¿Comportamiento NAT subredes privadas?
Soy estudiante de Admón. De Sist. Informáticos y estamos viendo el tema de segmentar redes. Hasta el momento en los ejercicios imaginábamos que el NIC nos asignaba una IP de clase por ejemplo B privada y nosotros nos encargábamos de asignar las IP's a los segmentos de red y a los routers. Imagina, por ejemplo, que una empresa tiene 4 sedes en distintas ciudades y quiere crear 4 segmentos de red interconectados, uno en cada ciudad (la 1º sede con la 2º, la 2º con la 3º, la 3º con la 4º y la 4º con la 1º). Pues nosotros cogemos por ejemplo la IP 172.25.0.0, le dedicamos 3 bits a redes y 13 bits a estaciones y nos quedaba esto:
Segmento 1: 172.25.32.0
Máscara de subred: 255.255.224.0
Segmento 2: 172.25.64.0
Máscara de subred: 255.255.224.0
Segmento 3: 172.25.96.0
Máscara de subred: 255.255.224.0
Segmento 4: 172.25.128.0
Máscara de subred: 255.255.224.0
Y al estar interconectados habría 8 routers WAN (2 en cada segmento) a los que la IP se la asignaría el ISP, así que de las IP's WAN de los routers nos olvidábamos o directamente nos las inventábamos (les poníamos IP's de clase A inventadas públicas).
La pregunta es: ¿Y si estas sedes estuvieran todas en el mismo edificio? Las subredes y el terreno serían de la empresa, privados, imagina 4 naves en un terreno privado en la que la 1º conecta con la 2º, la 2º con la 3º, la 3º con la 4º y la 4º con la 1º, en plan anillo. Puesto que aquí el ISP no pinta nada (imagina que los routers están interconectados con fibra), ¿qué IP's habría que asignarle a los routers?, ¿Serán en este caso 4 o 8 routers necesarios? Qué haría el NAT para enmascarar las IP'¿s y que los segmentos de subredes diferentes se vieran? Los routers pueden tener 2 IP'¿s asignadas por nosotros? En fin, cómo lo harías tú. Un abrazo y voy a ver si te puedo dejar un esquemilla para simplificar la cosa:
S1----Router A --------------------------------------------Router B-----S2
| |
Router H Router C
| |
| |
Router G Router D
| |
S2----Router F -------------------------------------------Router E------S3
Segmento 1: 172.25.32.0
Máscara de subred: 255.255.224.0
Segmento 2: 172.25.64.0
Máscara de subred: 255.255.224.0
Segmento 3: 172.25.96.0
Máscara de subred: 255.255.224.0
Segmento 4: 172.25.128.0
Máscara de subred: 255.255.224.0
Y al estar interconectados habría 8 routers WAN (2 en cada segmento) a los que la IP se la asignaría el ISP, así que de las IP's WAN de los routers nos olvidábamos o directamente nos las inventábamos (les poníamos IP's de clase A inventadas públicas).
La pregunta es: ¿Y si estas sedes estuvieran todas en el mismo edificio? Las subredes y el terreno serían de la empresa, privados, imagina 4 naves en un terreno privado en la que la 1º conecta con la 2º, la 2º con la 3º, la 3º con la 4º y la 4º con la 1º, en plan anillo. Puesto que aquí el ISP no pinta nada (imagina que los routers están interconectados con fibra), ¿qué IP's habría que asignarle a los routers?, ¿Serán en este caso 4 o 8 routers necesarios? Qué haría el NAT para enmascarar las IP'¿s y que los segmentos de subredes diferentes se vieran? Los routers pueden tener 2 IP'¿s asignadas por nosotros? En fin, cómo lo harías tú. Un abrazo y voy a ver si te puedo dejar un esquemilla para simplificar la cosa:
S1----Router A --------------------------------------------Router B-----S2
| |
Router H Router C
| |
| |
Router G Router D
| |
S2----Router F -------------------------------------------Router E------S3
2 Respuestas
Respuesta de funner
1
Miro tu esquema un poco complejo para funcionar, así como lo tienes veo el problema por ejemplo que la S3 no se mira con la S1 solo se ve con la 2 y 4 .
Ademas veo demasiado routers, con uno por Sucursal lo vería suficiente siempre y cuando tengan modulo VPN, ya que el enmascaramiento lo harás por medio de túneles, en un router peuedes tener varios túneles y por ahí conectar todas las sucursales que se miren independientemente si un router esta apagado .
Solo algo no me quedo claro, ¿por qué pretendes poner 2 routers en cada Sucursal? ¿Por algo en especifico?
Ademas veo demasiado routers, con uno por Sucursal lo vería suficiente siempre y cuando tengan modulo VPN, ya que el enmascaramiento lo harás por medio de túneles, en un router peuedes tener varios túneles y por ahí conectar todas las sucursales que se miren independientemente si un router esta apagado .
Solo algo no me quedo claro, ¿por qué pretendes poner 2 routers en cada Sucursal? ¿Por algo en especifico?
Verás, esto es un ejercicio del módulo de Redes de Área Local que consiste en segmentar redes. Veníamos haciendo los segmentos en ciudades distintas (de ahí la necesidad de utilizar 2 routers WAN para conectar un segmento con otro a los que el ISP les asignaba su IP WAN). La cosa es que en este ejercicio en concreto todo se hace en un terreno propiedad de una empresa POR, con lo que el ISP no pinta nada y tenía la duda: Si el ISP desaparece del juego, ¿quién le otorga la IP a los routers? Pensándolo un poco supongo que si, por ejemplo, un segmento S1 tiene la dirección de subred 172.16.8.0 y otro segmento S2 tiene la dirección 172.16.16.0 será necesario un único router para conectarlos y éste tendrá la IP 172.16.8.1 por el lado del S1 y 172.16.16.1 por el lado del S2, y será el NAT quien traduzca una IP por otra cuando un nodo quiera conectarse con otro. Todo esto en modo básico, que es como lo hacemos :). ¿Estaría este planteamiento bien?
