I.

OBJETIVOS:

• Configurar de NAT estatico, NAT dinamico y NAT dinamico con sobrecarga

• Configurar PAT
• Configurar DHCP

II. MATERIALES Y EQUIPO

Detalle de materiales didácticos y equipos

Nº REQUERIMIENTO Cantidad
1 Guía de trabajo Nº 12 Configuración de NAT, PAT y DHCP 1
2 Estación de trabajo de PC con sistema operativo Linux Centos o
1
Windows 7
3 Simulador Cisco Packet Tracer instalado. 1

III. PROCEDIMIENTO.

1. Armar la siguiente topología en el simulador.

NOTA: En esta configuración ambas interfaces del router ISP usarán cables DCE.

2. Configuración de los routers

a. Configuración para Empresa1:
Router# configure terminal
Router(config)# hostname Empresa1
Empresa1(config)# enable secret cisco

1
Ing. Victor Manuel Huertas Honores
 Empresa1(config)# line vty 0 4
Empresa1(config-line)# password remoto
Empresa1(config-line)# login
Empresa1(config-line)# exit
Empresa1(config)# interface f0/0
Empresa1(config-if)# ip address 192.168.1.1 255.255.255.0
Empresa1(config-if)# no shutdown
Empresa1(config-if)# exit
Empresa1(config)# interface s0/0
Empresa1(config-if)# ip address 168.243.3.129 255.255.255.252
Empresa1(config-if)# no shutdown
Empresa1(config-if)# exit
Empresa1(config)# router rip
Empresa1(config)# version 2
Empresa1(config-router)# network 168.243.3.128
Empresa1(config-router)# exit
Empresa1(config)# exit
Empresa1# copy running-config startup-config

b. Configuración para Empresa2:

Router# configure terminal
Router(config)# hostname Empresa2
Empresa2(config)# enable secret cisco
Empresa2(config)# line vty 0 4
Empresa2(config-line)# password remoto
Empresa2(config-line)# login
Empresa2(config-line)# exit
Empresa2(config)# interface f0/0
Empresa2(config-if)# ip address 192.168.2.1 255.255.255.0
Empresa2(config-if)# no shutdown
Empresa2(config-if)# exit
Empresa2(config)# interface s0/0
Empresa2(config-if)# ip address 168.243.3.133 255.255.255.252
Empresa2(config-if)# no shutdown
Empresa2(config-if)# exit
Empresa2(config)# router rip
Empresa2(config)# version 2
Empresa2(config-router)# network 168.243.3.132
Empresa2(config-router)# exit
Empresa2(config)# exit
Empresa2# copy running-config startup-config
c. Configuración para ISP:
Router# configure terminal
Router(config)# hostname ISP
ISP(config)# enable secret cisco
ISP(config)# line vty 0 4
ISP(config-line)# password remoto
ISP(config-line)# login
ISP(config-line)# exit

2
Ing. Victor Manuel Huertas Honores
 ISP(config)# interface f0/0
ISP(config-if)# ip address 10.0.0.1 255.255.255.0
ISP(config-if)# no shutdown
ISP(config-if)# exit
ISP(config)# interface s0/0
ISP(config-if)# ip address 168.243.3.130 255.255.255.252
ISP(config-if)# clockrate 1000000
ISP(config-if)# no shutdown
ISP(config-if)# exit
ISP(config)# interface s0/1
ISP(config-if)# ip address 168.243.3.134 255.255.255.252
ISP(config-if)# clockrate 1000000
ISP(config-if)# no shutdown
ISP(config-if)# exit
ISP(config)# router rip
ISP(config)# version 2
ISP(config-router)# network 10.0.0.0
ISP(config-router)# network 168.243.3.132
ISP(config-router)# network 168.243.3.128
ISP(config-router)# exit
ISP(config)# exit
ISP# copy running-config startup-config

