¿Cómo funciona la NAT?
Cuando se emplea la Traducción de Direcciones de Red (NAT), la red interna es el conjunto de
redes sujetas a la traducción de las direcciones IP locales, mientras que la externa se refiere a
todas las otras redes.
Al utilizar NAT, las direcciones IP se traducen de distinto modo, según si están en la red interna
o en la red pública (Internet), y si el tráfico es entrante o saliente.
Al determinar qué dirección IP se utiliza, es importante destacar que existen cuatro tipos
distintos, donde el router que realiza la NAT es el punto de demarcación entre las redes interna
y externa, y las direcciones locales y globales. Ellas son:
Dirección IP Interna: es la dirección IP del dispositivo, que se traduce por medio de NAT.
Dirección IP Externa: es la dirección IP del dispositivo de destino.
Dirección IP Local: es cualquier dirección IP que aparece en la porción interna de la red.
Dirección IP Global: es cualquier dirección IP que aparece en la porción externa de la red.
Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer
referencia a direcciones específicas. De este modo:
La dirección local interna: es la dirección de origen vista desde el interior de la red.
La dirección global interna: es la dirección de origen vista desde la red externa. El router que
realiza NAT traduce la dirección local interna a una dirección global interna.
La dirección global externa: es la dirección del destino vista desde la red externa. Es una
dirección IP enrutable globalmente y asignada a un abonado en Internet. Por lo general, las
direcciones externas (global y local) son iguales.
La dirección local externa: es la dirección del destino vista desde la red interna.
Tipos de NAT
Existen tres tipos de realización de NAT:
Traducción estática de las direcciones (NAT estática): es la asignación uno a uno entre las
direcciones locales y globales.
Traducción dinámica de las direcciones (NAT dinámica): es la asignación de varias direcciones
locales a varias direcciones globales.
Traducción de la dirección del puerto (PAT): generalmente es la asignación, de varias
direcciones locales a una dirección global. Este método también se conoce como “sobrecarga”
(NAT con sobrecarga).
NAT estática
La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales.
Estas asignaciones son configuradas por el administrador de la red en el router de la frontera, y
siempre se mantienen constantes.
�Cuando los dispositivos de la red envían tráfico a Internet, sus direcciones locales internas se
traducen a las direcciones globales internas configuradas. Para las redes externas, es como si
estos dispositivos tuvieran direcciones IP públicas.
La NAT estática resulta útil, en especial para los servidores web o los dispositivos que deben
tener una dirección constante que sea accesible tanto desde Internet, como desde una red
interna de una entidad. También es útil para los dispositivos a los que debe poder acceder el
personal autorizado cuando no está en su lugar de trabajo, pero no el público en general en
Internet.
Este tipo de NAT requiere que haya suficientes direcciones IP públicas disponibles para
satisfacer la cantidad total de sesiones simultáneas de los usuarios.
NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de
llegada de los pedidos de acceso. Cuando un dispositivo interno solicita acceso a una red
externa, la NAT dinámica le asigna una dirección IP pública disponible del conjunto.
Al igual que la NAT estática, la NAT dinámica requiere que haya suficientes direcciones
públicas disponibles para satisfacer la cantidad total de sesiones simultáneas de los abonados
de la red.
Con la NAT dinámica, una única dirección interna se traduce a una única dirección externa
disponible; de esta forma, deben existir suficientes direcciones en el conjunto para admitir a
todos los dispositivos internos que necesiten acceso a la red externa al mismo tiempo. Si se
utilizaron todas las direcciones del conjunto, los dispositivos internos deben esperar que haya
una dirección disponible para poder acceder a la red externa.
Traducción de la Dirección del Puerto (PAT)
La Traducción de la Dirección del Puerto (PAT, Port Address Translation), también conocida
como “NAT con sobrecarga”, asigna generalmente varias direcciones IP privadas a una única
dirección IP pública. Esta constituye la forma más común de NAT, para que varios dispositivos
puedan acceder a Internet simultáneamente.
Con PAT, generalmente se pueden asignar varias direcciones IP privadas a una dirección IP
pública, debido a que cada dirección privada también se rastrea con un número de puerto, todo
con el fin de identificar la sesión sin posibilidad de ambigüedades. Cuando el router que ejecuta
NAT recibe un paquete del abonado, utiliza el número de puerto de origen para identificar de
forma exclusiva la traducción NAT específica.
La realización de PAT garantiza que los dispositivos usen un número de puerto distinto para
cada sesión con un servidor en Internet. Cuando llega una respuesta del servidor, el número de
�puerto de origen se convierte en el número de puerto de destino en la devolución, lo que
determina a qué dispositivo el router reenvía los paquetes. El proceso de PAT también valida
que los paquetes entrantes se hayan solicitado, lo que añade un grado de seguridad a la
sesión.
PAT agrega números de puerto de origen únicos a la dirección global interna para diferenciar
las traducciones. A medida que el router procesa cada paquete, utiliza un número de puerto
para identificar el dispositivo en el que se originó el paquete.
Para la dirección de origen, el router traduce la dirección local interna a una dirección global
interna con el número de puerto agregado. La dirección de destino no se modifica, pero ahora
se le denomina dirección global externa. Cuando el servidor responde, se invierte la ruta.
PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen inicial ya
está en uso por una sesión activa anterior, se asigna el primer número de puerto disponible,
que oscila entre 0 y 65 535. Cuando no hay más puertos disponibles y hay más de una
dirección externa en el conjunto de direcciones, PAT avanza a la siguiente dirección para
intentar asignar el puerto de origen inicial. Este proceso continúa hasta que no haya más
puertos ni direcciones IP externas disponibles.
