CCNA 4: PRACTICA No. 1 1.1. CONFIGURACION DE NAT 1.2. CONFIGURACION DE PAT 1.3. CONFIGURACION DE DHCP 1.4.

CONFIGURACION PPP 1.5. CONFIGURACION VPN

CONFIGURACION DE NAT Paso 1: Conexin del equipo usado en la prctica de laboratorio a. Siga el esquema que se le muestra a continuacin para conectar los equipos utilizados en este laboratorio.

Paso 2: Configuracin para cada enrutador a. Configuracin para EMPRESA1: Router# configure terminal Router(config)# hostname EMPRESA1 EMPRESA1(config)# enable secret cisco EMPRESA1(config)# line vty 0 4 EMPRESA1(config-line)# password ciscotel EMPRESA1(config-line)# login EMPRESA1(config-line)# exit EMPRESA1(config)# interface e0 EMPRESA1(config-if)# ip address 192.168.1.1 255.255.255.0 EMPRESA1(config-if)# no shutdown EMPRESA1(config-if)# exit EMPRESA1(config)# interface s0 EMPRESA1(config-if)# ip address 168.243.3.129 255.255.255.252 EMPRESA1(config-if)# no shutdown EMPRESA1(config-if)# exit EMPRESA1(config)# router igrp 10 EMPRESA1(config-router)# network 168.243.0.0 EMPRESA1(config-router)# exit EMPRESA1(config)# exit EMPRESA1# copy running-config startup-config b. Configuracin para EMPRESA2: Router# configure terminal Router(config)# hostname EMPRESA2 EMPRESA2(config)# enable secret cisco EMPRESA2(config)# line vty 0 4 EMPRESA2(config-line)# password ciscotel EMPRESA2(config-line)# login EMPRESA2(config-line)# exit

EMPRESA2(config)# interface e0 EMPRESA2(config-if)# ip address 192.168.2.1 255.255.255.0 EMPRESA2(config-if)# no shutdown EMPRESA2(config-if)# exit EMPRESA2(config)# interface s0 EMPRESA2(config-if)# ip address 168.243.3.133 255.255.255.252 EMPRESA2(config-if)# no shutdown EMPRESA2(config-if)# exit EMPRESA2(config)# router igrp 10 EMPRESA2(config-router)# network 168.243.0.0 EMPRESA2(config-router)# exit EMPRESA2(config)# exit EMPRESA2# copy running-config startup-config c. Configuracin para ISP: Router# configure terminal Router(config)# hostname ISP ISP(config)# enable secret cisco ISP(config)# line vty 0 4 ISP(config-line)# password ciscotel ISP(config-line)# login ISP(config-line)# exit ISP(config)# interface e0 ISP(config-if)# ip address 10.0.0.1 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# interface s0 ISP(config-if)# ip address 168.243.3.130 255.255.255.252 ISP(config-if)# clockrate 1000000 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# interface s1 ISP(config-if)# ip address 168.243.3.134 255.255.255.252 ISP(config-if)# clockrate 1000000 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# router igrp 10 ISP(config-router)# network 10.0.0.0 ISP(config-router)# network 168.243.0.0 ISP(config-router)# exit ISP(config)# exit ISP# copy running-config startup-config Pas 3: Configure las estaciones de trabajo y el web server de ejemplo: a. PC11: Direccin ip: 192.168.1.2, mscara de subred: 255.255.255.0, gateway: 192.168.1.1 b. PC21: Direccin ip: 192.168.2.2, mscara de subred: 255.255.255.0, gateway: 192.168.2.1 c. Web Server: Direccin ip: 10.0.0.2, mscara de subred: 255.255.255.0, gateway: 10.0.0.1

