASE SOFTWARE (fc1)

Configuracin
Se asume que ya se han configurado los nombres de equipo, direcciones IP, contraseas, y dems. Para una gua sobre cmo hacerlo puede encontrarse en este mismo blog un post que explica la configuracin bsica de un router. Parmetros necesarios Configurar OSPF es muy sencillo. Se necesitan incluir la siguientes informacin:

Process ID: es el nmero que acompaa al comando router ospf y es de importancia local, por lo tanto puede diferir entre routers. Redes: se deben enumerar las redes directamente conectadas que desean publicarse. La forma es indicando la direccin de red acompaada de una mscara de wildcard y luego el rea donde se publicar (el rea 0 es el rea de backbone).

NOTA: la mscara de wildcard es el inverso de la mscara de subred y puede obtenerse fcilmente restando la mscara de subred a 255.255.255.255. En el ejemplo se usan mscaras 255.255.255.252 entonces:
255.255.255.255 255.255.255.252 = 0.0.0.3

Configurar OSPF
R1(config)#router ospf 1 R1(config-router)#network R1(config-router)#network R1(config-router)#network R1(config-router)#network 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0 0.0.0.3 0.0.0.3 0.0.0.3 0.0.0.3 area area area area 0 0 0 0

R2(config)#router ospf 1 R2(config-router)#network 192.168.1.0 0.0.0.3 area 0 R2(config-router)#network 192.168.5.0 0.0.0.3 area 0

R3(config)#router ospf 1 R3(config-router)#network 192.168.2.0 0.0.0.3 area 0 R4(config)#router ospf 1 R4(config-router)#network 192.168.4.0 0.0.0.3 area 0 R5(config)#router ospf 1 R5(config-router)#network 192.168.3.0 0.0.0.3 area 0 R5(config-router)#network 192.168.5.0 0.0.0.3 area 0

Verificar funcionamiento
Para verificar el correcto funcionamiento de OSPF vamos a mirar la tabla de enrutamiento del R3. Se ve que todas aquellas rutas que no tiene directamente conectadas las aprendi por OSPF, con lo cual podemos asumir que OSPF funciona correctamente.
R3#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 192.168.4.0/30 is subnetted, 1 subnets O 192.168.4.0 [110/65] via 192.168.2.1, 00:00:07, FastEthernet0/0 192.168.5.0/30 is subnetted, 1 subnets O 192.168.5.0 [110/3] via 192.168.2.1, 00:00:07, FastEthernet0/0 192.168.1.0/30 is subnetted, 1 subnets O 192.168.1.0 [110/2] via 192.168.2.1, 00:00:07, FastEthernet0/0 192.168.2.0/30 is subnetted, 1 subnets C 192.168.2.0 is directly connected, FastEthernet0/0 192.168.3.0/30 is subnetted, 1 subnets O 192.168.3.0 [110/65] via 192.168.2.1, 00:00:07, FastEthernet0/0

Otras herramientas que pueden utilizarse para monitorear el enrutamiento por ospf son:
R1#show R1#show R1#show R1#show R1#show ip ip ip ip ip ospf ospf ospf ospf ospf database neighbor interface interface brief

Ruteo esttico frente a ruteo dinmico


Introduccin.

Para que una red funcione correctamente es necesario que todos los routers conozcan las distintas redes que pueden alcanzar y por dnde. Este conocimiento y la decisin de a quin enviar el trfico es responsabilidad del router. Ahora bien, para obtener el conocimiento necesario, un equipo se puede basar bsicamente en dos estrategias: ruteo esttico y ruteo dinmico.
Ruteo esttico.

El ruteo esttico es la forma ms sencilla y que menos conocimientos exige para configurar las tablas de ruteo en un dispositivo. Es un mtodo manual que requiere que el administrador indique explcitamente en cada equipo las redes que puede alcanzar y por qu camino hacerlo. La ventaja de este mtodo, adems de la simpleza para configurarlo, es que no supone ninguna sobrecarga adicional sobre los routers y los enlaces en una red. Sin embargo, las desventajas principales son determinantes en muchos casos para no escoger este mtodo. Por un lado, configurar rutas estticas en una red de ms de unos pocos routers puede volverse un trabajo muy engorroso para el administrador, adems de aumentar la probabilidad de cometer un error, en cuyo caso puede llegar a ser bastante dificultoso encontrar dicho error. Pero adems, existe un problema an ms importante: la redundancia. Cuando se utiliza ruteo esttico en una red con redundancia y hay un fallo en un enlace

el administrador debe modificar las rutas manualmente, lo cul implica un tiempo de respuesta ante una falla mucho mayor que si se utiliza un mtodo automtico.
Ruteo dinmico.

