VLSM,_CIDR_y_NAT

1) MÁSCARA DE SUBRED DE LONGITUD VARIABLE (VLSM)

La máscara de Subred de Longitud Variable (VLSM por sus siglas en inglés)

permite a una organización usar más de una máscara de subred dentro de un

espacio de direccionamiento común, cosa que con el subnetting tradicional no

se podía hacer. Cuando se implementa VLSM se dice que se están haciendo

subredes de subredes, y se utiliza para maximizar la eficiencia en el

direccionamiento IP.

Con la división en subredes tradicional todos los lugares tenían que tener la

misma máscara de subred, aunque no tuvieran los mismos requerimientos de

host, lo cual causaba que subredes que no necesitaban muchos host

desperdiciaban direcciones. Los lugares en los que particularmente se perdían

direcciones era en los enlaces seriales punto a punto, que sólo necesitan dos

direcciones IP, y se les daba muchas más direcciones de las necesarias,

causando un desperdicio muy grande en el espacio de direccionamiento y

perdiendo posibilidades de crecimiento de la red.

VLSM hace que los casos de subredes, que con la división tradicional eran

imposibles de hacer pasan ahora a ser no solo posibles de resolver, sino que

quedan direcciones para capacidad de crecimiento.

Para los router que están en un ambiente de red en el que se usó VLSM, es

necesario que hablen protocolos de enrutamiento que sean capaces de enviar

la máscara de subred con la actualización. Si no se hace así, el router lo único

que puede hacer es ver su propia máscara de subred y la clase de la dirección,

lo cual puede causar problemas de subredes discontinuas, las cuales causan

“agujeros negros” en la red, porque lugares que deberían de ser accesibles

terminan no siéndolo, por la manera de búsqueda del router.

Cuando un protocolo que no envía la máscara de subred recibe un paquete,

hay dos métodos para determinar la dirección de red:

- Si el router recibe información de una red, y la interfaz por la que recibe

la actualización pertenece a la misma red principal, pero otra subred, el

router aplica la máscara de subred que está configurada en la interfaz

destino

- Si el router recibe información de una dirección de red que no es la

misma que la configurada en la interfaz destino, se aplica la máscara de

subred Standard de acuerdo a la clase de dirección

VLSM se debe usar de manera tal que se diseñe un esquema de

direccionamiento que permita el crecimiento en las zonas de la red que puedan

crecer, y evitar el desperdicio de las direcciones en los sitios que no van a ser

útiles dicho crecimiento.

Para hacer VLSM, se divide la dirección en subredes de tamaño variable.

Las subredes con mayor espacio son para las redes locales, y las que tienen

menor espacio sirven para los enlaces punto a punto y casos especiales.

Es muy importante recordar cuando se usa VLSM que un espacio de

direccionamiento que esté ocupado no puede ser dividido en subredes, debido

a que las direcciones IP deben ser únicas y dividir un espacio que esté

ocupado dará como consecuencia el solapamiento de ese espacio, causando

problemas de direccionamiento y errores de parte de los router.

Máscaras de SubredDecimal Punteada Binario # Bits255.255.255.252 11111111.11111111.11111111.11111100 30 bits255.255.255.224 11111111.11111111.11111111.11100000 27 bits255.255.254.0 11111111.11111111.11111110.00000000 23 bitsFigura 28: Posibilidades de hacer diferentes máscaras de subred. Fuente: Propia (2008)

7.1) OPTIMIZACIÓN DEL ESPACIO ASIGNADO DE DIRECCIONES

Para explicar este punto se van a comparar las normas antiguas del

subnetting con las que se aplican en VLSM.

1) El número de bits prestados para hacer subredes son, como mínimo, 2,

y como máximo n – 2, donde n es el número de bits de host posibles

según la clase de dirección: Con la venida de VLSM, ya esta regla no se

aplica, porque se tienen las máscaras del tamaño necesario para cubrir

las necesidades, cosa tal que si se necesita una máscara de 1 BIT

prestado, también se hace y no viola las normas de direccionamiento

actuales.

2) Todas las subredes deben ser del mismo tamaño: Esta regla tampoco se

Aplica, porque precisamente la efectividad de VLSM es que no se tenga

que utilizar la misma máscara de subred en todos los sitios, para evitar

el desperdicio de direcciones IP en sitios donde no hacen falta (enlaces

punto a punto, por ejemplo) y maximizar el número de direcciones

asignables a los lugares que si hacen falta, además de darle un chance

para expandirse.

