Guía de laboratorio.

Marco Andrés Ortiz Niño

[email protected]
Ejemplo de configuración 1.
Configuración de NAT, DHCP, ACL y enrutamiento estático.

I. Planteamiento del problema

Figura 1. Topología de red.

Configuración de red para comunicación de las subredes Lan1 y Lan2 con el servidor usando los Router
c7200 para R1 y c3660 para R2. La configuración se realiza de acuerdo a las siguientes especificaciones
dadas:

• Lan1:
Servicio DHCP. Se asignan direcciones dinámicamente. Se excluye de la asignación dinámica las 7 primeras
direcciones IPv4 ya que se reservan para asignación estática.

Servicio NAT. Se realiza NAT dinámico para que las direcciones de Lan1 se traduzcan en un rango de 64
direcciones de la red wan.

Servicio ACL. El rango de direcciones 10.10.10.1 hasta la 10.10.10.7, puede comunicarse con el servidor
únicamente usando ICMP y TCP (Puertos 80, 22 y 587). El rango de direcciones 10.10.10.8 - 10.10.10.15
puede comunicarse con el servidor únicamente usando UDP.

• Lan2:
Servicio DHCP. Se asignan direcciones dinámicamente. Se excluye de la asignación dinámica las 15
primeras direcciones IPv4.

Servicio NAT. Se realiza NAT dinámico para que las direcciones de Lan2 se traduzcan en un rango de 31
direcciones de la red wan.

• wan:
Enrutamiento estático. Enrutamiento para alcanzar la subred 220.43.20.0 donde se encuentra el servidor.

II. Configuraciones para solución

1. Configuración en R1

a. Configuración de interfaces. Se activan las interfaces y se configuran sus direcciones IP con

las opciones para NAT y ACL.

Selección de interfaz a configurar.

Habilitar NAT en la interfaz (inside).

Indica que los paquetes de datos que entren
(in) por esta interfaz serán filtrados por la
lista ACL 101.

Habilitar NAT en la interfaz (inside).

Habilitar NAT en la interfaz (outside).

Figura 2. Comandos ingresados para configuración de interfaces de red.

b. Configuración de NAT. Las direcciones de las subredes 10.10.10.0 y 10.10.20.0 se van a

traducir en direcciones dentro de la subred 172.16.10.0.
Las direcciones de la Lan1 se traducen de manera dinámica en el rango de direcciones
172.16.10.1 – 172.16.10.63
Las direcciones de la Lan2 se traducen de manera dinámica en el rango de direcciones
172.16.10.129 – 172.16.10.159
 Figura 3. Comandos ingresados para configuración de NAT.

Crea el rango de direcciones con nombre NatdeLAN1. Estas direcciones son las globales o públicas* a usar.

Indica que la traducción de direcciones se hará en la dirección IP origen (source) para las direcciones de la
parte privada (inside) de acuerdo a los permisos de la lista 10. Además, se indica el rango de direcciones
outside creado en el paso .

Crea la lista 10 indicando que se permita el rango de direcciones 10.10.10.0 - 10.10.10.31. Debido a esto,
solo ese rango podrá ser traducido.

Nota:

Para ver la configuración NAT en modo de overload, ver “Configuring NAT to Allow Internal
Users to Access the Internet Using Overloading” [2]

*Para este ejemplo, las direcciones de la subred 172.16.10.0 son consideradas globales ya que,
aunque no sea direcciones públicas (RFC1918), corresponden a la interfaz outside de la
configuración de NAT

c. Configuración de DHCP. Se configura el servicio DHCP para las subredes Lan1 y Lan2. Se
ingresan las direcciones y nombres que se entregan a los clientes como servidores DNS,
nombre de dominio y tiempo de préstamo. Además, se excluyen de la asignación automática
el rango de direcciones 10.10.10.1 a la 10.10.10.7 para la Lan1 y 10.10.20.1 a la 10.10.20.15
para la Lan2 de acuerdo a las especificaciones dadas.
 Figura 4. Comando de configuración de DHCP para Lan1 y Lan2.

d. Configuración de ACL. Creación de la lista de control de acceso (ACL) llamada 101. Esta lista
fue asignada para el tráfico de datos entrante a la interfaz f0/0, según se muestra en la
configuración de interfaces (Figura 2).

Figura 5. Comandos de creación de ACL. Opción de configuración 1.

Nota:

Cuando se ingrese para el origen la dirección 0.0.0.0 con wildcard 255.255.255.255, se está
indicando ‘cualquier origen’ y se puede escribir como any

Cuando se ingrese para el origen la dirección 220.43.20.2 y con wildcard 0.0.0.0, se puede
escribir como host 220.43.20.2

Luego de la configuración anterior (Figura 5), para ver la lista 101 se usa el comando:
El resultado se muestra en la Figura 6.
Figura 6. Resultado luego de ejecución de comando sh Access-list 101. Resultado para la opción de configuración 1.

