Router Teldat Facilidad NAT DINÁMICO Doc. DM755 Rev. 10. 60 Noviembre, 2006
ÍNDICE Capítulo 1 Introducción...1 1. Introducción al NAT... 2 2. Tipos de NAT... 3 2.1. NAT estático... 3 2.2. NAT dinámico... 3 2.3. NAPT/PAT (Enmascaramiento)... 4 3. Problemas comunes a todas las técnicas NAT... 5 3.1. Información de estado... 5 3.2. Fragmentación... 5 3.3. Comportamiento según el tipo de protocolo... 5 a) Aplicaciones venenosas... 5 b) Protocolos de Routing Dinámico (RIP, EGP, )... 5 Capítulo 2 Configuración...6 1. Configuración NAT DINÁMICO... 7 2. Comandos de configuración NAT DINÁMICO... 9 2.1.? (AYUDA)... 9 2.2. INTERFACE... 10 2.3. POOL... 10 2.4. RULE... 10 2.5. TIMEOUT... 11 2.6. LIST... 11 2.7. NO... 11 2.8. EXIT... 12 3. Resumen de comandos... 13 Capítulo 3 Monitorización...14 1. Monitorización NAT DINÁMICO... 15 1.1.? (AYUDA)... 15 1.2. CLEAR... 15 1.3. LIST... 16 1.4. EXIT... 17 Capítulo 4 Ejemplo de configuración...18 1. NAT dinámico...19 Capítulo 5 Eventos de la facilidad DNAT...21 1. Visualización de eventos de la facilidad DNAT... 22 2. Ejemplo de eventos... 23 - ii -
Capítulo 1 Introducción
1. Introducción al NAT Dos de los principales problemas que posee Internet son la escasez de direcciones IP y el creciente tamaño de las tablas de rutas. La facilidad NAT (Network Address Translation) permite a la red IP de una empresa aparentar, de cara al resto de redes IP, que está usando un espacio de direccionamiento distinto al que internamente está usando. Por tanto NAT permite a una empresa que utiliza direcciones privadas (direcciones locales), y que por tanto no son accesibles por tabla de rutas de Internet, conectarse a Internet al convertir dichas direcciones en públicas (direcciones globales) que sí son accesibles desde Internet. NAT además permite a las empresas poner en marcha estrategias de redireccionamiento en las que los cambios en las redes IP locales son mínimos. NAT tiene diversas aplicaciones, siendo algunos escenarios posibles los siguientes: Se quiere tener conectividad con Internet, pero no todos los equipos poseen direcciones IP globales (permitidas). En este caso se configura un router NAT como enlace entre el dominio privado (red local) y el dominio público (red pública: en este caso Internet). El router NAT traduce las direcciones locales en direcciones globales antes de enviar los paquetes al exterior. Una empresa requiere conectividad IP entre oficinas remotas. Dichas oficinas remotas posee redes IP internas que no cumplen con un plan de direccionamiento con lo que las tablas de rutas para lograr conectividad entre ellas es grande o imposible. En este caso sería suficiente con configurar NAT en los routers frontera de cada oficina, realizar así la transformación entre las redes internas de las oficinas a redes globales, que ahora sí cumplen con el plan de direccionamiento. Se necesitan cambiar la direcciones internas de muchos equipos. En lugar de realizar dicho cambio que sería muy costoso en tiempo se podría realizar NAT. Una ventaja muy importante del NAT es que para cambiar la dirección de muchos equipos locales solo requiere realizar cambios en los routers NAT. Las desventajas del NAT aparecen cuando existen muchos equipos que requieren NAT simultáneamente o cuando las aplicaciones de red intercambian referencias a direcciones IP origen o destino: dichas aplicaciones no funcionan si su información viaja a través de un router NAT de forma transparente, en este caso la única solución es que el router NAT analice los paquetes de datos de dicha aplicación, averiguando y cambiando las referencias a direcciones IP locales. Un router NAT tiene al menos un interfaz local (interfaz en contacto con la red local) y un interfaz global (interfaz en contacto con la red global). En un entorno típico, la facilidad NAT se configura en el router frontera entre el dominio stub y el backbone. Cuando un paquete abandona el dominio stub, el router NAT cambia la dirección local origen del paquete por una dirección global. Cuando un paquete entra en el dominio, la dirección destino global del paquete se cambia por la dirección destino local. Un router configurado con NAT no debe anunciar las redes locales a través de los interfaces globales. Sin embargo las rutas globales si pueden ser anunciadas a través de los interfaces locales. Como se ha dicho con anterioridad, el termino local representa a aquellas redes que pertenecen a una empresa y que deben ser traducidas. Dentro del dominio local un determinado equipo poseerá una dirección local, mientras que en el exterior aparentará que posee una dirección de otro espacio de direcciones. Por tanto, el primer espacio de direcciones es el local y el segundo espacio de direcciones es el global. ROUTER TELDAT - Introducción Facilidad NAT I - 2