3) Ni la primera ni la última subred de una red dividida en subredes son

usables: Con VLSM esta regla tampoco aplica, porque al ser subredes

de tamaño diferente, y con la posibilidad de que los router utilicen todas

las subredes, esta norma se hace innecesaria y poco práctica en aras a

la escalabilidad de la red. En el pasado, la primera y última subred no se

utilizaban para evitar confusiones con la dirección de la subred y la

dirección de broadcast de la red principal, pero la evolución de las

tecnologías de red hicieron que esta limitante desapareciera. Dejar de

usar la primera y la última subred hace que se dejen de utilizar muchas

direcciones, problema que con VLSM no existe.

4) Ni el primer ni el último host de cada subred son usables: Es la única

norma que con el uso de VLSM se mantiene. Esas dos direcciones son

la dirección de red y la dirección de broadcast de cada subred, por lo

cual no son usables. VLSM hace que tenga máscaras de tamaño

variable, pero siempre debe existir el identificador de la subred y la

dirección de broadcast.

Figura 29: Una Pérdida de espacio. Fuente: Cisco (2003)

7.2) PROCEDIMIENTO PARA HACER VLSM

Para hacer VLSM hay varias formas de pensarlo. El método presentado a

continuación es de fuente propia, analítico y trata de responder a una forma

rápida de hacer el procedimiento y tiene la particularidad de que

independientemente del ejemplo que se vaya a hacer, el procedimiento es el

mismo. Los pasos son los siguientes:

1) Ordenar de mayor a menor los requerimientos de host de cada sucursal:

De esta manera se evita que haya un solapado entre los rangos de dos

subredes diferentes y que de errores de direccionamiento

2) Buscar la potencia de dos que más se aproxime por exceso al valor de

host requeridos: Como el número de host que necesita cada sucursal es

diferente, entonces es posible que se requieran números de bits de host

diferentes en cada caso. Al igual que en subnetting tradicional, la

fórmula sigue siendo 2n – 2

3) Como el número de bits de una dirección Ipv4 es de 32, se le resta 32 al

número obtenido en el paso anterior: Si a una dirección IP le quito el

campo de host, va a quedar el campo de red/subred, o el número de bits

activos en la máscara de subred.

4) Comienzo a direccionar: Se empieza desde la primera dirección, porque

en VLSM no aplica el concepto de primera o última subred, así que se

empieza a repartir el espacio desde el mero principio. Luego, coloco la

máscara del primer grupo de host (el mayor), y le sumo la potencia de

dos del número de host posibles (sin quitarle los dos que no son

usables). Lo demás son resultados acumulativos.

7.3) EJEMPLOS DE VLSM

EJEMPLOS RESUELTOS:

1) Basados en el dibujo y usando la dirección IP 192.168.0.0, hacer el esquema

de direccionamiento IP usando VLSM

38

20 10

Figura 30: VLSM 1 resuelto. Fuente: Propia (2008) El primer paso es ordenar de mayor a menor los

requerimientos dados, acordándose de que los enlaces seriales

necesitan direcciones IP

38

20

10

2

2

2

Busco la potencia de dos que más se aproxime por

exceso al valor de host requeridos:

38 26 – 2 = 62

20 25 – 2 = 30

10 24 – 2 = 14

2 22 – 2 = 2

Le resto a 32 el número del índice de la potencia de 2:

32 – 6 = /26

32 – 5 = /27

32 – 4 = /28

32 – 2 = /30

Empiezo a direccionar:

Para los 38 host: 192.168.0.0 /26

26 son 64. Como llevo 0 acumulado, 0 + 64 = 64

Para los 20 host: 192.168.0.64 /27


Para los 10 host: 192.168.0.96 /28


Para el enlace serial A: 192.168.0.112 /30


Para el enlace serial B: 192.168.0.116 /30


Para el enlace serial C: 192.168.0.120 /30

22 son 4. Como llevo 120 acumulado, 120 + 4 = 124, y ahí finaliza la

cuenta

192.168.0.0/26

38

A B

C

20 10

192.168.0.64/27 192.168.0.96/28

Figura 31: Resultado VLSM1 Resuelto. Fuente: Propia (2008)

2) Basados en el dibujo y usando la dirección IP 192.168.0.0, hacer el esquema

de direccionamiento IP usando VLSM

60

40

5 10 30

Figura 32: VLSM 2 Resuelto. Fuente Propia (2008)

