Grupo 3: Confía (ROAS & SSH)

¿Qué es ROAS ?un router

ROAS (Router on a Stick) es un término específico para una configuración en la que se utiliza un único puerto de un router para enrutar el tráfico entre diferentes VLANs.

El Router on a Stick utiliza VLAN (Virtual LAN) para separar el tráfico de diferentes subredes en un solo puerto del router. Cada VLAN se configura con su propia dirección IP y se asigna a un puerto específico en el switch.

Router on a stick en una imagen.

Antes de configurar ROAS debemos saber sobre VLANs y VTP .

¿Qué es una Virtual Local Área Network?

Vlan siglas.
3 vlans.

Una VLAN es una agrupación lógica de dispositivos o usuarios que se pueden agrupar por función, departamento o aplicación, sin importar la ubicación física del segmento.

Supongamos que tienes varias habitaciones en tu casa y quieres mantener tus actividades en una habitación separadas de las actividades en otras habitaciones. En lugar de tener una sola red Wi-Fi que todos los dispositivos de la casa comparten, puedes crear redes Wi-Fi separadas para cada habitación. Esto es lo que hace una VLAN en una red.

Una VLAN es una forma de crear redes separadas dentro de una red física. En lugar de tener todos los dispositivos en la misma red compartiendo la misma conexión de red, los dispositivos se agrupan en diferentes redes lógicas separadas llamadas VLANs. Cada VLAN actúa como si fuera una red separada, y los dispositivos en diferentes VLANs no pueden comunicarse directamente entre sí, a menos que se configure explícitamente la conexión.

Por ejemplo, una empresa puede usar VLANs para separar los dispositivos de diferentes departamentos, como ventas, marketing y contabilidad. Cada departamento puede tener su propia VLAN, lo que les permite comunicarse entre sí, pero no directamente con dispositivos en otras VLANs. Esto ayuda a mejorar la seguridad de la red y a garantizar que el tráfico de red de un departamento no afecte a otros departamentos

Ventajas

  1. Mejora de la seguridad: Las VLAN permiten aislar el tráfico entre diferentes grupos de usuarios o departamentos, lo que reduce el riesgo de que un dispositivo comprometido pueda acceder a otros dispositivos en la red. Además, las VLAN también pueden usarse para implementar políticas de seguridad más estrictas.
  2. Flexibilidad: Las VLAN permiten a los administradores de red mover dispositivos de una VLAN a otra sin tener que reconfigurar la red física. Esto proporciona una mayor flexibilidad para agregar o quitar dispositivos y cambiar las configuraciones de red.
  3. Mejora del rendimiento: Al reducir el tamaño de la red y limitar el tráfico en cada VLAN, se puede mejorar el rendimiento de la red al reducir la congestión de la red y mejorar el flujo de tráfico.
  4. Ahorro de costos: Las VLAN permiten a las organizaciones utilizar una sola red física para múltiples grupos de usuarios o departamentos. Esto puede reducir el costo de implementación de una red y reducir el costo de operación y mantenimiento de la red.
  5. Mayor privacidad: Al separar el tráfico de red entre diferentes VLAN, se puede evitar que usuarios no autorizados tengan acceso a información privada de la red.

Desventajas

  1. Complejidad: la implementación y gestión de VLANs puede ser compleja. Requiere una planificación cuidadosa y una configuración precisa para asegurarse de que las VLANs se comuniquen correctamente y se mantengan seguras.
  2. Sobrecarga de tráfico: si las VLANs se configuran incorrectamente o se gestionan de manera inadecuada, puede haber una sobrecarga de tráfico en la red. Esto puede causar problemas de latencia y degradar el rendimiento de la red.
  3. Interferencia de señal: si se utilizan VLANs inalámbricas, puede haber interferencia de señal entre diferentes VLANs, lo que puede afectar negativamente al rendimiento de la red.

¿Qué es VTP?


VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar y administrar VLANs en equipos Cisco. Permite centralizar y simplificar la administración en un domino de VLANs, pudiendo crear, borrar y renombrar las mismas, reduciendo así la necesidad de configurar la misma VLAN en todos los nodos.

El protocolo VTP nace como una herramienta de administración para redes de cierto tamaño, donde la gestión manual se vuelve inabordable.

