Story Transcript
Guías de configuración de sistemas compatibles: Guía de configuración de la traducción de dirección de red Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones RENUNCIAS IMPORTANTES EXPLICACIÓN DE LA FUNCIONALIDAD NAT Razones para la Traducción de Direcciones de Red REDES DE EJEMPLO DE NAT Ejemplo 1: Red "privada" de Traducción de Direcciones de red Ejemplo 2: Red y"privadas" de Traducción de Direcciones de Red y red de Usuario con Direcciones IP "globales" Ejemplo 3: Red "privada" de Traducción de Direcciones de Red en una Subinterfaz en el Puerto Externo NAT NOTA IMPORTANTE PARA USAR NAT EN PUERTOS CON SUBINTERFACES EN EL MISMO PUERTO FÍSICO COMENTARIOS EXPLICATIVOS FINALES COMANDOS DE LA CONSOLA PARA EL SOFTWARE NAT show nat show nat config show nat map show nat sessions show nat statistics show_nat_address_db SECCIÓN DE CONFIGURACIÓN Comandos de configuración y ejemplos de palabras clave de [NAT Global] Comandos de edición y ejemplos de palabras clave de NAT Mapping] [IP ] CONFIGURACIÓN DEL PUERTO PARA NAT PARA EL EJEMPLO 1 [IP ] CONFIGURACIÓN DEL PUERTO PARA NAT PARA EL EJEMPLO 3 NOTAS FINALES Verificación Troubleshooting Información Relacionada
Introducción Este documento proporciona un ejemplo de configuración para…
prerrequisitos Requisitos No hay requisitos específicos para este documento.
Componentes Utilizados Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Convenciones Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
RENUNCIAS IMPORTANTES 1. No todos los dispositivos de Compatible Systems tienen la capacidad Network Address Translation. Debido a limitaciones de memoria y al tamaño del código del software, los routers siguientes no tienen software NAT: MicroRouter 900i MicroRouter 1000R RISC Router 3000E RISC Router 3400R RISC Router 3800R 2. La funcionalidad NAT está disponible en las interfaces IP de los dispositivos de Compatible Systems con una excepción importante. Una interfaz WAN se puede utilizar como puerto externo NAT solamente si su dirección IP se asigna en la configuración de dispositivo. NAT no puede funcionar en una interfaz WAN cuya dirección IP se asignada por una negociación PPP, de marcado manual. 3. La implementación NAT de Compatible Systems soporta Real Audio y el CUSeeMe. 4. El software NAT de los dispositivos Compatible Systems no soporta todavía diversas aplicaciones IP. Algunas de las aplicaciones IP más populares que todavía no se soportan son: IRC (Internet Relay Chat) X Windows IPSec
EXPLICACIÓN DE LA FUNCIONALIDAD NAT Razones para la Traducción de Direcciones de Red Disponibilidad de Direcciones IP Internet continúa creciendo a una velocidad casi exponencial, con un número finito de direcciones IP (Internet Protocol) disponibles. Se han propuesto varias soluciones a esta escasez futura de direcciones IP y se están desarrollando actualmente. Una de las soluciones que se está utilizando es NAT (Network Address Translation). NAT puede paliar la escasez de direcciones IP creando redes "locales" o "privadas" (también conocidas como redes NAT en este documento) que se conectan a Internet/la red externa "oficial" utilizando solamente una única dirección IP "global". Esta dirección IP "global" habría sido asignada originalmente por InterNIC (Internet Network Information Center), probablemente a través de un proveedor de servicios de Internet (ISP) o de un administrador de sistema. Por ejemplo, un grupo privado puede crear una red local de diez estaciones de trabajo con un sistema de direccionamiento IP que sea totalmente independiente de Internet, y conectar su red a Internet con una dirección IP de Internet "global". En este caso, el grupo necesitaría solamente una única dirección IP suministrada por un ISP o por el administrador del sistema de la compañía, en lugar de una dirección IP para cada estación de trabajo -- un ahorro de nueve valiosas direcciones IP. Seguridad de la Red Local Otra función útil de NAT es su capacidad para funcionar como "firewall". Las estaciones de trabajo de la red NAT pueden establecer conexiones libremente con la red externa/Internet. El caso opuesto es posible, pero es controlado por NAT. NAT puede permitir que se establezcan solo unas pocas conexiones, o incluso ninguna, desde la red externa a la red NAT, según decida el usuario. Funcionalidad de NAT Por supuesto, NAT requiere que algún procesador traduzca las direcciones IP de la red "privada" a direcciones IP de Internet "globales", y viceversa. Aquí es donde intervienen los routers que utilizan NAT. Este documento explica cómo se desarrolló NAT para dispositivos Compatible Systems en tres redes de ejemplo, y detalla cómo se configuran los routers utilizando la interfaz de línea de comandos para hacer correctamente la traducción de direcciones de red. Nota: Nota: La interfaz de línea de comandos es actualmente la única manera de configurar la funcionalidad NAT. La funcionalidad NAT de CompatiView está en el desarrollo, pero todavía no está disponible. Un router Compatible Systems con la funcionalidad NAT habilitada hará una de estas dos cosas con los paquetes IP enviados a través de una interfaz NAT: Traducir una dirección IP y modificar un paquete IP si su dirección coincide con uno de los rangos de direcciones IP definidos para el router. Permitir que el router acepte y procese el paquete del IP si ese paquete se dirige al propio router (p.e., los paquetes de broadcast, una sesión Telnet al router, o ping al router). Permitir que el paquete IP sea ruteado sin modificarlo, si la dirección IP del paquete está dentro del rango PassThru de NAT definido para el router. Descartar el paquete si no se cumple ninguna de las condiciones 1, 2 o 3. Las condiciones 1 y 2 se presentan en el Ejemplo 1 siguiente. La condición 3 se presenta en el Ejemplo 2.
Se puede pensar en la condición 2 como en un subconjunto predeterminado de la condición 3, donde el destino es el propio router en lugar de alguna red LAN local configurada con una dirección IP global y conectada al router en una interfaz IP diferente de la que conecta el router con Internet.
REDES DE EJEMPLO DE NAT Ejemplo 1 (figura 1): El más simple de los dos ejemplos de NAT. La interfaz IP Ethernet IP 0 del router NAT conecta con Internet. Tal interfaz IP se denomina el Puerto NAT Externo en este documento. Todo lo que está detrás del router NAT, conectado con el hub Ethernet interno y el router NAT, a través de la interfaz IP Ethernet 1, es parte de la red NAT. Las interfaces IP tales como Ethernet 1 se denominan el Puerto NAT Interno en este documento. Ejemplo 2 (figura 2): WAN 0 (el puerto NAT externo) es la interfaz IP NAT que conecta con Internet; Ethernet1 (el puerto NAT interno) conecta con la red NAT, pero Ethernet 0 conecta con un hub Ethernet que tiene direcciones IP "globales". Ethernet 0, y su hub conectado, son en efecto parte de Internet. El software NAT de Compatible Systems permitirá que el puerto NAT externo WAN 0 pase paquetes IP tanto a la red NAT (privada) del usuario como a la red LAN que tiene direcciones IP "globales". El usuario puede limitar el acceso a la red NAT, o protegerla, sin que afecte al rendimiento de la parte de la red con direcciones IP "globales". Ejemplo 3: Muy similar al Ejemplo 2, salvo que el puerto NAT externo, el puerto NAT interno y el puerto para el rango PassThru de NAT están ubicados en el mismo puerto físico, utilizando subinterfaces en este puerto físico.