El primer paso es ordenar de mayor a menor los



60

40

30

10

5

2

2

2



60 26 – 2 = 62

40 26 – 2 = 62

30 25 – 2 = 30

10 24 – 2 = 14

5 23 – 2 = 8

2 22 – 2 = 2


32– 6 = /26

32 – 5 = /27

32 – 4 = /28

32 – 3 = /29

32 – 2 = /30


Para los 60 host: 192.168.0.0 /26


Para los 40 host: 192.168.0.64 /26


Para los 30 host: 192.168.0.128 /27


Para los 10 host: 192.168.0.160 /28


Para los 5 host: 192.168.0.176 /29








cuenta

192.168.0.0/26

60

A B 40

C 192.168.0.64/26

5 10 30

192.168.0.176/29 192.168.0.160/28 192.168.0.128/27

Figura 33: Resultado VLSM 2 Resuelto. Fuente: Propia (2008)

3) Basados en el dibujo y usando la dirección IP 192.168.24.0/22, hacer el

esquema de direccionamiento IP usando VLSM

13

200 100 50 25

Figura 34: VLSM 3 Resuelto. Fuente Propia (2008)

El primer paso es ordenar de mayor a menor los



200

100

50

25

13

2

2

2



200 28 – 2 = 254

100 27 – 2 = 126

50 26 – 2 = 62

25 25 – 2 = 30

13 24 – 2 = 14

2 22 – 2 = 2


32– 8 = /24

32 – 7 = /25

32 – 6 = /26

32 – 5 = /27

32 – 4 = /28

32 – 2 = /30


Para los 200 host: 192.168.24.0 /24

28 ocupa el 4to octeto completo, por lo cual la red 24 se acaba y tiene que

ir a la siguiente

Para los 100 host: 192.168.25.0 /25


Para los 50 host: 192.168.25.128 /26


Para los 25 host: 192.168.25.192 /27


Para los 13 host: 192.168.25.224 /28








cuenta

A B C 13

192.168.25.224/28

200 100 50 25

192.168.24.0/24 192.168.25.0/25 192.168.25.128/26 192.168.25.192/27Figura 35: Resultado VLSM 3 Resuelto. Fuente Propia (2008)

EJEMPLOS PROPUESTOS:1) Basados en el dibujo y usando la dirección 192.168.10.0, hacer el


28 host

60 host 13 host 10 host

Figura 36: VLSM 1 propuesto. Fuente Propia (2008)

2) Basados en el dibujo y usando la dirección 192.168.10.0, hacer el


2 host

100 host



3) Basados en el dibujo y usando la dirección 192.168.28.0/22, hacer el


35 host


Figura 38: VLSM 3 Propuesto. Fuente propia (2008)



22 host



Figura 39: VLSM 4 Propuesto Fuente Propia (2008)



Figura 40: VLSM 5 Propuesto. Fuente Propia (2008)


esquema de direccionamiento IP usando VLSM, tomando en cuenta un

25% de escalabilidad.


2) SUMARIZACIÓN DE RUTAS (CIDR: CLASSLESS INTERDOMAIN

ROUTING)

El CIDR (Classless InterDomain Routing, por sus siglas en inglés), es un

procedimiento creado en 1993 por el RFC 1517 al 1520, e implementado en

1994. CIDR mejoró la escalabilidad y eficiencia de Ipv4, brindando los

siguientes beneficios:

- Reemplazar el esquema de direccionamiento basado en clases con un

esquema de direccionamiento más flexible con menos desperdicio no

basado en clases.

- Permite la sumarización de rutas, o supernets, que es la combinación de

direcciones de red continuas en una dirección nueva definida por la

máscara que tiene menos bits activos que la clase de dirección.

Si CIDR no existiese, el backbone de Internet hubiera colapsado, debido al

gran número de rutas existente en Internet. Según la página Web

http://www.cidr-report.org/as2.0/ el número de rutas, en promedio, de los router

de Internet están alrededor de 300.000 prefijos cada una, usando CIDR, así

que la cantidad de rutas si no existiese este procedimiento sería muchísimo

mayores, con lo cual colapsaría Internet.

http://www.cidr-report.org/as2.0/

Figura 42: Entradas Activas BGP (router de Internet). Fuente: http://www.cidr-report.org/cgi-bin/plota?file=%2fvar%2fdata%2fbgp%2fas2.0%2fbgp%2dactive%2etxt&descr=Active%20BGP%20entries%20%28FIB%29&ylabel=Active%20BGP%20entries%20%28FIB%29&with=step

8.1) OPTIMIZACIÓN DE LAS TABLAS DE ENRUTAMIENTO

CIDR permite a los routers sumarizar la información de enrutamiento. Esto

se hace usando una máscara de bits, en lugar de una clase de dirección para

determinar la porción de red de una dirección. Esto reduce el tamaño de las

tablas de enrutamiento usadas por el router, es decir, solo una combinación

dirección – máscara puede representar múltiples destinos de red. Si no

existiese CIDR el router tendría que tener una entrada individual en la tabla de

enrutamiento para cada ruta conocida en un dominio de enrutamiento.

