Configuracin de traduccin de direccin de red: Introduccin

Contenidos
Introduccin
Requisitos previos
Requisitos
Componentes utilizados
Convenciones
Pasos de inicio rpido para configurar y desplegar NAT
Definicin de interfaces interior y exterior de NAT
Ejemplo: Permiso para que lo usuarios internos accedan a Internet
Configuracin de NAT para permitir que los usuarios internos accedan a Internet
Configuracin de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga
Ejemplo: Habilitacin de Internet para acceder a dispositivos internos
Configuracin de NAT para permitir el acceso a dispositivos internos desde Internet
Ejemplo: Redirigir el trfico de TCP a otro puerto o direccin TCP
Configuracin de NAT para redireccionar el trfico TCP a otro puerto o direccin TCP
Ejemplo: Uso de NAT durante una transicin de red
Configuracin del uso de NAT durante una transicin de la red
Ejemplo: Utilizacin de NAT en redes superpuestas
Verificacin de funcionamiento de NAT
Conclusin

Introduccin
En este documento se explica cmo configurar Traduccin de direccin de red (NAT) en un router Cisco para utilizarlo en situaciones de red
comunes. Este documento est dirigido a quienes utilizan NAT por primera vez.
Nota: En este documento, cuando se hace referencia a Internet o a un dispositivo de Internet, se est haciendo referencia a un dispositivo de
cualquier red externa.

Requisitos previos
Requisitos
Para comprender este documento, es preciso disponer de un conocimiento bsico de los trminos utilizados en relacin con NAT. Algunas
definiciones se pueden encontrar en NAT: Local and Global Definitions (NAT: definiciones locales y globales)

Componentes utilizados
La informacin que contiene este documento se basa en las versiones de software y hardware indicadas a continuacin.
Routers de la serie 2500 de Cisco
Versin 12.2(10b) del software Cisco IOS
La informacin que se presenta en este documento se origin a partir de dispositivos dentro de un ambiente de laboratorio especfico. Todos los
dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuracin despejada (predeterminada). Si la red est
funcionando, asegrese de haber comprendido el impacto que puede tener cualquier comando antes de ejecutarlo.

Convenciones
Si desea obtener ms informacin sobre las convenciones del documento, consulte las Convenciones sobre consejos tcnicos de Cisco.

Pasos de inicio rpido para configurar y desplegar NAT

Cuando se configura NAT, en ocasiones es difcil saber por dnde empezar, en especial si se est iniciando en el uso de NAT. Los pasos que
indicamos a continuacin le servirn de gua para definir qu desea que NAT realice y cmo configurarlo:

1. Defina las interfaces NAT interior y exterior.

Existen usuarios fuera de las interfaces mltiples?
Hay varias interfaces que van a Internet?
2. Defina qu est tratando de lograr con NAT.
Est intentando permitir que los usuarios internos accedan a Internet?
Est intentando permitir que Internet acceda a los dispositivos internos (como el servidor de correo o el servidor Web)?
Est intentando redireccionar el trfico TCP a otro puerto o a otra direccin TCP?
Est utilizando NAT durante una transicin de red? Por ejemplo, ha cambiado la direccin IP de un servidor y hasta que todos los
clientes estn actualizados, desea que aquellos que todava no lo estn puedan tener acceso al servidor a travs de la direccin IP
original, al mismo tiempo que los clientes que s lo estn puedan acceder al servidor utilizando la direccin nueva.
Est utilizando NAT para permitir que las redes superpuestas se comuniquen?
3. Configure NAT para poder lograr lo que defini arriba. Basndose en lo que defini en el paso 2, deber determinar qu funcin, de las que
indicamos a continuacin, utilizar:
NAT esttico
NAT dinmico
Sobrecarga
Cualquier combinacin de las anteriores
4. Verifique el funcionamiento de NAT.
Todos los ejemplos de NAT que se exponen a continuacin le servirn de gua para los pasos 1 a 3 de Inicio rpido mencionados anteriormente.
Estos ejemplos describen algunas situaciones habituales en las que Cisco recomienda implementar NAT.

