ESCALABILIDAD DE NMEROS IP

Vista previa del material en texto

ESCALABILIDAD DE NÚMEROS IP 
 
 
El rápido crecimiento de la Internet ha dejado atónitos a la mayoría de los observadores. Una de las razones por las 
que la Internet ha crecido tan rápidamente es debido a la flexibilidad del diseño original. Sin el desarrollo de 
nuevas tecnologías de asignación de direcciones IP, el rápido crecimiento de Internet habría agotado la cantidad 
actual de direcciones IP. Para poder compensar esta falta de direcciones IP, se buscaron diferentes soluciones. Una 
solución ampliamente implementada, es la Traducción de direcciones de red (NAT). 
 
NAT es un mecanismo para conservar direcciones IP registradas en las grandes redes y simplificar las tareas de 
administración de direccionamiento IP. Mientas se enruta un paquete a través de un dispositivo de red, por lo 
general un firewall o router fronterizo, la dirección IP fuente se traduce de una dirección de red interna privada a 
una dirección IP pública enrutable. Esto permite que se transporte el paquete a través de redes externas públicas 
como la Internet. La dirección pública de la respuesta se traduce de nuevo a la dirección interna privada para su 
entrega dentro de la red interna. Una variación de NAT, conocida como Traducción de direcciones de puerto (PAT), 
permite la traducción de muchas direcciones privadas internas con una sola dirección pública externa. 
 
Los routers, servidores y otros dispositivos fundamentales de la red por lo general requieren de una configuración IP 
estática, la cual se introduce de forma manual. Sin embargo, los clientes de escritorio no necesitan una dirección 
específica, sino una que pertenezca a un rango de direcciones. Este rango se encuentra por lo general dentro de 
una subred IP. A una estación de trabajo dentro de una red específica se le puede asignar cualquier dirección 
dentro de un rango, mientras que otros valores son estáticos, incluyendo la máscara de subred, el gateway por 
defecto y el servidor DNS. 
 
El protocolo de configuración dinámica de host (DHCP) se diseñó para asignar las direcciones IP y toda información 
de configuración de red importante de forma dinámica. Como los clientes de escritorio por lo general conforman la 
mayoría de los nodos de red, el DHCP es una herramienta muy útil que ahorra tiempo a los administradores de red. 
 
 
Direccionamiento privado 
 
RFC 1918 aparta los tres siguientes bloques de direcciones IP privadas: 
• Una dirección Clase A 
• Dieciséis direcciones Clase B 
• 256 direcciones Clase C 
Estas direcciones son sólo para el uso particular de la red interna. Los paquetes que contienen a estas direcciones 
no se enrutan a la Internet. 
Es necesario registrar las direcciones de Internet públicas con una autoridad de Internet como por ejemplo, el 
Registro americano de números de Internet (ARIN) o la Réseaux IP Européennes (RIPE), el Registro regional de 
Internet responsable de Europa y África del Norte. Estas direcciones de Internet públicas pueden alquilarse a una 
ISP también. Las direcciones IP privadas quedan reservadas y cualquiera las puede utilizar. Eso quiere decir que dos 
redes, o dos millones de redes, pueden utilizar la misma dirección privada. Un router nunca debe enrutar las 
direcciones RFC 1918 fuera de una red interna. Los ISP por lo general configuran los routers fronterizos para 
impedir que el tráfico direccionado de forma privada se envíe al exterior. NAT ofrece grandes beneficios a 
empresas individuales y a la Internet. Antes del desarrollo de NAT, un host con dirección privada no podía acceder a 
la Internet. Con NAT, las empresas individuales pueden direccionar algunos o todos sus hosts con direcciones 
privadas y utilizar NAT para brindar acceso a la Internet. 
 
CLASE INTERVALO DE DIRECCIONES INTERNAS RFC 1918 PREFIJO CIDR 
A 10.0.0.0 – 10.255.255.255 10.0.0.0/8 
B 172.16.0.0 – 172.31.255.255 172.16.0.0/12 
C 192.168.0.0 – 192.168.255.255 182.168.0.0/16 
 
 
Introducción al NAT y PAT 
 
NAT está diseñada para conservar las direcciones IP y permitir que las redes utilicen direcciones IP privadas en las 
redes internas. 
 