Funcionamiento con VTP y sin VTP.

VTP opera en 3 modos distintos:

Servidor: Es el modo por defecto. Desde él se pueden crear, eliminar o modificar VLANs. Su cometido es anunciar su configuración al resto de switches del mismo dominio VTP y sincronizar dicha configuración con la de otros servidores, basándose en los mensajes VTP recibidos a través de sus enlaces trunk. Debe haber al menos un servidor.

Cliente: En este modo no se pueden crear, eliminar o modificar VLANs, tan sólo sincronizar esta información basándose en los mensajes VTP recibidos de servidores en el propio dominio. Un cliente VTP sólo guarda la información de la VLAN para el dominio completo mientras el switch está activado. Un reinicio del switch borra la información de la VLAN.

Transparente: Desde este modo tampoco se pueden crear, eliminar o modificar VLANs que afecten a los demás switches. La información VLAN en los switches que trabajen en este modo sólo se puede modificar localmente. Su nombre se debe a que no procesa las actualizaciones VTP recibidas, tan sólo las reenvía a los switches del mismo dominio.

Paco trabajando en VTP.

Todos los Switches cisco están configurados por defecto como servidores VTP. Para configurar VTP (VLAN Trunking Protocol), primero necesitamos configurar el el modo de funcionamiento del Switch (Modo Server, Modo Cliente, Modo Transparente), seguido por el nombre de dominio , establecer una contraseña a VTP (opcional pero si recomendado), todo esto desde configuración global.

Los pasos para configurar VTP, son las siguientes:
1: Lo primero es configurar que los Switches estén en modo Trunk.
2: Configurar el modo de funcionamiento del Switch (mode server, mode client, mode tranparent)
3: Configurar el Configurar el nombre de dominio.
4: Configurar una contraseña (Opcional).

Configuración de ROAS

Antes de empezar con la configuración del Switch debemos tener claro los tipos de enlace a usar y el por que de estos.

Access: La principal utilidad que se les da a este tipo de puertos es para conectar equipos finales, los puertos de acceso solo  transportan tráfico de una sola vlan y aunque los puertos de acceso también se pueden utilizar para conectar switches no es recomendable ya que una implementación de este tipo no es escalable.

access

Si se conectaran un par de switches con múltiples vlans y se utilizaran puertos de acceso para la conexión necesitamos N puertos para transportar N vlans diferentes lo cual no es escalable, para ello existen los puertos trunk.

3 puertos de acceso

Trunk: La principal utilidad que se le da a este tipo de puertos es para realizar la conexión entre switches, un puerto trunk puede transportar trafico de múltiples vlans, por lo que, podemos tener múltiples vlans en los switches y solo un enlace para transportar todo el tráfico.

enlace troncal

Partiendo de una red como la de la imagen de abajo realizaremos las siguientes configuraciones(no hay un orden obligatorio):

Una red con cuatro switches unidos por enlaces troncales.

En el Switch

En el Router

Hemos dividido la red para las 3 VLANs, la subred «admin» la usaremos en SSH.

Esta tabla muestra el VLSM para 3 vlans

¿Qué es SSH?

SSH es un protocolo que garantiza que tanto el cliente como el servidor remoto intercambien informaciones de manera segura y dinámica. El proceso es capaz de encriptar los archivos enviados al directorio del servidor, garantizando que las alteraciones y el envío de datos sean realizados de la mejor forma.

El SSH tiene la función de permitir a los usuarios y desarrolladores realizar cualquier modificación en sitios y servidores utilizando una conexión simple.

De esa forma, por medio de un ordenador conectado a internet, esa persona puede configurar, modificar archivos e incluso trabajar en el desarrollo de una página web.

En las conexiones realizadas por medio de SSH, toda la información viaja de forma encriptada, lo cual lo convierte en uno de los medios más seguros a la hora de trabajar en un servidor.

Configuración de SSH

Conectar con cliente SSH Windows 10

Para utilizar SSH Windows 10 tendremos que utilizar PowerShell o símbolo del sistema y hacer algunos procedimientos para activar el programa y poder utilizar en nuestra consola de comandos

Instalar Cliente SSH Windows 10

Con Windows 10 lo tenemos bastante fácil. Podemos activar tanto un cliente SSH como un servidor mediante la lista de características del panel de configuración.

