NAT - PAT - NVI
NAT - NETWORK ADDRESS TRANSLATION
Esta opción nos brinda la posibilidad de mapear una dirección ip o un rango por otra. Convertimos al router en un conversor/traductor en tiempo real; por una interface entra con un origen y cuando sale del router le hemos asignado otro . Es muy común para la salida a Internet, para que las direcciones ip privadas de la LAN salgan al exterior con el origen de la dirección ip de la tarjeta WAN.
Tipos de direcciones NAT
DIRECCIÓN IP NAT
|
TIPO
|
REFERENCIA
|
Inside Local
|
Privada
|
Inside
|
Inside Global
|
Pública
|
Inside
|
Outside Local
|
Privada
|
Outside
|
Outside Global
|
Pública
|
Outside
|
Dinámico vs Estático
En el dinámico , la dirección inside local se mapea automáticamente a una dirección inside global de un Pool de direcciones (una lista que creamos)
En el estático. la dirección inside global se mapea a una dirección inside local configurada manualmente.
Para configurar NAT estático:
(config)#ip nat inside source static X.X.X.X X.X.X.X
inside loc outside loc
En ambas opciones tendremos que decirle al router que interface hace el NAT en la parte de dentro (inside) y cuál el de fuera (outside).
Para configurar NAT dinámico:
(config)#ip nat pool NAME ip-inicio ip-final netmask X.X.X.X
(config)#ip nat inside source list X pool NAME
(config)#access-list X permit X.X.X.X X.X.X.X
(config-if)# ip nat inside
(config-if)# ip nat outside
PAT - PORT ADDRESS TRANSLATION
Con NAT mapeamos direcciones una a una, es decir, si tenemos una única dirección ip pública, como por ejemplo, con la ADSL de casa, si tenemos más de un PC que quiera salir a Internet, uno de ellos no podría hacerlo si el otro PC ya está navegando y, por lo tanto, ya se ha mapeado la dirección del PC (Inside Local) a la dirección Pública.
Para resolver ese problema nació PAT. Este nos permite mapear una única dirección pública a muchas inside local. Lo que hace es asignar un puerto a cada conexión y crea una lista de puertos internos, externos y las direccione ip.
Para habilitar PAT le decimos por donde sale y le añadimos "overload":
(config)#ip nat inside source list X interface X overload
NVI - NAT VIRTUAL INTERFACE
Con NVI nos ahorramos decirle al router cual es el NAT inside y outside.
Para configurarlo basta con activar nat en las interfaces de entrada y salida:
(config-if)#ip nat enable
DHCP - DYNAMIC HOST CONFIGURATION PROTOCOL
DHCP es un servicio para proveer a los equipos la configuración ip. No solo se le puede asignar la dirección ip, también se puede asignar máscara, puerta de enlace, dns, dominio, lease (el tiempo que le dura al dispositivo la asignación de la configuración), etc.
Utiliza los puertos UDP 67 para el servidor y el 68 a los clientes.
Cuando un dispositivo no tiene configuración ip, se inicia el "dhcp discovery", que es envío un broadcast. Son 4 pasos:
- DHCP Discovery: el cliente solicita una configuración
- DHCP Offer: respuesta del servidor (solo le hace saber que él es el servidor)
- DHCP Request: el cliente solicita la dirección específica. Dentro del paquete se incluye:
- DHCP Acknowledge: se le envía la configuración y el tiempo que dura la concesión.
 |
| Proceso más detallado |
Para configurar un router que tenga el rol de servidor DHCP, es decir, para que él dé las configuraciones:
Lo primero de todo es excluir las direcciones.
(config)#ip
dhcp exclude-address X.X.X.X
(config)#ip
dhcp pool NAME
(dhcp-config)#network
X.X.X.X
(dhcp-config)#domain-name
xxxxx.com
(dhcp-config)#dns-server
X.X.X.X
(dhcp-config)#netbios-name-server
X.X.X.X
(dhcp-config)#default-router
X.X.X.X
Para ver las asignaciones y guardar una copia de la tabla de DHCP:
#sh ip dhcp binding
(config)#ip dhcp database NAME (tftp://x.x.x.x/dhcp-binding.txt)
Sin embargo, para hacer que una interface del router reciba la configuración de otro servidor DHCP, tenemos que configurar en la interface.
(config-if)#ip address dhcp
Respecto a DHCP hay otra configuración relevante, el DHCP Relay Agent. Imaginemos que en la parte LAN de nuestro router, donde hay PC's que piden la configuración ip a un DHCP, pero nuestro router no es el servidor DHCP que las reparte:
Como el proceso DHCP (discovery - offer - request - acknowledge) es un proceso de capa 2 que usa UDP en el modo de transporte, si el servidor DHCP está detrás de un router, este cortará la petición, ya que el discovery es un tráfico de tipo broadcast. Con el comando "ip helper-address X.X.X.X" lo que hace el router es convertir ese tráfico broadcast en unicast hacia la dirección del servidor DHCP y le añade la ip de la interface vlan por donde ha recibido el discovery como dirección ip source en UDP.
