DHCP e NAT
Transcript
DHCP e NAT
Antonio Cianfrani Dynamic Host Configuration Protocol (DHCP) Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Il protocollo DHCP Il protocollo DHCP consente ad un router di configurare dinamicamente gli host all’interno di una LAN. Parametri da configurare: Indirizzo IP e maschera di sottorete Default gateway Server DNS Tempo di validità dei parametri Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Esempio Server DHCP Client DHCP 192.168.1.0/24 Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Configurazione del server DHCP (1/3) Il comando per iniziare la configurazione del DHCP è Router(config)#ip dhcp pool NOME_POOL NOME_POOL rappresenta il nome che viene associato alla configurazione del DHCP sul router A questo punto si possono specificare gli indirizzi (pool di indirizzi) che è possibile assegnare dinamicamente (supponiamo sia il blocco 10.0.0./8): Router(config-dhcp)# network NET_ADDRESS NETMASK Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Configurazione del server DHCP (2/3) L’insieme degli indirizzi da assegnare dinamicamente potrebbe non coincidere con l’intero blocco Possibile motivazione: nella LAN c’è un host (es. un server) a cui vogliamo assegnare un indirizzo staticamente E’ possibile escludere alcuni indirizzi dal Pool di indirizzi DHCP (es. i primi 49 indirizzi) Router(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.49 Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Configurazione del server DHCP (3/3) Se si vuole fornire l’accesso ad Internet bisogna configurare il router di default (10.0.0.1) e i server DNS (151.100.5.4 e 151.100.6.5) Router(config-dhcp)# default-router 192.168.1.1 Router(config-dhcp)# dns-server 192.168.1.10 Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Antonio Cianfrani Network Address Translation (NAT) Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Indirizzi pubblici e privati Problema: indirizzi IP non sufficienti a garantire l’accesso alla rete Internet di tutti gli host Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 NAT (1/4) Impiego di spazi di indirizzamento privato (RFC 1918) con la Internet pubblica • accedere alla Internet pubblica senza richiedere indirizzi IP registrati Risparmio di indirizzi IP pubblici • interconnettere reti IP con spazi di indirizzamento sovrapposti • ridurre il consumo di indirizzi ufficiali (Port Address Translation, NAPT) Sicurezza • migliorare la sicurezza della rete “nascondendo” gli indirizzi reali degli host Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 NAT (2/4) “Inside” Network “Outside” Network Gateway 192.168.10.2 Internet 192.168.10.254 209.235.168.3 192.168.10.3 Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 NAT (3/4) Gli indirizzi della rete locale (192.168.10.X) non sono “visibili” dall’esterno. Il router Gateway ha due interfacce di rete, una sulla rete locale e una sulla rete pubblica. Il router “Gateway” è connesso ad un Internet Service Provider (ISP), che assegnerà l’indirizzo pubblico. Si vuole quindi utilizzare un unico accesso ad Internet per connettere l’intera LAN. Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 NAT (4/4) Uno dei modi possibili per risolvere il problema è quello di utilizzare sul Gateway un’applicazione che implementi il NAT (Network Address Translator - RFC 1631) Il principio alla base di NAT è quello di modificare gli indirizzi IP dei pacchetti che lo attraversano e di utilizzare anche i numeri di porta delle connessioni TCP e UDP. Chiameremo l’indirizzo IP globale su Internet “indirizzo pubblico”, l’indirizzo di un host sulla LAN “indirizzo privato”. Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 NAT - Principio di funzionamento Un pacchetto IP inviato da un host della rete locale verso la rete pubblica attraverso il router che esegue le funzionalità NAT Il router NAT sostituisce l’indirizzo privato con un indirizzo pubblico prima di spedirlo sulla rete pubblica. Quando arriva il pacchetto di risposta dalla rete pubblica, NAT riscrive nel pacchetto l’indirizzo privato prima di mandare il pacchetto di risposta all’host. Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 NAT: tipi di traduzione NAT statico • Traduce solo gli indirizzi • Traduzione uno-a-uno NAT dinamico • Traduce le coppie Indirizzo/Port • Traduzione N-a-uno Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Esempio NAT statico Rete “Interna” Rete “Esterna” NAT SA 192.168.1.2 SA 192.168.1.2 80.70.1.1 Internet/Intranet 192.168.1.3 SA = Source Address NAT Table Inside Local IP Address Inside Global IP Address 192.168.1.2 192.168.1.3 80.70.1.1 80.70.1.2 Ovviamente viene anche tradotto il DA da esterno in interno nei messaggi di risposta Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Esempio NAT dinamico Rete Privata Rete Pubblica NAT SA SA 192.168.1.2 192.168.1.2 209.235.168.3 Internet 192.168.1.3 SA = Source Address Tabella NAT Inside Local IP Address & port 192.168.1.2:1024 192.168.1.3:1723 Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Inside Global IP Address & port 151.100.37.12:80 SERVER HTTP 209.235.168.3:55001 209.235.168.3:55002 Configurazione del NAT Il primo passo è configurare le interfacce del router, identificando l’interfaccia locale e l’interfaccia globale Router(config-if)#ip nat inside Router(config-if)#ip nat outside In seguito bisogna definire le regole di traduzione. Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Configurazione del NAT statico Il NAT statico viene utilizzato quando si vuole associare ad un indirizzo privato uno specifico indirizzo pubblico. Usato nel caso di server. Regola di traduzione: Router(config)# ip nat inside source static ind_locale ind_globale Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Configurazione del NAT dinamico (1/2) Utilizzato quando si ha a disposizione un pool di indirizzi pubblici inferiore al numero di host (indirizzi privati) che si connettono alla rete Definizione del blocco di indirizzi privati: Router(config)# access-list access-list-number permit source_address wildcard Definizione del blocco di indirizzi pubblici: Router(config)# ip nat pool name start-ip end-ip netmask netmask Regola di traduzione Router(config)# ip nat inside source list aclnumber pool name Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016 Configurazione del NAT dinamico (2/2) E’ possibile anche utilizzare un unico indirizzo IP pubblico per far connettere l’intera LAN. Di norma tale indirizzo è l’indirizzo pubblico dell’interfaccia verso l’ISP del router. Non c’è bisogno di specificare il blocco di indirizzi pubblici Regola di traduzione: Router(config)# ip nat inside source list aclnumber interface interface overload Laboratorio di Applicazioni Telematiche – Antonio Cianfrani -- A.A. 2015/2016