Estas direcciones privadas e internas se convierten en direcciones públicas enrutables. Esto se logra mediante el 
uso de dispositivos de internetwork que ejecutan un software NAT especializado, el cual puede aumentar la 
privacidad de la red al esconder las direcciones IP internas. Un dispositivo que ejecuta NAT generalmente opera en 
la frontera de una red stub. Una red stub es una red que posee una sola conexión a su red vecina. Cuando un host 
dentro de una red stub desea hacer una transmisión a un host en el exterior, envía el paquete al router del gateway 
fronterizo. El router del gateway fronterizo realiza el proceso de NAT, traduciendo la dirección privada interna de 
un host a una dirección pública, enrutable y externa. En la terminología de NAT, la red interna es el conjunto de 
redes que están sujetos a traducción. La red externa se refiere a todas las otras direcciones. 
 
Se definen los siguientes términos NAT: 
 
Dirección local interna: la dirección IP asignada al host en la red interna. En general, la dirección no es una 
dirección IP asignada por el Centro de Información de la Red de Internet (InterNIC) o el proveedor de servicios. Es 
probable que esta dirección sea una dirección privada de RFC 1918. 
Dirección global interna: una dirección IP legítima asignada por InterNIC o un proveedor de servicios que representa 
una o más direcciones IP locales internas al mundo exterior. 
Dirección local externa: la dirección IP de un host externo, como la conocen los hosts en la red interna. 
Dirección global externa: la dirección IP asignada a un host en la red externa. El dueño del host asigna esta 
dirección. 
 
 
 
1. Un host interno (10.0.0.3) desea comunicarse con un host externo (128.23.2.2). El host interno envía un 
paquete al gateway, RTA. 
2. RTA ve que el paquete se debe enrutar a la internet externa. El proceso NAT elige una dirección IP única a 
nivel global (179.9.8.80), y reemplaza la dirección local en el campo origen del paquete con la dirección 
global. Almacena este mapeo de dirección local a global en la tabla NAT. 
3. El paquete se enruta a su destiono. En este entorno cliente-servidor, es posible que el servidor responda 
con un paquete, que RTA recibe, destinado a la dirección global 179.9.8.80. 
4. El proceso NAT ve un paquete enrutado desde el exterior al interior y consulta la tabla NAT para obtener un 
mapeo de esta dirección global a una dirección local. Si se encuentra un mapeo, la dirección global en el 
campo destino del paquete se reemplaza con la dirección local y el paquete se envía a la red interior. 
 
 
 
 
Características principales de NAT y PAT 
 
Las traducciones NAT se pueden usar para una variedad de propósitos y pueden asignarse de manera dinámica o 
estática. NAT estática está diseñada para permitir que cada dirección local se mapee a su correspondiente 
dirección global. Esto resulta particularmente útil para los hosts que deban tener una dirección constante que esté 
accesible desde la Internet. Estos hosts internos pueden ser servidores de empresas o dispositivos de networking. 
 
NAT dinámica está diseñada para mapear una dirección IP privada a una dirección pública. Cualquier dirección IP de 
un conjunto de direcciones IP públicas se asigna a un host de red. La sobrecarga, o Traducción de direcciones de 
puerto (PAT), mapea varias direcciones IP privadas a una sola dirección IP pública. Se pueden mapear varias 
direcciones a una sola dirección porque cada dirección privada se diferencia por el número de puerto. 
 
PAT utiliza números únicos de puerto origen en la dirección IP global interna para distinguir entre las traducciones. 
El número de puerto se codifica en 16 bits. En teoría, el número total de direccionesinternas que se pueden 
traducir a una dirección externa podría ser hasta 65,536 por dirección IP. En realidad, el número de puertos que se 
pueden asignar a una sola dirección IP es aproximadamente 4000. PAT intenta preservar el puerto origen original. Si 
el puerto origen está en uso, PAT asigna el primer número de puerto disponible comenzando desde el principio del 
grupo de puertos correspondiente 0-511, 512-1023, o 1024-65535. Cuando no hay más puertos disponibles y hay más 
de una dirección IP externa configurada, PAT utiliza la próxima dirección IP para tratar de asignar nuevamente el 
puerto origen original. Este proceso continúa hasta que no haya puertos ni direcciones IP externas disponibles. 
 
