Chapter 11: Network Address Translation for IPv4

NAT
Cisco Routing & Switching Captulo 11

Caractersticas NAT Espacio privado de direcciones IPv4

El espacio de direcciones IPv4 no es lo suficientemente grande para asignar una direccin nica a cada dispositivo que se conecta a Internet. Mediante el RFC 1918, se defini un espacio de direcciones privadas con el fin de que se usen de forma independiente nicamente dentro de la red privada de una organizacin. Las direcciones privadas no se enrutan en Internet, mientras que las direcciones pblicas si. El espacio de direcciones privadas puede aliviar el problema de falta de direcciones IPv4, pero ya que no se enrutan en los dispositivos de Internet, deben traducirse a direcciones pblicas. NAT es el proceso utilizado para realizar esa traduccin.

Caractersticas NAT

Espacio de direcciones privadas IPv4

Caractersticas NAT Qu es NAT?

NAT es un proceso usado para traducir direcciones IP NAT se usa especialmente para conservar el espacio de direcciones pblicas IPv4. Usualmente, NAT se implementa en dispositivos de frontera como routers firewalls. NAT permite el uso de direcciones privadas internamente y la traduccin correspondiente a direcciones pblicas slo cuando es necesario. Los dispositivos dentro de una organizacin pueden tener asignadas direcciones IP privadas y operar con direcciones IP nicas en el mbito local, sin embargo, estas no son direcciones IP globalmente nicas pues habr otras organizaciones usando iguales direcciones de forma interna. Cuando el trfico debe enviarse recibirse hacia desde otras organizaciones Internet, el router de frontera debe traducir las direcciones privadas a direcciones pblicas, estas direcciones deben ser nicas en el mbito global.

Caractersticas NAT

Qu es NAT?

NAT se utiliza generalmente en un dispositivo de frontera entre dominios pblicos y privados.

Cmo funciona NAT?

Cuando un host en la red privada inicia una conexin con el exterior, utiliza su direccin IP como direccin origen del mensaje. El mensaje es procesado por el dispositivo que realiza el NAT, modificando la IP origen del paquete utilizando una direccin pblica en lugar de la direccin privada inicial. Con este encabezado, se transmite el paquete a su destino. El mensaje de respuesta obviamente usa la direccin origen del paquete de solicitud como direccin destino de la respuesta. Cuando el NAT recibe el paquete de respuesta, modifica la direccin destino para que coincida con la direccin IP del host que inici la comunicacin. NAT usa la informacin del encabezado de Capa 4 para el reenvo de paquetes a los dispositivos correspondientes.

Cmo funciona NAT?

NAT usa los encabezados de Capa 4 para el rastreo de las conexiones.

Guarda una tabla con la informacin necesaria para el envo de los paquetes entre los destinos correctos.

Terminologa NAT

Dentro de la red interna, se tienen dispositivos que usan direcciones IP privadas. Las redes externas corresponden a todas las dems redes qu slo pueden identificarse unvocamente mediante direcciones IP pblicas. NAT incluye cuatro tipos de direcciones:

Inside local address Inside global address Outside local address Outside global address

Direcciones locales Las direcciones percibidas por la red interna. Direcciones globales Direcciones en la red externa

Terminologa NAT

Tipos de NAT

NAT esttico

El NAT esttico usa un mapeo uno-a-uno de direcciones locales y globales. Este mapeo es configurado manualmente y permanece constante. El NAT esttico es particularmente til cuando los servidores alojados al interior de la red, deben tambin ser accedidos desde las redes externas. La administracin de los servidores puede realizarse mediante SSH desde una red externa, usando la correspondiente direccin global interna.

Tipos de NAT

NAT esttico

Tipos de NAT

NAT dinmico

El NAT dinmico usa un conjunto de direcciones pblicas y las asigna en orden de llegada de la solicitud (first-come, first-served). Cuando un dispositivo interno solicita acceso a una red externa, el NAT dinmico asigna una direccin IPv4 pblica del conjunto de direcciones disponibles. El NAT dinmico requiere suficientes direcciones IP pblicas disponibles para satisfacer el total de sesiones internas simultneas.

