Prctica de laboratorio: configuracin de NAT dinmica y esttica

Topologa

Tabla de direccionamiento

Mscara de Gateway
Dispositivo Interfaz Direccin IP subred predeterminado

Gateway G0/1 192.168.1.1 255.255.255.0 N/A

S0/0/1 209.165.201.18 255.255.255.252 N/A
ISP S0/0/0 (DCE) 209.165.201.17 255.255.255.252 N/A
Lo0 192.31.7.1 255.255.255.255 N/A
PC-A (Simulated
Server) NIC 192.168.1.20 255.255.255.0 192.168.1.1
PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1

Objetivos
Parte 1: armar la red y verificar la conectividad
Parte 2: configurar y verificar la NAT esttica
Parte 3: configurar y verificar la NAT dinmica

Informacin bsica/situacin
La traduccin de direcciones de red (NAT) es el proceso en el que un dispositivo de red, como un router
Cisco, asigna una direccin pblica a los dispositivos host dentro de una red privada. El motivo principal para
usar NAT es reducir el nmero de direcciones IP pblicas que usa una organizacin, ya que la cantidad de
direcciones IPv4 pblicas disponibles es limitada.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 1 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

En esta prctica de laboratorio, un ISP asign a una empresa el espacio de direcciones IP pblicas
209.165.200.224/27. Esto proporciona 30 direcciones IP pblicas a la empresa. Las direcciones
209.165.200.225 a 209.165.200.241 son para la asignacin esttica, y las direcciones 209.165.200.242 a
209.165.200.254 son para la asignacin dinmica. Del ISP al router de gateway se usa una ruta esttica, y
del gateway al router ISP se usa una ruta predeterminada. La conexin del ISP a Internet se simula mediante
una direccin de loopback en el router ISP.
Nota: los routers que se utilizan en las prcticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con IOS de Cisco versin 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960s con IOS de Cisco versin 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones del IOS de Cisco. Segn el modelo y la versin de IOS de Cisco, los
comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las
prcticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta
prctica de laboratorio para obtener los identificadores de interfaz correctos.
Nota: asegrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
est seguro, consulte con el instructor.

Recursos necesarios
2 routers (Cisco 1941 con IOS de Cisco versin 15.2(4)M3, imagen universal o similar)
1 switch (Cisco 2960 con Cisco IOS, versin 15.0(2), imagen lanbasek9 o similar)
2 computadoras (Windows 7, Vista o XP con un programa de emulacin de terminal, como Tera Term)
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
Cables Ethernet y seriales, como se muestra en la topologa

Parte 1: armar la red y verificar la conectividad

En la parte 1, establecer la topologa de la red y configurar los parmetros bsicos, como las direcciones
IP de interfaz, el routing esttico, el acceso a los dispositivos y las contraseas.

Paso 1: realizar el cableado de red tal como se muestra en la topologa.

Conecte los dispositivos tal como se muestra en el diagrama de la topologa y realice el cableado segn sea
necesario.

Paso 2: configurar los equipos host.

Paso 3: inicializar y volver a cargar los routers y los switches segn sea necesario.

Paso 4: configurar los parmetros bsicos para cada router.

a. Desactive la bsqueda del DNS.
b. Configure las direcciones IP para los routers como se indica en la tabla de direccionamiento.
c. Establezca la frecuencia de reloj en 128000 para las interfaces seriales DCE.
d. Configure el nombre del dispositivo como se muestra en la topologa.
e. Asigne cisco como la contrasea de consola y la contrasea de vty.
f. Asigne class como la contrasea cifrada del modo EXEC privilegiado.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada del
comando.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 2 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

Paso 5: crear un servidor web simulado en el ISP.

a. Cree un usuario local denominado webuser con la contrasea cifrada webpass.
ISP(config)# username webuser privilege 15 secret webpass
b. Habilite el servicio del servidor HTTP en el ISP.
ISP(config)# ip http server
c. Configure el servicio HTTP para utilizar la base de datos local.
ISP(config)# ip http authentication local

Paso 6: configurar el routing esttico.

a. Cree una ruta esttica del router ISP al router Gateway usando el rango asignado de direcciones de red
pblicas 209.165.200.224/27.
ISP(config)# ip route 209.165.200.224 255.255.255.224 209.165.201.18
b. Cree una ruta predeterminada del router Gateway al router ISP.
Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17

Paso 7: Guardar la configuracin en ejecucin en la configuracin de inicio.