Usando una dirección de prefijos para sumarizar rutas, las tablas de

enrutamiento se vuelven más manejables, reduciendo los tiempos de

http://www.cidr-report.org/cgi-bin/plota?file=%2Fvar%2Fdata%2Fbgp%2Fas2.0%2Fbgp-active.txt&descr=Active%20BGP%20entries%20(FIB)&ylabel=Active%20BGP%20entries%20(FIB)&with=step



búsqueda, la cantidad de memoria necesaria y hacen el enrutamiento más

eficiente.

Otra función de la sumarización es la de juntar varias redes en un solo

bloque, con fines de facilidad de administración. Por ejemplo: si a una

compañía le ofrecen 4 redes clase C para su organización, si no existiese CIDR

tendría un problema administrativo, porque son 4 direcciones de broadcast y

las comunicaciones internas serían problemáticas. Con CIDR estas cuatro

redes individuales se convierten en un solo bloque y las direcciones se ven al

mundo exterior como una sola red, tomando los bits de la porción de red de la

máscara y lo que eran 4 entradas individuales se convirtieron en una sola.

Otro punto importante con respecto al CIDR es que evita el route flap. El

route flap se da por una interfaz que alterna rápidamente entre los estados

activo e inactivo, debido a errores de la interfaz o cables dañados. La

sumarización de rutas aísla de manera efectiva a los routers aguas arriba de

estos problemas de flap. El único router que tiene que preocuparse por el

asunto es el router que tiene

esa interfaz en flap, pero los demás router alrededor, que se les envió el

sumario, ni se enteran del problema, siempre y cuando exista más que sea una

ruta activa perteneciente al sumario escrito

Figura 43: Ejemplo de Sumarización de rutas. Fuente: cisco (2003)

8.2) REGLAS Y PROCEDIMIENTO PARA HACER SUMARIZACIÓN DE

RUTAS

Para hacer sumarización de rutas hay ciertas reglas que recordar:

1) Hay que mantener los números de subredes continuos en la red para

poder aplicar la sumarización y mantener los mismos bits de nivel alto:

Para que la sumarización sea posible, se debe hacer un esquema de

direccionamiento que sea jerárquico y consecutivo. Jerárquico, para

tener los mismos bits de orden alto, y consecutivo, para poder juntarlas

en un solo bloque.

2) El router debe saber en detalle los números de subred directamente

conectados: Un router no debe hacer referencia a una ruta que no

conoce, porque puede causar problemas de enrutamiento, debido al

convencimiento de que sabe la ruta y en realidad no sabe nada.

3) El router que usa rutas sumarizadas hace tener menos entradas en la

tabla de enrutamiento a los demás routers: La sumarización de rutas no

ofrece ningún beneficio como tal al router que genera el sumario, pero a

los router vecinos si, porque reducen el número de entradas de la tabla

de enrutamiento.

4) Un router no necesita enviar información a los otros routers de todas y

cada una de las subredes, si este router puede enviar una ruta

sumarizada: Por la forma en que se busca una ruta en la tabla de

enrutamiento, no se necesitan todos los detalles de cada ruta que

conoce el router para poder llegar a ella. De hecho, es mejor hacer el

sumario para poder buscar más rápido la red general, para luego el

router que hizo el sumario busque la red más específica., sin

sobrecargar a los router vecinos con información innecesaria.

5) Cada subred necesita una entrada separada en la tabla de

enrutamiento: Para el router que conoce esas rutas particulares, la

sumarización no va a hacer ningún beneficio en ese router, pero en los

vecinos, en lugar de tener una entrada individual para cada subred, se

pueden agrupar varias entradas en una sola.

Después de conocidas las reglas, aquí está una manera para hacer la

sumarización de rutas:

1) Se escribe en binario las rutas individuales a sumarizar: Hay que tener

todas las rutas a sumarizar en orden para poder hacer el procedimiento

de manera organizada.

2) Se observa de izquierda a derecha y se buscan los bits superiores que

sean comunes: Se hace un corte para mostrar los bits comunes con el

fin de definir cuáles son esos bits comunes y hacer el sumario más

eficiente posible.

3) Se coloca el sumario de la siguiente manera: se escribe la menor de

todas las direcciones y se coloca la máscara común.

