Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
ESCALABILIDAD DE NÚMEROS IP El rápido crecimiento de la Internet ha dejado atónitos a la mayoría de los observadores. Una de las razones por las que la Internet ha crecido tan rápidamente es debido a la flexibilidad del diseño original. Sin el desarrollo de nuevas tecnologías de asignación de direcciones IP, el rápido crecimiento de Internet habría agotado la cantidad actual de direcciones IP. Para poder compensar esta falta de direcciones IP, se buscaron diferentes soluciones. Una solución ampliamente implementada, es la Traducción de direcciones de red (NAT). NAT es un mecanismo para conservar direcciones IP registradas en las grandes redes y simplificar las tareas de administración de direccionamiento IP. Mientas se enruta un paquete a través de un dispositivo de red, por lo general un firewall o router fronterizo, la dirección IP fuente se traduce de una dirección de red interna privada a una dirección IP pública enrutable. Esto permite que se transporte el paquete a través de redes externas públicas como la Internet. La dirección pública de la respuesta se traduce de nuevo a la dirección interna privada para su entrega dentro de la red interna. Una variación de NAT, conocida como Traducción de direcciones de puerto (PAT), permite la traducción de muchas direcciones privadas internas con una sola dirección pública externa. Los routers, servidores y otros dispositivos fundamentales de la red por lo general requieren de una configuración IP estática, la cual se introduce de forma manual. Sin embargo, los clientes de escritorio no necesitan una dirección específica, sino una que pertenezca a un rango de direcciones. Este rango se encuentra por lo general dentro de una subred IP. A una estación de trabajo dentro de una red específica se le puede asignar cualquier dirección dentro de un rango, mientras que otros valores son estáticos, incluyendo la máscara de subred, el gateway por defecto y el servidor DNS. El protocolo de configuración dinámica de host (DHCP) se diseñó para asignar las direcciones IP y toda información de configuración de red importante de forma dinámica. Como los clientes de escritorio por lo general conforman la mayoría de los nodos de red, el DHCP es una herramienta muy útil que ahorra tiempo a los administradores de red. Direccionamiento privado RFC 1918 aparta los tres siguientes bloques de direcciones IP privadas: • Una dirección Clase A • Dieciséis direcciones Clase B • 256 direcciones Clase C Estas direcciones son sólo para el uso particular de la red interna. Los paquetes que contienen a estas direcciones no se enrutan a la Internet. Es necesario registrar las direcciones de Internet públicas con una autoridad de Internet como por ejemplo, el Registro americano de números de Internet (ARIN) o la Réseaux IP Européennes (RIPE), el Registro regional de Internet responsable de Europa y África del Norte. Estas direcciones de Internet públicas pueden alquilarse a una ISP también. Las direcciones IP privadas quedan reservadas y cualquiera las puede utilizar. Eso quiere decir que dos redes, o dos millones de redes, pueden utilizar la misma dirección privada. Un router nunca debe enrutar las direcciones RFC 1918 fuera de una red interna. Los ISP por lo general configuran los routers fronterizos para impedir que el tráfico direccionado de forma privada se envíe al exterior. NAT ofrece grandes beneficios a empresas individuales y a la Internet. Antes del desarrollo de NAT, un host con dirección privada no podía acceder a la Internet. Con NAT, las empresas individuales pueden direccionar algunos o todos sus hosts con direcciones privadas y utilizar NAT para brindar acceso a la Internet. CLASE INTERVALO DE DIRECCIONES INTERNAS RFC 1918 PREFIJO CIDR A 10.0.0.0 – 10.255.255.255 10.0.0.0/8 B 172.16.0.0 – 172.31.255.255 172.16.0.0/12 C 192.168.0.0 – 192.168.255.255 182.168.0.0/16 Introducción al NAT y PAT NAT está diseñada para conservar las direcciones IP y permitir que las redes utilicen direcciones IP privadas en las redes internas. Estas direcciones privadas e internas se convierten en direcciones públicas enrutables. Esto se logra mediante el uso de dispositivos de internetwork que ejecutan un software NAT especializado, el cual puede aumentar la privacidad de la red al esconder las direcciones IP internas. Un dispositivo que ejecuta NAT generalmente opera en la frontera de una red stub. Una red stub es una red que posee una sola conexión a su red vecina. Cuando un host dentro de una red stub desea hacer una transmisión a un host en el exterior, envía el paquete al router del gateway fronterizo. El router del gateway fronterizo realiza el proceso de NAT, traduciendo la dirección privada interna de un host a una dirección pública, enrutable y externa. En la