Ejemplo 1: Red "privada" de Traducción de Direcciones de red La red del Ejemplo 1, que fue utilizada en el desarrollo del software NAT en Compatible Systems, está utilizando un MicroRouter 2220R como router NAT. El router NAT tiene el puerto IP Ethernet 0 conectados con la red externa y el puerto IP Ethernet 1 conectado a la red NAT. Dos estaciones de trabajo Macintosh, un equipo PC con Windows NT y otro MicroRouter 2220R están conectados al hub Ethernet interno de la red NAT. Otras estaciones de trabajo y otros routers están conectados al hub Ethernet pero, para mayor claridad, aquí solo se muestran las conexiones al router NAT y al router conectado con Internet. Figura 1
Nota: (*) Todas las máquinas de la red NAT deben dirigir sus paquetes IP a la interfaz interna del Router "NAT" MR 2220 (Ethernet 1). En la figura 1 se muestran varios puntos importantes sobre la implementación NAT de Compatible Systems, y merecen una mención especial: 1. La funcionalidad de NAT se debe habilitar en el router destinado a realizar la traducción de direcciones de red. Esto se hace estableciendo la variable Enabled (Enabled = On) en la sección [NAT Global]. Esto se describirá con más detalle más adelante en la SECCIÓN CONFIGURACIÓN DE NAT. En el Ejemplo 1, el router NAT es el router entre la red NAT e Internet. 2. La interfaz IP que comunica con Internet también se debe habilitar para NAT. Esto se hace estableciendo la variable NatMap (NatMap = On) en esta interfaz en la sección [IP ]. Esto se describirá también con más detalle más adelante en la SECCIÓN CONFIGURACIÓN DE NAT. En el Ejemplo 1 ésta es la interfaz IP Ethernet 0. 3. La interfaz IP que se comunica con la red externa o con Internet debe ser la única interfaz que tenga NatMap = On. Es importante que una, y solamente una, interfaz IP de un router NAT tenga su variable NatMap establecida en On. El punto C es probablemente el más importante, y menos obvio, requisitos para la configuración. En el Ejemplo 1, parece que tanto Ethernet 0 como Ethernet 1 participan en la traducción de direcciones de red. El usuario podría asumir que NatMap se podría establecer en On en ambos
puertos IP. ¡NO ES ASÍ! Solamente Ethernet 0 debe tener NatMap = On. El software NAT de Compatible Systems no funcionará entre dos puertos IP que tengan ambos NatMap = On. Una vez más, en los routers de Compatible Systems con la variable de [NAT Global] Enabled=On, la única interfaz IP que tiene NatMap = On se llama Puerto NAT Externo. La interfaz IP conectada con las direcciones IP "privadas" se llama Puerto NAT Interno. En el Ejemplo 1, Ethernet 0 es el puerto NAT externo y Ethernet 1 es el puerto NAT interno. NAT traduce solamente la dirección de las estaciones de trabajo/routers de la red NAT. No necesita ajustar la dirección de la ubicación en la red externa. El router NAT MicroRouter 2220R solo hace que las estaciones de trabajo/los routers de la red NAT parezcan estar en las direcciones IP de Internet 198.41.9.194 o 198.41.9.219 y accesibles a través de la interfaz IP de Ethernet 0 en este router. La subinterfaz hace la asignación de direcciones de Internet basada en la lógica del software. Estas traducciones se hacen utilizando sesiones de traducción (también llamadas sesiones NAT) en el software NAT. Se crea una sesión de NAT por cada sesión de comunicación IP que se establece a través del router NAT. Puesto que NAT se puede ver y a menudo se utiliza como un tipo de firewall, el Punto B tiene sentido. El párrafo anterior también ayuda a explica la razón del Punto B. NAT debe modificar los paquetes con destino y origen en la red externa/Internet. La interfaz IP del router NAT que comunica más directamente con Internet debe ser la que haga la traducción de direcciones de red (NatMap = On). A excepción de una condición especial, que se explicará pronto, las sesiones IP solamente se pueden establecer entre Internet y la red NAT a través del router NAT mediante ubicaciones de la red NAT (solamente del interior al exterior). Nota: La funcionalidad NAT está disponible en las interfaces IP de los routers de Compatible Systems con una excepción importante. Una interfaz WAN se puede utilizar como puerto externo NAT solamente si su dirección IP se asigna en la configuración del router. NAT no puede funcionar en interfaces WAN cuya dirección IP sea asignada por una negociación PPP, de marcado manual. UN EJEMPLO DE SESIÓN NAT (CONDICIÓN UNO) El Mac en la dirección interna 10.5.3.10 va a hacer ping a la ubicación de Internet 128.138.240.11. El Mac envía sus paquetes IP (solicitudes de eco ICMP) a la dirección IP de su gateway, 10.5.3.1. Ésta es la dirección del puerto NAT interno del el router NAT (Ethernet 1) que está conectado con la red NAT. En este momento, el router NAT empieza a crear una sesión NAT para esta sesión IP. Esta sesión NAT contiene información sobre: la dirección IP de origen {10.5.3.10} de la ubicación de red NAT (NAT interna) la dirección IP de destino (remota) {128.138.240.11} de la ubicación de Internet la dirección externa IP de origen traducida por NAT (NAT externa) que utilizará para traducir el paquete {198.41.9.219} y el protocolo de aplicación que transmiten los paquetes IP (ICMP). En los paquetes salientes, todas las entradas de dirección IP de origen NAT internas {10.5.3.10} de paquete se cambian por la dirección IP NAT externa {198.41.9.219}. En los paquetes entrantes, en la respuesta, todas las direcciones IP de destino NAT externas {198.41.9.219} se cambian por direcciones IP NAT internas {10.5.3.10}. La sesión NAT, que fue creada por el paquete IP saliente de la red NAT, es la que permite que ocurra esta traducción Las sesiones NAT se pueden mostrar en la interfaz de línea de comandos con el comando show nat sessions. Nat_2220> show nat sessions Active Map Remote Proto Hashes ------------------------------------------ -------------------- ------ --------10.5.3.10:0 ->198.41.9.219:0 128.138.240.11:0 ICMP 221/909
Una sesión NAT almacena las tres direcciones IP como dos pares de direcciones IP (o "hashes"): el hash de la dirección IP "Remota" y la dirección "NAT externa" (el "hash asignado") y el hash de la dirección IP "Remota" y la dirección "NAT interna" y el protocolo de aplicación de la sesión IP que estableció la sesión NAT (en este caso, ICMP) (vea la tabla 1). Tabla 1 (The External or MAPPED "Hash") 128.138.240.11:0 198.41.9.219:0 | | {Protocol = ICMP}-->+ | | 198.138.240.11:0 10.5.3.10:0 (The Internal "Hash")
The "NAT SESSION"
Los detalles de la funcionalidad de NAT para el router NAT MicroRouter 2220R de la figura 1 y la tabla 1 se muestran en la tabla 2. Tabla 2
External Network IP Addreses ===============
'Global' IP Addreses
NAT Router IP Addreses ====================================== External Gateway Internal Range(s) Address Range ---------------------------198.41.9.194 10.5.3.1 10.5.3.0 & 198.41.9.219
NAT Network IP Addreses ===============
10.5.3.2 to 10.5.3.30
Una vez más, observe que la dirección IP de Internet remota, ya sea una dirección de origen o de destino, nunca se modifica. Los procesos del exterior nunca "conocen" realmente la dirección de los procesos que se comunican con ellos a través del router NAT. El término Rango Externo que se muestra en la Tabla 2 puede ser confuso. No es la dirección o las direcciones con las que se están comunicando los procesos dentro de la red NAT, como el nombre podría hacer pensar. El Rango Externo es la dirección IP que utiliza el algoritmo NAT para permitir que los procesos exteriores se comuniquen con las direcciones IP de la red NAT a través del puerto NAT externo. Los procesos internos solamente rutean sus paquetes IP a través de la dirección del gateway del router NAT en el puerto NAT interno del gateway. Dirigen sus paquetes a las direcciones IP externas, no a la dirección del gateway. Esto es importante porque otras descripciones de NAT en Internet no dijeron explícitamente esto y causaron confusión inicialmente. CONDICIÓN UNO: UNA SESIÓN DE NAT INICIADA DESDE EL EXTERIOR Hagamos un cambio en la red del Ejemplo 1 : la estación de trabajo NT es ahora un servidor Web. ¿Es esto posible con NAT de Compatible Systems? ¿Si es posible, es realmente útil? Por razones de seguridad (y sentido práctico), las sesiones NAT son generadas por paquetes IP que viajan de la red NAT a Internet. ¿Cómo podría un usuario externo alcanzar nunca el servidor Web NT de la red NAT si el servidor no entró primero en contacto con el usuario en Internet (una situación muy poco probable)? Aquí es donde es útil otra parte del software NAT de Compatible Systems. Se llama Base de Datos de Mapa NAT. Esta base de datos contiene pares de direcciones IP (o de combinaciones de dirección IP: puerto TCP/UDP) que permiten que los sitios de Internet tengan acceso a través del router NAT a la red NAT. Los sitios de Internet pueden inicializar sesiones NAT con sitios de la red NAT. La base de datos de mapa de NAT se puede visualizar en la interfaz de línea de comandos con el comando show nat map. Nat_2220> show nat map [ Nat Map Database ] Total Number of Entries in NAT Map Database: 1 -------------------------------------------------------Internal External LineNo. -> 1 ->
