MARCO TERICO

NAT Network Address Translation NAT (Network Address Translation - Traduccin de Direccin de Red) es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin de protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo. Su uso ms comn es permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el nmero de direcciones privadas es muy grande puede usarse solo una parte de direcciones pblicas para salir a Internet desde la red privada. De esta manera simultneamente slo pueden salir a Internet con una direccin IP tantos equipos como direcciones pblicas se hayan contratado. Esto es necesario debido al progresivo agotamiento de las direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario continuar con esta prctica. Funcionamiento El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultneas con un dispositivo remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen campos en los que se indica la direccin origen y destino. Esta combinacin de nmeros define una nica conexin.

Una pasarela NAT cambia la direccin origen en cada paquete de salida y, dependiendo del mtodo, tambin el puerto origen para que sea nico. Estas traducciones de direccin se almacenan en una tabla, para recordar qu direccin y puerto le corresponde a cada dispositivo cliente y as saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla de en un determinado puerto y direccin se pueda acceder a un determinado dispositivo, como por ejemplo un servidor web, lo que se denomina NAT inverso o DNAT (Destination NAT). NAT tiene muchas formas de funcionamiento, entre las que destacan: Esttica Conocida tambin como NAT 1:1, es un tipo de NAT en el que una direccin IP privada se traduce a una direccin IP pblica, y donde esa direccin pblica es siempre la misma. Esto le permite a un host, como un servidor Web, el tener una direccin IP de red privada pero aun as ser visible en Internet. Dinmica Es un tipo de NAT en la que una direccin IP privada se mapea a una IP pblica basndose en una tabla de direcciones de IP registradas (pblicas). Normalmente, el router NAT en una red mantendr una tabla de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router elegir una direccin IP de la tabla que no est siendo usada por otra IP privada. Esto permite aumentar la seguridad de una red dado que enmascara la configuracin interna de una red privada, lo que dificulta a los hosts externos de la red el poder ingresar a sta. Para este mtodo se requiere que todos los hosts de la red privada que deseen conectarse a la red pblica posean al menos una IP pblica asociadas.

Sobrecarga La ms utilizada es la NAT dinmica, conocida tambin como PAT (Port Address Translation - Traduccin de Direcciones por Puerto), NAPT (Network Address Port Translation- Traduccin de Direcciones de Red por Puerto), NAT de nica direccin o NAT multiplexado a nivel de puerto. Solapamiento Cuando las direcciones IP utilizadas en la red privada son direcciones IP pblicas en uso en otra red, el ruteador posee una tabla de traducciones en donde se especifica el reemplazo de stas con una nica direccin IP pblica. As se evitan los conflictos de direcciones entre las distintas redes.

Configuracin de NAT. La configuracin de NAT y PAT en los router Cisco, permite que el cliente tenga acceso a Internet, con un nmero reducido de IPs pblicas proporcionadas por el ISP, enmascarando las Ips privadas de la LAN. 1.- Ingresar al router Cisco en modo de configuracin global e ingresar los siguientes comandos: Router(config)#ip nat pool PRINTER 200.78.250.97 200.78.250.102 netmask

255.255.255.248 declara rango de direcciones IP validas para salir a Internet. (PRINTER es un nombre dado al pool) (Para configurar PAT, donde existe un pool de direcciones publicas con las que se enmascaran las direcciones internas) ip nat inside source list 1 pool PRINTER overload -----> declaras la lista de acceso que se encargara de filtrar el trfico para salir o entrar a Internet.

access-list 1 permit 172.20.40.0 0.0.0.255 ---

lista de acceso donde permite el rango

de direcciones privadas que el cliente utilice para salir a Internet. access-list 1 deny any ------------------------------------------------------------------------------------------------------------Tambin es posible indicar una interfaz virtual o fsica, asignando solo una IP para enmascarar las IP internas, como se indica en el siguiente ejemplo. ip nat inside source list 1 interface Loopback0 overload interface Loopback0 ip address 192.168.215.132 255.255.255.255 ip nat outside ip nat inside source list 1 interface Ethernet0 overload interface Ethernet0 ip address 192.168.213.50 255.255.255.252 ip nat outside ------------------------------------------------------------------------------------------------------------------2.- Entrar a la Interface LAN del cliente para aplicar el NAT de entrada a Internet: Router(config)#interface FastEthernet0 --Ingresar Interface de entrada red interna

