Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Las direcciones IPv4 son números de 32 bits. Matemáticamente, esto significa que puede haber algo
más de 4 mil millones de direcciones IPv4 únicas. En la década de 1980, esto parecía más que
suficientes direcciones IPv4. Luego vino el desarrollo de computadoras de escritorio y portátiles
asequibles, teléfonos inteligentes y tabletas, muchas otras tecnologías digitales, y por supuesto,
Internet. Con bastante rapidez se hizo evidente que 4.000 millones de direcciones IPv4 no serían
suficientes para manejar la creciente demanda. Esta es la razón por la que se desarrolló IPv6.
Incluso con IPv6, la mayoría de las redes actuales son sólo IPv4, o una combinación de IPv4 e IPv6.
La transición a redes sólo IPv6 sigue en curso, por lo que se desarrolló la traducción de direcciones
de red (NAT). NAT está diseñado para ayudar a administrar esos 4 mil millones de direcciones para
que todos podamos usar nuestros muchos dispositivos para acceder a Internet. Como puede ver, es
importante que comprenda el propósito de (NAT) y cómo funciona. Como ventaja, este módulo
contiene múltiples actividades Packet Tracer donde se puede configurar diferentes tipos de NAT.
¡Vamos, vamos!
6.0.2
Objetivos del módulo: Configure los servicios NAT en el enrutador perimetral para proporcionar
escalabilidad de dirección IPv4.
CARACTERÍSTICAS DE NAT
Espacio de direcciones IPv4 privadas
Como sabe, no hay suficientes direcciones IPv4 públicas para asignar una dirección única a cada
dispositivo conectado a Internet. Las redes suelen implementarse mediante el uso de direcciones
IPv4 privadas, según se definen en RFC 1918. El rango de direcciones incluido en RFC 1918 se
incluye en la siguiente tabla. Es muy probable que la computadora que utiliza para ver este curso
tenga asignada una dirección privada.
Clase Rango de direcciones internas RFC 1918 P
A 10.0.0.0 a 10.255.255.255 10.0.0.0/8
B 172.16.0.0 a 172.31.255.255 172.16.0.0/12
C 192.168.0.0 a 192.168.255.255 192.168.0.0/16
Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir que los
dispositivos se comuniquen localmente. Sin embargo, debido a que estas direcciones no identifican
a una sola empresa u organización, las direcciones IPv4 privadas no se pueden enrutar a través de
Internet. Para permitir que un dispositivo con una dirección IPv4 privada acceda a recursos y
dispositivos fuera de la red local, primero se debe traducir la dirección privada a una dirección
pública.
La figura representa un router NAT entre dos redes, una red interna con un espacio de direcciones
IPv4 privado e Internet con un espacio de direcciones IPv4 público. Hay una flecha de dos vías que
muestra las traducciones NAT entre el espacio de direcciones IPv4 público y el espacio de
direcciones IPv4 privado.
Sin NAT, el agotamiento del espacio de direcciones IPv4 habría ocurrido mucho antes del año 2000.
Sin embargo, NAT tiene limitaciones y desventajas, que se explorarán más adelante en este
módulo. La solución al agotamiento del espacio de direcciones IPv4 y a las limitaciones de NAT es
la transición final a IPv6.
6.1.2
¿Qué es NAT?
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto se logra
al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar la
traducción a una dirección pública solo cuando sea necesario. NAT tiene el beneficio percibido de
agregar un grado de privacidad y seguridad a una red, ya que oculta las direcciones IPv4 internas de
redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas
válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando un dispositivo
interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna del
dispositivo a una dirección pública del conjunto de NAT. Para los dispositivos externos, todo el
tráfico entrante y saliente de la red parece tener una dirección IPv4 pública del conjunto de
direcciones proporcionado.
En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una red de código
auxiliar es una o más redes con una única conexión a su red vecina, una entrada y una salida de la
red. En el ejemplo de la ilustración, el R2 es un router de frontera. Visto desde el ISP, el R2 forma
una red de rutas internas.
La figura muestra un enrutador (R2) conectado a un enrutador ISP con Internet con un servidor en
IP 209.165.201.1. R2 es una red auxiliar con solo un punto de salida a Internet. R2 está conectado
al router (R1) que tiene dos switches conectados a él. Los dos switches tienen redes
192.168.10.0/24 y 192.168.11.0/24. Un PC (PC1) está conectado a la red 192.168.10.0.24 y tiene
una dirección IPv4 de 192.168.10.10. Una segunda PC (PC2) está conectada al segundo switch con
dirección de red 192.168.11.0/24 y tiene una dirección IPv4 192.168.11.10. R2 es un router de borde
habilitado para NAT.