3. Configure las estaciones de trabajo y el WebServer:

a. PC11: Dirección IP: 192.168.1.2, máscara de subred: 255.255.255.0, gateway: 192.168.1.1
b. PC21: Dirección IP: 192.168.2.2, máscara de subred: 255.255.255.0, gateway: 192.168.2.1
c. WebServer: Dirección IP: 10.0.0.2, máscara de subred: 255.255.255.0, gateway: 10.0.0.1
4. Verificación del esquema.
a. Verificar las tablas de enrutamiento de los enrutadores Empresa1 y Empresa2. Usando el comando show ip route.
b. Verificar la tabla de enrutamiento del enrutador ISP. Notar que debido al carácter de redes privadas que tienen las
LAN soportadas en los enrutadores Empresa, las redes 192.168.1.0/24 y 192.168.2.0/24, no aparecerán en la
tabla de ISP.
c. Realizar las siguientes pruebas con la herramienta PING desde las estaciones de trabajo y el web server (se anotan a
continuación de cada prueba el resultado que debería obtenerse, compárelo con sus propios resultados:
- Ping desde: PC11 ; hacia: 192.168.1.1 ; resultado: prueba exitosa
- Ping desde: PC21 ; hacia: 192.168.2.1 ; resultado: prueba exitosa
- Ping desde: PC11 ; hacia: 10.0.0.2 ; resultado: tiempo de espera agotado
- Ping desde: PC21 ; hacia: 10.0.0.2 ; resultado: tiempo de espera agotado
- Ping desde: WebServer ; hacia: 10.0.0.1 ; resultado: prueba exitosa
- Ping desde: WebServer ; hacia: 168.243.3.129 ; resultado: prueba exitosa
- Ping desde: WebServer ; hacia: 168.243.3.133 ; resultado: prueba exitosa
- Ping desde: WebServer ; hacia: 192.168.1.2 ; resultado: host de destino inaccesible
- Ping desde: WebServer ; hacia: 192.168.2.2 ; resultado: host de destino inaccesible
Nuevamente se hace la aclaración. Los fallos al realizar las pruebas Ping entre las estaciones de trabajo y el servidor, y
viceversa, son un comportamiento normal, ya que el enrutador ISP desconoce la existencia de las redes locales de
Empresa1 y Empresa2. La comunicación entre estas redes se logrará usando NAT o PAT.

3
Ing. Victor Manuel Huertas Honores
 a. Asignación de una red IP pública para realizar el proceso de traducción.
Las direcciones de carácter público que se asignarán en el enrutador Empresa1 se tomarán del rango siguiente
199.6.13.8 / 29

b. Configuración de una dirección pública en el enrutador Empresa1:

Empresa1# configure terminal
Empresa1(config)# interface loopbak 0
Empresa1(config-if)# ip address 199.6.13.9 255.255.255.248
Empresa1(config-if)# exit
Empresa1(config)# router rip
Empresa1(config)# version 2
Empresa1(config-router)# network 199.6.13.8
Empresa1(config-router)# exit
Empresa1(config)# CTRL+Z
c. Configuración de NAT estático para la dirección asignada a la PC11:
Empresa1# configure terminal
Empresa1(config)# ip nat inside source static 192.168.1.2 199.6.13.10
Empresa1(config)# interface f0/0
Empresa1(config-if)# ip nat inside
Empresa1(config-if)# exit
Empresa1(config)# interface s0/0
Empresa1(config-if)# ip nat outside
Empresa1(config-if)# exit
Empresa1(config)# CTRL+Z
Con los comandos anteriores se logra que cada vez que un paquete llegue a la interface f0/0 de Empresa1, y este necesite
ser enviado a redes externas por medio de la s0/0, se traduzca su dirección privada a la pública 199.6.13.10.

d. Pruebas de conectividad. Realizr las siguientes pruebas y confrontar con sus resultados.
• Ping desde: PC11 ; hacia: 10.0.0.2 ; resultado: prueba exitosa
• Ping desde: WebServer ; hacia: 192.168.1.2 ; resultado: host de destino inaccesible
• Ping desde: WebServer ; hacia: 199.6.13.10 ; resultado: prueba exitosa
Nota: Aun con el uso de NAT no es posible hacer Ping directamente a direcciones privadas (ese es el objetivo de la
práctica), pero si se puede acceder a la PC11 a través de su dirección pública.
e. Revise el estado de las traducciones en el enrutador Empresa1. Use el comando siguiente: Empresa1# show ip nat
translation

a. Agregue una nueva PC (PC12) y configure la siguiente dirección IP: 192.168.1.3 (para ello haga uso de un
HUB).
“Guardar la configuración del router, desde este punto ya no guardar la configuración para no tener que repetir pasos”
b. Repita las pruebas de conectividad del apartado (d) del paso 5. Notará como al intentar acceder a redes externas con otras
direcciones privadas, esto no es posible, y si se mantiene el esquema de traducción estática, sería necesario crear una
traducción para cada dirección privada de manera manual e individual.
4
Ing. Victor Manuel Huertas Honores
c. Para solventar esta situación, activaremos una traducción basada en un grupo de direcciones públicas, que
serán asignadas dinámicamente por orden de llegada con respecto a las privadas. Primero eliminamos la
traducción estática creada con anterioridad.
Empresa1# configure terminal
Empresa1(config)# no ip nat inside source static 192.168.1.2 199.6.13.10
Empresa1(config)# exit
Empresa1# clear ip nat translation *
Empresa1# show ip nat translation
Al ejecutar el comando show de la última línea podrá verificar que la traducción estática ya no existe (eso se debe a que
el comando clear ip nat translation * elimina el contenido de la tabla.

