Traducción de direcciones (NAT)

Traducción de direcciones (NAT)

Sitio: Campus Virtual - ISSD
Curso: Mikrotik - Marzo 2020 - Módulo 2
Libro: Traducción de direcciones (NAT)
Imprimido por: Juan Carlos Schincariol
Día: miércoles, 29 de abril de 2020, 08:47

/
Tabla de contenidos

1 Introducción
2 ¿Qué es NAT?
3 Port Address Translation (PAT)
4 Diferencias entre NAT y PAT

/
1 Introducción

Todos los nodos o equipos que forman parte de Internet disponen de una dirección que se utiliza para
identificarlo cuando transmite o recibe información. Estas direcciones se conocen como direcciones IP.
Los nodos que forman parte de una red de área local también disponen de su correspondiente dirección IP,
pero mientras que Internet tiene un organismo internacional que regula la asignación de sus direcciones,
lANA Internet Assigned Numbers Authority ('Autoridad de números asignados de Internet'), las
direcciones de cada red local las asigna arbitrariamente su administrador, siguiendo reglas definidas en el
diseño de la red.
Pues bien, a las direcciones IP de los equipos de una red local se las conoce como direcciones IP
privadas, mientras que a las direcciones IP de Internet se las conoce como direcciones IP públicas.

Ambos tipos de direcciones están formadas por una cadena de cuatro cifras separadas por un punto,
pudiendo cada una de esas cifras tomar un valor entre 0 y 255.
Las direcciones IP privadas están reguladas por el documento RFC 1918 https://www.rfc-
es.org/rfc/rfc1918-es.txt . En este documento se define que, para que una dirección IP privada sea
compatible con Internet, debe estar dentro de los siguientes rangos:

Las direcciones IP privadas no son reconocidas por Internet. Esto quiere decir que ningún datagrama IP
que tenga una dirección IP privada como identificación de origen o destino puede progresar por Internet.
Esta particularidad impide que las direcciones IP privadas sean visibles directamente desde Internet. Por
tanto, el administrador de una red de área local es libre de utilizar cualquiera de estas direcciones dentro
de su red.
Todos los equipos que forman parte de una red local disponen de su correspondiente dirección IP
(privada), incluido el router, quien dispondrá como mínimo de dos direcciones IP, una por cada red con la
que está conectado. Esta segunda dirección será privada si se trata de otra red local o pública si se trata de
Internet. Las direcciones IP que utiliza cada equipo se configuran dentro de las propiedades TCP/IP de su
tarjeta de red, tarjeta Ethernet en el caso de redes cableadas y tarjeta inalámbrica o adaptador de red en el
caso de redes Wi-Fi.
A diferencia de las direcciones IP públicas, las direcciones IP privadas son un bloque reservado de
números y cualquiera las puede utilizar. Eso quiere decir que dos redes, o dos millones de redes, pueden
utilizar las mismas direcciones privadas. Para evitar conflictos de direccionamiento, los routers nunca
deben enrutar direcciones IP privadas hacia Internet. Para proteger la estructura de direcciones de Internet
públicas, los ISP (Intenet Service Providers o Proveedores de Servicios de Internet) normalmente
configuran los routers de borde para impedir que el tráfico con direcciones privadas se reenvíe a través de
Internet. /
Nota: Un router de borde es aquel que tiene una interface conectada hacia una red externa que
conecta con otro router administrado por otra organización o empresa.
Al proporcionar más espacio de direcciones de lo que la mayoría de las organizaciones pueden obtener a
través de un RIR, el direccionamiento privado brinda a las empresas una flexibilidad considerable en
materia de diseño de red. Esto permite implementar esquemas de direccionamiento convenientes desde un
punto de vista funcional y administrativo, además de facilitar el crecimiento.
Sin embargo, como no es posible enrutar direcciones privadas a través de Internet, y como no hay
suficientes direcciones públicas como para permitir a las organizaciones que proporcionen una a cada uno
de sus hosts, las redes necesitan un mecanismo para traducir las direcciones privadas en direcciones
públicas en el extremo de la red y que funcione en ambas direcciones. Sin un sistema de traducción, los
hosts privados que se encuentran detrás de un router en la red de una organización no pueden conectarse
con otros hosts privados que se encuentran en otras organizaciones a través de Internet.
La traducción de direcciones de red (NAT, Network Address Translation) proporciona este mecanismo.
Antes del desarrollo de NAT, un host con dirección privada no podía acceder a Internet. Con NAT, las
empresas individuales pueden direccionar algunos o todos sus hosts con direcciones privadas y utilizar
NAT para proporcionar acceso a Internet.