Paso 4: Verificacin del esquema a. Verificar las tablas de enrutamiento de los enrutadores EMPRESA1 y EMPRESA2. Use el comando show ip route b. Verificar la tabla de enrutamiento del enrutador ISP. Note que debido al carcter de redes privadas que tienen Las LAN soportadas por los enrutadores EMPRESA, las redes 192.168.1.0/24 y 192.168.2.0/24, no aparecern en la tabla de ISP c. Realizar las siguientes pruebas con la herramienta PING desde las estaciones de trabajo y el web server (se anotan a continuacin de cada prueba el resultado que debera obtenerse, comprelo con sus propios resultados:

Ping desde: PC11 ; hacia: 192.168.1.1 ; resultado: prueba exitosa Ping desde: PC21 ; hacia: 192.168.2.1 ; resultado: prueba exitosa Ping desde: PC11 ; hacia: 10.0.0.2 ; resultado: tiempo de espera agotado Ping desde: PC21 ; hacia: 10.0.0.2 ; resultado: tiempo de espera agotado Ping desde: WebServer ; hacia: 10.0.0.1 ; resultado: prueba exitosa Ping desde: WebServer ; hacia: 168.243.3.129 ; resultado: prueba exitosa Ping desde: WebServer ; hacia: 168.243.3.133 ; resultado: prueba exitosa Ping desde: WebServer ; hacia: 192.168.1.2 ; resultado: host de destino inaccesible Ping desde: WebServer ; hacia: 192.168.2.2 ; resultado: host de destino inaccesible Nuevamente se hace la aclaracin. Los fallos al realizar las pruebas Ping entre las estaciones de trabajo y el servidor, y viceversa, son un un comportamiento normal, ya que el enrutador ISP desconoce la existencia de las redes locales de EMPRESA1 y EMPRESA2. La comunicacin entre estas redes se lograr usando NAT o PAT.

Paso 5: Configuracin de NAT esttico en enrutador EMPRESA1 a. Asignacin de una red IP pblica para realizar el proceso de traduccin. Las direcciones de carcter pblico que se asignarn en el enrutador EMPRESA1 se tomarn del rango siguiente: 199.6.13.8 / 29 b. Configuracin de una direccin pblica en el enrutador EMPRESA1: EMPRESA1# configure terminal EMPRESA1(config)# interface e0 EMPRESA1(config-if)# ip address 199.6.13.9 255.255.255.248 secondary EMPRESA1(config-if)# exit EMPRESA1(config)# router igrp 10 EMPRESA1(config-router)# network 199.6.13.0 EMPRESA1(config-router)# exit EMPRESA1(config)# CTRL+Z b. Configuracin de NAT esttico para la direccin asignada a la PC11: EMPRESA1# configure terminal EMPRESA1(config)# ip nat inside source static 192.168.1.2 199.6.13.10 EMPRESA1(config)# interface e0

EMPRESA1(config-if)# ip nat inside EMPRESA1(config-if)# exit EMPRESA1(config)# interface s0 EMPRESA1(config-if)# ip nat outside EMPRESA1(config-if)# exit EMPRESA1(config)# CTRL+Z

Con los comandos anteriores se logra que cada vez que un paquete llegue a la interface e0 de EMPRESA1, y este necesite ser enviado a redes externas por medio de la s0, se traduzca su direccin privada a la pblica 199.6.13.10. d. Pruebas de conectividad. Realice las siguientes pruebas y confronte con sus resultados. Ping desde: PC11 ; hacia: 10.0.0.2 ; resultado: prueba exitosa Ping desde: WebServer ; hacia: 192.168.1.2 ; resultado: host de destino inaccesible Ping desde: WebServer ; hacia: 199.6.13.10 ; resultado: prueba exitosa Nota: Aun con el uso de NAT no es posible hacer Ping directamente a direcciones privadas (ese es el objetivo de la prctica), pero si se puede acceder a la PC11 a travs de su direccin pblica. e. Revise el estado de las traducciones en el enrutador EMPRESA1. Use el comando siguiente: EMPRESA1# show ip nat translation [Enter] Esta traduccin al haber sido creada de manera esttica, permanecer aun cuando se borren las traducciones activas con el comando: EMPRESA1# clear ip nat translation * [Enter] Veremos ms adelante como este comando si afecta a las traducciones dinmicas. Paso 6: Configuracin de traducciones dinmicas en enrutador EMPRESA1 a. Cambie la direccin IP de PC11 a: 192.168.1.3 b. Repita las pruebas de conectividad del apartado (d) del paso 5. Notar como al intentar acceder a redes externas con otras direcciones privadas, esto no es posible, y si se mantiene el esquema de traduccin esttica, sera necesario crear una traduccin para cada direccin privada de manera manual e individual. c. Para solventar esta situacin, activaremos una traduccin basada en un grupo de direcciones pblicas, que sern asignadas dinmicamente por orden de llegada con respecto a las privadas. Primero eliminamos la traduccin esttica creada con anterioridad. EMPRESA1# configure terminal EMPRESA1(config)# no ip nat inside source static 192.168.1.2 199.6.13.10 EMPRESA1(config)# exit EMPRESA1# clear ip nat translation * EMPRESA1# show ip nat translation Al ejecutar el comando show de la ltima lnea podr verificar que la traduccin esttica ya no existe.

