NAT Y PAT

Traduccin bsica de direcciones de red

(NAT, Network Address Traslation)
Los routers se necesitan para enrutar subredes en una red interna, independientemente de si el rango de
direcciones IP es pblico o privado. Sin embargo, si el rango de direcciones es privado, las redes privadas no
pueden enrutarse a travs de la Internet pblica. Por lo tanto, cmo se comunican a travs de Internet los
dispositivos host que utilizan un esquema de direccionamiento privado? Debe habilitarse la traduccin de
direcciones de red (NAT, Network Address Translation) en el dispositivo que conecta la red privada con la red ISP.
NAT permite que un gran grupo de usuarios privados accedan a Internet compartiendo una o ms direcciones IP
pblicas. La traduccin de direcciones es similar al modo en que trabaja un sistema telefnico en una compaa. A
medida que la compaa suma empleados, en algn momento deja de colocar una lnea telefnica pblica
directamente al escritorio de cada empleado. En su lugar, utiliza un sistema que le permite asignarle un nmero de
extensin a cada empleado. La compaa puede hacer esto ya que no todos los empleados utilizan el telfono al
mismo tiempo. El uso de extensiones privadas permite a la compaa comprar una cantidad menor de lneas
telefnicas externas a la compaa telefnica.
NAT funciona de manera similar al sistema telefnico de una compaa. Una de las razones principales por las que
NAT fue desarrollada es para ahorrar direcciones IP registradas. NAT tambin puede brindar seguridad a las PC,
los servidores y los dispositivos de red al evitar que sus direcciones host de IP actuales tengan acceso directo a
Internet.
La principal ventaja de NAT es la reutilizacin de la direccin IP y la posibilidad de compartir de direcciones IP
universalmente nicas entre varios hosts de una sola LAN. NAT tambin sirve a usuarios de manera transparente.
En otras palabras, ellos no necesitan saber sobre NAT para conectarse a Internet desde una red privada. Por
ltimo, NAT ayuda a proteger a los usuarios de una red privada del acceso exterior.( -> In addition, NAT hides
private IP addresses from public networks).
NAT tiene algunas desventajas, entre ellas:
! El impacto de NAT en determinadas aplicaciones que tienen direcciones IP en el contenido del mensaje
(message payload). Estas direcciones IP tambin deben ser traducidas, lo que aumenta la carga en la CPU del
router. Esta carga de trabajo adicional en routers dificulta el rendimiento de la red ( -> Another disadvantage is
that NAT has an impact on some applications that have IP addresses in their message payload, because these
IP addresses must also be translated. This translation increases load on the router and hinders network
performance.).
! NAT oculta direcciones IP privadas de las redes privadas. Funciona como un control de acceso que puede ser
conveniente pero que tambin puede ser contraproducente si se desea acceso remoto legtimo desde Internet a
un dispositivo en la red privada. The disadvantage is that additional configurations are required to allow access
from legitimate, external users (-> The advantage to this is that NAT operates much like an access control list,
not allowing outside users to access internal devices.).
Trminos de NAT de IP
Al configurar NAT en un router, hay algunos trminos que ayudan a interpretar la forma en que el router realiza la
NAT:
! La red local interna (Inside local network) hace referencia a cualquier red conectada a una interfaz de
router que forma parte de la LAN privada. Los hosts en las redes internas tienen sus propias direcciones IP
traducidas antes de ser transmitidas a los destinos externos.
! La red global externa (Outside global network) es toda red conectada al router que es externa a la LAN y
que no reconoce las direcciones privadas asignadas a hosts en la LAN.
! Una direccin local interna (Inside local address) es la direccin IP privada configurada en un host en una
red interna. Es una direccin que debe ser traducida antes de que pueda viajar fuera de la estructura de
direccionamiento de la red local.
! Una direccin global interna (Inside global address) es la direccin IP de un host interno tal como le
aparece a la red externa. Esta es la direccin IP traducida.
