ExamenRedes – Examen, preguntas y respuestas Redes De Computadores Examenes de Redes
Última actualización: enero 30, 2022
6.0. Introducción
6.0.1. ¿Por qué debería tomar este módulo?
Bienvenido a NAT para IPv4!
Las direcciones IPv4 son números de 32 bits. Matemáticamente, esto significa que puede haber algo más de 4 mil millones de direcciones IPv4 únicas. En la década de 1980, esto parecía más que suficientes direcciones IPv4. Luego vino el desarrollo de computadoras de escritorio y portátiles asequibles, teléfonos inteligentes y tabletas, muchas otras tecnologías digitales, y por supuesto, Internet. Con bastante rapidez se hizo evidente que 4.000 millones de direcciones IPv4 no serían suficientes para manejar la creciente demanda. Esta es la razón por la que se desarrolló IPv6. Incluso con IPv6, la mayoría de las redes actuales son sólo IPv4, o una combinación de IPv4 e IPv6. La transición a redes sólo IPv6 sigue en curso, por lo que se desarrolló la traducción de direcciones de red (NAT). NAT está diseñado para ayudar a administrar esos 4 mil millones de direcciones para que todos podamos usar nuestros muchos dispositivos para acceder a Internet. Como puede ver, es importante que comprenda el propósito de (NAT) y cómo funciona. Como ventaja, este módulo contiene múltiples actividades Packet Tracer donde se puede configurar diferentes tipos de NAT. ¡Vamos, vamos!
6.0.2. ¿Qué aprenderé en este módulo?
Título del módulo: NAT para IPv4
Objetivos del módulo: Configure los servicios NAT en el enrutador perimetral para proporcionar escalabilidad de dirección IPv4.
| Título del tema | Objetivo del tema |
|---|---|
| Características de NAT | Explique el propósito y la función de NAT. |
| Tipos de NAT | Explique el funcionamiento de los distintos tipos de NAT. |
| Ventajas y desventajas de NAT | Describa las ventajas y desventajas de NAT. |
| NAT estático | Configure la NAT estática mediante la CLI. |
| NAT dinámica | Configure la NAT dinámica mediante la CLI. |
| PAT | Configure PAT mediante la CLI. |
| NAT64 | Describa la NAT para IPv6. |
6.1. Características de NAT
6.1.1. Espacio de direcciones IPv4 privadas
Como sabe, no hay suficientes direcciones IPv4 públicas para asignar una dirección única a cada dispositivo conectado a Internet. Las redes suelen implementarse mediante el uso de direcciones IPv4 privadas, según se definen en RFC 1918. El rango de direcciones incluido en RFC 1918 se incluye en la siguiente tabla. Es muy probable que la computadora que utiliza para ver este curso tenga asignada una dirección privada.
| Clase | Rango de direcciones internas RFC 1918 | P |
|---|---|---|
| A | 10.0.0.0 a 10.255.255.255 | 10.0.0.0/8 |
| B | 172.16.0.0 a 172.31.255.255 | 172.16.0.0/12 |
| C | 192.168.0.0 a 192.168.255.255 | 192.168.0.0/16 |
Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir que los dispositivos se comuniquen localmente. Sin embargo, debido a que estas direcciones no identifican a una sola empresa u organización, las direcciones IPv4 privadas no se pueden enrutar a través de Internet. Para permitir que un dispositivo con una dirección IPv4 privada acceda a recursos y dispositivos fuera de la red local, primero se debe traducir la dirección privada a una dirección pública.
NAT proporciona la traducción de direcciones privadas a direcciones públicas, como se muestra en la figura. Esto permite que un dispositivo con una dirección IPv4 privada acceda a recursos fuera de su red privada, como los que se encuentran en Internet. NAT, combinado con direcciones IPv4 privadas, ha sido el método principal para preservar las direcciones IPv4 públicas. Se puede compartir una única dirección IPv4 pública entre cientos o incluso miles de dispositivos, cada uno configurado con una dirección IPv4 privada exclusiva.
Sin NAT, el agotamiento del espacio de direcciones IPv4 habría ocurrido mucho antes del año 2000. Sin embargo, NAT tiene limitaciones y desventajas, que se explorarán más adelante en este módulo. La solución al agotamiento del espacio de direcciones IPv4 y a las limitaciones de NAT es la transición final a IPv6.
6.1.2. ¿Qué es NAT?
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto se logra al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar la traducción a una dirección pública solo cuando sea necesario. NAT tiene el beneficio percibido de agregar un grado de privacidad y seguridad a una red, ya que oculta las direcciones IPv4 internas de redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas válidas. Estas direcciones públicas se conocen como “conjunto de NAT”. Cuando un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna del dispositivo a una dirección pública del conjunto de NAT. Para los dispositivos externos, todo el tráfico entrante y saliente de la red parece tener una dirección IPv4 pública del conjunto de direcciones proporcionado.
En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una red de código auxiliar es una o más redes con una única conexión a su red vecina, una entrada y una salida de la red. En el ejemplo de la ilustración, el R2 es un router de frontera. Visto desde el ISP, el R2 forma una red de rutas internas.
Cuando un dispositivo dentro de la red de rutas internas desea comunicarse con un dispositivo fuera de su red, el paquete se reenvía al router de frontera. El router de frontera realiza el proceso de NAT, es decir, traduce la dirección privada interna del dispositivo a una dirección pública, externa y enrutable.
Nota: La conexión con el ISP puede usar una dirección privada o una dirección pública que se comparte entre los clientes. Para los propósitos de este módulo, se muestra una dirección pública.
6.1.3. Cómo funciona NAT
En este ejemplo, la PC1 con la dirección privada 192.168.10.10 desea comunicarse con un servidor web externo con la dirección pública 209.165.201.1.
Haga clic en el botón Reproducir de la figura para iniciar la animación.
6.1.4. Terminología de NAT
Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción. La red externa se refiere a todas las otras redes.
Cuando se usa NAT, las direcciones IPv4 tienen diferentes designaciones en función de si están en la red privada o en la red pública (internet), y si el tráfico es entrante o saliente.
NAT incluye cuatro tipos de direcciones:
- Dirección local interna
- Dirección global interna
- Dirección local externa
- Dirección global externa
Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:
- Dirección interna: – la dirección del dispositivo que NAT está traduciendo.
- Dirección externa: – la dirección del dispositivo de destino.
NAT también usa los conceptos de local o global con relación a las direcciones:
- Dirección local: -una dirección local es cualquier dirección que aparece en la parte interna de la red.
- Dirección global: – una dirección global es cualquier dirección que aparece en la parte externa de la red.
Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer referencia a direcciones específicas. El enrutador NAT, R2 en la figura, es el punto de demarcación entre las redes internas y externas. R2 está configurado con un grupo de direcciones públicas para asignar a los hosts internos. Consulte la tabla de red y NAT de la figura para obtener la siguiente explicación de cada uno de los tipos de direcciones NAT.
Haga clic en cada botón para obtener más información sobre los diferentes tipos de direcciones.
- Local interna
- Dirección global interna
- Global externa
- Local externa
La dirección de la fuente vista desde dentro de la red. Normalmente, es una dirección IPv4 privada. En la ilustración, la dirección IPv4 192.168.10.10 se asignó a la PC1. Esta es la dirección local interna de la PC1.
La dirección de origen vista desde la red externa. Normalmente, es una dirección IPv4 enrutable globalmente. En la ilustración, cuando se envía el tráfico de la PC1 al servidor web en 209.165.201.1, el R2 traduce la dirección local interna a una dirección global interna. En este caso, el R2 cambia la dirección IPv4 de origen de 192.168.10.10 a 209.165.200.226. De acuerdo con la terminología de NAT, la dirección local interna 192.168.10.10 se traduce a la dirección global interna 209.165.200.226.