Cuando un dispositivo dentro de la red de rutas internas desea comunicarse con un dispositivo fuera
de su red, el paquete se reenvía al router de frontera. El router de frontera realiza el proceso de
NAT, es decir, traduce la dirección privada interna del dispositivo a una dirección pública, externa y
enrutable.
Nota: La conexión con el ISP puede usar una dirección privada o una dirección pública que se
comparte entre los clientes. Para los propósitos de este módulo, se muestra una dirección pública.
Terminología de NAT
Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción. La red
externa se refiere a todas las otras redes.
Cuando se usa NAT, las direcciones IPv4 tienen diferentes designaciones en función de si están en
la red privada o en la red pública (internet), y si el tráfico es entrante o saliente.
Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT
siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:
NAT también usa los conceptos de local o global con relación a las direcciones:
Dirección local: -una dirección local es cualquier dirección que aparece en la parte interna de la
red.
Dirección global: - una dirección global es cualquier dirección que aparece en la parte externa de la
red.
Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer
referencia a direcciones específicas. El enrutador NAT, R2 en la figura, es el punto de demarcación
entre las redes internas y externas. R2 está configurado con un grupo de direcciones públicas para
asignar a los hosts internos. Consulte la tabla de red y NAT de la figura para obtener la siguiente
explicación de cada uno de los tipos de direcciones NAT.
La dirección de la fuente vista desde dentro de la red. Normalmente, es una dirección IPv4
privada. En la ilustración, la dirección IPv4 192.168.10.10 se asignó a la PC1. Esta es la
dirección local interna de la PC1.
La dirección del destino vista desde la red externa. Es una dirección IPv4 enrutable globalmente
asignada a un host en Internet. Por ejemplo, se puede llegar al servidor web en la dirección IPv4
209.165.201.1. Por lo general, las direcciones externas globales y locales son iguales.
La dirección del destino como se ve desde la red interna. En este ejemplo, la PC1 envía tráfico al
servidor web en la dirección IPv4 209.165.201.1. Si bien es poco frecuente, esta dirección podría ser
diferente de la dirección globalmente enrutable del destino.
PC1 tiene una dirección local interna de 192.168.10.10. Desde la perspectiva de la PC1, el servidor
web tiene la dirección externa 209.165.201.1. Cuando se envían los paquetes de la PC1 a la
dirección global del servidor web, la dirección local interna de la PC1 se traduce al 209.165.200.226
(dirección global interna). La dirección del dispositivo externo generalmente no se traduce porque
esa dirección suele ser una dirección IPv4 pública.
Observe que la PC1 tiene distintas direcciones locales y globales, mientras que el servidor web tiene
la misma dirección IPv4 pública en ambos casos. Desde la perspectiva del servidor web, el tráfico
que se origina en la PC1 parece provenir de 209.165.200.226, la dirección global interna.
Tipos de NAT
6.2.1
NAT estático
Ahora que ha aprendido acerca de NAT y cómo funciona, este tema discutirá las muchas versiones
de NAT que están disponibles para usted.
La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas
asignaciones son configuradas por el administrador de red y se mantienen constantes.
En la ilustración, el R2 se configuró con las asignaciones estáticas para las direcciones locales
internas del Svr1, la PC2 y la PC3. Cuando estos dispositivos envían tráfico a Internet, sus
direcciones locales internas se traducen a las direcciones globales internas configuradas. Para
redes externas, estos dispositivos parecen tener direcciones IPv4 públicas.
La figura representa la traducción estática de NAT. Una red interna con una dirección de servidor
(SRV1) 192.168.10.10, un PC (PC2) con y dirección 192.168.10.11 y un PC (PC3) con una dirección
192.168.10.12. La red Inside está conectada a un switch y el switch se conecta al router R2. R2 se
conecta a Internet con un PC (PC4) conectado a Internet. Se muestra una sesión de conexión SSH
al servidor de red Inside SRV1 a la dirección ip 209.165.200.226. La tabla NAT estática tiene dos
columnas Inside Local Address y Inside Global Address - Address accesible a través de R2. Las
direcciones locales internas se asignan de la siguiente manera 192.168.10.10 se asigna a
209.165.200.226, 192.168.10.11 a 209.165.200.227 y 192.168.10.12 a 209.165.200.228.