Definicin de interfaces interior y exterior de NAT

El primer paso al implementar NAT es definir las interfaces internas y externas de NAT. Puede ser que le resulte ms fcil definir su red interna
como interior y la red externa como exterior. Sin embargo, los trminos interno y externo tambin estn sujetos a decisin. La siguiente figura
muestra un ejemplo de esto.

Ejemplo: Permiso para que lo usuarios internos accedan a Internet

Es posible que desee permitir que los usuarios internos tengan acceso a Internet, aunque puede que no disponga de suficientes direcciones vlidas
para acomodar a todos. Si todas las comunicaciones con dispositivos de Internet van a originarse en los dispositivos internos, necesitar una nica
direccin vlida o un agrupamiento de direcciones vlidas.
La figura siguiente muestra un diagrama de red simple con las interfaces del router definidas como interiores y exteriores:

En este ejemplo, queremos que NAT permita a ciertos dispositivos (los primeros 31 de cada subred) en el interior originar la comunicacin con
dispositivos en el exterior al traducir sus direcciones no vlidas a una direccin o un conjunto de direcciones vlidos. La agrupacin se ha
definido como el rango de las direcciones 172.16.10.1 a 172.16.10.63.
Ahora ya est listo para configurar NAT. Para poder cumplir lo que ha definido anteriormente, utilice NAT dinmico. Con este NAT dinmico, la
tabla de traducciones del router estar vaca al principio y se ir llenando cuando el trfico que debe traducirse pase a travs del router. (En
oposicin a NAT esttico, donde una traduccin se configura estticamente y se pone en la tabla de traducciones sin necesidad de que haya
trfico).
En este ejemplo, podemos configurar NAT para traducir todos los dispositivos internos a una nica direccin vlida o todos los dispositivos
internos a la misma direccin vlida. Este segundo mtodo se denomina sobrecarga. A continuacin se proporciona un ejemplo de cmo
configurar cada mtodo.

Configuracin de NAT para permitir que los usuarios internos accedan a Internet
Router NAT
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!--- Define Ethernet 0 con una direccin IP y como interfaz NAT interior.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz NAT interior.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT exterior.
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!
!--- Define una agrupacin de NAT llamada no-overload con un rango de direcciones
!--- 172.16.10.1 - 172.16.10.63.
ip nat inside source list 7 pool no-overload
!
!
!--- Indica que a todos los paquetes recibidos en la interfaz interna que
!--- tienen permiso de la lista de acceso 7
!--- se les traducir la direccin de origen a una direccin que est fuera de la
!--- agrupacin NAT "no-overload".
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!--- La lista de acceso 7 permite paquetes con direcciones de origen comprendidas entre
!--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.

Nota: Cisco recomienda encarecidamente que no configure con permit any las listas de acceso a las que hacen referencia comandos de NAT. Si
utiliza permit any, NAT puede llegar a consumir demasiados recursos de router, lo que a su vez puede producir problemas en la red.

Observe que en la configuracin anterior, access-list 7 slo permite las primeras 32 direcciones de la subred 10.10.10.0 y las primeras 32
direcciones de la subred 10.10.20.0. Por lo tanto, slo se traducen estas direcciones de origen. Pueden existir otros dispositivos con otras
direcciones en la red interna pero no se traducirn.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.

Configuracin de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga
Router NAT
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
!--- Define Ethernet 0 con una direccin IP y como interfaz NAT interior.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz NAT interior.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT exterior.
ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!
!--- Define una agrupacin de NAT llamada ovrld con un rango de una nica
!--- direccin IP, 172.16.10.1.
ip nat inside source list 7 pool ovrld overload
!
!
!
!
!--!--!--!--!---

Indica que a todos los paquetes recibidos en la interfaz interna que

tienen permiso de la lista de acceso 7 se les traducir la direccin de origen
a una direccin que est fuera de la agrupacin de NAT denominada ovrld.
Las traducciones se sobrecargarn, lo que permitir traducir varios
dispositivos internos a la misma direccin IP vlida.

access-list 7 permit 10.10.10.0 0.0.0.31

access-list 7 permit 10.10.20.0 0.0.0.31
!--- La lista de acceso 7 permite los paquetes que tienen direcciones de origen comprendidas entre
!--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.

