Explorar

Internetworking y NAT
download Demanda

Transcripción

Internetworking y NAT 
Configuración Administración y Gestión
de Redes de Computadores
(CAR: Código 11580)
Tema 7:
Internetworking y
Traducción de direcciones (NAT)
1
Índice
•
•
•
•
2
Internetworking
Dispositivos
Conexión entre LANs
Traducción de direcciones (NAT)
CAR
Internetworking
CAR
• Unión de redes diferentes a cualquier nivel (físico, de
enlace, etc.)
• OBJETIVO:
Desde los niveles superiores se aprecie como una
única red homogénea.
• Las redes pueden diferir en el medio físico o en la
pila de protocolos utilizados :
– Ethernet, Token Ring, LAN, WAN, etc.
– TCP/IP, DECNET, SNA, IPv4, IPv6, etc.
3
CAR
Dispositivos
Aplicación
Pasarelas de aplicación
Presentación
Sesión
Transporte
Red
4
Pasarelas de transporte
Encaminadores, Conmutadores ATM
Enlace
Puentes, Conmutadores LAN
Física
Repetidores, concentradores, amplificadores
Conexión entre dos LANs con
encaminadores específicos
CAR
64 Kb/s
IP
IP
IP
IP
64 Kb/s
IPX
IPX
5
IPX
IPX
Conexión entre dos LANs con
multiplexores
IP
64 Kb/s
IP
64 Kb/s
6
IP
IP
128 Kb/s
MUX
IPX
64 Kb/s
IPX
CAR
MUX
64 Kb/s
IPX
IPX
Conexión entre dos LANs con
multiplexores multiprotocolo
IP
IPX
7
IP
128 Kb/s
IP
IPX
CAR
IP
IPX
IPX
Traducción de direcciones (NAT)
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
8
NAT: Traducción de direcciones de red
Tipos de NAT
Uso de NAT
Recomendaciones
NAT básico estático
NAT básico dinámico
PAT: Traducción de direcciones de puerto
NAPT dinámico
PAR: Redireccionamiento de direcciones de puerto
NAPT estático
Dificultades a tener en cuenta
Problemas NAT
Problemas con FTP
Conclusiones del uso de NAT
CAR
NAT:
Traducción de direcciones de red
CAR
• Se basa en traducir una dirección IP en otra de acuerdo con cierta
tabla de equivalencias.
• Se utiliza como mecanismo para ‘extender’ el rango de direcciones
disponible en una red.
– Por ejemplo usar una sola IP pública para dar acceso a cientos de
ordenadores.
• NAT se suele utilizar para conectar a Internet redes IP que utilizan
rangos privados (RFC 1918):
– 10.*.*.*
– 172.16-31.*.*
– 192.168.0-255.*.
• Normalmente la traducción la realiza el dispositivo (encaminador)
que conecta la red al exterior.
9
Tipos de NAT
CAR
• Según los campos que se modifican el NAT puede ser:
– NAT Básico: sólo se cambia la dirección IP
– NAPT (Network Address Port Translation): se modifica la
dirección IP y el número de puerto (TCP o UDP).
• Según la temporalidad de correspondencia entre la
dirección privada y la pública el NAT puede ser:
– Estático: la tabla de conversión de direcciones (y puertos) se carga al
arrancar el equipo que hace NAT y el tráfico no la modifica.
– Dinámico: la tabla de conversión se construye y modifica en función
del tráfico recibido.
• Las direcciones pueden reutilizarse.
• Requiere mantener en el NAT información de estado. Normalmente es
unidireccional.
10
CAR
Uso de NAT
Servidor
Web
Cliente
207.29.194.84
192.168.0.1
192.168.0.2
Cliente
206.245.160.1
Router
NAT
Tabla de traducción
192.168.0.3
Internet
Servidor
FTP
205.197.101.111
Direccionamiento privado
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
11
Direccionamiento público
Recomendaciones
CAR
• La conexión al exterior debería realizarla un solo encaminador.
– Dicho encaminador puede tener conexiones a varios Proveedores de