La dirección del destino vista desde la red externa. Es una dirección IPv4 enrutable globalmente asignada a un host en Internet. Por ejemplo, se puede llegar al servidor web en la dirección IPv4 209.165.201.1. Por lo general, las direcciones externas globales y locales son iguales.
La dirección del destino como se ve desde la red interna. En este ejemplo, la PC1 envía tráfico al servidor web en la dirección IPv4 209.165.201.1. Si bien es poco frecuente, esta dirección podría ser diferente de la dirección globalmente enrutable del destino.
PC1 tiene una dirección local interna de 192.168.10.10. Desde la perspectiva de la PC1, el servidor web tiene la dirección externa 209.165.201.1. Cuando se envían los paquetes de la PC1 a la dirección global del servidor web, la dirección local interna de la PC1 se traduce al 209.165.200.226 (dirección global interna). La dirección del dispositivo externo generalmente no se traduce porque esa dirección suele ser una dirección IPv4 pública.
Observe que la PC1 tiene distintas direcciones locales y globales, mientras que el servidor web tiene la misma dirección IPv4 pública en ambos casos. Desde la perspectiva del servidor web, el tráfico que se origina en la PC1 parece provenir de 209.165.200.226, la dirección global interna.
6.2. Tipos de NAT
6.2.1. NAT estático
Ahora que ha aprendido acerca de NAT y cómo funciona, este tema discutirá las muchas versiones de NAT que están disponibles para usted.
La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas asignaciones son configuradas por el administrador de red y se mantienen constantes.
En la ilustración, el R2 se configuró con las asignaciones estáticas para las direcciones locales internas del Svr1, la PC2 y la PC3. Cuando estos dispositivos envían tráfico a Internet, sus direcciones locales internas se traducen a las direcciones globales internas configuradas. Para redes externas, estos dispositivos parecen tener direcciones IPv4 públicas.
La NAT estática es particularmente útil para servidores web o dispositivos que deben tener una dirección coherente a la que se pueda acceder desde Internet, como el servidor web de una empresa. También es útil para dispositivos que deben ser accesibles por personal autorizado cuando se encuentra fuera del sitio, pero no por el público en general en Internet. Por ejemplo, un administrador de red de PC4 puede usar SSH para obtener acceso a la dirección global interna de Svr1 (209.165.200.226). R2 traduce esta dirección global interna a la dirección local interna 192.168.10.10 y conecta la sesión a Svr1.
La NAT estática requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas.
6.2.2. NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una dirección IPv4 pública disponible del conjunto.
En la figura, PC3 ha accedido a Internet utilizando la primera dirección disponible en el grupo NAT dinámico. Las demás direcciones siguen disponibles para utilizarlas. Al igual que la NAT estática, la NAT dinámica requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas.
6.2.3. Traducción de la dirección del puerto
La traducción de la dirección del puerto (PAT), también conocida como “NAT con sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas direcciones. Esto es lo que hacen la mayoría de los enrutadores domésticos. El ISP asigna una dirección al enrutador, sin embargo, varios miembros del hogar pueden acceder simultáneamente a Internet. Esta es la forma más común de NAT tanto para el hogar como para la empresa.
Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia una sesión TCP / IP, genera un valor de puerto de origen TCP o UDP, o un ID de consulta especialmente asignado para ICMP, para identificar de forma única la sesión. Cuando el router NAT recibe un paquete del cliente, utiliza su número de puerto de origen para identificar de forma exclusiva la traducción NAT específica.
PAT garantiza que los dispositivos usen un número de puerto TCP diferente para cada sesión con un servidor en Internet. Cuando llega una respuesta del servidor, el número de puerto de origen, que se convierte en el número de puerto de destino en la devolución, determina a qué dispositivo el router reenvía los paquetes. El proceso de PAT también valida los paquetes entrantes que han solicitado, lo que agrega un grado de seguridad a la sesión.
Haga clic en Reproducir en la figura para ver una animación del proceso PAT. PAT agrega números de puerto de origen únicos a la dirección global interna para distinguir las traducciones.
A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555, en este ejemplo) para identificar el dispositivo en el que se originó el paquete. La dirección de origen (SA) es la dirección local interna con el número de puerto asignado TCP / UDP agregado. La dirección de destino (DA) es la dirección global externa con el número de puerto de servicio agregado. En este ejemplo, el puerto de servicio es 80, que es HTTP.
Para la dirección de origen, el R2 traduce la dirección local interna a una dirección global interna con el número de puerto agregado. La dirección de destino no cambia, pero ahora se conoce como la dirección IPv4 global externa. Cuando el servidor web responde, se invierte la ruta.
6.2.4. Siguiente puerto disponible
En el ejemplo anterior, los números de puerto del cliente, 1331 y 1555, no se modificaron en el router con NAT habilitada. Esta no es una situación muy probable, porque existe una gran posibilidad de que estos números de puerto ya se hayan conectado a otras sesiones activas.
PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen original ya está en uso, PAT asigna el primer número de puerto disponible a partir del comienzo del grupo de puertos apropiado 0-511, 512-1,023 o 1,024-65,535. Cuando no hay más puertos disponibles y hay más de una dirección externa en el conjunto de direcciones, PAT avanza a la siguiente dirección para intentar asignar el puerto de origen inicial. Este proceso continúa hasta que no haya más puertos ni direcciones IPv4 externas disponibles.
Haga clic en Reproducir en la figura para ver una animación de la operación PAT. En este ejemplo, PAT asignó el siguiente puerto disponible (1445) a la segunda dirección host.
En la animación, los anfitriones han elegido el mismo número de puerto de 1444. Esto resulta aceptable para la dirección interna, porque los hosts tienen direcciones IPv4 privadas únicas. Sin embargo, en el router NAT, se deben cambiar los números de puerto; de lo contrario, los paquetes de dos hosts distintos saldrían del R2 con la misma dirección de origen. Este ejemplo supone que los primeros 420 puertos en el rango 1,024 – 65,535 ya están en uso, por lo que se usa el siguiente número de puerto disponible, 1445.
Cuando los paquetes se devuelven desde fuera de la red, si el número de puerto de origen fue modificado previamente por el enrutador habilitado para NAT, el número de puerto de destino volverá a cambiar al número de puerto original por el enrutador habilitado para NAT.
6.2.5. Comparación de NAT y PAT
La tabla proporciona un resumen de las diferencias entre NAT y PAT.
| NAT | PAT |
|---|---|
| Mapeo uno a uno entre las direcciones Inside Local y Inside Global. | Una dirección global interna se puede asignar a muchas direcciones locales internas. |
| Utiliza sólo direcciones IPv4 en el proceso de traducción. | Utiliza direcciones IPv4 y números de puerto de origen TCP o UDP en la traducción proceso. |
| Se requiere una dirección única de Inside Global para cada host interno accediendo a la red externa. | Una única dirección única de Inside Global puede ser compartida por muchos hosts internos accediendo a la red externa. |
Haga clic en cada botón para ver un ejemplo y una explicación de las diferencias entre NAT y PAT.