Router(Config-if)# ip address 172.20.40.1 255.255.255.0 Router(Config-if)# ip nat inside -----------------Teclear la siguiente lnea de comando

3.- Entrar a la Interface WAN para aplicar el NAT de salida a Internet: Router(Config-if)# interface Serial0/0 --------> Entrar a la Interface de salida a Internet Router(Config-if)# ip address 200.78.250.97 255.255.255.248 Router(config-if)# ip nat outside ------------------> Teclear la siguiente lnea de comando

Tipos de NAT y configuracin en Cisco Existen bsicamente tres modos de funcionamiento de NAT NAT esttico Consiste bsicamente en un tipo de NAT en el cul se mapea una direccin IP privada con una direccin IP pblica de forma esttica. De esta manera, cada equipo en la red privada debe tener su correspondiente IP pblica asignada para poder acceder a Internet. La principal desventaja de este esquema es que por cada equipo que se desee tenga acceso a Internet se debe contratar una IP pblica. Adems, es posible que haya direcciones IP pblicas sin usar (porque los equipos que las tienen asignadas estn apagados, por ejemplo), mientras que hay equipos que no puedan tener acceso a Internet (porque no tienen ninguna IP pblica mapeada). Para configurar este tipo de NAT en Cisco nos valemos de los siguientes comandos, donde se ve que el equipo con IP 192.168.1.6 conectado por medio de la interfaz fastEthernet 0/0 ser nateado con la IP pblica 200.41.58.112 por medio de la interfaz de salida serial 0/0. Router(config)# ip nat inside source static 192.168.1.6 200.41.58.112 Router(config)# interface fastEthernet 0/0 Router(config-if)# ip nat inside Router(config)# interface serial 0/0 Router(config-if)# ip nat outside NAT dinmico Este tipo de NAT pretende mejorar varios aspectos del NAT esttico dado que utiliza un pool de IPs pblicas para un pool de IPs privadas que sern mapeadas de forma

dinmica y a demanda. La ventaja de este esquema es que si se tienen por ejemplo 5 IPs pblicas y 10 mquinas en la red privada, las primeras 5 mquinas en conectarse tendrn acceso a Internet. Si suponemos que no ms de 5 mquinas estarn encendidas de forma simultnea nos garantiza que todas las mquinas de nuestra red privada tendrn salida a Internet eventualmente. Para configurar este tipo de NAT definimos el pool de IPs pblicas disponibles y el rango de direcciones privadas que deseamos que sean nateadas. En el siguiente ejemplo se cuenta con las direcciones IPs pblicas desde la 163.10.90.2 a la 163.10.90.6 y la subred privada 192.168.1.0/24. Router(config)# ip nat pool name DIR_NAT_GLOB 163.10.90.2 163.10.90.6 netmask 255.255.255.240 Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255 Router(config)# ip nat inside source list 10 pool DIR_NAT_GLOB Router(config)# interface fastEthernet 0/0 Router(config-if)# ip nat inside Router(config)# interface serial 0/0 Router(config-if)# ip nat outside NAT con sobrecarga El caso de NAT con sobrecarga o PAT (Port Address Translation) es el ms comn de todos y el ms usado en los hogares. Consiste en utilizar una nica direccin IP pblica para mapear mltiples direcciones IPs privadas. Las ventajas que brinda tienen dos enfoques: por un lado, el cliente necesita contratar una sola direccin IP pblica para

que las mquinas de su red tengan acceso a Internet, lo que supone un importante ahorro econmico; por otro lado se ahorra un nmero importante de IPs pblicas, lo que demora el agotamiento de las mismas. La pregunta casi obvia es cmo puede ser que con una nica direccin IP pblica se mapeen mltiples IPs privadas. Bien, como su nombre lo indica, PAT hace uso de mltiples puertos para manejar las conexiones de cada host interno. Veamos esto con el siguiente ejemplo: La PCA quiere acceder a www.netstorming.com.ar. El socket est formado por:

IP origen: PCA. Puerto origen: X. IP destino: www.netstorming.com.ar. Puerto destino: 80.