! La direccin local externa (Outside local address) es la direccin de destino del paquete mientras se
encuentra en la red local. Generalmente, esta direccin es la misma que la direccin global externa
! Una direccin global externa (Outside global address) es la direccin IP pblica real de un host externo. La
direccin se asigna desde una direccin enrutable globalmente o desde un espacio de red.
NAT esttico y dinmico
Una de las ventajas de utilizar NAT es que no se puede acceder directamente desde la Internet pblica a los hosts
individuales. Pero qu sucede si uno o ms hosts dentro de una red estn ejecutando servicios a los que
es necesario acceder desde dispositivos conectados a Internet o dispositivos en la LAN local privada?
Una manera de brindar acceso a un host local desde Internet es asignarle a ese dispositivo una traduccin de
direccin esttica. Las traducciones estticas aseguran que una direccin IP privada de host individual
siempre sea traducida a la misma direccin IP global registrada. Tambin asegura que ningn otro host local
ser traducido a la misma direccin registrada.
La NAT dinmica tiene lugar cuando se configura un router para asignar una direccin IP desde un pool
disponible de direcciones globales externas a un dispositivo de red privada interna. Ni bien se abre la
sesin, el router observa la direccin global interna y enva acuses de recibo al dispositivo interno que inicia la
conexin. Al finalizar la sesin, el router slo devuelve la direccin global interna al grupo.
la NAT dinmico permite que los hosts a los que se les asignaron direcciones IP privadas en una red o Intranet
accedan a una red pblica, como Internet. El NAT esttico permite que los hosts en una red pblica accedan a
determinados hosts en una red privada. Esto significa que, al configurar NAT para el acceso del usuario al exterior,
configure la NAT dinmico. Si un dispositivo en una red interna necesita estar accesible desde el exterior, utilice la
NAT esttico.
Los dos mtodos, la NAT esttico y dinmico, pueden instalarse al mismo tiempo si as se requiere.
Traducciones de direcciones de red
segn el puerto (PAT)
Cuando una organizacin tiene un pequeo grupo de direcciones IP registrado o quizs apenas una sola
direccin IP, lo mismo puede permitir que varios usuarios accedan simultneamente a la red pblica con un
mecanismo denominado sobrecarga de NAT (NAT overload) o traduccin de direcciones de puerto (PAT -
Port Address Translation). PAT traduce mltiples direcciones locales en una sola direccin IP global.
Cuando un host de origen enva un mensaje a un host de destino, utiliza una combinacin de direccin IP y
nmero de puerto para mantener un registro de cada conversacin individual con el host de destino. En PAT, el
gateway traduce la combinacin de direccin de origen local y puerto en el paquete a una nica direccin
IP global y un nmero nico de puerto por encima de 1024. A pesar de que cada host es traducido en la
misma direccin IP global, el nmero de puerto asociado a la conversacin es nico.
El trfico de respuesta es direccionado a la direccin IP traducida y al nmero de puerto utilizado por el host. Una
tabla en el router contiene una lista de las combinaciones de direccin IP interna y nmero de puerto que
son traducidas a la direccin externa. El trfico de respuesta es dirigido a la direccin interna y al nmero de
puerto correspondientes. Dado que existen ms de 64 000 puertos disponibles, es muy poco probable que a un
router se le acaben las direcciones, lo que s puede suceder con la NAT dinmica.
Como la traduccin es especfica para la direccin local y el puerto local, cada conexin, que genera un nuevo
puerto de origen, requiere una traduccin individual. Por ejemplo, 10.1.1.1:1025 requiere una traduccin individual
desde 10.1.1.1:1026.
La traduccin slo est en el lugar durante la conexin, de modo que un determinado usuario no mantiene
la misma combinacin de direccin IP global y nmero de puerto luego de que finaliza la conversacin.
Los usuarios en la red externa no pueden iniciar una conexin de manera confiable a un host en una red
que utiliza PAT. No slo es imposible predecir el nmero de puerto local o global del host, sino que adems
un gateway no crea una traduccin a menos que un host en la red interna inicie la comunicacin.
