Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenidos
Introduccin
Requisitos previos
Requisitos
Componentes utilizados
Convenciones
Pasos de inicio rpido para configurar y desplegar NAT
Definicin de interfaces interior y exterior de NAT
Ejemplo: Permiso para que lo usuarios internos accedan a Internet
Configuracin de NAT para permitir que los usuarios internos accedan a Internet
Configuracin de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga
Ejemplo: Habilitacin de Internet para acceder a dispositivos internos
Configuracin de NAT para permitir el acceso a dispositivos internos desde Internet
Ejemplo: Redirigir el trfico de TCP a otro puerto o direccin TCP
Configuracin de NAT para redireccionar el trfico TCP a otro puerto o direccin TCP
Ejemplo: Uso de NAT durante una transicin de red
Configuracin del uso de NAT durante una transicin de la red
Ejemplo: Utilizacin de NAT en redes superpuestas
Verificacin de funcionamiento de NAT
Conclusin
Introduccin
En este documento se explica cmo configurar Traduccin de direccin de red (NAT) en un router Cisco para utilizarlo en situaciones de red
comunes. Este documento est dirigido a quienes utilizan NAT por primera vez.
Nota: En este documento, cuando se hace referencia a Internet o a un dispositivo de Internet, se est haciendo referencia a un dispositivo de
cualquier red externa.
Requisitos previos
Requisitos
Para comprender este documento, es preciso disponer de un conocimiento bsico de los trminos utilizados en relacin con NAT. Algunas
definiciones se pueden encontrar en NAT: Local and Global Definitions (NAT: definiciones locales y globales)
Componentes utilizados
La informacin que contiene este documento se basa en las versiones de software y hardware indicadas a continuacin.
Routers de la serie 2500 de Cisco
Versin 12.2(10b) del software Cisco IOS
La informacin que se presenta en este documento se origin a partir de dispositivos dentro de un ambiente de laboratorio especfico. Todos los
dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuracin despejada (predeterminada). Si la red est
funcionando, asegrese de haber comprendido el impacto que puede tener cualquier comando antes de ejecutarlo.
Convenciones
Si desea obtener ms informacin sobre las convenciones del documento, consulte las Convenciones sobre consejos tcnicos de Cisco.
En este ejemplo, queremos que NAT permita a ciertos dispositivos (los primeros 31 de cada subred) en el interior originar la comunicacin con
dispositivos en el exterior al traducir sus direcciones no vlidas a una direccin o un conjunto de direcciones vlidos. La agrupacin se ha
definido como el rango de las direcciones 172.16.10.1 a 172.16.10.63.
Ahora ya est listo para configurar NAT. Para poder cumplir lo que ha definido anteriormente, utilice NAT dinmico. Con este NAT dinmico, la
tabla de traducciones del router estar vaca al principio y se ir llenando cuando el trfico que debe traducirse pase a travs del router. (En
oposicin a NAT esttico, donde una traduccin se configura estticamente y se pone en la tabla de traducciones sin necesidad de que haya
trfico).
En este ejemplo, podemos configurar NAT para traducir todos los dispositivos internos a una nica direccin vlida o todos los dispositivos
internos a la misma direccin vlida. Este segundo mtodo se denomina sobrecarga. A continuacin se proporciona un ejemplo de cmo
configurar cada mtodo.
Configuracin de NAT para permitir que los usuarios internos accedan a Internet
Router NAT
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
!--- Define Ethernet 0 con una direccin IP y como interfaz NAT interior.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz NAT interior.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT exterior.
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!
!--- Define una agrupacin de NAT llamada no-overload con un rango de direcciones
!--- 172.16.10.1 - 172.16.10.63.
ip nat inside source list 7 pool no-overload
!
!
!--- Indica que a todos los paquetes recibidos en la interfaz interna que
!--- tienen permiso de la lista de acceso 7
!--- se les traducir la direccin de origen a una direccin que est fuera de la
!--- agrupacin NAT "no-overload".
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!--- La lista de acceso 7 permite paquetes con direcciones de origen comprendidas entre
!--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.
Nota: Cisco recomienda encarecidamente que no configure con permit any las listas de acceso a las que hacen referencia comandos de NAT. Si
utiliza permit any, NAT puede llegar a consumir demasiados recursos de router, lo que a su vez puede producir problemas en la red.