terminología de NAT, la red interna es el conjunto de redes que están sujetos a traducción. La red externa se refiere a todas las otras direcciones. Se definen los siguientes términos NAT: Dirección local interna: la dirección IP asignada al host en la red interna. En general, la dirección no es una dirección IP asignada por el Centro de Información de la Red de Internet (InterNIC) o el proveedor de servicios. Es probable que esta dirección sea una dirección privada de RFC 1918. Dirección global interna: una dirección IP legítima asignada por InterNIC o un proveedor de servicios que representa una o más direcciones IP locales internas al mundo exterior. Dirección local externa: la dirección IP de un host externo, como la conocen los hosts en la red interna. Dirección global externa: la dirección IP asignada a un host en la red externa. El dueño del host asigna esta dirección. 1. Un host interno (10.0.0.3) desea comunicarse con un host externo (128.23.2.2). El host interno envía un paquete al gateway, RTA. 2. RTA ve que el paquete se debe enrutar a la internet externa. El proceso NAT elige una dirección IP única a nivel global (179.9.8.80), y reemplaza la dirección local en el campo origen del paquete con la dirección global. Almacena este mapeo de dirección local a global en la tabla NAT. 3. El paquete se enruta a su destiono. En este entorno cliente-servidor, es posible que el servidor responda con un paquete, que RTA recibe, destinado a la dirección global 179.9.8.80. 4. El proceso NAT ve un paquete enrutado desde el exterior al interior y consulta la tabla NAT para obtener un mapeo de esta dirección global a una dirección local. Si se encuentra un mapeo, la dirección global en el campo destino del paquete se reemplaza con la dirección local y el paquete se envía a la red interior. Características principales de NAT y PAT Las traducciones NAT se pueden usar para una variedad de propósitos y pueden asignarse de manera dinámica o estática. NAT estática está diseñada para permitir que cada dirección local se mapee a su correspondiente dirección global. Esto resulta particularmente útil para los hosts que deban tener una dirección constante que esté accesible desde la Internet. Estos hosts internos pueden ser servidores de empresas o dispositivos de networking. NAT dinámica está diseñada para mapear una dirección IP privada a una dirección pública. Cualquier dirección IP de un conjunto de direcciones IP públicas se asigna a un host de red. La sobrecarga, o Traducción de direcciones de puerto (PAT), mapea varias direcciones IP privadas a una sola dirección IP pública. Se pueden mapear varias direcciones a una sola dirección porque cada dirección privada se diferencia por el número de puerto. PAT utiliza números únicos de puerto origen en la dirección IP global interna para distinguir entre las traducciones. El número de puerto se codifica en 16 bits. En teoría, el número total de direccionesinternas que se pueden traducir a una dirección externa podría ser hasta 65,536 por dirección IP. En realidad, el número de puertos que se pueden asignar a una sola dirección IP es aproximadamente 4000. PAT intenta preservar el puerto origen original. Si el puerto origen está en uso, PAT asigna el primer número de puerto disponible comenzando desde el principio del grupo de puertos correspondiente 0-511, 512-1023, o 1024-65535. Cuando no hay más puertos disponibles y hay más de una dirección IP externa configurada, PAT utiliza la próxima dirección IP para tratar de asignar nuevamente el puerto origen original. Este proceso continúa hasta que no haya puertos ni direcciones IP externas disponibles. NAT ofrece las siguientes ventajas: • Elimina la reasignación de una nueva dirección IP a cada host cuando se cambia a un nuevo ISP. NAT elimina la necesidad de re-direccionar todos los hosts que requieran acceso externo, ahorrando tiempo y dinero. • Conserva las direcciones mediante la multiplexión a nivel de puerto de la aplicación. Con PAT, los hosts internos pueden compartir una sola dirección IP pública para toda comunicación externa. En este tipo de configuración, se requieren muy pocas direcciones externas para admitir muchos hosts internos, y de este modo se conservan las direcciones IP • Protege la seguridad de la red. Debido a que las redes privadas no publican sus direcciones o topología interna, ellas son razonablemente seguras cuando se las utiliza en conjunto con NAT para tener un acceso externo controlado. Configuración de NAT y PAT Traducción estática El router traduce los paquetes provenientes del host 10.1.1.2 a la dirección origen de 192.168.1.2. Traducción dinámica La lista de acceso debe permitir sólo aquellas direcciones que se deben traducir. Recuerde que existe un "denegar todo" implícito al final de una lista de acceso. Una