d. Creacin del grupo (pool) de direcciones pblicas: EMPRESA1# configure terminal EMPRESA1(config)# ip nat pool grupo1 199.6.13.10 199.6.13.14 netmask 255.255.255.248 EMPRESA1(config)# CTRL+Z

e. Creacin de una lista de acceso estndar que permita comparar las direcciones de origen (privadas) y decidir si luego estas sern traducidas a direcciones pblicas. En este caso incluiremos en el derecho a ser traducidas a toda la red 192.168.1.0 / 24 EMPRESA1# configure terminal EMPRESA1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 EMPRESA1(config)# CTRL+Z La lista de acceso anterior NO SE DEBE APLICAR a ninguna interface. Recuerde, se usa solo para efectos de comparar el origen de los paquetes y tomar la decisin sobre la traduccin. No se usa la lista de acceso para afectar al trfico entrante o saliente en las interfaces involucradas en la traduccin.

f. Ahora se configurar la traduccin dinmica con base en el pool y la lista de acceso creadas previamente. EMPRESA1# configure terminal EMPRESA1(config)# ip nat inside source list 1 pool grupo1 EMPRESA1(config)# CTRL+Z No es necesario volver a definir el sentido de la traduccin (inside / outside), ya que si recuerda eso ya se haba configurado en la traduccin esttica y no debe cambiar (e0 inside ; s0 outside). g. Haga una prueba Ping desde PC11 (recuerde que esta todava tiene la direccin 192.168.1.3) hacia 10.0.0.2. En este caso la traduccin se llevar a cabo correctamente y se obtendr una respuesta exitosa. Revise de nuevo el estado de las traducciones usando el comando show ip nat translation h. Ahora que esta usando un pool o grupo de direcciones tambin puede usar el siguiente comando para obtener mas informacin sobre el estado actual de NAT en el enrutador. EMPRESA1# show ip nat statistics [Enter] Este comando le informar sobre la cantidad de direcciones estticas y dinmicas traducidas, tamao del pool, porcentaje utilizado, etc. i. Veamos que sucede cuando las traducciones requeridas exceden el nmero de direcciones pblicas que comprenden el pool. Haga lo siguiente: Cambie la direccin de PC11 a: 192.168.1.4 ; haga ping a: 10.0.0.2 ; revise las traducciones Notar que se crea una nueva traduccin por cada IP privada que necesita acceso a redes externas

Cambie la direccin de PC11 a: 192.168.1.5 ; haga ping a: 10.0.0.2 ; revise las traducciones Cambie la direccin de PC11 a: 192.168.1.6 ; haga ping a: 10.0.0.2 ; revise las traducciones Cambie la direccin de PC11 a: 192.168.1.7 ; haga ping a: 10.0.0.2 ; revise las traducciones Cambie la direccin de PC11 a: 192.168.1.8 ; haga ping a: 10.0.0.2 En este ltimo caso podr notar que la prueba Ping no tiene xito. Esto se debe a que el pool de direcciones pblicas (de 199.6.13.10 hasta 199.6.13.14) se ha agotado.