  • Nos dirigimos al menú inicio y pulsamos sobre la rueda dentada para abrir el panel de configuración.
  • Elegimos la opción de “Aplicaciones” y dentro de este nos situamos sobre la opción “Aplicaciones y características
  • Ahora debemos de pulsar sobre la opción en la zona derecha de “Administrar funciones opcionales

Dentro de la lista que nos aparecerá, es posible que tengamos ya instalado el cliente ssh por defecto, en cuyo caso nos aparecerá en esta lista.

  • Si no lo tenemos instalado pulsamos sobre “Agregar una característica

Una vez dentro de la lista de características debemos localizar las dos aplicaciones que nos interesan: “Cliente OpenSSH” y “Servidor OpenSSH

Pulsaremos en “Instalar”. Si volvemos a la ventana anterior podremos ver como ya aparecerá instalado.

Para conectarnos a un servidor con SSH desde Windows 10 lo único que tendremos que escribir es lo siguiente:

ssh <usuario>@<dirección IP del servidor>

Seguridad de los dispositivos de red

Todos los dispositivos de red deben limitar el acceso administrativo asegurando EXEC privilegiado, EXEC de usuario y acceso remoto con contraseñas. Además, todas las contraseñas deben estar encriptadas

Para proteger el acceso al modo EXEC del usuario, introduzca el modo de configuración de la consola de línea mediante el comando de configuración line console 0 global, como se muestra en el ejemplo. El cero se utiliza para representar la primera (y en la mayoría de los casos la única) interfaz de consola. Luego, configure la contraseña de modo EXEC de usuario con el comando password password Finalmente, habilite el acceso EXEC de usuario con el comando. login.

Router# configure terminal
Router(config)# line console 0
Router(config-line)# password cisco
Router(config-line)# login
Router(config-line)# end

Para asegurar el acceso privilegiado a EXEC, use el comando enable secret password global config

Router# configure terminal
Router(config)# enable secret class
Router(config)# exit

Las líneas de terminal virtual (VTY) permiten el acceso remoto mediante Telnet o SSH al dispositivo. Muchos switches de Cisco admiten hasta 16 líneas VTY que se numeran del 0 al 15.
Para proteger las líneas VTY, introduzca el modo VTY de línea mediante el comando line vty 0 15 global config. Luego, especifique la contraseña de VTY con el comando password password Por último, habilite el acceso a VTY con el comando login

Router# configure terminal
Router(config)# line vty 0 15
Router(config-line)# password cisco 
Router(config-line)# login 
Router(config-line)# end

Actividades interactivas

Enlace permanente a este artículo: https://asir.maristak.com/?p=5938

Grupo 3: Confía


Introducción a OSPF y NAT


¿Qué es OSPF?


OSPF es un protocolo de estado de enlace que es capaz de detectar cambios en la topología dentro de un sistema autónomo permitiendo una red de rutas sin bucles, OSPF también se ocupa de problemas de escalabilidad que se produce cuando un numero de router se congestionan y producen inestabilidad en el sistema autónomo.


Se utiliza comúnmente en redes de gran tamaño y complejidad, ya que es capaz de manejar grandes cantidades de información de topología de red y determinar la mejor ruta de comunicación de manera eficiente. Además, OSPF puede dividir una red en áreas lógicas más pequeñas, lo que simplifica la administración de la red y reduce la carga de procesamiento en los dispositivos.

Características


  • Sin clase: por su diseño, es un protocolo sin clase, de modo que admite VLSM y CIDR.
  • Eficaz: los cambios de routing dirigen actualizaciones de routing (no hay actualizaciones periódicas). Usa el algoritmo SPF para elegir la mejor ruta.
  • Convergencia rápida: propaga rápidamente los cambios que se realizan a la red.
  • Escalable: funciona bien en tamaños de redes pequeños y grandes. Se pueden agrupar los routers en áreas para admitir un sistema jerárquico.
  • Seguro: admite la autenticación de síntesis del mensaje 5 (MD5). Cuando están habilitados, los routers OSPF solo aceptan actualizaciones de routing cifradas de peers con la misma contraseña compartida previamente.

