Configuracin Administracin y Gestin

de Redes de Computadores
(CAR: Cdigo 11580)

Tema 7:
Internetworking y
Traduccin de direcciones (NAT)

1
 ndice CAR

Internetworking
Dispositivos
Conexin entre LANs
Traduccin de direcciones (NAT)

2
 Internetworking CAR

Unin de redes diferentes a cualquier nivel (fsico, de

enlace, etc.)
OBJETIVO:
Desde los niveles superiores se aprecie como una
nica red homognea.
Las redes pueden diferir en el medio fsico o en la
pila de protocolos utilizados :
Ethernet, Token Ring, LAN, WAN, etc.
TCP/IP, DECNET, SNA, IPv4, IPv6, etc.

3
 Dispositivos CAR

Aplicacin Pasarelas de aplicacin

Presentacin

Sesin

Transporte Pasarelas de transporte

Red Encaminadores, Conmutadores ATM

Enlace Puentes, Conmutadores LAN

Fsica Repetidores, concentradores, amplificadores

4
 Conexin entre dos LANs con
CAR
encaminadores especficos

64 Kb/s

IP IP
IP IP

64 Kb/s

IPX IPX
IPX IPX

5
 Conexin entre dos LANs con
CAR
multiplexores

IP
IP 64 Kb/s 64 Kb/s

IP 128 Kb/s IP
MUX MUX

64 Kb/s 64 Kb/s

IPX IPX IPX

IPX

6
 Conexin entre dos LANs con
CAR
multiplexores multiprotocolo

IP 128 Kb/s IP

IP IP
IPX IPX

IPX IPX

7
 Traduccin de direcciones (NAT) CAR

1. NAT: Traduccin de direcciones de red

2. Tipos de NAT
3. Uso de NAT
4. Recomendaciones
5. NAT bsico esttico
6. NAT bsico dinmico
7. PAT: Traduccin de direcciones de puerto
8. NAPT dinmico
9. PAR: Redireccionamiento de direcciones de puerto
10. NAPT esttico
11. Dificultades a tener en cuenta
12. Problemas NAT
13. Problemas con FTP
14. Conclusiones del uso de NAT

8
 NAT:
CAR
Traduccin de direcciones de red
Se basa en traducir una direccin IP en otra de acuerdo con cierta
tabla de equivalencias.
Se utiliza como mecanismo para extender el rango de direcciones
disponible en una red.
Por ejemplo usar una sola IP pblica para dar acceso a cientos de
ordenadores.
NAT se suele utilizar para conectar a Internet redes IP que utilizan
rangos privados (RFC 1918):
10.*.*.*
172.16-31.*.*
192.168.0-255.*.
Normalmente la traduccin la realiza el dispositivo (encaminador)
que conecta la red al exterior.

9
 Tipos de NAT CAR

Segn los campos que se modifican el NAT puede ser:

NAT Bsico: slo se cambia la direccin IP
NAPT (Network Address Port Translation): se modifica la
direccin IP y el nmero de puerto (TCP o UDP).
Segn la temporalidad de correspondencia entre la
direccin privada y la pblica el NAT puede ser:
Esttico: la tabla de conversin de direcciones (y puertos) se carga al
arrancar el equipo que hace NAT y el trfico no la modifica.
Dinmico: la tabla de conversin se construye y modifica en funcin
del trfico recibido.
Las direcciones pueden reutilizarse.
Requiere mantener en el NAT informacin de estado. Normalmente es
unidireccional.

10
 Uso de NAT CAR

Servidor
Web
Cliente 207.29.194.84
192.168.0.1 206.245.160.1
192.168.0.2
Router Internet
NAT

Cliente Tabla de traduccin Servidor

192.168.0.3 FTP
205.197.101.111

Direccionamiento privado
10.0.0.0/8 Direccionamiento pblico
172.16.0.0/12
192.168.0.0/16

11
 Recomendaciones CAR

La conexin al exterior debera realizarla un solo encaminador.

Dicho encaminador puede tener conexiones a varios Proveedores de
servicios Internet (ISPs)
NAT slo permite paquetes TCP, UDP e ICMP.
!No se intercambia informacin de encaminamiento a travs
de un NAT!
Un NAT puede configurarse como:
NAT Tradicional o Unidireccional
Solo permite conexiones salientes, es decir sesiones iniciadas desde el
interior (la red privada).
NAT Bidireccional
Permite que las sesiones se inicien desde la red privada o desde el exterior
(la red pblica).

12
 NAT bsico esttico CAR

Origen: 192.168.0.2:1108 Origen: 206.245.160.2:1108

Destino: 207.29.194.84:80 Destino: 207.29.194.84:80

Servidor
Web
Cliente
192.168.0.1 206.245.160.1 207.29.194.84
192.168.0.2
Router Internet
NAT

Tabla NAT esttica Servidor

Cliente Dentro Fuera FTP
192.168.0.x 206.245.160.x
192.168.0.3 205.197.101.111

Origen: 192.168.0.3:1108 Origen: 206.245.160.3:1108

Destino: 205.197.101.111:21 Destino: 205.197.101.111:21

13
 NAT bsico dinmico CAR

Origen: 192.168.0.2:1108 Origen: 206.245.160.5:1108

Destino: 207.29.194.84:80 Destino: 207.29.194.84:80

Servidor
Web
Cliente
192.168.0.1 206.245.160.1 207.29.194.84
192.168.0.2
Router Internet
NAT

Rango NAT: 206.245.160.5-10 Servidor

Cliente Tabla NAT dinmica FTP
Dentro Fuera
192.168.0.3 192.168.0.2 206.245.160.5 205.197.101.111
192.168.0.3 206.245.160.6