j. Limpie las traducciones con el comando siguiente: EMPRESA1# clear ip nat translation * [Enter] k. Ahora nuevamente realice la prueba ping desde PC11. Ahora si se tendr xito. Revise el estado de las traducciones, para confirmar que las anteriores fueron eliminadas y ahora solo queda la que se necesito para la direccin 192.168.1.8

Paso 7: Apague el enrutador EMPRESA1 (asegrese que la nica configuracin guardada sea la realizada hasta el literal (a) del paso 2 de esta seccin). La configuracin bsica servir para la seccin de DHCP, y no debe haber ninguna configuracin de NAT para ese momento.

1.2. CONFIGURACION DE PAT

Paso 1: Configuracin de PAT en enrutador EMPRESA2 a. Imaginemos una situacin similar a la que presenta el enrutador EMPRESA1. Se tiene un rango de direcciones pblicas limitado: 201.100.11.16 / 29 b. En este caso las condiciones se vuelven crticas, ya que las direcciones pblicas existentes, tambin sern distribuidas entre ciertos servidores y estaciones de trabajo de la LAN soportada por EMPRESA2, de la siguiente manera: Direccin: 201.100.11.17 ; asignada a: Interface e0 de enrutador EMPRESA2 Direccin: 201.100.11.18 ; asignada a servidor web de EMPRESA2 Direccin: 201.100.11.19 ; asignada a servidor ftp de EMPRESA2 Direccin: 201.100.11.20 ; asignada a servidor de correo electrnico de EMPRESA2 Las suposiciones anteriores reducen nuestro pool a dos direcciones. Veamos como es posible solventar este problema usando PAT. c. Configuracin previa a PAT en enrutador EMPRESA2:

EMPRESA2# configure terminal EMPRESA2(config)# interface e0 EMPRESA2(config-if)# ip address 201.100.11.17 255.255.255.248 secondary EMPRESA2(config-if)# exit EMPRESA2(config)# router igrp 10 EMPRESA2(config-router)# network 201.100.11.0 EMPRESA2(config-router)# exit EMPRESA2(config)# CTRL+Z

d. Configuracin de PAT (NAT Overloaded) EMPRESA2# configure terminal EMPRESA2(config)# ip nat pool grupo2 201.100.11.21 201.100.11.22 netmask 255.255.255.248 EMPRESA2(config)# access-list 2 permit 192.168.2.0 0.0.0.255 EMPRESA2(config)# ip nat inside source list 2 pool grupo2 overloaded EMPRESA2(config)# interface e0 EMPRESA2(config-if)# ip nat inside EMPRESA2(config-if)# exit EMPRESA2(config)# interface s0 EMPRESA2(config-if)# ip nat outside EMPRESA2(config-if)# exit EMPRESA2(config)# CTRL+Z

e. Pruebas de conectividad. Pruebe con Ping, y despus de cada prueba revise el estado de las traducciones en EMPRESA2. Ping desde: PC21 (con direccin 192.168.2.2) ; hacia: 10.0.0.2 ; resultado: prueba exitosa Cambie la direccin de PC21 a: 192.168.2.3 ; haga Ping hacia: 10.0.0.2 ; resultado: prueba exitosa Cambie la direccin de PC21 a: 192.168.2.4 ; haga Ping hacia: 10.0.0.2 ; resultado: prueba exitosa Notara que al usar la sobrecarga en la traduccin de direcciones de forma dinmica, ya no hay mayores problemas si nuestro pool de direcciones pblicas es mas pequeo que el nmero real de direcciones privadas a traducir.

f. Use el comando show ip nat statistics en el enrutador EMPRESA2, para verificar que las direcciones traducidas de forma sobrecargada se manejan como extendidas.