Paso 8: Verificar la conectividad de la red

a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway. Resuelva los problemas si los
pings fallan.
b. Muestre las tablas de routing en ambos routers para verificar que las rutas estticas se encuentren en la
tabla de routing y estn configuradas correctamente en ambos routers.

Parte 2: configurar y verificar la NAT esttica.

La NAT esttica consiste en una asignacin uno a uno entre direcciones locales y globales, y estas
asignaciones se mantienen constantes. La NAT esttica resulta til, en especial para los servidores web o los
dispositivos que deben tener direcciones estticas que sean accesibles desde Internet.

Paso 1: configurar una asignacin esttica.

El mapa esttico se configura para indicarle al router que traduzca entre la direccin privada del servidor
interno 192.168.1.20 y la direccin pblica 209.165.200.225. Esto permite que los usuarios tengan acceso a
la PC-A desde Internet. La PC-A simula un servidor o un dispositivo con una direccin constante a la que se
puede acceder desde Internet.
Gateway(config)# ip nat inside source static 192.168.1.20 209.165.200.225

Paso 2: Especifique las interfaces.

Emita los comandos ip nat inside e ip nat outside en las interfaces.
Gateway(config)# interface g0/1
Gateway(config-if)# ip nat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ip nat outside

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 3 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

Paso 3: probar la configuracin.

a. Muestre la tabla de NAT esttica mediante la emisin del comando show ip nat translations.
Gateway# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 209.165.200.225 192.168.1.20 --- ---
Cul es la traduccin de la direccin host local interna?
192.168.1.20 = _________________________________________________________
209.165.200.225
Quin asigna la direccin global interna?
____________________________________________________________________________________
EQUIPO ISP.
Quin asigna la direccin local interna?
____________________________________________________________________________________
EQUIPO ISP.
b. En la PC-A, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping fall, resuelva y corrija los
problemas. En el router Gateway, muestre la tabla de NAT.
Gateway# show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1
--- 209.165.200.225 192.168.1.20 --- ---
Cuando la PC-A envi una solicitud de ICMP (ping) a la direccin 192.31.7.1 en el ISP, se agreg a la
tabla una entrada de NAT en la que se indic ICMP como protocolo.
Qu nmero de puerto se us en este intercambio ICMP? 1________________
Nota: puede ser necesario desactivar el firewall de la PC-A para que el ping se realice correctamente.
c. En la PC-A, acceda a la interfaz Lo0 del ISP mediante telnet y muestre la tabla de NAT.
Pro Inside global Inside local Outside local Outside global
icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1
tcp 209.165.200.225:1034 192.168.1.20:1034 192.31.7.1:23 192.31.7.1:23
--- 209.165.200.225 192.168.1.20 --- ---
Nota: es posible que se haya agotado el tiempo para la NAT de la solicitud de ICMP y se haya eliminado
de la tabla de NAT.
Qu protocolo se us para esta traduccin? ____________
tcp
Cules son los nmeros de puerto que se usaron? 1, 1034, 23
Global/local interno: ________________
1
Global/local externo: 1034
________________
d. Debido a que se configur NAT esttica para la PC-A, verifique que el ping del ISP a la direccin pblica
de NAT esttica de la PC-A (209.165.200.225) se realice correctamente.
e. En el router Gateway, muestre la tabla de NAT para verificar la traduccin.
Gateway# show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 209.165.200.225:12 192.168.1.20:12 209.165.201.17:12 209.165.201.17:12
--- 209.165.200.225 192.168.1.20 --- ---
Observe que la direccin local externa y la direccin global externa son iguales. Esta direccin es la
direccin de origen de red remota del ISP. Para que el ping del ISP se realice correctamente, la direccin