La NAT estática es particularmente útil para servidores web o dispositivos que deben tener una
dirección coherente a la que se pueda acceder desde Internet, como el servidor web de una
empresa. También es útil para dispositivos que deben ser accesibles por personal autorizado
cuando se encuentra fuera del sitio, pero no por el público en general en Internet. Por ejemplo, un
administrador de red de PC4 puede usar SSH para obtener acceso a la dirección global interna de
Svr1 (209.165.200.226). R2 traduce esta dirección global interna a la dirección local interna
192.168.10.10 y conecta la sesión a Svr1.
La NAT estática requiere que haya suficientes direcciones públicas disponibles para satisfacer la
cantidad total de sesiones de usuario simultáneas.
6.2.2
NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada.
Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una
dirección IPv4 pública disponible del conjunto.
En la figura, PC3 ha accedido a Internet utilizando la primera dirección disponible en el grupo NAT
dinámico. Las demás direcciones siguen disponibles para utilizarlas. Al igual que la NAT estática, la
NAT dinámica requiere que haya suficientes direcciones públicas disponibles para satisfacer la
cantidad total de sesiones de usuario simultáneas.
La figura representa la traducción NAT dinámica. Una red interna con una dirección de servidor
(SRV1) de 192.168.10.10, una PC (PC2) con una dirección de 192.168.10.11 y una PC (PC3) con
una dirección de 192.168.10.12. La red Inside está conectada a un switch y el switch se conecta al
router R2. El Pool Nat IPv4 tiene dos columnas Dirección local interna y Dirección global interna
Pool- Dirección accesible a través de R2. 192.168.10.12 mapas a 209.165.200.226. sin embargo,
209.165.200.227 a 209.165.200.230 están disponibles.
Dirección local Conjunto de direcciones globales internas: direcciones a las que se puede
interna llegar a través del R2
192.168.10.12 209.165.200.226
Disponible 209.165.200.227
Disponible 209.165.200.228
Disponible 209.165.200.229
Disponible 209.165.200.230
Traducción de NAT dinámicaInternaExternaInternet
6.2.3
Traducción de la dirección del puerto
La traducción de la dirección del puerto (PAT), también conocida como “NAT con sobrecarga”,
asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas direcciones.
Esto es lo que hacen la mayoría de los enrutadores domésticos. El ISP asigna una dirección al
enrutador, sin embargo, varios miembros del hogar pueden acceder simultáneamente a Internet.
Esta es la forma más común de NAT tanto para el hogar como para la empresa.
Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada
dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia una
sesión TCP / IP, genera un valor de puerto de origen TCP o UDP, o un ID de consulta
especialmente asignado para ICMP, para identificar de forma única la sesión. Cuando el router NAT
recibe un paquete del cliente, utiliza su número de puerto de origen para identificar de forma
exclusiva la traducción NAT específica.
PAT garantiza que los dispositivos usen un número de puerto TCP diferente para cada sesión con
un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen, que
se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo el
router reenvía los paquetes. El proceso de PAT también valida los paquetes entrantes que han
solicitado, lo que agrega un grado de seguridad a la sesión.
Haga clic en Reproducir en la figura para ver una animación del proceso PAT. PAT agrega números
de puerto de origen únicos a la dirección global interna para distinguir las traducciones.
Dirección IP local
Dirección IP global interna Dirección IP local externa Dirección IP global externa
interna
A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555, en este
ejemplo) para identificar el dispositivo en el que se originó el paquete. La dirección de origen (SA) es
la dirección local interna con el número de puerto asignado TCP / UDP agregado. La dirección de
destino (DA) es la dirección global externa con el número de puerto de servicio agregado. En este
ejemplo, el puerto de servicio es 80, que es HTTP.
Para la dirección de origen, el R2 traduce la dirección local interna a una dirección global interna con
el número de puerto agregado. La dirección de destino no cambia, pero ahora se conoce como la
dirección IPv4 global externa. Cuando el servidor web responde, se invierte la ruta.
6.2.4
PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen original ya está
en uso, PAT asigna el primer número de puerto disponible a partir del comienzo del grupo de
puertos apropiado 0-511, 512-1,023 o 1,024-65,535. Cuando no hay más puertos disponibles y hay
más de una dirección externa en el conjunto de direcciones, PAT avanza a la siguiente dirección
para intentar asignar el puerto de origen inicial. Este proceso continúa hasta que no haya más
puertos ni direcciones IPv4 externas disponibles.