lista de acceso que es demasiado permisiva puede desencadenar resultados impredecibles. No se recomienda configurar listas de acceso con el comando permit any si los comandos NAT se refieren a esas listas. El uso de permit any puede hacer que NAT consuma demasiados recursos de los routers, lo que puede provocar problemas en la red. Sobrecarga La sobrecarga se puede configurar de dos formas según la asignación de las direcciones IP públicas. Una ISP puede asignar sólo una dirección IP pública a una red, y ésta por lo general se asigna a la interfaz externa que se conecta al ISP. Otra forma de configurar la sobrecarga es si el ISP ha asignado una o más direcciones IP públicas para uso en un conjunto NAT. Ejemplo de configuración en router CISCO Ejemplo de configuración NAT en router CISCO. Ejemplo de configuración PAT en router CISCO. Diagnóstico de fallas en la configuración de NAT y PAT Cuando existen problemas de conectividad IP en un entorno NAT, muchas veces resulta difícil determinar la causa del problema. Con frecuencia se culpa a NAT equivocadamente, cuando en realidad hay un problema subyacente. Al intentar determinar la causa del problema de conectividad IP, es útil excluir NAT. Siga los pasos que aparecen a continuación para determinar si NAT está funcionando correctamente: 1. Basándose en la configuración, defina con claridad lo que NAT debe lograr. 2. Verifique que haya traducciones correctas en la tabla de traducción. 3. Verifique por medio de los comandos show y debug que la traducción se está realizando. 4. Revise detalladamente lo que le está pasando al paquete y verifique que los routers tengan la información de enrutamiento correcta para enviar el paquete. Utilice software de debug de ip nat para verificar la operación de NAT para visualizar la información acerca de cada paquete que el router/Switch traduce Problemas con NAT NAT presenta varias ventajas, a saber: Conserva el esquema de direccionamiento legalmente registrado al permitir la privatización de redes internas. Aumenta la flexibilidad de las conexiones con la red pública. Se pueden implementar varios conjuntos, conjuntos de respaldo y de equilibrio de la carga para garantizar que las conexiones de red pública sean confiables. Uniformidad en el esquema de direccionamiento de red interno. En una red sin direcciones IP privadas y NAT, cambiar de direcciones IP públicas requiere la renumeración de todos los hosts en la red existente. El costo de renumerar los host puede ser elevado. NAT permite que permanezca el esquema existente, admitiendo a la vez un nuevo sistema de direccionamiento público. Sin embargo, NAT presenta algunas desventajas. Permitir la traducción de direcciones causa una pérdida en la funcionalidad, en particular con cualquier protocolo o aplicación que implique el envío de información de dirección IP dentro de los datos del paquete (payload) IP. Esto requiere que el dispositivo NAT tenga más funcionalidad. NAT aumenta el retardo. Se introducen retardos en la conmutación de rutas debido a la traducción de cada dirección IP dentro de los encabezados del paquete. El primer paquete siempre se envía por la ruta lenta, lo que significa que el primer paquete es de conmutación de procesos. Los otros paquetes se envían por la ruta de conmutación rápida, si existe una entrada de caché. Es posible que se comprometa el desempeño, ya que, en la actualidad, NAT se logra a través de la conmutación de procesos. La CPU tiene que inspeccionar cada paquete para decidir si es necesario traducirlo. La CPU debe modificar el encabezado IP, y posiblemente el encabezado TCP también: Una desventaja significativa que surge al implementar y utilizar NAT, es la pérdida de la posibilidad de rastreo IP de extremo a extremo. Se hace mucho más difícil rastrear paquetes que sufren varios cambios en la dirección del paquete al atravesar múltiples saltos NAT. Afortunadamente, los hackers que quieran determinar la fuente del paquete, descubrirán que es muy difícil rastrear u obtener la dirección origen o destino original. NAT también hace que algunas aplicaciones que utilizan el direccionamiento IP dejen de funcionar, porque esconde las direcciones IP de extremo a extremo. Las aplicaciones que utilizan las direcciones físicas en vez de un nombre de dominio calificado no llegarán a los destinos que se traducen en el router NAT. Algunas veces, este problema puede evitarse implementando mapeos NAT estáticos. Introducción al DHCP El Protocolo de configuración dinámica del host (DHCP) funciona en el modo cliente/servidor. DHCP permite que los clientes DHCP de una red IP obtengan sus configuraciones de un servidor DHCP. Es menos trabajoso administrar una red IP cuando se utiliza DHCP. La opción de configuración más significativa que el cliente recibe del servidor es su