El algoritmo SPF determina la conectividad de la red. El router construye esta topología lógica en forma de árbol, con él mismo como raíz, y cuyas ramas son todas las rutas posibles hacia cada subred de la red. Luego ordena dichas rutas, y coloca las ruta más cortas primero (SPF).


OSPF tiene una distancia administrativa predeterminada de 110, esta distancia administrativa es un valor numérico utilizado en enrutamiento de redes para determinar la confiabilidad o preferencia de una ruta particular.
La distancia administrativa se utiliza para elegir entre varias rutas posibles para un paquete de red, donde se prefiere la ruta con la distancia administrativa más baja.

¿Cómo funciona?


Es similar a RIP(fue su desarrollado como su reemplazo), en la parte interna de las redes, su forma de funcionar es bastante sencilla. Cada router conoce los routers cercanos y las direcciones que posee cada router de los cercanos. Además de esto cada router sabe a que distancia (medida en routers) está cada router. Así cuando tiene que enviar un paquete lo envía por la ruta por la que tenga que dar menos saltos.


En esencia un protocolo de enrutamiento lo que hace es:

  1. Aprende información de enrutamiento sobre las subredes IP de los routers vecinos.
  2. Anuncia información de enrutamiento sobre subredes IP a los routers vecinos.
  3. Si existe más de una ruta posible para llegar a una subred, elije la mejor ruta en base a una métrica.
  4. Si la tipología de la red cambia, por ejemplo si un enlace falla, reacciona anunciando que algunas rutas han fallado y elige la nueva mejor ruta. (Este proceso se denomina convergencia).

Componentes


OSPF crea y mantiene tres bases de datos:

  • Base de datos de adyacencia: crea la tabla de vecinos.
  • Base de datos de estado de enlace (LSDB): crea la tabla de topología.
  • Base de datos de reenvío: crea la tabla de routing.

Base de datos de adyacencia

Se refiere a la información que mantiene un router sobre sus vecinos OSPF directamente conectados. Esta información es fundamental para la construcción de la topología de la red y la elección de rutas de enrutamiento.

Se puede ver con el comando «show ip ospf neighbor».

La información que se almacena en la base de datos de adyacencia incluye:

  • Dirección IP del vecino OSPF
  • Máscara de subred del vecino OSPF
  • Identificador de enrutador del vecino OSPF
  • Costo de enlace entre el enrutador local y el vecino OSPF

Esta información se intercambia entre los routers mediante un proceso llamado «descubrimiento de vecinos». Durante este proceso, los routers intercambian mensajes «Hello» para descubrir a sus vecinos directamente conectados y establecer una conexión OSPF.


Una vez que se ha establecido una conexión OSPF entre dos routers, se convierten en vecinos OSPF adyacentes y comienzan a intercambiar información de estado de enlace (LSA) en la base de datos de estado de enlace. La información en la base de datos de adyacencia se utiliza para determinar el costo de los enlaces entre los routers, que es una de las métricas que se utilizan para calcular las mejores rutas de enrutamiento.


Se puede ver con el comando «show ip ospf database».

Base de datos de estado de enlace (LSDB)

OSPF organiza la información de la topología de red utilizando LSA y la base de datos de estado de enlace (LSDB). Los routers intercambian LSAs para mantener la base de datos de estado de enlace actualizada. Cada LSA es una estructura de datos con alguna información específica sobre la topología de red, el LSDB es simplemente la una base de datos con la colección de todos los LSA conocidos por un router.

LSDB

Base de datos de reenvío

Es fundamental para el correcto funcionamiento de OSPF, ya que es la que se utiliza para determinar las rutas más eficientes para el reenvío de paquetes de datos a través de la red. Cada router OSPF tiene su propia base de datos de reenvío, que se construye a partir de la información almacenada en la base de datos de estado de enlace (LSDB).

La información en la base de datos de reenvío se actualiza dinámicamente a medida que se producen cambios en la red. Cada vez que se produce un cambio en la topología de la red, como la caída de un enlace o la adición de un nuevo enlace, los routers intercambian LSAs y actualizan sus bases de datos de estado de enlace y de reenvío.

Se puede ver con el comando «show ip route».