En la segunda configuracin anterior, observe que el agrupamiento NAT "ovrld" slo posee un rango de una direccin. La palabra clave
overload utilizada en el comando ip nat inside source list 7 pool ovrld overload permite que NAT traduzca varios dispositivos internos a una
nica direccin del agrupamiento.
Otra variacin de este comando es ip nat inside source list 7 interface serial 0 overload, que configura NAT a sobrecarga en la direccin que
est asignada a la interfaz serial 0.
Cuando se configura una sobrecarga, el router mantiene suficiente informacin de los protocolos de nivel superior (por ejemplo, nmeros de
puerto TCP o UDP) para traducir la direccin global a la direccin local correcta. Para obtener informacin sobre las definiciones de direcciones
globales y locales, consulte NAT: Local and Global Definitions (NAT: definiciones locales y globales)
El ltimo paso consiste en verificar que NAT est funcionando correctamente.

Ejemplo: Habilitacin de Internet para acceder a dispositivos internos

Puede necesitar que dispositivos internos intercambien informacin con dispositivos en Internet, donde se inicia la comunicacin desde los
dispositivos de Internet, por ejemplo, el correo electrnico. Por lo general, los dispositivos de Internet envan correo electrnico a un servidor de
correo que reside en la red interna.

Configuracin de NAT para permitir el acceso a dispositivos internos desde Internet

En este ejemplo, primero definiremos las interfaces interiores y exteriores de NAT, tal como se muestra en el diagrama de red anterior.
En segundo lugar, definiremos que queremos que los usuarios del interior puedan originar comunicaciones con el exterior. Los dispositivos del
exterior deben poder originar comunicaciones slo con el servidor de correo electrnico del interior.
El tercer paso consistir en configurar NAT. Para realizar las operaciones que acabamos de indicar, podemos configurar juntos NAT dinmico y
esttico. Para obtener ms informacin sobre cmo configurar este ejemplo, consulte Configuring Static and Dynamic NAT Simultaneously
(Configuracin simultnea de NAT esttica y dinmica).
El ltimo paso consiste en verificar que NAT est funcionando correctamente.

Ejemplo: Redirigir el trfico de TCP a otro puerto o direccin TCP

Tener un servidor Web en una red interna es otro ejemplo de cundo podra ser necesario que los dispositivos en Internet inicien comunicacin
con los dispositivos internos. En algunos casos, el servidor Web interno puede configurarse para escuchar el trfico Web en un puerto TCP que
no sea el puerto 80. Por ejemplo, el servidor Web interno puede estar configurado para escuchar el puerto TCP 8080. En dicho caso, puede
utilizar NAT para redireccionar al puerto TCP 8080 el trfico que estaba destinado al puerto TCP 80.

Despus de definir las interfaces tal como se indica en el diagrama de red anterior, es posible que decida que NAT redireccione a
172.16.10.8:8080 los paquetes del exterior destinados 172.16.10.8:80. Para ello, puede utilizar un comando nat esttico para traducir el nmero
de puerto TCP. A continuacin mostramos una configuracin de ejemplo.

Configuracin de NAT para redireccionar el trfico TCP a otro puerto o direccin TCP
Router NAT
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside
!--- Define Ethernet 0 con una direccin IP y como interfaz NAT interior.
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT exterior.
ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Comando de NAT esttico que indica que cualquier paquete recibido dentro de la
!--- interfaz con una direccin IP de origen de 172.16.10.8:8080 se
!--- traducir a 172.16.10.8:80.

Observe que la descripcin de la configuracin del comando de NAT esttico indica que todos los paquetes recibidos en la interfaz interna con
una direccin IP de 172.16.10.8:8080 se traducirn a 172.16.10.8:80. Lo mismo ocurre con todos los paquetes recibidos en la interfaz externa con
una direccin de destino de 172.16.10.8:80, cuyo destino se traducir a 172.16.10.8:8080.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.

Ejemplo: Uso de NAT durante una transicin de red

La implementacin de NAT es til para redireccionar dispositivos en la red o para reemplazar un dispositivo por otro. Por ejemplo, si todos los
dispositivos de la red usan un determinado servidor y debe reemplazarse este servidor por uno nuevo que tenga una nueva direccin IP, la
reconfiguracin de todos los dispositivos de red para que usen la direccin del nuevo servidor tomar algo de tiempo. Mientras tanto, puede
utilizar NAT para configurar los dispositivos mediante la direccin anterior para traducir sus paquetes a fin de comunicarse con el servidor
nuevo.