En contraposicin con el mtodo esttico, el ruteo dinmico utiliza diferentes protocolos cuyo fin es el de intercambiar rutas entre dispositivos intermedios con el objetivo de tener una red totalmente accesible. En este caso, los routers envan y reciben informacin de enrutamiento que utilizan para armar sus tablas de ruteo. El ruteo dinmico tiene varias ventajas que lo convierten en el preferido en la mayora de los casos: configurar el ruteo en una red mediana a grande implica mucho menos trabajo para el administrador, a la vez que permite que la red completa se ponga en funcionamiento en un tiempo mucho menor; es capaz tambin de adaptarse a los problemas, ya que puede detectar la falla de un enlace principal y utilizar entonces un enlace alternativo para alcanzar el destino (si lo hubiera). Las desventajas son que, al intercambiar informacin entre los dispositivos y requerir que cada router procese dicha informacin se utiliza tanto ancho de banda de los enlaces como tiempo de procesamiento en los equipos, lo cul en algunas circunstancias puede convertirse en un problema. Adicionalmente, dependiendo del protocolo que se utilice, el enrutamiento dinmico requiere un mayor conocimiento por parte del administrador, tanto para configurarlo de forma correcta como para solucionar problemas.
Conclusin.

En este breve post se ha visto una introduccin a cada tipo de protocolo de ruteo. La eleccin de un tipo sobre el otro depende siempre del administrador, aunque en muchos casos tambin puede existir una limitacin en el hardware utilizado o en las polticas de la organizacin

Ruteo entre VLANs


Para que los hosts de una misma VLAN se comuniquen entre s alcanza con tener switches de capa 2 con soporte para VLANs. No obstante, es altamente probable que deseemos que pueda haber comunicacin entre hosts de diferentes VLANs e, incluso, con Internet. Para esto

necesitamos, lgicamente, algn dispositivo que realice el ruteo. En este post intentar resumir brevemente las diferentes alternativas para rutear entre VLANs. Este post ser introductorio y luego habr otros posts que expliquen la configuracin de los casos aqu mencionados.
Router sin trunk (ruteo tradicional)

Como se ve en el diagrama, el ruteo sin trunk utiliza una interfaz del router por cada VLAN. Lo mismo hace con las interfaces del switch. La ventaja de este esquema es que es muy sencillo de configurar. La desventaja es su ineficiencia en el uso de los recursos, sumado a que si la cantidad de VLANs a rutear son muchas podran no alcanzar las interfaces en el router o switch. La otra gran desventaja es que cada vez que se quiere agregar una nueva VLAN es necesario conectar un cable adicional entre el switch y el router.
Router con trunk (router on-a-stick)

Voil! Esto se ve mucho mejor No les parece? Con una configuracin de router on-a-stick se optimiza la utilizacin de recursos, dado que no importa si se necesitan rutear 2 o 10 VLANs; siempre se necesitar tan slo una interfaz en el router y una en el switch. El cableado es ms sencillo y prolijo y agregar una nueva VLANs al ruteo requiere un esfuerzo mnimo. La principal desventaja est dada, quiz, porque con el esquema anterior cada VLAN tena el 100% del ancho de banda con el router para s misma y en este esquema debe compartirlo. No obstante, puede solucionarse con un enlace entre el switch y el router de mayor capacidad que los enlaces entre el switch y el resto de los hosts.

Switch de capa 3

A nivel fsico este esquema es idntico al de router on-a-stick, aunque la diferencia est dada por el rendimiento y por la implementacin. Con respecto a lo primero, un switch est optimizado para conmutar tramas con lo cul suele tener un throughput mayor. En lo que a implementacin se refiere, en el caso del router se usan subinterfaces y con un switch de capa 3 VLANs.