Haga clic en Reproducir en la figura para ver una animación de la operación PAT. En este ejemplo,
PAT asignó el siguiente puerto disponible (1445) a la segunda dirección host.
Tabla NAT con sobrecarga
Dirección IP global
Dirección IP local interna
interna
209.165.200.226:1444 192.168.10.11:1444
Dirección IP global
Dirección IP local interna
interna
209.165.200.226:1444 192.168.10.11:1444
Tabla NAT con sobrecarga
Dirección IP global
Dirección IP local interna
interna
209.165.200.226:1445 192.168.10.12:1444
En la animación, los anfitriones han elegido el mismo número de puerto de 1444. Esto resulta
aceptable para la dirección interna, porque los hosts tienen direcciones IPv4 privadas únicas. Sin
embargo, en el router NAT, se deben cambiar los números de puerto; de lo contrario, los paquetes
de dos hosts distintos saldrían del R2 con la misma dirección de origen. Este ejemplo supone que
los primeros 420 puertos en el rango 1,024 - 65,535 ya están en uso, por lo que se usa el siguiente
número de puerto disponible, 1445.
Cuando los paquetes se devuelven desde fuera de la red, si el número de puerto de origen fue
modificado previamente por el enrutador habilitado para NAT, el número de puerto de destino
volverá a cambiar al número de puerto original por el enrutador habilitado para NAT.
6.2.5
NAT PAT
Mapeo uno a uno entre las
Una dirección global interna se puede asignar a muchas direcciones
direcciones Inside Local y Inside
locales internas.
Global.
Utiliza sólo direcciones IPv4 en el Utiliza direcciones IPv4 y números de puerto de origen TCP o UDP en la
proceso de traducción. traducción proceso.
Se requiere una dirección única
de Inside Global para cada host Una única dirección única de Inside Global puede ser compartida por
interno accediendo a la red muchos hosts internos accediendo a la red externa.
externa.
NAT
La figura muestra un ejemplo sencillo de una tabla NAT. En este ejemplo, cuatro hosts de la red
interna se están comunicando con la red externa. La columna izquierda muestra las direcciones
del grupo global de direcciones que NAT utiliza para traducir la dirección local interna de cada
host. Tenga en cuenta la relación uno a uno de las direcciones globales internas con las
direcciones locales internas para cada uno de los cuatro hosts que acceden a la red externa.
Con NAT, se necesita una dirección global interna para cada host que necesita conectarse a la
red externa.
Nota: NAT reenvía los paquetes de retorno entrantes al host interno original haciendo
referencia a la tabla y traduciendo la dirección global interna a la dirección local interna
correspondiente del host.
Dirección global interna Dirección local interna
209.165.200.226 192.168.10.10
209.165.200.227 192.168.10.11
209.165.200.228 192.168.10.12
209.165.200.229 192.168.10.13
PAT
Mientras que NAT sólo modifica las direcciones IPv4, PAT modifica tanto la dirección IPv4
como el número de puerto. Con PAT, generalmente solo hay una, o muy pocas, direcciones
IPv4 expuestas públicamente. La tabla NAT de ejemplo muestra una dirección global interna
que se está utilizando para traducir las direcciones locales internas de los cuatro hosts internos.
PAT utiliza el número de puerto de Capa 4 para realizar un seguimiento de las conversaciones
de los cuatro hosts.
Nota: Otros mensajes ICMPv4 no usan la ID de consulta. Estos mensajes y otros protocolos
que no utilizan los números de puerto TCP o UDP varían y exceden el ámbito de este currículo.
Ventajas de NAT
NAT resuelve nuestro problema de no tener suficientes direcciones IPv4, pero también puede
crear otros problemas. Este tema aborda las ventajas y desventajas de NAT.
6.3.2
Desventajas de la NAT
NAT tiene inconvenientes. El hecho de que los hosts en Internet parezcan comunicarse
directamente con el dispositivo habilitado para NAT, en lugar de con el host real dentro de la
red privada, crea una serie de problemas.
Una desventaja del uso de NAT se relaciona con el rendimiento de la red, en especial, en el
caso de los protocolos en tiempo real como VoIP. NAT aumenta los retrasos de reenvió porque
la traducción de cada dirección IPv4 dentro de los encabezados de los paquetes lleva tiempo.