8.3) EJEMPLOS DE SUMARIZACIÓN DE RUTAS:

EJEMPLOS RESUELTOS:

1) Tengo las redes 172.21.136.0 /24 hasta la 173.21.143.0/24. ¿cuál sería

la dirección de sumarización más adecuada para este caso?

a) Se escribe en binario el octeto que varía de las rutas individuales:

136 en binario 10001 000

137 en binario 10001 001

138 en binario 10001 010

139 en binario 10001 011

140 en binario 10001 100

141 en binario 10001 101

142 en binario 10001 110

143 en binario 10001 111

b) Se buscan los bits superiores comunes

Como se observa, los primeros 5 bits superiores son comunes

c) Se escribe el sumario, colocando la dirección del menor y la

máscara común.

La máscara común de todas esas redes es de 21 bits, porque los

dos primeros octetos + los 5 primeros bits del tercer octeto dan 21

bits.

En conclusión, el sumario queda 172.21.136.0 /21

2) Dado el dibujo, cuál es el sumario que utiliza el router para sumarizar

todas las entradas de sus interfaces ethernet?

172.16.20.0/24

172.16.21.0/24

172.16.22.0/24

172.16.23.0/24

Figura 44: Ejemplo Resuelto 2 de Sumarizaciòn. Fuente: Propia (2008)


20 en binario 000101 00

21 en binario 000101 01

22 en binario 000101 10

23 en binario 000101 11




máscara

común.



bits.

En conclusión, el sumario queda 172.16.20.0 /22

3) Dado el dibujo, demuestre la veracidad del sumario mostrado en el

router Z

Figura 45 Ejemplo de Sumarización. Fuente: Cisco (2003)

Esta demostración se hace en dos partes:

Parte A:


Dec: Binario Dec: Binario Dec: Binario

48 001100 00 52 001101 00 56 00111 000

49 001100 01 53 001101 01 57 00111 001

50 001100 10 54 001101 10 58 00111 010

51 001100 11 55 001101 11 59 00111 011

60 00111 100

61 00111 101

62 00111 110

63 00111 111


En los dos primeros bloques, son comunes los 6 primeros bits, en el

tercer bloque son comunes sólo los 5 primeros bits.


máscara común.

La máscara común de los dos primeros bloques es de 22 bits,

porque los dos Primeros octetos + los 6 primeros bits del tercer octeto

dan 22 bits. Para el tercer bloque la máscara común es de 21 bits.

En conclusión, los sumarios parciales quedan

Primer Bloque: 192.168.48.0 /22

Segundo Bloque: 192.168.52.0 /22

Tercer Bloque: 192.168.56.0 /21

Parte B:

Ya que tenemos los sumarios de cada router, volvemos a hacer el proceso,

pero con los 3 bloques sumarizados.


48 en binario 0011 0000

52 en binario 0011 0100

56 en binario 0011 1000




máscara común.



bits.

En conclusión, el sumario queda 192.168.48.0 /20 (resumen de

16 redes clase C)

EJEMPLOS PROPUESTOS:

1) Se tienen las redes desde 135.100.1.0/24 hasta la 135.100.15.0/24.

Halle el sumario más adecuado para representar esas mismas

direcciones.

2) Las redes 133.22.8.0, 133.22.9.0, 133.22.10.0, 133.22.11.0,

133.22.12.0, 133.22.13.0, 133.22.14.0 y 133.22.15.0 necesitan ser

sumarizadas en una sola. Indique la dirección y la máscara a utilizar

3) ¿Cuáles de las siguientes redes pertenecen al sumario

131.10.16.128/27?

a) 131.10.16.129

b) 131.10.16.127

c) 131.10.16.158

d) 131.10.16.161

4) ¿La dirección 201.111.16.0/20, qué representa?

5) Dado el dibujo, indique cuál es el sumario que debe entregar el router A

A 192.168.1.0/25

192.168.1.128/26

192.168.1.192/27

Figura 46: Ejemplo 5 Propuesto de sumarizaciòn. Fuente: Propia (2008)

6) Dado el dibujo, indique los sumarios que debe dar el router A

192.168.0.0/26

192.168.0.64/26 A

192.168.0.128/26

192.168.0.192/26

Figura 47: Ejemplo 6 Propuesto de sumarizaciòn. Fuente: Propia (2008)

7) Dado el dibujo, indique el sumario que debe dar el router A

192.168.1.96/29 A192.168.1.104/29192.168.1.112/29 192.168.1.0/27192.168.1.120/29 192.168.1.32/27

192.168.1.64/28192.168.1.80/28Figura 48: Ejemplo 7 Propuesto de Sumarizaciòn. Fuente: Propia (2008)

8) Demuestre la veracidad de los cálculos del siguiente dibujo.