Configuracin bsica de DHCP en Cisco


En un post anterior he explicado en qu consiste el protocolo DHCP. En esta oportunidad la intencin es mostrar la configuracin de DHCP bsico en un router Cisco. Se asume un router conectado a un switch al que adems se conectan dos PCs. Se le indicar al router que brinde direcciones IP de la red 192.168.10.0/24, les indique a los hosts que la ruta por defecto es la 192.168.10.1 y que no asigne la 192.168.10.10, dado que utilizaremos dicha IP para un servidor.
Router(config)# ip dhcp pool LAN_pool Router(dhcp-config)# network 192.168.10.0 255.255.255.0 Router(dhcp-config)# default-router 192.168.10.1 Router(dhcp-config)# dns-server 192.168.10.2 Router(dhcp-config)# exit Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10

Ahora bien, para asegurarse que el DHCP est funcionando correctamente es posible consultar las direcciones IP asignadas con el siguiente comando:
Router# show ip dhcp binding IP address Client-ID/ Hardware address 192.168.10.2 0060.472D.E92B 192.168.10.3 00E0.8F03.BC37 Lease expiration --Type Automatic Automatic

Seguridad de puerto en switches Cisco


Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte slo la estacin autorizada. Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo que resumir a continuacin.
Direccin MAC segura esttica

Se configura manualmente. Se agrega a la tabla de direcciones MAC. Se guarda en la running-config. Se puede hacer permanente guardando la configuracin.

SwA(config-if)# switchport port-security mac-address DIRECCION-MAC

Direccin MAC segura dinmica


Se aprende del trfico que atraviesa la interfaz. Se la guarda en la tabla de direcciones MAC. Se pierde cuando se reinicia el equipo.

SwA(config-if)# switchport port-security

Direccin MAC segura sticky


Se la puede configurar de forma manual o dinmica. Se la guarda en la tabla de direcciones MAC. Se almacena en la running-config. Se puede hacer permanente guardando la configuracin.

SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

La principal ventaja de las direcciones sticky en contraposicin con las dinmicas es que stas ltimas se agregan a la running-config. As nos evitamos escribir un montn de direcciones MAC de manera esttica pero an podemos guardarlas en el archivo de configuracin de manera que se mantengan inclusive si el switch se reinicia. Dos aspectos importantes a tener en cuenta:

Si se habilitan las direcciones MAC sticky y ya haba direcciones aprendidas de forma dinmica, stas pasan a la running-config y todas las nuevas que se aprendan tambin se agregan all. Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinmicas y se borran de la running-config. Adems, todas las que se aprendan tambin sern dinmicas.

Acciones a tomar si se produce una violacin

Es importante tener en cuenta que por violacin se entiende uno de los siguientes dos casos:

Se alcanz la cantidad mxima de direcciones MAC permitidas. Una direccin MAC que se aprendi en un puerto se aprende por otro puerto diferente.

Los modos en los que se puede establecer un puerto para decidir qu accin tomar en el caso de una violacin son, entonces:

Protect: una vez que se alcanz el mximo de direcciones MAC en un puerto, todo el trfico de orgenes desconocidos (es decir, de direcciones MAC que no sean vlidas para ese puerto) es descartado. No obstante, se contina enviando el trfico legal normalmente. No se notifica al administrador de esta situacin. Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se enva un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones. Shutdown: en este caso el puerto se da de baja dejndolo en estado err-disabled (deshabilitado por error). Adems se enva un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones. Shutdown VLAN: la nica diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Configuracin

Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que est en modo dinmico.

Habilitar port-security.

SwA(config-if)# switchport port-security

Indicar que slo se permite una MAC por interfaz.

SwA(config-if)# switchport port-security maximum 1

Configurar el modo restrict para cuando ocurra una violacin del puerto.

SwA(config-if)# switchport port-security violation restrict

Configurar el aprendizaje de direcciones MAC sticky.

SwA(config-if)# switchport port-security mac-address sticky

O bien especificar una MAC de forma esttica.

SwA(config-if)# switchport port-security mac-address 5400.0000.0001

Chequear el estado de port-security.

SwA# show port-security

Ejemplo de Configuracion NAT Dinamico para Routers Cisco


Publicado el 31 julio 2007 Comentarios(19) El NAT dinmico est diseado para mapear una direccin IP privada a una direccin pblica de entre un pool de direcciones pblicas ya establecido. Es decir, Cualquier direccin IP pblica de este pool se asigna a un Host de la red interna. 1) Primero definir un pool de direcciones (las direcciones pblicas que nos asigne nuestro ISP) Router-Cisco#configure treminal Router-Cisco(config)# ip nat pool 1 200.42.1.1 200.42.1.10 netmask 255.255.255.0 2) Crear una lista de acceso Standard que permita las direcciones internas que se deben traducir. Router-Cisco(config)# access-list 1 permit 172.16.129.0 0 0.0.0.255 3) Configurar la NAT dinmico basada en la direccin de origen especificando la lista de acceso definida en el paso anterior. Router-Cisco(config)# ip nat inside source list 1 pool 1

