Professional Documents
Culture Documents
Contenido
Introduccin .................................................................................................................................. 1
Direccionamiento interno y direccionamiento externo ................................................................ 2
NAT (Traduccin de direcciones de Red) ...................................................................................... 3
NAT Origen ................................................................................................................................ 3
NAT Destino............................................................................................................................... 4
Tabla NAT .................................................................................................................................. 4
Tipos de NAT ................................................................................................................................. 5
NAT Esttica .............................................................................................................................. 5
NAT Dinmica ............................................................................................................................ 7
NAT Dinmica con sobrecarga (PAT) ......................................................................................... 8
NAT inversa (o Abrir puertos) ................................................................................................. 10
Diagnstico de incidencias de NAT ............................................................................................. 12
Tecnologas de acceso a la WAN ................................................................................................. 13
Acceso cableado ...................................................................................................................... 13
Acceso inalmbrico ................................................................................................................. 14
Acceso inalmbrico WPAN .................................................................................................. 14
Acceso inalmbrico WLAN .................................................................................................. 15
Acceso inalmbrico WMAN................................................................................................. 17
Acceso inalmbrico WWAN................................................................................................. 18
Comandos para definicin de NAT .............................................................................................. 19
Introduccin
Caso prctico
Luisa est muy contenta, por fin empieza a comprender el mundo
de las redes, ha aprendido muchos conceptos, pero an hay
algunas cuestiones que no le cuadran. Le pregunta a su amigo:
Oye Juan, despus de aprender enrutamiento, VLANs y otras
historias, veo que en mi red de casa no hay nada de esto.
Juan le responde: Bueno Luisa, esto no es exactamente as, lo que
1
sucede es que para popularizar y comercializar internet ha sido necesario adaptarlo al gran
pblico, los dispositivos se han diseado para que sean fciles de usar.
Luisa: Entonces, de qu me vale todo lo aprendido? Y qu relacin tiene con mi instalacin
casera?
Juan: Tiene mucha relacin Luisa, no te engaes, aunque los dispositivos son fciles de usar
siguen tienen muchas posibilidades de configuracin: puedes compartir tu internet con un
vecino, puedes acceder al ordenador de casa desde cualquier lugar, puedes imprimir desde tu
mvil en la impresora de casa y muchas cosas ms. Lo que has aprendido es la base para
poder hacer todo esto.
Juan: Solo te falta comprender un poco ms las redes domsticas y esto es lo que vamos a
hacer ahora mismo.
El direccionamiento interno es utilizado por las redes locales privadas para comunicar a sus
dispositivos y debe utilizar para ello uno de los rangos indicados en RFC 1918:
CLASE
RANGO RESERVADO
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.0.0
192.168.0.0 - 192.168.255.0
Estas IPs estn aisladas del resto de internet, de hecho, los routers en internet suelen
programarse para que destruyan cualquier paquete dirigido a redes privadas. Las IPs privadas
solo tienen sentido dentro de la red privada donde se encuentran.
Por tanto, dentro de las ventajas de utilizar un direccionamiento interno tenemos la seguridad,
estas redes no son visibles desde internet. Y, como consecuencia, es uno de los pocos defectos
de IPv6 ya que la idea es que todos los dispositivos tengan IPs pblicas.
Por otro lado, el direccionamiento externo hace referencia a las redes pblicas, aquellas que
utilizan las IPs indicadas para ello (aquellas IPs que no son las reservadas para IPs privadas ni
tampoco son IPs destinadas a fines especiales RFC 3330). Estas IPs pblicas son accesibles
desde cualquier dispositivo con conexin a internet.
En la imagen en paquete IP que entra en el router NAT tiene un origen IP y un destino IP, en
este ejemplo el router manipula la IP de origen y la sustituye por otra enviando el paquete al
exterior.
Aunque hay un tipo de NAT que es el ms habitual se puede realizar cambios en origen,
destino, puertos, muchas IPs a 1 IP, una a una, etc.