El usuario de Internet podría ahora acceder a la dirección IP 198.41.9.194 y el router NAT permitiría el acceso a la estación NT de la red NAT en la dirección 10.5.3.11. Pueden verse como "pares de traducción uno a uno". Por supuesto, el usuario podría acceder a todo lo demás en el servidor Web con esta configuración. Una entrada más segura de la base de datos de mapa de NAT permitiría solamente el acceso del usuario externo a la estación NT como servidor Web. Esto podía hacerse modificando la entrada de la base de datos de mapa de NAT de la manera siguiente: 10.5.3.11:80 -> 198.41.9.195:80
La entrada de la base de datos de mapa de NAT siempre se ingresa con la dirección IP interna primero, seguida por un espacio, seguido por "- >" (en su lugar podría utilizarse un solo signo igual "="), seguido por un espacio, seguido por la dirección IP a la que tendrán acceso todos los usuarios externos/de Internet. Vea la sección EDIT CONFIG NAT MAPPING para ver más detalles. UN EJEMPLO DE SESIÓN NAT QUE UTILIZA UNA ENTRADA DE LA BASE DE DATOS DE MAPA NAT (CONDICIÓN 1.A) Un sitio en Internet en 128.138.240.11 intenta establecer una sesión IP con el servidor Web en 10.5.3.11 en la red NAT. El sitio en 128.138.240.11 no tiene ninguna información de que el servidor Web NAT está en 10.5.3.11; en lugar de la entrada de base de datos de mapa de NAT de: 10.5.3.11:80 -> 198.41.9.195:80
permite que el router NAT haga que el servidor Web NAT parezca estar en 198.41.9.194. Esta entrada de la base de datos de mapa de NAT permite que el software NAT cree una sesión NAT cuando el sitio en 128.138.240.11 inicia una sesión IP en la combinación de dirección IP del rango externo NAT: puerto de 198.41.9.195:80. Recuerde que el software de NAT no puede establecer una sesión de NAT iniciada por un origen de red externa/Internet a menos que se defina un par "uno a uno" de ese tipo en la base de datos de mapa de NAT. El software NAT ahora traducirá los paquetes de Internet con la combinación de dirección IP de destino: puerto TCP 198.41.9.195:80 al destino
10.5.3.11:80. El software NAT traducirá los paquetes del servidor Web NAT con origen en 10.5.3.11:80 a un origen 198.41.9.195:80 antes de rutearlos fuera del puerto NAT externo. PING AL ROUTER NAT (CONDICIÓN 2) Ésta es una situación relativamente simple. Un origen de Internet envía un paquete de solicitud de eco ICMP a la dirección IP 198.41.9.195 (la dirección IP de Ethernet 0 en el router NAT). El router NAT no hace una traducción de dirección de red en el paquete. La dirección de destino no está en el rango externo NAT de 198.41.9.194, 198.41.9.195 o 198.41.9.219. El router NAT lo acepta para procesar. El router NAT genera un paquete de solicitud de respuesta de eco ICMP y lo transmite a través de Ethernet 0 a la dirección IP de origen del paquete de solicitud de eco ICMP.
Ejemplo 2: Red y"privadas" de Traducción de Direcciones de Red y red de Usuario con Direcciones IP "globales" Este ejemplo demuestra las funciones del rango PassThru del software NAT de Compatible Systems. El Ejemplo 2 utiliza un router MicroRouter 2220R de Compatible Systems para conectar con Internet a través de WAN 0 (el puerto NAT externo), con la red NAT, con direcciones IP "privadas", a través de Ethernet 1 (el puerto NAT interno), y con parte de la red del usuario, que tiene direcciones IP "globales", a través de Ethernet 0. La parte de la red del usuario conectada con el router NAT Ethernet 0 es realmente parte de Internet. La interfaz NAT externa de WAN 0 conecta con la WAN 0 de otro router y con Internet. Este segundo router, aunque se muestra en la figura 2, no es importante para este ejemplo, a excepción del hecho de que rutea paquetes con direcciones en el rango PassThru NAT al puerto NAT externo WAN 0 del router NAT. Figura 2
(*) NOTAS: direcciones IP privadas para la conexión Frame Relay a través de la "nube WAN". (**) NOTAS: Todas las máquinas de la red NAT deben dirigir sus paquetes IP a la interfaz interna del "Router NAT" MR 2220 (Ethernet 1). A diferencia del ejemplo 1, solamente parte de la red que hay detrás de este router NAT es realmente una red NAT. Una vez más, la parte de la red IP conectada a Ethernet 0 es accesible como parte de Internet. Los orígenes externos pueden comunicar con casi todas las direcciones IP de Ethernet 0 sin restricciones. WAN 0 es el puerto NAT externo, Ethernet 1 es el puerto NAT interno y Ethernet 0 no está implicado realmente en la traducción de direcciones de red; solamente conecta una parte de la red del usuario utilizando direcciones IP "globales" con Internet. El rango NAT PassThru (198.41.9.195/27 en este caso) permite que el router NAT transmita paquetes IP entre WAN 0 y Ethernet 0 como si el router NAT no estuviera siquiera utilizando NAT. Sin embargo, la funcionalidad NAT no existe para la interfaz IP WAN 0 del router NAT. PAQUETES DE LA RED NAT A TRAVÉS DE ETHERNET 1 (CONDICIÓN 1, OTRA VEZ) Los paquetes de la red NAT, del rango de direcciones IP "privadas" 10.0.0.0/8, son traducidos cuando viajan a través del router NAT y aparecen en la red externa como si se originaran en la dirección IP de origen 198.41.9.214. Los paquetes de la red externa en respuesta, con la dirección IP de destino 198.41.9.214, serán traducidos a la dirección de red 10.0.0.0/8 "privada" adecuada por el router NAT y transmitidos a través de la interfaz IP Ethernet 1 a la red NAT. Como se ha expuesto previamente, solo los sitios de la red NAT pueden crear sesiones NAT para la traducción de direcciones IP, a menos que existan uno o más pares de traducción de uno a uno de la base de datos de mapa de NAT en la configuración de [NAT Global]. Ningunos de estos
pares existe en este ejemplo. Toda la comunicación entre la red NAT y la red externa debe ser iniciada por la red NAT. Este ejemplo demuestra otros dos aspectos importantes de la funcionalidad NAT de Compatible Systems: 1. El rango externo NAT en el router NAT no tiene que estar relacionado directamente con la dirección IP del puerto NAT externo. Sin embargo, el rango externo NAT tiene que ser una dirección IP "global" y debe ser "ruteable". La red debe poder entregar paquetes IP con direcciones del rango externo NAT al puerto NAT externo. 2. La designación de una dirección IP como parte del rango externo NAT tiene una prioridad más alta que la designación de esa misma dirección IP como parte del rango NAT PassThru en la subinterfaz de Compatible Systems. Aunque la dirección IP 198.41.9.214 está incluida como parte del rango NAT PassThru(198.41.9.195/27), su designación como parte del rango externo NAT tiene precedencia. La dirección IP 198.41.9.214 formará parte del rango externo NAT. PING AL MACINTOSH EN 198.41.9.210 (CONDICIÓN 3) Un sitio de Internet envía un paquete de solicitud de eco ICMP al Macintosh en la dirección IP 198.41.9.210. El paquete ICMP llega a la interfaz IP WAN 0 del router NAT, el puerto NAT externo. La dirección de destino IP está dentro del rango NAT PassThru 198.41.9.195/27, y no está dentro del rango externo NAT 198.41.9.214, así que el router NAT no hace ninguna traducción de dirección de red en el paquete. Los paquetes ICMP se transmiten desde la interfaz IP Ethernet 0 al Macintosh. El Macintosh contesta con un paquete de respuesta de eco ICMP que ingresa al router NAT desde Ethernet 0. El router NAT determina que el paquete está destinado al puerto NAT externo con NatMap = On, pero la dirección IP de origen está dentro del rango NAT PassThru, y no en el rango externo NAT. El router no traduce la dirección de origen del paquete y transmite simplemente este paquete de respuesta de eco ICMP a través de WAN 0 y hacia el origen de Internet que envió la solicitud de eco ICMP.
