Ahora, nos queda determinar el pool o rango de direcciones que serán utilizados en el proceso de traducción.
Para esto tenemos fundamentalmente dos opciones: utilizar un rango especificado administrativamente (por ejemplo el provisto por nuestro ISP) o simplemente la IP de la interfaz outside de nuestro equipo de capa 3.
Para esto tenemos fundamentalmente dos opciones: utilizar un rango especificado administrativamente (por ejemplo el provisto por nuestro ISP) o simplemente la IP de la interfaz outside de nuestro equipo de capa 3.
Veamos algunos ejemplos para entender todo lo explicado hasta ahora y la sintaxis de los comandos que pueden ser utilizados.
Ej. 1: Compartir un enlace a Internet. En este caso tenemos una o varias redes inside o internas, mientras que solo una de ellas es nuestra red externa. Como no tenemos un pool o rango, solo vamos a utilizar una dirección IP única, que en este caso será la de la interfaz outside, es decir, la que está conectada a nuestro ISP.
El tipo de configuración NAT que realizaremos es la conocida como Overloading, también conocida como PAT (Port Address Translation), pues en ella solo una dirección es traducida y compartida entre varios equipos de la red interna, diferenciando cada conexión por un número de puerto TCP distinto.
Como se observa en el gráfico, las dos redes de usuarios 192.168.1.0/24 y 192.168.2.0/24 comparten en único enlace a Internet disponible a través de la interfaz e0, el cual será nuestra interfaz outside, con la dirección IP 175.40.1.1/30. La configuración del router R0 quedaría como sigue:
interface Ethernet0
ip address 175.40.1.1 255.255.255.252
ip nat outside
interface Ethernet2
ip address 192.168.2.1 255.255.255.0
ip nat inside
Ahora nos falta establecer el comando que se encarga de establecer el mapa de traducción entre ambas interfaces. A través de este comando podremos crear políticas que determinen "quienes" de una interfaz inside podrán ser traducidos al salir por la interfaz outside. Para eso usaremos el comando de configuración global ip nat inside source, como vemos a continuación:
ip nat inside source [politica] [rango_ip] overload
Ej. 1: Compartir un enlace a Internet. En este caso tenemos una o varias redes inside o internas, mientras que solo una de ellas es nuestra red externa. Como no tenemos un pool o rango, solo vamos a utilizar una dirección IP única, que en este caso será la de la interfaz outside, es decir, la que está conectada a nuestro ISP.
El tipo de configuración NAT que realizaremos es la conocida como Overloading, también conocida como PAT (Port Address Translation), pues en ella solo una dirección es traducida y compartida entre varios equipos de la red interna, diferenciando cada conexión por un número de puerto TCP distinto.
Como se observa en el gráfico, las dos redes de usuarios 192.168.1.0/24 y 192.168.2.0/24 comparten en único enlace a Internet disponible a través de la interfaz e0, el cual será nuestra interfaz outside, con la dirección IP 175.40.1.1/30. La configuración del router R0 quedaría como sigue:
interface Ethernet0
ip address 175.40.1.1 255.255.255.252
ip nat outside
interface Ethernet1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip address 192.168.2.1 255.255.255.0
ip nat inside
Ahora nos falta establecer el comando que se encarga de establecer el mapa de traducción entre ambas interfaces. A través de este comando podremos crear políticas que determinen "quienes" de una interfaz inside podrán ser traducidos al salir por la interfaz outside. Para eso usaremos el comando de configuración global ip nat inside source, como vemos a continuación:
ip nat inside source [politica] [rango_ip] overload
Es común que dentro del parámetro [politica] utilicemos una ACL (Lista de control de Acceso) o un route-map para definir en que situaciones se permitirá la traducción de direcciones. En otras entradas hablaremos más acerca de esto. Por lo pronto, nos servirá utilizar una ACL para permitir toda conexión de la red interna hacia Internet. Supongamos que ya hemos escrito la ACL que necesitábamos, y que la llamamos INTERNET (es case sensitive), y dado que una sola IP vamos a usar para las traducciones (la cual coincide con la IP WAN de nuestro router) para el parámetro [rango_ip], la instrucción faltante queda como sigue:
ip nat inside source list INTERNET interface ethernet0 overload
Veamos por último un segundo ejemplo. En este se demostrará aún mejor la necesidad de establecer con claridad que red es la inside y como usar un rango de direcciones IP.
Continuá leyendo la Parte III
No hay comentarios:
Publicar un comentario