Al llegar el requierimiento anterior al router que hace PAT, el mismo modifica dicha informacin por la siguiente:

IP origen: router. Puerto origen: Y. IP destino: www.netstorming.com.ar. Puerto destino: 80.

Adems, el router arma una tabla que le permite saber a qu mquina de la red interna debe dirigir la respuesta. De esta manera, cuando recibe un segmente desde el puerto 80 de www.netstorming.com.ar dirigido al puerto Y del router, este sabe que debe redirigir dicha informacin al puerto X de la PCA.

La forma de configurar NAT con sobrecarga es la siguiente. Router(config)# access-list 10 permit ip 192.168.1.0 0.0.0.255 Router(config)# ip nat inside source list 10 interface serial 0/0 overload Router(config)# interface fastEthernet 0/0 Router(config-if)# ip nat inside Router(config)# interface serial 0/0 Router(config-if)# ip nat outside

PAT Port address translation Port Address Translation (PAT) es una caracterstica del estndar NAT, que traduce conexiones TCP y UDP hechas por un host y un puerto en una red externa a otra direccin y puertode la red interna. Permite que una sola direccin IP sea utilizada por varias mquinas de la intranet. Con PAT, una IP externa puede responder hasta a ~64000 direcciones internas. Cualquier paquete IP contiene la direccin y el puerto tanto del origen como del destino. En el destino, el puerto le dice al receptor cmo procesar el paquete. Un paquete con puerto 80 indica que contiene una pgina web, mientras que el puerto 25 es usado para transmitir correo

electrnico entre servidores de correo. La traduccin de los puertos, llamada PAT para distinguirla de la traduccin de direcciones (NAT), se apoya en el hecho de que el puerto de origen carece de importancia para la mayora de los protocolos. Igual que NAT, se sita en la frontera entre la red interna y externa, y realiza cambios en la direccin del origen y del receptor en los paquetes de datos que pasan a travs de ella.

Los puertos (no las IP), se usan para designar diferentes hosts en el intranet. El servicio PAT es como una oficina de correo que entrega las cartas. El sobre se cambia para que el remitente sea la oficina de correos, mientras que las cartas que llegan de fuera pierden su direccin y reciben la nueva con la calle y el nmero real. Cuando un ordenador del intranet manda un paquete hacia fuera, queremos ocultar su direccin real. El servicio NAT remplaza la IP interna con la nueva IP del propio servicio. Luego asigna a la conexin un puerto de la lista de puertos disponibles, inserta el puerto en el campo apropiado del paquete de datos y enva el paquete. El servicio NAT crea una entrada en su tabla de direcciones IP internas, puertos internos y puertos externos. A partir de entonces, todos los paquetes que provengan del mismo hosts sern traducidos con los mismos puertos. El receptor del paquete utilizar los IP y puerto recibidos para responder, por lo que dicha respuesta llegar a la oficina de correos. Inicialmente, si el puerto destino no existe en la tabla del NAT, los datos sern descartados. En otro caso, la nueva direccin y el nuevo puerto reemplazarn los datos de destino en el paquete y ste ser enviado por la red interna. La traduccin de puertos permite a varias mquinas compartir una nica direccin IP. El servicio PAT borra las traducciones peridicamente de su tabla cuando aparenten no estar en uso. Como el nmero de posibles puertos a otorgar es de 16 bit (65535), la probabilidad de que un ordenador no encuentre una traduccin es realmente pequea.