NAT (Network Address Traslation)

Permite a una organizacin aparentar usar su red de IP con direcciones diferentes a las que realmente usa. Permite convertir espacio de IP no enrutable en direcciones enrutables. Permite cambiar de ISP de una forma amigable. Definido en el RFC 1631

Posibles usos de NAT

Se desea conectar al Internet, pero no se posee espacio asignado. Se puede usar un direccionamiento privado. El NAT se configura en enrutador frontera creando una red interna y una externa (Internet). El NAT traduce la direccin interna a una direccin global y nica. Se necesita cambiar el direccionamiento de IP. Esto puede resultar caro y laborioso, en lugar se introduce un NAT para traducir al nuevo espacio.

Posibles esquemas
Las direcciones de las LANs no son enrutables. Por medio del NAT se logra un acceso a Internet
Internet

NAT
LAN 3

LAN 1 LAN 2

Espacio de IP no enrutable

Posibles esquemas
La traslacin puede ser aplicada slo a algunos segmentos (LANs 1-3) sin afectar a los servidores que necesiten una direccin fija de IP.
NAT

Internet

www DNS Correo

LAN 3

LAN 4

Espacio de IP enrutable

LAN 1 LAN 2

Espacio de IP no enrutable

Trminos
Inside local address
La direccin de IP asignada a un host en la red interna. La direccin es probablemente no legtima.

Inside global address

Una direccin de IP legtima que representa una o ms inside local IP address para el mundo exterior.

Outside local address

La direccin de IP de un host externo como aparenta hacia la red interna.

Outside global address

La direccin de IP de un host asignada a este por el propietario del host.

Tipos de NAT
Traslacin Esttica
Establece un mapeo uno-a-uno entre una direccin inside local y una direccin inside global. Es til cuando un host debe ser accesible desde el exterior mediante una direccin fija.

Traslacin Dinmica
Establece un mapeo entre las direcciones inside local y un pool de direcciones globales.

Configuracin de NAT
ip nat {inside | outside} ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} ip nat inside source {list {access-list-number | name} pool name | static local-ip global-ip} ip nat translation timeout seconds

Ejemplo
La red local sale a Internet por el ISP1 con direcciones ISP2 propias. La red en el Eth 1 del Router C sale por el ISP2 haciendo NAT con el Router B Routers A,B y C deben correr un IGP. Router C debe tener una ruta esttica de ltimo recurso apuntando hacia Router B. ste debe apuntar hacia el ISP2 y Router A hacia el ISP1
Internet
ISP1

s0
Router B Eth 0

s0
Router A Eth 0

Red Local

Eth 0 Router C Eth 1

Configuracin
Router C
interface Ethernet0 ip address 132.250.88.1 255.255.255.0 ip address 132.250.89.1 255.255.255.0 secondary ! interface Ethernet1 ip address 132.250.101.6 255.255.255.0 ! router eigrp 2404 network 132.250.0.0 ! no ip classless ip route 0.0.0.0 0.0.0.0 132.250.101.5

Configuracin
Router B
ip nat translation timeout 7200 ip nat pool red-1 149.245.9.10 149.245.9.253 netmask 255.255.255.0 ip nat inside source list 1 pool red-1 interface Ethernet0 ip address 132.250.101.5 255.255.255.0 ip nat inside ! interface Serial0 ip address 200.23.215.242 255.255.255.252 ip nat outside ! router eigrp 2404 no ip classless ip route 0.0.0.0 0.0.0.0 200.23.215.241 network 132.250.0.0 access-list 1 permit 132.250.88.0 0.0.0.255 access-list 1 permit 132.250.89.0 0.0.0.255

Recomendaciones en el uso del NAT

Basar el direccionamiento privado en el RFC 1918 para evitar el overlapping. El NAT deber tener mnimo una interfaz interior y una exterior Verificar que el espacio de IP demandado no sea mayor que el espacio de IP global disponible.

