TEMA 6.

- NAT PARA IPv4

¿Por qué debería tomar este módulo?
Bienvenido a NAT para IPv4!

Las direcciones IPv4 son números de 32 bits. Matemáticamente, esto significa que puede haber algo
más de 4 mil millones de direcciones IPv4 únicas. En la década de 1980, esto parecía más que
suficientes direcciones IPv4. Luego vino el desarrollo de computadoras de escritorio y portátiles
asequibles, teléfonos inteligentes y tabletas, muchas otras tecnologías digitales, y por supuesto,
Internet. Con bastante rapidez se hizo evidente que 4.000 millones de direcciones IPv4 no serían
suficientes para manejar la creciente demanda. Esta es la razón por la que se desarrolló IPv6.
Incluso con IPv6, la mayoría de las redes actuales son sólo IPv4, o una combinación de IPv4 e IPv6.
La transición a redes sólo IPv6 sigue en curso, por lo que se desarrolló la traducción de direcciones
de red (NAT). NAT está diseñado para ayudar a administrar esos 4 mil millones de direcciones para
que todos podamos usar nuestros muchos dispositivos para acceder a Internet. Como puede ver, es
importante que comprenda el propósito de (NAT) y cómo funciona. Como ventaja, este módulo
contiene múltiples actividades Packet Tracer donde se puede configurar diferentes tipos de NAT.
¡Vamos, vamos!

6.0.2

¿Qué aprenderé en este módulo?

Título del módulo: NAT para IPv4

Objetivos del módulo: Configure los servicios NAT en el enrutador perimetral para proporcionar
escalabilidad de dirección IPv4.

Título del tema Objetivo del tema

Características de NAT Explique el propósito y la función de NAT.
Tipos de NAT Explique el funcionamiento de los distintos tipos de NAT.
Ventajas y desventajas de NAT Describa las ventajas y desventajas de NAT.
NAT estático Configure la NAT estática mediante la CLI.
NAT dinámica Configure la NAT dinámica mediante la CLI.
PAT Configure PAT mediante la CLI.
NAT64 Describa la NAT para IPv6.

CARACTERÍSTICAS DE NAT
Espacio de direcciones IPv4 privadas
Como sabe, no hay suficientes direcciones IPv4 públicas para asignar una dirección única a cada
dispositivo conectado a Internet. Las redes suelen implementarse mediante el uso de direcciones
IPv4 privadas, según se definen en RFC 1918. El rango de direcciones incluido en RFC 1918 se
incluye en la siguiente tabla. Es muy probable que la computadora que utiliza para ver este curso
tenga asignada una dirección privada.
 Clase Rango de direcciones internas RFC 1918 P
A 10.0.0.0 a 10.255.255.255 10.0.0.0/8
B 172.16.0.0 a 172.31.255.255 172.16.0.0/12
C 192.168.0.0 a 192.168.255.255 192.168.0.0/16

Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir que los
dispositivos se comuniquen localmente. Sin embargo, debido a que estas direcciones no identifican
a una sola empresa u organización, las direcciones IPv4 privadas no se pueden enrutar a través de
Internet. Para permitir que un dispositivo con una dirección IPv4 privada acceda a recursos y
dispositivos fuera de la red local, primero se debe traducir la dirección privada a una dirección
pública.

NAT proporciona la traducción de direcciones privadas a direcciones públicas, como se muestra en

la figura. Esto permite que un dispositivo con una dirección IPv4 privada acceda a recursos fuera de
su red privada, como los que se encuentran en Internet. NAT, combinado con direcciones IPv4
privadas, ha sido el método principal para preservar las direcciones IPv4 públicas. Se puede
compartir una única dirección IPv4 pública entre cientos o incluso miles de dispositivos, cada uno
configurado con una dirección IPv4 privada exclusiva.

La figura representa un router NAT entre dos redes, una red interna con un espacio de direcciones
IPv4 privado e Internet con un espacio de direcciones IPv4 público. Hay una flecha de dos vías que
muestra las traducciones NAT entre el espacio de direcciones IPv4 público y el espacio de
direcciones IPv4 privado.

Sin NAT, el agotamiento del espacio de direcciones IPv4 habría ocurrido mucho antes del año 2000.
Sin embargo, NAT tiene limitaciones y desventajas, que se explorarán más adelante en este
módulo. La solución al agotamiento del espacio de direcciones IPv4 y a las limitaciones de NAT es
la transición final a IPv6.

6.1.2

¿Qué es NAT?
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto se logra
al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar la
traducción a una dirección pública solo cuando sea necesario. NAT tiene el beneficio percibido de
agregar un grado de privacidad y seguridad a una red, ya que oculta las direcciones IPv4 internas de
redes externas.

Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas
válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando un dispositivo
interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna del
dispositivo a una dirección pública del conjunto de NAT. Para los dispositivos externos, todo el
 tráfico entrante y saliente de la red parece tener una dirección IPv4 pública del conjunto de
direcciones proporcionado.

En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una red de código
auxiliar es una o más redes con una única conexión a su red vecina, una entrada y una salida de la
red. En el ejemplo de la ilustración, el R2 es un router de frontera. Visto desde el ISP, el R2 forma
una red de rutas internas.

La figura muestra un enrutador (R2) conectado a un enrutador ISP con Internet con un servidor en
IP 209.165.201.1. R2 es una red auxiliar con solo un punto de salida a Internet. R2 está conectado
al router (R1) que tiene dos switches conectados a él. Los dos switches tienen redes
192.168.10.0/24 y 192.168.11.0/24. Un PC (PC1) está conectado a la red 192.168.10.0.24 y tiene
una dirección IPv4 de 192.168.10.10. Una segunda PC (PC2) está conectada al segundo switch con
dirección de red 192.168.11.0/24 y tiene una dirección IPv4 192.168.11.10. R2 es un router de borde
habilitado para NAT.

Cuando un dispositivo dentro de la red de rutas internas desea comunicarse con un dispositivo fuera
de su red, el paquete se reenvía al router de frontera. El router de frontera realiza el proceso de
NAT, es decir, traduce la dirección privada interna del dispositivo a una dirección pública, externa y
enrutable.

Nota: La conexión con el ISP puede usar una dirección privada o una dirección pública que se
comparte entre los clientes. Para los propósitos de este módulo, se muestra una dirección pública.

Terminología de NAT
Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción. La red
externa se refiere a todas las otras redes.

Cuando se usa NAT, las direcciones IPv4 tienen diferentes designaciones en función de si están en
la red privada o en la red pública (internet), y si el tráfico es entrante o saliente.

NAT incluye cuatro tipos de direcciones:

 Dirección local interna

 Dirección global interna
 Dirección local externa
 Dirección global externa

Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT
siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:

 Dirección interna: - la dirección del dispositivo que NAT está traduciendo.

 Dirección externa: - la dirección del dispositivo de destino.

NAT también usa los conceptos de local o global con relación a las direcciones:

 Dirección local: -una dirección local es cualquier dirección que aparece en la parte interna de la
red.
 Dirección global: - una dirección global es cualquier dirección que aparece en la parte externa de la
red.

Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer
referencia a direcciones específicas. El enrutador NAT, R2 en la figura, es el punto de demarcación
entre las redes internas y externas. R2 está configurado con un grupo de direcciones públicas para
asignar a los hosts internos. Consulte la tabla de red y NAT de la figura para obtener la siguiente
explicación de cada uno de los tipos de direcciones NAT.

Dirección local interna

La dirección de la fuente vista desde dentro de la red. Normalmente, es una dirección IPv4
privada. En la ilustración, la dirección IPv4 192.168.10.10 se asignó a la PC1. Esta es la
dirección local interna de la PC1.

Dirección global interna

La dirección de origen vista desde la red externa. Normalmente, es una dirección IPv4 enrutable
globalmente. En la ilustración, cuando se envía el tráfico de la PC1 al servidor web en
209.165.201.1, el R2 traduce la dirección local interna a una dirección global interna. En este caso,
el R2 cambia la dirección IPv4 de origen de 192.168.10.10 a 209.165.200.226. De acuerdo con la
terminología de NAT, la dirección local interna 192.168.10.10 se traduce a la dirección global interna
209.165.200.226.

Dirección global externa

La dirección del destino vista desde la red externa. Es una dirección IPv4 enrutable globalmente
asignada a un host en Internet. Por ejemplo, se puede llegar al servidor web en la dirección IPv4
209.165.201.1. Por lo general, las direcciones externas globales y locales son iguales.

Dirección local externa

La dirección del destino como se ve desde la red interna. En este ejemplo, la PC1 envía tráfico al
servidor web en la dirección IPv4 209.165.201.1. Si bien es poco frecuente, esta dirección podría ser
diferente de la dirección globalmente enrutable del destino.

PC1 tiene una dirección local interna de 192.168.10.10. Desde la perspectiva de la PC1, el servidor
web tiene la dirección externa 209.165.201.1. Cuando se envían los paquetes de la PC1 a la
dirección global del servidor web, la dirección local interna de la PC1 se traduce al 209.165.200.226
(dirección global interna). La dirección del dispositivo externo generalmente no se traduce porque
esa dirección suele ser una dirección IPv4 pública.

Observe que la PC1 tiene distintas direcciones locales y globales, mientras que el servidor web tiene
la misma dirección IPv4 pública en ambos casos. Desde la perspectiva del servidor web, el tráfico
que se origina en la PC1 parece provenir de 209.165.200.226, la dirección global interna.
Tipos de NAT
6.2.1

NAT estático
Ahora que ha aprendido acerca de NAT y cómo funciona, este tema discutirá las muchas versiones
de NAT que están disponibles para usted.

La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas
asignaciones son configuradas por el administrador de red y se mantienen constantes.

En la ilustración, el R2 se configuró con las asignaciones estáticas para las direcciones locales
internas del Svr1, la PC2 y la PC3. Cuando estos dispositivos envían tráfico a Internet, sus
direcciones locales internas se traducen a las direcciones globales internas configuradas. Para
redes externas, estos dispositivos parecen tener direcciones IPv4 públicas.

La figura representa la traducción estática de NAT. Una red interna con una dirección de servidor
(SRV1) 192.168.10.10, un PC (PC2) con y dirección 192.168.10.11 y un PC (PC3) con una dirección
192.168.10.12. La red Inside está conectada a un switch y el switch se conecta al router R2. R2 se
conecta a Internet con un PC (PC4) conectado a Internet. Se muestra una sesión de conexión SSH
al servidor de red Inside SRV1 a la dirección ip 209.165.200.226. La tabla NAT estática tiene dos
columnas Inside Local Address y Inside Global Address - Address accesible a través de R2. Las
direcciones locales internas se asignan de la siguiente manera 192.168.10.10 se asigna a
209.165.200.226, 192.168.10.11 a 209.165.200.227 y 192.168.10.12 a 209.165.200.228.

Tabla de NAT estática

Dirección local
Dirección global interna: direcciones a las que se puede llegar a través del R2
interna
192.168.10.10 209.165.200.226
192.168.10.11 209.165.200.227
192.168.10.12 209.165.200.228
InternetTraducción de NAT estáticaInternaExternaSvr1 C:\> ssh 209.165.200.226

La NAT estática es particularmente útil para servidores web o dispositivos que deben tener una
dirección coherente a la que se pueda acceder desde Internet, como el servidor web de una
empresa. También es útil para dispositivos que deben ser accesibles por personal autorizado
cuando se encuentra fuera del sitio, pero no por el público en general en Internet. Por ejemplo, un
administrador de red de PC4 puede usar SSH para obtener acceso a la dirección global interna de
Svr1 (209.165.200.226). R2 traduce esta dirección global interna a la dirección local interna
192.168.10.10 y conecta la sesión a Svr1.

La NAT estática requiere que haya suficientes direcciones públicas disponibles para satisfacer la
cantidad total de sesiones de usuario simultáneas.

6.2.2

NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada.
Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una
dirección IPv4 pública disponible del conjunto.

En la figura, PC3 ha accedido a Internet utilizando la primera dirección disponible en el grupo NAT
dinámico. Las demás direcciones siguen disponibles para utilizarlas. Al igual que la NAT estática, la
NAT dinámica requiere que haya suficientes direcciones públicas disponibles para satisfacer la
cantidad total de sesiones de usuario simultáneas.

La figura representa la traducción NAT dinámica. Una red interna con una dirección de servidor
(SRV1) de 192.168.10.10, una PC (PC2) con una dirección de 192.168.10.11 y una PC (PC3) con
una dirección de 192.168.10.12. La red Inside está conectada a un switch y el switch se conecta al
router R2. El Pool Nat IPv4 tiene dos columnas Dirección local interna y Dirección global interna
Pool- Dirección accesible a través de R2. 192.168.10.12 mapas a 209.165.200.226. sin embargo,
209.165.200.227 a 209.165.200.230 están disponibles.

Dirección local Conjunto de direcciones globales internas: direcciones a las que se puede
interna llegar a través del R2
192.168.10.12 209.165.200.226
Disponible 209.165.200.227
Disponible 209.165.200.228
Disponible 209.165.200.229
Disponible 209.165.200.230
Traducción de NAT dinámicaInternaExternaInternet

6.2.3
Traducción de la dirección del puerto
La traducción de la dirección del puerto (PAT), también conocida como “NAT con sobrecarga”,
asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas direcciones.
Esto es lo que hacen la mayoría de los enrutadores domésticos. El ISP asigna una dirección al
enrutador, sin embargo, varios miembros del hogar pueden acceder simultáneamente a Internet.
Esta es la forma más común de NAT tanto para el hogar como para la empresa.

Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada
dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia una
sesión TCP / IP, genera un valor de puerto de origen TCP o UDP, o un ID de consulta
especialmente asignado para ICMP, para identificar de forma única la sesión. Cuando el router NAT
recibe un paquete del cliente, utiliza su número de puerto de origen para identificar de forma
exclusiva la traducción NAT específica.

PAT garantiza que los dispositivos usen un número de puerto TCP diferente para cada sesión con
un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen, que
se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo el
router reenvía los paquetes. El proceso de PAT también valida los paquetes entrantes que han
solicitado, lo que agrega un grado de seguridad a la sesión.