Origen: 192.168.0.3:1108 Origen: 206.245.160.6:1108

Destino: 205.197.101.111:21 Destino: 205.197.101.111:21

14
 PAT: Traduccin de direcciones de
CAR
puerto

Problema de NAT: N IPs pblicas < N IPs privadas

No pueden salir a Internet todas las mquinas a la vez
La solucin es PAT (Port Address Translation):
Emplea una sola IP pblica
Utiliza el n de puerto para distinguir a la mquina de la intranet
Mapea IP:puerto puerto
Trabaja slo con TCP y UDP
Si dos mquinas usan el mismo puerto, uno se reasigna
Es la forma de funcionamiento ms usada de NAT
Conocida tambin como: NAT many to one, NAT de
sobrecarga, NAT de nica direccin y NAPT (Network
Address and Port Translation) o, simplemente, NAT

15
 NAPT dinmico CAR

Origen: 192.168.0.2:1108 Origen: 206.245.160.1:61001

Destino: 207.29.194.84:80 Destino: 207.29.194.84:80

Servidor
Web
Cliente
192.168.0.1 206.245.160.1
192.168.0.2 207.29.194.84
Router Internet
NAT

Tabla NAPT dinmica Servidor

Cliente Dentro Fuera FTP
192.168.0.2:1108 61001
192.168.0.3 205.197.101.111
192.168.0.3:1108 61002

Origen: 192.168.0.3:1108 Origen: 206.245.160.1:61002

Destino: 205.197.101.111:21 Destino: 205.197.101.111:21

16
 PAR: Redireccin de direcciones de
CAR
puerto

Si nodos externos quieren acceder a un servidor de la

intranet, PAT no funciona
PAT no usa los puertos bien conocidos. Adems, asignacin
dinmica
Si tenemos un servidor Web (destino = 206.245.160.1:80), el
router tratar de procesar la peticin web
Solucin: asignar un puerto fijo (esttico)
Permite tener varios servidores del mismo servicio (p. ej.
Web)
PAR (Port Address Redirection) = PAT/NAPT esttico

17
 NAPT esttico CAR

Origen: 211.23.5.6:1084 Origen: 211.23.5.6:1084

Destino: 192.168.0.4:21 Destino: 206.245.160.1:21

Cliente
Servidor
FTP 192.168.0.1 206.245.160.1 211.23.5.6

192.168.0.4 Router Internet

NAT

Tabla NAPT esttica

Servidor
Dentro Fuera
Web Cliente
192.168.0.4:21 21
192.168.0.5:80 80 209.15.7.2
192.168.0.5 192.168.0.6:80 5000

Origen: 209.15.7.2:1067 Origen: 209.15.7.2:1067

Destino: 192.168.0.5:80 Destino: 206.245.160.1:80

18
 Dificultades a tener en cuenta CAR

Cuando se modifica la direccin IP es necesario:

Modificar la cabecera IP (direccin origen o destino ).
Adems se requiere calcular el nuevo checksum
Recalcular el checksum de la cabecera TCP o UDP
(ya que la direccin IP, de la pseudocabecera, se utiliza para
calcularlo).
En caso de utilizar NAPT hay que modificar el nmero de puerto
TCP/UDP origen o destino.
Los mensajes ICMP contienen en la parte de datos la cabecera del
mensaje al que hacen referencia.
Con NAT el encaminador ha de buscar esas cabeceras y modificarlas.
Los mensajes SNMP incluyen direcciones IP entre los datos del
paquete que hay que cambiar.

19
 Problemas de NAT CAR

Algunos protocolos de aplicacin (ej. H.323, NetBIOS) incluyen las

direcciones IP en diversos sitios de los datos del paquete.
Esto requiere pasarelas del nivel de aplicacin para funcionar a travs de
NAT.
Generalmente las implementaciones de NAT van incorporando soporte
para los nuevos protocolos estndar que aparecen y que utilizan direcciones
IP en la parte de datos.
Cuando se usa NAT es especialmente importante utilizar las versiones de
software ms recientes.
El uso de NAPT plantea problemas adicionales
Por ejemplo, generalmente no se pueden enviar mensajes ICMP (comandos
ping o traceroute)
Con NAT no puede utilizarse la funcin AH de IPSec, salvo que se utilice
IPSec en modo tnel y el NAT se haga antes, o en el mismo dispositivo
donde se hace el tnel IPSec.

20
 Problemas con FTP CAR

En el inicio de la sesin FTP intercambia una serie de comandos de

control en los que aparecen las direcciones IP de los hosts.
Estas direcciones han de localizarse en la parte de datos y
modificarse.
Pero esas direcciones no estn en el formato habitual binario de 32
bits, sino que estn en texto ASCII.
Si la direccin a poner tiene menos caracteres que la que haba, se
rellena con ceros para mantener un nmero constante.
Pero si la direccin resultante tiene ms caracteres es preciso
intercalar bytes.
El router NAT ha de modificar todos los valores de nmero de secuencia y
ACK en las cabeceras TCP para toda la vida de esa conexin.
Esto representa informacin de estado adicional que el router NAT
ha de mantener para cada conexin TCP que pasa por l.

21
 Conclusiones del uso del NAT CAR

El mejor NAT es el que no existe.

NAT impone restricciones al realizar cambios en la cabecera IP sin
conocimiento del host.
Resolver los problemas de NAT adaptando el protocolo en el
host o utilizando pasarelas a nivel de aplicacin en el
encaminador NAT es una solucin compleja y no transparente
que slo debe aplicarse cuando sea inevitable.
La seguridad de NAT es slo aparente.
La verdadera seguridad, que se basa en utilizar IPSec y un
firewall adecuado, se ve limitada cuando se utiliza NAT.
La solucin definitiva al problema de escasez de direcciones
no es NAT sino la migracin de IPv4 a IPv6.

22