Al primer paquete siempre se aplica el switching de procesos por la ruta más lenta. El router
debe revisar todos los paquetes para decidir si necesitan traducción. El router debe modificar el
encabezado de IPv4 y, posiblemente, el encabezado TCP o UDP. El checksum del encabezado
de IPv4, junto con el checksum de TCP o UDP, se debe volver a calcular cada vez que se
realiza una traducción. Si existe una entrada de caché, el resto de los paquetes atraviesan la
ruta de switching rápido; de lo contrario, también se retrasan.
Esto se vuelve más un problema a medida que los grupos de direcciones IPv4 públicas para
ISP se agotan. Muchos ISP tienen que asignar a los clientes una dirección IPv4 privada en
lugar de una dirección IPv4 pública. Esto significa que el router del cliente traduce el paquete
de su dirección IPv4 privada a la dirección IPv4 privada del ISP. Antes de reenviar el paquete a
otro proveedor, el ISP realizará NAT de nuevo, traduciendo sus direcciones IPv4 privadas a
una de sus pocas direcciones IPv4 públicas. Este proceso de dos capas de traducción NAT se
conoce como Carrier Grade NAT (CGN).
Otra desventaja del uso de NAT es que se pierde el direccionamiento de extremo a extremo.
Esto se conoce como el principio de extremo a extremo. Muchos protocolos y aplicaciones de
Internet dependen del direccionamiento de extremo a extremo desde el origen hasta el destino.
Algunas aplicaciones no funcionan con NAT. Por ejemplo, algunas aplicaciones de seguridad,
como las firmas digitales, fallan porque la dirección IPv4 de origen cambia antes de llegar a
destino. Las aplicaciones que utilizan direcciones físicas, en lugar de un nombre de dominio
calificado, no llegan a los destinos que se traducen a través del router NAT. En ocasiones, este
problema se puede evitar al implementar las asignaciones de NAT estática.
También se reduce el seguimiento IPv4 de extremo a extremo. El seguimiento de los paquetes
que pasan por varios cambios de dirección a través de varios saltos de NAT se torna mucho
más difícil y, en consecuencia, dificulta la resolución de problemas.
Los servicios que requieren que se inicie una conexión TCP desde la red externa, o “protocolos
sin estado”, como los servicios que utilizan UDP, pueden interrumpirse. A menos que el router
NAT esté configurado para admitir dichos protocolos, los paquetes entrantes no pueden llegar a
su destino. Algunos protocolos pueden acomodar una instancia de NAT entre los hosts
participantes (FTP en modo pasivo, por ejemplo), pero fallan cuando NAT separa ambos
sistemas de Internet
NAT estático
6.4.1
La figura muestra una red interna que contiene un servidor web con una dirección IPv4 privada.
El enrutador R2 está configurado con NAT estática para permitir que los dispositivos en la red
externa (Internet) accedan al servidor web. El cliente en la red externa accede al servidor web
mediante una dirección IPv4 pública. La NAT estática traduce la dirección IPv4 pública a la
dirección IPv4 privada.
La figura representa un servidor web en una red interna conectada al router 2 a través de la
conexión serie S0/1/0 con una dirección IP de 192.168.10.154. La red externa para el enrutador
R2 es una conexión serie S0/1/1 conectada a un PC cliente con una dirección de
209.165.200.254. Una traducción NAT estática se realiza mediante el enrutador R2 con el
servidor Web 192.168.10.254 asignado a 209.165.201.5 cuando se realiza un HTTP.
6.4.2
Paso 1. El primer paso consiste en crear una asignación entre la dirección local interna y las
direcciones globales internas. Por ejemplo, la dirección local interna 192.168.10.254 y la
dirección global interna 209.165.201.5 en la figura están configuradas como una traducción
NAT estática.
209.165.201.5
Paso 2. Una vez configurada la asignación, las interfaces que participan en la traducción se
configuran como interna o externa con respecto a NAT. En el ejemplo, la interfaz R2 Serial
0/1/0 es una interfaz interna y la Serie 0/1/1 es una interfaz externa.
Con esta configuración, los paquetes que llegan a la interfaz interna de R2 (Serie 0/1/0) desde
la dirección IPv4 local interna configurada (192.168.10.254) se traducen y luego se reenvían
hacia la red externa. Los paquetes que llegan a la interfaz externa de R2 (Serie 0/1/1), que se
dirigen a la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la dirección
local interna (192.168.10.254) y luego se envían a dentro de la red.