Ejemplo 3: Red "privada" de Traducción de Direcciones de Red en una Subinterfaz en el Puerto Externo NAT Este ejemplo demuestra las funciones del software NAT de Compatible Systems para configurar el puerto NAT externo y el puerto NAT interno en el mismo puerto físico (Ethernet 0 en este ejemplo) utilizando subinterfaces. El Ejemplo 3 utiliza un router MicroRouter 2220R de Compatible Systems para conectar con Internet a través de Ethernet 0 (el puerto NAT externo), con la red NAT (con direcciones IP "privadas") a través de Ethernet 1 (el puerto NAT interno), y con parte de la red del usuario, que tiene direcciones IP "globales", a través de Ethernet 0. La parte de la red del usuario conectada con el router NAT Ethernet 0.2 es realmente parte de Internet. La interfaz NAT externa de Ethernet 0 conecta con Internet vía otro dispositivo (no mostrado) conectado con el mismo hub Ethernet que Ethernet 0. Figura 3
(*) NOTAS: Los puertos de subinterfaz IP Ethernet 0.1 y 0.2 se muestran como conexiones separadas en la FIGURA 3 para mayor claridad, pero se conectan realmente a través de la conexión física de Ethernet 0 y el "Hub Ethernet Externo" con el router MR1250i en la dirección IP 198.41.10.98, el router MR 2250R MR en la dirección IP 198.41.9.196 y el Macintosh en la dirección "privada" NAT 10.5.0.5. (**) NOTAS: Todas las máquinas de la red NAT deben dirigir sus paquetes IP a la interfaz interna NAT del "Router NAT" MR 2220R (Ethernet 0.1). Este ejemplo es muy similar al Ejemplo 2, con un puerto NAT externo, un puerto NAT interno y un puerto NAT PassThru; sin embargo, a diferencia del Ejemplo 2, todos estos puertos existen en un solo puerto físico del router NAT MicroRouter 2220R, mediante el uso de subinterfaces en el puerto físico Ethernet 0. El MicroRouter 2250R y el MicroRouter 1250i no están implicados en las traducciones de direcciones de red NAT de ninguna manera, sino que se incluyeron en la red de prueba para probar que los paquetes IP se podían rutear de Internet a ambos dispositivos. El MicroRouter 2250R está ubicado en el segmento de red que incluye el puerto NAT externo. Al MicroRouter 1250i se accede mediante el rango NAT PassThru del router NAT MicroRouter 2220R.
Como en el Ejemplo 2, el segmento de red asociado a Ethernet 0.2 del router NAT y el MicroRouter 1250i es parte de Internet y tiene direcciones IP "globales". El segmento de red asociado a Ethernet 0.1 del router NAT y el Macintosh en la dirección IP 10.5.0.5 son parte de la red NAT y tienen direcciones IP "privadas" elegidas por el usuario y pueden comunicarse solamente con Internet si el router NAT MicroRouter 2220R traduce direcciones IP intercambiadas entre la red NAT e Internet. El usuario tiene control sobre el acceso entre la red NAT e Internet, mediante la configuración de las variables NAT en el MicroRouter 2220R.
NOTA IMPORTANTE PARA USAR NAT EN PUERTOS CON SUBINTERFACES EN EL MISMO PUERTO FÍSICO El usuario debe utilizar la versión 4.4.02 O POSTERIOR del software del dispositivo de Compatible Systems para habilitar NAT en los routers que tienen el puerto NAT interno y el puerto NAT externo en el mismo puerto físico mediante el uso de una subinterfaz. Lo mismo es cierto si el usuario está configurando una subinterfaz (p.e. WAN 0.1 o Ethernet 0.1) como el puerto NAT externo, incluso si el puerto NAT interno está en un puerto físico diferente del router.
COMENTARIOS EXPLICATIVOS FINALES Si estas explicaciones de ejemplo no han aclarado un poco la funcionalidad de la traducción de direcciones de red, vea uno de los sitios Web enumerados al principio del documento para ver más explicaciones. Si al menos las ideas básicas de la implementación NAT de Compatible Systems le son comprensibles, pase a la siguiente sección, que describe los comandos de la línea de comandos utilizados para configurar las palabras clave del software NAT en los routers Compatible Systems y visualizar el estado actual del software NAT en el router.
COMANDOS DE LA CONSOLA PARA EL SOFTWARE NAT show nat El software de traducción de direcciones de red tiene un comando show muy parecido al de otras funciones de los routers Compatible Systems. El comando show nat producirá la visualización siguiente. Nat_2220> show nat Valid subcommands of nat are: Config NAT Configuration Map NAT Routing Map SEssions Active NAT Sessions STatistics NAT Statistics Address_db NAT IP Address Database
Las cinco opciones diferentes para el comando show nat casi se explican por sí mismas, pero aquí se describen más detalladamente. show nat config visualiza la configuración actual del software NAT en el router show nat map visualiza las pares de traducción de direcciones uno a uno ingresadas actualmente en el router, o visualiza un mensaje que indica que no se ha ingresado ningún par de direcciones de uno a uno en la base de datos de mapa de NAT show nat sessions visualiza las sesiones de traducción disponibles actualmente en el software NAT del router show nat statistics visualiza el número total de sesiones que el router ha creado desde que se inició por última vez, cuántas están actualmente activas y el estado de las sesiones que ya no están activas show nat address db visualiza todas las direcciones IP que están siendo utilizadas por el router para la traducción de direcciones de red En el texto siguiente se muestran y se describen las visualizaciones de línea de comandos para cada uno de estos comandos.
show nat config La visualización siguiente es para el router NAT del ejemplo 2. Nat_2220> show nat config NAT functionality enabled (On/Off): NAT Response to external ICMPs (On/Off): Communicate w/ Router through IP Ports (On/Off): Configured Ports: Ether0 UDP timeout period (sec.): 300 TCP timeout period (sec.): 86400 TCP SYN timeout period (sec.): 180 TCP FIN timeout period (sec.): 180 Entered Internal ranges(s): 10.5.3.0/27 Entered External ranges(s):
Entered Pass Thru ranges(s):
On On On
198.41.9.219 198.41.9.195 198.41.9.194 198.41.9.{205-210}
[ NAT Map Database ] Total Number of Entries in NAT Map Database: 2 --------------------------------------------------------------Internal External LineNo. -> 1 -> 2 ->
Lo siguiente es la descripción línea por línea de esta visualización. NAT functionality enabled (On/Off):
On
Esta variable debe ser On (el valor predeterminado actual es Off) para permitir que el router haga la traducción de direcciones de red en cualquiera de sus puertos IP. Nota: Otra variable NAT del puerto IP debe activarse también girar para que ese puerto realice traducciones de direcciones de red. Esto se describirá más adelante con más detalle. NAT Response to external ICMPs (On/Off):
On
Esta variable debe ser On (el valor predeterminado actual) para permitir que los routers o las estaciones de trabajo dentro de la red NAT, detrás del router NAT, respondan a los ping que vengan desde fuera de la red NAT. El router o la estación de trabajo dentro de la red NAT debe tener su dirección asignada a una dirección en el rango externo de NAT para permitir que el paquete de solicitud de eco ICMP llegue a través del router NAT a la dirección IP "privada" en la red NAT. Communicate w/ Router through IP Ports (On/Off):
On
Esta variable debe ser On (el valor predeterminado actual) para permitir que el router se comunique a través de las direcciones de sus puertos IP. Esto forma parte de la Condición 2 antes descrita e incluye las sesiones Telnet y los pings al router NAT. Configured Ports:
Ether0
Esta línea muestra el puerto IP que está haciendo actualmente la traducción de direcciones de red en el router. Nota: El software NAT está diseñado actualmente para permitir solamente que un puerto IP de un router haga la traducción de direcciones de red. UDP timeout period (sec.):
300
El router quitará una sesión NAT activa para UDP (y el resto de los protocolos no TCP) después de 300 segundos (cinco minutos) si ninguna sesión IP ha utilizado esta sesión NAT. TCP timeout period (sec.):
86400
El router quitará una sesión NAT activa para TCP después de 86400 segundos (24 horas) si ninguna traducción de dirección de red IP ha utilizado esta sesión NAT. TCP SYN timeout period (sec.):
180
El router quitará una sesión NAT activa para TCP después de 180 segundos (tres minutos) si no se ha respondido a un paquete SYN TCP. TCP FIN timeout period (sec.):
180
El router quitará una sesión NAT activa para TCP después de 180 segundos (tres minutos) si no se ha respondido a un paquete FIN TCP. Entered Internal range(s):
10.5.3.0/27