Figura 49: Ejemplo 8 Propuesto de Sumarizaciòn. Fuente: Gough (2003)

CAPITULO IV

SOLUCIONES AL PROBLEMA DE LA ESCASEZ DE DIRECCIONES Ipv4

CAPITULO IV

SOLUCIONES AL PROBLEMA DE LA ESCASEZ DE DIRECCIONES Ipv4

1) CRISIS DE DIRECCIONES Ipv4

El direccionamiento Ipv4, en su máxima expresión son 232 combinaciones, lo

que da un equivalente a 4.294.967.296 direcciones posibles. La población

mundial para el 2007, según http://www.exitoexportador.com/stats.htm es de

6.574.666.417, con lo cual se parte en desventaja para el otorgamiento de

direcciones IP. Si a este número de la población mundial le sumamos que el

12,5 % del direccionamiento IP no es asignable (Clases D y E) y que las

nuevas tendencias de las redes (Conexión a Internet desde el teléfono celular,

edificios inteligentes, entre otros) hacen que este espacio de direccionamiento

sea de por si insuficiente, entonces se pensaron en procedimientos para

alargar la “vida” de Ipv4 hasta que la implementación de Ipv6 sea un hecho.

Otro problema con el direccionamiento Ipv4, como ya se comentó

anteriormente, es que está muy mal distribuido por la forma de las clases de

direcciones.

Debido a la misma escasez de direcciones IP, los Proveedores de servicio

se han visto en la obligación de dar pocas direcciones IP a sus clientes para

poder hacer “rendir” para ellos mismos su espacio de direccionamiento, lo cual

hace a su vez que el cliente tenga que exprimir esas direcciones IP públicas

hasta su máxima expresión posible, para satisfacer las necesidades de

direccionamiento de su empresa.

La solución que se implementó fue el direccionamiento privado, con el

inconveniente de que esas direcciones no salen a Internet por si mismas, así

que adicionalmente se tuvo que crear un procedimiento para poder sacar a

http://www.exitoexportador.com/stats.htm

estas direcciones, que no son únicas, para así hacer rendir más el espacio de

direccionamiento IP.

Las soluciones propuestas a este problema de escasez de direcciones

fueron las siguientes, las cuales se van a explicar en detalle a continuación:

- NAT y PAT (Traducción de direcciones de red)

- IP sin número

- La solución final del problema: Ipv6, del cual se hablará mas adelante.

2) SOLUCIÓN TEMPORAL 1: TRADUCCIÓN DE DIRECCIONES DE RED.

El objetivo de la traducción de direcciones de Red, es hacer un cambio en la

dirección IP origen, de modo tal que esa dirección privada que tiene la red, se

convierta en una dirección pública, enrutable a través de Internet. Hay dos

maneras de hacerlo: Una se llama NAT (Network Address Translation, por sus

siglas en inglés, traducción de direcciones de red) y la otra PAT (Port Address

Translation, por sus siglas en inglés, traducción de puertos de red)

2.1) ¿QUÉ ES NAT?

NAT es un procedimiento diseñado para conservar direcciones IP públicas

que permite a las redes usar direcciones IP privadas en su red interna, para

luego “traducir” esas direcciones internas a direcciones enrutables a través de

Internet. Este procedimiento se logra a través de dispositivos de red que

corren un software especializado que puede incrementar la privacidad de la

red, porque esconde la dirección privada interna. Entre los dispositivos que son

capaces de hacer esta traducción son los router, los firewall y los servidores,

los cuales se colocan en el borde de la red que hace contacto con el mundo

exterior (Internet). Segùn el Standard RFC 1631, NAT se implementa en cada

punto de salida entre la red privada del cliente e Internet.

Cuando un host dentro de la red interna quiere, por ejemplo, bajar una

página web, envía el paquete al dispositivo frontera capaz de hacer NAT, el

cual hace el procedimiento, traduciendo la dirección privada interna a una

pública enrutable.

Con este procedimiento se puede reemplazar la dirección IP origen (de privada

a pública) o la dirección IP destino (de pública a privada), según sea el flujo de

los datos

Figura 50: Conversión de dirección IP privada a pública para salir a Internet. Fuente: cisco 2003

Figura 51: Conversión de dirección IP pública a privada como respuesta de Internet Fuente: cisco 2003

2.2) TIPOS DE DIRECCIONES EN NAT

Desde el punto de vista de la red, las direcciones en NAT se dividen en

internas (susceptibles a ser traducidas) y externas (el mundo exterior, Internet)

A su vez, las direcciones internas y externas se pueden dividir en locales

(consumo interno) y globales (visibles por todo el mundo).