Haga clic en Reproducir en la figura para ver una animación del proceso PAT. PAT agrega números
de puerto de origen únicos a la dirección global interna para distinguir las traducciones.
Dirección IP local
Dirección IP global interna Dirección IP local externa Dirección IP global externa
interna

192.168.10.10:1555 209.165.200.226:1555 209.165.201.1:80 209.165.201.1:80

192.168.10.11:1331 209.165.200.226:1331 209.165.202.129:80 209.165.202.129:80

A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555, en este
ejemplo) para identificar el dispositivo en el que se originó el paquete. La dirección de origen (SA) es
la dirección local interna con el número de puerto asignado TCP / UDP agregado. La dirección de
destino (DA) es la dirección global externa con el número de puerto de servicio agregado. En este
ejemplo, el puerto de servicio es 80, que es HTTP.
Para la dirección de origen, el R2 traduce la dirección local interna a una dirección global interna con
el número de puerto agregado. La dirección de destino no cambia, pero ahora se conoce como la
dirección IPv4 global externa. Cuando el servidor web responde, se invierte la ruta.

6.2.4

Siguiente puerto disponible

En el ejemplo anterior, los números de puerto del cliente, 1331 y 1555, no se modificaron en el
router con NAT habilitada. Esta no es una situación muy probable, porque existe una gran
posibilidad de que estos números de puerto ya se hayan conectado a otras sesiones activas.

PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen original ya está
en uso, PAT asigna el primer número de puerto disponible a partir del comienzo del grupo de
puertos apropiado 0-511, 512-1,023 o 1,024-65,535. Cuando no hay más puertos disponibles y hay
más de una dirección externa en el conjunto de direcciones, PAT avanza a la siguiente dirección
para intentar asignar el puerto de origen inicial. Este proceso continúa hasta que no haya más
puertos ni direcciones IPv4 externas disponibles.

Haga clic en Reproducir en la figura para ver una animación de la operación PAT. En este ejemplo,
PAT asignó el siguiente puerto disponible (1445) a la segunda dirección host.
Tabla NAT con sobrecarga

Dirección IP global
Dirección IP local interna
interna

209.165.200.226:1444 192.168.10.11:1444

Tabla NAT con sobrecarga

Dirección IP global
Dirección IP local interna
interna

209.165.200.226:1444 192.168.10.11:1444
 Tabla NAT con sobrecarga

Dirección IP global
Dirección IP local interna
interna

209.165.200.226:1445 192.168.10.12:1444

En la animación, los anfitriones han elegido el mismo número de puerto de 1444. Esto resulta
aceptable para la dirección interna, porque los hosts tienen direcciones IPv4 privadas únicas. Sin
embargo, en el router NAT, se deben cambiar los números de puerto; de lo contrario, los paquetes
de dos hosts distintos saldrían del R2 con la misma dirección de origen. Este ejemplo supone que
los primeros 420 puertos en el rango 1,024 - 65,535 ya están en uso, por lo que se usa el siguiente
número de puerto disponible, 1445.

Cuando los paquetes se devuelven desde fuera de la red, si el número de puerto de origen fue
modificado previamente por el enrutador habilitado para NAT, el número de puerto de destino
volverá a cambiar al número de puerto original por el enrutador habilitado para NAT.

6.2.5

Comparación de NAT y PAT

La tabla proporciona un resumen de las diferencias entre NAT y PAT.

NAT PAT
Mapeo uno a uno entre las
Una dirección global interna se puede asignar a muchas direcciones
direcciones Inside Local y Inside
locales internas.
Global.
Utiliza sólo direcciones IPv4 en el Utiliza direcciones IPv4 y números de puerto de origen TCP o UDP en la
proceso de traducción. traducción proceso.
Se requiere una dirección única
de Inside Global para cada host Una única dirección única de Inside Global puede ser compartida por
interno accediendo a la red muchos hosts internos accediendo a la red externa.
externa.

NAT

La figura muestra un ejemplo sencillo de una tabla NAT. En este ejemplo, cuatro hosts de la red
interna se están comunicando con la red externa. La columna izquierda muestra las direcciones
del grupo global de direcciones que NAT utiliza para traducir la dirección local interna de cada
host. Tenga en cuenta la relación uno a uno de las direcciones globales internas con las
direcciones locales internas para cada uno de los cuatro hosts que acceden a la red externa.
Con NAT, se necesita una dirección global interna para cada host que necesita conectarse a la
red externa.

Nota: NAT reenvía los paquetes de retorno entrantes al host interno original haciendo
referencia a la tabla y traduciendo la dirección global interna a la dirección local interna
correspondiente del host.
 Dirección global interna Dirección local interna
209.165.200.226 192.168.10.10
209.165.200.227 192.168.10.11
209.165.200.228 192.168.10.12
209.165.200.229 192.168.10.13
PAT

Mientras que NAT sólo modifica las direcciones IPv4, PAT modifica tanto la dirección IPv4
como el número de puerto. Con PAT, generalmente solo hay una, o muy pocas, direcciones
IPv4 expuestas públicamente. La tabla NAT de ejemplo muestra una dirección global interna
que se está utilizando para traducir las direcciones locales internas de los cuatro hosts internos.
PAT utiliza el número de puerto de Capa 4 para realizar un seguimiento de las conversaciones
de los cuatro hosts.

Dirección global interna Dirección local interna

209.165.200. 226:2031 192.168.10. 10:2031
209.165.200. 226:1506 192.168.10. 11:1506
209.165.200. 226:1131 192.168.10. 12:1131
209.165.200. 226:1718 192.168.10. 13:1718

Paquetes sin segmento de capa 4

¿Qué sucede con los paquetes IPv4 que transportan datos que no son segmentos TCP o
UDP? Estos paquetes no contienen un número de puerto de capa 4. PAT traduce la mayoría de
los protocolos comunes transmitidos mediante IPv4 que no utilizan TCP o UDP como protocolo
de la capa de transporte. El más común de ellos es ICMPv4. PAT maneja cada uno de estos
tipos de protocolos de manera diferente. Por ejemplo, los mensajes de consulta, las solicitudes
de eco y las respuestas de eco de ICMPv4 incluyen una ID de consulta. ICMPv4 utiliza la ID de
consulta para identificar una solicitud de eco con su respectiva respuesta. La ID de consulta
aumenta con cada solicitud de eco enviada. PAT utiliza la ID de consulta en lugar de un
número de puerto de capa 4.

Nota: Otros mensajes ICMPv4 no usan la ID de consulta. Estos mensajes y otros protocolos
que no utilizan los números de puerto TCP o UDP varían y exceden el ámbito de este currículo.

Ventajas y desventajas de NAT

6.3.1

Ventajas de NAT
NAT resuelve nuestro problema de no tener suficientes direcciones IPv4, pero también puede
crear otros problemas. Este tema aborda las ventajas y desventajas de NAT.