4) Especificar la interfaz interna y marcarla como conectada al interior. Router-Cisco(config)# interface etherne 0 Router-Cisco(config-if)# ip nat inside Router-Cisco(config-if)# exit

5) Especificar la interfaz externa y marcarla como conectada al exterior. Router-Cisco(config)# interface serial 0 Router-Cisco(config)# ip nat outside Comandos para verificacin de la tabla NAT show ip nat translations show ip nat statistics debug ip nat

Configurar NAT en Router CISCO

Categoras:

Seguridad

por admin El prximo Post se referir a como crear NAT (Network Address Translation o Traduccin de Direcciones de Red). En trminos simples, lo que permite el NAT es realizar una traduccin de una Ip Privada a una Pblica o vice - versa. En las redes de Area Local se ocupan Ips privadas, estas se encuentran definidas en el documento RFC 1918, esas direcciones ip conviven en una red Interna, mientras que en Internet existen las ips publicas. El proceso de NAT, se ejecuta cada vez que un paquete va dirigido hacia internet, por lo tanto este debe ser traducido a una Ip Publica, y tambien cuando un paquete viene desde Internet a una Lan se debe traducir de una ip publica a una privada. Hay que decir que cualquier paquete IP cuya direccin destino este dentro de la clasificacin de ip privadas no se enrutara hacia Internet, solo se har mediante un NAT. La RFC 1918, define como Ips privadas las siguientes direcciones, seguna cada Clase de direcciones Clase A: 10.0.0.0 a la 10.255.255.255 /8 Bits de red, 24 bits de Hosts Clase B:172.16.0.0 172.31.255.255/16 Bits de Red, 24 bits de Hosts Clase C: 192.168.0.0 192.168.255.255 /24 bits de Red,8 de Hosts Ahora bien, como ya tenemos una pequea introduccion con respecto a las ip privadas, no meteremos de lleno a como configurar un NAT. En CISCO, existen 3 tipos de NAT,( har un caso practico de cada uno de ellos):

-NAT Estatico: Se mapea cada direccin privada con la ip publica que se designe. -NAT Dinamico: Se crea un pool de direcciones publicadas, y cada host pelea por ocupar una de esas IP publicas mediante una ACL. -PAT: Este es un tipo de NAT al que se le denonina PAT (Port Address Translation), es el cual todas las direcciones privadas salen a una red WAN con una sola IP publica, pero con diferentes puertos. CASOS PRACTICOS NAT ESTATICO: Este es el escenario:

Como habia dicho en el NAT Esttico se mapea cada direccion Privada con la ip publica.En este caso el servidor Web con la ip privada 192.168.8.120 saldr con la 200.27.89.200, y el Servidor DNS cuya ip es la 192.168.8.121 lo har con la 200.27.101.23. Vamos al CLI:
Router_A>enable Router_A#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#interface fastEthernet 0/0 Router_A(config-if)#ip nat inside Router_A#wr

Building configuration... [OK]

Aqui lo hice es entrar al CLI (Interfaz de Linea de Comandos), del Router A, y en la interfaz fastethernet 0/0, defini el comando ip nat inside, con esto le digo al NAT que es mi interfaz Interna.
Router_A>enable Router_A#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#interface serial 1/0 Router_A(config-if)#ip nat outside Router_A#wr Building configuration... [OK]

Ahora configur la interfaz Serial 1/0, como la interfaz Externa.


Router_A>enable Router_A#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#ip nat inside source static 192.168.8.120 200.27.89.200 Router_A(config)#ip nat inside source static 192.168.8.121 200.27.101.23 Router_A#wr Building configuration... [OK]

Ahora lo que hice es crear el mapeo ip privada-ip publica, con el comando en modo de configuracin global: ip nat inside source static ip privada ip publica

Prob haciendo un ping desde el Servidor Web hacia el PC 1, que esta en la LAN del Router B, y aqui se aprecia mediante un esquema del modelo OSI de packet tracer, como a travez de las capas de entrada en la capa 3 de red, la direccin ip de origen es la 192.168.8.120, y la de salida (Hacia la WAN), es la ip publica que se defini. NAT DINAMICO Este es el escenario:

En el Caso del NAT dinmico, se debe generar un pool de direcciones Publicas en este caso son de la 200.100.90.15 a la 200.100.90.28, adems de eso se genera una ACL para especificar que direcciones IP de nuestra red interna, podran acceder a esas ips publicas. Vamos al CLI:
Router_A>enable Router_A#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#interface fastEthernet 0/0 Router_A(config-if)#ip nat inside Router_A#wr

Building configuration... [OK]

Se configura la interfaz fastethernet 0/0, como la interfaz interna.