NAT ofrece las siguientes ventajas: 
 
• Elimina la reasignación de una nueva dirección IP a cada host cuando se cambia a un nuevo ISP. NAT elimina 
la necesidad de re-direccionar todos los hosts que requieran acceso externo, ahorrando tiempo y dinero. 
• Conserva las direcciones mediante la multiplexión a nivel de puerto de la aplicación. Con PAT, los hosts 
internos pueden compartir una sola dirección IP pública para toda comunicación externa. En este tipo de 
configuración, se requieren muy pocas direcciones externas para admitir muchos hosts internos, y de este 
modo se conservan las direcciones IP 
• Protege la seguridad de la red. Debido a que las redes privadas no publican sus direcciones o topología 
interna, ellas son razonablemente seguras cuando se las utiliza en conjunto con NAT para tener un acceso 
externo controlado. 
 
 
 
 
Configuración de NAT y PAT 
 
Traducción estática 
El router traduce los paquetes provenientes del host 10.1.1.2 a la dirección origen de 192.168.1.2. 
 
Traducción dinámica 
La lista de acceso debe permitir sólo aquellas direcciones que se deben traducir. Recuerde que existe un "denegar 
todo" implícito al final de una lista de acceso. Una lista de acceso que es demasiado permisiva puede desencadenar 
resultados impredecibles. No se recomienda configurar listas de acceso con el comando permit any si los comandos 
NAT se refieren a esas listas. El uso de permit any puede hacer que NAT consuma demasiados recursos de los 
routers, lo que puede provocar problemas en la red. 
 
Sobrecarga 
La sobrecarga se puede configurar de dos formas según la asignación de las direcciones IP públicas. Una ISP puede 
asignar sólo una dirección IP pública a una red, y ésta por lo general se asigna a la interfaz externa que se conecta 
al ISP. 
Otra forma de configurar la sobrecarga es si el ISP ha asignado una o más direcciones IP públicas para uso en un 
conjunto NAT. 
 
Ejemplo de configuración en router CISCO 
 
Ejemplo de configuración NAT en router CISCO. 
 
 
 
Ejemplo de configuración PAT en router CISCO. 
 
 
 
Diagnóstico de fallas en la configuración de NAT y PAT 
 
Cuando existen problemas de conectividad IP en un entorno NAT, muchas veces resulta difícil determinar la causa 
del problema. Con frecuencia se culpa a NAT equivocadamente, cuando en realidad hay un problema subyacente. 
 
Al intentar determinar la causa del problema de conectividad IP, es útil excluir NAT. Siga los pasos que aparecen a 
continuación para determinar si NAT está funcionando correctamente: 
 
1. Basándose en la configuración, defina con claridad lo que NAT debe lograr. 
2. Verifique que haya traducciones correctas en la tabla de traducción. 
3. Verifique por medio de los comandos show y debug que la traducción se está realizando. 
4. Revise detalladamente lo que le está pasando al paquete y verifique que los routers tengan la información 
de enrutamiento correcta para enviar el paquete. 
 
Utilice software de debug de ip nat para verificar la operación de NAT para visualizar la información acerca de cada 
paquete que el router/Switch traduce 
 
 
 
 
Problemas con NAT 
 
NAT presenta varias ventajas, a saber: 
 
Conserva el esquema de direccionamiento legalmente registrado al permitir la privatización de redes internas. 
Aumenta la flexibilidad de las conexiones con la red pública. Se pueden implementar varios conjuntos, conjuntos de 
respaldo y de equilibrio de la carga para garantizar que las conexiones de red pública sean confiables. 
Uniformidad en el esquema de direccionamiento de red interno. En una red sin direcciones IP privadas y NAT, 
cambiar de direcciones IP públicas requiere la renumeración de todos los hosts en la red existente. El costo de 
renumerar los host puede ser elevado. NAT permite que permanezca el esquema existente, admitiendo a la vez un 
nuevo sistema de direccionamiento público. 
Sin embargo, NAT presenta algunas desventajas. Permitir la traducción de direcciones causa una pérdida en la 
funcionalidad, en particular con cualquier protocolo o aplicación que implique el envío de información de dirección 
IP dentro de los datos del paquete (payload) IP. Esto requiere que el dispositivo NAT tenga más funcionalidad. 
 
