El funcionamiento bsico de NAT, se puede explicar mediante el siguiente ejemplo de red:

La red LAN con los PC y el router utilizan el bloque 192.168.0.0/24 mientras que el ISP ha asignado la IP pblica 200.1.1.1/29 al router en su puerta WAN. En esta red se ha implementado NAT para que todos los PC puedan salir a Internet y sean reconocidos mediante la IP 200.1.1.1. De no existir esto, cada uno de los PC necesitara una direccin IP pblica nica para poder acceder a Internet, encareciendo el costo de los servicios. Existen 4 formas de NAT, lo cual se explicara posteriormente, pero antes hay que definir cules sern los puertos de inside y outside Donde inside indica que la interfaz est conectada a la red interna (la red sujeta a la traduccin de NAT), y outside indica que la interfaz est conectada a la red externa. Se debe especificar al menos una interface inside y una interface outside en el router sobre el cual se desea configurar NAT. Solo los paquetes que llegan a una de las interfaces configuradas con ip nat estarn sujetos a una posible traduccin. Para eliminar la condicin de NAT sobre una interface utiliza la forma no del comando (no ip nat { inside | outside })

NAT dinmico El NAT dinmico es el ms bsico de todos los mtodos de traduccin de direcciones privadas a pblicas. Consiste en tener un bloque IP pblico e ir asignando dinmicamente una de esas IP a cada mquina de la LAN interna para que salga a

Internet. Si tenemos 3 mquinas en nuestra LAN, como la imagen, necesitaremos entonces 3 IP pblicas extra (aparte de la necesaria en la interfaz WAN del router) para lograr conectividad. En este tipo de NAT, las IP reservadas para el bloque pblico se van utilizando y se crea un mapping 1:1 entre las IP internas y las externas. Si definimos solo 3 IP pblicas entonces solamente podrn conectarse 3 mquinas internas hacia Internet. Esta asociacin se crea en forma dinmica.

Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask 255.255.255.248 Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 Router(config)# ip nat inside source list 1 pool RANGO Router(config)# interface FastEthernet0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface FastEthernet0/1 Router(config-if)# ip nat outside El comando ip nat pool permite crear el rango de direcciones IP pblicas que vamos a asignar al NAT dinmico y asociarlo a un nombre. En este caso RANGO. Luego se crea una ACL estndar donde seleccionamos el rango completo de nuestro bloque LAN. Esta ACL no se utiliza para implementar bloqueo de direcciones, si no simplemente se utiliza para seleccionar cuales IP de la LAN sern traducidas. Luego el paso ms importante es definir el sentido del NAT. Siempre la LAN ser la red de "adentro" e Internet ser la red de "afuera". Por lo mismo se declara la FastEthernet0/0 de nuestro router como interna con el comando ip nat inside y se hace lo propio en la interfaz que apunta hacia Internet con el comando ip nat outside.

Mucho cuidado con no invertir este orden porque NAT nunca funcionar. En todos los tipos de NAT se debe definir las interfaces inside y outside. NAT esttico El NAT esttico es el ms simple de configurar y permite asociar estticamente una direccin pblica a una direccin IP privada. Es ideal para permitir el acceso desde Internet a un servidor que alojamos en una DMZ por ejemplo o en la red LAN institucional.

En este caso solo se desea que una sola PC tenga acceso a Internet, Ac hemos asignado la IP 200.1.1.5/29 a la primera PC. Esta IP no puede ser utilizada en otro NAT al mismo tiempo ya que queda reservada para la IP 192.168.0.3. En otros sistemas, como OpenBSD, se suele utilizar el nombre de NAT 1:1 (one-to-one). Configuracin :

Router(config)# ip nat inside source static 192.168.0.3 200.1.1.5 Router(config)# interface FastEthernet0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface FastEthernet0/1 Router(config-if)# ip nat outside 3. PAT El nombre PAT proviene de "Port Address Translation" y es el mtodo de NAT ms utilizado probablemente. A diferencia de los dos mtodos anteriores donde cada IP privada se mapea en forma directa con una nica IP pblica, en el PAT se asocian dinmicamente todas las conexiones originadas en la LAN con una nica IP pblica,

identificando cada sesin con un puerto de dicha IP (Por eso se llama Port Address Translation). Habitualmente PAT se conoce tambin como "Sobrecarga" u "Overload", ya que se le da todo el trabajo de traduccin a una sola IP o interfaz de red.

En este caso hemos habilitado PAT en la interfaz f0/1. As, todas las mquinas del bloque 192.168.0.0/24 podrn salir a Internet a travs de la IP 200.1.1.1. Para lograr esto el router mapea dinmicamente cada sesin con un puerto de la IP pblica. Configuracin:

Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 Router(config)# ip nat inside source list 1 interface f0/1 overload Router(config)# interface FastEthernet0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface FastEthernet0/1 Router(config-if)# ip nat outside En este caso tambin creamos una ACL estndar para seleccionar las IP de la red LAN que sern traducidas en el PAT y luego con el comando ip nat inside source list 1 interface f0/1 overload asociamos esa ACL (que le dimos el nmero 1) con la interfaz WAN donde haremos la sobrecarga. La palabra OVERLOAD es clave para activar PAT correctamente.