La primera columna ( ), muestra la prioridad del ítem dentro de la lista. Entre menor el valor, mayor la
prioridad. La evaluación de cada ítem es realizada de manera secuencial donde el ítem de mayor prioridad
es evaluado primero. Las prioridades pueden ser asignadas automáticamente (Figura 5) o manualmente.
La asignación automática dependerá del orden en que se ingrese cada ítem de la lista.

también sirve como identificador del ítem dentro de la lista para borrar o crear un solo ítem. La
siguiente figura (Figura 7) muestra otra metodología para generar los ítems de la lista anterior, pero esta
vez se asignarán prioridades manualmente.

Figura 7. Comandos de creación de ACL. Opción de configuración 2.

Luego de la configuración anterior (Figura 7), para ver la lista 101 se usa el comando:
El resultado se muestra en la Figura 8.

Figura 8. Resultado luego de ejecución de comando sh Access-list 101. Resultado para la opción de configuración 2.

Para borrar un ítem dentro de la lista, se debe seleccionar la lista y luego ingresar el comando no, seguido
del valor de prioridad del ítem a borrar. Por ejemplo, en la Figura 9 se muestra el borrado del ítem con
prioridad 5 mostrado en la Figura 8.
 Figura 9. Ejemplo para borrar ítem con prioridad 5 de la lista 101.

e. Enrutamiento estático.

Figura 10. Enrutamiento estático para alcanzar la subred del servidor.

2. Configuración en R2
(solo requiere la configuración de interfaces)

a. Configuración de interfaces. Se activan las interfaces y se configuran sus direcciones IP.

III. Anexos

A. Script de configuración de R1. Debe ser ingresado desde el modo de configuración global.

int f0/0
ip addr 10.10.10.1 255.255.255.0
ip nat inside
ip access-group 101 in
no sh
exit

int g2/0
ip addr 10.10.20.1 255.255.255.0
ip nat inside
no sh
exit

int s1/0
ip addr 172.16.10.64 255.255.255.0
ip nat outside
no sh
exit

ip nat pool NatdeLAN1 172.16.10.1 172.16.10.63 netmask 255.255.255.0

ip nat inside source list 10 pool NatdeLAN1
access-list 10 permit 10.10.10.0 0.0.0.31

ip nat pool NatdeLAN2 172.16.10.129 172.16.10.159 netmask 255.255.255.0

ip nat inside source list 20 pool NatdeLAN2
access-list 20 permit 10.10.20.0 0.0.0.31

ip dhcp pool dhcpLAN1

network 10.10.10.0 255.255.255.0
domain-name lan1.prueba.com
dns-server 8.8.8.8 4.2.2.2
default-router 10.10.10.1
lease 2
ip dhcp excluded-address 10.10.10.1 10.10.10.7
ip dhcp pool dhcpLAN2
network 10.10.20.0 255.255.255.0
domain-name lan2.prueba.com
dns-server 8.8.8.8 4.2.2.2
default-router 10.10.20.1
lease 2
ip dhcp excluded-address 10.10.20.1 10.10.20.15

ip route 220.43.20.0 255.255.255.252 172.16.10.65

access-list 101 permit icmp 10.10.10.0 0.0.0.7 220.43.20.2 0.0.0.0

access-list 101 permit tcp 10.10.10.0 0.0.0.7 220.43.20.2 0.0.0.0 eq 80
access-list 101 permit tcp 10.10.10.0 0.0.0.7 220.43.20.2 0.0.0.0 eq 22
access-list 101 permit tcp 10.10.10.0 0.0.0.7 220.43.20.2 0.0.0.0 eq 587
access-list 101 permit udp 10.10.10.8 0.0.0.7 220.43.20.2 0.0.0.0
access-list 101 permit udp any any eq 67
access-list 101 deny ip any any
B. Comandos para verificación de funcionamiento

• En el Router:
show ip access-lists
show ip nat translations
show ip route
show ip interface
show ip interface brief

• En el VPCS:

Para enviar paquetes UDP:

ping 220.43.20.2 -P 17

Para enviar paquetes TCP con puerto destino 80:

ping 220.43.20.2 -P 6 -p 80

Para enviar paquetes ICMP echo-request:

ping 220.43.20.2

Para ver más opciones de la herramienta ping:

ping ?

C. Configuración en VPCS

• Asignación de dirección estática

ip 10.10.10.2 255.255.255.0 10.10.10.1

Ejemplo de asignación de dirección estática o manual al PC1_1. Donde 10.10.10.2 es la dirección

IP del PC1_1; 255.255.255.0 es la máscara de la subred a la que pertenece; y 10.10.10.1 es la
dirección de puerta de enlace predeterminada (default gateway).

• Asignación de dirección dinámica (DHCP)

ip dhcp

• Guardar configuración
save

D. Borrar todas las configuraciones del router en GNS3

1) En el router, ingresar comando: delete nvram:startup-config
2) Ir a GNS3, hacer ‘click derecho’ sobre el router y seleccionar reload

E. Guardar configuraciones del router

• En el router, ingresar comando: copy running-config startup-config
 IV. Más información y referencias

• NAT:

[1] https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/4606-8.html

[2] https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/13772-12.html

• ACL:

[3] https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html

[4] https://www.cisco.com/c/en/us/td/docs/ios/12_2s/feature/guide/fsaclseq.html