Despus de definir las interfaces tal como se indica ms arriba, es posible que decida que NAT permita que los paquetes del exterior destinados a
la antigua direccin del servidor (172.16.10.8) se traduzcan y se enven a la nueva direccin del servidor. Observe que el nuevo servidor est en
una LAN diferente y que los dispositivos de esta LAN o de cualquier otra LAN a la que se pueda llegar a travs de esta LAN (dispositivos en la
parte interna de la red) deberan ser configurados, si es posible, para utilizar la direccin IP del nuevo servidor.
Se puede utilizar NAT esttico si es necesario. A continuacin mostramos una configuracin de ejemplo.

Configuracin del uso de NAT durante una transicin de la red

Router NAT
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat outside
!--- Define Ethernet 0 con una direccin IP y como interfaz NAT exterior.
interface ethernet 1
ip address 172.16.50.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz NAT interior.
interface serial 0
ip address 200.200.200.5 255.255.255.252
!--- Define serial 0 con una direccin IP. Esta interfaz no
!--- participa en NAT.
ip nat inside source static 172.16.50.8 172.16.10.8
!--- Indica que todos los paquetes recibidos en la interfaz interna con
!--- una direccin IP de 172.16.50.8 se traducirn a 172.16.10.8.

Observe que el comando de NAT de origen interno de este ejemplo tambin implica que a los paquetes recibidos en la interfaz exterior con una
direccin de destino de 172.16.10.8 se les traducir la direccin de destino a 172.16.50.8.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.

Ejemplo: Utilizacin de NAT en redes superpuestas

Cuando se asignan direcciones IP a los dispositivos internos que ya estn siendo utilizados por otros dispositivos en Internet, se produce una
superposicin de redes. La superposicin de redes tambin se produce cuando dos empresas que utilizan ambas direcciones IP RFC 1918 en
sus redes, se fusionan. Estas dos redes necesitan comunicarse, preferentemente sin tener que reasignar direcciones a todos los dispositivos.
Consulte Utilizacin de NAT en redes superpuestas para obtener ms informacin acerca de cmo configurar NAT para este objetivo.

Verificacin de funcionamiento de NAT

Una vez que haya configurado NAT, compruebe que est funcionando como esperaba. Puede hacer esto de diversas maneras: utilizando un
analizador de redes, comandos show o comandos debug . Para consultar un ejemplo detallado de verificacin de NAT, consulte Verificacin del
funcionamiento de NAT y resolucin de problemas bsicos de NAT.

Conclusin
Los ejemplos de este documento muestran que los pasos de inicio rpido pueden ayudarle a configurar y desplegar NAT. Dichos pasos de inicio
rpido incluyen:
1. Definicin de NAT dentro y fuera de las interfaces.
2. Definicin de lo que est tratando de lograr con NAT.
3. Configuracin de NAT para poder lograr lo que defini en el paso 2.
4. Verificacin del funcionamiento de NAT.
En todos los ejemplos anteriores, se han utilizado diversos tipos del comando ip nat inside. Tambin puede utilizar el comando ip nat outside
para conseguir los mismos objetivos, siempre teniendo en cuenta el orden de operaciones de NAT. Para consultar ejemplos de configuraciones
con comandos ip nat outside, consulte Configuracin de muestra usando el comando ip nat outside source list y Ejemplo de configuracin
usando el comando ip nat outside source static.
Los ejemplos anteriores tambin han demostrado lo siguiente:
Comando

Accin

ip nat inside source

Traduce el origen de los paquetes IP que viajan del

interior al exterior.
Traduce el destino de los paquetes IP que viajan del
exterior al interior.

ip nat outside source

Traduce el origen de los paquetes IP que viajan del

exterior al interior.
Traduce el destino de los paquetes IP que viajan del
interior al exterior.

1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generacin del PDF: 19 Mayo 2008
http://www.cisco.com/cisco/web/support/LA/7/74/74548_12.html