Para configurarlo solo tenemos que ir a la interface que recibe el discovery (en nuestro ejemplo sería la interface e0/0 de R1) y escribir:
(config-if)#ip helper-address 192.168.0.2
Con esta configuración no solo mandaremos tráfico unicast de DHCP al servidor, también le mandaremos otro tipo de tráfico UDP. Para filtrar solo las peticiones de clientes del protocolo DHCP:
(config)#ip forward-protocol udp 67 - Podemos habilitar otro tipo de tráfico, no solo DHCP
Ejemplos de puertos
37:
Time
49:
Tacacs
53:
DNS
67: DHCP
Server
68:
DHCP Client
69:
TFTP
137:
Netbios Name Server
138: Netbios Datagram
138: Netbios Datagram
En IPV6 ha cambiado un poco el escenario. Ahora las peticiones no son con broadcast, ahora el NDP (neighbor discovery protocol) usa multicast. Este lo manda a la dirección: FF00::/8. Usa mensajes Icmpv6 y se componen de RS (Router Solicitor) y RA (Router Adverstisement)
Tenemos 4 modos de DHCP para IPV6. Stateful DHCP es el homólogo de la versión IPV4
El modo Statelss DHCP solo sirve para proveer a los dispositivos de las direcciones DNS. No asigna ip ni recuerda/almacena las direcciones de los clientes.
En el modo Stateless Autoconfig el equipo aprende la ip, las másacra y la puerta de enlace. Aprende los DNS.
En el Static Config, nosotros configuramos toda la info (en realidad esto no es nada de DHCP)
En el Static Config EUI-64, el servidor DHCP le da toda la configuración excepto la parte de HOST, que sale de dividir la mac address de la tarjeta y añadirle FFFE, ya que la mac address son 48 bits y al añadirle esto se suman 16 más para llegar a los 64 bits de los que se compone la parte de host de una dirección IPV6.
HSRP - HOT STANDY ROUTER PROTOCOL
Es un protocolo propiedad de Cisco. El homólogo estándar es el VRRP. Con este protocolo conseguimos tolerancia a fallos. Lo que hacemos es publicar desde 2 routers una puerta de enlace virtual, de manera que nosotros elegimos cuál de los dos routers responderá a las peticiones de la puerta de enlace y, si este router se queda sin salida al exterior o la interface se cae, el protocolo hablará y pasará al segundo router las disponibilidad de la puerta de enlace. En ese momento el router 2 es el que responde a las peticiones de puerta de enlace.
Configuraremos un ejemplo en el escenario del laboratorio donde queda más claro
IP SLA
Con IP SLA podemos recolectar datos sobre la red para analizarlos, para monitorizar enlaces, para crear informes, para asegurarnos que un enlace está siempre levantado, etc. Podemos usar icmp, rtp, tcp (established connections), UDP (echo, jitter), DNS, DHCP, FTP, HTTP.
Configuraremos un par de ejemplos en el escenario del laboratorio donde queda más claro.
POLICING
El policing es simplemente seleccionar paquetes después de ser desencapsulados en la interface que los recibe y elegir cómo reenviarlos basándose en unos criterios a través de un route-map.
El policing es una de las herramientas más flexibles, puesto que podemos filtrar prácticamente todo.
Configuraremos un ejemplo en el escenario del laboratorio donde queda más claro
REDISTRIBUTION
Esto consiste en pasar las rutas de un protocolo a otro. Tiene su complejidad, pero nada que sea imposible. Simplemente vamos a la configuración de nuestro protocolo de enrutamiento y le decimos que rutas de otro protocolo queremos que sean añadidas a ese y viceversa.
Hay que tener cuidado porque podemos crear bucles (loops)
Cuando redistribuimos un protocolo, perdemos la métrica. Así que, siempre que distribuyamos tendremos que configurar con qué métrica queremos que sea distribuido. Si no especificamos la métrica cuando redistribuimos, OSPF le da una métrica por defecto de 20; RIP y EIGRP, dan una infinita, lo que conlleva que el equipo que recibe esta ruta no la incluye en la tabla de rutas porque piensa que estará caído.
Dentro de la redistribución podemos filtrar rutas o tipo de tráfico (distribute list) y también podemos añadir etiquetas a las rutas entre otras cosas (route tagging).
Configuraremos un ejemplo en el escenario del laboratorio LABORATORIO OPERACIONES IP
No hay comentarios:
Publicar un comentario