- NAT
- PAT
Nota: NAT reenvía los paquetes de retorno entrantes al host interno original haciendo referencia a la tabla y traduciendo la dirección global interna a la dirección local interna correspondiente del host.
| Dirección global interna | Dirección local interna |
|---|---|
| 209.165.200.226 | 192.168.10.10 |
| 209.165.200.227 | 192.168.10.11 |
| 209.165.200.228 | 192.168.10.12 |
| 209.165.200.229 | 192.168.10.13 |
| Dirección global interna | Dirección local interna |
|---|---|
| 209.165.200. 226:2031 | 192.168.10. 10:2031 |
| 209.165.200. 226:1506 | 192.168.10. 11:1506 |
| 209.165.200. 226:1131 | 192.168.10. 12:1131 |
| 209.165.200. 226:1718 | 192.168.10. 13:1718 |
6.2.6. Paquetes sin segmento de capa 4
¿Qué sucede con los paquetes IPv4 que transportan datos que no son segmentos TCP o UDP? Estos paquetes no contienen un número de puerto de capa 4. PAT traduce la mayoría de los protocolos comunes transmitidos mediante IPv4 que no utilizan TCP o UDP como protocolo de la capa de transporte. El más común de ellos es ICMPv4. PAT maneja cada uno de estos tipos de protocolos de manera diferente. Por ejemplo, los mensajes de consulta, las solicitudes de eco y las respuestas de eco de ICMPv4 incluyen una ID de consulta. ICMPv4 utiliza la ID de consulta para identificar una solicitud de eco con su respectiva respuesta. La ID de consulta aumenta con cada solicitud de eco enviada. PAT utiliza la ID de consulta en lugar de un número de puerto de capa 4.
Nota: Otros mensajes ICMPv4 no usan la ID de consulta. Estos mensajes y otros protocolos que no utilizan los números de puerto TCP o UDP varían y exceden el ámbito de este currículo.
6.2.7. Packet Tracer – Investigar operaciones NAT
A medida que una trama se desplaza a través de una red, las direcciones MAC cambian. Pero las direcciones IPv4 también pueden cambiar cuando un dispositivo configurado con NAT reenvía un paquete. En esta actividad, veremos qué sucede con las direcciones IPv4 durante el proceso NAT.
En esta actividad de Packet Tracer, usted puede:
- Investigue el funcionamiento de NAT en la intranet
- Investigue el funcionamiento de NAT a través de Internet.
- Realizar más investigaciones
6.3. Ventajas y desventajas de NAT
6.3.1. Ventajas de NAT
NAT resuelve nuestro problema de no tener suficientes direcciones IPv4, pero también puede crear otros problemas. Este tema aborda las ventajas y desventajas de NAT.
NAT proporciona muchos beneficios, incluidos los siguientes:
- NAT conserva el esquema de direccionamiento legalmente registrado al permitir la privatización de las intranets. NAT conserva las direcciones mediante la multiplexación de aplicaciones en el nivel de puerto. Con la sobrecarga NAT (PAT), los hosts internos pueden compartir una única dirección IPv4 pública para todas las comunicaciones externas. En este tipo de configuración, se requieren muy pocas direcciones externas para admitir varios hosts internos.
- NAT aumenta la flexibilidad de las conexiones a la red pública. Se pueden implementar varios conjuntos y conjuntos de respaldo y de equilibrio de carga para asegurar conexiones de red pública confiables.
- NAT proporciona coherencia a los esquemas de direccionamiento de red interna. Para cambiar el esquema de direcciones IPv4 públicas en una red que no utiliza direcciones IPv4 privadas ni NAT, se requiere redireccionar todos los hosts en la red existente. Los costos de redireccionamiento de hosts pueden ser considerables. NAT permite mantener el esquema de direcciones IPv4 privadas existente a la vez que facilita el cambio a un nuevo esquema de direccionamiento público. Esto significa que una organización podría cambiar los ISP sin necesidad de modificar ninguno de sus clientes internos.
- Usando direcciones IPv4 RFC 1918, NAT oculta las direcciones IPv4 de los usuarios y otros dispositivos. Algunas personas consideran esto una característica de seguridad; sin embargo, la mayoría de los expertos están de acuerdo en que NAT no proporciona seguridad. Un firewall con detección de estado es lo que brinda seguridad al perímetro de la red.
6.3.2. Desventajas de la NAT
NAT tiene inconvenientes. El hecho de que los hosts en Internet parezcan comunicarse directamente con el dispositivo habilitado para NAT, en lugar de con el host real dentro de la red privada, crea una serie de problemas.
Una desventaja del uso de NAT se relaciona con el rendimiento de la red, en especial, en el caso de los protocolos en tiempo real como VoIP. NAT aumenta los retrasos de reenvió porque la traducción de cada dirección IPv4 dentro de los encabezados de los paquetes lleva tiempo. Al primer paquete siempre se aplica el switching de procesos por la ruta más lenta. El router debe revisar todos los paquetes para decidir si necesitan traducción. El router debe modificar el encabezado de IPv4 y, posiblemente, el encabezado TCP o UDP. El checksum del encabezado de IPv4, junto con el checksum de TCP o UDP, se debe volver a calcular cada vez que se realiza una traducción. Si existe una entrada de caché, el resto de los paquetes atraviesan la ruta de switching rápido; de lo contrario, también se retrasan.
Esto se vuelve más un problema a medida que los grupos de direcciones IPv4 públicas para ISP se agotan. Muchos ISP tienen que asignar a los clientes una dirección IPv4 privada en lugar de una dirección IPv4 pública. Esto significa que el router del cliente traduce el paquete de su dirección IPv4 privada a la dirección IPv4 privada del ISP. Antes de reenviar el paquete a otro proveedor, el ISP realizará NAT de nuevo, traduciendo sus direcciones IPv4 privadas a una de sus pocas direcciones IPv4 públicas. Este proceso de dos capas de traducción NAT se conoce como Carrier Grade NAT (CGN).
Otra desventaja del uso de NAT es que se pierde el direccionamiento de extremo a extremo. Esto se conoce como el principio de extremo a extremo. Muchos protocolos y aplicaciones de Internet dependen del direccionamiento de extremo a extremo desde el origen hasta el destino. Algunas aplicaciones no funcionan con NAT. Por ejemplo, algunas aplicaciones de seguridad, como las firmas digitales, fallan porque la dirección IPv4 de origen cambia antes de llegar a destino. Las aplicaciones que utilizan direcciones físicas, en lugar de un nombre de dominio calificado, no llegan a los destinos que se traducen a través del router NAT. En ocasiones, este problema se puede evitar al implementar las asignaciones de NAT estática.
También se reduce el seguimiento IPv4 de extremo a extremo. El seguimiento de los paquetes que pasan por varios cambios de dirección a través de varios saltos de NAT se torna mucho más difícil y, en consecuencia, dificulta la resolución de problemas.
El uso de NAT también genera complicaciones en la utilización de protocolos de tunneling, como IPsec, porque NAT modifica valores en los encabezados, lo que hace fallar las comprobaciones de integridad
Los servicios que requieren que se inicie una conexión TCP desde la red externa, o “protocolos sin estado”, como los servicios que utilizan UDP, pueden interrumpirse. A menos que el router NAT esté configurado para admitir dichos protocolos, los paquetes entrantes no pueden llegar a su destino. Algunos protocolos pueden acomodar una instancia de NAT entre los hosts participantes (FTP en modo pasivo, por ejemplo), pero fallan cuando NAT separa ambos sistemas de Internet.
6.4. NAT estático
6.4.1. Escenario NAT estático
En este tema, aprenderá a configurar y verificar la NAT estática. Incluye una actividad Packet Tracer para poner a prueba tus habilidades y conocimientos. La NAT estática es una asignación uno a uno entre una dirección interna y una dirección externa. La NAT estática permite que los dispositivos externos inicien conexiones a los dispositivos internos mediante la dirección pública asignada de forma estática. Por ejemplo, se puede asignar una dirección global interna específica a un servidor web interno de modo que se pueda acceder a este desde redes externas.
La figura muestra una red interna que contiene un servidor web con una dirección IPv4 privada. El enrutador R2 está configurado con NAT estática para permitir que los dispositivos en la red externa (Internet) accedan al servidor web. El cliente en la red externa accede al servidor web mediante una dirección IPv4 pública. La NAT estática traduce la dirección IPv4 pública a la dirección IPv4 privada.