Aquí está la explicación de cada tipo de dirección en NAT:

Interna Externa

Local Es la dirección IP asignada a un

host en la red interna. Esta

dirección corresponde al

estándar RFC. 1918 de

direcciones privadas

Es la dirección IP de un host

externo como es conocido para

los host en la red interna. Puede o

no estar traducida

Global Es una dirección pública que es Es la dirección IP asignada a un

asignada por un proveedor de

servicio, la cual representa a las

direcciones internas locales,

una vez traducidas, en el

mundo exterior

host en la red exterior (Internet).

El dueño del host asigna esta

dirección.

Figura 52: Tabla con descripción de los tipos de direcciones en NAT. Fuente: Propia (2008)

Figura 53 Tipos de Direcciones en NAT. Fuente: Cisco (2003)

2.3) ¿CÓMO SE HACE NAT?

Hay dos formas de hacer NAT: De manera estática o de manera dinámica

La traducción estática consiste en hacer un mapeo permanente uno a uno

entre la dirección IP local interna y la global interna. Para hacer un NAT

estático necesito colocar la dirección IP de la red privada y a qué dirección

pública se va a traducir. Es una traducción muy útil para host que deben tener

una dirección fija que sea accesible desde Internet. Desde el punto de vista

estricto, el NAT estático no ahorra direcciones públicas, porque la relación es

una dirección pública por una dirección privada. Cuando se hace una entrada

estática en el mapa de NAT, ésta no se puede eliminar a menos de que el

administrador de red la quite manualmente.

Algunos casos en los que se utiliza NAT estático son los siguientes:

- Cuando hay redes que se solapan

- Cuando un esquema de numeración va a cambiar a otro, como por

ejemplo cuando se cambia de proveedor de servicio.

- Servidores o máquinas de monitoreo que deben mantener la misma

dirección para poder se accesibles.

Figura 54: NAT estático. Fuente: Cisco 2003

La traducción dinámica se diseñó para asociar una dirección IP privada a

una pública. Cualquier dirección IP de un pool de direcciones IP se asigna a un

host de la red interna. Para hacer la traducción dinámica, debo hacer un filtro

para determinar cuáles son las direcciones internas elegidas para ser

traducidas (normalmente se hace una lista de acceso), luego se escribe un pool

de direcciones con las direcciones públicas dadas por el ISP, y luego se hace

la relación para expresar que las direcciones internas seleccionadas, se

convierten en las direcciones del pool. Si alguna dirección no se encuentra

aprobada por el filtro, no va a salir a Internet, sin tener implicaciones con el

acceso de dicho host a la red interna.

No se van a ver traducciones en la tabla de traducciones NAT hasta que el

dispositivo que haga NAT no reciba tráfico que requiera ser traducido. Las

traducciones dinámicas son temporales y desaparecen luego de un tiempo de

inactividad, es decir, mientras se use la traducción con frecuencia no se va a

perder de la tabla.

El dispositivo que hace NAT toma el paquete IP e intercambia la dirección

interna privada por la dirección pública y lleva el paquete a Internet. Cuando el

host en Internet responde, el router chequea la tabla NAT y hace el intercambio

de direcciones necesario para poder recibir respuesta.

Muchas organizaciones usan el NAT dinámico junto con una solución de

firewall (PIX, ASA, Router con imagen de seguridad, etc.)

Aunque el NAT dinámico no es una tecnología de firewall en si, si hace el

efecto de ocultar la estructura de direcciones internas de la red

Figura 55 NAT dinámico. Fuente: cisco 2003

2.4) ¿QUÉ ES PAT Y CÓMO SE HACE?

PAT es la habilidad que poseen los dispositivos que hacen NAT de permitir

traducir varias direcciones internas con la misma dirección global. También se

le llama NAT uno a muchos, o NAT con sobrecarga. Con este procedimiento,

hasta cientos de direcciones privadas pueden acceder a Internet con la misma

dirección Global pública. El dispositivo que hace NAT lleva el registro de las

conversaciones mirando los puertos TCP y UDP en la tabla NAT. Las entradas

de la tabla NAT que tienen la dirección IP con su puerto, se llama entradas

extendidas.

Desde el punto de vista práctico, PAT funciona porque el router “cree” que

es un solo host que está haciendo n peticiones, en lugar de que son n host

haciendo una sola petición cada uno, así que no hay ningún problema de que

la dirección IP no sea única, porque por el número de puerto se puede

reconocer después quién es quién.

Mientras los puertos sean únicos para cada host, PAT va a funcionar. Si la

implementación de PAT consigue dos host locales internos que tengan el

mismo número de puerto, en la traducción global le cambia el puerto a uno de

ellos para que sea único, aunque las implementaciones de PAT no

necesariamente conservan el puerto original.