El proceso de selección de ruta en OSPF se basa en el algoritmo de Dijkstra, que utiliza un enfoque de camino más corto primero para determinar la ruta más eficiente para el reenvío de paquetes. El algoritmo calcula el costo de cada ruta disponible en la base de datos de reenvío y selecciona la ruta con el costo más bajo.

Ejecución del algoritmo de Dijkstra

Configuración de OSPF

La configuración de OSPF (Open Shortest Path First) es un proceso que implica varios pasos.

La configuración de OSPF requiere que el proceso de enrutamiento OSPF esté activo en el router con las direcciones de red y la información de área especificadas. Las direcciones de red se configuran con una máscara wildcard y no con una máscara de subred. La máscara wildcard representa las direcciones de enlaces o de host que pueden estar presentes.

Para habilitar el enrutamiento OSPF, se utiliza el siguiente comando en modo de configuración global:

Router(config)# router ospf [proceso OSPF ID]

Donde id_proceso es un número que se utiliza para identificar el proceso de enrutamiento OSPF. Puede ser cualquier valor entre 1 y 65.535 elegido por el administrador, incluso distinto en cada router de la red; únicamente se utiliza para distinguir procesos OSPF en el caso de que existan varios arrancados simultáneamente en el mismo router. Aunque rara vez es necesario ejecutar más de un proceso OSPF en un router.

A continuación se debe especificar las redes por las que se enviarán los mensajes de actualización de rutas. Cada red se debe identificar con un área a la cual pertenece. Para ello se utiliza el comando network.


Router(config-router)# network [dirección de red de área] [máscara de subred] area [ID de área OSPF]

La dirección de red puede ser una red completa, una subred o la dirección de la interfaz. Cualquier interfaz que coincida con la dirección de red dada en un comando network se habilitará para enviar y recibir paquetes OSPF, además esa red estará incluida e las actualizaciones de OSPF.

El número id_area se refiere al área OSPF. Todos los routers que están dentro de la misma área tienen el mismo id_area. Cuando se configura el encaminamiento OSPF de área única, se aconseja utilizar un id_area igual a 0. Esta convención facilita la posterior configuración de la red con áreas OSPF múltiples en las que el área 0 se convierte en el área de backbone.

OSPF de área única es útil en redes más pequeñas con pocos routers.

Con OSPF multiárea, OSPF puede dividir un sistema autónomo (AS) grande en áreas más pequeñas, a fin de admitir el routing jerárquico. Con el routing jerárquico, se sigue produciendo el routing entre áreas, y muchas de las operaciones de routing que implican una gran exigencia para el procesador, como volver a calcular la base de datos, se guardan en un área.

  • Implementado mediante una jerarquía de área de dos capas, dado que todas la
    áreas se deben conectar al área backbone (área 0).
  • Los routers que interconectan áreas se denominan «routers fronterizos de área» (ABR).
  • Útil en implementaciones de redes más grandes para reducir la sobrecarga de procesamiento y memoria.

Existen cuatro tipos diferentes de routers de OSPF:

  • Router interno: es un router cuyas interfaces están todas en la misma área. Todos los routers internos de un área tienen LSDB idénticas.
  • Router de respaldo: es un router que se encuentra en el área de red troncal. Por lo general, el área de red troncal se configura como área 0.
  • ABR (Area Border Router): es un router que se encuentra en la frontera entre dos o más áreas OSPF. El ABR es responsable de interconectar las áreas OSPF, traduciendo la información de enrutamiento entre ellas. El ABR también tiene una base de datos de enrutamiento separada para cada área a la que está conectado.
  • ASBR (Router de borde del sistema autónomo): es un router que se encuentra en la frontera de un sistema autónomo OSPF. El ASBR es responsable de interconectar el sistema autónomo OSPF con otros sistemas autónomos y de traducir la información de enrutamiento entre ellos mediante un proceso que se llama «redistribución de rutas».