Paso 2: Configuracin del tiempo de time-out para las traducciones dinmicas:

a. Si no se ha configurado traduccin sobrecargada (el caso de EMPRESA1), se puede cambiar el tiempo por defecto de timeout para las traducciones de la siguiente manera (el tiempo para que una traduccin caduque por defecto es de 24 horas). EMPRESA1# configure terminal EMPRESA1(config)# ip nat translation timeout 600 EMPRESA1(config)# CTRL+Z En la configuracin anterior se reduce el tiempo para que una traduccin expire a solamente 10 minutos. b. Si se ha activado la sobrecarga en las traducciones (el caso de EMPRESA2), se puede tener mas control sobre cada uno de los tipos de traduccin (tcp, udp, icmp, etc.). Hgalo de esta manera: EMPRESA2# configure terminal EMPRESA2(config)# ip nat translation udp-timeout 60 EMPRESA2(config)# ip nat translation tcp-timeout 600 EMPRESA2(config)# ip nat translation dns-timeout 30 EMPRESA2(config)# ip nat translation icmp-timeout 30 EMPRESA2(config)# CTRL+Z Los tiempos dados en los comandos anteriores, todos son en segundos Paso 3: Apague el enrutador EMPRESA2. Solamente debe quedar guardada al configuracin inicial bsica, ya que a continuacin se desarrollar la seccin de DHCP (no debe haber ninguna configuracin de NAT o PAT para poder comenzar dicha seccin).

1.3. CONFIGURACION DE DHCP Paso 1: Configuracin previa a DHCP a. Cambie la configuracin TCP/IP de PC11 de modo que obtenga los valores de configuracin de forma automtica b. Tambin cambie la configuracin de PC21, para que obtenga dire ccin y otros parmetros automticamente. c. Incluya las redes LAN de los enrutadores EMPRESA1 y EMPRESA2 a los respectivos procesos de enrutamiento (en este caso no sern tratadas como privadas)

EMPRESA1# configure terminal EMPRESA1(config)# router igrp 10 EMPRESA1(config-router)# network 192.168.1.0 EMPRESA1(config-router)# exit EMPRESA1(config)# CTRL+Z EMPRESA2# configure terminal EMPRESA2(config)# router igrp 10 EMPRESA2(config-router)# network 192.168.2.0 EMPRESA2(config-router)# exit EMPRESA2(config)# CTRL+Z

Paso 2: Configuracin de un scope para la LAN de EMPRESA1 a. En el enrutador ISP crearemos una rango de direcciones que se asignarn a las maquinas solicitantes en la LAN 192.168.1.0 / 24 ISP# configure terminal ISP(config)# ip dhcp pool empresa1 ISP(dhcp-config)# network 192.168.1.0 255.255.255.0 ISP(dhcp-config)# exit ISP(config)# CTRL+Z b. Ahora hay que configurar al enrutador remoto (EMPRESA1) para redireccionar las peticiones DCHP hacia ISP. EMPRESA1# configure terminal EMPRESA1(config)# interface e0 EMPRESA1(config-if)# ip helper-address 10.0.0.1 EMPRESA1(config-if)# exit EMPRESA1(config)# CTRL+Z c. En la PC11, use el comando ipconfig /renew para intentar obtener una direccin del pool creado en ISP. Note que al conseguir la informacin solamente los parmetros bsicos (direccin y mscara de subred) son ofrecidos por el servidor DHCP. En el enrutador ISP puede verificar los leases activos con el comando: ISP# show ip dhcp binding [Enter] d. Si se desea se puede excluir un espacio de direcciones dentro de un pool (por ejemplo para usar las primeras 20 direcciones de forma manual). Esto puede hacerlo as: ISP# configure terminal ISP(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.20 ISP(config)# CTRL+Z Antes de volver a obtener la direccin en PC11 puede borrar la asociacin (binding) ya establecida en el servidorn DHCP (ISP), as: ISP# clear ip dhcp binding * [Enter] Ahora renueve la direccin n en PC11 para ver el efecto de esta exclusin de direcciones. Paso 3: Configurar un scope para la LAN de EMPRESA2 utilizando mas opciones de informacin a. Configuracin en enrutador ISP: ISP# configure terminal ISP(config)# ip dhcp pool empresa2 ISP(dhcp-config)# network 192.168.2.0 255.255.255.0 ISP(dhcp-config)# default-router 192.168.2.1 ISP(dhcp-config)# dns-server 192.168.2.250 ISP(dhcp-config)# domain-name laboratorio.com ISP(dhcp-config)# netbios-name-server 192.168.2.251 ISP(dhcp-config)# exit