Éste es el rango interno a/desde el cual el software de traducción de direcciones de red traducirá la dirección IP en los paquetes con origen o destino en la red NAT interna mediante el puerto NAT interno. La sintaxis de la máscara de subred para esta variable es idéntica a la utilizada para los puertos IP y los filtros en los routers Compatible Systems. El "/27" es análogo a una máscara de subred de 255.255.255.224. Los primeros 27 de los 32 bits de la máscara de subred son 1. Puede haber múltiples entradas para el rango interno NAT. Estos rangos de direcciones IP son locales para la red NAT del usuario y pueden ser elegidos por el usuario. Entered External range(s):
198.41.9.219 198.41.9.195
198.41.9.194
Éste es el rango externo a/desde el cual el software de traducción de direcciones de red traducirá la dirección IP en los paquetes con origen o destino en Internet mediante el puerto NAT externo. La sintaxis de la máscara de subred para esta variable es idéntica a la utilizada para los puertos IP y los filtros en los routers Compatible Systems. Estos tres rangos externos son realmente direcciones IP individuales con máscaras de subred de 255.255.255.255. Puede haber múltiples entradas para el rango externo NAT. Estos rangos de direcciones IP deben ser direcciones de Internet "globales". Si una dirección IP "global" está incluida tanto en el rango NAT externo como en el rango NAT PassThru (que se explican más adelante), la dirección IP se tratará como si formara parte solamente del rango externo NAT. Entered Pass Thru range(s):
198.41.9.{205-210}
Éste es el rango de direcciones IP "globales" que no serán traducidas por NAT cuando viajen a través del puerto NAT externo. Esto solamente es así si la dirección IP en cuestión no está dentro del rango externo NAT (descrito arriba). Si la dirección IP de destino de los paquetes que entran en el puerto NAT externo o las direcciones IP de origen de los paquetes que salen del puerto NAT externo caen dentro de este rango de direcciones IP, el paquete no se someterá la traducción de direcciones de red. Será ruteado como cualquier paquete IP en cualquier router IP. Según lo expuesto antes, la designación de una dirección IP o de un rango de direcciones IP como parte del rango NAT externo tiene precedencia sobre la designación de esa dirección IP como parte del rango NAT PassThru. [ NAT Map Database ] Total Number of Entries in NAT Map Database: 2 -----------------------------------------------------------------Internal External LineNo. -> 1 -> 2 ->
Esta sección de la visualización muestra los pares de traducción de direcciones uno a uno ingresadas en el software NAT. Cada línea de la visualización se lee como la dirección interna (10.5.3.20, en la línea 2) que se traduce a/desde la dirección externa (198.41.9.194, en la línea 2). Los paquetes dirigidos a 198.41.9.194 desde Internet serán aceptados por el router, traducidos a la dirección de destino 10.5.3.20 y enviados a la red NAT interna por el router. La línea 1 muestra una opción diferente para las pares de traducción de direcciones uno a uno. Enumera combinaciones de dirección IP: puerto tales que un sitio de Internet podría acceder a un servidor Web en la estación de trabajo en la dirección de red NAT 10.5.3.11.
show nat map Esta visualización se describió al final de la sección anterior, pero aquí se presentarán otros diversos detalles. Nat_2220> show nat map [ NAT Map Database ] Total Number of Entries in NAT Map Database: 2 ------------------------------------------------------------------Internal External LineNo. -> 1 -> 2 ->
Según lo observado previamente, los sockets individuales (combinaciones de dirección IP y puerto) pueden ingresarse y visualizarse como pares uno a uno. Por ejemplo: 1
->
se ingresa para permitir que una estación de trabajo en la dirección de red NAT interna 10.5.3.11 se vea como un servidor Web de Internet (la red externa) en la dirección IP 198.41.9.194. Los pares uno a uno también pueden asociar rangos de direcciones IP, tales como: X
->
Una relación importante entre la base de datos de mapa de NAT y el rango interno y externo de NAT debe presentarse aquí: La mitad interna del par uno a uno debe estar dentro del rango interno NAT de la configuración, y la mitad externa del par uno a uno debe estar dentro del rango externo NAT de la configuración. El software de NAT no utilizará un par uno a uno en la base de datos de mapa de NAT que no cumpla los criterios anteriores.
show nat sessions
Este comando visualiza todas las sesiones NAT activas que el software de NAT está utilizando actualmente para modificar paquetes IP mientras viajan entre la red NAT y la red externa/Internet. Nat_2220> show nat sessions Active Map Remote Proto Hashes ------------------------------------------ -------------------- ------ --------Time Since: Created Last Activity -------------------------------10.5.3.20:0 ->198.41.9.194:0 198.41.9.200:0 ICMP 221/907 124.33 114.33 10.5.3.20:0 ->198.41.9.194:0 198.41.9.215:0 ICMP 236/922 105.00 104.00 10.5.3.10:29841 ->198.41.9.219:29841 198.41.9.30:53 UDP 255/976 33.93 33.50 10.5.3.10:1899 ->198.41.9.219:1899 198.41.9.12:80 TCP 983/680 25.67 0.16 10.5.3.10:1900 ->198.41.9.219:1900 198.41.9.12:80 TCP 984/681 30.24 15.83
El mapa activo es la traducción de dirección IP: puerto (si procede) interna a externa y se lee con el mismo formato que la visualización de la base de datos de mapa de NAT. Remote es la ubicación de la red externa/Internet que se comunica con la estación de trabajo o el router de la red NAT interna. Proto es el protocolo que está traduciendo la sesión. Los valores actuales para esta columna son ICMP, UDP, TCP, GRE, OSPF, EGP, ESP, AH, BLAST o el número real de otros protocolos IP. El software utiliza los hashes para almacenar y buscar las sesiones de traducción en la base de datos interna del software de NAT. Time Since: Created y Last Activity visualizan el tiempo, en segundos, desde que se creó la sesión y la última vez que se utilizó para traducir un paquete IP, respectivamente.
show nat statistics El comando show nat statistics visualiza el número total de sesiones de NAT creadas desde que el router se inició por última vez con la funcionalidad de NAT habilitada, y el estado actual de las sesiones de NAT. Nat_2220> show nat statistics Total Sessions: Filtered:
38 0
Currently Active:
0
Properly Removed:
33
Sessions Timed Out: SYN Timeouts: FIN Timeouts: Inactivity:
5 0 0 5
Sessions Reset: Invalid Cache: No Resources: Stale ACK:
2 0 0 0
Total Sessions es el número total de sesiones de NAT creadas para traducir paquetes IP desde que la última vez que se inició el router. Filtered no está definido aún. Currently Active es el número de paquetes utilizados actualmente por el router para traducir paquetes. Esto se debe visualizar en respuesta al comando show nat sessions (antes descrito) si el software no finalizado/eliminado estas sesiones de la base de datos de hash de NAT mientras tanto. Properly Removed es el número de sesiones eliminadas de la bases de datos de la sesión NAT como resultado del intercambio de paquetes FIN y ACK intercambiados entre la estación de trabajo/el router de la red NAT y la estación de trabajo/el router de Internet. La sesión IP se termina y quitan a la sesión de NAT que hace la traducción de la direcciones se elimina también de la base de datos hash de NAT. Sessions Timed Out es el número de sesiones NAT eliminadas de la bases de datos hash de NAT como resultado de un límite de tiempo excedido. Esto puede ocurrir de tres maneras: 1. un paquete SYN de una sesión no recibe una respuesta dentro del límite de tiempo definido por la variable de NAT "TCP SYN timeout period" (descrita anteriormente); éstos se marcan en SYN Timeouts 2. un paquete FIN de una sesión no recibe una respuesta dentro del límite de tiempo definido por la variable de NAT "TCP FIN timeout period" (descrita anteriormente); éstos se marcan en FIN Timeouts 3. la sesión no se ha utilizado para ninguna traducción de dirección IP en el límite de tiempo definido por "UDP timeout period" o "TCP timeout period" (ambos descritos anteriormente); éstos se marcan en Inactivity Actualmente, todas las sesiones de NAT no TCP utilizan la variable NAT UDP timeout period para sus límites de tiempo de espera de
inactividad. La suma de los valores para Currently Active, Properly Removed y Sessions Timed Out debería ser igual al valor de Total Sessions. Sessions Reset marca las sesiones NAT para las que se envió un paquete RST. Los valores Invalid Cache, No Resources y Stale ACK no se están usando aún.
