NAT

DHCP y traduccin de direcciones para

Redes
IP v4 2
 NAT

Podr explicar las caractersticas y funcionamiento

de NAT y la sobrecarga de NAT, explicar sus
ventajas y desventajas, configurar NAT y PAT, as
como verificar y resolver problemas de
configuraciones NAT
Escalamiento de redes con NAT
Direccionamiento IP pblico y privado
Todas las direcciones de Internet pblicas deben registrarse en un registro de
Internet regional (RIR, Regional Internet Registry).

Las organizaciones pueden arrendar direcciones pblicas a travs de un ISP.

Slo el titular registrado de una direccin de Internet pblica puede asignar
esa direccin a un dispositivo de red.
NAT: Network Address Translation (Traduccin de direcciones de red)
NAT traduce direcciones internas, privadas y no enrutables a direcciones
pblicas enrutables.
NAT agrega un nivel de privacidad y seguridad a una red porque oculta
las direcciones IP internas de las redes externas.
NAT: Network Address Translation (Traduccin de direcciones de red)
Un dispositivo que ejecuta NAT generalmente opera en la frontera de una red de
conexin nica. En nuestro ejemplo, R2 es el router de borde. Una red de
conexin nica es una red que posee una sola conexin a su red vecina.
Como se ve, ISP y R2 forman una red de conexin nica.

R2 es el gateway de borde. R2 realiza el proceso de NAT y traduce as la

direccin privada interna del host a una direccin pblica, externa y enrutable.
Terminologa de NAT
La red interna es el conjunto de redes que est sujeto a traduccin.
La red externa se refiere a todas las otras direcciones.
Las direcciones IP tienen diferentes designaciones segn se encuentren en
la red privada o en la red pblica (Internet) y el trfico sea entrante o saliente.

Direccin local interna: es una direccin privada.

Direccin global interna: direccin pblica vlida que se asigna al host interno
cuando sale del router NAT.
Direccin global externa: direccin IP a la que se puede acceder y que fue
asignada a un host en Internet.
Direccin local externa: direccin IP local asignada a un host en la red externa,
igual a la direccin global externa
NAT: Network Address Translation (Traduccin de direcciones de red)

Hay dos tipos de traduccin NAT: dinmica y esttica.

La traduccin NAT dinmica usa un conjunto de direcciones pblicas y las

asigna en orden de llegada. Cuando un host IP privada solicita acceso a
Internet, el servicio NAT elije una IP del conjunto de direcciones disponibles.

La traduccin NAT esttica utiliza un sistema de asignacin de uno a uno

entre las direcciones locales y las globales, y estas asignaciones son
constantes.
Esta traduccin es til para los servidores Web o hosts que necesitan tener
acceso desde Internet.
 Sobrecarga de NAT
La sobrecarga de NAT o PAT (Port Address Translation - Traduccin de la
direccin del puerto) asigna varias direcciones IP privadas a una nica
direccin IP pblica o a un grupo pequeo de direcciones IP pblicas.
Es lo que hacen la mayora de los routers de los ISP, permitiendo a varias PCs
usar una nica IP pblica

La sobrecarga de NAT utiliza nmeros nicos de puerto origen en la direccin IP

global interna para distinguir entre las traducciones. A medida que NAT procesa
cada paquete, utiliza un nmero de puerto (en este ejemplo, 1331 y 1555) para
identificar al cliente desde donde se origin el paquete.
 Sobrecarga de NAT
La sobrecarga de NAT intenta conservar el puerto de origen original. Sin
embargo, si este puerto origen est en uso, la sobrecarga de NAT asigna el
primer nmero de puerto disponible, desde el principio del grupo de puertos
correspondiente 0-511, 512-1023, 1024-65535.

En la figura, los dos hosts han elegido el mismo nmero de puerto, 1444, en el
gateway de borde, los nmeros de los puertos deben cambiarse; de lo contrario,
dos paquetes de los dos hosts saldran de R2 con la misma direccin de origen.
La sobrecarga de NAT ha asignado a la segunda direccin el primer nmero de
puerto disponible, que en este caso es 1445.
 Diferencias entre NAT y la sobrecarga de NAT

NAT generalmente slo traduce direcciones IP en una correspondencia de

1:1 entre direcciones IP expuestas pblicamente y direcciones IP privadas.

NAT enruta los paquetes entrantes hasta el destino interno mediante la

consulta a la direccin IP de origen entrante dada por el host de la red pblica.

La sobrecarga de NAT modifica el nmero de puerto del emisor. La

sobrecarga de NAT elije los nmeros de puerto que ven los hosts de la red
pblica.

Con la sobrecarga de NAT, en general slo hay una o algunas direcciones

IP expuestas pblicamente. Los paquetes entrantes de la red pblica se
enrutan a sus destinos de la red privada mediante la consulta a una tabla del
dispositivo de la sobrecarga de NAT que lleva un control de los pares de
puertos pblicos y privados. Esto se denomina seguimiento de la conexin.
Ventajas y desventajas del uso de NAT

Ventajas de NAT

NAT conserva el esquema de direccionamiento legalmente registrado,

NAT aumenta la flexibilidad de las conexiones con la red pblica.
NAT proporciona uniformidad en los esquemas de direccionamiento
internos de red.
NAT proporciona seguridad de red.