NAT proporciona muchos beneficios, incluidos los siguientes:

 NAT conserva el esquema de direccionamiento legalmente registrado al permitir la privatización
de las intranets. NAT conserva las direcciones mediante la multiplexación de aplicaciones en el
nivel de puerto. Con la sobrecarga NAT (PAT), los hosts internos pueden compartir una única
dirección IPv4 pública para todas las comunicaciones externas. En este tipo de configuración,
se requieren muy pocas direcciones externas para admitir varios hosts internos.
 NAT aumenta la flexibilidad de las conexiones a la red pública. Se pueden implementar varios
conjuntos y conjuntos de respaldo y de equilibrio de carga para asegurar conexiones de red
pública confiables.
 NAT proporciona coherencia a los esquemas de direccionamiento de red interna. Para cambiar
el esquema de direcciones IPv4 públicas en una red que no utiliza direcciones IPv4 privadas ni
NAT, se requiere redireccionar todos los hosts en la red existente. Los costos de
redireccionamiento de hosts pueden ser considerables. NAT permite mantener el esquema de
direcciones IPv4 privadas existente a la vez que facilita el cambio a un nuevo esquema de
direccionamiento público. Esto significa que una organización podría cambiar los ISP sin
necesidad de modificar ninguno de sus clientes internos.
 Usando direcciones IPv4 RFC 1918, NAT oculta las direcciones IPv4 de los usuarios y otros
dispositivos. Algunas personas consideran esto una característica de seguridad; sin embargo,
la mayoría de los expertos están de acuerdo en que NAT no proporciona seguridad. Un firewall
con detección de estado es lo que brinda seguridad al perímetro de la red.

6.3.2

Desventajas de la NAT
NAT tiene inconvenientes. El hecho de que los hosts en Internet parezcan comunicarse
directamente con el dispositivo habilitado para NAT, en lugar de con el host real dentro de la
red privada, crea una serie de problemas.

Una desventaja del uso de NAT se relaciona con el rendimiento de la red, en especial, en el
caso de los protocolos en tiempo real como VoIP. NAT aumenta los retrasos de reenvió porque
la traducción de cada dirección IPv4 dentro de los encabezados de los paquetes lleva tiempo.
Al primer paquete siempre se aplica el switching de procesos por la ruta más lenta. El router
debe revisar todos los paquetes para decidir si necesitan traducción. El router debe modificar el
encabezado de IPv4 y, posiblemente, el encabezado TCP o UDP. El checksum del encabezado
de IPv4, junto con el checksum de TCP o UDP, se debe volver a calcular cada vez que se
realiza una traducción. Si existe una entrada de caché, el resto de los paquetes atraviesan la
ruta de switching rápido; de lo contrario, también se retrasan.

Esto se vuelve más un problema a medida que los grupos de direcciones IPv4 públicas para
ISP se agotan. Muchos ISP tienen que asignar a los clientes una dirección IPv4 privada en
lugar de una dirección IPv4 pública. Esto significa que el router del cliente traduce el paquete
de su dirección IPv4 privada a la dirección IPv4 privada del ISP. Antes de reenviar el paquete a
otro proveedor, el ISP realizará NAT de nuevo, traduciendo sus direcciones IPv4 privadas a
una de sus pocas direcciones IPv4 públicas. Este proceso de dos capas de traducción NAT se
conoce como Carrier Grade NAT (CGN).

Otra desventaja del uso de NAT es que se pierde el direccionamiento de extremo a extremo.
Esto se conoce como el principio de extremo a extremo. Muchos protocolos y aplicaciones de
Internet dependen del direccionamiento de extremo a extremo desde el origen hasta el destino.
Algunas aplicaciones no funcionan con NAT. Por ejemplo, algunas aplicaciones de seguridad,
como las firmas digitales, fallan porque la dirección IPv4 de origen cambia antes de llegar a
destino. Las aplicaciones que utilizan direcciones físicas, en lugar de un nombre de dominio
calificado, no llegan a los destinos que se traducen a través del router NAT. En ocasiones, este
problema se puede evitar al implementar las asignaciones de NAT estática.
También se reduce el seguimiento IPv4 de extremo a extremo. El seguimiento de los paquetes
que pasan por varios cambios de dirección a través de varios saltos de NAT se torna mucho
más difícil y, en consecuencia, dificulta la resolución de problemas.

El uso de NAT también genera complicaciones en la utilización de protocolos de tunneling,

como IPsec, porque NAT modifica valores en los encabezados, lo que hace fallar las
comprobaciones de integridad

Los servicios que requieren que se inicie una conexión TCP desde la red externa, o “protocolos
sin estado”, como los servicios que utilizan UDP, pueden interrumpirse. A menos que el router
NAT esté configurado para admitir dichos protocolos, los paquetes entrantes no pueden llegar a
su destino. Algunos protocolos pueden acomodar una instancia de NAT entre los hosts
participantes (FTP en modo pasivo, por ejemplo), pero fallan cuando NAT separa ambos
sistemas de Internet

NAT estático
6.4.1

Escenario NAT estático

En este tema, aprenderá a configurar y verificar la NAT estática. Incluye una actividad Packet
Tracer para poner a prueba tus habilidades y conocimientos. La NAT estática es una
asignación uno a uno entre una dirección interna y una dirección externa. La NAT estática
permite que los dispositivos externos inicien conexiones a los dispositivos internos mediante la
dirección pública asignada de forma estática. Por ejemplo, se puede asignar una dirección
global interna específica a un servidor web interno de modo que se pueda acceder a este
desde redes externas.

La figura muestra una red interna que contiene un servidor web con una dirección IPv4 privada.
El enrutador R2 está configurado con NAT estática para permitir que los dispositivos en la red
externa (Internet) accedan al servidor web. El cliente en la red externa accede al servidor web
mediante una dirección IPv4 pública. La NAT estática traduce la dirección IPv4 pública a la
dirección IPv4 privada.

La figura representa un servidor web en una red interna conectada al router 2 a través de la
conexión serie S0/1/0 con una dirección IP de 192.168.10.154. La red externa para el enrutador
R2 es una conexión serie S0/1/1 conectada a un PC cliente con una dirección de
209.165.200.254. Una traducción NAT estática se realiza mediante el enrutador R2 con el
servidor Web 192.168.10.254 asignado a 209.165.201.5 cuando se realiza un HTTP.

6.4.2

Configurar la NAT estática

Hay dos tareas básicas al configurar traducciones NAT estáticas:

Paso 1. El primer paso consiste en crear una asignación entre la dirección local interna y las
direcciones globales internas. Por ejemplo, la dirección local interna 192.168.10.254 y la
dirección global interna 209.165.201.5 en la figura están configuradas como una traducción
NAT estática.

R2(config)# ip nat inside source static 192.168.10.254

209.165.201.5

Paso 2. Una vez configurada la asignación, las interfaces que participan en la traducción se
configuran como interna o externa con respecto a NAT. En el ejemplo, la interfaz R2 Serial
0/1/0 es una interfaz interna y la Serie 0/1/1 es una interfaz externa.

R2(config)# interface serial 0/1/0

R2(config-if)# ip address 192.168.1.2 255.255.255.252

R2(config-if)# ip nat inside

 R2(config-if)# exit

R2(config)# interface serial 0/1/1

R2(config-if)# ip address 209.165.200.1 255.255.255.252

R2(config-if)# ip nat outside

Con esta configuración, los paquetes que llegan a la interfaz interna de R2 (Serie 0/1/0) desde
la dirección IPv4 local interna configurada (192.168.10.254) se traducen y luego se reenvían
hacia la red externa. Los paquetes que llegan a la interfaz externa de R2 (Serie 0/1/1), que se
dirigen a la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la dirección
local interna (192.168.10.254) y luego se envían a dentro de la red.