servicios Internet (ISPs)
• NAT sólo permite paquetes TCP, UDP e ICMP.
!No se intercambia información de encaminamiento a través
de un NAT!
• Un NAT puede configurarse como:
– NAT Tradicional o Unidireccional
• Solo permite conexiones salientes, es decir sesiones iniciadas desde el
interior (la red privada).
– NAT Bidireccional
• Permite que las sesiones se inicien desde la red privada o desde el exterior
(la red pública).
12
CAR
NAT básico estático
Origen: 192.168.0.2:1108
Destino: 207.29.194.84:80
Origen: 206.245.160.2:1108
Destino: 207.29.194.84:80
Servidor
Web
Cliente
192.168.0.1
206.245.160.1
207.29.194.84
192.168.0.2
Router
NAT
Cliente
192.168.0.3
Tabla NAT estática
Dentro
Fuera
192.168.0.x 206.245.160.x
Origen: 192.168.0.3:1108
Destino: 205.197.101.111:21
13
Internet
Servidor
FTP
205.197.101.111
Origen: 206.245.160.3:1108
Destino: 205.197.101.111:21
CAR
NAT básico dinámico
Origen: 192.168.0.2:1108
Destino: 207.29.194.84:80
Origen: 206.245.160.5:1108
Destino: 207.29.194.84:80
Servidor
Web
Cliente
192.168.0.1
206.245.160.1
207.29.194.84
192.168.0.2
Router
NAT
Cliente
192.168.0.3
Rango NAT: 206.245.160.5-10
Tabla NAT dinámica
Dentro
Fuera
192.168.0.2
206.245.160.5
192.168.0.3
206.245.160.6
Origen: 192.168.0.3:1108
Destino: 205.197.101.111:21
14
Internet
Servidor
FTP
205.197.101.111
Origen: 206.245.160.6:1108
Destino: 205.197.101.111:21
PAT: Traducción de direcciones de
puerto
• Problema de NAT: Nº IPs públicas < Nº IPs privadas
– No pueden salir a Internet todas las máquinas a la vez
• La solución es PAT (Port Address Translation):
– Emplea una sola IP pública
– Utiliza el nº de puerto para distinguir a la máquina de la intranet
– Mapea IP:puerto ↔ puerto
•
•
•
•
15
Trabaja sólo con TCP y UDP
Si dos máquinas usan el mismo puerto, uno se reasigna
Es la forma de funcionamiento más usada de NAT
Conocida también como: NAT many to one, NAT de
sobrecarga, NAT de única dirección y NAPT (Network
Address and Port Translation) o, simplemente, NAT
CAR
CAR
NAPT dinámico
Origen: 192.168.0.2:1108
Destino: 207.29.194.84:80
Origen: 206.245.160.1:61001
Destino: 207.29.194.84:80
Servidor
Web
Cliente
192.168.0.1
206.245.160.1
207.29.194.84
192.168.0.2
Router
NAT
Cliente
192.168.0.3
Tabla NAPT dinámica
Dentro
Fuera
192.168.0.2:1108 61001
192.168.0.3:1108 61002
Origen: 192.168.0.3:1108
Destino: 205.197.101.111:21
16
Internet
Servidor
FTP
205.197.101.111
Origen: 206.245.160.1:61002
Destino: 205.197.101.111:21
PAR: Redirección de direcciones de
puerto
CAR
• Si nodos externos quieren acceder a un servidor de la
intranet, PAT no funciona
• PAT no usa los puertos bien conocidos. Además, asignación
dinámica
• Si tenemos un servidor Web (destino = 206.245.160.1:80), el
router tratará de procesar la petición web
• Solución: asignar un puerto fijo (estático)
• Permite tener varios servidores del mismo servicio (p. ej.
Web)
• PAR (Port Address Redirection) = PAT/NAPT estático
17
CAR
NAPT estático
Origen: 211.23.5.6:1084
Destino: 192.168.0.4:21
Origen: 211.23.5.6:1084
Destino: 206.245.160.1:21
Cliente
Servidor
FTP
192.168.0.1
192.168.0.4
Servidor
Web
192.168.0.5
Origen: 209.15.7.2:1067
Destino: 192.168.0.5:80
18
211.23.5.6
206.245.160.1
Router
NAT
Tabla NAPT estática
Dentro
Fuera
192.168.0.4:21
21
192.168.0.5:80
80
