↑ Retornar para Desafios

Lab de NAT

Home Fórum Desafios Lab de NAT

Este tópico contém respostas, possui 11 vozes e foi atualizado pela última vez por  jefss1 7 anos, 11 meses atrás.

Visualizando 25 posts - 1 até 25 (de 54 do total)
  • Autor
    Posts
  • #45837

    roboxtz
    Participante

    Olá galera,estou postando aqui um cenário de NAT que criei,para quem está estudando para o CCNA inclusive.creio que será um bom exercício,esse cenário pode lhe fazer pensar um pouco para um funcionamento completo,o arquivo contendo o cenário para ser aberto no Packet Tracer se encontra no link fornecido no final do texto.

    Dado o cenário abaixo configure NAT Overload apropriadamente.Os roteadores da rede interna estão rodando EIGRP no Sistema Autônomo 10,a rede interna está conectada á um ISP.

    A senha para acesso aos roteadores é “cisco”,tanto para entrar no modo console quanto para entrar no modo privilegiado.Você não estará apto á acessar o roteador do ISP,afinal,é propriedade deles.

    -Os endereços privados oferecidos pelo ISP para NAT são 200.30.40.1 a 200.30.40.5 com máscara 255.255.255.0.

    -Você deve configurar NAT para todos os hosts da rede 10.4.0.0 255.255.192.0.

    Depois que tenha configurado o NAT tem que se checar se a comunicação interna e externa está estável.Faça o seguinte:

    Pingue (utilizando um dos pcs) cada roteador,se eles respodnerem,a comunicação está ok.

    Pingue (utilizando um dos pcs) o endereço Loopback do provedor e veja se ele lhe responde,se respodner a comunicação externa com rede interna através de NAT está ok.

    Faça o teste com o comando Show ip nat translation no Router1 depois que pingar a interface Loopback do roteador ISP para ver se a tradução está ocorrendo normalmente.

    Link para download do arquivo contendo o cenário

    http://rapidshare.com/files/451889333/treino.pkt

    0

    0
    #83479

    zekkerj
    Participante

    Eu já resolvi… mas não vale, eu estou numa classe mais avançada.

    Vc pretende colocar novas perguntas, pra aumentar a dificuldade da brincadeira, roboxtz?

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83480

    roboxtz
    Participante

    Rsrs,você tá um nível bem á frente zekkerj,bom,o objetivo é fazer com que o NAT funcione sem a comunicação interna e externa ser afetada negativamente,por ora é isso.

    0

    0
    #83481

    Daniel Valente
    Participante

    Ahhh roboxtz, dificulta isso ae rapá! ; )

    @zekkerj, está estudando para ql cert atualmente?

    Abs!

    0

    0
    #83482

    zekkerj
    Participante

    As explicações que eu dou não deram a pista? Quero virar instrutor. Minha meta é o CCAI.

    Mas nas certificações comuns, vou investir no CCNA-Security esse ano.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83483

    Daniel Valente
    Participante

    “As explicações que eu dou não deram a pista? Quero virar instrutor. Minha meta é o CCAI.” Hahah eu estava na dúvida: ou vc era doido ou queria ser instrutor. rs

    Humn legal… CCNA Sec tá na minha lista também ; )

    0

    0
    #83484

    Fernando F. Silva
    Participante

    CCAI, ta ae uma coisa difícil de ver, parabéns, ensinar não é pra qualquer um, a maioria dos cases de sucesso sempre tiveram um professor diferenciado no meio da carreira.

    0

    0
    #83485

    ramiresm
    Participante

    @roboxtz
    O link não está mais ativo, poderia upar novamente o cenário. Obrigado.

    0

    0
    #83486

    roboxtz
    Participante

    Link atualizado ramiresm.

    0

    0
    #83487

    ramiresm
    Participante

    Valeu roboxtz, acabei de baixar e vou dar uma olhada.

    0

    0
    #83488

    ramiresm
    Participante

    1a. vez que peguei um lab de nat mais complexo, tem a resolução do lab?

    fiquei confuso com aqueles .1 .2 nas interfaces, pois mais de uma interface do mesmo router com 2 .1..

