Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Introduccin
Todas las direcciones de Internet pblicas deben registrarse en un registro de Internet regional
(RIR, Regional Internet Registry) !as organi"aciones pueden arrendar direcciones pblicas a
tra#$s de un I%P %lo el titular registrado de una direccin de Internet pblica puede asignar
esa direccin a un dispositi#o de red
A diferencia de las direcciones IP pblicas, las direcciones IP pri#adas son un blo&ue reser#ado
de nmeros y cual&uiera las puede utili"ar 'so &uiere decir &ue dos redes, o dos millones de
redes, pueden utili"ar las mismas direcciones pri#adas Para e#itar conflictos de
direccionamiento, los routers nunca deben enrutar direcciones IP pri#adas Para proteger la
estructura de direcciones de Internet pblicas, los I%P normalmente configuran los routers de
borde para impedir &ue el tr(fico con direcciones pri#adas se reen#)e a tra#$s de Internet
%in embargo, como no es posible enrutar direcciones pri#adas a tra#$s de Internet, y como no
*ay suficientes direcciones pblicas como para permitir a las organi"aciones &ue proporcionen
una a cada uno de sus *osts, las redes necesitan un mecanismo para traducir las direcciones
pri#adas en direcciones pblicas en el e+tremo de la red y &ue funcione en ambas direcciones
%in un sistema de traduccin, los *osts pri#ados &ue se encuentran detr(s de un router en la
red de una organi"acin no pueden conectarse con otros *osts pri#ados &ue se encuentran en
otras organi"aciones a tra#$s de Internet
!a traduccin de direcciones de red (NAT, Net,or- Address Translation) proporciona este
mecanismo Antes del desarrollo de NAT, un *ost con direccin pri#ada no pod)a acceder a
Internet .on NAT, las empresas indi#iduales pueden direccionar algunos o todos sus *osts con
direcciones pri#adas y utili"ar NAT para proporcionar acceso a Internet
NAT
NAT es como el recepcionista de una oficina grande Imagine &ue le indica al recepcionista &ue
no le pase ninguna llamada a menos &ue se lo solicite /(s tarde, llama a un posible cliente y
le de0a un mensa0e para &ue le de#uel#a el llamado A continuacin, le informa al recepcionista
&ue est( esperando una llamada de este cliente y le solicita &ue le pase la llamada a su
tel$fono
'l cliente llama al nmero principal de la oficina, &ue es el nico nmero &ue el cliente conoce
.uando el cliente informa al recepcionista a &ui$n est( buscando, el recepcionista se fi0a en
una tabla de bs&ueda &ue indica cu(l es el nmero de e+tensin de su oficina 'l
recepcionista sabe &ue el usuario *ab)a solicitado esta llamada, de manera &ue la reen#)a a su
e+tensin
'ntonces, mientras &ue el ser#idor de 12.P asigna direcciones IP din(micas a los dispositi#os
&ue se encuentran dentro de la red, los routers *abilitados para NAT retienen una o #arias
direcciones IP de Internet #(lidas fuera de la red .uando el cliente en#)a pa&uetes fuera de la
red, NAT traduce la direccin IP interna del cliente a una direccin e+terna Para los usuarios
e+ternos, todo el tr(fico &ue entra a la red y sale de ella tiene la misma direccin IP o pro#iene
del mismo con0unto de direcciones
NAT tiene muc*os usos, pero la utilidad cla#e es el a*orro de direcciones IP al permitir &ue las
redes utilicen direcciones IP pri#adas NAT traduce direcciones internas, pri#adas y no
enrutables a direcciones pblicas enrutables NAT tiene el beneficio adicional de agregar un
ni#el de pri#acidad y seguridad a una red por&ue oculta las direcciones IP internas de las redes
e+ternas
.uando nuestro e&uipo local comunica con otro e&uipo en el e+terior utili"ando NAT usamos
los siguientes t$rminos3
1ireccin local interna3 direccin pri#ada &ue tiene nuestro e&uipo local
1ireccin global interna3 direccin pblica #(lida &ue se asigna a nuestro e&uipo interno
cuando sale del router NAT
1ireccin global e+terna3 direccin IP a la &ue se puede acceder y &ue fue asignada a
un *ost e+terno en Internet
1ireccin local e+terna3 direccin IP local asignada al e&uipo con el &ue comunicamos
en la red e+terna
Planificacin y Administracin de Redes NAT-PAT-NAPT
NAT esttica y dinmica
!a traduccin NAT din(mica usa un con0unto de direcciones pblicas y las asigna en orden de
llegada .uando un *ost con una direccin IP pri#ada solicita acceso a Internet, la traduccin
NAT din(mica eli0e una direccin IP del con0unto de direcciones &ue no est$ siendo utili"ada por
otro *ost