6.4.2. Configurar la NAT estática
Hay dos tareas básicas al configurar traducciones NAT estáticas:
Paso 1. El primer paso consiste en crear una asignación entre la dirección local interna y las direcciones globales internas. Por ejemplo, la dirección local interna 192.168.10.254 y la dirección global interna 209.165.201.5 en la figura están configuradas como una traducción NAT estática.
R2(config)# ip nat inside source static 192.168.10.254 209.165.201.5
Paso 2. Una vez configurada la asignación, las interfaces que participan en la traducción se configuran como interna o externa con respecto a NAT. En el ejemplo, la interfaz R2 Serial 0/1/0 es una interfaz interna y la Serie 0/1/1 es una interfaz externa.
R2(config)# interface serial 0/1/0 R2(config-if)# ip address 192.168.1.2 255.255.255.252 R2(config-if)# ip nat inside R2(config-if)# exit R2(config)# interface serial 0/1/1 R2(config-if)# ip address 209.165.200.1 255.255.255.252 R2(config-if)# ip nat outside
Con esta configuración, los paquetes que llegan a la interfaz interna de R2 (Serie 0/1/0) desde la dirección IPv4 local interna configurada (192.168.10.254) se traducen y luego se reenvían hacia la red externa. Los paquetes que llegan a la interfaz externa de R2 (Serie 0/1/1), que se dirigen a la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la dirección local interna (192.168.10.254) y luego se envían a dentro de la red.
6.4.3. Analizar NAT estático
Con la configuración anterior, en la ilustración se muestra el proceso de traducción de NAT estática entre el cliente y el servidor web. Por lo general, las traducciones estáticas se usan cuando los clientes de la red externa (internet) necesitan comunicarse con los servidores de la red interna (interna).
- El cliente desea establecer una conexión al servidor web. El cliente envía un paquete al servidor web con la dirección IPv4 pública de destino 209.165.201.5. Esta es la dirección global interna del servidor web.
- El primer paquete que recibe del cliente en su interfaz NAT externa ocasiona que el R2 revise su tabla de NAT. La dirección IPv4 de destino de 209.165.201.5 se encuentra en la tabla NAT y se traduce a 192.168.10.254.
- El R2 reemplaza la dirección global interna 209.165.201.5 por la dirección local interna 192.168.10.254. Luego, el R2 reenvía el paquete hacia el servidor web.
- El servidor web recibe el paquete y responde al cliente utilizando la dirección local interna, 192.168.10.254 como la dirección de origen del paquete de respuesta.
- (a) R2 recibe el paquete del servidor web en su interfaz interna NAT con la dirección de origen de la dirección local interna del servidor web, 192.168.10.254.
(b) R2 verifica la tabla NAT para una traducción de la dirección local interna. La dirección se encuentra en esa tabla. R2 traduce la dirección de origen 192.168.10.254 a la dirección global interna de 209.165.201.5 y reenvía el paquete hacia el cliente. - (No se muestra) El cliente recibe el paquete y continúa la conversación. El router NAT lleva un cabo los pasos 2 a 5b para cada paquete.
6.4.4. Verificar NAT estático
Para verificar el funcionamiento de NAT, ejecute el show ip nat translations comando. Este comando muestra las traducciones NAT activas. Debido a que el ejemplo es una configuración NAT estática, siempre figura una traducción en la tabla de NAT, independientemente de que haya comunicaciones activas.
R2# show ip nat translations Pro Inside global Inside local Outside local Outside global --- 209.165.201.5 192.168.10.254 --- --- Total number of translations: 1
Si el comando se emite durante una sesión activa, la salida también indica la dirección del dispositivo externo como se muestra en el siguiente ejemplo.
R2# show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 209.165.201.5 192.168.10.254 209.165.200.254 209.165.200.254 --- 209.165.201.5 192.168.10.254 --- --- Total number of translations: 2
Otro comando útil es show ip nat statistics, el que muestra información sobre el número total de traducciones activas, los parámetros de configuración de NAT, el número de direcciones en el grupo y el número de direcciones que se han asignado.
Para verificar que la traducción NAT está funcionando, es mejor borrar las estadísticas de cualquier traducción anterior utilizando el clear ip nat statistics comando antes de realizar la prueba.
R2# show ip nat statistics Total active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces: Serial0/1/1 Inside interfaces: Serial0/1/0 Hits: 0 Misses: 0 (output omitted)
Después de que el cliente establece una sesión con el servidor web, show ip nat statisticsmuestra un aumento de cuatro hits en la interfaz interna (Serial0 / 1/0). De este modo, se verifica que se lleva a cabo la traducción de NAT estática en el R2.
R2# show ip nat statistics Total active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces: Serial0/1/1 Inside interfaces: Serial0/1/0 Hits: 4 Misses: 1 (output omitted)
6.4.5. Packet Tracer – Configurar NAT estática
En las redes IPv4 configuradas, los clientes y los servidores utilizan direcciones privadas. Antes de que los paquetes con direccionamiento privado puedan cruzar Internet, deben traducirse a direccionamiento público. Los servidores a los que se puede acceder desde fuera de la organización generalmente están asignados tanto a una dirección IPv4 estática pública y como a una privada. En esta actividad, configurará NAT estática para que los dispositivos externos puedan acceder a un servidor interno en su dirección pública.
En esta actividad de Packet Tracer, usted puede:
- Probar el acceso sin NAT
- Configurar la NAT estática
- Probar el acceso con NAT
6.5. NAT dinámica
6.5.1. Escenario NAT dinámico
En este tema, aprenderá cómo configurar y verificar NAT dinámico. Incluye una actividad Packet Tracer para poner a prueba tus habilidades y conocimientos. Aunque la NAT estática proporciona una asignación permanente entre una dirección local interna y una dirección global interna, la NAT dinámica asigna automáticamente direcciones locales internas a direcciones globales internas. Por lo general, estas direcciones globales internas son direcciones IPv4 públicas. La NAT dinámica, como la NAT estática, requiere la configuración de las interfaces internas y externas que participan en NAT con los comandos de configuración de la interfaz ip nat inside e ip nat outside . Sin embargo, mientras que la NAT estática crea una asignación permanente a una única dirección, la NAT dinámica utiliza un conjunto de direcciones.
La topología de ejemplo que se muestra en la ilustración tiene una red interna que usa direcciones del espacio de direcciones privadas definido en RFC 1918. Hay dos LAN conectadas al router R1: 192.168.10.0/24 y 192.168.11.0/24. El router R2, es decir, el router de frontera, se configuró para NAT dinámica con un conjunto de direcciones IPv4 públicas de 209.165.200.226 a 209.165.200.240.
El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se encuentra disponible para cualquier dispositivo en la red interna según el orden de llegada. Con la NAT dinámica, una única dirección interna se traduce a una única dirección externa. Con este tipo de traducción, debe haber suficientes direcciones en el grupo para acomodar todos los dispositivos internos que necesitan acceso concurrente a la red externa. Si todas las direcciones del grupo están en uso, un dispositivo debe esperar una dirección disponible antes de poder acceder a la red externa.
Nota: La traducción entre direcciones IPv4 públicas y privadas es, con mucho, el uso más común de NAT. Sin embargo, las traducciones NAT pueden ocurrir entre un par de direcciones IPv4.
6.5.2. Configurar la NAT dinámica
La figura muestra una topología de ejemplo en la configuración NAT permite la traducción de todos los hosts de la red 192.168.0.0/16. Esto incluye las LAN 192.168.10.0 y 192.168.11.0 cuando los hosts generan tráfico que entra en la interfaz S0/1/0 y sale de S0/1/1. El host dentro de las direcciones locales se traduce a una dirección de grupo disponible en el rango de 209.165.200.226 a 209.165.200.240.