dirección IP. El protocolo DHCP se describe en RFC 2131. Un cliente DHCP está incluido en la mayoría de los sistemas operativos modernos, inclusive en varios sistemas operativos de Windows, Novell Netware, Sun Solaris, Linux y MAC OS. El cliente pide valores de direccionamiento al servidor DHCP de red. Este servidor administra la asignación de las direcciones IP y responde a las peticiones de configuración de los clientes. El servidor DHCP puede responder a las peticiones provenientes de muchas subredes. DHCP no está destinado a la configuración de routers, switches y servidores. Estos tipos de hosts necesitan contar con direcciones IP estáticas. La función de DHCP es brindar un proceso para que el servidor pueda asignar información IP a los clientes. Los clientes alquilan la información de los servidores por un período definido administrativamente. Cuando el período de alquiler se termina, el cliente debe pedir otra dirección, aunque en general, se le reasigna la misma dirección. Los administradores en general prefieren que los servidores de red ofrezcan servicios DHCP porque estas soluciones facilitan el crecimiento y la administración.Los routers de Cisco pueden utilizar un conjunto de funciones Cisco IOS, que se llama Easy IP, para ofrecer un servidor DHCP opcional con todas las funciones. Easy IP alquila las configuraciones por 24 horas por defecto. Esto resulta muy útil en las oficinas pequeñas y para aquellos que trabajan en sus casas, donde el usuario puede aprovechar DHCP y NAT sin contar con un servidor NT o UNIX. Los administradores configuran los servidores DHCP para asignar direcciones de conjuntos predefinidos. Los servidores DHCP pueden ofrecer otra información, tal como direcciones del servidor DNS, direcciones del servidor WINS y nombres de dominios. La mayoría de los servidores DHCP también permiten que el administrador defina de forma específica cuáles direcciones MAC de cliente se pueden servir y asignarles cada vez la misma dirección IP de forma automática. DHCP utiliza el Protocolo de datagrama del usuario (UDP) como su protocolo de transporte. El cliente envía mensajes al servidor en el puerto 67. El servidor envía mensajes al cliente en el puerto 68. Diferencias entre BOOTP y DHCP La comunidad de Internet comenzó a desarrollar el protocolo BOOTP para permitir la configuración de estaciones de trabajo sin disco. BOOTP se definió originalmente en RFC 951 en 1985. Como predecesor de DHCP, BOOTP comparte algunas de las características operacionales. Ambos protocolos se basan en la relación cliente/servidor y utilizan los puertos UDP 67 y 68. Estos puertos todavía se conocen como puertos BOOTP. Los cuatro parámetros IP básicos incluyen: • Dirección IP • Dirección de gateway • Máscara de subred • Dirección de servidor DNS. BOOTP no asigna direcciones IP a un host de forma dinámica. Cuando un cliente solicita una dirección IP, el servidor BOOTP busca una entrada que coincida con la dirección MAC del cliente en una tabla predefinida. Si la entrada existe, entonces la dirección IP correspondiente a esa entrada se envía al cliente. Esto significa que el enlace entre las direcciones MAC e IP se tiene que haber configurado previamente en el servidor BOOTP. Existen dos diferencias principales entre DHCP y BOOTP: • DHCP define mecanismos por medio de los cuales se les puede asignar una dirección IP a los clientes por un período de tiempo de alquiler determinado. Este período de alquiler permite la reasignación de la dirección IP a otro cliente más tarde, o que el cliente reciba otra asignación si se cambia a otra subred. Además, los clientes pueden renovar los alquileres y mantener la misma dirección IP. • DHCP proporciona el mecanismo para que un cliente reúna otros parámetros de configuración IP, tales como WINS y denominación de dominio. Funciones principales del DHCP Tres son los mecanismos para asignar direcciones IP a un cliente. • Asignación automática: DHCP asigna de manera automática una dirección IP a un cliente. • Asignación manual: el administrador asigna una dirección IP al cliente. DHCP comunica la dirección al cliente. • Asignación dinámica: DHCP asigna, o alquila, una dirección IP al cliente por un período de tiempo limitado. El enfoque de esta sección es el mecanismo de asignación dinámico. Algunos de los parámetros de configuración disponibles están enumerados en IETF RFC 1533: • Máscara de subred • Router • Nombre de dominio • Servidor(es) de denominación de dominio • Servidor(es) WINS El servidor DHCP crea conjuntos de direcciones IP y parámetros asociados. Los conjuntos están dedicados a una subred IP lógica individual. Esto permite que varios servidores DHCP respondan y que los clientes IP sean móviles. Si varios servidores responden, el cliente puede elegir sólo una de las ofertas. Operación