Hola que tal!, en esta ocasion tenemos un ejercicio creado en GNS3 sobre el ruteo estatico y el PAT/NAT que se crea para tener una salida a internet con una sola IP.
Con la práctica de laboratorios, puedes llegar a ser el master en redes y no cometer errores al momento de estar trabajando con ellas.
Por eso aquí te dejo un laboratorio sencillo que te puede ayudar a entender el ruteo estático y cómo funciona el PAT para una salida a internet con un Carrier, lo explicaré con calma.
Por lo pronto te dejo la topología que utilizare en GNS3
En el caso del diagrama se muestra una nube con el nombre de “Internet” y se refiere al elemento “cloud” en gns3, cuando lo seleccionas puedes conectar tus dispositivos a una interfaz que tenga “físicamente” tu servidor de GNS3 VM, se menciona físicamente entre comillas porque en realidad estamos hablando un servidor virtual.
Se muestran las dos interfaces que me aparecen en mi laboratorio como referencia para tus conexiones.
Pero también cabe mencionar que este ejercicio es tan básico que pudieras hacer algo similar en Packet Tracert, con la única diferencia que no se podría tener salida a internet.
Para que tengas la referencia completa, estos son los dos adaptadores que yo tengo en mi laboratorio.
El adaptador 1, lo utilizo para conectar mi servidor GNS3 VM con la aplicación de escritorio GNS3, solo debo de configurar la opción de un servidor remoto y quitar el checkbox de un server local.
Esto lo puedes hacer metiéndote a las preferencias de la aplicación GNS3.
Y los datos del servidor remoto los obtienes de tu GNS3 VM.
Recuerda que tanto tu server como tu aplicación de escritorio deben de estar en la misma versión.
Volviendo a la topología, el dispositivo “Switch internet” es el dispositivo que ya viene creado en GNS3 y lo utilizamos solo como HUB para poder conectar nuestra salida a internet con todos los dispositivos que deseemos que salgan directo a internet.
Lo que vi en este laboratorio fue la opción de poder asignarle una IP al router mediante DHCP, y ese servicio lo entregará directamente Virtualbox.
La configuración de las interfaces para ambos routers quedaría se la siguiente manera
ISP1# configure terminal
interface Ethernet0/0
ip address dhcp
!
interface Ethernet0/1
ip address 192.168.1.1 255.255.255.252
!
ISP2# configure terminal
interface Ethernet0/0
ip address dhcp
!
interface Ethernet0/1
ip address 192.168.2.1 255.255.255.252
!
En el caso del switch CORE que se encuentra en la parte inferior y que funcionará como la puerta de enlace para los dispositivos que se conecten a este y que quieran salir a internet.
Primer paso es crear las interfaces en capa 3 que interconectan con los routers ISP1 e ISP2. Respetando el direccionamiento que tienen estos en la interfaz Ethernet 0/1 de cada no.
Si podrás notar estas interfaces tienen una máscara /30 lo que significa que solamente 2 host podrán pertenecer a ese segmento. Esto comúnmente se hace para los enlaces punto a punto.
A continuación se muestra la configuración de las interfaces en el switch CORE
interface Ethernet0/0
ip address 192.168.1.2 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 192.168.2.2 255.255.255.252
duplex auto
!
interface Vlan10
ip address 172.16.10.254 255.255.255.0
¡
Después de tener las direcciones IP en las interfaces se deberá indicar al CORE que estará haciendo funciones de capa 3, para que todas las interfaces que viven en el CORE y que tengan IP se puedan alcanzar entre sí. eso lo hacemos con el comando:
ip routing
Después de eso se tiene que especificar en el CORE cual será el camino que utilizará el tráfico para alcanzar una dirección que no conozca. Para eso debemos de crear una ruta estática.
A estas rutas se les conoce como rutas por defecto, o rutas por default.
Para el CORE la ruta seria:
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Donde vemos los primeros 4 octetos en 0, pertenecen a la red que queremos conocer, al estar en 0 significa que estamos hablando de esa red.
Los siguientes 4 octetos en 0 representan
la dirección MAC del segmento que necesitamos conocer, al estar todos en 0
significa que estamos hablando de cualquier dirección IP dentro del segmento
que buscamos. Es decir, la red es 0.0.0.0 el primer host seria 0.0.0.1 y el
ultimo host con esa mascara seria 255.255.255.254.
El tercer bloque de 4 octetos representa la dirección IP del equipo al que le vamos a preguntar por el segmento que buscamos. En esta parte lo podemos apuntar a un equipo en específico o a una interfaz física del CORE en este caso.
Por ejemplo, también podríamos utilizar la siguiente ruta y en nuestro laboratorio estarían trabajando de igual forma.
ip route 0.0.0.0 0.0.0.0 ethernet0/0
Se llama ruta por defecto porque el
router entiende algo similar a lo siguiente:
cualquier dirección IP que yo no tenga en mi tabla de ruteo ve y pregúntasela
al siguiente equipo o pregúntalo por la siguiente interfaz.
En nuestro ejemplo todo el tráfico siempre se irá por el router ISP1.
Ambos routers conocen el segmento que tienen en la interfaz ethernet 0/1 por lo que solo falta que ellos conozcan la red 172.16.10.0/24 para poder alcanzar el segmento de la vlan 10.
Se agrega la siguiente ruta a ISP1 e ISP2.
ISP1(config)#ip route 172.16.10.0 255.255.255.0 192.168.1.2
ISP2(config)#ip route 172.16.10.0 255.255.255.0 192.168.2.2
Después de eso si la VLAN 10 quisiera alcanzar el segmento WAN (10.0.2.5) que tiene el router ISP1 lo podría hacer sin problema.