NAT Origen
NAT en Origen o Source NAT consiste en cambiar la IP de origen del paquete por una IP de
origen diferente
NAT Destino
NAT en Destino o Destination NAT consiste en cambiar la IP de destino del paquete por una IP
de destino diferente
La NAT origen y la NAT destino estn asociadas porque cuando se hace una traduccin NAT de
origen, cambia el origen o remite de los datos, por tanto, cuando se reciba la respuesta a estos
datos habr que hacer el paso contrario, NAT destino, cambiar el destino (que fue el origen de
la solicitud), es decir, deshace el cambio que se realiz al iniciar la comunicacin para que el
dispositivo que solicit los datos reciba la respuesta.
Tabla NAT
El dispositivo que realiza la traduccin de direcciones lleva un control de las mismas en una
tabla denominada tabla NAT. En esta tabla estn anotadas las traducciones que se realizan, la
finalidad principal de la tabla es saber, cuando llega una respuesta, a que dispositivo de origen
corresponde enviarla.
En una tabla NAT se pueden incluir las siguientes direcciones:
Local interna
192.168.0.10
2.2.2.2
172.16.0.10
Tipos de NAT
A la hora de manipular las direcciones IP y puertos existen diferentes tcnicas dependiendo del
cambio o traduccin que se realice.
En cuanto a las notaciones hay que advertir que es fcil ver nomenclaturas usadas de
diferentes formas:
NAT Esttica
Este tipo de NAT hace una traduccin uno a uno, es decir, sustituye una IP local interna por
una IP global interna. Se denomina esttica porque la traduccin que se realiza es siempre la
misma.
Podemos deducir de la definicin anterior que si queremos que todos los dispositivos locales
tengan acceso a internet necesitaremos tener el mismo nmero de IP locales que globales
porque cada IP local usar una IP global.
Para configurar este tipo de NAT es necesario indicar en el router la traduccin que se desea
hacer e indicar que interface es la que apunta a la red privada y que interface apunta a la red
pblica.
Ejemplo de NAT Esttica
5
El router realiza siempre la traduccin 172.16.0.10 a 2.2.2.2 en ambos sentido (SNAT, DNAT),
es decir, si un paquete llega del exterior a 2.2.2.2 traduce su destino a 172.16.0.10, si un
paquete sale de 172.16.0.10 al exterior traduce el origen de 172.16.0.10 a 2.2.2.2 y lo enva.
La tabla NAT tendra una entrada fija.
Dinmica
Fija
Fija
Protocolo
Local interna
IP
Puerto
172.16.0.10
Global interna
IP
Puerto
2.2.2.2
-
Global externa
IP
Puerto
Local externa
IP
Puerto
Protocolo
TCP
Local interna
IP
Puerto
172.16.0.10
172.16.0.10
80
Global interna
IP
Puerto
2.2.2.2
2.2.2.2
80
Global externa
IP
Puerto
11.11.11.11
1030
Local externa
IP
Puerto
?
Dinmica, a medida que llegan paquetes externos o salen paquetes internos se anota
la traduccin para poder en un futuro deshacer la traduccin.
TCP, es el protocolo nivel transporte que utiliza el protocolo HTTP
IP Local interna, se hace la traduccin indicada como fija 2.2.2.2 Global es 172.16.0.10
Local
Puerto local interno 80, es el puerto TCP en que escuchan todas las pginas web
habitualmente, es decir, es lo mismo poner en el navegador http://2.2.2.2 que
http://2.2.2.2:80 , no se traducen puertos en la NAT esttica
Global externa, pues la IP del PC y el puerto asociado a la aplicacin navegador (se ha
puesto 1030 como podra haber sido otro puerto cliente, es decir, este puerto suele
cambiar dependiendo muchos factores)
Local externa, el router NAT no puede saber si el PC tiene directamente una IP pblica
o est detrs de un router NAT (que es lo ms habitual), solo sabe que le llega una
peticin de la IP 11.11.11.11, no sabe que dispositivo hay realmente en esa IP.