show_nat_address_db El comando show nat address_db muestra la bases de datos de direcciones IP que está utilizando el software de NAT para hacer traducciones de direcciones IP. Esta visualización contiene mucha información que necesita una cierta explicación. Nat_2220> show nat address_db Network Address Translation Address Database Address Tree Level IP Address IP Mask Flags ------------------- ------------------ ---------- ---------+ 10.5.3.0 0xffffffe0 0x00000001 ++ 10.5.3.1 0xffffffff 0x00010000 ++ 10.5.3.11 0xffffffff 0x00000111 ++ 10.5.3.20 0xffffffff 0x00000011 + 198.41.9.192 0xffffffe0 0x00010000 ++ 198.41.9.194 0xffffffff 0x00000012 ++ 198.41.9.195 0xffffffff 0x00001112 ++ 198.41.9.205 0xffffffff 0x00000004 ++ 198.41.9.206 0xffffffff 0x00000004 ++ 198.41.9.207 0xffffffff 0x00000004 ++ 198.41.9.208 0xffffffff 0x00000004 ++ 198.41.9.209 0xffffffff 0x00000004 ++ 198.41.9.210 0xffffffff 0x00000004 ++ 198.41.9.219 0xffffffff 0x00000002 Flag Legend: INTERNAL: 0x0001, MAPPED: 0x0002, PassThru: 0x0004 PORT in MAP_DB: 0x0010, 1 to 1: 0x0100, ROUTER IP PORT: 0x1000 PLACEHOLDER: 0x00010000
La base de datos de direcciones IP anterior podría verse mejor en "formato de árbol", por ejemplo: Highest Level (+) -----------------
Next Highest Level (++) -----------------
10.5.3.0 (#) ---------+--------- 10.5.3.1($) (255.255.255.224) | +--------- 10.5.3.11(#)(%)(&) | +--------- 10.5.3.20(#)(%) 198.41.9.192 ---------+--------- 198.41.9.194(@)(%) (255.255.255.224) | +--------- 198.41.9.195($)(@)(%)(&) | +--------| +--------| +--------| +--------| +--------| +--------| +---------
198.41.9.205(*) 198.41.9.206(*) 198.41.9.207(*) 198.41.9.208(*) 198.41.9.209(*) 198.41.9.210(*) 198.41.9.219(@)
(all have masks of 255.255.255.255) (#) ($) (%) (&) (@) (*)
Part of the "NAT INTERNAL RANGE" One of the "NAT Router" IP Port addresses Part of a 1 to 1 translation pair in "NAT Map Database" Ports are defined for this part of the 1 to 1 translation pair Part of the "NAT EXTERNAL RANGE" Part of the "NAT PASSTHRU RANGE"
La columna IP Mask es la representación hexadecimal de la máscara asociada a cada dirección.
La columna Flags es la adición de todos los indicadores que se aplican a cada dirección IP en la bases de datos de direcciones NAT. Los indicadores se definen brevemente en Flag Legend, al final dela visualización, y cada uno de ellos es importante para la funcionalidad de NAT. Aquí no se ofrecen descripciones detalladas de cada indicador.
SECCIÓN DE CONFIGURACIÓN Las dos secciones siguientes muestran un ejemplo de configuración de un router MicroRouter 2220R de Compatible Systems para realizar la traducción de direcciones de red. También ofrecen un descripción más detallada de la funcionalidad de NAT en los routers de Compatible Systems. El acuerdo de la configuración [NAT Global] y la configuración de [IP ] en los puertos del router es el aspecto más importante de la funcionalidad de NAT en los routers de Compatible Systems. La configuración de [NAT Global] será descrita primero, seguida por las partes requeridas de la configuración de [IP ] para una funcionalidad NAT correcta.
Comandos de configuración y ejemplos de palabras clave de [NAT Global] Las variables de [NAT Global] se configuran igual que otras secciones globales del router. Los mensajes visualizados son muy parecidos a los de las demás secciones. Nat_2220> configure nat global Enter Password: (password entered)
Configure los parámetros de esta sección ingresando: =
Para encontrar una lista de palabras claves válidas y ayuda adicional ingrese "?" [ NAT Global ]# ? Valid keywords for the 'NAT Global' section: UDPTimeout UDP Timeout for NAT in seconds (note: 0 {zero} disables UDPTimeout) TCPTimeout TCP Timeout for NAT in seconds (note: 0 {zero} disables TCPTimeout) TCPSynTimeout TCP SYN Timeout for NAT in seconds TCPFinTimeout TCP FIN Timeout for NAT in seconds InternalRange Strings for Internal IP addresses, (parsed like filters) ExternalRange Strings for External IP addresses, (parsed like filters) PassThruRange Strings for not NATTED IP addresses, (parsed like filters) RespondICMP NAT interface reponses to ICMP packets RouterAddr Allow communication with a NAT router through router IP ports Enabled Overall NAT capability in Router
Otros comandos útiles: delete list = ? help
Delete a keyword in this section Display the contents of current section Display more information about a keyword Information about other commands
Todas estas palabras clave se han presentado en la sección de comandos "Show" de NAT y aquí se presentarán más detalles. UDPTimeout
UDP Timeout for NAT in seconds (note: 0 {zero} disables UDPTimeout)
El valor predeterminado para quitar una sesión de NAT no TCP debido a la inactividad es 300 segundos (cinco minutos). Tiene un rango de 0 a 3600 segundos (una hora). Un valor de cero hará que las sesiones NAT no TCP no se quiten nunca debido a la inactividad. Utilice esta opción con precaución, porque es posible que la memoria del router acabe ocupada por la base de datos de la sesión de traducción de NAT. TCPTimeout
TCP Timeout for NAT in seconds (note: 0 {zero} disables TCPTimeout)
El valor predeterminado para quitar sesiones TCP debido a la inactividad es 86400 segundos (24 horas). Tiene un rango de 0 a 172800 segundos (48 horas). Como ocurre con UDPTimeout, un valor de cero hará que las sesiones TCP NAT no se quiten nunca debido a la inactividad. Utilice también esta opción con precaución, porque es posible que la memoria del router acabe ocupada por la base de datos de la sesión de traducción de NAT.
TCPSynTimeout TCP SYN Timeout for NAT in seconds TCPFinTimeout TCP FIN Timeout for NAT in seconds
El valor predeterminado para estas variables es 180 segundos (tres minutos). Tienen un rango de 20 a 300 segundos. No pueden ser inhabilitadas. InternalRange
Strings for Internal IP addresses, (parsed like filters)
Ésta es una de las dos variables más importantes de la sección [NAT Global]. Éste es el rango de direcciones IP que serán traducidas al rango de direcciones IP establecido por ExternalRange (definido a continuación). El router NAT y las redes LAN o WAN con las que esté conectado deben ser configurados de modo que los paquetes IP con direcciones en InternalRange ingresen al router NAT a través del puerto NAT interno. Esta variable se analiza, y se puede ingresar, utilizando la misma sintaxis utilizada para las direcciones IP en los filtros IP con una adición importante. Un rango de direcciones inclusivo se puede definir usando una notación de guiones (V.W.X. {Y-Z}). Esto fue mostrada previamente en la parte del NAT PassThru Range la sección del showcommand. Por ejemplo, un rango interno se podría ingresar como 10.5.3.{1-30}. Esto se analizará como las direcciones IP 10.5.3.1, 10.5.3.2, ..... 10.5.3.29 y 10.5.3.30 (y cada dirección IP intermedia, aunque se hayan omitido en esta lista). Cada una de estas direcciones analizadas tendría una máscara /32 o 255.255.255.255. Ésta es una variable múltiple y puede contener varios valores o rangos diferentes. ExternalRange
Strings for External IP addresses, (parsed like filters)
Ésta es la variable más importante de la sección [NAT Global]. De nuevo, el router NAT y las redes LAN o WAN con las que esté conectado deben configurarse de modo que los paquetes IP con direcciones en ExternalRange ingresen al router NAT a través del puerto NAT externo. Esta variable se analiza como InternalRange (como filtros IP e incluyendo la notación de guiones) y es una variable múltiple que puede contener varios valores o rangos diferentes. PassThruRange
Strings for not NATTED IP addresses, (parsed like filters)
Esto no siempre se utiliza en un router NAT, a menos que el usuario esté poniendo tanto una red NAT como una red LAN con direcciones IP "globales" detrás del router NAT y de su puerto NAT externo (vea el Ejemplo 2 antes presentado). Esta variable permite que los paquetes IP que viajan a través del puerto externo NAT se ruteen sin que se traduzcan sus direcciones IP. Esta variable también se analiza como InternalRange y ExternalRange (como los filtros IP e incluyendo la notación de guiones) y es una variable múltiple que puede contener diferentes valores o rangos Si una dirección o un rango de direcciones IP se incluye tanto en ExternalRange (rango externo NAT) como en PassThruRange (rango NAT PassThru), NAT tratará la dirección IP como miembro de ExternalRange (rango externo NAT). RespondICMP
NAT interface responses to ICMP packets
Esto permite que las estaciones de trabajo externas/los routers hagan ping a estaciones de trabajo/routers de la red NAT si un par de traducción uno a uno de la base de datos de mapa de NAT permite tal traducción (de nuevo, estos pares se han descrito antes brevemente, y serán detallados en EDIT CONFIG NAT MAP). Esta palabra clave es On u Off. El valor predeterminado es On. La estación de trabajo/el router de la red NAT interna no estará autorizado a responder a un ping si RespondICMP es Off. RouterAddr
Allow communication with a NAT Router through router IP ports
Esto permite que el router acepte los paquetes IP destinados a las direcciones IP de los puertos del router NAT, y transmita los paquetes originados en las direcciones IP de los puertos del router NAT. En pocas palabras, permite que el usuario haga ping o establezca una sesión Telnet con el router NAT si esta variable está establecida en On (el valor predeterminado actual). Si esta variable se establece en Off, el usuario solamente podrá comunicarse con el router NAT o configurarlo mediante la interfaz de la línea de comandos. Enabled Overall NAT capability in Router
Después de InternalRange y ExternalRange, Enabled es probablemente la palabra clave más importante de esta sección. Permite que el router realice traducciones de direcciones de red entre las redes interna y externa. El valor predeterminado es Off. El router no realizará "NAT" si Enabled es Off.