NAT aumenta el retardo. Se introducen retardos en la conmutación de rutas debido a la traducción de cada 
dirección IP dentro de los encabezados del paquete. El primer paquete siempre se envía por la ruta lenta, lo que 
significa que el primer paquete es de conmutación de procesos. Los otros paquetes se envían por la ruta de 
conmutación rápida, si existe una entrada de caché. 
 
Es posible que se comprometa el desempeño, ya que, en la actualidad, NAT se logra a través de la conmutación de 
procesos. La CPU tiene que inspeccionar cada paquete para decidir si es necesario traducirlo. La CPU debe 
modificar el encabezado IP, y posiblemente el encabezado TCP también: 
 
Una desventaja significativa que surge al implementar y utilizar NAT, es la pérdida de la posibilidad de rastreo IP 
de extremo a extremo. Se hace mucho más difícil rastrear paquetes que sufren varios cambios en la dirección del 
paquete al atravesar múltiples saltos NAT. Afortunadamente, los hackers que quieran determinar la fuente del 
paquete, descubrirán que es muy difícil rastrear u obtener la dirección origen o destino original. 
 
NAT también hace que algunas aplicaciones que utilizan el direccionamiento IP dejen de funcionar, porque esconde 
las direcciones IP de extremo a extremo. Las aplicaciones que utilizan las direcciones físicas en vez de un nombre 
de dominio calificado no llegarán a los destinos que se traducen en el router NAT. Algunas veces, este problema 
puede evitarse implementando mapeos NAT estáticos. 
 
 
 
 
 
Introducción al DHCP 
 
El Protocolo de configuración dinámica del host (DHCP) funciona en el modo cliente/servidor. DHCP permite que los 
clientes DHCP de una red IP obtengan sus configuraciones de un servidor DHCP. Es menos trabajoso administrar una 
red IP cuando se utiliza DHCP. La opción de configuración más significativa que el cliente recibe del servidor es su 
dirección IP. El protocolo DHCP se describe en RFC 2131. 
 
Un cliente DHCP está incluido en la mayoría de los sistemas operativos modernos, inclusive en varios sistemas 
operativos de Windows, Novell Netware, Sun Solaris, Linux y MAC OS. El cliente pide valores de direccionamiento al 
servidor DHCP de red. Este servidor administra la asignación de las direcciones IP y responde a las peticiones de 
configuración de los clientes. El servidor DHCP puede responder a las peticiones provenientes de muchas subredes. 
DHCP no está destinado a la configuración de routers, switches y servidores. Estos tipos de hosts necesitan contar 
con direcciones IP estáticas. 
 
La función de DHCP es brindar un proceso para que el servidor pueda asignar información IP a los clientes. Los 
clientes alquilan la información de los servidores por un período definido administrativamente. Cuando el período 
de alquiler se termina, el cliente debe pedir otra dirección, aunque en general, se le reasigna la misma dirección. 
 
Los administradores en general prefieren que los servidores de red ofrezcan servicios DHCP porque estas soluciones 
facilitan el crecimiento y la administración.Los routers de Cisco pueden utilizar un conjunto de funciones Cisco 
IOS, que se llama Easy IP, para ofrecer un servidor DHCP opcional con todas las funciones. Easy IP alquila las 
configuraciones por 24 horas por defecto. Esto resulta muy útil en las oficinas pequeñas y para aquellos que 
trabajan en sus casas, donde el usuario puede aprovechar DHCP y NAT sin contar con un servidor NT o UNIX. 
 
Los administradores configuran los servidores DHCP para asignar direcciones de conjuntos predefinidos. Los 
servidores DHCP pueden ofrecer otra información, tal como direcciones del servidor DNS, direcciones del servidor 
WINS y nombres de dominios. La mayoría de los servidores DHCP también permiten que el administrador defina de 
forma específica cuáles direcciones MAC de cliente se pueden servir y asignarles cada vez la misma dirección IP de 
forma automática. 
 