El servidor web recibe una peticin al puerto 80 (puerto en el que escucha el servicio web:
apache, IIS, etc.) desde la IP 11.11.11.11 puerto 1030, por tanto, responde a esta direccin.
Cuando el paquete llegue al router NAT con remite 172.16.0.10 ste har la traduccin
contraria y enviar el paquete a 11.11.11.11:1030
NAT Dinmica
Este tipo de NAT hace una traduccin de varios a varios, es decir, sustituye varias IPs locales
internas por varias IPs globales internas. Normalmente suele ser muchos a pocos, es decir,
tenemos mltiples dispositivos privados que comparten varias IPs pblicas.
A medida que los dispositivos privados van enviando paquetes al exterior se le van asignando
IPs pblicas, hasta que se agotan, es decir, el lmite de conexiones simultneas a internet viene
determinado por nmero de IPs pblicas de las que se dispone. Cuando un dispositivo privado
libera la comunicacin queda disponible la IP pblica que tuviera asignada.
Para configurar esta NAT hay que indicar en el router la interface que apunta a la red privada,
la interface que apunta a la red pblica, cuales son las IPs privadas y pblicas que vamos a
traducir.
Ejemplo de NAT dinmica (sin sobrecarga)
En este ejemplo hay 3 PCs que comparten 2 IPs pblicas (1.1.1.1 y 1.1.1.2), es decir, solo dos
PCs podrn estar conectados a internet simultneamente.
En la tabla NAT no hay ninguna configuracin fija.
Qu sucede si el PC A visita la web 2.2.2.2?
El router le asignar una IP pblica disponible (supongamos 1.1.1.1)
Dinmica
Fija
Dinmica
Protocolo
TCP
Local interna
IP
Puerto
192.168.0.10
1300
Global interna
IP
Puerto
1.1.1.1
1300
Global externa
IP
Puerto
2.2.2.2
80
Local externa
IP
Puerto
?
?
Protocolo
TCP
TCP
Local interna
IP
Puerto
192.168.0.10
1300
192.168.0.10
1301
Global interna
IP
Puerto
1.1.1.1
1300
1.1.1.1
1301
Global externa
IP
Puerto
2.2.2.2
80
2.2.2.2
80
Local externa
IP
Puerto
?
?
?
?
Dos aplicaciones en ejecucin en un mismo PC son dos puertos TCP diferentes. Si no fueran
puertos diferentes cuando llegue una respuesta al PC el sistema no sabra a qu navegador
corresponde, pero al tener puertos diferentes el sistema sabe a qu ventana de navegador va
dirigida la respuesta.
En cambio el puerto destino es el mismo, la aplicacin servidor (apache, IIS, etc.) forma una
cola con las peticiones web que recibe en una cach y las va atendiendo una a una. Piensa que
sino habra que probar varios puertos hasta encontrar una libre y eso sera difcilmente
implementable.
Qu sucede si el PC B visita la web 2.2.2.2?
El router le asignar una IP pblica disponible (solo queda 1.1.1.2)
Dinmica
Fija
Dinmica
Dinmica
Dinmica
Protocolo
TCP
TCP
TCP
Local interna
IP
Puerto
192.168.0.10
1300
192.168.0.10
1301
192.168.0.11
1300
Global interna
IP
Puerto
1.1.1.1
1300
1.1.1.1
1301
1.1.1.2
1300
Global externa
IP
Puerto
2.2.2.2
80
2.2.2.2
80
2.2.2.2
80
Local externa
IP
Puerto
?
?
?
?
?
?
Ejemplo de NAT dinmica con sobrecarga o PAT. Tpica configuracin de fbrica de routers
domsticos.
Protocolo
TCP
Local interna
IP
Puerto
192.168.0.10
1300
Global interna
IP
Puerto
1.1.1.1
1300
Global externa
IP
Puerto
2.2.2.2
80
Local externa
IP
Puerto
?