    0

    0
    #83489

    Jeferson Palma
    Participante

    então ramires …

    o nat você só vai configurar no router que faz borda com o router ISP, que nesse caso é o Router 3. Olhando na topologia pode-se ver que há duas interfaces de podem receber pacotes com endereço de origem da rede 10.4.0.0 255.255.192.0 … que são as interfaces seriais 1/0 e 1/1 … estas serão configuradas como “nat inside” com o comando “ip nat inside” na configuração na interface … e a interface que é ligada ao router ao qual vc quer chegar … nesse caso o router ISP … vc vai configura-la como “nat outside” com o comando “ip nat outside” na configuração da interface.

    Até ai tranquilo …

    precisamos informar ao Router 3 quais endereços deverão sofrer NAT … ou seja … quais endereços dverão sair do Router 3 como o endereço de origem alterado … e para fazer isso podemos criar uma ALC simples:

    access-list 10 permit 10.4.0.0 0.0.63.255

    também precisamos informar ao router R3 para qual endereços essa range de ip que está na acl serão transformados … então criamos um “pool” de nat:

    ip nat pool NATPOOL 200.30.40.1 200.30.40.5 netmask 255.255.255.0

    ok … já criamos a “lista” de ips que sofrerão nat e a lista de ips para o qual esses endereços serão transformados …

    o ultimo passo é criar o processo nat em si … se assim podemos chamar … usamos o comando a seguir:

    ip nat inside source list 10 pool NATPOOL overload

    onde:

    source list 10 – se refere ao nº da ACL que contém a range de ips que sofrerão nat
    pool NATPOOL – se refere a lista de endereços, o qual o router do ISP irá ver como origem dos pacotes …
    overload – como se pode ver … a range de ips que sofrerão nat (10.4.0.0/18) é muito maior que a range de ips que o ISP nos disponibilizou (200.30.40.1 à 200.30.40.5). Nesse caso, para que todos os hosts possam ser roteados para o ISP através do processo de NAT ao mesmo tempo é introduzido o conceito de PAT (Port Address Translation) no qual vários hosts da rede 10.4.0.0/18 podem usar os mesmos endereços da range NATPOOL que criamos ao mesmo tempo, só que cada pacote que sofrer nat terá uma porta de origem diferente:

    R3#show ip nat translations
    Pro Inside global Inside local Outside local Outside global
    icmp 200.30.40.1:44 10.4.0.2:44 120.40.10.1:44 120.40.10.1:44
    icmp 200.30.40.1:45 10.4.0.2:45 120.40.10.1:45 120.40.10.1:45
    icmp 200.30.40.1:46 10.4.0.2:46 120.40.10.1:46 120.40.10.1:46
    icmp 200.30.40.1:47 10.4.0.2:47 120.40.10.1:47 120.40.10.1:47
    icmp 200.30.40.1:5 10.4.0.3:5 120.40.10.1:5 120.40.10.1:5
    icmp 200.30.40.1:6 10.4.0.3:6 120.40.10.1:6 120.40.10.1:6
    icmp 200.30.40.1:7 10.4.0.3:7 120.40.10.1:7 120.40.10.1:7
    icmp 200.30.40.1:8 10.4.0.3:8 120.40.10.1:8 120.40.10.1:8

    R3#

    assim, quando recebermos uma resposta do router ISP, o R3 saberá através desse nº de porta qual foi o host que enviou o pacote.

    bom é mais ou menos isso …

    caso não fui muito claro em algum ponto pode perguntar que tento explicar de outra maneira …

    0

    0
    #83490

    ramiresm
    Participante

    Era isso que eu tinha mais dúvida, se o ‘ip nat inside’ seria configurado nas 2 interfaces do router3 (s1/0 e s1/1).

    Na ACL eu tinha criado uma estendida, mas com um pequeno erro, agora fiz como você me explicou e deu certinho, daí tentei fazer com a ACL estendida pra consertar o erro, daí eu consegui chegar dos PCs 0 e 1 ao Router ISP, porém não consigo pingar a int loopback do router ISP. A ACL que criei é:

    access-list 100 permit ip 10.4.0.0 0.0.63.255 110.1.0.0 0.0.63.255

    Acredito que eu nao chego na int loopback do ISP pq esta ACL permite apenas chegar até a rede entre Router3 e Router ISP, correto? O que nao entendi disso tudo, é pq a sua ACL me permite pingar a int loopback e a minha estendida não, poderia me explicar?