Espacio privado de IP (RFC 1918)

10.0.0.0 - 10.255.255.255
(prefijo 10/8, clase A)

172.16.0.0 - 172.31.255.255
(prefijo 172.16/12, 16 clases B contiguas)

192.168.0.0 - 192.168.255.255
(prefijo 192.168/16, 256 clases C contiguas)

Policy Routing
Policy routing es un mecanismo ms flexible para enrutar paquetes que ruteo basado en fuente. Es un proceso donde el enrutador pone paquetes en un route-map antes de enrutarlos. El route-map determina cual es el siguiente enrutador. Se puede habilitar policy routing si se desea que ciertos paquetes se enruten en alguna forma diferente al path ptimo.

Policy Routing
Router A y la red local salen por el ISP1
Internet
ISP2 ISP1

Router B y las redes conectadas a el salen por el ISP2 Eth 1 Router C debe salir por el ISP1 ISP1
Eth 0 Router C Eth 1

s0
Router B Eth 0

s0
Router A Eth 0

Red Local

Policy Routing
Router A y Router C se configuraran normalmente corriendo un IGP Router B
interface Ethernet0 ip address 131.170.79.3 255.255.255.0 ip policy route-map ruta_alterna ! router eigrp 6342 network 131.170.0.0 ! no ip classless ip route 0.0.0.0 0.0.0.0 131.170.79.2 access-list 2 permit 131.170.68.0 0.0.0.255 access-list 3 permit any route-map ruta_pabellon permit 10 match ip address 2 set ip default next-hop 131.170.79.1 ! route-map ruta_pabellon permit 20 match ip address 3

HSRP
Provee redundancia automtica entre dos enrutadores Cisco. Para IP, HSRP permite que un enrutador asuma las responsabilidades de un segundo enrutador si este segundo falla.

HSRP
3.3.3.10

3.3.3.1

3.3.3.2

Router A
1.1.1.1

Router B
1.1.1.2

1.1.1.10

HSRP
3.3.3.10

Ethernet 1

3.3.3.1

3.3.3.2

Router A
1.1.1.3 1.1.1.1

Router B
1.1.1.2

Ethernet 0

router-virtual
1.1.1.10

Terminologa
Active Router
El enrutador que actualmente est forwardeando paquetes como el enrutador virtual

Standby Router
Es el enrutador de respaldo primario

Standby Group
El grupo de enrutadores participand en HSRP que juntos emulan el enrutador virtual

Hello Time
El intervalo entre mensajes HSRP Hello enviados a un enrutador

Hold Time
El intervalo entre la recepcin de un Hello y la suposicin de que el enviante ha fallado

Funcionamiento (RFC2281)
Los enrutadores que esten dentro del mismo grupo contienden por ser el enrutador virtual. El que tenga la mayor prioridad se convierte en el enrutador activo (por default la prioridad=100). El siguiente enrutador en prioridad se convierte en el enrutador de respaldo. El enrutaador activo toma entonces control de la direccin de ip virtual y de la MAC address virtual (La direccin de ip es asignada por el administrador de la red, la asignacin de la MAC address es automtica, para detalles ver RFC2281 punto 6) El enrutador activo deber informar a los dems enrutadores de su disponibilidad mediante paquetes de hello. Estos paquetes deben enviarse en un perodo de tiempo(hello time) menor al hold time. En caso de que estos paquetes no se reciban, el enrutador de respaldo toma el control y se convierte en el nuevo enrutador activo. En cuanto el enrutador con mayor prioridad reenva paquetes de hello, una nueva contencin se lleva a cabo.