El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se encuentra disponible para cualquier dispositivo en la red interna según el orden de llegada. Con la NAT dinámica, una única dirección interna se traduce a una única dirección externa. Con este tipo de traducción, debe haber suficientes direcciones en el grupo para acomodar todos los dispositivos internos que necesitan acceso concurrente a la red externa. Si todas las direcciones del grupo están en uso, un dispositivo debe esperar una dirección disponible antes de poder acceder a la red externa.
Nota: La traducción entre direcciones IPv4 públicas y privadas es, con mucho, el uso más común de NAT. Sin embargo, las traducciones NAT pueden ocurrir entre un par de direcciones IPv4.
6.5.2. Configurar la NAT dinámica
La figura muestra una topología de ejemplo en la configuración NAT permite la traducción de todos los hosts de la red 192.168.0.0/16. Esto incluye las LAN 192.168.10.0 y 192.168.11.0 cuando los hosts generan tráfico que entra en la interfaz S0/1/0 y sale de S0/1/1. El host dentro de las direcciones locales se traduce a una dirección de grupo disponible en el rango de 209.165.200.226 a 209.165.200.240.
Haga clic en cada botón para obtener una descripción y un ejemplo de cada paso para configurar NAT estático.
- Paso 1
- Paso 2
- Paso 3
- Paso 4
- Paso 5
Defina el conjunto de direcciones que se utilizarán para la traducción con el ip nat pool comando. Por lo general, este conjunto es un grupo de direcciones públicas. Las direcciones se definen indicando la primera y la última dirección IPv4 del conjunto. La palabra clave netmask o prefix-length indica qué bits de dirección pertenecen a la red y qué bits pertenecen al host para ese rango de direcciones.
En el escenario, defina un grupo de direcciones IPv4 públicas bajo el nombre de grupo NAT-POOL1.
R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224
Configure una ACL estándar para identificar (permitir) solo aquellas direcciones que se deben traducir. Una ACL demasiado permisiva puede generar resultados impredecibles. Recuerde que hay una declaración implícita deny all al final de cada ACL.
En el escenario, defina qué direcciones son elegibles para ser traducidas.
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
Enlazar la ACL al grupo, utilizando la siguiente sintaxis de comando:
Router(config)# ip nat inside source list {access-list-number | access-list-name} pool pool-name
El router utiliza esta configuración para identificar qué dispositivos (list)reciben qué direcciones (pool). En el escenario, vincule NAT-POOL1 con ACL 1.
R2(config-if)# ip nat inside source list 1 pool NAT-POOL1
Identifique qué interfaces están dentro, en relación con NAT; Esta será cualquier interfaz que se conecte a la red interna.
En el escenario, identifique la interfaz serial 0/1/0 como una interfaz NAT interna.
R2(config)# interface serial 0/1/0 R2(config-if)# ip nat inside
Identifique qué interfaces están fuera, en relación con NAT; Esta será cualquier interfaz que se conecte a la red externa.
En el escenario, identifique la interfaz serial 0/1/1 como la interfaz NAT externa.
R2(config)# interface serial 0/1/1 R2(config-if)# ip nat outside
6.5.3. Analizar NAT Dinámico – Interior a Exterior
Usando la configuración anterior, las siguientes dos figuras ilustran el proceso dinámico de traducción NAT entre dos clientes y el servidor web.
La siguiente figura se utiliza para ilustrar el flujo de tráfico desde la red interna hacia el exterior.
1. Los hosts con las direcciones IPv4 de origen de 192.168.10.10 (PC1) y 192.168.11.10 (PC2) envían paquetes solicitando una conexión al servidor en la dirección IPv4 pública 209.165.200.254.
2. El R2 recibe el primer paquete del host 192.168.10.10. Debido a que este paquete se recibió en una interfaz configurada como interfaz NAT interna, el R2 verifica la configuración NAT para determinar si este paquete debe traducirse. Como la ACL permite este paquete, el R2 lo traduce. El R2 consulta su tabla de NAT. Como no hay una entrada de traducción actual para esta dirección IPv4, R2 determina que la dirección de origen 192.168.10.10 debe traducirse. El R2 selecciona una dirección global disponible del conjunto de direcciones dinámicas y crea una entrada de traducción, 209.165.200.226. La dirección IPv4 de origen original 192.168.10.10 es la dirección local interna y la dirección traducida es la dirección global interna 209.165.200.226 en la tabla NAT. Para el segundo host, 192.168.11.10, el R2 repite el procedimiento, selecciona la siguiente dirección global disponible del conjunto de direcciones dinámicas y crea una segunda entrada de traducción, 209.165.200.227.
3. El R2 reemplaza la dirección de origen local interna de la PC1, 192.168.10.10, por la dirección global interna traducida 209.165.200.226 y reenvía el paquete. El mismo proceso ocurre para el paquete de PC2 usando la dirección traducida de 209.165.200.227.
6.5.4. Analizar NAT dinámico: de exterior a interior
La siguiente figura ilustra el resto del flujo de tráfico entre los clientes y el servidor desde el exterior hacia la dirección interior.
4. El servidor recibe el paquete de la PC1 y responde con la dirección IPv4 de destino 209.165.200.226. Cuando el servidor recibe el segundo paquete, responde a la PC2 con la dirección IPv4 de destino 209.165.200.227.
5. (a) Cuando R2 recibe el paquete con la dirección IPv4 de destino de 209.165.200.226; realiza una búsqueda en la tabla NAT. Usando la asignación de la tabla, R2 traduce la dirección de nuevo a la dirección local interna 192.168.10.10 y reenvía el paquete hacia la PC1. (b) Cuando R2 recibe el paquete con la dirección IPv4 de destino de 209.165.200.227; realiza una búsqueda en la tabla NAT. Usando la asignación de la tabla, R2 traduce la dirección de nuevo a la dirección local interna 192.168.11.10 y reenvía el paquete hacia la PC2.
6. La PC1 en 192.168.10.10 y la PC2 en 192.168.11.10 reciben los paquetes y continúan la conversación. El router lleva a cabo los pasos 2 a 5 para cada paquete. (El paso 6 no aparece en las ilustraciones).
6.5.5. Verificar NAT dinámica
La salida del show ip nat translations comando muestra todas las traducciones estáticas que se han configurado y cualquier traducción dinámica que haya sido creada por el tráfico.
R2# show ip nat translations Pro Inside global Inside local Outside local Outside global --- 209.165.200.228 192.168.10.10 --- --- --- 209.165.200.229 192.168.11.10 --- --- R2#
Agregar la palabra verbose clave muestra información adicional sobre cada traducción, incluido cuánto tiempo hace que se creó y usó la entrada.
R2# show ip nat translation verbose
Pro Inside global Inside local Outside local Outside global
tcp 209.165.200.228 192.168.10.10 --- ---
create 00:02:11, use 00:02:11 timeout:86400000, left 23:57:48, Map-Id(In): 1,
flags:
none, use_count: 0, entry-id: 10, lc_entries: 0
tcp 209.165.200.229 192.168.11.10 --- ---
create 00:02:10, use 00:02:10 timeout:86400000, left 23:57:49, Map-Id(In): 1,
flags:
none, use_count: 0, entry-id: 12, lc_entries: 0
R2#
De forma predeterminada, las entradas de traducción expiran después de 24 horas, a menos que los temporizadores se hayan reconfigurado con el comando ip nat translation timeout timeout-seconds en modo de configuración global.
Para borrar las entradas dinámicas antes de que expire el tiempo de espera, use el clear ip nat translation comando del modo EXEC privilegiado como se muestra.
