DHCP e NAT

Antonio Cianfrani
Dynamic Host Configuration Protocol
(DHCP)
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Il protocollo DHCP
Il protocollo DHCP consente ad un router di configurare
dinamicamente gli host all’interno di una LAN.
Parametri da configurare:
 Indirizzo IP e maschera di sottorete
 Default gateway
 Server DNS
 Tempo di validità dei parametri
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Esempio
Server DHCP
Client
DHCP
192.168.1.0/24
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Configurazione del server DHCP (1/3)
Il comando per iniziare la configurazione del DHCP è
Router(config)#ip dhcp pool NOME_POOL
NOME_POOL rappresenta il nome che viene associato alla
configurazione del DHCP sul router
A questo punto si possono specificare gli indirizzi (pool di
indirizzi) che è possibile assegnare dinamicamente
(supponiamo sia il blocco 10.0.0./8):
Router(config-dhcp)# network NET_ADDRESS NETMASK
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Configurazione del server DHCP (2/3)
L’insieme degli indirizzi da assegnare dinamicamente
potrebbe non coincidere con l’intero blocco
Possibile motivazione: nella LAN c’è un host (es. un server) a
cui vogliamo assegnare un indirizzo staticamente
E’ possibile escludere alcuni indirizzi dal Pool di indirizzi
DHCP (es. i primi 49 indirizzi)
Router(config)#ip dhcp excluded-address 192.168.1.1
192.168.1.49
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Configurazione del server DHCP (3/3)
Se si vuole fornire l’accesso ad Internet bisogna
configurare il router di default (10.0.0.1) e i server DNS
(151.100.5.4 e 151.100.6.5)
Router(config-dhcp)# default-router 192.168.1.1
Router(config-dhcp)# dns-server 192.168.1.10
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Antonio Cianfrani
Network Address Translation
(NAT)
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Indirizzi pubblici e privati
Problema: indirizzi IP non sufficienti a garantire l’accesso
alla rete Internet di tutti gli host
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
NAT (1/4)
 Impiego di spazi di indirizzamento privato (RFC 1918) con la
Internet pubblica
• accedere alla Internet pubblica senza richiedere indirizzi IP
registrati
 Risparmio di indirizzi IP pubblici
• interconnettere reti IP con spazi di indirizzamento sovrapposti
• ridurre il consumo di indirizzi ufficiali (Port Address Translation,
NAPT)
 Sicurezza
• migliorare la sicurezza della rete “nascondendo” gli indirizzi reali
degli host
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
NAT (2/4)
“Inside” Network
“Outside” Network
Gateway
192.168.10.2
Internet
192.168.10.254
209.235.168.3
192.168.10.3
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
NAT (3/4)
 Gli indirizzi della rete locale (192.168.10.X) non sono
“visibili” dall’esterno. Il router Gateway ha due
interfacce di rete, una sulla rete locale e una sulla rete
pubblica.
 Il router “Gateway” è connesso ad un Internet Service
Provider (ISP), che assegnerà l’indirizzo pubblico.
 Si vuole quindi utilizzare un unico accesso ad Internet
per connettere l’intera LAN.
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
NAT (4/4)
 Uno dei modi possibili per risolvere il problema è quello di
utilizzare sul Gateway un’applicazione che implementi il
NAT (Network Address Translator - RFC 1631)
 Il principio alla base di NAT è quello di modificare gli
indirizzi IP dei pacchetti che lo attraversano e di
utilizzare anche i numeri di porta delle connessioni TCP e
UDP.
 Chiameremo l’indirizzo IP globale su Internet “indirizzo
pubblico”, l’indirizzo di un host sulla LAN “indirizzo
privato”.
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
NAT - Principio di funzionamento
 Un pacchetto IP inviato da un host della rete locale verso
la rete pubblica attraverso il router che esegue le
funzionalità NAT
 Il router NAT sostituisce l’indirizzo privato con un
indirizzo pubblico prima di spedirlo sulla rete pubblica.
 Quando arriva il pacchetto di risposta dalla rete pubblica,
NAT riscrive nel pacchetto l’indirizzo privato prima di
mandare il pacchetto di risposta all’host.
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
NAT: tipi di traduzione
 NAT statico
•
Traduce solo gli indirizzi
•
Traduzione uno-a-uno
 NAT dinamico
•
Traduce le coppie Indirizzo/Port
•
Traduzione N-a-uno
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Esempio NAT statico
Rete “Interna”
Rete “Esterna”
NAT
SA
192.168.1.2
SA
192.168.1.2
80.70.1.1
Internet/Intranet
192.168.1.3
SA = Source Address
NAT Table
Inside Local
IP Address
Inside Global
IP Address
192.168.1.2
192.168.1.3
80.70.1.1
80.70.1.2
Ovviamente viene anche tradotto il DA da esterno in interno
nei messaggi di risposta
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Esempio NAT dinamico
Rete Privata
Rete Pubblica
NAT
SA
SA
192.168.1.2
192.168.1.2
209.235.168.3
Internet
192.168.1.3
SA = Source Address
Tabella NAT
Inside Local
IP Address & port
192.168.1.2:1024
192.168.1.3:1723
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Inside Global
IP Address & port
151.100.37.12:80
SERVER HTTP
209.235.168.3:55001
209.235.168.3:55002
Configurazione del NAT
Il primo passo è configurare le interfacce del router,
identificando l’interfaccia locale e l’interfaccia globale
Router(config-if)#ip nat inside
Router(config-if)#ip nat outside
In seguito bisogna definire le regole di traduzione.
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Configurazione del NAT statico
Il NAT statico viene utilizzato quando si vuole associare ad
un indirizzo privato uno specifico indirizzo pubblico.
Usato nel caso di server.
Regola di traduzione:
Router(config)# ip nat inside source static
ind_locale ind_globale
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Configurazione del NAT dinamico (1/2)
Utilizzato quando si ha a disposizione un pool di indirizzi
pubblici inferiore al numero di host (indirizzi privati) che si
connettono alla rete
Definizione del blocco di indirizzi privati:
Router(config)# access-list access-list-number
permit source_address wildcard
Definizione del blocco di indirizzi pubblici:
Router(config)# ip nat pool name start-ip end-ip
netmask netmask
Regola di traduzione
Router(config)# ip nat inside source list aclnumber pool name
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016
Configurazione del NAT dinamico (2/2)
E’ possibile anche utilizzare un unico indirizzo IP pubblico
per far connettere l’intera LAN.
Di norma tale indirizzo è l’indirizzo pubblico dell’interfaccia
verso l’ISP del router.
Non c’è bisogno di specificare il blocco di indirizzi pubblici
Regola di traduzione:
Router(config)# ip nat inside source list aclnumber interface interface overload
Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016