Comandos de edición y ejemplos de palabras clave de NAT Mapping]
Los pares del traducción uno a uno de la base de datos del mapa de NAT se ingresan con edit config en lugar del comando configure. Estos pares permiten que el usuario proporcione acceso desde Internet o la red externa a partes seleccionadas de la red interna NAT, tales como un servidor Web, como se mostró previamente en la sección de COMANDOS "SHOW" DE NAT. Nat_2220> edit config nat mapping Enter Password: Editing "[ NAT Mapping ]"... 1: [ NAT Mapping ] 2: 10.5.3.20 -> 198.41.9.194 End of buffer Edit [ NAT Mapping ]> ? Available Editor Commands: Append Append lines into the buffer Delete Delete a line from the buffer Print Print a range of lines List Print a range of lines (Non printing characters printed unambiguously) Help Print this message Quit Leave the editor (ignoring changes) Exit Leave the editor (saving changes) Edit [ NAT Mapping ]> append Enter lines at the prompt. To terminate input, enter a . on a line all by itself. Append> 10.5.3.11:80 -> 198.41.9.195:80 Append> . Edit [ NAT Mapping ]> exit Saving section... Checking syntax... Section checked successfully. *Nat_2220# save Save configuration to flash and restart device? y (Router will restart)
El par de traducción uno a uno de la base de datos de mapa de NAT siempre se ingresa con la dirección IP interna primero, seguida por un espacio, seguido por "- >" (en su lugar podría utilizarse un solo signo igual "="), seguido por un espacio, seguido por la dirección IP a la que tendrán acceso todos los usuarios externos/de Internet. El router verificará si la sintaxis de los pares uno a uno ingresados es correcta. Se analizan los IP Addresses de la misma forma que los IP Addresses se analizan en el comando add ip route, descrito en la sección de la ruta de IP (agregue) de la guía de referencia de la Configuración basada en texto y de la línea de comando. Después de reiniciar, la base de datos de mapa de NAT debe tener este aspecto… Nat_2220> sh nat map [ NAT Map Database ] Total Number of Entries in NAT Map Database: 2 -----------------------------------------------------------------Internal External LineNo. -> 1 -> 2 ->
Puntos importantes sobre los pares de traducción una por una en la base de datos de mapa de NAT: 1. La dirección IP interna se debe ingresar primero, seguida por "- >" o "=", seguido por la dirección IP externa. 2. La dirección IP interna debe estar dentro del rango de direcciones IP definido por la palabra clave InternalRange de [NAT Global], y la dirección IP externa debe estar dentro del rango de direcciones IP definido por la palabra clave ExternalRange de [NAT Global]. 3. Los pares uno a uno deben ser ambos combinaciones de dirección IP: puerto, o rangos de direcciones IP. Una combinación de dirección IP: puerto no se puede emparejar con un rango de direcciones IP (incluso si ese rango es una sola dirección IP). 4. ¡SI SOLAMENTE HAY UNA DIRECCIÓN IP EXTERNA DISPONIBLES PARA EL ROUTER NAT, NO ASOCIE ESA DIRECCIÓN IP A UNA DIRECCIÓN IP INTERNA! ¡NO PODRÁ ENTRAR EN CONTACTO CON EL ROUTER A TRAVÉS DEL PUERTO NAT EXTERNO PARA COMUNICARSE CON ÉL! El mapping de puertos únicos de la dirección IP externa a combinaciones de dirección IP interna: puertos es aceptable, por ejemplo para crear acceso a un servidor Web en la red NAT (vea el Ejemplo 1). Asociar la única dirección IP externa completa (la dirección IP del router) a una dirección NAT interna le impedirá comunicarse con el router cuando se habilite la funcionalidad NAT. Nota: La variable [NAT Global] RouterAddr también se debe establecer en On (el valor predeterminado actual) para permitir que el usuario se comunique con el router NAT a través de IP sobre cualquiera de sus puertos IP.
[IP ] CONFIGURACIÓN DEL PUERTO PARA NAT PARA EL EJEMPLO 1
Los puertos del IP de un router Compatible Systems que realice la traducción de direcciones de red se deben configurar para que estén "de acuerdo" con la configuración de las palabras claves [NAT Global] o el router no hará la traducción de direcciones de red entre la red NAT y la red externa/Internet. A continuación se muestra la configuración del router MicroRouter 2220R Compatible Systems del Ejemplo 1. La configuración ligeramente más compleja del router NAT en el Ejemplo 3 se muestra al final de esta sección. Nat_2220> show ip config Addresses Port
IP Addr
Subnet
Broadcast
Flags
Ethernet 0
198.41.9.195
255.255.255.224
198.41.9.223
Ethernet 1
10.5.3.1
Bridge Wan 0 Wan 1
** Disabled ** ** Disabled ** ** Disabled **
255.255.255.224
10.5.3.31
Ethernet 0 es el puerto NAT externo, Ethernet 1 si es el puerto NAT interno. El protocolo IP de Bridge, Wan 0 y Wan 1 se ha inhabilitado en este ejemplo. Nota: Una vez más el software de NAT está diseñado actualmente y solo se ha probado con un puerto IP externo en un router. En las últimas versiones del software del dispositivo Compatible Systems (versiones 4.3 y posteriores), la visualización en respuesta a show ip config mostrará qué interfaz IP tiene la variable NatMap habilitada (NatMap = On). La configuración de cada puerto Ethernet IP se muestra a continuación, con las palabras clave correspondientes de la sección [NAT Global]. El "acuerdo" entre las palabras clave de estas secciones también se muestra. PUERTO NAT EXTERNO, EJEMPLO 1 La configuración del puerto NAT externo y su relación con la sección [NAT Global] se muestran en primer lugar. Nat_2220> config ip ethernet 0 Enter Password:
Configure los parámetros de esta sección ingresando: =
Para encontrar una lista de palabras claves válidas y ayuda adicional ingrese "?" [ IP Ethernet 0 ] # list [ IP Ethernet 0 ] Mode = Routed RIPVersion = V2 NatMap = On SubnetMask = 255.255.255.224 IPAddress = 198.41.9.195
La palabra clave más importante aquí es NatMap. Si esta palabra clave no se establece en On, el puerto IP no realizará la traducción de direcciones de red. Nota: La palabra clave NatMap debe establecerse en On solamente en el puerto NAT externo. NatMap no se debe establecer en On para el puerto NAT interno. Las otras dos palabras claves del puerto IP que son críticas para el funcionamiento correcto de NAT son IPAddress y SubnetMask. El usuario debe tener el puerto NAT externo, y la red con la cual está conectado, configurados de modo que los paquetes IP con direcciones dentro del rango externo NAT ingresen al router a través del puerto externo NAT. En [NAT Global]: Entered External range(s):
198.41.9.219 198.41.9.195 198.41.9.194
y en [IP Ethernet 0]: SubnetMask IPAddress
= 255.255.255.224 = 198.41.9.195
El puerto IP también debe tener su Modo establecido en Routed. PUERTO NAT INTERNO, EJEMPLO 1 La configuración del puerto NAT interno y su relación con la sección [NAT Global] se muestran a continuación. Nat_2220> config ip ethernet 1 Enter Password:
Configure los parámetros de esta sección ingresando: =
Para encontrar una lista de palabras claves válidas y ayuda adicional ingrese "?" [ IP Ethernet 1 ] # list [ IP Ethernet 1 ] RIPVersion = V2 Mode = Routed SubnetMask = 255.255.255.224 IPAddress = 10.5.3.1
NatMap no se establece en On para este puerto interno NAT. Continúa estableciéndose en su valor predeterminado Off y no se muestra en la configuración. [ IP Ethernet 1 ] # NatMap = ? The keyword 'NatMap' expects Boolean values: Default: Off Valid Values: True/False, On/Off, 1/0, or Yes/No. Help String: Enable Network Address Translation
De nuevo, el usuario debe tener el puerto NAT interno, y la red con la cual está conectado, configurados de modo que los paquetes IP con direcciones dentro del rango interno NAT ingresen al router a través del puerto interno NAT. En [NAT Global]: Entered Internal range(s): 10.5.3.0/27
y en [IP Ethernet 1]: SubnetMask = IPAddress
255.255.255.224 = 10.5.3.1
Nota: Todas las estaciones de trabajo de la red LAN conectadas directamente con el puerto NAT interno deben tener la dirección de este puerto IP (10.5.3.1, en este ejemplo) establecida como su ruta de gateway en sus aplicaciones IP.