?
Protocolo
TCP
TCP
Local interna
IP
Puerto
192.168.0.10
1300
192.168.0.10
1301
Global interna
IP
Puerto
1.1.1.1
1300
1.1.1.1
1301
Global externa
IP
Puerto
2.2.2.2
80
3.3.3.3
80
Local externa
IP
Puerto
?
?
?
?
Protocolo
TCP
TCP
TCP
Local interna
IP
Puerto
192.168.0.10
1300
192.168.0.10
1301
192.168.0.11
1300
Global interna
IP
Puerto
1.1.1.1
1300
1.1.1.1
1301
1.1.1.1
1302
Global externa
IP
Puerto
2.2.2.2
80
3.3.3.3
80
2.2.2.2
80
Local externa
IP
Puerto
?
?
?
?
?
?
Protocolo
TCP
TCP
TCP
TCP
Local interna
IP
Puerto
192.168.0.10
1300
192.168.0.10
1301
192.168.0.11
1300
192.168.0.12
1300
Global interna
IP
Puerto
1.1.1.1
1300
1.1.1.1
1301
1.1.1.1
1302
1.1.1.1
1303
Global externa
IP
Puerto
2.2.2.2
80
3.3.3.3
80
2.2.2.2
80
2.2.2.2
80
Local externa
IP
Puerto
?
?
?
?
?
?
?
?
Autoevaluacin
En un centro educativo disponen de una lnea DSL tpica Cuntas alumnos podran estar
navegando a la vez como mximo si cada uno solo puede abrir un navegador?
1.-Todos los que quieran
2.- Ninguno
3.- 65536 (correcta)
4.- 256
Retroalimentacin si pone correcta: Efectivamente, una vez estn en uso todos los puertos
pblicos (2^16) no podrn asignarse nuevas conexiones.
Retroalimentacin si pone incorrecta: Incorrecto, podremos tener tantas como puertos
pblicos existan.
domsticos) para permitir entrar en una LAN desde Internet, sin que previamente se haya
producido una peticin desde la LAN.
Como se ha visto en el apartado anterior, los paquetes que entran en LAN corresponden a
respuestas de peticiones previas realizadas desde dentro de la LAN. Para entrar en LAN sin que
haya una solicitud previa es necesario abrir los puertos, es decir, hay que incluir una
traduccin en la tabla NAT fija, no dinmica producida por un paquete que ha salido.
La finalidad de abrir los puertos es tener servicios (servidor web, servidor base de datos, etc.)
instalados en una red local y que se puedan acceder desde cualquier lugar exterior.
Ejemplo de NAT inversa o apertura de puertos
En el esquema hay un servidor web en una red local, para acceder a este servidor web desde el
exterior solo es necesario poner en el navegador del equipo externo http://1.1.1.1
Local interna
IP
Puerto
Global interna
IP
Puerto
Global externa
IP
Puerto
Local externa
IP
Puerto
..
Protocolo
Protocolo
Local interna
IP
Puerto
Global interna
IP
Puerto
Global externa
IP
Puerto
Local externa
IP
Puerto
11
Fija
Dinmica
.
Dinmica
TCP
192.168.0.100
80
1.1.1.1
80
Como se puede observar no hay datos relativos a la IP externa, la razn es que las peticiones
pueden venir de cualquier IP externa. Cuando llegue un paquete con destino a 1.1.1.1:80, el
router aplicar la traduccin fija y lo enviar a 192.168.0.100:80
Podramos tener dos servidores web funcionado en la red local?