2. Tipos de NAT La traducción de direcciones puede ser: NAT estático: la correspondencia de direcciones locales y globales es unívoca. NAT dinámico: se establece una correspondencia de direcciones locales en un pool de direcciones globales. Por tanto la correspondencia entre direcciones globales y locales no es unívoca y depende de condiciones de ejecución. NAPT (Address Port Translation): se establece una correspondencia entre direcciones locales y una única dirección global. En este caso lo que se realiza es una traslación de los puertos de protocolos de transporte (UDP, TCP). En los siguientes subapartados m y n significan: m: número de direcciones IP locales. n: número de direcciones IP globales. 2.1. NAT estático m : n-traslación, m, n 1 y m = n (m, n N) Con NAT estático se realiza traslación de redes locales en redes globales del mismo tamaño (con mismo número de direcciones IP). Un caso particular es cuando las dos redes contienen sólo una dirección IP (máscara de red 255.255.255.255). El proceso NAT puede describirse con la siguiente transformación: dirección-global = red-global OR (dirección-local AND (NOT máscara-red)) dirección-local = red-local OR (dirección-global AND (NOT máscara-red)) Regla NAT: trasladar todas las direcciones de la red local 138.201.148.0 en la red global 94.64.15.0, siendo la máscara de ambas redes 255.255.255.0. AND 100010101100100110010010 00011011 000000000000000000000000 11111111 010111100100000000001111 010111100100000000001111 00011011 (dirección antigua 138.201.148.27) (máscara de red negada) (red 94.64.15.0) (dirección nueva 94.64.15.27) 2.2. NAT dinámico m: n-traslación, m 1 y m n (m, n N) Este tipo de NAT es necesario cuando el número de direcciones globales disponibles es menor que el de locales, o iguales pero por alguna razón no interesa que el NAT sea estático. El número de equipos locales comunicándose con el exterior simultáneamente queda limitado al número de direcciones ROUTER TELDAT - Introducción Facilidad NAT I - 3
globales disponibles. Cuando todas las direcciones globales están siendo usadas, subsiguientes conexiones deben ser rechazadas devolviendo host unreachable. Regla NAT: trasladar dinámicamente todas las direcciones de la red local 138.201.0.0 máscara 255.255.0.0 en direcciones de la red global 278.201.112.0 con máscara 255.255.255.0 Cada nueva conexión desde la red local hacia el exterior obtiene una dirección global del pool de direcciones globales disponible. Si la dirección local ya posee una dirección global se vuelve a utilizar dicha correspondencia. Si una correspondencia no se usa en un determinado tiempo (configurable), esta se libera, quedando la dirección global del pool libre para ser asignada en otra correspondencia. Posibilidad de liberar una correspondencia determinada. 2.3. NAPT/PAT (Enmascaramiento) m: n-traslación, m 1 y n = 1 (m, n N) Es un caso particular de NAT dinámico. Es el tipo de NAT más usado actualmente. Aquí muchas direcciones locales son trasladadas a una misma dirección global. Como diferencia con el tipo de NAT anterior, ahora se permiten más de n conexiones. Ahora un número arbitrario de conexiones se multiplexan usando información de puertos (TCP, UDP). El número de conexiones simultáneas permitidas estará limitado al número de puertos NAT disponibles. El problema principal de este tipo de NAT es que muchos servicios sólo aceptan conexiones provenientes de puertos privilegiados para así asegurar que no provienen de cualquier usuario. Para permitir NAPT se requiere mantener manejadores para cada conexión TCP, UDP. Otra limitación es que, por defecto, las conexiones entrantes no están permitidas. Regla NAT: enmascarar las direcciones globales de la red 138.201.0.0 tras la dirección global del interfaz externo del router. Para cada paquete saliente la dirección origen del paquete se sustituye por la dirección del interfaz externo del router NAT y el puerto origen se cambia por un puerto NAT no utilizado todavía. Si el destino de los paquetes entrantes es la dirección del interfaz externo del router NAT y el puerto destino corresponde con un puerto NAT ya asignado se cambia dirección y puerto destino por la dirección local y puerto local correspondiente. ROUTER TELDAT - Introducción Facilidad NAT I - 4