d. Creación del grupo (pool) de direcciones públicas:

Empresa1# configure terminal
Empresa1(config)# ip nat pool grupo1 199.6.13.10 199.6.13.13 netmask 255.255.255.248
Empresa1(config)# CTRL+Z
e. Creación de una lista de acceso estándar que permita comparar las direcciones de origen (privadas) y decidir si luego
estas serán traducidas a direcciones públicas. En este caso incluiremos en el derecho a ser traducidas a toda la red
192.168.1.0 / 24
Empresa1# configure terminal
Empresa1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Empresa1(config)# CTRL+Z

La lista de acceso anterior NO SE DEBE APLICAR a ninguna interface. Recuerde que esta ACL se usa solo para efectos
de comparar el origen de los paquetes y tomar la decisión sobre la traducción. No se usa la lista de acceso para afectar al
tráfico entrante o saliente en las interfaces involucradas en la traducción.
f. Ahora se configurará la traducción dinámica con base en el pool y la lista de acceso creadas previamente.
EMPRESA1# configure terminal
EMPRESA1(config)# ip nat inside source list 1 pool grupo1
EMPRESA1(config)# CTRL+Z
No es necesario volver a definir el sentido de la traducción (inside / outside), ya que si recuerda eso ya se había configurado
en la traducción estática y no debe cambiar (f0/0 inside ; s0/0 outside).
g. Haga una prueba Ping desde PC12 hacia 10.0.0.2. En este caso la traducción se llevará a cabo correctamente y se
obtendrá una respuesta exitosa. Revise de nuevo el estado de las traducciones usando el comando show ip nat
translation

h. Veamos que sucede cuando las traducciones requeridas exceden el número de direcciones públicas que comprenden el
pool. Hacer lo siguiente:
- Agregar una nueva PC y asignarle la ip 192.168.1.4 ; haga ping a: 10.0.0.2 ; revise las traducciones
Notará que se crea una nueva traducción por cada IP privada que necesita acceso a redes externas
- Agregar una nueva PC y asignarle la ip 192.168.1.5 ; haga ping a: 10.0.0.2 ; revise las traducciones
- Agregar una nueva PC y asignarle la ip 192.168.1.6 ; haga ping a: 10.0.0.2 ;

En este último caso podrá notar que la prueba Ping no tiene éxito. Esto se debe a que el pool de direcciones públicas (de
199.6.13.10 hasta 199.6.13.13) se ha agotado.
i. Limpie las traducciones con el comando siguiente:
5
Ing. Victor Manuel Huertas Honores
 EMPRESA1# clear ip nat translation *
j. Ahora nuevamente realice la prueba ping desde la pc que dio resultado no exitoso en el paso anterior. Ahora si se tendrá
éxito. Revise el estado de las traducciones, para confirmar que las anteriores fueron eliminadas y ahora solo queda la que
se necesito para la dirección 192.168.1.6
k. Reiniciar el enrutador EMPRESA1 (asegúrese que la única configuración guardada sea la realizada hasta el literal (a) del
paso 2 de esta sección). La configuración básica servirá para la sección de DHCP, y no debe haber ninguna configuración
de NAT para ese momento.

a. Imaginemos una situación similar a la que presenta el enrutador EMPRESA1. Se tiene un rango de direcciones públicas
limitado: 201.100.11.16 / 29

b. En este caso las condiciones se vuelven críticas, ya que las direcciones públicas existentes, también serán distribuidas
entre ciertos servidores y estaciones de trabajo de la LAN soportada por EMPRESA2, de la siguiente manera:
• Dirección: 201.100.11.17 ; asignada a: Interface loopback 0 de enrutador EMPRESA2
• Dirección: 201.100.11.18 ; asignada a servidor web de EMPRESA2
• Dirección: 201.100.11.19 ; asignada a servidor ftp de EMPRESA2
• Dirección: 201.100.11.20 ; asignada a servidor de correo electrónico de EMPRESA2
Las suposiciones anteriores reducen nuestro pool a dos direcciones. Veamos como es posible solventar este problema
usando PAT.

c. Configuración previa a PAT en enrutador EMPRESA2:

EMPRESA2# configure terminal
EMPRESA2(config)# interface loopback 0
EMPRESA2(config-if)# ip address 201.100.11.17 255.255.255.248
EMPRESA2(config-if)# exit
EMPRESA2(config)# router rip
EMPRESA2(config-router)# network 201.100.11.0
EMPRESA2(config-router)# exit
EMPRESA2(config)# CTRL+Z

d. Configuración de PAT (NAT Overloaded)