Desventajas de NAT

Disminuye el rendimiento.
Disminuye la funcionalidad de extremo a extremo
Se pierde la capacidad de rastreo IP de extremo a extremo.
El tunneling es ms complicado.
Puede interrumpirse el inicio de conexin TCP.
Las arquitecturas deben reconstruirse para adaptarse a los cambios.
 Configuracin de NAT esttica
La figura es una configuracin NAT esttica simple aplicada a ambas interfaces.
El router siempre traduce los paquetes provenientes del host interno de la red
con la direccin privada de 192.168.10.254 a una direccin externa de
209.165.200.254.

ip nat inside source static 192.168.10.254 209.165.200.254

interface serial 0/0/0
ip nat inside
interface serial 0/1/0
ip nat outside
 Configuracin de NAT dinmica
Para configurar NAT dinmica, necesita una ACL que permita slo las
direcciones que se traducirn.

inside outside

ip nat pool Lista-Uno 209.165.200.226 209.165.200.227 netmask 255.255.255.252

access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 pool Lista-Uno

interface serial 0/0/0

ip nat inside
interface serial 0/1/0
ip nat outside
La configuracin permite la traduccin para todos los hosts de las redes
192.168.10.0 y 192.168.11.0 cuando generan trfico que entra por S0/0/0 y sale
por S0/1/0. Estos hosts se traducen a una direccin disponible del rango
209.165.200.226 a 209.165.200.229
Configuracin de la sobrecarga de NAT para una nica direccin IP pblica

access-list 1 permit 192.168.0.0 0.0.255.255

ip nat inside source list 1 interface serial 0/1/0 overload
interface serial 0/0/0
ip nat inside
interface serial 0/1/0
ip nat outside

Este ejemplo muestra cmo se configura la sobrecarga de NAT. Todos los

hosts de la red 192.168.0.0 /16 (que coinciden con ACL 1) que envan trfico a
Internet a travs del router R2 se traducen a la direccin IP 209.165.200.225
(interfaz S0/1/0 direccin IP). Los flujos de trfico se identifican por los nmeros
de los puertos porque se utiliz la palabra clave overload.
Configuracin de la sobrecarga de NAT para un conjunto de
direcciones IP pblicas

access-list 1 permit 192.168.0.0 0.0.255.255

ip nat pool NAT-lista2 209.165.200.226 209.165.200.229
ip nat inside source list 1 pool NAT-lista2 overload
interface serial 0/0/0
ip nat inside
interface serial 0/1/0
ip nat outside

En este ejemplo, la configuracin establece la traduccin con sobrecarga para

el conjunto de NAT NAT-POOL2. El conjunto de NAT contiene las direcciones
209.165.200.226 a 209.165.200.229 y se traduce con PAT. Los hosts de la red
192.168.0.0 /16 se someten al proceso de traduccin.
 Configuracin de reenvo de puertos
El reenvo de puertos (a veces conocido como tunneling) es el acto de reenviar
un puerto de la red de un nodo de la red a otro. Esta tcnica puede permitir a un
usuario externo alcanzar un puerto de una direccin IP privada (perteneciente a
una LAN) desde el exterior a travs de un router habilitado para NAT.

NAT no permite las solicitudes iniciadas desde el exterior. Esta situacin se

puede resolver con intervencin manual. El reenvo de puertos le permite
identificar puertos especficos que se pueden reenviar a hosts internos.
 Verificacin de NAT y de la sobrecarga de NAT
Los comandos ms usados para verificar el funcionamiento de NAT son:
show ip nat translations show ip nat translations verbose
 Verificacin de NAT y de la sobrecarga de NAT
El comando show ip nat statistics muestra informacin acerca de la cantidad
total de traducciones activas, los parmetros de configuracin de NAT, la
cantidad de direcciones que hay en el conjunto y la cantidad de direcciones que
se asignaron.

En la figura, los hosts iniciaron trfico Web y trfico ICMP.

De forma predeterminada, las entradas de traduccin expiran despus de 24 horas a
menos que se haya modificado la configuracin de los temporizadores con el
comando: ip nat translation timeout_ seconds
Verificacin de NAT y de la sobrecarga de NAT
Para eliminar las entradas dinmicas antes de que hayan expirado, use el
comando: clear ip nat translation

Slo se eliminan las traducciones dinmicas de la tabla. Las traducciones

estticas no se pueden eliminar de la tabla de traducciones.
Solucin de problemas de configuracin de NAT y de sobrecarga de NAT

El primer paso para resolver el problema es descartar que la causa sea la NAT.
Siga estos pasos para verificar que la NAT est funcionando segn lo
esperado:
Paso 1. Revise la configuracin de la NAT.
Paso 2. Verifique que haya traducciones correctas en la tabla de traducciones
con el comando show ip nat translations.
Paso 3. Use los comandos clear y debug para verificar que la NAT est
operando correctamente.
Paso 4. Revise detalladamente lo que le est pasando al paquete y verifique
que los routers tengan la informacin de enrutamiento correcta para enviar el
paquete. Utilice el comando debug ip nat y debug ip nat detailed