R2# clear ip nat translation * R2# show ip nat translation
Es útil borrar las entradas dinámicas al probar la configuración NAT. El clear ip nat translationcomando se puede usar con palabras clave y variables para controlar qué entradas se borran, como se muestra en la tabla. Se pueden borrar entradas específicas para evitar interrumpir las sesiones activas. Utilice el comando clear ip nat translation *EXEC privilegiado para borrar todas las traducciones de la tabla.
| Comando | Descripción |
|---|---|
clear ip nat translation * |
Borra todas las entradas de traducción de direcciones dinámicas de la traducción NAT MAC. |
clear ip nat translation insideglobal-ip local-ip [outside local-ip global-ip] |
Borra una entrada de traducción dinámica simple que contiene un traducción o tanto dentro como fuera de la traducción. |
clear ip nat translation protocolinsideglobal-ip global-port local-ip local-port [ fuera delocal-ip local-port global-ip global-port] |
Elimina una entrada de traducción dinámica extendida. |
Nota: Solo las traducciones dinámicas se borran de la tabla. Las traducciones estáticas no pueden borrarse de la tabla de traducción.
Otro comando útil, show ip nat statistics muestra información sobre el número total de traducciones activas, los parámetros de configuración de NAT, el número de direcciones en el grupo y cuántas de las direcciones se han asignado.
R2# show ip nat statistics Total active translations: 4 (0 static, 4 dynamic; 0 extended) Peak translations: 4, occurred 00:31:43 ago Outside interfaces: Serial0/1/1 Inside interfaces: Serial0/1/0 Hits: 47 Misses: 0 CEF Translated packets: 47, CEF Punted packets: 0 Expired translations: 5 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool NAT-POOL1 refcount 4 pool NAT-POOL1: netmask 255.255.255.224 start 209.165.200.226 end 209.165.200.240 type generic, total addresses 15, allocated 2 (13%), misses 0 (output omitted) R2#
Alternativamente, puede usar el show running-config comando y buscar comandos NAT, ACL, interfaz o grupo con los valores requeridos. Examínelos detenidamente y corrija cualquier error que detecte. El ejemplo muestra la configuración del grupo NAT.
R2# show running-config | include NAT ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224 ip nat inside source list 1 pool NAT-POOL1
6.5.6. Packet Tracer – configuración de NAT dinámica
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
- Configurar la NAT dinámica
- Verificar la implementación de NAT
6.6. PAT
6.6.1. Escenario PAT
En este tema, aprenderá a configurar y verificar PAT. Incluye una actividad Packet Tracer para poner a prueba tus habilidades y conocimientos. Existen dos formas de configurar PAT, según cómo el ISP asigna las direcciones IPv4 públicas. En primera instancia, el ISP asigna una única dirección IPv4 pública que se requiere para que la organización se conecte al ISP y, en la otra, asigna más de una dirección IPv4 pública a la organización.
Ambos métodos se demostrarán utilizando el escenario mostrado en la figura.
6.6.2. Configurar PAT para usar una única dirección IPv4
Para configurar PAT para que utilice una única dirección IPv4, simplemente agregue la palabra clave overload al ip nat inside source comando. El resto de la configuración es similar a la configuración NAT estática y dinámica, excepto que con PAT, varios hosts pueden usar la misma dirección IPv4 pública para acceder a Internet.
En el ejemplo, todos los hosts de la red 192.168.0.0/16 (coincidencia ACL 1) que envían tráfico a través del enrutador R2 a Internet se traducirán a la dirección IPv4 209.165.200.225 (dirección IPv4 de la interfaz S0 / 1/1). Los flujos de tráfico se identificarán mediante números de puerto en la tabla NAT porque la palabra overload clave está configurada.
R2(config)# ip nat inside source list 1 interface serial 0/1/1 overload R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255 R2(config)# interface serial0/1/0 R2(config-if)# ip nat inside R2(config-if)# exit R2(config)# interface Serial0/1/1 R2(config-if)# ip nat outside
6.6.3. Configure PAT to Use an Address Pool
Un ISP puede asignar más de una dirección IPv4 pública a una organización. En este escenario, la organización puede configurar PAT para utilizar un grupo de direcciones públicas IPv4 para la traducción.
Si se emitió más de una dirección IPv4 pública para un sitio, estas direcciones pueden ser parte de un conjunto utilizado por PAT. El pequeño grupo de direcciones se comparte entre un mayor número de dispositivos, con múltiples hosts que utilizan la misma dirección IPv4 pública para acceder a Internet. Para configurar PAT para un grupo de direcciones NAT dinámico, simplemente agregue la palabra clave overload al ip nat inside source comando.
La topología de este escenario se repite en la figura para su conveniencia.
En el ejemplo, NAT-POOL2 está enlazado a una ACL para permitir la traducción de 192.168.0.0/16. Estos hosts pueden compartir una dirección IPv4 del grupo porque PAT está habilitado con la palabra clave overload.
R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224 R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255 R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload R2(config)# R2(config)# interface serial0/1/0 R2(config-if)# ip nat inside R2(config-if)# exit R2(config)# interface serial0/1/1 R2(config-if)# ip nat outside R2(config-if)# end R2#
6.6.4. Analizar PAT – PC a servidor
El proceso de sobrecarga de NAT es el mismo si se usa un grupo de direcciones o si se usa una sola dirección. En esta figura, PAT está configurado para usar una única dirección IPv4 pública, en lugar de un grupo de direcciones. PC1 quiere comunicarse con el servidor web, Svr1. Al mismo tiempo, otro cliente, la PC2, desea establecer una sesión similar con el servidor web Svr2. Tanto la PC1 como la PC2 se configuran con direcciones IPv4 privadas, con el R2 habilitado para PAT.
En la figura, se muestran los siguientes pasos:
1. Tanto PC1 como PC2 están enviando paquetes a Svr1 y Svr2, respectivamente. La PC1 tiene la dirección IPv4 de origen 192.168.10.10 y utiliza el puerto de origen TCP 1444. PC2 tiene la dirección IPv4 de origen 192.168.10.11 y, por coincidencia, utiliza el mismo puerto de origen TCP de 1444.
2. El paquete de la PC1 llega primero al R2. Mediante el uso de PAT, el R2 modifica la dirección IPv4 de origen a 209.165.200.225 (dirección global interna). En la tabla de NAT, no hay ningún otro dispositivo que use el puerto 1444, de modo que PAT mantiene el mismo número de puerto. El paquete luego se reenvía hacia el Svr1 en 209.165.201.1.
3. A continuación, llega el paquete de la PC2 al R2. PAT está configurada para utilizar una única dirección IPv4 global interna para todas las traducciones, 209.165.200.225. Similar al proceso de traducción para PC1, PAT cambia la dirección IPv4 de origen de PC2 a la dirección global interna 209.165.200.225. Sin embargo, la PC2 tiene el mismo número de puerto de origen que una entrada actual de PAT, la traducción para la PC1. PAT aumenta el número de puerto de origen hasta que sea un valor único en su tabla. En este caso, la entrada del puerto de origen en la tabla de NAT y el paquete de la PC2 reciben el número 1445.
6.6.5. Analizar PAT – Servidor a PC
Si bien la PC1 y la PC2 usan la misma dirección traducida, la dirección global interna 209.165.200.225, y el mismo número de puerto de origen 1444, el número de puerto modificado para la PC2 (1445) hace que cada entrada en la tabla de NAT sea única. Esto se hará evidente con los paquetes enviados desde los servidores a los clientes, como se muestra en la figura.
En esta segunda figura, los pasos de los servidores a los PC son los siguientes:
4. Los servidores usan el puerto de origen del paquete recibido como puerto de destino y la dirección de origen como dirección de destino para el tráfico de retorno. Al parecer, los servidores se comunican con el mismo host en 209.165.200.225, pero no es así.