Un router confía en que la información de enrutamiento proviene de un router que debería estar enviando información. Un router también confía en que la información no haya sido alterada a lo largo de la ruta. Para garantizar esta confianza, los routers de un área específica pueden configurarse para autenticarse entre sí. Cada interfaz OSPF puede presentar una clave de autenticación para que la usen los routers que envían información de OSPF hacia otros routers del segmento. La clave de autenticación o contraseña es compartida entre los routers. Esta clave se utiliza para generar los datos de autenticación en el encabezado del paquete de OSPF. La contraseña puede contener hasta ocho caracteres.

router(config-if)#ip ospf message-digest-key X md5 <contraseña>

La autenticación de mensaje de resumen de mensaje (MD5) es una forma más segura de autenticar los paquetes OSPF que la autenticación basada en texto sin formato proporcionada por la autenticación con clave simple (authentication-key). MD5 utiliza un algoritmo de hash para generar un resumen de mensaje único para cada paquete OSPF. Este resumen se agrega al paquete OSPF como parte del campo de autenticación, y se utiliza para verificar la autenticidad del paquete en el extremo receptor.

Es importante tener en cuenta que todos los routers que participan en OSPF deben estar configurados con la misma contraseña de autenticación MD5 para que la autenticación funcione correctamente.

router(config-if)#ip ospf authentication-key <contraseña>

Este comando habilita la autenticación de mensajes OSPF con autenticación de mensaje de resumen de mensaje (message-digest).

Router designado y Backup

El Designated Router (DR) es el router que se elige dentro de un área OSPF para actuar como el punto focal de la comunicación entre los demás routers de la misma área. El DR se encarga de la distribución de las actualizaciones de estado de los enlaces de los demás routers en la misma área, lo que reduce el tráfico de red y disminuye la cantidad de cálculos de ruta que deben realizar los routers en la misma área. El DR es elegido mediante un proceso de elección, basado en la prioridad y la dirección IP más alta del router.

En cambio Backup Designated Router (BDR) es el router que actúa como respaldo del DR. Si el DR falla, el BDR asume el papel de DR y se encarga de las funciones del DR hasta que se elija un nuevo DR. El BDR también se elige mediante un proceso de elección, basado en la prioridad y la dirección IP más alta del router.

Para habilitar la elección del Designated Router (DR) y Backup Designated Router (BDR) en OSPF, es necesario utilizar el siguiente comando:

Router(config-router)# ospf priority [prioridad del router(0-255)]

En resumen, el DR y el BDR se utilizan en OSPF para mejorar la eficiencia de la red al reducir el tráfico y los cálculos de ruta. El DR actúa como el punto focal de la comunicación dentro de un área OSPF, mientras que el BDR actúa como respaldo en caso de que falle el DR.

Por otro lado tenemos al DRother que se configura con una prioridad de 0 para que nunca sea un router de respaldo y menos uno designado.

Tabla resumen con todos los comandos

ComandoEjemploDescripción del comando
configure terminalRouter# configure terminalEntra en el modo de configuración global.
interface range [FastEthernet or gigabitEthernet]
<0-9> interface number
Router(config)#interface range gigabitEthernet 0/0-1Selecciona un rango de interfaces de red y configurar parámetros en ellas de manera simultánea.
router ospf [ID DE PROCESO](1)Router(config)# router ospf 1Inicia el proceso de re dirección OSPF y entrará en el modo de configuración para el proceso de re dirección.
network
[Network number] [Wild card bits]
area <0-4294967295>
Router(config-router)# network 172.31.0.0 0.0.255.255 area 0Indica al router que anuncie la red 172.31.0.0 con una máscara de subred de 255.255.0.0 (es decir, cualquier dirección IP que comience con 172.31.x.x) a través del proceso OSPF en el área 0
ip ospf priority [0-255]Router(config-if-range)#ip ospf priority 255Se utiliza en la configuración de un rango de interfaces de red en un router Cisco para configurar la prioridad del router OSPF en una interfaz específica. En este caso establecemos un DR.
ip ospf message-digest-key [CLAVE-ID] md5 [CLAVE]Router(config-if-range)#ip ospf message-digest-key 1 md5 maristakSe utiliza en la configuración de un rango de interfaces de red en un router Cisco para configurar una clave de autenticación compartida (contraseña) para el protocolo OSPF utilizando el método de autenticación de mensaje de resumen de autenticación (MD5).
ip ospf authentication message-digestRouter(config-if)#ip ospf authentication message-digestSe utiliza en la configuración de una interfaz de red en un router Cisco para habilitar la autenticación del protocolo OSPF utilizando el método de autenticación de mensaje de resumen de autenticación (MD5).