Aunque desde el punto de vista teórico, se podrían hacer traducciones hasta

que hayan puertos libres, la cantidad de traducciones, en un número realista,

dependen de la cantidad de memoria (cada traducción ocupa

aproximadamente 160 Bytes de memoria) y del hardware del equipo. Algunos

equipos CISCO han llegado hasta 4000 direcciones privadas por pública.

Cuando se “llene” la dirección pública que está siendo sobrecargada, se pasa a

la siguiente y así sucesivamente hasta que se terminen los host privados o no

pueda llenarse más las direcciones públicas.

Figura 56: PAT. Fuente: Cisco 2003

2.5) EJEMPLO DE SITUACIONES EN LOS QUE SE HACE NAT O PAT

NAT se puede usar para varias cosas, entre las cuales destacan las

siguientes:

- Traducir direcciones internas locales: Es la función más común, en la

cual se establece un mapeo entre las direcciones locales internas y las

direcciones globales internas.

- Sobrecargar direcciones globales internas: Esta es la función de PAT:

conservar direcciones IP. Lo hace permitiendo la traducción de puertos

fuente en conexiones TCP o conversaciones UDP. Con varias

direcciones locales internas haciendo match con la misma dirección

global interna, los puertos TCP o UDP de cada host interno, son

necesarias para poder distinguir a que host pertenece cada tráfico.

- Distribución de carga TCP: Una forma dinámica de traducción por

destino puede ser configurada para tráficos que vienen de afuera hacia

adentro de la red. Cuando se establece el esquema de mapeo, las

direcciones destino que hacen match a un filtro se reemplazan con una

dirección de un pool. La asignación sólo se hace cuando una nueva

conexión se abre del interior al exterior. De ser así, todo tráfico que no

sea TCP pasará sin ser traducido, a menos de que hayan otras

traducciones trabajando.

- Manejo de redes solapadas: NAT puede servir para resolver problemas

de direccionamiento que ocurren cuando las direcciones internas se

solapan con las direcciones de la red exterior. Esto puede ocurrir

cuando dos compañías se fusionan y usan la misma dirección privada,

o cuando una compañía cambia de ISP y las direcciones originalmente

asignadas por el ISP son reasignadas a otro cliente.

2.6) VENTAJAS Y DESVENTAJAS DE NAT Y PAT

Entre las ventajas de NAT y PAT se encuentran las siguientes:

- Conserva las direcciones públicas, permitiendo la privatización de las

intranets: Esto se hace usando PAT, compartiendo una sola dirección

IP pública entre varias privadas para poder sacarlas a Internet.

- Ofrece consistencia al esquema de direccionamiento Interno de la red:

En una red sin direccionamiento privado y NAT, cambiar la dirección

pública implicaría cambiar el direccionamiento de todos los host de la

red, con las implicaciones económicas y de tiempo respectivas. En una

red con direccionamiento privado y NAT sólo hace falta cambiar el pool

de direcciones para que coincida con las direcciones del nuevo

proveedor de servicio y listo.

- Protege la seguridad de la Red: Como las redes privadas no publican

sus direcciones o topologías internas, se mantienen seguras cuando

se usan en conjunto con NAT para tener controlado el acceso externo.

- Incrementa la flexibilidad de las conexiones a la red pública, por medio

de varios pool, pool de respaldo y pool de balanceo de carga para

tener una conexión a la red pública de manera confiable.

Entre las desventajas de NAT y PAT están las siguientes:

- Pérdida de funcionalidad para los protocolos o aplicaciones que implican

el envío de información de IP dentro de la carga útil del paquete. Para

poder hacer esto se requiere soporte adicional por el dispositivo que

hace NAT

- NAT incrementa el delay: Revisar el paquete IP y cambiar su información

tarda su tiempo. Los paquetes con NAT siempre se tardarán más que

los paquetes sin NAT, porque el CPU debe ver cada paquete para

determinar si debe ser traducido o no, además de cambiar el

encabezado IP, o hasta el encabezado TCP.

- Se pierde la posibilidad de rastrear el paquete extremo a extremo: Se

vuelve más difícil rastrear paquetes que tengan cambios de

direccionamiento a través de saltos NAT, por lo cual no puede

determinar la fuente original del paquete con facilidad.

- NAT hace que las aplicaciones que usan direccionamiento IP paren de

funcionar, porque oculta las direcciones IP extremo a extremo. Las

aplicaciones que usen direcciones IP en lugar de nombres de dominio

no van a alcanzar destinos que se traduzcan a través del router NAT.

En algunos casos la solución es usar NAT estático.

VLSM,_CIDR_y_NAT

Documents

Transcript of VLSM,_CIDR_y_NAT