192.168.0.6:80
5000
Internet
Cliente
209.15.7.2
Origen: 209.15.7.2:1067
Destino: 206.245.160.1:80
Dificultades a tener en cuenta
CAR
• Cuando se modifica la dirección IP es necesario:
– Modificar la cabecera IP (dirección origen o destino ).
Además se requiere calcular el nuevo checksum
– Recalcular el checksum de la cabecera TCP o UDP
(ya que la dirección IP, de la pseudocabecera, se utiliza para
calcularlo).
– En caso de utilizar NAPT hay que modificar el número de puerto
TCP/UDP origen o destino.
– Los mensajes ICMP contienen en la parte de datos la cabecera del
mensaje al que hacen referencia.
Con NAT el encaminador ha de buscar esas cabeceras y modificarlas.
– Los mensajes SNMP incluyen direcciones IP entre los datos del
paquete que hay que cambiar.
19
Problemas de NAT
•
•
CAR
Algunos protocolos de aplicación (ej. H.323, NetBIOS) incluyen las
direcciones IP en diversos sitios de los datos del paquete.
Esto requiere pasarelas del nivel de aplicación para funcionar a través de
NAT.
Generalmente las implementaciones de NAT van incorporando soporte
para los nuevos protocolos estándar que aparecen y que utilizan direcciones
IP en la parte de datos.
– Cuando se usa NAT es especialmente importante utilizar las versiones de
software más recientes.
•
El uso de NAPT plantea problemas adicionales
– Por ejemplo, generalmente no se pueden enviar mensajes ICMP (comandos
ping o traceroute)
•
20
Con NAT no puede utilizarse la función AH de IPSec, salvo que se utilice
IPSec en modo túnel y el NAT se haga antes, o en el mismo dispositivo
donde se hace el túnel IPSec.
Problemas con FTP
CAR
• En el inicio de la sesión FTP intercambia una serie de comandos de
control en los que aparecen las direcciones IP de los hosts.
• Estas direcciones han de localizarse en la parte de datos y
modificarse.
• Pero esas direcciones no están en el formato habitual binario de 32
bits, sino que están en texto ASCII.
• Si la dirección a poner tiene menos caracteres que la que había, se
rellena con ceros para mantener un número constante.
• Pero si la dirección resultante tiene más caracteres es preciso
intercalar bytes.
– El router NAT ha de modificar todos los valores de número de secuencia y
ACK en las cabeceras TCP para toda la vida de esa conexión.
• Esto representa información de estado adicional que el router NAT
ha de mantener para cada conexión TCP que pasa por él.
21
Conclusiones del uso del NAT
CAR
• El mejor NAT es el que no existe.
– NAT impone restricciones al realizar cambios en la cabecera IP sin
conocimiento del host.
• Resolver los problemas de NAT adaptando el protocolo en el
host o utilizando pasarelas a nivel de aplicación en el
encaminador NAT es una solución compleja y no transparente
que sólo debe aplicarse cuando sea inevitable.
• La seguridad de NAT es sólo aparente.
La verdadera seguridad, que se basa en utilizar IPSec y un
firewall adecuado, se ve limitada cuando se utiliza NAT.
• La solución definitiva al problema de escasez de direcciones
no es NAT sino la migración de IPv4 a IPv6.
22

Documentos relacionados

Netvanta 3205 Ruteador de Acceso Modular de una sola ranura y

Netvanta 3205 Ruteador de Acceso Modular de una sola ranura y

Más detalles

Diapositiva 1

Diapositiva 1

Más detalles
2024 © doczz.es
Sobre nosotros | DMCA / GDPR | Abuso