¿Qué es NAT?

El sistema NAT (Network Address Translation) es una técnica utilizada en las redes de dispositivos electrónicos para permitir que muchos dispositivos en una red privada puedan conectarse a Internet utilizando una única dirección IP pública.

Imagina que tienes una red en tu casa o en tu oficina, en la que tienes varios dispositivos electrónicos conectados, como tu teléfono móvil, una tablet, una Smart TV y una impresora. Cada uno de estos dispositivos tiene una dirección electrónica única que los identifica en la red privada de tu hogar u oficina. Sin embargo, cuando estos dispositivos necesitan conectarse a Internet, necesitan una dirección electrónica pública única para comunicarse con otros dispositivos y servidores en Internet.

Es aquí donde entra en juego el NAT. Tu router actúa como un intermediario entre tus dispositivos y la red pública de Internet. Cuando uno de tus dispositivos quiere enviar una solicitud a un servidor en Internet, el router cambia su dirección IP privada a la dirección IP pública del router. De esta manera, el servidor de Internet responde al router, y el router reenvía la respuesta al dispositivo que hizo la solicitud.

NAT es importante porque permite que múltiples dispositivos en tu red Wi-Fi compartan una única dirección IP pública, lo que ayuda a conservar las direcciones IP públicas limitadas disponibles.

Ventajas

  • Mayor seguridad: NAT proporciona una capa adicional de seguridad al ocultar la dirección IP privada de los dispositivos de la red privada detrás de una dirección IP pública compartida. Esto hace que los dispositivos en la red privada no sean directamente accesibles desde Internet sin una configuración específica para ello, lo que ayuda a evitar ataques malintencionados.
  • Mayor eficiencia: NAT permite que varios dispositivos de una red privada compartan una única dirección IP pública. Esto ayuda a conservar las direcciones IP públicas limitadas disponibles y permite que los dispositivos se comuniquen con servidores y dispositivos en Internet sin requerir direcciones IP públicas únicas para cada dispositivo.
  • Facilidad de configuración: NAT es una técnica que se implementa a nivel del router, lo que significa que no es necesario configurar nada en los dispositivos de la red privada. Esto hace que sea fácil de configurar y administrar la red.
  • Reducción de costos: Como NAT permite que varios dispositivos compartan una única dirección IP pública, se pueden reducir los costos asociados con la compra de direcciones IP públicas adicionales.

Desventajas

  • Limitaciones en el uso de algunas aplicaciones: Al utilizar NAT, se puede experimentar cierta limitación en el uso de algunas aplicaciones que requieren una conexión directa y sin restricciones con dispositivos externos a la red privada. Esto se debe a que, para estas aplicaciones, NAT puede crear problemas de conectividad y, en algunos casos, puede incluso impedir su funcionamiento.
  • Mayor complejidad de configuración en algunos casos: Aunque NAT es generalmente fácil de configurar y administrar, en algunos casos, especialmente cuando se requiere una configuración de red más avanzada, puede resultar complicado. Por lo tanto, esto puede requerir un nivel de conocimiento técnico más avanzado para la correcta implementación y configuración.
  • Limitaciones en el número de conexiones simultáneas: A medida que aumenta el número de dispositivos en una red privada que comparten una única dirección IP pública a través de NAT, se puede experimentar una limitación en el número de conexiones simultáneas que se pueden establecer con servidores externos. Esto puede afectar negativamente el rendimiento de la red.
  • Dificultad para identificar el origen de las conexiones entrantes: Al utilizar NAT, puede resultar difícil para los servidores externos identificar el origen exacto de las conexiones entrantes. Esto puede hacer que sea más difícil para los administradores de red solucionar problemas o identificar posibles amenazas.

Configuración

Una de las maneras de comenzar con la configuración es creando la lista de acceso estándar en un router de red. Esta lista de acceso se utiliza para permitir o denegar el tráfico basado en la dirección de origen de la red. El comando para hacer esto seria:

«Router(config)#access-list 1 permit 172.31.0.0 0.0.255.255»

En este caso, el comando permite todo el tráfico que proviene de la red 172.31.0.0/16 (es decir, todas las direcciones IP que comienzan con 172.31). La máscara de subred 0.0.255.255 significa que se permiten todas las direcciones dentro de la red 172.31.0.0/16.