3. Problemas comunes a todas las técnicas NAT Toda conexión que atraviese un router se identifica por una quintupla: protocolo, dirección y puerto origen, dirección y puerto destino. Si al router se le habilita NAT aparecerán 3 quintuplas para representar la misma conexión, una por cada sección: Primera sección o sección local: del origen al router NAT. Segunda sección o sección global: del router NAT al destino. Tercera sección o sección interna: el router NAT del interfaz interno o local al interfaz externo o global. Sólo el router NAT posee información de lo que está ocurriendo en cada sección, pero esto también significa que el router NAT debe almacenar mucha información por conexión establecida, cosa que no necesitan hacer los router sin NAT. Esto es algo que tienen en común con los Firewalls: ambos tipos de dispositivos no sólo realizan encaminamiento de los paquetes sino que deben analizar y controlar el tipo de información que se intercambia a través de ellos y mantener información del estado de cada conexión con lo que ello conlleva: una sobrecarga importante comparado con un router sin NAT. Sobra decir que si se está habilitando NAT, todo paquete que viaje del dominio local al global debe ir a través del o de los routers NAT. 3.1. Información de estado Excepto para el caso de NAT estático, los router NAT deben guardar información dinámica sobre las correspondencias actuales entre direcciones locales y globales. Además este tipo de información de estado debe tener un tiempo de vida limitado de tal manera que, si un determinado equipo ha parado de transmitir información, sea borrado de la lista. 3.2. Fragmentación En las estrategias NAT en las que no sólo se traducen las direcciones sino también los puertos aparece otro problema en la fragmentación. Cuando un paquete IP es fragmentado el router NAT sólo puede utilizar la información de puerto del primer fragmento ya que el resto de fragmentos tienen el puerto a 0xFFFF. Por tanto en este tipo de NAT se hace necesaria guardar información de estado de los fragmentos. 3.3. Comportamiento según el tipo de protocolo a) Aplicaciones venenosas Denominamos aplicaciones venenosas a aquellas aplicaciones que incluyen información de direccionamiento IP y/o puertos TCP/UDP fuera de los campos de cabecera correspondientes. Cada aplicación de este tipo requiere un tratamiento específico. Ejemplos de estas aplicaciones son FTP, ICMP, etc. b) Protocolos de Routing Dinámico (RIP, EGP, ) Un router configurado con NAT no debe anunciar las redes locales a través de los interfaces globales. Sin embargo las rutas globales si pueden ser anunciadas a través de los interfaces locales. Se recomienda utilizar routing estático. ROUTER TELDAT - Introducción Facilidad NAT I - 5
Capítulo 2 Configuración
1. Configuración NAT DINÁMICO En este apartado se describen los pasos requeridos para configurar la facilidad NAT DINÁMICO. Después de configurar las opciones deseadas, se debe guardar la configuración y reinicializar el router para que tenga efecto la nueva configuración. Las siguientes secciones describen el proceso de configuración con más detalle. Acceso al entorno de configuración. Configuración de los interfaces implicados en el NAT DINÁMICO. Configuración del pool de direcciones. Configuración de reglas. Configuración del timeout. Salir del proceso de configuración NAT DINÁMICO. Reiniciar el router para que tenga efecto la nueva configuración. Acceso al entorno de Configuración NAT DINÁMICO Para acceder al entorno de configuración NAT DINÁMICO hay que previamente acceder al de IP: *P 4 Config>PROTOCOL IP -- Internet protocol user configuration -- IP config> Desde ahí, se deberá introducir el siguiente comando: IP config>nat DYNAMIC -- Dynamic NAT user configuration -- DNAT config> Configuración del Pool de direcciones Se podrán definir hasta 4 pools de direcciones, cada uno de estos se podrá asociar a una regla del DNAT. Cada pool se identificará por un entero, y se configurará la primera dirección del pool y la última. Las direcciones útiles serán todas las incluidas entre la primera y la última, ambas inclusive. El pool será circular, es decir, una vez que se asigna una dirección del pool en una correspondencia, la siguiente dirección disponible será la consecutiva (como en Round Robin). Configuración de reglas Mediante las reglas podremos definir: Los interfaces sobre los que actuarán. El pool de direcciones con el que se llevarán a cabo las traslaciones. La lista de acceso extendida que determinará a que tráfico se le aplica el DNAT. ROUTER TELDAT - Configuración Facilidad NAT II - 7
Configuración del timeout Para evitar que una correspondencia que no se está usando quede bloqueada y no se libere (con la consiguiente pérdida de la dirección del pool), existe un tiempo configurable, que una vez transcurrido sin que se haya usado una correspondencia se libera esta. Este tiempo por defecto está configurado a 24h. ROUTER TELDAT - Configuración Facilidad NAT II - 8
2. Comandos de configuración NAT DINÁMICO Esta sección resume y explica todos los comandos de configuración de la facilidad NAT DINÁMICO del router. Para acceder al prompt se debe teclear lo siguiente: *P 4 User configuration Config> PROTOCOL IP -- Internet protocol user configuration -- IP config> NAT DYNAMIC -- Dynamic NAT user configuration -- DNAT config> Todos los comandos de configuración deben ser introducidos desde el prompt de DNAT (DNAT config>). Comando Funciones? (AYUDA) Lista los comandos disponibles o sus opciones. INTERFACE Permite identificar los interfaces como entrada o salida. POOL Configura los pools de direcciones. RULE Configura las reglas DNAT. TIMEOUT Configura el tiempo máximo que estará una correspondencia sin usarse antes de liberarse. LIST Lista la configuración alamacenada en SRAM. NO Permite borrar o configurar por defecto algunos de los comandos anteriores. EXIT Regresa al prompt IP Config>. Deberá guardar la configuración y reinicializar el router para que la nueva configuración tenga efecto. 2.1.? (AYUDA) Muestra un listado de los comandos disponibles o de las opciones de éstos. Sintaxis: DNAT Config>? DNAT Config>? interface Dynamic nat interface configuration pool Configure a pool of ip addresses rule Configure a rule in order to do dynamic nat timeout Timeout (seconds) for dynamic address translations. 0 -> no timeout list Display dynamic nat configuration no exit DNAT Config> ROUTER TELDAT - Configuración Facilidad NAT II - 9
2.2. INTERFACE En toda configuración DNAT tendremos que definir entre que dos interfaces se llevará a cabo el DNAT, y cual se configura como entrada y cual como salida. Se considera el interfaz local el de entrada y el global el de salida. DNAT config>interface Ethernet0/0? inside defines interface as inside outside defines interface as outside DNAT config>interface ethernet0/0 inside 2.3. POOL Con este comando se configuran los pools de donde se obtendrán las direcciones globales para hacer las correspondencias. Se pueden configurar hasta un máximo de 4 pools. Para cada pool se define una dirección de comienzo, y otra de final. Las direcciones disponibles son todas las comprendidas en ese intervalo, dirección de comienzo y final incluidas. DNAT config>pool 2? <a.b.c.d> First address DNAT config>pool 2 1.3.1.0? <a.b.c.d> Last address DNAT config> pool 2 1.3.1.0 1.3.1.5 2.4. RULE Con este comando se configuran las reglas que se seguirán para determinar las correspondencias DNAT. Cada regla se identificará por un número entero. En cada regla se configura: Inside/outside: Determina si esa regla se aplica sobre el interfaz definido como entrada o sobre el interfaz definido como salida por el comando INTERFACE. La lista de acceso extendida asociada a la regla. Esta lista de acceso determinará sobre que tráfico actúa la regla y sobre que tráfico no. Por último, se configura el pool asociado a la regla. Será de este pool de donde se obtendrán las direcciones globales para realizar las correspondencias. DNAT config>rule 1? inside enables rule over inside interfaces outside enables rule over outside interfaces list list to match in rule pool pool used by rule DNAT config>rule 1 inside DNAT config>rule 1 list 100 DNAT config>rule 1 pool 1 ROUTER TELDAT - Configuración Facilidad NAT II - 10