6.4.3

Analizar NAT estático

Con la configuración anterior, en la ilustración se muestra el proceso de traducción de NAT
estática entre el cliente y el servidor web. Por lo general, las traducciones estáticas se usan
cuando los clientes de la red externa (internet) necesitan comunicarse con los servidores de la
red interna (interna).

La figura muestra un servidor Web con una dirección IP 192.168.10.254 en una red Inside
conectada a un router (R2). R2 tiene una red externa conectada a Internet con un cliente
209.165.200.254. La figura representa el proceso de análisis de una NAT estática.

Dirección local
Dirección global interna Dirección local externa Dirección global externa
interna

192.168.10.254 209.165.201.5 209.165.200.254 209.165.200.254

1. El cliente desea establecer una conexión al servidor web. El cliente envía un paquete al
servidor web con la dirección IPv4 pública de destino 209.165.201.5. Esta es la dirección global
interna del servidor web.
2. El primer paquete que recibe del cliente en su interfaz NAT externa ocasiona que el R2 revise
su tabla de NAT. La dirección IPv4 de destino de 209.165.201.5 se encuentra en la tabla NAT y
se traduce a 192.168.10.254.
3. El R2 reemplaza la dirección global interna 209.165.201.5 por la dirección local interna
192.168.10.254. Luego, el R2 reenvía el paquete hacia el servidor web.
4. El servidor web recibe el paquete y responde al cliente utilizando la dirección local interna,
192.168.10.254 como la dirección de origen del paquete de respuesta.
5. (a) R2 recibe el paquete del servidor web en su interfaz interna NAT con la dirección de origen
de la dirección local interna del servidor web, 192.168.10.254.
(b) R2 verifica la tabla NAT para una traducción de la dirección local interna. La dirección se
encuentra en esa tabla. R2 traduce la dirección de origen 192.168.10.254 a la dirección global
interna de 209.165.201.5 y reenvía el paquete hacia el cliente.
6. (No se muestra) El cliente recibe el paquete y continúa la conversación. El router NAT lleva un
cabo los pasos 2 a 5b para cada paquete.

6.4.4

Verificar NAT estático

Para verificar el funcionamiento de NAT, ejecute el show ip nat translations comando. Este
comando muestra las traducciones NAT activas. Debido a que el ejemplo es una configuración
NAT estática, siempre figura una traducción en la tabla de NAT, independientemente de que
haya comunicaciones activas.

R2# show ip nat translations

Pro Inside global Inside local Outside local

Outside global

--- 209.165.201.5 192.168.10.254 --- ---

Total number of translations: 1

Si el comando se emite durante una sesión activa, la salida también indica la dirección del
dispositivo externo como se muestra en el siguiente ejemplo.

R2# show ip nat translations

Pro Inside global Inside local Outside local

Outside global

tcp 209.165.201.5 192.168.10.254 209.165.200.254

209.165.200.254

--- 209.165.201.5 192.168.10.254 ---

---

Total number of translations: 2

Otro comando útil es show ip nat statistics, el que muestra información sobre el número total
de traducciones activas, los parámetros de configuración de NAT, el número de direcciones en
el grupo y el número de direcciones que se han asignado.
Para verificar que la traducción NAT está funcionando, es mejor borrar las estadísticas de
cualquier traducción anterior utilizando el clear ip nat statistics comando antes de realizar la
prueba.

R2# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)

Outside interfaces:

Serial0/1/1

Inside interfaces:

Serial0/1/0

Hits: 0 Misses: 0

(output omitted)

Después de que el cliente establece una sesión con el servidor web, show ip nat
statisticsmuestra un aumento de cuatro hits en la interfaz interna (Serial0 / 1/0). De este modo,
se verifica que se lleva a cabo la traducción de NAT estática en el R2.

R2# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)

Outside interfaces:

Serial0/1/1

Inside interfaces:

Serial0/1/0

Hits: 4 Misses: 1

(output omitted)
6.4.5

NAT dinámica
6.5.1

Escenario NAT dinámico

En este tema, aprenderá cómo configurar y verificar NAT dinámico. Incluye una actividad
Packet Tracer para poner a prueba tus habilidades y conocimientos. Aunque la NAT estática
proporciona una asignación permanente entre una dirección local interna y una dirección global
interna, la NAT dinámica asigna automáticamente direcciones locales internas a direcciones
globales internas. Por lo general, estas direcciones globales internas son direcciones IPv4
públicas. La NAT dinámica, como la NAT estática, requiere la configuración de las interfaces
internas y externas que participan en NAT con los comandos de configuración de la interfaz ip
nat inside e ip nat outside . Sin embargo, mientras que la NAT estática crea una asignación
permanente a una única dirección, la NAT dinámica utiliza un conjunto de direcciones.

La topología de ejemplo que se muestra en la ilustración tiene una red interna que usa
direcciones del espacio de direcciones privadas definido en RFC 1918. Hay dos LAN
conectadas al router R1: 192.168.10.0/24 y 192.168.11.0/24. El router R2, es decir, el router de
frontera, se configuró para NAT dinámica con un conjunto de direcciones IPv4 públicas de
209.165.200.226 a 209.165.200.240.

El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se

encuentra disponible para cualquier dispositivo en la red interna según el orden de llegada. Con
la NAT dinámica, una única dirección interna se traduce a una única dirección externa. Con
este tipo de traducción, debe haber suficientes direcciones en el grupo para acomodar todos
los dispositivos internos que necesitan acceso concurrente a la red externa. Si todas las
direcciones del grupo están en uso, un dispositivo debe esperar una dirección disponible antes
de poder acceder a la red externa.

Nota: La traducción entre direcciones IPv4 públicas y privadas es, con mucho, el uso más
común de NAT. Sin embargo, las traducciones NAT pueden ocurrir entre un par de direcciones
IPv4.

6.5.2

Configurar la NAT dinámica

La figura muestra una topología de ejemplo en la configuración NAT permite la traducción de
todos los hosts de la red 192.168.0.0/16. Esto incluye las LAN 192.168.10.0 y 192.168.11.0
cuando los hosts generan tráfico que entra en la interfaz S0/1/0 y sale de S0/1/1. El host dentro
de las direcciones locales se traduce a una dirección de grupo disponible en el rango de
209.165.200.226 a 209.165.200.240
Paso 1

Defina el conjunto de direcciones que se utilizarán para la traducción con el ip nat

pool comando. Por lo general, este conjunto es un grupo de direcciones públicas.
Las direcciones se definen indicando la primera y la última dirección IPv4 del
conjunto. La palabra clave netmask o prefix-length indica qué bits de dirección
pertenecen a la red y qué bits pertenecen al host para ese rango de direcciones.

En el escenario, defina un grupo de direcciones IPv4 públicas bajo el nombre de

grupo NAT-POOL1.

R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240

netmask 255.255.255.224

Paso 2

Configure una ACL estándar para identificar (permitir) solo aquellas direcciones que se
deben traducir. Una ACL demasiado permisiva puede generar resultados impredecibles.
Recuerde que hay una declaración implícita deny all al final de cada ACL.

