implementan NAT y/o QoS. Para su acabada comprensión
se requieren al menos conocimientos de ACL, routing, NAT y QoS.
La operación de Cisco IOS utiliza 2 tablas de orden de operaciones: el orden de operaciones de NAT y el orden de operaciones de QoS.
Orden de operaciones NAT
Cuando un dispositivo implementa esta tabla de orden de operaciones, el dispositivo toma el paquete entrante y ejecuta cada uno de los procesos descriptos en la table en orden descendente, del primero al último.
Si el paquete ingresa a través de la interfaz configurada como inside, utiliza la lista denominada inside-to-outside; si ingresa a través de la interfaz configurada como outside, utiliza entonces la lista outside-to-inside.
Lista inside-to-outside
- Si implementa IPSec, verifica la lista de acceso de ingreso.
- Desencripción (para CET o IPSec).
- Verifica lista de acceso de tráfico entrante.
- Verifica límites de tasa de ingreso.
- Estadísticas de ingreso.
- Policy routing.
- Routing.
- Redireccionamiento a web cache.
- Traducción a dirección global (NAT).
- Crypto (verifica mapeo y marca para encripción).
- Verifica lista de accesso de tráfico saliente.
- Verifica CBAC (context-based access control).
- Encripción.
Lista outside-to-inside
- Si implementa IPSec, verifica la lista de acceso de ingreso.
- Desencripción (para CET o IPSec).
- Verifica lista de acceso de tráfico entrante.
- Verifica límites de tasa de ingreso.
- Estadísticas de ingreso.
- Traducción a dirección local (NAT)
- Policy routing.
- Routing.
- Redireccionamiento a web cache.
- Crypto (verifica mapeo y marca para encripción)
- Verifica lista de accesso de tráfico saliente.
- Verifica CBAC (context-based access control).
- Encripción.
Supongamos que un paquete atraviesa el dispositivo desde la interfaz NAT ouside a la interfaz NAT inside, y se desea entrablecer una lista de acceso (ACL) que bloquee el tráfico proveniente de ciertas direcciones IP. ¿Cuál es la dirección IP que debe filtrarse? ¿La IP pública de origen o la IP privada a la que será traducida esa IP pública?
Al verificar el orden de operaciones correspondiente al tráfico outside-to-inside, se constata que la traducción de la IP pública a la IP privada (NAT) se realiza después de verificar las ACL para tráfico entrante. En consecuencia, para bloquear este tráfico se debe utilizar la dirección IP pública ya que realizará esta operación antes de la traducción.
Analicemos otra posibilidad. Se requiere la creación de una ruta estática para direccionar tráfico que es somentido al proceso de NAT. Una vez más, ¿qué debemos considerar, la red de destino pública o la privada?
En este caso se debe utilizar la dirección de destino privada, porque el tráfico será traducido antes de ser procesado para su ruteo.
Orden de operaciones QoS
Esta lista es de suma importancia en aquellos casos en los que se implementa QoS.
En este caso, el orden de operaciones para tráfico entrante al dispositivo es:
- QoS Policy Propagation a través de BGP
- Clasificación común de ingreso.
- Lista de acceso de tráfico entrante.
- Marcación de tráfico entrante (CAR).
- Política de ingreso (CAR).
- IPSec.
- Cisco Express Forwarding o Fast Switching.
El orden de operaciones para el tráfico saliente desde el dispositivo es:
- CEF o Fast Switching.
- Clasificación común de salida.
- Lista de acceso de tráfico saliente.
- Marcación de tráfico saliente.
- Política de salida (CAR).
- Queueing (CBWFQ y LLQ) y WRED
Estas tablas permite comprender cómo se es el flujo de tráfico a través de los dispositivos y cómo se controla ese tráfico.
Es particularmente importante el orden de operaciones de NAT, ya que si no se lo considera adecuadamente es muy difícil superar algunas dificultades que surgen al configurar de como concurrente NAT y ACLs.
Oscar Antonio Gerometta
Todo comentario o aprte que desee hacer,
por favor, incorporalo en forma de comentario
a este artículo. Muchas gracias.
Muy interesante. Un saludo desde España.
ResponderBorrar