2.5. TIMEOUT Este comando configura el máximo tiempo que estará una correspondencia que no se use antes de ser liberada. Si una correspondencia no se usa durante un tiempo mayor del configurado en timeout, esta se librera, dejando libre la dirección del pool que tuviera asociada. Por defecto está configurado a 24h. Si se configura para timeout un valor cero, el timeout dejará de estar operativo. Esto trae consigo que una vez se establezca una correspondencia, la única forma en que se podrá liberar si deja de usarse será con el comando CLEAR desde P3. El valor máximo configurable son 400 semanas. DNAT config>timeout? <0s..400w> Time value DNAT config>timeout 120 2.6. LIST Lista la configuración actual almacenada en SRAM. DNAT config>list? interface pool rule timeout all DNAT config>list all list DNAT Configuration. Configured interfaces: atm1/0.1 outside ethernet0/0 inside Configured pools: pool 1: 1.3.1.0-1.3.1.1 Configured rules: rule 1 inside list 100 pool 1 Configured timeout: 180 seconds DNAT config> 2.7. NO Permite borrar o configurar por defecto los siguientes aspectos de la configuración: Interface: elimina un interfaz determinado de la configuración de DNAT. Pool: elimina un pool determinado de la configuración de DNAT. Rule: elmina una regla determinada de la configuración de DNAT. Timeout: configura por defecto el parámetro timeout (86400s 24h) ROUTER TELDAT - Configuración Facilidad NAT II - 11
DNAT config>no? interface Delete dynamic nat interface pool Delete a pool of ip addresses rule Delete a rule of dynamic nat timeout Set default value for timeout translations: 86400s DNAT config>no interface ethernet0/0 2.8. EXIT Permite volver al nivel superior (IP) de prompt. DNAT config>exit IP config> ROUTER TELDAT - Configuración Facilidad NAT II - 12
3. Resumen de comandos INTERFACE <interface> INSIDE OUTSIDE [NO] INTERFACE <interface> POOL <pool ID> <first IP addr> <last IP addr> [NO] POOL <pool ID> RULE <rule ID> INSIDE OUTSIDE LIST POOL [NO] RULE <rule ID> <list number> <pool ID> TIMEOUT <value> [NO] TIMEOUT ROUTER TELDAT - Configuración Facilidad NAT II - 13
Capítulo 3 Monitorización
1. Monitorización NAT DINÁMICO Esta sección resume y explica los comandos de monitorización de la facilidad NAT DINÁMICO del router. Estos comandos le permitirán monitorizar el comportamiento de dicha facilidad así como liberar las correspondencias deseadas. Para acceder al prompt de monitorización se debe teclear lo siguiente: *P 3 Console Operator +PROTOCOL IP IP+NAT DYNAMIC -- Dynamic NAT user console -- DNAT+ Comando Función? (AYUDA) Lista comandos u opciones. CLEAR Libera todas las correspondencias activas o unas determinadas. LIST Lista las correspondencias y pools activos. EXIT Sale del menú de monitorización. 1.1.? (AYUDA) Utilizar el comando? (AYUDA) para listar los comandos válidos en el nivel donde se está programando el router. También se puede utilizar este comando después de un comando específico para listar sus opciones. DNAT+? CLEAR LIST EXIT DNAT+ 1.2. CLEAR Utilizar este comando para liberar correspondencias, y dejar de esta forma libres las direcciones del pool asociadas a estas correspondencias. Existen dos posibilidades: ALL: elimina todas las correspondencias activas, independientemente del pool o regla con las que esten relacionadas, liberando todas las direcciones asociadas a estas. ENTRY: elimina solo una correspondencia específica. Se debe introducir la dirección IP del pool que está asociada a la correspondencia que se desea eliminar. Dicha dirección IP quedará libre. ROUTER TELDAT - Monitorización Facilidad NAT III - 15