DHCP El proceso de configuración de un cliente DHCP consta de los siguientes pasos: • Un cliente debe tener DHCP configurado al comenzar su proceso de participación en la red. El cliente envía una petición al servidor para obtener una configuración IP. Algunas veces el cliente sugiere la dirección IP que quiere, como cuando pide una extensión de un alquiler DHCP. El cliente ubica el servidor DHCP enviando un broadcast llamado DHCPDISCOVER. • Cuando un servidor recibe el broadcast, determina si puede servir esa petición de su propia base de datos. Si no puede, es posible que el servidor envíe la petición a otro servidor DHCP. Si puede, el servidor DHCP ofrece al cliente información de configuración IP como DHCPOFFER unicast DHCPOFFER es una configuración propuesta que puede incluir direcciones IP, direcciones de servidores DNS y tiempo de alquiler. • Si el cliente encuentra que la propuesta es buena, envía otro broadcast, un DHCPREQUEST, pidiendo de forma específica aquellos parámetros IP en particular. ¿Por qué un cliente envía la petición en forma broadcast en lugar de enviarla en unicast directamente al servidor? Se utiliza un broadcast porque el primer mensaje, el DHCPDISCOVER, pudo haber llegado a más de un servidor DHCP. Si más de un servidor realiza una oferta, el DHCPREQUEST enviado permite que los otros servidores sepan cuál oferta se aceptó. Por lo general, la oferta que se acepta es la primera que se recibe. • El servidor que recibe el DHCPREQUEST formaliza la configuración mandando un recibo unicast, el DHCPACK. Es posible, aunque muy poco probable, que el servidor no envíe el DHCPACK. Esto puede ocurrir porque entretanto, el servidor pudo haber alquilado esa información a otro cliente. La recepción del mensaje DHCPACK permite que un cliente comience a utilizar la dirección asignada de inmediato. • Si el cliente detecta que la dirección ya está en uso en el segmento local, envía un mensaje DHCPDECLINE y el proceso vuelve a comenzar. Si el cliente recibe un DHCPNACK del servidor luego de enviar el DHCPREQUEST, entonces comienza el proceso nuevamente. • Si el cliente ya no desea la dirección IP, envía un mensaje DHCPRELEASE al servidor. Según la política de la organización, es posible que un usuario final o un administrador asigne a un host de forma estática una dirección IP que pertenezca al conjunto de direcciones del servidor DHCP. Por las dudas, el servidor Cisco IOS DHCP siempre se asegura de que una dirección no esté en uso antes de que el servidor la ofrezca a un cliente. El servidor enviará una petición eco ICMP o hará ping a una dirección del conjunto antes de enviar una DHCPOFFER al cliente. Aunque es configurable, el número por defecto de pings utilizados para buscar un conflicto potencial de dirección IP es dos. Relay (envío) de DHCP Los clientes DHCP utilizan broadcasts IP para encontrar el servidor DHCP en el segmento. ¿Qué sucede cuando el servidor y el cliente no se encuentran en el mismo segmento y están separados por un router? Los routers no envían estos broadcasts. DHCP no es el único servicio crítico que utiliza broadcasts. Los routers y otros dispositivos pueden utilizar broadcasts para encontrar los servidores TFTP. Es posible que algunos clientes realicen broadcasts para encontrar los servidores TACACS. Un servidor TACACS es un servidor de seguridad. En general, en una red jerárquica compleja, los clientes se encuentran en la misma subred que los servidores principales. Estos clientes remotos enviarán un broadcast para encontrar estos servidores. Sin embargo, los routers, por defecto, no enviarán los broadcasts de los clientes más allá de sus subredes. Debido a que algunos clientes no pueden funcionar sin los servicios tales como DHCP, se debe implementar una de dos alternativas. El administrador necesitará colocar servidores en todas las subredes o utilizar la funciones de redirección o reenvío. El hacer funcionar servicios como DHCP o DNS en varios computadores crea gastos y dificultades administrativas que hacen que la primera opción sea ineficiente. En el caso particular de DHCP, un cliente envía un paquete DHCPDISCOVER en su segmento local.El gateway toma este paquete. Si la función de redirección está activa, el paquete DHCP se envía a la dirección especificada. Antes de enviar el paquete, el router completa el campo GIADD del paquete con la dirección IP del router para ese segmento. Esta dirección entonces será la dirección de gateway para el cliente DHCP cuando reciba la dirección IP. El servidor DHCP recibe el paquete de descubrimiento. El servidor utiliza el campo GIADDR para cotejar la lista del conjunto de direcciones y hallar una que contenga la dirección de gateway asignada al valor en GIADDR. Este conjunto entonces se utiliza para brindar al cliente su dirección IP. –
Compartir