/
2 ¿Qué es NAT?

Mientras que el servidor DHCP asigna direcciones IP dinámicas a los dispositivos que se encuentran
dentro de la red, los routers habilitados para NAT retienen una o varias direcciones IP de Internet válidas
fuera de la red. Cuando el cliente envía datagrama IPs fuera de la red, NAT traduce la dirección IP interna
del cliente a una dirección externa. Para los usuarios externos, todo el tráfico que entra a la red y sale de
ella tiene la misma dirección IP o proviene del mismo conjunto de direcciones.
NAT tiene muchos usos, pero la utilidad clave es el ahorro de direcciones IP al permitir que las redes
utilicen direcciones IP privadas. NAT traduce direcciones internas, privadas y no enrutables a direcciones
públicas enrutables. NAT tiene el beneficio adicional de agregar un nivel de privacidad y seguridad a una
red porque oculta las direcciones IP internas de las redes externas.
Un dispositivo que ejecuta NAT generalmente opera en la frontera de una red de conexión única. En la
figura abajo, podemos observar que R1 es el router de borde de la red de área local.

Cuando un host perteneciente a la red de área local, como la PC1, PC2 o PC3, desea transmitir
información a un host externo, el datagrama IP se envía a su default router, en este caso R1, quien es en
este caso el router de borde de la red de área local. R1 realiza el proceso de NAT y traduce así la dirección
IP privada interna del host a una dirección IP pública, externa y enrutable.
En la terminología de NAT, la red interna es el conjunto de redes que está sujeto a traducción, en nuestro
ejemplo es la red 192.168.10.0/24. La red externa se refiere a todas las otras direcciones IP públicas.

/
3 Port Address Translation (PAT)

La Traducción de la dirección del puerto PAT (Port Address Translation), también conocida como
sobrecarga de NAT, asigna varias direcciones IP privadas a una única dirección IP pública o a un grupo
pequeño de direcciones IP públicas. Es lo que hacen la mayoría de los routers. El ISP asigna una
dirección al router doméstico, y varios host de la red interna pueden navegar por Internet de manera
simultánea.
Con PAT, es posible asignar varias direcciones a una o sólo algunas direcciones porque cada dirección
privada también se identifica por un número de puerto de la capa de transporte (o capa 4). Cuando un
cliente abre una sesión TCP/IP, el router NAT asigna un número de puerto a la dirección de origen
correspondiente. PAT asegura que los clientes utilicen un número de puerto TCP diferente para cada
sesión de cliente con un servidor en Internet. Cuando se recibe una respuesta del servidor, el número de
puerto de origen, que pasa a ser el número de puerto de destino en la respuesta, determina a qué cliente se
enrutan los datagrama IPs. Además valida que los datagrama IPs entrantes fueron solicitados desde la red
interna, lo que agrega seguridad a la sesión.
PAT intenta conservar el puerto de origen original. Sin embargo, si este puerto origen está en uso, PAT
asigna el primer número de puerto disponible, desde el principio del grupo de puertos correspondiente 0-
511, 512-1023, ó 1024-65535. Cuando no hay más puertos disponibles y hay más de una dirección IP
externa configurada, PAT utiliza la próxima dirección IP para tratar de asignar nuevamente el puerto de
origen original. Este proceso continúa hasta que no haya puertos ni direcciones IP externas disponibles.

La tabla de traducción de direcciones en el R1 sería similar a la siguiente,

/
4 Diferencias entre NAT y PAT

Un resumen de las diferencias entre NAT y PAT lo ayudará a comprender mejor este tema.
NAT generalmente sólo traduce direcciones IP en una correspondencia de 1:1 entre direcciones IP
públicas y direcciones IP privadas.
PAT modifica la dirección IP privada y el número de puerto del emisor, elije los números de puerto
que ven los hosts de la red pública.
NAT enruta los datagrama IPs entrantes hasta el destino interno mediante la consulta a la dirección IP
de origen entrante dada por el host de la red pública.
Con PAT, en general sólo hay una o algunas direcciones IP expuestas públicamente. Los datagrama
IPs entrantes de la red pública se enrutan a sus destinos de la red privada mediante la consulta a una
tabla del dispositivo de PAT que lleva un control de los pares de puertos públicos y privados. Esto se
denomina seguimiento de la conexión.