Si, es correcto los routers poseerían las Ip con terminación 1 de esa red pero...
En caso de Ip publicas esas solo las asigna el ISP y es el quien segmenta esas redes en sus routers ( los de la compañía ISP) .
Esto es algo muy difícil de lograr con los isp así que la mayoría optamos por pedir que nos den internet hasta el router (cualquier ip publica) y el subneteo se hace con las ip privadas y de ahí las vpn's y los túneles... en este caso se usarían ip del tipo 10.32.44.0 10.32.52.0 etc... para formar el subneteo privado dando mascaras 255.255.255.0 para la apertura de equipos en cada sucursal.
En caso de Ip publicas esas solo las asigna el ISP y es el quien segmenta esas redes en sus routers ( los de la compañía ISP) .
Esto es algo muy difícil de lograr con los isp así que la mayoría optamos por pedir que nos den internet hasta el router (cualquier ip publica) y el subneteo se hace con las ip privadas y de ahí las vpn's y los túneles... en este caso se usarían ip del tipo 10.32.44.0 10.32.52.0 etc... para formar el subneteo privado dando mascaras 255.255.255.0 para la apertura de equipos en cada sucursal.
Respuesta de Red Toluca
1
Bueno yo aquí lo que haría serian 2 situaciones,, para lo que entiendo.,,,
la primera solo utilizaría 4 routers y utilizaría la configuración clase B, esto seria la primer parte ya que con la clase B puedes conectar poco más de 65mil ordenadores,,, y no es necesario colocarles ips distintas a los routers,,, y pues eso de segmentar la red,, pues no se con que finalidad lo quieras realizar,,, al final todo se conectaría como lo mencionas en anillo,,,,,, y pues si lo que se requiere son permisos de red,,, hay 2 situaciones la primera y más fácil,, con 1 firewall físico que te impida y/o de accesos a quien decidas y como todos van a ser ips clase b pues no hay necesidad de configurar extraordinariamente el firewall,,, y la otra opción es mediante servers y dominios específicos en cada segmentación,, o más bien un árbol de dominios,,,
la segunda pues es conectar cada red independiente y contratar o comprar una ip fija en la matriz de esas navez,,, y asu vez configurar los enlaces y que todas las demás conecten a la matriz a través de ip,, o las que ya están pasando de moda las famosas vpn,,,,,
bueno eso es lo que se me viene a la mente,, para no quebrarme tanto la cabeza con lo de las segmentaciones,, seria dependiendo el punto de vista de cada quien y el alcance a obtener y los motivos que se le quieran dar a la red,,, bueno te dejo una tablita con los limites de cada case de ip
Clase Rango N° de Redes N° de Host Máscara de Red Broadcast ID
A 1.0.0.0 - 127.255.255.255 126 16.777.214 255.0.0.0 x.255.255.255
B 128.0.0.0 - 191.255.255.255 16.384 65.534 255.255.0.0 x.x.255.255
C 192.0.0.0 - 223.255.255.255 2.097.152 254 255.255.255.0 x.x.x.255
espero esto te sirva de igual forma estaré al pendiente por si no es lo que buscabas
;-)
la primera solo utilizaría 4 routers y utilizaría la configuración clase B, esto seria la primer parte ya que con la clase B puedes conectar poco más de 65mil ordenadores,,, y no es necesario colocarles ips distintas a los routers,,, y pues eso de segmentar la red,, pues no se con que finalidad lo quieras realizar,,, al final todo se conectaría como lo mencionas en anillo,,,,,, y pues si lo que se requiere son permisos de red,,, hay 2 situaciones la primera y más fácil,, con 1 firewall físico que te impida y/o de accesos a quien decidas y como todos van a ser ips clase b pues no hay necesidad de configurar extraordinariamente el firewall,,, y la otra opción es mediante servers y dominios específicos en cada segmentación,, o más bien un árbol de dominios,,,
la segunda pues es conectar cada red independiente y contratar o comprar una ip fija en la matriz de esas navez,,, y asu vez configurar los enlaces y que todas las demás conecten a la matriz a través de ip,, o las que ya están pasando de moda las famosas vpn,,,,,
bueno eso es lo que se me viene a la mente,, para no quebrarme tanto la cabeza con lo de las segmentaciones,, seria dependiendo el punto de vista de cada quien y el alcance a obtener y los motivos que se le quieran dar a la red,,, bueno te dejo una tablita con los limites de cada case de ip
Clase Rango N° de Redes N° de Host Máscara de Red Broadcast ID
A 1.0.0.0 - 127.255.255.255 126 16.777.214 255.0.0.0 x.255.255.255
B 128.0.0.0 - 191.255.255.255 16.384 65.534 255.255.0.0 x.x.255.255
C 192.0.0.0 - 223.255.255.255 2.097.152 254 255.255.255.0 x.x.x.255
espero esto te sirva de igual forma estaré al pendiente por si no es lo que buscabas
;-)
El tema de segmentar redes era porque todo esto es un ejercicio del módulo de Redes de Área Local, que mirado de una forma práctica estoy de acuerdo en que sería bastante absurdo, pero gracias por la aclaración y el empeño que has puesto. Un saludo.