EMPRESA2# configure terminal
EMPRESA2(config)# ip nat pool grupo2 201.100.11.21 201.100.11.22 netmask 255.255.255.248
EMPRESA2(config)# access-list 2 permit 192.168.2.0 0.0.0.255
EMPRESA2(config)# ip nat inside source list 2 pool grupo2 overloaded
EMPRESA2(config)# interface f0/0
EMPRESA2(config-if)# ip nat inside
EMPRESA2(config-if)# exit
EMPRESA2(config)# interface s0/0
EMPRESA2(config-if)# ip nat outside
EMPRESA2(config)# CTRL+Z

e. Pruebas de conectividad. Pruebe con Ping, y después de cada prueba revise el estado de las traducciones en EMPRESA2.
• Ping desde: PC21; hacia: 10.0.0.2 ; resultado: prueba exitosa
• Agregar una nueva pc y asignarle la ip: 192.168.2.3 ; haga Ping hacia: 10.0.0.2 ; resultado: prueba exitosa
• Agregar una nueva pc y asignarle la ip: 192.168.2.4 ; haga Ping hacia: 10.0.0.2 ; resultado: prueba exitosa

Notara que al usar la sobrecarga en la traducción de direcciones de forma dinámica, ya no hay mayores problemas
si nuestro pool de direcciones públicas es mas pequeño que el número real de direcciones privadas a traducir.

6
Ing. Victor Manuel Huertas Honores
8. Reiniciar el enrutador EMPRESA2. Solamente debe quedar guardada al configuración inicial básica, ya que a continuación
se desarrollará la sección de DHCP (no debe haber ninguna configuración de NAT o PAT para poder comenzar dicha sección).

!"# !$ % %&

9. Configuración previa a DHCP

a. Cambie la configuración TCP/IP de las PC de la LAN de Empresa1 de modo que obtenga los valores de
configuración de forma automática
b. También cambie la configuración de las PC de la LAN de Empresa2, para que obtenga dirección y otros parámetros
automáticamente.
c. Incluya las redes LAN de los enrutadores EMPRESA1 y EMPRESA2 a los respectivos procesos de enrutamiento (en
este caso no serán tratadas como privadas)
EMPRESA1# configure terminal
EMPRESA1(config)# router rip
EMPRESA1(config-router)# network 192.168.1.0
EMPRESA1(config-router)# exit
EMPRESA1(config)# CTRL+Z

EMPRESA2# configure terminal

EMPRESA2(config)# router rip
EMPRESA2(config-router)# network 192.168.2.0
EMPRESA2(config-router)# exit
EMPRESA2(config)# CTRL+Z

10. Configuración de un scope para la LAN de EMPRESA1

a. En el enrutador Empresa1 crearemos una rango de direcciones que se asignarán a las maquinas solicitantes en la LAN
192.168.1.0 / 24
Empresa1# configure terminal
Empresa1(config)# ip dhcp pool empresa1
Empresa1(dhcp-config)# network 192.168.1.0 255.255.255.0
Empresa1(dhcp-config)# exit
Empresa1(config)# CTRL+Z

b. En la PC11,use el comando ipconfig. Note que al conseguir la información solamente los parámetros básicos (dirección y
máscara de subred) son ofrecidos por el servidor DHCP. En el enrutador Empresa1 puede verificar los leases activos con
el comando:
ISP# show ip dhcp binding
d. Si se desea se puede excluir un espacio de direcciones dentro de un pool (por ejemplo para usar las primeras 20
direcciones de forma manual). Esto puede hacerlo así:
Empresa1# configure terminal
Empresa1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.20
Empresa1(config)# CTRL+Z

Ahora forzar a las PC de la LAN que tomen nuevamente una dirección para ver el efecto de esta exclusión de direcciones.

7
Ing. Victor Manuel Huertas Honores
11. Configurar un scope para la LAN de EMPRESA2 utilizando mas opciones de información
a. Configuración en enrutador Empresa2:
Empresa2# configure terminal
Empresa2(config)# ip dhcp pool empresa2
Empresa2(dhcp-config)# network 192.168.2.0 255.255.255.0
Empresa2(dhcp-config)# default-router 192.168.2.1
Empresa2(dhcp-config)# dns-server 192.168.2.250
Empresa2(dhcp-config)# exit
Empresa2(config)# CTRL+Z
b. Y en este caso excluiremos dos rangos de direcciones dentro del pool
Empresa2# configure terminal
Empresa2(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.20
Empresa2(config)# ip dhcp excluded-address 192.168.2.240 192.168.2.254
Empresa2(config)# CTRL+Z

c. Verificar los parámetro obtenidos en las PC de la LAN de Empresa2. Con el comando ipconfig /all, muestra todos los
parámetros obtenidos del dhcp.

Guarde los cambios en la simulación y muestre la simulación a su instructor.

Apague la computadora.

8
Ing. Victor Manuel Huertas Honores