DHCP utiliza el Protocolo de datagrama del usuario (UDP) como su protocolo de transporte. El cliente envía 
mensajes al servidor en el puerto 67. El servidor envía mensajes al cliente en el puerto 68. 
 
 
 
Diferencias entre BOOTP y DHCP 
 
La comunidad de Internet comenzó a desarrollar el protocolo BOOTP para permitir la configuración de estaciones 
de trabajo sin disco. BOOTP se definió originalmente en RFC 951 en 1985. Como predecesor de DHCP, BOOTP 
comparte algunas de las características operacionales. Ambos protocolos se basan en la relación cliente/servidor y 
utilizan los puertos UDP 67 y 68. Estos puertos todavía se conocen como puertos BOOTP. 
 
Los cuatro parámetros IP básicos incluyen: 
 
• Dirección IP 
• Dirección de gateway 
• Máscara de subred 
• Dirección de servidor DNS. 
 
BOOTP no asigna direcciones IP a un host de forma dinámica. Cuando un cliente solicita una dirección IP, el servidor 
BOOTP busca una entrada que coincida con la dirección MAC del cliente en una tabla predefinida. Si la entrada 
existe, entonces la dirección IP correspondiente a esa entrada se envía al cliente. Esto significa que el enlace entre 
las direcciones MAC e IP se tiene que haber configurado previamente en el servidor BOOTP. 
 
Existen dos diferencias principales entre DHCP y BOOTP: 
 
• DHCP define mecanismos por medio de los cuales se les puede asignar una dirección IP a los clientes por un 
período de tiempo de alquiler determinado. Este período de alquiler permite la reasignación de la dirección 
IP a otro cliente más tarde, o que el cliente reciba otra asignación si se cambia a otra subred. Además, los 
clientes pueden renovar los alquileres y mantener la misma dirección IP. 
• DHCP proporciona el mecanismo para que un cliente reúna otros parámetros de configuración IP, tales 
como WINS y denominación de dominio. 
 
 
 
Funciones principales del DHCP 
 
Tres son los mecanismos para asignar direcciones IP a un cliente. 
 
• Asignación automática: DHCP asigna de manera automática una dirección IP a un cliente. 
• Asignación manual: el administrador asigna una dirección IP al cliente. DHCP comunica la dirección al 
cliente. 
• Asignación dinámica: DHCP asigna, o alquila, una dirección IP al cliente por un período de tiempo limitado. 
 
El enfoque de esta sección es el mecanismo de asignación dinámico. Algunos de los parámetros de configuración 
disponibles están enumerados en IETF RFC 1533: 
 
• Máscara de subred 
• Router 
• Nombre de dominio 
• Servidor(es) de denominación de dominio 
• Servidor(es) WINS 
 
El servidor DHCP crea conjuntos de direcciones IP y parámetros asociados. Los conjuntos están dedicados a una 
subred IP lógica individual. Esto permite que varios servidores DHCP respondan y que los clientes IP sean móviles. Si 
varios servidores responden, el cliente puede elegir sólo una de las ofertas. 
 
 
 
 
 
Operación DHCP 
 
El proceso de configuración de un cliente DHCP consta de los siguientes pasos: 
 