!a traduccin NAT est(tica utili"a un sistema de asignacin de uno a uno entre las direcciones
locales y las globales, y estas asignaciones son constantes !a traduccin NAT est(tica resulta
particularmente til para los ser#idores 4eb o los *osts &ue necesitan tener una direccin
uniforme a la &ue se pueda tener acceso desde Internet 'stos *osts internos pueden ser
ser#idores de empresas o dispositi#os de net,or-ing
Tanto la traduccin NAT est(tica como la din(mica necesitan &ue *aya una cantidad suficiente
de direcciones pblicas disponibles para cubrir la cantidad total de sesiones de usuario
simult(neas
PAT o Sobrecarga de NAT
!a sobrecarga de NAT (a #eces llamada Traduccin de la direccin del puerto, 5PAT, Port
Address Translation6) asigna #arias direcciones IP pri#adas a una nica direccin IP pblica o a
un grupo pe&ue7o de direcciones IP pblicas 's lo &ue *acen la mayor)a de los routers 'l I%P
asigna una direccin al router A1%!, y #arios e&uipos pueden na#egar por Internet de manera
simult(nea
.on la sobrecarga de NAT, es posible asignar #arias direcciones a una o slo algunas
direcciones por&ue cada direccin pri#ada tambi$n se identifica por un nmero de puerto
.uando un cliente abre una sesin T.P8IP, el router NAT asigna un nmero de puerto a la
direccin de origen correspondiente !a sobrecarga de NAT asegura &ue los clientes utilicen un
nmero de puerto T.P diferente para cada sesin de cliente con un ser#idor en Internet
.uando se recibe una respuesta del ser#idor, el nmero de puerto de origen, &ue pasa a ser el
nmero de puerto de destino en la respuesta, determina a &u$ cliente se enrutan los pa&uetes
Adem(s #alida &ue los pa&uetes entrantes fueron solicitados, lo &ue agrega seguridad a la
sesin
!os nmeros de puerto se codifican en 9: bits 'n teor)a, la cantidad total de direcciones
internas &ue se pueden traducir a una direccin e+terna podr)a ser de *asta :; ;<: por
direccin IP %in embargo, en realidad, la cantidad de direcciones internas &ue se pueden
asignar a una nica direccin IP es de apro+imadamente =>>>
!a sobrecarga de NAT intenta conser#ar el puerto de origen original %in embargo, si este
puerto origen est( en uso, la sobrecarga de NAT asigna el primer nmero de puerto disponible,
desde el principio del grupo de puertos correspondiente >-;99, ;9?-9>?<, 9>?=-:;;<;
.uando no *ay m(s puertos disponibles y *ay m(s de una direccin IP e+terna configurada, la
sobrecarga de NAT utili"a la pr+ima direccin IP para tratar de asignar nue#amente el puerto
de origen original 'ste proceso contina *asta &ue no *aya puertos ni direcciones IP e+ternas
disponibles
Planificacin y Administracin de Redes NAT-PAT-NAPT
Ventajas y desventajas del uso de NAT
'ntre los beneficios del uso de NAT se encuentran los siguientes3
NAT conser#a el es&uema de direccionamiento legalmente registrado, lo &ue permite la
pri#ati"acin de redes internas NAT conser#a las direcciones mediante la
multiple+acin a ni#el de puerto de la aplicacin .on la sobrecarga de NAT, los *osts
internos pueden compartir una sola direccin IP pblica para toda comunicacin
e+terna 'n este tipo de configuracin, se re&uieren muy pocas direcciones e+ternas
para admitir muc*os *osts internos
NAT aumenta la fle+ibilidad de las cone+iones con la red pblica %e pueden
implementar #arios con0untos, con0untos de respaldo y de balanceo de carga para
asegurar &ue las cone+iones de red pblica sean confiables
NAT proporciona uniformidad en los es&uemas de direccionamiento internos de red 'n
una red sin direcciones IP pri#adas y NAT, cambiar de direcciones IP pblicas re&uiere
la renumeracin de todos los *osts en la red e+istente 'l costo de renumerar los *ost
puede ser ele#ado NAT permite &ue permane"ca el es&uema e+istente, al mismo
tiempo &ue admite un nue#o sistema de direccionamiento pblico 'sto significa &ue
una organi"acin puede cambiar de I%P y no tener &ue cambiar ninguno de sus
clientes internos
NAT proporciona seguridad de red 1ebido a &ue las redes pri#adas no publicitan sus
direcciones o topolog)a interna, $stas son ra"onablemente seguras cuando se las
utili"a en con0unto con NAT para tener un acceso e+terno controlado %in embargo,
NAT no reempla"a los fire,alls
No obstante, NAT tiene algunas des#enta0as 'l *ec*o de &ue los *osts de Internet pare"can
comunicarse directamente con el dispositi#o NAT en lugar de *acerlo con el #erdadero *ost
perteneciente a la red pri#ada crea una serie de problemas