6.4.3
La figura muestra un servidor Web con una dirección IP 192.168.10.254 en una red Inside
conectada a un router (R2). R2 tiene una red externa conectada a Internet con un cliente
209.165.200.254. La figura representa el proceso de análisis de una NAT estática.
Dirección local
Dirección global interna Dirección local externa Dirección global externa
interna
1. El cliente desea establecer una conexión al servidor web. El cliente envía un paquete al
servidor web con la dirección IPv4 pública de destino 209.165.201.5. Esta es la dirección global
interna del servidor web.
2. El primer paquete que recibe del cliente en su interfaz NAT externa ocasiona que el R2 revise
su tabla de NAT. La dirección IPv4 de destino de 209.165.201.5 se encuentra en la tabla NAT y
se traduce a 192.168.10.254.
3. El R2 reemplaza la dirección global interna 209.165.201.5 por la dirección local interna
192.168.10.254. Luego, el R2 reenvía el paquete hacia el servidor web.
4. El servidor web recibe el paquete y responde al cliente utilizando la dirección local interna,
192.168.10.254 como la dirección de origen del paquete de respuesta.
5. (a) R2 recibe el paquete del servidor web en su interfaz interna NAT con la dirección de origen
de la dirección local interna del servidor web, 192.168.10.254.
(b) R2 verifica la tabla NAT para una traducción de la dirección local interna. La dirección se
encuentra en esa tabla. R2 traduce la dirección de origen 192.168.10.254 a la dirección global
interna de 209.165.201.5 y reenvía el paquete hacia el cliente.
6. (No se muestra) El cliente recibe el paquete y continúa la conversación. El router NAT lleva un
cabo los pasos 2 a 5b para cada paquete.
6.4.4
Outside global
Si el comando se emite durante una sesión activa, la salida también indica la dirección del
dispositivo externo como se muestra en el siguiente ejemplo.
Outside global
209.165.200.254
---
Otro comando útil es show ip nat statistics, el que muestra información sobre el número total
de traducciones activas, los parámetros de configuración de NAT, el número de direcciones en
el grupo y el número de direcciones que se han asignado.
Para verificar que la traducción NAT está funcionando, es mejor borrar las estadísticas de
cualquier traducción anterior utilizando el clear ip nat statistics comando antes de realizar la
prueba.
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 0 Misses: 0
(output omitted)
Después de que el cliente establece una sesión con el servidor web, show ip nat
statisticsmuestra un aumento de cuatro hits en la interfaz interna (Serial0 / 1/0). De este modo,
se verifica que se lleva a cabo la traducción de NAT estática en el R2.
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 4 Misses: 1
(output omitted)
6.4.5
NAT dinámica
6.5.1
La topología de ejemplo que se muestra en la ilustración tiene una red interna que usa
direcciones del espacio de direcciones privadas definido en RFC 1918. Hay dos LAN
conectadas al router R1: 192.168.10.0/24 y 192.168.11.0/24. El router R2, es decir, el router de
frontera, se configuró para NAT dinámica con un conjunto de direcciones IPv4 públicas de
209.165.200.226 a 209.165.200.240.
Nota: La traducción entre direcciones IPv4 públicas y privadas es, con mucho, el uso más
común de NAT. Sin embargo, las traducciones NAT pueden ocurrir entre un par de direcciones
IPv4.
6.5.2
netmask 255.255.255.224
Paso 2
Configure una ACL estándar para identificar (permitir) solo aquellas direcciones que se
deben traducir. Una ACL demasiado permisiva puede generar resultados impredecibles.
Recuerde que hay una declaración implícita deny all al final de cada ACL.
Paso 3
Paso 4
Identifique qué interfaces están dentro, en relación con NAT; Esta será cualquier
interfaz que se conecte a la red interna.
En el escenario, identifique la interfaz serial 0/1/0 como una interfaz NAT interna.
Paso 5
Identifique qué interfaces están fuera, en relación con NAT; Esta será cualquier
interfaz que se conecte a la red externa.
La siguiente figura se utiliza para ilustrar el flujo de tráfico desde la red interna
hacia el exterior.
La figura representa una traducción uno a uno para NAT. Dos PC en una red
interna están conectados al router R1 en dos redes 192.168.10.0/24 y
192.168.11.0/24. Un PC es la dirección 192.168.101.0 y el otro es 192.168.11.10.
R1 está conectado a través de la conexión S0/1/0 al router R2. R2 se conecta
entonces a través de S0/1/1 a Internet y un servidor con dirección
209.165.200.254. NAT dinámico se utiliza para traducir entre la red interna y la red
externa a través de R2.