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 4 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

global interna de NAT esttica 209.165.200.225 se tradujo a la direccin local interna de la PC-A
(192.168.1.20).
f. Verifique las estadsticas de NAT mediante el comando show ip nat statistics en el router Gateway.
Gateway# show ip nat statistics
Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Peak translations: 2, occurred 00:02:12 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 39 Misses: 0
CEF Translated packets: 39, CEF Punted packets: 0
Expired translations: 3
Dynamic mappings:

Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Nota: este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente.

Parte 3: configurar y verificar la NAT dinmica

La NAT dinmica utiliza un conjunto de direcciones pblicas y las asigna segn el orden de llegada. Cuando
un dispositivo interno solicita acceso a una red externa, la NAT dinmica asigna una direccin IPv4 pblica
disponible del conjunto. La NAT dinmica produce una asignacin de varias direcciones a varias direcciones
entre direcciones locales y globales.

Paso 1: borrar las NAT.

Antes de seguir agregando NAT dinmicas, borre las NAT y las estadsticas de la parte 2.
Gateway# clear ip nat translation *
Gateway# clear ip nat statistics

Paso 2: definir una lista de control de acceso (ACL) que coincida con el rango de direcciones
IP privadas de LAN.
La ACL 1 se utiliza para permitir que se traduzca la red 192.168.1.0/24.
Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

Paso 3: verificar que la configuracin de interfaces NAT siga siendo vlida.

Emita el comando show ip nat statistics en el router Gateway para verificar la configuracin NAT.

Paso 4: definir el conjunto de direcciones IP pblicas utilizables.

Gateway(config)# ip nat pool public_access 209.165.200.242 209.165.200.254
netmask 255.255.255.224

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 5 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

Paso 5: definir la NAT desde la lista de origen interna hasta el conjunto externo.
Nota: recuerde que los nombres de conjuntos de NAT distinguen maysculas de minsculas, y el
nombre del conjunto que se introduzca aqu debe coincidir con el que se us en el paso anterior.
Gateway(config)# ip nat inside source list 1 pool public_access

Paso 6: probar la configuracin.

a. En la PC-B, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping fall, resuelva y corrija los
problemas. En el router Gateway, muestre la tabla de NAT.
Gateway# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 209.165.200.225 192.168.1.20 --- ---
icmp 209.165.200.242:1 192.168.1.21:1 192.31.7.1:1 192.31.7.1:1
--- 209.165.200.242 192.168.1.21 --- ---
Cul es la traduccin de la direccin host local interna de la PC-B?
192.168.1.21 = _________________________________________________________
209.165.200.242
Cuando la PC-B envi un mensaje ICMP a la direccin 192.31.7.1 en el ISP, se agreg a la tabla una
entrada de NAT dinmica en la que se indic ICMP como el protocolo.
Qu nmero de puerto se us en este intercambio ICMP? 1
______________
b. En la PC-B, abra un explorador e introduzca la direccin IP del servidor web simulado ISP (interfaz Lo0).
Cuando se le solicite, inicie sesin como webuser con la contrasea webpass.
c. Muestre la tabla de NAT.
Pro Inside global Inside local Outside local Outside global
--- 209.165.200.225 192.168.1.20 --- ---
tcp 209.165.200.242:1038 192.168.1.21:1038 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1039 192.168.1.21:1039 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1040 192.168.1.21:1040 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1041 192.168.1.21:1041 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1042 192.168.1.21:1042 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1043 192.168.1.21:1043 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1044 192.168.1.21:1044 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1045 192.168.1.21:1045 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1046 192.168.1.21:1046 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1047 192.168.1.21:1047 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1048 192.168.1.21:1048 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1049 192.168.1.21:1049 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1050 192.168.1.21:1050 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1051 192.168.1.21:1051 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1052 192.168.1.21:1052 192.31.7.1:80 192.31.7.1:80
--- 209.165.200.242 192.168.1.22 --- ---
Qu protocolo se us en esta traduccin? NAT
____________
Qu nmeros de puerto se usaron?
Interno: 1
________________
Externo: 80,
______________
23
Qu nmero de puerto bien conocido y qu servicio se usaron? ________________
SE USO TCP EN
PUERTO 80