[IP ] CONFIGURACIÓN DEL PUERTO PARA NAT PARA EL EJEMPLO 3 Ésta es la configuración del router NAT en el más complejo Ejemplo 3 que tiene NAT configurado en un puerto físico que tiene subinterfaces. De nuevo, vea la NOTA IMPORTANTE relativa a la versión del software de router Compatible Systems requerida para utilizar NAT en los puertos físicos que tienen subinterfaces configuradas. La configuración de [NAT Global] y la configuración de [IP ] se muestran a continuación para demostrar el "acuerdo" entre estas dos secciones de la configuración del dispositivo. Aquí está la sección de configuración [NAT Global]. NAT_2220R1> show nat config NAT functionality enabled (On/Off): NAT Response to external ICMPs (On/Off): Communicate w/ Router through IP Ports (On/Off): Configured Ports: Ether0 UDP timeout period (sec.): 300 TCP timeout period (sec.): 86400
On On On
TCP SYN timeout period (sec.): TCP FIN timeout period (sec.): Entered Internal range(s):
180 180 10.5.0.0/24
Entered External range(s):
198.41.9.204
Entered Pass Thru range(s):
198.41.10.98/28
[ NAT Map Database ]
Aquí está la configuración de los puertos IP. NAT_2220R1> show ip config Port Ethernet 0
IP Addr 198.41.9.197
Addresses Subnet 255.255.255.224
Broadcast 198.41.9.223
Flags
Ethernet 0.1
10.5.0.1
255.255.0.0
10.5.255.255
Ethernet 0.2
198.41.10.97
255.255.255.240
198.41.10.111
Ethernet 1 Bridge Wan 0 Wan 0.1 Wan 1
** ** ** ** **
Disabled Disabled Disabled Disabled Disabled
** ** ** ** **
Ethernet 0 es el puerto NAT externo, Ethernet 0.1 es el puerto al rango NAT PassThru (que es accesible desde el resto de Internet) y Ethernet 0.2 es el puerto NAT interno. El protocolo IP de Bridge, Wan 0 y Wan 1 se ha inhabilitado en este ejemplo. Nota: Una vez más el software de NAT está diseñado actualmente y solo se ha probado con un puerto IP externo en un router. En las últimas versiones del software del dispositivo Compatible Systems (versiones 4.3 y posteriores), la visualización en respuesta a show ip config mostrará qué interfaz IP tiene la variable NatMap habilitada (NatMap = On). Esto se puede ver en la visualización anterior para Ethernet 0. PUERTO NAT EXTERNO, EJEMPLO 3 La configuración del puerto NAT externo y su relación con la sección [NAT Global] se muestran en primer lugar. NAT_2220R1> config ip ethernet 0 Enter Password: (enter password) Configure parameters in this section by entering: = To find a list of [ IP Ethernet 0 ] [ IP Ethernet 0 ] Mode RIPVersion SubnetMask IPAddress NatMap
valid keywords and additional help enter "?" # list = = = = =
Routed V2 255.255.255.224 198.41.9.197 On
La palabra clave más importante aquí es NatMap. Si esta palabra clave no se establece en On, el puerto IP no realizará la traducción de direcciones de red. Nota: La palabra clave NatMap debe establecerse en On solamente en el puerto NAT externo. NatMap no se debe establecer en On en el puerto NAT interno. Las otras dos palabras claves del puerto IP que son críticas para el funcionamiento correcto de NAT son IPAddress y SubnetMask. El usuario debe tener el puerto NAT externo, y la red con la cual está conectado, configurados de modo que los paquetes IP con direcciones dentro del rango externo NAT ingresen al router a través del puerto externo NAT. En [NAT Global]: Entered External range: 198.41.9.204
y en [IP Ethernet 0]:
SubnetMask IPAddress
= 255.255.255.224 = 198.41.9.197
El puerto IP también debe tener su Modo establecido en Routed. PUERTO NAT INTERNO, EJEMPLO 3 La configuración del puerto NAT interno y su relación con la sección [NAT Global] se muestran a continuación. [ IP Ethernet 0 ] # config ip ethernet 0.1 Configure parameters in this section by entering: = To find a list of valid keywords and additional help enter "?" [ IP Ethernet 0.1 ] # list [ IP Ethernet 0.1 ] SubnetMask = 255.255.0.0 IPAddress = 10.5.0.1 NatMap = Off
De nuevo, el usuario debe tener el puerto NAT interno, y la red con la cual está conectado, configurados de modo que los paquetes IP con direcciones dentro del rango interno NAT ingresen al router a través del puerto interno NAT. En [NAT Global]: Entered Internal range(s): 10.5.0.0/16
y en [IP Ethernet 0.1]: SubnetMask IPAddress
= 255.255.0.0 = 10.5.0.1
Nota: Todas las estaciones de trabajo de la red LAN conectadas directamente con el puerto NAT interno deben tener la dirección de este puerto IP (10.5.3.1, en este ejemplo) establecida como su ruta de gateway en sus aplicaciones IP. RANGO NAT PASSTHRU, EJEMPLO 3 Finalmente, se muestra la configuración del otro puerto de subinterfaz IP Ethernet y su relación con la sección [NAT Global]. [ IP Ethernet 0.1 ] # config ip ethernet 0.2 Configure parameters in this section by entering: = To find a list of valid keywords and additional help enter "?" [ IP Ethernet 0.2 ] #list [ IP Ethernet 0.2 ] IPAddress = 198.41.10.97 SubnetMask = 255.255.255.240 NatMap = Off
En cuanto a los puertos NAT externo e interno, el router se debe configurar, o tener la capacidad, de rutear el tráfico IP con origen y destino en el rango NAT PassThru. Además, la variable NatMap para esta subinterfaz IP se establece en Off (el valor predeterminado). En [NAT Global] Entered Pass Thru range(s): 198.41.10.98/28
y en [IP Ethernet 0.2] IPAddress = 198.41.10.97 SubnetMask = 255.255.255.240
NOTAS FINALES El ejemplo de router Compatible Systems está ahora listo para realizar la traducción de direcciones de red. Aplicaciones IP Soportadas Actualmente
1. Todas las aplicaciones IP que contienen solamente las direcciones IP de origen y destino en el encabezado de paquete IP (Telnet, HTTP, etc.) 2. File Transfer Protocol 3. NetBios para Estaciones de Trabajo NT 4. CUSeeMe 5. Real Audio
Verificación Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Información Relacionada Ejemplos de Configuración y Lista de Notas Técnicas
© 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Agosto 2015 http://www.cisco.com/cisco/web/support/LA/102/1026/1026019_nat.html