Hasta este momento no tenemos ningún tráfico pasando para el ISP2
Ahora lo que vamos a hacer en ambos routers declarar la ruta por default con dirección a “internet” para eso en ambos routers pondremos la dirección.
ip route 0.0.0.0 0.0.0.0 10.0.2.1
desde los routers ya deberíamos de tener salida a internet y poder alcanzar la dirección 8.8.8.8 que se encuentra fuera de nuestro laboratorio.
El ping resulta exitoso y al hacer una traza vemos que el primer salto es nuestra interfaz de Virtualbox.
En ambos routers el tráfico que va a internet lo está sacando por su interfaz Ethernet 0/0. Pero si la interfaz Ethernet 0/1 en ambos equipos quisiera hacer ping a internet, no se lograría por que el tráfico de regreso ya no lo conoce Virtualbox.
Para lograr que el segmento 192.168.1.0/30 logré salir a internet, necesitamos aplicar un PAT.
Se muestra la configuración del router ISP1 para lograr el PAT
interface Ethernet0/0
ip nat outside
!
interface Ethernet0/1
ip nat inside
!
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.3 any
!
ip nat inside source list NAT interface Ethernet0/0 overload
En nuestra access-list extendida se declarán los segmento que queremos que se transladen a la ip de la interfaz ethernet 0/0. Hasta este punto solo el segmento 192.168.1.0/30 tendrá salida a internet por el router ISP1.
La configuracion de ISP2 se aplicará de la siguiente manera:
interface Ethernet0/0
ip nat outside
!
interface Ethernet0/1
ip nat inside
!
ip access-list extended NAT
permit ip 192.168.2.0 0.0.0.3 any
!
ip nat inside source list NAT interface Ethernet0/0 overload
despues de crear este PAT ya se podrá alcanzar internet desde el segmento que vallamos agregando en nuestra lista de acceso extendida nombrada NAT.
El siguiente proceso es sacar el trafico de la VLAN 10 que existe en el CORE por el router ISP1. Hasta este punto el CORE ya tiene una ruta por default que apunta al router ISP1. Pero si intentamos hacer un ping a 8.8.8.8 desde la VLAN 10 no es exitoso.
Lo que nos falta es agregar a nuestra lista de acceso del router ISP1 la direccion de la vlan 10 y quedaria de la siguiente manera:
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.3 any
permit ip 172.16.10.0 0.0.0.255 any
ya con ambos segmentos declarados en el router ISP1, la prueba de ping a 8.8.8.8 es exitosa.
Otra direccion IP publica es 4.2.2.2 y esa la vamos a sacar por el router ISP2.
Para eso vamos a configurar una ruta mas especifica en el CORE para que la IP 4.2.2.2 la busque por la interfaz ethernet 0/1 o por la IP 192.168.2.1.
Quedaria de la siguiente manera:
Ip route 4.2.2.2 255.255.255.255 192.168.2.1
ó
Ip route 4.2.2.2 255.255.255.255 ethernet 0/1
El ping se logra con éxito y el trafico lo manda al siguiente salto 192.168.2.1
En el router ISP2 debemos de agregar tambien el segmento de la vlan 10 en el NAT porque si intentamos un ping con source vlan 10 no será exitoso
Se modifica la lista de acceso de ISP2 y quedá de la siguiente manera:
ip access-list extended NAT
permit ip 192.168.2.0 0.0.0.3 any
permit ip 172.16.10.0 0.0.0.255 any
después de la configuración de ISP2 se logra con éxito el ping a la dirección 4.2.2.2 saliendo por ISP2
A continuacion se muestra la diferencia en la traza a la IP 8.8.8.8 saliendo por ISP1 y la IP 4.2.2.2 saliendo por ISP2
Si mas adelante en el mismo laboratorio se quisiera gregar mas segmentos en el CORE, solo debemos de recordar tambien agregar las rutas de los ISP hacia abajo… y la el segmento nuevo en la lista de acceso de cada ISP.
Yo creo que eso seria todo bye!.
A continuacion se deja la configuracion final del laboratorio:
Configuración ISP1
hostname ISP1
!
interface Ethernet0/0
ip address dhcp
ip nat outside
!
interface Ethernet0/1
ip address 192.168.1.1 255.255.255.252
ip nat inside
!
ip nat inside source list NAT interface Ethernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 10.0.2.1
ip route 172.16.10.0 255.255.255.0 192.168.1.2
!
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.3 any
permit ip 172.16.10.0 0.0.0.255 any
!
Configuración ISP2
hostname ISP2
!
interface Ethernet0/0
ip address dhcp
ip nat outside
!
interface Ethernet0/1
ip address 192.168.2.1 255.255.255.252
ip nat inside
!
ip nat inside source list NAT interface Ethernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 10.0.2.1
ip route 172.16.10.0 255.255.255.0 192.168.2.2
!
ip access-list extended NAT
permit ip 192.168.2.0 0.0.0.3 any
permit ip 172.16.10.0 0.0.0.255 any
!
Configuración CORE
hostname CORE
!
interface Ethernet0/0
ip address 192.168.1.2 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 192.168.2.2 255.255.255.252
duplex auto
!
interface Ethernet2/0
switchport
switchport access vlan 10
switchport mode access
duplex auto
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
ip address 172.16.10.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1 10
ip route 0.0.0.0 0.0.0.0 192.168.2.1 11
ip route 4.2.2.2 255.255.255.255 192.168.2.1
!
Configuracion lap1
ifconfig eth0 172.16.10.10 netmask 255.255.255.0
route add -net 0.0.0.0 netmask 0.0.0.0 gw 172.16.10.254 dev eth0
No hay comentarios.:
Publicar un comentario