4. PAT con mltiples IP

Esta vez hemos "ampliado" la capacidad del PAT agregando un pool de direcciones a la sobrecarga de la traduccin. Ya no solamente se utiliza la IP 200.1.1.1 para conectar a todos desde Internet, si no que se utilizan tambin las direcciones 200.1.1.2 a la 200.1.1.4.

Router(config)# ip nat pool RANGO_PAT_PUBLICO 200.1.1.1 200.1.1.4 netmask 255.255.255.248 Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 Router(config)# ip nat inside source list 1 pool RANGO_PAT_PUBLICO overload Router(config)# interface FastEthernet0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface FastEthernet0/1 Router(config-if)# ip nat outside

Ac hemos creado un rango de direcciones pblicas que utilizaremos para la sobrecarga y lo hemos llamado RANGO_PAT_PUBLICO. Luego creamos una ACL estndar para seleccionar el bloque LAN que vamos a traducir. Luego con el comando ip nat inside source list 1 pool RANGO_PAT_PUBLICO overload asociamos esa ACL al pool de direcciones publicamos y hacemos sobrecarga. - Inside Local: Se conoce como Inside Local a la direccin IP interna privada de algn PC de la red LAN.

- Inside Global: Es la direccin IP pblica que est siendo utilizada para traducir las IP privadas. La IP WAN del Router en la interfaz f0/1 es considerada Inside Global, as mismo como todas las IP de los rangos pblicos. - Outside Local: Corresponde a la direccin IP de un host ubicado en la red externa (Internet) tal como se muestra en la red LAN interna. No necesariamente tiene que ser una IP pblica legtima. - Outside Global: Es la direccin IP pblica de un host de destino en la red externa.

Comandos tiles: show ip nat translation show ip nat static debug ip nat

SINTAXIS DE COMANDOS DE CONFIGURACION DE NAT COMANDO DE CONFIGURACIN DE INTERFACES: Router(config-if)# ip nat { inside | outside}

COMANDOS DE CONFIGURACIN GLOBAL Definicin de un conjunto de direcciones (pool) Para la asignacin dinmica de direcciones por parte de NAT se debe definir un conjunto (rango) de direcciones IP. Estas direcciones sern utilizadas por NAT conforme las vaya necesitando. Este conjunto podra definir o un conjunto global interno, un conjunto local externo, o un conjunto rotatorio. Para ello se utiliza, desde el modo de configuracin global, el comando ip nat pool. Router(config)# ip nat pool<name> <start -ip> <end-ip> { netmask <netmask>

Name es el nombre que le asignamos al conjunto de direcciones (pool). Start-ip es la primera direccin IP del conjunto (rango). End-ip es la ltima direccin IP del conjunto (rango). Netmask netmask especfica la mscara de red/subred de la red a la cual pertenece el conjunto de direcciones.

Habilitar la traduccin de direcciones fuente internas Para habilitar NAT para la traduccin de direcciones fuente internas utiliza, desde el modo de configuracin global, el comando ip nat inside source. Router(config)# ip nat inside source {list {access-list-number | name} { pool name | interface interface-name}[overload] | static local-ip global-ip}

List access-list number es el nmero de lista de acceso IP estndar. nicamente los paquetes cuya direccin fuente pasan la lista de acceso son traducidos dinmicamente utilizando las direcciones globales del pool name. List name es el nombre de lista de acceso IP estndar. Pool name es el nombre del conjunto de direcciones que sern asignadas de forma dinmica. Overload (opcional) habilita al router para que utilice una nica direccin global para varias direcciones locales utilizando NAPT. Interface interface es el nombre de la interfaz cuya direccin IP ser asignada de forma dinmica utilizando NAPT Static local-ip establece una traduccin esttica simple entre local-ip y global ip. Esta direccin global IP asignada al dispositivo interno ser la direccin que ser vista desde el exterior. En el siguiente ejemplo se especifica que el trfico originado desde 192.168.1.0 hacia cualquier lugar ser traducido dinmicamente (NAT dinmico) basado en su direccin fuente utilizando el siguiente conjunto(rango) de direcciones IP

207.139.221.108 Se traducir la direccin fuente y no la direccin destino. ip nat pool rango 207.139.221.10 207.139.221.128 netmask 255.255.255.0 access-list 10 permit 192.168.1.0 0.0.0.255 ip nat inside source list 10 pool rango

Para habilitar una traduccin esttica (NAT esttico) entre el host interno 192.168.1.10 y la direccin global IP 207.139.221.10 se utilizara el siguiente comando:

ip nat inside source static 192.168.1.10 207.139.221.1

Para habilitar PAT especificando que el trfico originado desde 192.168.1.0 hacia cualquier lugar ser traducido basado en su direccin fuente utilizando una nica direccin IP 207.139.221.10 se introducira las siguientes lneas de comandos.

ip nat pool RANGO 207.139.221.10 207.139.221.10 netmask 255.255.255.0 access-list 10 permit 192.168.1.0 0.0.0.255 ip nat inside source list 10 pool RANGO overload

Referencias Bibliogrficas www.dsi.uclm.es/asignaturas/42550/PDFs/NAT.pdf www.redescisco.net/ http://labredes.esimez.ipn.mx/practicas/PracticaNo.8NAT.pdf