En el escenario, defina qué direcciones son elegibles para ser traducidas.

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

Paso 3

Enlazar la ACL al grupo, utilizando la siguiente sintaxis de comando:

Router(config)# ip nat inside source list {access-list-number | access-list-

name} pool pool-name
El router utiliza esta configuración para identificar qué dispositivos (list)reciben qué
direcciones (pool). En el escenario, vincule NAT-POOL1 con ACL 1.

R2(config-if)# ip nat inside source list 1 pool NAT-POOL1

Paso 4

Identifique qué interfaces están dentro, en relación con NAT; Esta será cualquier
interfaz que se conecte a la red interna.

En el escenario, identifique la interfaz serial 0/1/0 como una interfaz NAT interna.

R2(config)# interface serial 0/1/0

R2(config-if)# ip nat inside

Paso 5

Identifique qué interfaces están fuera, en relación con NAT; Esta será cualquier
interfaz que se conecte a la red externa.

En el escenario, identifique la interfaz serial 0/1/1 como la interfaz NAT externa.

R2(config)# interface serial 0/1/1

R2(config-if)# ip nat outside

Analizar NAT Dinámico - Interior a

Exterior
Usando la configuración anterior, las siguientes dos figuras ilustran el proceso
dinámico de traducción NAT entre dos clientes y el servidor web.

La siguiente figura se utiliza para ilustrar el flujo de tráfico desde la red interna
hacia el exterior.

La figura representa una traducción uno a uno para NAT. Dos PC en una red
interna están conectados al router R1 en dos redes 192.168.10.0/24 y
192.168.11.0/24. Un PC es la dirección 192.168.101.0 y el otro es 192.168.11.10.
 R1 está conectado a través de la conexión S0/1/0 al router R2. R2 se conecta
entonces a través de S0/1/1 a Internet y un servidor con dirección
209.165.200.254. NAT dinámico se utiliza para traducir entre la red interna y la red
externa a través de R2.

R2R1209.165.200.254192.168.10.10192.168.10.0/24192.168.11.0/24192.168.11.1
0PC1PC2SA192.168.10.10SA209.165.200.226SA192.168.11.10SA209.165.200.2
27213213

Conjunto de NAT IPv4

Conjunto de
direcciones locales Dirección global interna
internas

192.168.10.10 209.165.200.226

192.168.11.10 209.165.200.227

Red internaInternetServidorRed externa

1. Los hosts con las direcciones IPv4 de origen de 192.168.10.10 (PC1) y

192.168.11.10 (PC2) envían paquetes solicitando una conexión al servidor en la
dirección IPv4 pública 209.165.200.254.
2. El R2 recibe el primer paquete del host 192.168.10.10. Debido a que este paquete
se recibió en una interfaz configurada como interfaz NAT interna, el R2 verifica la
configuración NAT para determinar si este paquete debe traducirse. Como la ACL
permite este paquete, el R2 lo traduce. El R2 consulta su tabla de NAT. Como no
hay una entrada de traducción actual para esta dirección IPv4, R2 determina que
la dirección de origen 192.168.10.10 debe traducirse. El R2 selecciona una
dirección global disponible del conjunto de direcciones dinámicas y crea una
entrada de traducción, 209.165.200.226. La dirección IPv4 de origen original
192.168.10.10 es la dirección local interna y la dirección traducida es la dirección
global interna 209.165.200.226 en la tabla NAT. Para el segundo host,
192.168.11.10, el R2 repite el procedimiento, selecciona la siguiente dirección
global disponible del conjunto de direcciones dinámicas y crea una segunda
entrada de traducción, 209.165.200.227.
3. El R2 reemplaza la dirección de origen local interna de la PC1, 192.168.10.10, por
la dirección global interna traducida 209.165.200.226 y reenvía el paquete. El
mismo proceso ocurre para el paquete de PC2 usando la dirección traducida de
209.165.200.227.

6.5.4
 Analizar NAT dinámico: de exterior a
interior
La siguiente figura ilustra el resto del flujo de tráfico entre los clientes y el servidor
desde el exterior hacia la dirección interior.

La figura representa una traducción uno a uno para NAT. Dos PC en una red
interna están conectados al router R1 en dos redes 192.168.10.0/24 y
192.168.11.0/24. Un PC es la dirección 192.168.101.0 y el otro es 192.168.11.10.
R1 está conectado a través de la conexión S0/1/0 al router R2. R2 se conecta
entonces a través de S0/1/1 a Internet y un servidor con dirección
209.165.200.254. NAT dinámico se utiliza para traducir entre la red interna y la red
externa a través de R2.

R2R1209.165.200.254192.168.10.10192.168.10.0/24192.168.11.0/24192.168.11.1
0PC1PC25b5b5a5a44DA192.168.10.10DA209.165.200.226DA192.168.11.10DA20
9.165.200.227

Conjunto de NAT IPv4

Conjunto de
direcciones locales Dirección global interna
internas

192.168.10.10 209.165.200.226

192.168.11.10 209.165.200.227

InternetServidorRed externa

4. El servidor recibe el paquete de la PC1 y responde con la dirección IPv4 de destino

209.165.200.226. Cuando el servidor recibe el segundo paquete, responde a la
PC2 con la dirección IPv4 de destino 209.165.200.227.
5. (a) Cuando R2 recibe el paquete con la dirección IPv4 de destino de
209.165.200.226; realiza una búsqueda en la tabla NAT. Usando la asignación de
la tabla, R2 traduce la dirección de nuevo a la dirección local interna 192.168.10.10
y reenvía el paquete hacia la PC1. (b) Cuando R2 recibe el paquete con la
dirección IPv4 de destino de 209.165.200.227; realiza una búsqueda en la tabla
NAT. Usando la asignación de la tabla, R2 traduce la dirección de nuevo a la
dirección local interna 192.168.11.10 y reenvía el paquete hacia la PC2.
6. La PC1 en 192.168.10.10 y la PC2 en 192.168.11.10 reciben los paquetes y
continúan la conversación. El router lleva a cabo los pasos 2 a 5 para cada
paquete. (El paso 6 no aparece en las ilustraciones).

6.5.5
Verificar NAT dinámica
La salida del show ip nat translations comando muestra todas las traducciones
estáticas que se han configurado y cualquier traducción dinámica que haya sido
creada por el tráfico.

R2# show ip nat translations

Pro Inside global Inside local Outside local Outside

global

--- 209.165.200.228 192.168.10.10 --- ---

--- 209.165.200.229 192.168.11.10 --- ---

R2#

Agregar la palabra verbose clave muestra información adicional sobre cada

traducción, incluido cuánto tiempo hace que se creó y usó la entrada.

R2# show ip nat translation verbose

Pro Inside global Inside local Outside local Outside

global

tcp 209.165.200.228 192.168.10.10 --- ---

create 00:02:11, use 00:02:11 timeout:86400000, left 23:57:48,

Map-Id(In): 1,

flags:

none, use_count: 0, entry-id: 10, lc_entries: 0

tcp 209.165.200.229 192.168.11.10 --- ---

create 00:02:10, use 00:02:10 timeout:86400000, left 23:57:49,

Map-Id(In): 1,

flags:

none, use_count: 0, entry-id: 12, lc_entries: 0

R2#
De forma predeterminada, las entradas de traducción expiran después de 24
horas, a menos que los temporizadores se hayan reconfigurado con el comando ip
nat translation timeout timeout-seconds en modo de configuración global.