DNAT+CLEAR? ALL ENTRY DNAT+ DNAT+LIST Dynamic NAT entries: SRC DST HITS seconds Pool ---------------------------------------------------------------------------- 172.24.51.88 : 1.3.1.1 286722 0 1 1.3.1.1 : 172.24.51.88 552593 0 1 172.24.51.117 : 1.3.1.0 20389 5 1 1.3.1.0 : 172.24.51.117 20390 5 1 Active pools: pool 1: 1.3.1.0-1.3.1.1 DNAT+CLEAR ENTRY 1.3.1.0 DNAT+LIST Dynamic NAT entries: SRC DST HITS seconds Pool ---------------------------------------------------------------------------- 172.24.51.88 : 1.3.1.1 287010 0 1 1.3.1.1 : 172.24.51.88 552881 0 1 Active pools: pool 1: 1.3.1.0-1.3.1.1 DNAT+CLEAR ALL DNAT+LIST Dynamic NAT entries: SRC DST HITS seconds Pool ---------------------------------------------------------------------------- Active pools: pool 1: 1.3.1.0-1.3.1.1 DNAT+ 1.3. LIST Utilizar este comando para visualizar distintos parámetros monitorizables de la facilidad DNAT. Al ejecutar el comando LIST se visualizan todas las entradas dinámicas activas. Para cada entrada se monitoriza los siguientes parámetros: SRC DST: Dirección IP antes de la traslación, dirección IP después de la traslación. Para cada correspondencia se puede comprobar que dirección del pool que tenga asociado le corresponde. HITS: Es el número de traslaciones llevadas a cabo desde que esa correspondencia está activa. Seconds: Tiempo transcurrido desde la última vez que se usó esa correspondencia. Cuando este tiempo supera el tiempo de timeout configurado, dicha correspondencia se libera. Pool: Pool activo del cual se ha obtenido la dirección global usada en esa determinada correspondencia. ROUTER TELDAT - Monitorización Facilidad NAT III - 16
Con este comando también se comprueba cuales son los pools activos en ese momento en el equipo. Se considera que un pool está activo cuando está asociado a una regla. DNAT+LIST Dynamic NAT entries: SRC DST HITS seconds Pool ---------------------------------------------------------------------------- 172.24.51.88 : 1.3.1.1 3329 0 1 1.3.1.1 : 172.24.51.88 3436 0 1 172.24.51.117 : 1.3.1.0 3133 0 1 1.3.1.0 : 172.24.51.117 3134 0 1 Active pools: pool 1: 1.3.1.0-1.3.1.1 DNAT+ 1.4. EXIT Utilizar el comando EXIT para volver al nivel de prompt en el que se estaba anteriormente. DNAT+EXIT IP+ ROUTER TELDAT - Monitorización Facilidad NAT III - 17
Capítulo 4 Ejemplo de configuración
1. NAT dinámico En este ejemplo se tiene una empresa grande que está usando una red IP de clase A (1.0.0.0). Surge un pequeño departamento en la empresa que por causas diversas necesita direcciones IP y pensando que nunca van a tener que conectarse con el resto de la empresa eligen arbitrariamente una red (138.201.0.0). Pasan los años y llega un momento en que surge la necesidad de conectividad total debido al creciente desarrollo de las nuevas tecnologías de comunicación. La primera solución que aparece es la de cambiar las direcciones de su dominio local por direcciones pertenecientes a la red asignada a la empresa, pero en seguida se dan cuenta que no pueden porque el departamento posee muchos clientes que han contratado servicio de conectividad continuada (las 24 horas al día y los 7 días a la semana) a las direcciones de dicho dominio local, y que por supuesto no aceptan ningún tipo de solución que provoque el incumplimiento de dicho contrato. La solución para el departamento de esta empresa es configurar NAT dinámico en el router que realiza la conexión entre el departamento y el resto de la Intranet corporativa. Dado que el número de conexiones simultáneas entre el departamento y la Intranet no será muy grande, se define un pool de 4 IPs, desde la 1.3.1.0, hasta 1.3.1.3, ambas inclusive. De esta forma quedan disponibles el resto de direcciones de la subred 1.3.1.0 y podremos tener hasta 4 conexiones simultáneas entre el departamento y la intranet. Veamos la configuración del router DNAT: DOMINIO LOCAL DOMINIO GLOBAL Red A 138.201.0.0 Dir: 138.201.0.1 Router NAT Dir: 1.1.1.1 Dir: 1.1.1.2 Router Defecto Resto de redes Red A (local): 138.201.0.0 Red A (global): 53.3.0.0 Tabla de rutas: 0.0.0.0 00000000 1.1.1.2 Configuración lista de acceso extendida *P 4 Config>feature access-lists -- Access Lists user configuration -- Access Lists config>access-list 100 Extended Access List 100>entry 1 default Extended Access List 100>entry 1 permit Extended Access List 100>entry 1 source address 138.201.0.0 255.255.0.0 Extended Access List 100> ROUTER TELDAT Ejemplo Configuración IV - 19