HSRP
hostname Router A ! interface ethernet 0 ip address 1.1.1.3 255.255.255.0 standby 1 ip 1.1.1.1 standby 1 preempt standby 1 priority 110 standby 1 authentication hsrp standby 1 timers 5 15 ! router eigrp 1 network 1.0.0.0 network 3.0.0.0 Default de timers 3 y 8 segundos hostname Router B ! interface ethernet 0 ip address 1.1.1.2 255.255.255.0 standby 1 ip 1.1.1.3 standby 1 preempt standby 1 authentication hsrp standby 1 timers 5 15 ! router eigrp 1 network 1.0.0.0 network 2.0.0.0

Monitoreo de HRSP
RouterA#show standby Vlan100 - Group 1 Local state is Active, priority 110, may preempt Hellotime 5 holdtime 15 Next hello sent in 00:00:01.484 Hot standby IP address is 1.1.1.1 configured Active router is local Standby router is 1.1.1.2 expires in 00:00:07 RouterB#show standby Ethernet4/1 - Group 1 Local state is Standby, priority 100, may preempt Hellotime 5 holdtime 15 Next hello sent in 00:00:01.808 Hot standby IP address is 1.1.1.1 configured Active router is 1.1.1.3 expires in 00:00:07 Standby router is local

Monitoreo de HSRP
RouterB#show standby brief P indicates configured to preempt. | Interface Grp Prio P State Active addr Standby addr Group addr Et0 1 100 P Standby 1.1.1.3 local 131.178.100.1

Tipos de VLANs
ATM - Ethernet/Token Ring
LANE

FastEthernet-Gigaethernet
ISL (Cisco) IEEE 802.1Q

FDDI, Token Ring, FE, GE

IEEE 802.1Q

LANE/VLAN Internetworking Dentro de la ELAN Entre ELANs

Layer 2 Switching

ATM Switch

ATM Router

Layer 3 Switching

Beneficios de VLANs
Reduce costos administrativos Membresia fsicamente dispersa. Se puede limitar el dominio de broadcast Los usuarios pueden reasignarse a otra VLAN diferente mediante una aplicacin de administracin Proteccin de entrada a intrusos mediante polticas de membresa Los Servidores pueden estar en muchas VLANs al mismo tiempo Seguridad adicional mediante firewalls entre VLANs reforzadas por un router

Evolucin de una red Switched

ATM Workgroup Switch

Compartido Switched
Sistema de VLANs

Multilayer Switch (Layer 2 and 3)

Si

El nuevo Wiring Closet

LAN Switch (Layer 2)

Backbone tradicionalmente colapsado

ATM Campus Switch

Hub

ATM Internetworking Software

El nuevo backbone Switched

Diseo de un red Plana

100Mb Ethernet

Bridging Sin control de broadcast Sin VLANs Severas implicaciones de escalamiento

VLANs
100Mb ISL Trunk

Tres dominios de broadcast va VLANs VLANs se mantienen separadas en las troncales Sin comunicacin inter-VLAN

VLANs y ELANs Router

ATM

LES/BUS
M AT

AT M

LES/BUS LES/BUS

100Mb Trunks

VLANs transportadas por el trunk VLANs deben ser mapeadas a ELANs Routeo entre ELANs

Configurar VLANs (FE/GE/FDDI)

En configuracin de subinterfaz
encapsulation isl vlan-identifier
ISL, identificador de 10 bits

encapsulation sde said

SAID, Security association identifier. El valor puede ser usado como idenficador de VLAN (IEEE 802.10). El valor vlido es de 0 a 0xFFFFFFFE.

Ejemplo VLANs
FastEth 0.1 Vlan 101 ISL Switch-A Trunk Vlan 101 Router-1 FastEth 0.1 Vlan 1 ... FastEth 0.n Vlan n interface FastEthernet0/0 no ip address full-duplex ! interface FastEthernet0/0.1 description Conexion al Campus encapsulation isl 101 ip address 10.1.1.1 255.255.255.0 ! interface FastEthernet1/0 no ip address full-duplex ! interface FastEthernet1/0.1 encapsulation isl 1 ip address 10.10.10.1 255.255.255.0 ip helper-address 131.178.1.1 ! interface FastEthernet1/0.2 encapsulation isl 50 ip address 10.1.2.1 255.255.255.0