Continuamos con la configuración que se utiliza en routers de red para habilitar la traducción de direcciones de red en una interfaz de red específica.

«Router(config)#ip nat inside source list 1 interface serial 0/2/0 overload»

El comando habilita NAT en la interfaz «serial 0/2/0» del router y especifica que la lista de acceso «1» se utilizará para seleccionar las direcciones IP internas que se traducirán. La opción «overload» indica que se debe realizar la traducción de direcciones con sobrecarga (PAT, por sus siglas en inglés), lo que significa que varias direcciones IP privadas se pueden traducir a una única dirección IP pública en la interfaz especificada.

Ahora solo queda determinar que tipo de trafico pasa por cada interfaz

Router(config-if)#ip nat inside

Este comando se utiliza en la configuración de una interfaz de red específica en un router para indicar que esa interfaz se utiliza para el tráfico interno de la red y que las direcciones IP de origen en ese tráfico se traducirán a direcciones IP públicas antes de salir a Internet.

Este comando indica que la interfaz de red en la que se está ejecutando el comando es una interfaz interna (dentro de la red) y, por lo tanto, se utilizará para aplicar la traducción de direcciones de red (NAT) a las direcciones IP internas. En otras palabras, cualquier tráfico que salga de esta interfaz será traducido a una dirección IP pública para permitir que el tráfico se enrute correctamente a través de Internet.

Este comando se utiliza en combinación con el comando «ip nat outside» para indicar qué interfaz se utiliza para el tráfico que sale de la red. En general, se debe configurar la interfaz del router que se conecta directamente a Internet como «ip nat outside» y cualquier otra interfaz de red que se utilice para el tráfico interno como «ip nat inside». De esta manera, el router puede aplicar la traducción de direcciones de red apropiadamente y permitir que el tráfico fluya correctamente dentro y fuera de la red.

Router-ISP al tener una salida a internet tenemos que asignarle una ruta estatica predeterminada

ip route 0.0.0.0 0.0.0.0 8.0.0.2

Se utiliza cuando se necesita enviar todo el tráfico de la red a una interfaz.

En esta configuración, «0.0.0.0» representa la dirección de red y la máscara de subred que cubren todo el espacio de direcciones IP (o sea, cualquier dirección IP), lo que indica que la ruta predeterminada se aplica a cualquier dirección de red de destino. Luego, «8.0.0.2» representa la dirección IP del gateway predeterminado al que se enviará todo el tráfico de la red.

Por lo tanto, este comando se utiliza para indicar al dispositivo de red que, si no se encuentra ninguna ruta más específica en la tabla de enrutamiento, se debe enviar todo el tráfico a través del gateway predeterminado 8.0.0.2. Esta configuración es útil en situaciones en las que el dispositivo necesita enviar todo el tráfico a un único punto de salida para que pueda ser enrutable correctamente y llegar a su destino final.

Para que todos los router conozcan esta ruta predeterminada y la guarden en sus tablas de enrutamiento tenemos que compartirlas a través del protocolo de enrutamiento utilizado en la red

En este ejemplo usamos OSPF en todos la LAN así que insertamos el siguiente comando en configuración de OSPF:

Router(config-router)#default-information originate 

Enlace permanente a este artículo: https://asir.maristak.com/?p=5770

Cisco Packet Tracer y Taller

Esta es una red de topología de red de área local virtual de VLANs en un edificio de cuatro plantas y con distintos departamentos: RRHH, IT, FinanzaCompras.
– En los routers hemos puesto OSPF y NAT(en el ISP).
– Tiene dos tipos de areas diferentes nuestra lan: los routers 9,10,11 tienen area 1 y todos los de mas area 0
– En la parte de internet tienen RIP y rutas extaticas.
– Tambien hemos puesto el DR=255 y el BDR=100, hemos puesto en el area 1 porque creemos que tiene menos trafico de red.

TALLER

En el taller como tenemos pocos Switch y pocos Routers, tenemos dos departamentos: IT y RRHH; y en los Routers hemos hecho OSPF

Comandos

Enlace permanente a este artículo: https://asir.maristak.com/?p=5407