• Un cliente debe tener DHCP configurado al comenzar su proceso de participación en la red. El cliente envía 
una petición al servidor para obtener una configuración IP. Algunas veces el cliente sugiere la dirección IP 
que quiere, como cuando pide una extensión de un alquiler DHCP. El cliente ubica el servidor DHCP 
enviando un broadcast llamado DHCPDISCOVER. 
• Cuando un servidor recibe el broadcast, determina si puede servir esa petición de su propia base de datos. 
Si no puede, es posible que el servidor envíe la petición a otro servidor DHCP. Si puede, el servidor DHCP 
ofrece al cliente información de configuración IP como DHCPOFFER unicast DHCPOFFER es una 
configuración propuesta que puede incluir direcciones IP, direcciones de servidores DNS y tiempo de 
alquiler. 
• Si el cliente encuentra que la propuesta es buena, envía otro broadcast, un DHCPREQUEST, pidiendo de 
forma específica aquellos parámetros IP en particular. ¿Por qué un cliente envía la petición en forma 
broadcast en lugar de enviarla en unicast directamente al servidor? Se utiliza un broadcast porque el primer 
mensaje, el DHCPDISCOVER, pudo haber llegado a más de un servidor DHCP. Si más de un servidor realiza 
una oferta, el DHCPREQUEST enviado permite que los otros servidores sepan cuál oferta se aceptó. Por lo 
general, la oferta que se acepta es la primera que se recibe. 
• El servidor que recibe el DHCPREQUEST formaliza la configuración mandando un recibo unicast, el 
DHCPACK. Es posible, aunque muy poco probable, que el servidor no envíe el DHCPACK. Esto puede ocurrir 
porque entretanto, el servidor pudo haber alquilado esa información a otro cliente. La recepción del 
mensaje DHCPACK permite que un cliente comience a utilizar la dirección asignada de inmediato. 
• Si el cliente detecta que la dirección ya está en uso en el segmento local, envía un mensaje DHCPDECLINE y 
el proceso vuelve a comenzar. Si el cliente recibe un DHCPNACK del servidor luego de enviar el 
DHCPREQUEST, entonces comienza el proceso nuevamente. 
• Si el cliente ya no desea la dirección IP, envía un mensaje DHCPRELEASE al servidor. 
Según la política de la organización, es posible que un usuario final o un administrador asigne a un host de forma 
estática una dirección IP que pertenezca al conjunto de direcciones del servidor DHCP. Por las dudas, el servidor 
Cisco IOS DHCP siempre se asegura de que una dirección no esté en uso antes de que el servidor la ofrezca a un 
cliente. El servidor enviará una petición eco ICMP o hará ping a una dirección del conjunto antes de enviar una 
DHCPOFFER al cliente. Aunque es configurable, el número por defecto de pings utilizados para buscar un conflicto 
potencial de dirección IP es dos. 
 
 
 
 
Relay (envío) de DHCP 
 
Los clientes DHCP utilizan broadcasts IP para encontrar el servidor DHCP en el segmento. ¿Qué sucede cuando el 
servidor y el cliente no se encuentran en el mismo segmento y están separados por un router? Los routers no envían 
estos broadcasts. 
 
DHCP no es el único servicio crítico que utiliza broadcasts. Los routers y otros dispositivos pueden utilizar 
broadcasts para encontrar los servidores TFTP. Es posible que algunos clientes realicen broadcasts para encontrar 
los servidores TACACS. Un servidor TACACS es un servidor de seguridad. En general, en una red jerárquica compleja, 
los clientes se encuentran en la misma subred que los servidores principales. Estos clientes remotos enviarán un 
broadcast para encontrar estos servidores. Sin embargo, los routers, por defecto, no enviarán los broadcasts de los 
clientes más allá de sus subredes. 
 
Debido a que algunos clientes no pueden funcionar sin los servicios tales como DHCP, se debe implementar una de 
dos alternativas. El administrador necesitará colocar servidores en todas las subredes o utilizar la funciones de 
redirección o reenvío. El hacer funcionar servicios como DHCP o DNS en varios computadores crea gastos y 
dificultades administrativas que hacen que la primera opción sea ineficiente. 
 
En el caso particular de DHCP, un cliente envía un paquete DHCPDISCOVER en su segmento local.El gateway toma 
este paquete. Si la función de redirección está activa, el paquete DHCP se envía a la dirección especificada. Antes 
de enviar el paquete, el router completa el campo GIADD del paquete con la dirección IP del router para ese 
segmento. Esta dirección entonces será la dirección de gateway para el cliente DHCP cuando reciba la dirección IP. 
 
El servidor DHCP recibe el paquete de descubrimiento. El servidor utiliza el campo GIADDR para cotejar la lista del 
conjunto de direcciones y hallar una que contenga la dirección de gateway asignada al valor en GIADDR. Este 
conjunto entonces se utiliza para brindar al cliente su dirección IP. –