Para borrar las entradas dinámicas antes de que expire el tiempo de espera, use
el clear ip nat translation comando del modo EXEC privilegiado como se
muestra.

R2# clear ip nat translation *

R2# show ip nat translation

Es útil borrar las entradas dinámicas al probar la configuración NAT. El clear ip nat
translation comando se puede usar con palabras clave y variables para controlar
qué entradas se borran, como se muestra en la tabla. Se pueden borrar entradas
específicas para evitar interrumpir las sesiones activas. Utilice el comando clear ip
nat translation * EXEC privilegiado para borrar todas las traducciones de la tabla.

Comando Descripción

Borra todas las entradas de traducción de

clear ip nat translation * direcciones dinámicas de la traducción NAT
MAC.

Borra una entrada de traducción dinámica

clear ip nat translation insideglobal-ip local-
simple que contiene un traducción o tanto
ip [outside local-ip global-ip]
dentro como fuera de la traducción.

clear ip nat translation protocolinsideglobal-ip

Elimina una entrada de traducción dinámica
global-port local-ip local-port [ fuera delocal-ip
extendida.
local-port global-ip global-port]

Nota: Solo las traducciones dinámicas se borran de la tabla. Las traducciones

estáticas no pueden borrarse de la tabla de traducción.

Otro comando útil, show ip nat statistics muestra información sobre el número
total de traducciones activas, los parámetros de configuración de NAT, el número
de direcciones en el grupo y cuántas de las direcciones se han asignado.

R2# show ip nat statistics

Total active translations: 4 (0 static, 4 dynamic; 0 extended)

Peak translations: 4, occurred 00:31:43 ago

 Outside interfaces:

Serial0/1/1

Inside interfaces:

Serial0/1/0

Hits: 47 Misses: 0

CEF Translated packets: 47, CEF Punted packets: 0

Expired translations: 5

Dynamic mappings:

-- Inside Source

[Id: 1] access-list 1 pool NAT-POOL1 refcount 4

pool NAT-POOL1: netmask 255.255.255.224

start 209.165.200.226 end 209.165.200.240

type generic, total addresses 15, allocated 2 (13%), misses

(output omitted)

R2#

Alternativamente, puede usar el show running-config comando y buscar

comandos NAT, ACL, interfaz o grupo con los valores requeridos. Examínelos
detenidamente y corrija cualquier error que detecte. El ejemplo muestra la
configuración del grupo NAT.

R2# show running-config | include NAT

ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask

255.255.255.224

ip nat inside source list 1 pool NAT-POOL1

6.5.6
PAT
6.6.1

Escenario PAT

En este tema, aprenderá a configurar y verificar PAT. Incluye una actividad

Packet Tracer para poner a prueba tus habilidades y conocimientos. Existen
dos formas de configurar PAT, según cómo el ISP asigna las direcciones
IPv4 públicas. En primera instancia, el ISP asigna una única dirección IPv4
pública que se requiere para que la organización se conecte al ISP y, en la
otra, asigna más de una dirección IPv4 pública a la organización.

Ambos métodos se demostrarán utilizando el escenario mostrado en la

figura.

Configurar PAT para usar una única

dirección IPv4

Para configurar PAT para que utilice una única dirección IPv4, simplemente
agregue la palabra clave overload al ip nat inside source comando. El
resto de la configuración es similar a la configuración NAT estática y
dinámica, excepto que con PAT, varios hosts pueden usar la misma
dirección IPv4 pública para acceder a Internet.

En el ejemplo, todos los hosts de la red 192.168.0.0/16 (coincidencia ACL 1)

que envían tráfico a través del enrutador R2 a Internet se traducirán a la
dirección IPv4 209.165.200.225 (dirección IPv4 de la interfaz S0 / 1/1). Los
flujos de tráfico se identificarán mediante números de puerto en la tabla NAT
porque la palabra overload clave está configurada.

R2(config)# ip nat inside source list 1 interface serial 0/1/1

overload

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

R2(config)# interface serial0/1/0

R2(config-if)# ip nat inside

R2(config-if)# exit

R2(config)# interface Serial0/1/1

R2(config-if)# ip nat outside

6.6.3

Configure PAT to Use an Address Pool

Un ISP puede asignar más de una dirección IPv4 pública a una

organización. En este escenario, la organización puede configurar PAT para
utilizar un grupo de direcciones públicas IPv4 para la traducción.

Si se emitió más de una dirección IPv4 pública para un sitio, estas

direcciones pueden ser parte de un conjunto utilizado por PAT. El pequeño
grupo de direcciones se comparte entre un mayor número de dispositivos,
con múltiples hosts que utilizan la misma dirección IPv4 pública para
acceder a Internet. Para configurar PAT para un grupo de direcciones NAT
dinámico, simplemente agregue la palabra clave overload al ip nat inside
source comando.

La topología de este escenario se repite en la figura para su conveniencia.

En el ejemplo, NAT-POOL2 está enlazado a una ACL para permitir la
traducción de 192.168.0.0/16. Estos hosts pueden compartir una dirección
IPv4 del grupo porque PAT está habilitado con la palabra clave overload.

R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240

netmask 255.255.255.224

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload

R2(config)#

R2(config)# interface serial0/1/0

R2(config-if)# ip nat inside

R2(config-if)# exit

R2(config)# interface serial0/1/1

R2(config-if)# ip nat outside

R2(config-if)# end

R2#
6.6.4

Analizar PAT - PC a servidor

El proceso de sobrecarga de NAT es el mismo si se usa un grupo de

direcciones o si se usa una sola dirección. En esta figura, PAT está
configurado para usar una única dirección IPv4 pública, en lugar de un
grupo de direcciones. PC1 quiere comunicarse con el servidor web, Svr1. Al
mismo tiempo, otro cliente, la PC2, desea establecer una sesión similar con
el servidor web Svr2. Tanto la PC1 como la PC2 se configuran con
direcciones IPv4 privadas, con el R2 habilitado para PAT.
 En la figura, se muestran los siguientes pasos:

1. Tanto PC1 como PC2 están enviando paquetes a Svr1 y Svr2, respectivamente. La PC1 tiene
la dirección IPv4 de origen 192.168.10.10 y utiliza el puerto de origen TCP 1444. PC2 tiene la
dirección IPv4 de origen 192.168.10.11 y, por coincidencia, utiliza el mismo puerto de origen
TCP de 1444.
2. El paquete de la PC1 llega primero al R2. Mediante el uso de PAT, el R2 modifica la dirección
IPv4 de origen a 209.165.200.225 (dirección global interna). En la tabla de NAT, no hay ningún
otro dispositivo que use el puerto 1444, de modo que PAT mantiene el mismo número de
puerto. El paquete luego se reenvía hacia el Svr1 en 209.165.201.1.
3. A continuación, llega el paquete de la PC2 al R2. PAT está configurada para utilizar una única
dirección IPv4 global interna para todas las traducciones, 209.165.200.225. Similar al proceso
de traducción para PC1, PAT cambia la dirección IPv4 de origen de PC2 a la dirección global
interna 209.165.200.225. Sin embargo, la PC2 tiene el mismo número de puerto de origen que
una entrada actual de PAT, la traducción para la PC1. PAT aumenta el número de puerto de
origen hasta que sea un valor único en su tabla. En este caso, la entrada del puerto de origen
en la tabla de NAT y el paquete de la PC2 reciben el número 1445.