R2R1209.165.200.254192.168.10.10192.168.10.0/24192.168.11.0/24192.168.11.1
0PC1PC2SA192.168.10.10SA209.165.200.226SA192.168.11.10SA209.165.200.2
27213213
Conjunto de
direcciones locales Dirección global interna
internas
192.168.10.10 209.165.200.226
192.168.11.10 209.165.200.227
6.5.4
Analizar NAT dinámico: de exterior a
interior
La siguiente figura ilustra el resto del flujo de tráfico entre los clientes y el servidor
desde el exterior hacia la dirección interior.
La figura representa una traducción uno a uno para NAT. Dos PC en una red
interna están conectados al router R1 en dos redes 192.168.10.0/24 y
192.168.11.0/24. Un PC es la dirección 192.168.101.0 y el otro es 192.168.11.10.
R1 está conectado a través de la conexión S0/1/0 al router R2. R2 se conecta
entonces a través de S0/1/1 a Internet y un servidor con dirección
209.165.200.254. NAT dinámico se utiliza para traducir entre la red interna y la red
externa a través de R2.
R2R1209.165.200.254192.168.10.10192.168.10.0/24192.168.11.0/24192.168.11.1
0PC1PC25b5b5a5a44DA192.168.10.10DA209.165.200.226DA192.168.11.10DA20
9.165.200.227
Conjunto de
direcciones locales Dirección global interna
internas
192.168.10.10 209.165.200.226
192.168.11.10 209.165.200.227
InternetServidorRed externa
6.5.5
Verificar NAT dinámica
La salida del show ip nat translations comando muestra todas las traducciones
estáticas que se han configurado y cualquier traducción dinámica que haya sido
creada por el tráfico.
global
R2#
global
Map-Id(In): 1,
flags:
Map-Id(In): 1,
flags:
R2#
De forma predeterminada, las entradas de traducción expiran después de 24
horas, a menos que los temporizadores se hayan reconfigurado con el comando ip
nat translation timeout timeout-seconds en modo de configuración global.
Para borrar las entradas dinámicas antes de que expire el tiempo de espera, use
el clear ip nat translation comando del modo EXEC privilegiado como se
muestra.
Es útil borrar las entradas dinámicas al probar la configuración NAT. El clear ip nat
translation comando se puede usar con palabras clave y variables para controlar
qué entradas se borran, como se muestra en la tabla. Se pueden borrar entradas
específicas para evitar interrumpir las sesiones activas. Utilice el comando clear ip
nat translation * EXEC privilegiado para borrar todas las traducciones de la tabla.
Comando Descripción
Otro comando útil, show ip nat statistics muestra información sobre el número
total de traducciones activas, los parámetros de configuración de NAT, el número
de direcciones en el grupo y cuántas de las direcciones se han asignado.
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 47 Misses: 0
Expired translations: 5
Dynamic mappings:
-- Inside Source
(output omitted)
R2#
255.255.255.224
Escenario PAT
Para configurar PAT para que utilice una única dirección IPv4, simplemente
agregue la palabra clave overload al ip nat inside source comando. El
resto de la configuración es similar a la configuración NAT estática y
dinámica, excepto que con PAT, varios hosts pueden usar la misma
dirección IPv4 pública para acceder a Internet.
overload
R2(config-if)# exit
netmask 255.255.255.224
R2(config)#
R2(config-if)# exit
R2(config-if)# end
R2#
6.6.4
1. Tanto PC1 como PC2 están enviando paquetes a Svr1 y Svr2, respectivamente. La PC1 tiene
la dirección IPv4 de origen 192.168.10.10 y utiliza el puerto de origen TCP 1444. PC2 tiene la
dirección IPv4 de origen 192.168.10.11 y, por coincidencia, utiliza el mismo puerto de origen
TCP de 1444.
2. El paquete de la PC1 llega primero al R2. Mediante el uso de PAT, el R2 modifica la dirección
IPv4 de origen a 209.165.200.225 (dirección global interna). En la tabla de NAT, no hay ningún
otro dispositivo que use el puerto 1444, de modo que PAT mantiene el mismo número de
puerto. El paquete luego se reenvía hacia el Svr1 en 209.165.201.1.
3. A continuación, llega el paquete de la PC2 al R2. PAT está configurada para utilizar una única
dirección IPv4 global interna para todas las traducciones, 209.165.200.225. Similar al proceso
de traducción para PC1, PAT cambia la dirección IPv4 de origen de PC2 a la dirección global
interna 209.165.200.225. Sin embargo, la PC2 tiene el mismo número de puerto de origen que
una entrada actual de PAT, la traducción para la PC1. PAT aumenta el número de puerto de
origen hasta que sea un valor único en su tabla. En este caso, la entrada del puerto de origen
en la tabla de NAT y el paquete de la PC2 reciben el número 1445.