Router_A>enable Router_A#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)#interface serial 1/0 Router_A(config-if)#ip nat outside Router_A#wr Building configuration... [OK]

Se configura la interfaz serial 1/0, como la interfaz externa. Ahora se crea el pool de direcciones publicas, de la manera: ip nat pool nombre_de_pool ip inicio ip termino netmask mascara subred
Por lo tanto a traves de la linea de comandos quedaria: Router>enable Router#configure terminal Router(config)#ip nat pool mi_pool 200.100.90.15 200.100.90.28 netmask 255.255.255.0 Router(config)#wr Building configuration... [OK]

Ahora creamos la ACL, en este caso todas la ip de mi red interna tendran la posibilidad de acceder a la ip publicas
Router>enable Router#configure terminal

Router(config)#access-list 1 permit any Router(config)#wr Building configuration... [OK]

Y finalmente lo que queda es asociar la ACL con el NAT.El comando es el siguiente: ip nat inside source n lista de acceso pool nombre_pool
En la linea de comandos sera: Router>enable Router#configure terminal Router(config)#ip nat inside source list 1 pool mi_pool Router(config)#wr Building configuration... [OK]

NAT POR SOBRECARGA En el NAT por sobrecarga o PAT (Port Address Translation),es el que se utiliza hoy en dia.Y se basa en que todas las ips privadas salen con una ip pblica, pero diferenciadas por el nmero de puerto. Ejemplo:

Hay una red LAN que tiene la red 172.16.0.0 /16, y toda la red saldr a una red WAN, con la ip pblica 200.80.20.201. Lo primero es definir tal como los ejemplos anteriores de NAT, las interfaces internas y externas.
Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip nat inside

Definimos que la interfaz fast ethernet es nuesta interfaz interna en el NAT.


Router>enable

Router#configure terminal Router(config)#interface serial 0/0/0 Router(config-if)#ip nat outside

Y tambin definimos que la interfaz serial 0/0/0 , es nuestra interfaz externa. Luego creamos el pool, con la ip que ser nuestro NAT.
Router>enable Router#configure terminal Router(config)#ip nat pool mi_pool 200.80.20.201 200.80.20.201 netmask 255.255.255.0

Creamos la ACL, de las ips de nuestra red que podran acceder a dicha ip publica, en este caso sera toda nuestra red (any).
Router>enable Router#configure terminal Router(config)#access-list 1 permit any

Por ultimo asociamos el pool creado con la ACL, con el comando: ip nat inside source n lista de acceso pool nombre_pool overload
Router>enable Router#configure terminal Router(config)#ip nat inside source list 1 pool mi_pool overload

Router: Configuracin NAT Dinmico en Routers Cisco


Enviado por Francisco Javier el 8 junio, 2010

Hola les voy a explicar una configuracin tpica de Nat en entornos empresariales. El NAT dinamico est diseado para mapear una direccin IP privada a una direccin pblica de entre un pool de direcciones pblicas ya establecido. Es decir, cualquier direccin IP pblica de este pool se asigna a un host de la red interna.

1) Primero definir un pool de direcciones (las direcciones pblicas que nos asigne nuestro ISP) en este caso desde la 200.42.1.1 a la 200.42.1.10 Router-Cisco#configure terminal Router-Cisco(config)# ip nat pool 1 200.42.1.1 200.42.1.10 netmask 255.255.255.0

2) Crear una lista de acceso estndard que permita las direcciones internas que se deben traducir. Router-Cisco(config)# access-list 1 permit 172.16.1.0 0 0.0.0.255

3) Configurar la NAT dinamico basada en la direccin de origen especificando la lista de acceso definida en el paso anterior. Router-Cisco(config)# ip nat inside source list 1 pool 1

4) Especificar la interfaz interna y marcarla como conectada al interior. Router-Cisco(config)# interface ethernet 0

Router-Cisco(config-if)# ip nat inside Router-Cisco(config-if)# exit

5) Especificar la interfaz externa y marcarla como conectada al exterior. Router-Cisco(config)# interface serial 1 Router-Cisco(config)# ip nat outside

Comandos para verificacin de la tabla NAT

show ip nat translations show ip nat statistics debug ip nat

También podría gustarte