Pues s, pero el puerto 80 est abierto hacia 192.168.0.100, es decir, el puerto 80 est asociado
al equipo 192.168.0.100, por tanto, ser necesario utilizar otro puerto, por ejemplo el 81 para
el segundo servidor:
Dinmica
Fija
Fija
Fija
Dinmica
Dinmica
Protocolo
TCP
TCP
Local interna
IP
Puerto
192.168.0.100
80
192.168.0.200
80
Global interna
IP
Puerto
1.1.1.1
80
1.1.1.1
81
Global externa
IP
Puerto
Local externa
IP
Puerto
Cuando un paquete llegue al router con destino puerto 81, el router aplicar la segunda
traduccin y enviar al puerto 80 del equipo 192.168.0.200 el paquete. Para visitar esta
segunda web desde el exterior habr que indicar http://1.1.1.1:81
Acceso cableado
Acceso inalmbrico
Acceso cableado
Dentro de los accesos ms conocidos:
13
estructura arborescente con una fibra en el lado de la red y varias fibras en el lado
usuario
Cable coaxial, utiliza la instalacin tpica de televisin por cable para recibir internet
por el mismo medio.
Acceso inalmbrico
Podemos dividir las redes inalmbricas en 4 categoras tomando como criterio el alcance:
WPAN: redes inalmbricas de rea personal. Se emplean dentro del denominado "espacio
operativo personal", es decir, el espacio que rodea a una persona. (Por ejemplo Bluetooth).
WLAN: Alcance de varios centenares de metros. Comprenden el espacio de una oficina o un
edificio. (Por ejemplo WiFi).
WMAN: Se utilizan para comunicar distintas ubicaciones dentro de un rea metropolitana,
entre varios edificios. (Por ejemplo WiMAX)
WWAN: Llamadas redes inalmbricas globales. Pueden cubrir todo un pas o incluso varios
pases. (Por ejemplo HSDPA).
14
Infrarrojos, esta tecnologa ptica tiene un alcance corto, pero tiene un bajo consumo
y bajo costo. La principal desventaja de la tecnologa infrarroja es que requiere la
misma lnea de visin directa entre los dispositivos de una PAN. Sin embargo, la
tecnologa infrarroja ha existido desde hace varios aos y es poco probable que
desaparezca pronto.
15
Abiertas: Las redes Wi-Fi abiertas no tienen contrasea, por lo que queda claro que no
se aconseja de ninguna forma.
WEP (Wired Equivalent Privacy) de 64: El viejo estndar de encriptacin WEP es
vulnerable y no se debe utilizar
WEP de 128: un cifrado de mayor tamao, pero igual inseguro.
WPA (Wi-Fi Protected Access) adopta la autenticacin de usuarios mediante el uso de
un servidor, donde se almacenan las credenciales y contraseas de los usuarios de la
red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la
autenticacin mediante clave compartida ([PSK], Pre-Shared Key), que de un modo
16
similar al WEP, requiere introducir la misma clave en todos los equipos de la red.
Tampoco es seguro.
WPA2 (Acceso Protegido Wi-Fi 2) es un sistema para proteger las redes inalmbricas
(Wi-Fi); creado para corregir las vulnerabilidades detectadas en WPA
Adems de estas medidas siempre es recomendable tomar todas las precauciones que
podamos como apagar el router cuando no vayamos a usar la red en un periodo largo, vigilar
los accesos a la red a travs de los mens del router, etc.
Autoevaluacin
Tomando cualquiera de las medidas anteriores nadie conseguir robarme la seal WIFI
No (Correcta)
Si
Retroalimentacin: Desgraciadamente ni siquiera tomando todas las medidas anteriores
estamos seguros, las SSID aunque sean ocultas hay herramientas que las descubren, las
MAC se puede clonar, las claves se pueden descubrir y los parmetros del router tambin.
LIFI
Light Fidelity, es una tecnologa inalmbrica, que en vez de usar ondas de radio, utiliza pulsos
de luz. Aunque la velocidad es muy superior a WIFI tiene el inconveniente de no poder
atravesar paredes.