    Obrigado pela explicação, foi de grande ajuda, agora peguei mais alguns conceitos de NAT, vai me ajudar muito pro exame.

    0

    0
    #83491

    zekkerj
    Participante

    "fiquei confuso com aqueles .1 .2 nas interfaces, pois mais de uma interface do mesmo router com 2 .1.."

    Isso é uma notação pra economizar espaço no diagrama. Significa que aquela interface tem IP com final ".1" ou ".2". P.ex. o link serial entre Router1 e Router3 está na rede 10.2.0.0 255.255.192.0. Do lado do Router1 tem um .1, isso significa que o endereço dessa interface é "10.2.0.1 255.255.192.0". Já do lado do Router3 tem um .2, isso significa que o endereço dessa interface é "10.2.0.2 255.255.192.0".

    Mas, vc conseguira fazer caber isso tudo no desenho? Não dá, né? Então a gente põe só o octeto final, e usa só um texto com a rede próximo ao símbolo do link.

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83492

    Jeferson Palma
    Participante

    Então cara,

    acredito que essa sua ACL estendida está dizendo ao router R3:

    “ei cara … se chegar algum pacote para tu que contém como endereço de origem a rede 10.4.0.0/18 e a rede de destino seja a 110.1.0.0/18 então executa o processo de nat”

    quando vc está pingando o endereço 120.40.10.1 o pacote que chega ao R3 não faz “match” com essa ACL porque, apesar de o pacote ter como endereço de origem a rede 10.4.0.0/18, o endereço de destino é o 120.40.10.1, e sua ACL manda realizar nat apenas em pacotes que tem como origem a rede 10.4.0.0/18 e destino a rede 110.1.0.0/18 … entendeu … ?

    como a acl que configurei é uma ALC padrão … ela só verifica o endereço de origem … o endereço de destino não importa para ela … ok ?

    0

    0
    #83493

    ramiresm
    Participante

    @zekkerj,
    Muito bom cara, realmente não estava olhando dessa maneira para a topologia, pois é o 1o. lab que pego tem que essas referências nas interfaces para facilitar a identificação. Muitíssimo obrigado por mais uma explicação simples e objetiva.

    @jeferson,
    É vdd., essa sua última linha me fez entender tudo, pois como na ACL padrão ele usa somente o endereço ip de origem, o destino pode ser qq um que o router irá encaminhar o pacote, e na minha ele se limita a rede 110.1.0.0/18. Clareou tudo agora, passo a entender muito melhor o uso de ACL em NAT. Te agradeço imensamente.

    0

    0
    #83494

    zekkerj
    Participante

    Acho que vc já tinha perguntado uma vez sobre pq não usar acls extendidas no NAT, não?

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/o-johrei.jsp

    #83495

    ramiresm
    Participante

    Não, pois há casos que é necessário e casos que não, como esse.

    0

    0
    #83496

    roboxtz
    Participante

    Bom,outra solução (a qual apliquei para o lab) é aplicar o nat inside na interface voltada para a rede local no Router1 e verificar neste memso roteador por qual interface sai os dados para a rota default e então aplciar nesta interface nat ouside pois é por ela onde irá ocorrer a passagem de dados para internet (ISP).Uma solução,onde se tem que pensar bem se não dá problema.

    0

    0
    #83497

    ramiresm
    Participante

    Qual maneira vc usou para identificar o caminho da informação? Tracert?

    0

    0
    #83498

    roboxtz
    Participante

    Olhe a tabela de roteamento.

    0

    0
    #83499

    rgentil
    Participante

    pessoal alguem te a resposta pra eu verificar com o meu ??

    abraços..

    0

    0
    #83500

    ramiresm
    Participante

    @rgentil,
    O Jeferson postou a resolução completa, porém se quiser algo mais detalhado me avise que te ajudo.

    0

    0
    #83501

    ramiresm
    Participante

    @roboxtz,
    Tem como colocar o lab. de nat no hd do blog? Valeu.

    0

    0
    #83502

    phillipi
    Participante

    Alguem ainda consegue disponibilizar esse lab…O link já não vai mais…

    Valeu..

    0

    0
Visualizando 25 posts - 1 até 25 (de 54 do total)

Você deve fazer login para responder a este tópico.