Fastethernet switch-1

Switch-2

Switch-3 Switch-4

Layer 3 switching
MPLS Multi-Protocol Label Switching (IETF), Tag Switching (Prop.Cisco) MLS Multi-Layer Switching (Propietario de Cisco) MPOA Multi-Protocol Over ATM (LANEATM) IP-switching (ATM, prop. de Ipsilon)

MPLS-Tag Switching
Incrementar la demanda de throughput Escalamiento Ingeniera de Trfico Incremento de la funcionalidad del enrutamiento de IP. Simplificar la integracin de ATM y tecnologas basadas en IP. La idea bsica es integrar la capa 3 del modelo OSI con la capa 2 (ATM). Obteniendo los beneficios de la rapidez de mover datos en ATM con hardware optimizado y las ventajas de lo protocolos de enrutamiento de IP.

MPLS-Tag Switching
En L3 convencional, cada vez que un paquete atraviesa una red, cada enrutador extrae la informacin de forwardeo del encabezado de nivel 3. Este anlisis se repite cuantas veces un paquete atraviese hops. En MPLS-TS, el encabezado de nivel 3 slo es analizado una vez. Entonces es mapeado a un pequeo prefijo llamado etiqueta (tag-label). En cada salto, la decisin de forwardeo es hecha solamente en el valor de la etiqueta. No hay necesidad de reanalizar el encabezado de nivel 3. Debido a que la etiqueta es de tamao fijo, esto es rpido y simple.

MPLS-Tag Switching
Una red MPLS-TS consiste en tag edge routers y tag switches. Tag edge routers se localizan en los lmites de la red y usan los protocolos estndares de enrutamiento para crear las tablas de enrutamiento. Basados en las tablas de enrutamiento, usan el Tag Distribution Protocol (TDP) para aplicar y distribuir etiquetas entre otros tag edge routers o tag switches. Tag switches estn localizados en el centro de la red. Estos reciben informacin a trvs de TDP y construyen su tabla de forwarding. Entonces mueven paquetes en base en etiquetas sin mirar al encabezado de L3.

MPLS-Tag Switching
Tag edge router Tag Switch (Switch ATM o enrutador

MLS
MLS provee conmutacin a nivel 3 basado en hardware para algunas de las series de switches Cisco. MLS conmuta flujos de paquetes de IP unicast entre subredes usando circuitos integrados para aplicaciones avanzadas de uso especfico (ASIC). Esta conmutacin en hardware, permite la descarga de procesamiento de los enrutadores tradicionales. Los paquetes son conmutados de esta forma siempre y cuando se tenga un path entre los dos host que los generan.

MLS
Los paquetes que no tengan un path parcial o completo hacia sus destinos son enviados por enrutadores en la forma tradicional (OSPF, EIGRP, RIP, IS-IS). MLS provee estadsticas de trfico que pueden usarse para identificar las caractersticas de trfico para administracin, planeacin y resolucin de problemas. MLS usa NetFlow Data Export (NDE) para exportar estadsticas de flujos de trfico.

Componentes de MLS
Multilayer Switching-Switching Engine (MLS-SE)
La MLS-SE provee los servicios de Layer 3 LAN-switching .

Multilayer Switching-Route Processor (MLS-RP)

Un enrutador que soporte MLS. El MLS-RP provee multiprotocol routing, servicios de capa de red, control y configuracin central de los switches.

Multilayer Switching Protocol (MLSP)

Es el protocolo corriendo entre el MLS-SE y el MLS-RP para habilitar MLS.

MLS
Host A y Host B estn en diferente VLAN. EL primer paquete de A es enviado a su enrutador (gateway o MLSRP). EL MLS-SE identifica el flujo de trfico y las MAC Address involucradas (A, B y enrutador) y crea una entrada en su cache. (solo si el flujo fue vlido) El siguiente paquete de A a B es identificado nuevamente por el MLS-SE, al ya existir una tabla en el cache, el MLSSE intercepta el paquete y modifica el contenido del header de L2 (MAC fuente y destino) y el header de L3 (TTL, checksum)

MLS