Observe que en la configuracin anterior, access-list 7 slo permite las primeras 32 direcciones de la subred 10.10.10.0 y las primeras 32
direcciones de la subred 10.10.20.0. Por lo tanto, slo se traducen estas direcciones de origen. Pueden existir otros dispositivos con otras
direcciones en la red interna pero no se traducirn.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Configuracin de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga
Router NAT
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
!--- Define Ethernet 0 con una direccin IP y como interfaz NAT interior.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz NAT interior.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT exterior.
ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!
!--- Define una agrupacin de NAT llamada ovrld con un rango de una nica
!--- direccin IP, 172.16.10.1.
ip nat inside source list 7 pool ovrld overload
!
!
!
!
!--!--!--!--!---
En la segunda configuracin anterior, observe que el agrupamiento NAT "ovrld" slo posee un rango de una direccin. La palabra clave
overload utilizada en el comando ip nat inside source list 7 pool ovrld overload permite que NAT traduzca varios dispositivos internos a una
nica direccin del agrupamiento.
Otra variacin de este comando es ip nat inside source list 7 interface serial 0 overload, que configura NAT a sobrecarga en la direccin que
est asignada a la interfaz serial 0.
Cuando se configura una sobrecarga, el router mantiene suficiente informacin de los protocolos de nivel superior (por ejemplo, nmeros de
puerto TCP o UDP) para traducir la direccin global a la direccin local correcta. Para obtener informacin sobre las definiciones de direcciones
globales y locales, consulte NAT: Local and Global Definitions (NAT: definiciones locales y globales)
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Despus de definir las interfaces tal como se indica en el diagrama de red anterior, es posible que decida que NAT redireccione a
172.16.10.8:8080 los paquetes del exterior destinados 172.16.10.8:80. Para ello, puede utilizar un comando nat esttico para traducir el nmero
de puerto TCP. A continuacin mostramos una configuracin de ejemplo.
Configuracin de NAT para redireccionar el trfico TCP a otro puerto o direccin TCP
Router NAT
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside
!--- Define Ethernet 0 con una direccin IP y como interfaz NAT interior.
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT exterior.
ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80
!--- Comando de NAT esttico que indica que cualquier paquete recibido dentro de la
!--- interfaz con una direccin IP de origen de 172.16.10.8:8080 se
!--- traducir a 172.16.10.8:80.
Observe que la descripcin de la configuracin del comando de NAT esttico indica que todos los paquetes recibidos en la interfaz interna con
una direccin IP de 172.16.10.8:8080 se traducirn a 172.16.10.8:80. Lo mismo ocurre con todos los paquetes recibidos en la interfaz externa con
una direccin de destino de 172.16.10.8:80, cuyo destino se traducir a 172.16.10.8:8080.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Despus de definir las interfaces tal como se indica ms arriba, es posible que decida que NAT permita que los paquetes del exterior destinados a
la antigua direccin del servidor (172.16.10.8) se traduzcan y se enven a la nueva direccin del servidor. Observe que el nuevo servidor est en
una LAN diferente y que los dispositivos de esta LAN o de cualquier otra LAN a la que se pueda llegar a travs de esta LAN (dispositivos en la
parte interna de la red) deberan ser configurados, si es posible, para utilizar la direccin IP del nuevo servidor.
Se puede utilizar NAT esttico si es necesario. A continuacin mostramos una configuracin de ejemplo.
Observe que el comando de NAT de origen interno de este ejemplo tambin implica que a los paquetes recibidos en la interfaz exterior con una
direccin de destino de 172.16.10.8 se les traducir la direccin de destino a 172.16.50.8.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Conclusin
Los ejemplos de este documento muestran que los pasos de inicio rpido pueden ayudarle a configurar y desplegar NAT. Dichos pasos de inicio
rpido incluyen:
1. Definicin de NAT dentro y fuera de las interfaces.
2. Definicin de lo que est tratando de lograr con NAT.
3. Configuracin de NAT para poder lograr lo que defini en el paso 2.
4. Verificacin del funcionamiento de NAT.
En todos los ejemplos anteriores, se han utilizado diversos tipos del comando ip nat inside. Tambin puede utilizar el comando ip nat outside
para conseguir los mismos objetivos, siempre teniendo en cuenta el orden de operaciones de NAT. Para consultar ejemplos de configuraciones
con comandos ip nat outside, consulte Configuracin de muestra usando el comando ip nat outside source list y Ejemplo de configuracin
usando el comando ip nat outside source static.
Los ejemplos anteriores tambin han demostrado lo siguiente:
Comando
Accin