5. A medida que llegan los paquetes, el R2 ubica una única entrada en su tabla de NAT mediante la dirección de destino y el puerto de destino de cada paquete. En el caso del paquete del Svr1, la dirección IPv4 de destino 209.165.200.225 tiene varias entradas, pero solo una con el puerto de destino 1444. Mediante la entrada de su tabla, el R2 cambia la dirección IPv4 de destino del paquete a 192.168.10.10, sin necesidad de modificar el puerto de destino. Luego, el paquete se reenvía hacia la PC1.
6. Cuando llega el paquete del Svr2, el R2 realiza una traducción similar. La dirección IPv4 de destino 209.165.200.225 vuelve a aparecer en varias entradas. Sin embargo, con el puerto de destino 1445, el R2 puede identificar una única entrada de traducción. La dirección IPv4 de destino se modifica a 192.168.10.11. En este caso, el puerto de destino también se debe volver a modificar a su valor original de 1444, que está almacenado en la tabla de NAT. Luego, el paquete se reenvía hacia la PC2.
6.6.6. Verificar PAT
El router R2 se configuró para proporcionar PAT a los clientes de 192.168.0.0/16. Cuando los hosts internos salen del enrutador R2 a Internet, se traducen a una dirección IPv4 del grupo PAT con un número de puerto de origen único.
Los mismos comandos utilizados para verificar NAT estático y dinámico se utilizan para verificar PAT, como se muestra en la salida de ejemplo. El comando show ip nat translations muestra las traducciones de dos hosts diferentes a diferentes servidores web. Observe que se asigna la misma dirección IPv4 209.165.200.226 (dirección global interna) a dos hosts internos distintos. Los números de puerto de origen en la tabla de NAT distinguen las dos transacciones.
R2# show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 209.165.200.225:1444 192.168.10.10:1444 209.165.201.1:80 209.165.201.1:80 tcp 209.165.200.225:1445 192.168.11.10:1444 209.165.202.129:80 209.165.202.129:80 R2#
En el siguiente ejemplo, el comando show ip nat statistics verifica que NAT-POOL2 haya asignado una única dirección para ambas traducciones. El resultado incluye información sobre la cantidad y el tipo de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad que se asignó.
R2# show ip nat statistics Total active translations: 4 (0 static, 2 dynamic; 2 extended) Peak translations: 2, occurred 00:31:43 ago Outside interfaces: Serial0/1/1 Inside interfaces: Serial0/1/0 Hits: 4 Misses: 0 CEF Translated packets: 47, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 3] access-list 1 pool NAT-POOL2 refcount 2 pool NAT-POOL2: netmask 255.255.255.224 start 209.165.200.225 end 209.165.200.240 type generic, total addresses 15, allocated 1 (6%), misses 0 (output omitted) R2#
6.6.7. Packet Tracer – Configurar PAT
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
- Parte 1: Configurar NAT Dinámico con Sobrecarga
- Parte 2: Verificar NAT Dinámico con Implementación de Sobrecarga
- Parte 3: Configurar PAT mediante una interfaz
- Parte 4: Verificar la implementación de la interfaz PAT
6.7. NAT64
6.7.1. ¿NAT para IPv6?
Debido a que muchas redes utilizan IPv4 e IPv6, es necesario que exista una forma de utilizar IPv6 con NAT. En este tema se explica cómo se puede integrar IPv6 con NAT. Con una dirección de 128 bits, IPv6 proporciona 340 sextillones de direcciones. Por lo tanto, el espacio de direcciones no es un problema. IPv6 se desarrolló con la intención de hacer innecesario NAT para IPv4 con traducción entre direcciones IPv4 públicas y privadas. Sin embargo, IPv6 sí incluye su propio espacio de direcciones privadas IPv6, direcciones locales únicas (ULA).
Las direcciones IPv6 locales únicas (ULA) se asemejan a las direcciones privadas en IPv4 definidas en RFC 1918, pero con un propósito distinto. Las direcciones ULA están destinadas únicamente a las comunicaciones locales dentro de un sitio. Las direcciones ULA no están destinadas a proporcionar espacio de direcciones IPv6 adicional ni a proporcionar un nivel de seguridad.
IPv6 proporciona la traducción de protocolos entre IPv4 e IPv6 conocida como NAT64.
6.7.2. NAT64
NAT para IPv6 se usa en un contexto muy distinto al de NAT para IPv4. Las variedades de NAT para IPv6 se utilizan para proporcionar de forma transparente el acceso entre redes solo IPv6 y solo IPv4, como se muestra en la figura. No se utiliza como forma de traducción de IPv6 privada a IPv6 global.
Lo ideal es que IPv6 se ejecute de forma nativa siempre que sea posible. Es decir, en dispositivos IPv6 que se comunican entre sí a través de redes IPv6. No obstante, para colaborar en el cambio de IPv4 a IPv6, el IETF elaboró varias técnicas de transición que admiten una variedad de situaciones de IPv4 a IPv6, como dual-stack, tunneling y traducción.
Dual-stack es cuando los dispositivos ejecutan protocolos asociados con IPv4 e IPv6. Tunneling para IPv6 es el proceso de encapsulación de un paquete IPv6 dentro de un paquete IPv4. Esto permite que el paquete IPv6 se transmita a través de una red solo IPv4.
NAT para IPv6 no debe usarse como una estrategia a largo plazo, sino como un mecanismo temporal para ayudar en la migración de IPv4 a IPv6. Con el correr de los años, hubo varios tipos de NAT para IPv6, incluida la traducción de direcciones de red/traducción de protocolos (NAT-PT). El IETF dejó en desuso NAT-PT en favor de su reemplazo, NAT64. NAT64 excede el ámbito de este currículo.
6.8. Práctica del Módulo y Cuestionario
6.8.1. Packet Tracer – Configurar NAT para IPv4
En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:
- Configurar NAT dinámica con PAT
- Configurar la NAT estática
6.8.2. Laboratorio: Configurar NAT para IPv4
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
- Parte 1: Armar la red y configurar los ajustes básicos de los dispositivos
- Parte 2: Configurar y verificar NAT para IPv4
- Parte 3: Configurar and verificar PAT for IPv4
- Parte 4: Configurar y verificar NAT para IPv4.
6.8.3. ¿Qué aprenderé en este módulo?
Características de NAT
No hay suficientes direcciones IPv4 públicas para asignar una dirección única a cada dispositivo conectado a Internet. Las direcciones IPv4 privadas no se pueden enrutar a través de Internet. Para permitir que un dispositivo con una dirección IPv4 privada acceda a recursos y dispositivos fuera de la red local, primero se debe traducir la dirección privada a una dirección pública. NAT proporciona la traducción de direcciones privadas a direcciones públicas. El uso principal de NAT es conservar las direcciones IPv4 públicas. Permite que las redes utilicen direcciones IPv4 privadas internamente y proporciona traducción a una dirección pública solo cuando es necesario. Cuando un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna del dispositivo a una dirección pública del conjunto de NAT. Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción. La red externa se refiere a todas las otras redes. Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:
- Dirección interna: – la dirección del dispositivo que NAT está traduciendo.
- Dirección externa: – la dirección del dispositivo de destino.
NAT también usa los conceptos de local o global con relación a las direcciones:
- Dirección local: -una dirección local es cualquier dirección que aparece en la parte interna de la red.
- Dirección global: – una dirección global es cualquier dirección que aparece en la parte externa de la red.