ISP(config)# CTRL+Z b. Y en este caso excluiremos dos rangos de direcciones dentro del pool ISP# configure terminal ISP(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.20 ISP(config)# ip dhcp excluded-address 192.168.2.240 192.168.2.254 ISP(config)# CTRL+Z c. Y para concluir configuramos el ayudador de IP en el enrutador EMPRESA2 EMPRESA2# configure terminal EMPRESA2(config)# interface e0 EMPRESA2(config-if)# ip helper-address 10.0.0.1 EMPRESA2(config-if)# exit EMPRESA2(config)# CTRL+Z d. Para comprobar la efectividad de la configuracin use el comando ipconfig /renew en PC21 y vea los resultados luego con ipconfig /all. Podr ver todos los parmetros de IP enviados por el servidor. Paso 4: Apague y desconecte el equipo usado en la prctica.

CONFUGURACION PPP Configuracin de PPP como encapsulamiento de WAN en las interfaces seriales de los tres enrutadores a. Configuracin de PPP en el enrutador EMPRESA1: EMPRESA1# configure terminal EMPRESA1(config)# interface serial 0 EMPRESA1(config-if)# encapsulation ppp EMPRESA1(config-if)# exit EMPRESA1(config)# CTRL+Z b. Configuracin de PPP en el enrutador EMPRESA2: EMPRESA2# configure terminal EMPRESA2(config)# interface serial 0 EMPRESA2(config-if)# encapsulation ppp EMPRESA2(config-if)# exit EMPRESA2(config)# CTRL+Z Configuracin de PPP en el enrutador ISP: ISP# configure terminal ISP (config)# interface serial 0 ISP (config-if)# encapsulation ppp

ISP (config-if)# exit ISP(config)# interface serial 1 ISP(config-if)# encapsulation ppp ISP(config-if)# exit ISP (config)# CTRL+Z

VPN (GRE, TUNEL)

Configuracin de las interfaces lgicas de tipo tnel en SUCURSAL1 y SUCURSAL2 a. Configuracin en enrutador SUCURSAL1: SUCURSAL1# configure terminal SUCURSAL1(config)# interface tunnel 0 SUCURSAL1(config-if)# ip address 192.168.3.1 255.255.255.0 SUCURSAL1(config-if)# tunnel source S0 SUCURSAL1(config-if)# tunnel destination 168.243.3.133 SUCURSAL1(config-if)# exit SUCURSAL1(config)# CTRL+Z b. Configuracin en enrutador SUCURSAL2: SUCURSAL2# configure terminal SUCURSAL2(config)# interface tunnel 0 SUCURSAL2(config-if)# ip address 192.168.3.2 255.255.255.0 SUCURSAL2(config-if)# tunnel source S0 SUCURSAL2(config-if)# tunnel destination 168.243.3.129 SUCURSAL2(config-if)# exit SUCURSAL2(config)# CTRL+Z

Configuracin de enrutamiento esttico sobre el tnel GRE: a. Configuracin en enrutador SUCURSAL1: SUCURSAL1# configure terminal SUCURSAL1(config)# ip route 192.168.2.0 255.255.255.0 192.168.3.2 SUCURSAL1(config)# CTRL+Z b. Configuracin en enrutador SUCURSAL2: SUCURSAL2# configure terminal SUCURSAL2(config)# ip route 192.168.1.0 255.255.255.0 192.168.3.1 SUCURSAL2(config)# CTRL+Z