6.6.5

Analizar PAT - Servidor a PC

Si bien la PC1 y la PC2 usan la misma dirección traducida, la dirección
global interna 209.165.200.225, y el mismo número de puerto de origen
1444, el número de puerto modificado para la PC2 (1445) hace que cada
entrada en la tabla de NAT sea única. Esto se hará evidente con los
paquetes enviados desde los servidores a los clientes, como se muestra en
la figura.
 En esta segunda figura, los pasos de los servidores a los PC son los
siguientes:

4. Los servidores usan el puerto de origen del paquete recibido como puerto
de destino y la dirección de origen como dirección de destino para el tráfico
de retorno. Al parecer, los servidores se comunican con el mismo host en
209.165.200.225, pero no es así.
5. A medida que llegan los paquetes, el R2 ubica una única entrada en su
tabla de NAT mediante la dirección de destino y el puerto de destino de
cada paquete. En el caso del paquete del Svr1, la dirección IPv4 de destino
209.165.200.225 tiene varias entradas, pero solo una con el puerto de
destino 1444. Mediante la entrada de su tabla, el R2 cambia la dirección
IPv4 de destino del paquete a 192.168.10.10, sin necesidad de modificar el
puerto de destino. Luego, el paquete se reenvía hacia la PC1.
6. Cuando llega el paquete del Svr2, el R2 realiza una traducción similar. La
dirección IPv4 de destino 209.165.200.225 vuelve a aparecer en varias
entradas. Sin embargo, con el puerto de destino 1445, el R2 puede
identificar una única entrada de traducción. La dirección IPv4 de destino se
modifica a 192.168.10.11. En este caso, el puerto de destino también se
debe volver a modificar a su valor original de 1444, que está almacenado en
la tabla de NAT. Luego, el paquete se reenvía hacia la PC2.

6.6.6
Verificar PAT
El router R2 se configuró para proporcionar PAT a los clientes de
192.168.0.0/16. Cuando los hosts internos salen del enrutador R2 a Internet,
se traducen a una dirección IPv4 del grupo PAT con un número de puerto
de origen único.

Los mismos comandos utilizados para verificar NAT estático y dinámico se

utilizan para verificar PAT, como se muestra en la salida de ejemplo. El
comando show ip nat translations muestra las traducciones de dos hosts
diferentes a diferentes servidores web. Observe que se asigna la misma
dirección IPv4 209.165.200.226 (dirección global interna) a dos hosts
internos distintos. Los números de puerto de origen en la tabla de NAT
distinguen las dos transacciones.

R2# show ip nat translations

Pro Inside global Inside local Outside local

Outside global

tcp 209.165.200.225:1444 192.168.10.10:1444 209.165.201.1:80

209.165.201.1:80

tcp 209.165.200.225:1445 192.168.11.10:1444 209.165.202.129:80

209.165.202.129:80

R2#

En el siguiente ejemplo, el comando show ip nat statistics verifica que

NAT-POOL2 haya asignado una única dirección para ambas traducciones.
El resultado incluye información sobre la cantidad y el tipo de traducciones
activas, los parámetros de configuración NAT, la cantidad de direcciones en
el conjunto y la cantidad que se asignó.

R2# show ip nat statistics

Total active translations: 4 (0 static, 2 dynamic; 2 extended)

Peak translations: 2, occurred 00:31:43 ago

Outside interfaces:
 Serial0/1/1

Inside interfaces:

Serial0/1/0

Hits: 4 Misses: 0

CEF Translated packets: 47, CEF Punted packets: 0

Expired translations: 0

Dynamic mappings:

-- Inside Source

[Id: 3] access-list 1 pool NAT-POOL2 refcount 2

pool NAT-POOL2: netmask 255.255.255.224

start 209.165.200.225 end 209.165.200.240

type generic, total addresses 15, allocated 1 (6%), misses 0

(output omitted)

R2#

NAT64
6.7.1

¿NAT para IPv6?

Debido a que muchas redes utilizan IPv4 e IPv6, es necesario que exista una forma de utilizar IPv6
con NAT. En este tema se explica cómo se puede integrar IPv6 con NAT. Con una dirección de
128 bits, IPv6 proporciona 340 sextillones de direcciones. Por lo tanto, el espacio de direcciones no
es un problema. IPv6 se desarrolló con la intención de hacer innecesario NAT para IPv4 con
traducción entre direcciones IPv4 públicas y privadas. Sin embargo, IPv6 sí incluye su propio
espacio de direcciones privadas IPv6, direcciones locales únicas (ULA).

Las direcciones IPv6 locales únicas (ULA) se asemejan a las direcciones privadas en IPv4 definidas
en RFC 1918, pero con un propósito distinto. Las direcciones ULA están destinadas únicamente a
las comunicaciones locales dentro de un sitio. Las direcciones ULA no están destinadas a
proporcionar espacio de direcciones IPv6 adicional ni a proporcionar un nivel de seguridad.

IPv6 proporciona la traducción de protocolos entre IPv4 e IPv6 conocida como NAT64.

6.7.2
NAT64
NAT para IPv6 se usa en un contexto muy distinto al de NAT para IPv4. Las variedades de NAT
para IPv6 se utilizan para proporcionar de forma transparente el acceso entre redes solo IPv6 y solo
IPv4, como se muestra en la figura. No se utiliza como forma de traducción de IPv6 privada a IPv6
global.

La figura representa la traducción NAT64 o IPv6 NAT. Un enrutador etiquetado NAT64 está
conectado a Internet IPv4, a Internet IPv6 y a una red sólo IPv6. El flujo de tráfico IPv6 nativo se
muestra en las redes IPv6 mientras que el flujo de tráfico traducido NAT64 se muestra para la red
IPv4.

Lo ideal es que IPv6 se ejecute de forma nativa siempre que sea posible. Es decir, en dispositivos
IPv6 que se comunican entre sí a través de redes IPv6. No obstante, para colaborar en el cambio de
IPv4 a IPv6, el IETF elaboró varias técnicas de transición que admiten una variedad de situaciones
de IPv4 a IPv6, como dual-stack, tunneling y traducción.

Dual-stack es cuando los dispositivos ejecutan protocolos asociados con IPv4 e IPv6. Tunneling
para IPv6 es el proceso de encapsulación de un paquete IPv6 dentro de un paquete IPv4. Esto
permite que el paquete IPv6 se transmita a través de una red solo IPv4.

NAT para IPv6 no debe usarse como una estrategia a largo plazo, sino como un mecanismo
temporal para ayudar en la migración de IPv4 a IPv6. Con el correr de los años, hubo varios tipos de
NAT para IPv6, incluida la traducción de direcciones de red/traducción de protocolos (NAT-PT). El
IETF dejó en desuso NAT-PT en favor de su reemplazo, NAT64. NAT64 excede el ámbito de este
currículo.