Una de las principales ventajas de la novedosa tecnologa, que est llamada a sustituir o al
menos complementar a las redes WiFi actuales, es que ayudara a desaturar el espacio radio
elctrico. Al utilizar la luz visible, no interfiere con otras frecuencias por lo que podra ser
utilizado sin problema, por ejemplo, en aviones.
Acceso inalmbrico WMAN
En esta categora se trata WiMax (aunque tambin la podemos incluir en la categora WWAN,
las fronteras de estas categoras no estn claramente definidos).
WiMax (Worldwide Interoperability for Microwave Access) un estndar de comunicacin
inalmbrica basado en la norma IEEE 802.16. WiMAX es un protocolo parecido a Wi-Fi,
transmite mediante una red de estaciones base. Cada estacin base conecta con mltiples
usuarios situados a grandes distancias a travs de pequeos paneles situados en el exterior de
los edificios.
17
WiMAX est pensado para construir una infraestructura de red cuando el entorno o distancia
no es favorable para una red cableada (por ejemplo zonas rurales de difcil acceso). Es una
alternativa ms rpida y barata que tener que instalar cables. Tambin se est usando
actualmente para conexiones entre empresas, o entre sedes e Internet.
Tambin podemos encontrar dentro de esta categora otros sistemas de comunicacin como
LMDS (Local Multipoint Distribution Service), es un medio de transmisin de altas frecuencias y
dado que las altas frecuencias son ms proclives a los accidentes de terrenos (no atraviesan
obstculos) se requiere una visibilidad en lnea directa con la antena emisora. LMDS es una
tecnologa ms antigua y con costes de adquisicin ms elevados.
El radio enlace es un medio de comunicacin complementario que funciona a muy altas
frecuencias (de hecho son micro ondas). El receptor en casa del usuario requiere visibilidad
directa con la antena emisora. Se emplea para conectar una delegacin que no est en la zona
de cobertura de WiMax (por eso hace de enlace haca WiMax) o para conectar una delegacin
remota a la red de fibra del operador.
Acceso inalmbrico WWAN
GSM (Global System for Mobile Communications) Sistema Global para las
comunicaciones Mviles. GSM se considera, por su velocidad de transmisin y otras
caractersticas, un estndar de segunda generacin (2G):
o GSM CSD (Circuit Switched Data), 2G: hasta 9'6 kbps en subida y bajada, ya
no se usa.
o GSM GPRS (General Packet Radio Service), 2'5G: hasta 80 kbps en bajada y
20 kbps en subida
o GSM - EDGE (Enhanced Data Rates for GSM Evolution), 2'75G: hasta 236 kbps
en bajada y 59 kbps en subida
UMTS (Universal Mobile Telecommunications System), la tercera generacin de
sistemas para mviles (3G). Los servicios asociados con la tercera generacin
18
Autoevaluacin
Puedo trabajar desde mi mvil en el PC de casa
NO, eso es ciencia-ficcin
Si
Retroalimentacin: Pues si se tiene acceso a internet desde el equipo de casa, abrimos los
puertos correspondientes, tenemos internet en el mvil, una app para escritorio remoto,
entonces s.
NAT esttica
Para realizar siempre la misma traduccin, una IP interna <-> una IP externa
Router(config)# ip nat inside source static ipinterna ipexterna
Adems, como hemos comentado anteriormente, hay que indicar cul es la interface interna y
cual la externa.
NAT dinmica
En este caso suele haber pocas IPs externas y muchas IPs internas de forma que a medida que
se va necesitando el acceso al exterior se van haciendo las traducciones. Tenemos que realizar
varias configuraciones, por un lado, definir las IPs internas (curiosamente se define como si
fuera una ACL, en la lista de accesos permitidos ponemos las IPs internas):
Router(config)# ip access-list standard IPs_internas
Router(config-std-nacl)# permit ip wildcard
Configuramos la traduccin:
Router(config)# ip nat inside source list IPs_internas pool IPs_externas
Adems, como hemos comentado anteriormente, hay que indicar cul es la interface interna y
cual la externa.
20