Problemas con NAT de IP
La mayor parte del tiempo, NAT opera de manera invisible. Las personas acceden a Internet desde redes privadas
sin siquiera darse cuenta del trabajo que el router realiza para que esto suceda ( ->People access the Internet from
private networks without ever realizing that the router is using NAT). El gran problema con NAT es la carga de
trabajo adicional necesaria para admitir traducciones de direcciones IP y puertos.
Algunas aplicaciones aumentan la carga de trabajo del router ya que incorporan una direccin IP como
parte de los datos encapsulados. El router debe reemplazar las combinaciones de direcciones IP de origen
y puertos incluidas dentro de los datos adems de las direcciones de origen en el encabezado IP.
Teniendo en cuenta que toda esta actividad sucede en un router gracias a NAT, su implementacin en una
red requiere un buen diseo de red, una cuidadosa seleccin de equipos, una configuracin precisa y un
mantenimiento programado de manera regular.
Como un protocolo que admite IPv4, NAT ayud a demorar el agotamiento completo del espacio de direcciones
IPv4 . NAT ha pasado a ser tan comn en dispositivos de red integrados, tan utilizada en hogares y en pequeas
empresas, que para algunas personas configurarla es cuestin de seleccionar una casilla de verificacin. Dado
que las empresas crecen y necesitan soluciones de gateway y de enrutamiento ms sofisticadas, las
configuraciones de dispositivos para NAT y otras caractersticas y funciones se vuelven ms complejas.
CIDR y el direccionamiento IP privado (-> Subnetting networks, private IP addressing, and the use of NAT) fueron
desarrollados para brindar una solucin temporal al problema del agotamiento de las direcciones IP. Estos
mtodos, a pesar de ser tiles, no creaban ms direcciones IP. IPv6 lo hace. IPv6 fue el primero propuesto en
1998 con RFC 2460 (As a response to address depletion, IPv6 was proposed in 1998 with RFC 2460.).
Aunque su finalidad principal era solucionar el agotamiento de direcciones IP de IPv4, hubo otras buenas razones
para su desarrollo. Desde que se estandariz IPv4, Internet ha crecido de manera significativa. Este crecimiento
ha revelado ventajas y desventajas de IPv4 y la posibilidad de actualizaciones para incluir nuevas capacidades.
Una lista general de las mejoras que IPv6 propone incluye:
! ms espacio de direccin
! Mejor administracin del espacio de direccin;
! administracin de TCP/IP simplificada;
! capacidades de enrutamiento modernizadas; y
! soporte mejorado para multicast, seguridad y movilidad.
El desarrollo de IPv6 intenta abordar tantos de estos requisitos y problemas como sea posible.
Con IPv6, las direcciones IP tienen un tamao de 128 bits con un potencial espacio de direccin de 2^128.
En notacin decimal esto es aproximadamente un 3 seguido de 38 ceros. Si el espacio de direccin IPv4 se
representaba con el volumen de una cucharada de t, el espacio de direccin IPv6 sera representado con un
volumen prcticamente equivalente al planeta Saturno.
Es difcil trabajar con nmeros de 128 bits, por ello la notacin de la direccin IPv6 representa los128 bits
como 32 dgitos hexadecimales que a su vez estn subdivididos en ocho grupos de cuatro dgitos
hexadecimales usando dos puntos y delimitadores. La direccin IPv6 tiene una jerarqua de tres partes. El
prefijo global est compuesto por los primeros tres bloques de la direccin y se lo asigna a una
organizacin mediante un registro de nombres de Internet. La subred y el Identificador de interfaz (ID,
Interface Identifier) son controlados por el administrador de red.
Los administradores de red dispondrn de determinado tiempo para adaptar esta nueva estructura IPv6. Antes de
que se adopte de manera generalizada el IPv6, los administradores de red an necesitan un modo para usar con
mayor eficiencia los espacios de direccin privada.