--- title: Lat de NAT author: Taller de diseño de redes universitarias --- Lab de traducciónes de dirección de red ======================================== Introducción ------------ El propósito de este ejercicio es aprender como configurar NAT por una red académica. Vamos a configurar NAT en nuestro enrutador de borde para que el direccionamiento privado de IPv4 (172.2X.0.0/16) usaré NAT para que los dispositivos usando ese direccionamiento privado pueden alcanzar el Internet publico. Configurando NAT en el enrutador de borde -----------------------------------------  **NOTA!**: Asegúrese de reemplazar **X** con el número de su campus Crea un grupo de direcciones para usar con NAT: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip nat pool CAMPUSX 100.68.X.33 100.68.X.46 prefix-length 28 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Cree una lista de acceso que defina las direcciones que deben ser traducidas: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip access-list extended NATplus remark No usa NAT por las direcciones NREN deny ip 100.68.0.0 0.0.0.255 any remark No usa NAT pur nuestras direcciones públicas deny ip 100.68.X.0 0.0.0.255 any remark Tráfico de NAT que va al Internet permit ip 172.2X.0.0 0.0.255.255 any remark No usa NAT por cualquier otra cosa - y, registra remark Do not NAT anything else - Y registrar cualquier cosa que llegue hasta aquí deny ip any any log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Unir la lista de acceso y el bloque de direcciones juntos: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip nat inside source list NATplus pool CAMPUSX overload ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ El comando que acaba de ingresar buscará paquetes entrantes que coincidan con los NATplus, y traducirlos a la dirección especificada en CAMPUSX. El comando "sobrecarga" garantiza que el enrutador pueda asignar muchas direcciones internas a La pequeña gama de direcciones públicas externas. Sin "sobrecarga", el router NAT simplemente asignará una dirección interna a una dirección externa - y con sólo 14 direcciones en el grupo CAMPUSX, esto significaría que sólo 14 direcciones internas usaria NAT antes que el bloque de direcciones se agota. Ahora agregue la traducción de direcciones a las interfaces de red (los nombres de la interfaz dependen de los routers utilizados): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface FastEthernet0/0 description Link to NREN ip nat outside ! interface FastEthernet0/1 description Link to Core Router ip nat inside ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   Probando -------- Inicie sesión en uno de sus conmutadores. Estos tienen direcciones en el rango 172.2X.0.0 / 16. Puede hacer ping hacia su enrutador de border? Ahora trate de hacer ping a uno de los enrutadores NREN Transit en 10.10.0.235 o 10.10.0.236 - ¿Funciona? ¿Puedes hacer ping a 10.10.0.254? Esta es la puerta de enlace predeterminada de la red del taller. Los routers de Transit no saben nada sobre su 172.2X.0.0 / 16 así que si la traducción de direcciones de red está funcionando, entonces la dirección IP original de la paquete se ha traducido en el rango: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 100.68.X.33 100.68.X.46 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Puede usar el comando: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ show ip nat translations ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ en su enrutador de border para ver que pasa. ¿Puede hacer ping al Internet mas amplio de uno de sus conmutadores? Por ejemplo, Se puede hacer ping a **8.8.8.8**? Si funciona el ping, intente usar **trace** a **8.8.8.8**. ¿Que ves?   Ejercicio adicional -------------------- Si ha completado todo arriba y mostrado que todo esta funcionando y tienes un poco tiempo extra puede intentar esta configuración. En vez de tener un solo bloque de direccion NAT por todo la universidad, usa NAT por el espacio privado de IPV4 usado por cada clase de usuario en su propio bloque. Entonces, por ejemplo, usa NAT por el espacio de MGMT en un bloque de direccion NAT publico, el espacio de direcciones STAFF en otro bloque, y el espacio de direcciones STUDENT en un tercer bloque publico. Pregunta a los instructores si necesita ayuda. Usa el ejemplo arriba para guiarle en este escenario: **Pista 1** - usa esta tabla por su asignación de NAT | **VLAN** | **Bloque interno direcciones** | **Direcciones externo** | |----------|---------------------------------|-------------------------| | MGMT | 172.2X.10/24 & 172.2X.20/24 | 100.68.X.33-36 | | STAFF | 172.2X.11/24 & 172.2X.21/24 | 100.68.X.37-40 | | STUDENT | 172.2X.12/24 & 172.2X.22/24 | 100.68.X.41-44 | **Pista 2** - Configura un bloque de direccion por cada VLAN y configurar un asignación por cada bloque. Una vez que haya hecho que funcione, muestre a los instructores del taller.