Tipos de NAT
La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas asignaciones son configuradas por el administrador de red y se mantienen constantes. La NAT estática es particularmente útil para servidores web o dispositivos que deben tener una dirección coherente a la que se pueda acceder desde Internet, como el servidor web de una empresa. La NAT estática requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas. La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una dirección IPv4 pública disponible del conjunto. Al igual que la NAT estática, la NAT dinámica requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas. La traducción de la dirección del puerto (PAT), también conocida como “NAT con sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas direcciones. Esta es la forma más común de NAT tanto para el hogar como para la empresa. PAT garantiza que los dispositivos usen un número de puerto TCP diferente para cada sesión con un servidor en Internet. PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen original ya está en uso, PAT asigna el primer número de puerto disponible a partir del comienzo del grupo de puertos apropiado. PAT traduce la mayoría de los protocolos comunes transmitidos mediante IPv4 que no utiliza TCP o UDP como protocolo de la capacidad de transporte. El más común de ellos es ICMPv4.
| NAT | PAT |
|---|---|
| Mapeo uno a uno entre las direcciones Inside Local y Inside Global. | Una dirección global interna se puede asignar a muchas direcciones locales internas. |
| Utiliza sólo direcciones IPv4 en el proceso de traducción. | Utiliza direcciones IPv4 y números de puerto de origen TCP o UDP en el proceso de traducción. |
| Se requiere una dirección global interna única para cada host interno que acceda a la red externa. | Muchos hosts internos que acceden a la red externa pueden compartir una única dirección global interna única. |
NAT Advantages and Disadvantages
Ventajas: NAT conserva el esquema de direccionamiento legalmente registrado al permitir la privatización de las intranets. NAT aumenta la flexibilidad de las conexiones a la red pública. NAT proporciona coherencia a los esquemas de direccionamiento de red interna. NAT oculta las direcciones IPv4 de usuarios.
Desventajas: NAT aumenta los retrasos de reenvío porque la traducción de cada dirección IPv4 dentro de los encabezados de los paquetes lleva tiempo. El proceso de dos capas de traducción NAT se conoce como Carrier Grade NAT (CGN). Se pierde el direccionamiento de extremo a extremo. Muchos protocolos y aplicaciones de Internet dependen del direccionamiento de extremo a extremo desde el origen hasta el destino. También se reduce el seguimiento IPv4 de extremo a extremo. El uso de NAT también genera complicaciones en la utilización de protocolos de tunneling, como IPsec, porque NAT modifica valores en los encabezados, lo que hace fallar las comprobaciones de integridad
NAT Estático
La NAT estática es una asignación uno a uno entre una dirección interna y una dirección externa. La NAT estática permite que los dispositivos externos inicien conexiones a los dispositivos internos mediante la dirección pública asignada de forma estática. La primera tarea es crear una asignación entre la dirección local interna y las direcciones globales internas usando el ip nat inside source static comando. Después de configurar la asignación, las interfaces que participan en la traducción se configuran como internas o externas en relación con NAT mediante los ip nat inside comandos.ip nat outside Para verificar la operación NAT, utilice el show ip nat translations comando. Para verificar que la traducción NAT está funcionando, es mejor borrar las estadísticas de cualquier traducción anterior utilizando el clear ip nat statistics comando antes de realizar la prueba.
NAT Dinámico
NAT dinámico asigna automáticamente las direcciones locales internas a direcciones globales internas. Al igual que la NAT estática, la NAT dinámica requiere que se configuren las interfaces interna y externa que participan en la NAT. El NAT dinámico utiliza un conjunto de direcciones que traducen una sola dirección interna a una sola dirección externa. El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se encuentra disponible para cualquier dispositivo en la red interna según el orden de llegada. Con este tipo de traducción, debe haber suficientes direcciones en el grupo para acomodar todos los dispositivos internos que necesitan acceso concurrente a la red externa. Si todas las direcciones del grupo están en uso, un dispositivo debe esperar una dirección disponible antes de poder acceder a la red externa.
Para configurar NAT dinámico, primero defina el conjunto de direcciones que se utilizarán para la traducción con el ip nat pool comando. Las direcciones se definen indicando la primera y la última dirección IPv4 del conjunto. La palabra clave netmask o prefix-length indica qué bits de dirección pertenecen a la red y qué bits pertenecen al host para el rango de direcciones. Configure una ACL estándar para identificar (permitir) solo aquellas direcciones que se deben traducir. Enlazar la ACL al grupo, utilizando la siguiente sintaxis de comando: Router(config)# ip nat inside source list {access-list-number | access-list-name} pool pool-name. Identifique qué interfaces hay dentro, en relación con NAT. Identifique qué interfaces están fuera, en relación con NAT.
Para verificar las configuraciones NAT dinámicas, la salida del show ip nat translations comando que se muestra muestra todas las traducciones estáticas que se han configurado y cualquier traducción dinámica que haya sido creada por el tráfico. Agregar la palabra verbose clave muestra información adicional sobre cada traducción, incluido cuánto tiempo hace que se creó y usó la entrada. De forma predeterminada, las entradas de traducción expiran después de 24 horas, a menos que los temporizadores se hayan reconfigurado con el comando ip nat translation timeout timeout-seconds en modo de configuración global. Para borrar las entradas dinámicas antes de que expire el tiempo de espera, use el clear ip nat translation comando del modo EXEC privilegiado.
PAT
Existen dos formas de configurar PAT, según cómo el ISP asigna las direcciones IPv4 públicas. En primera instancia, el ISP asigna una única dirección IPv4 pública que se requiere para que la organización se conecte al ISP y, en la otra, asigna más de una dirección IPv4 pública a la organización. Para configurar PAT para que utilice una única dirección IPv4, simplemente agregue la palabra clave overload al ip nat inside source comando. El resto de la configuración es similar a la configuración NAT estática y dinámica, excepto que con PAT, varios hosts pueden usar la misma dirección IPv4 pública para acceder a Internet. Para configurar PAT para un grupo de direcciones NAT dinámico, simplemente agregue la palabra clave overload al ip nat inside source comando. Varios hosts pueden compartir una dirección IPv4 del grupo porque PAT está habilitado con la palabra clave overload.
Para verificar las configuraciones de PAT nos el show ip nat translations comando. Los números de puerto de origen en la tabla NAT diferencian las transacciones. El show ip nat statistics comando verifica que NAT-POOL haya asignado una sola dirección para varias traducciones. El resultado incluye información sobre la cantidad y el tipo de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad que se asignó.
NAT64
IPv6 se desarrolló con la intención de hacer innecesario NAT para IPv4 con traducción entre direcciones IPv4 públicas y privadas. Sin embargo, IPv6 sí incluye su propio espacio de direcciones privadas IPv6, direcciones locales únicas (ULA). Las direcciones IPv6 locales únicas (ULA) se asemejan a las direcciones privadas en IPv4 definidas en RFC 1918, pero con un propósito distinto. Las direcciones ULA están destinadas únicamente a las comunicaciones locales dentro de un sitio. Las direcciones ULA no están diseñadas para proporcionar espacio de direcciones IPv6 adicional ni para proporcionar un nivel de seguridad; sin embargo, IPv6 proporciona la traducción de protocolos entre IPv4 e IPv6 conocida como NAT64. NAT para IPv6 se usa en un contexto muy distinto al de NAT para IPv4. Las variedades de NAT para IPv6 se usan para proporcionar acceso de manera transparente entre redes solo IPv6 y redes solo IPv4. Para ayudar en el movimiento de IPv4 a IPv6, el IETF ha desarrollado varias técnicas de transición para acomodar una variedad de escenarios de IPv4 a IPv6, incluyendo doble pila, tunelización y traducción. Dual-stack es cuando los dispositivos ejecutan protocolos asociados a IPv4 y a IPv6. Tunneling para IPv6 es el proceso de encapsulación de un paquete IPv6 dentro de un paquete IPv4. Esto permite que el paquete IPv6 se transmita a través de una red solo IPv4. NAT para IPv6 no debe usarse como una estrategia a largo plazo, sino como un mecanismo temporal para ayudar en la migración de IPv4 a IPv6.