Configuración de IP *P 4 Config>protocol ip -- Internet protocol user configuration -- IP config>add ethernet0/0 138.201.0.1 255.255.0.0 IP config>add serial0/0 1.1.1.1 255.0.0.0 IP config>route 0.0.0.0 0.0.0.0 1.1.1.1 1 IP config>route 1.3.1.0 255.255.255.0 ethernet0/0 1 IP config> Configuración DNAT *p 4 Config>protocol ip -- Internet protocol user configuration -- IP config>nat dynamic -- Dynamic NAT user configuration -- DNAT config>interface serial0/0 outside DNAT config>interface ethernet0/0 inside DNAT config>pool 1 1.3.1.0 1.3.1.3 DNAT config>rule 1 inside DNAT config>rule 1 list 100 DNAT config>rule 1 pool 1 DNAT config>timeout 1h DNAT config> ROUTER TELDAT Ejemplo Configuración IV - 20
Capítulo 5 Eventos de la facilidad DNAT
1. Visualización de eventos de la facilidad DNAT Al igual que ocurre para otros subsistemas, se permite visualizar en tiempo real los eventos que se producen asociados a la facilidad DNAT. La forma en que se habilitan desde el menú general de configuración de eventos es la siguiente. *PROCESS 4 User Configuration Config>EVENT -- ELS Config -- ELS Config>ENABLE TRACE SUBSYSTEM DNAT ALL ELS Config>EXIT Config>SAVE Save configuration [n]? Y Saving configuration...ok Config> Además, también pueden ser habilitados desde el menú de monitorización, en cuyo caso no hay que reiniciar el equipo para poder visualizarlos. El proceso es como sigue: *PROCESS 3 Console Operator +EVENT -- ELS Monitor -- ELS+ENABLE TRACE SUBSYSTEM DNAT ALL ELS+EXIT + El listado de eventos disponibles para DNAT depende de la versión de software. Cada distribución de versión de software va acompañada de su conjunto de eventos disponible. ROUTER TELDAT Eventos de la Facilidad DNAT V - 22
2. Ejemplo de eventos A continuación se muestra una traza de eventos típica en una serie de traslaciones en un router con la facilidad DNAT configurada. *PROCESS 2 07/20/04 11:43:29 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 p rot 1 07/20/04 11:43:29 DNAT.002 New clnt 172.24.51.88->192.192.192.192 => 1.3.1.0->1 92.192.192.192 07/20/04 11:43:29 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:29 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:29 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:30 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:30 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:30 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:30 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:30 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:30 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:31 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:31 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:31 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:31 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:32 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:32 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:32 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:32 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:33 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:33 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:33 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:33 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:34 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:34 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:34 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:34 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:35 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:35 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:35 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:35 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:35 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:35 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. 192->172.24.51.88 07/20/04 11:43:37 DNAT.009 Out pkt 172.24.51.88->192.192.192.192 prot 1 07/20/04 11:43:37 DNAT.010 Translation 172.24.51.88->192.192.192.192 => 1.3.1.0 ->192.192.192.192 07/20/04 11:43:37 DNAT.008 In pkt 192.192.192.192->1.3.1.0 prot 1 07/20/04 11:43:37 DNAT.010 Translation 192.192.192.192->1.3.1.0 => 192.192.192. <CTRL-P> * ROUTER TELDAT Eventos de la Facilidad DNAT V - 23