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 6 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

d. Verifique las estadsticas de NAT mediante el comando show ip nat statistics en el router Gateway.
Gateway# show ip nat statistics
Total active translations: 3 (1 static, 2 dynamic; 1 extended)
Peak translations: 17, occurred 00:06:40 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 345 Misses: 0
CEF Translated packets: 345, CEF Punted packets: 0
Expired translations: 20
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool public_access refcount 2
pool public_access: netmask 255.255.255.224
start 209.165.200.242 end 209.165.200.254
type generic, total addresses 13, allocated 1 (7%), misses 0

Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Nota: este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente.

Paso 7: eliminar la entrada de NAT esttica.

En el paso 7, se elimina la entrada de NAT esttica y se puede observar la entrada de NAT.
a. Elimine la NAT esttica de la parte 2. Introduzca yes (s) cuando se le solicite eliminar entradas
secundarias.
Gateway(config)# no ip nat inside source static 192.168.1.20 209.165.200.225

Static entry in use, do you want to delete child entries? [no]: yes
b. Borre las NAT y las estadsticas.
c. Haga ping al ISP (192.31.7.1) desde ambos hosts.
d. Muestre la tabla y las estadsticas de NAT.
Gateway# show ip nat statistics
Total active translations: 4 (0 static, 4 dynamic; 2 extended)
Peak translations: 15, occurred 00:00:43 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 16 Misses: 0
CEF Translated packets: 285, CEF Punted packets: 0
Expired translations: 11
Dynamic mappings:
-- Inside Source

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 7 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

[Id: 1] access-list 1 pool public_access refcount 4

pool public_access: netmask 255.255.255.224
start 209.165.200.242 end 209.165.200.254
type generic, total addresses 13, allocated 2 (15%), misses 0

Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0

Gateway# show ip nat translation

Pro Inside global Inside local Outside local Outside global
icmp 209.165.200.243:512 192.168.1.20:512 192.31.7.1:512 192.31.7.1:512
--- 209.165.200.243 192.168.1.20 --- ---
icmp 209.165.200.242:512 192.168.1.21:512 192.31.7.1:512 192.31.7.1:512
--- 209.165.200.242 192.168.1.21 --- ---
Nota: este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente.

Reflexin<X1/>
1. Por qu debe utilizarse la NAT en una red?
_______________________________________________________________________________________
para aprovechar las disposicion de redes publicas dentro de una red grande privada.
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Cules son las limitaciones de NAT?
_______________________________________________________________________________________
el inicio de las conexiones tcp se pueden interrumpir.
_______________________________________________________________________________________
se deteriora la funcionalidad de extremo a extremo.
_______________________________________________________________________________________

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 8 de 9
Prctica de laboratorio: configuracin de NAT dinmica y esttica

Tabla de resumen de interfaces del router

Resumen de interfaces del router

Modelo de Interfaz Ethernet #1 Interfaz Ethernet Interfaz serial #1 Interfaz serial n. 2

router n. 2

1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: para conocer la configuracin del router, observe las interfaces a fin de identificar el tipo de router y
cuntas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningn otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI de ISDN es un
ejemplo. La cadena entre parntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de
Cisco para representar la interfaz.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 9 de 9