!a primera des#enta0a es &ue el rendimiento se #e afectado NAT aumenta los retrasos
en la conmutacin por&ue la traduccin de cada direccin IP dentro de los
encabe"ados del pa&uete lle#a tiempo 'l primer pa&uete es de conmutacin de
procesos, lo &ue significa &ue siempre #a por la ruta m(s lenta 'l router tiene &ue
inspeccionar cada pa&uete para decidir si es necesario traducirlo 'l router debe
modificar el encabe"ado IP, y posiblemente el encabe"ado T.P o @1P tambi$n3 !os
pa&uetes restantes #an por la ruta de conmutacin r(pida si *ay una entrada de cac*$A
en el caso contrario, tambi$n sufren retrasos
/uc*os protocolos y aplicaciones de Internet dependen de &ue la funcionalidad se
apli&ue de e+tremo a e+tremo y &ue los pa&uetes se reen#)en sin modificaciones desde
el origen al destino Al cambiar las direcciones de e+tremo a e+tremo, NAT impide el
funcionamiento de algunas aplicaciones &ue utili"an direccionamiento IP Por e0emplo,
algunas aplicaciones de seguridad, como ser las firmas digitales, fallan por&ue la
Planificacin y Administracin de Redes NAT-PAT-NAPT
direccin IP de origen cambia !as aplicaciones &ue utili"an las direcciones f)sicas en
#e" de un nombre de dominio calificado no llegan a los destinos &ue se traducen en el
router NAT Algunas #eces, este problema puede e#itarse implementando asignaciones
NAT est(ticas
Tambi$n se pierde la capacidad de rastreo de e+tremo a e+tremo %e *ace muc*o m(s
dif)cil rastrear pa&uetes &ue sufren #arios cambios en la direccin del pa&uete al
atra#esar mltiples saltos NAT, lo &ue dificulta la resolucin de problemas Por otra
parte, los piratas inform(ticos &ue deseen determinar la fuente del pa&uete,
descubrir(n &ue es muy dif)cil rastrear u obtener la direccin origen o destino original
'l uso de NAT tambi$n complica el funcionamiento de los protocolos de tunneling, por
e0emplo IPsec, por&ue NAT modifica #alores de los encabe"ados e interfiere as) con los
controles de integridad &ue e0ecutan IPsec y otros protocolos de tunneling
!os ser#icios &ue re&uieren el inicio de cone+iones T.P desde el e+terior de la red, o
protocolos sin estado como los &ue usan @1P, pueden #erse interrumpidos A menos
&ue el router NAT *aga un esfuer"o espec)fico para admitir estos protocolos, los
pa&uetes entrantes no pueden llegar a destino Algunos protocolos pueden acomodar
una instancia de NAT entre *osts participantes (por e0emplo, BTP en modo pasi#o),
pero fallan cuando los dos sistemas est(n separados de Internet por NAT
Apertura de puertos
!a redireccin de puertos (a #eces llamada tuneleo, tunneling, port for,arding, #irtual ser#er) es
la accin de redirigir un puerto de red de un nodo de red a otro 'sta t$cnica puede permitir &ue
un usuario e+terno tenga acceso a un puerto en una direccin IP pri#ada (dentro de una !AN)
desde el e+terior #)a un router con NAT acti#ado
!a redireccin de puertos permite &ue ordenadores remotos (por e0emplo, m(&uinas pblicas
en Internet) se conecten a un ordenador en concreto dentro de una !AN pri#ada Por e0emplo,
si tenemos un ser#idor ,eb dentro de nuestra red pri#ada abrimos el puerto C> de nuestro
router A1%! a la m(&uina ser#idor
Dtra opcin asociada a la apertura es Port Triggering (accionar puertos), es algo as) como un
mapeador de puertos Edin(micoE 'st( pensado para aplicaciones cliente-ser#idor, &ue reali"an
cone+iones salientes y entrantes, no para ser#idores e+clusi#os, &ue slo esperan cone+iones
entrantes 'l Trigger Port es el puerto al &ue intenta conectarse una m(&uina de la red !AN 's
posible, &ue esa cone+in necesite abrir puertos en la m(&uina local (y por tanto en el router)
Para ello, se asocia un trigger port a un con0unto de puertos a abrir, de forma &ue cuando la
m(&uina local se conecta a un determinado trigger port, el router abrir( los puertos &ue se le
*an asociado cuando reciba una peticin entrante de esa cone+in Por e0emplo, cuando uno
se conecta a /% /essenger, abre una cone+in saliente con el puerto T.P 9C:<, pero puede
ser &ue necesite abrir los puertos de recepcin de fic*eros, comunicaciones de #o", Para
ello se asocia al trigger port 9C:< los puertos :CF9-:F>> (en#)o de fic*eros) 1e esta forma,
cuando el usuario &uiera en#iar un fic*ero desde la m(&uina local al usuario remoto a tra#$s
del /essenger, el router abrir( dic*os puertos para esa cone+in
Comandos IOS Cisco
Planificacin y Administracin de Redes NAT-PAT-NAPT