6.6.5
4. Los servidores usan el puerto de origen del paquete recibido como puerto
de destino y la dirección de origen como dirección de destino para el tráfico
de retorno. Al parecer, los servidores se comunican con el mismo host en
209.165.200.225, pero no es así.
5. A medida que llegan los paquetes, el R2 ubica una única entrada en su
tabla de NAT mediante la dirección de destino y el puerto de destino de
cada paquete. En el caso del paquete del Svr1, la dirección IPv4 de destino
209.165.200.225 tiene varias entradas, pero solo una con el puerto de
destino 1444. Mediante la entrada de su tabla, el R2 cambia la dirección
IPv4 de destino del paquete a 192.168.10.10, sin necesidad de modificar el
puerto de destino. Luego, el paquete se reenvía hacia la PC1.
6. Cuando llega el paquete del Svr2, el R2 realiza una traducción similar. La
dirección IPv4 de destino 209.165.200.225 vuelve a aparecer en varias
entradas. Sin embargo, con el puerto de destino 1445, el R2 puede
identificar una única entrada de traducción. La dirección IPv4 de destino se
modifica a 192.168.10.11. En este caso, el puerto de destino también se
debe volver a modificar a su valor original de 1444, que está almacenado en
la tabla de NAT. Luego, el paquete se reenvía hacia la PC2.
6.6.6
Verificar PAT
El router R2 se configuró para proporcionar PAT a los clientes de
192.168.0.0/16. Cuando los hosts internos salen del enrutador R2 a Internet,
se traducen a una dirección IPv4 del grupo PAT con un número de puerto
de origen único.
Outside global
209.165.201.1:80
209.165.202.129:80
R2#
Outside interfaces:
Serial0/1/1
Inside interfaces:
Serial0/1/0
Hits: 4 Misses: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
(output omitted)
R2#
NAT64
6.7.1
Las direcciones IPv6 locales únicas (ULA) se asemejan a las direcciones privadas en IPv4 definidas
en RFC 1918, pero con un propósito distinto. Las direcciones ULA están destinadas únicamente a
las comunicaciones locales dentro de un sitio. Las direcciones ULA no están destinadas a
proporcionar espacio de direcciones IPv6 adicional ni a proporcionar un nivel de seguridad.
IPv6 proporciona la traducción de protocolos entre IPv4 e IPv6 conocida como NAT64.
6.7.2
NAT64
NAT para IPv6 se usa en un contexto muy distinto al de NAT para IPv4. Las variedades de NAT
para IPv6 se utilizan para proporcionar de forma transparente el acceso entre redes solo IPv6 y solo
IPv4, como se muestra en la figura. No se utiliza como forma de traducción de IPv6 privada a IPv6
global.
La figura representa la traducción NAT64 o IPv6 NAT. Un enrutador etiquetado NAT64 está
conectado a Internet IPv4, a Internet IPv6 y a una red sólo IPv6. El flujo de tráfico IPv6 nativo se
muestra en las redes IPv6 mientras que el flujo de tráfico traducido NAT64 se muestra para la red
IPv4.
Lo ideal es que IPv6 se ejecute de forma nativa siempre que sea posible. Es decir, en dispositivos
IPv6 que se comunican entre sí a través de redes IPv6. No obstante, para colaborar en el cambio de
IPv4 a IPv6, el IETF elaboró varias técnicas de transición que admiten una variedad de situaciones
de IPv4 a IPv6, como dual-stack, tunneling y traducción.
Dual-stack es cuando los dispositivos ejecutan protocolos asociados con IPv4 e IPv6. Tunneling
para IPv6 es el proceso de encapsulación de un paquete IPv6 dentro de un paquete IPv4. Esto
permite que el paquete IPv6 se transmita a través de una red solo IPv4.
NAT para IPv6 no debe usarse como una estrategia a largo plazo, sino como un mecanismo
temporal para ayudar en la migración de IPv4 a IPv6. Con el correr de los años, hubo varios tipos de
NAT para IPv6, incluida la traducción de direcciones de red/traducción de protocolos (NAT-PT). El
IETF dejó en desuso NAT-PT en favor de su reemplazo, NAT64. NAT64 excede el ámbito de este
currículo.