Tipos de NAT

NAT dinmico

Tipos de NAT

Traduccin de direcciones de puerto (PAT)

PAT (Port Address Translation) mapea mltiples direcciones IPv4 privadas a una direccin IPv4 pblica, puede mapear un conjunto de direcciones privadas IPv4 a un conjunto menor de direcciones IPV4 pblicas. PAT usa el par puerto origen y direccin IP origen para rastrear qu trfico pertenece a qu cliente interno. PAT tambin se conoce como NAT con sobrecarga (NAT overload). Al usar tambin el nmero de puerto, PAT reenva los paquetes respuesta al dispositivo correcto. El proceso PAT tambin valida que los paquetes entrantes correspondan a paquetes solicitado, agregando as un elemento adicional de seguridad.

Tipos de NAT

Comparacin de NAT & PAT

NAT traduce direcciones IPv4 en una asignacin 1:1 entre una direccin privada IPv4 y una direccin pblica IPv4. PAT modifica tanto la direccin como el nmero de puerto. NAT reenva los paquetes entrantes hacia el destino interno tomando como referencia la direccin IPv4 entrante proporcionada por el host en la red pblica. Con PAT, hay generalmente una muy pocas direcciones IPv4 direcciones pblicas expuestas. PAT permite traducir protocolos que no usan nmeros de puerto como ICMP, cada uno de estos protocolos es soportados diferencialmente por PAT.

NAT: Pros y contras

Beneficios:

Conserva el esquema de direccionamiento legalmente registrado.

Permite el uso de una nica direccin pblica a varios dispositivos en redes privadas.

Incrementa la flexibilidad de las conexiones a la red pblica. Proporciona consistencia para el esquema de direcciones interno. Proporciona una forma bsica de seguridad de red.

Los dispositivos de una red privada no pueden accederse desde Internet.

Desventajas

Degradacin del desempeo. Degradacin de la funcionalidad extremo-a-extremo. Prdida de la trazabilidad rastreo extremo-a-extremo. Aumenta la complejidad de los tneles. Puede interrumpirse la inicializacin de conexiones TCP.

Configuracin de NAT esttico

Hay dos tareas bsicas en la configuracin de traducciones NAT estticas:

Crear un mapa entre las direcciones internas locales y las direcciones externas locales. Definir cules interfaces pertenecen a la red interna y cules pertenecen a la red externa.

Configuracin de NAT esttico

Operacin de NAT esttico

El primer paquete recibido por R2 a travs de la interfaz NAT externa requiere la consulta de la tabla NAT

Verificacin de NAT esttico

Las traducciones estticas siempre estn presentes en la tabla NAT

Durante una sesin activa se registran los parmetros de la sesin asociados a la tabla NAT.

Verificacin de NAT esttico

Mediante el comando show ip nat statistics se puede consultar informacin referente al total de traducciones activas, parmetros de configuracin y nmero de direcciones. Deben borrarse las estadsticas antes de usar el comando
clear ip nat statistics
Borrado y consulta de estadsticas

Estadsticas despus de trfico NAT

Operacin de NAT dinmico

El conjunto de direcciones IPv4 pblicas (inside global address pool) est disponible para cualquier dispositivo en la red interna de acuerdo con el rden de solicitud (first-come, first-served). Con NAT dinmico, una nica direccin interna se traduce a una nica direccin externa. El conjunto de direcciones pblicas debe ser lo suficientemente grande para satisfacer todas las demandas internas. Un dispositivo no puede comunicarse a una red externa si no hay direcciones pblicas disponibles.

Configuracin de NAT dinmico

Los pasos para la configuracin del NAT dinmico incluyen

1.

2. 3.
4.

5.

Definicin de un conjunto de direcciones globales a usar en la traduccin. Definicin de una lista de direcciones internas que tendrn acceso al servicio NAT. Asociar a la traduccin el conjunto de direcciones externas y la lista de direcciones internas. Identificar las interfaces de entrada del NAT Identificar las interfaces de salida del NAT

Todos estos pasos son necesarios y pueden realizarse en cualquier orden.

Configuracin NAT dinmico

Funcionamiento del NAT dinmico

Funcionamiento de NAT dinmico

Verificacin de NAT dinmico

Verificacin de NAT dinmico

Verificacin de NAT dinmico mediante la visualizacin de estadsticas del proceso:

Configuracin de PAT:

Rango de direcciones
PAT con un rango de direcciones Ejemplo

Definicin de un pool de direcciones IP pblicas (ejemplo)

R2(config)#ip nat pool ejemplo 209.165.200.226 209.165.200.240 netmask 255.255.255.224 R2(config)#access-list 20 permit 192.168.0.0 0.0.255.255

Determinacin de qu direcciones son elegibles para ser traducidas:

Asociacin del pool externo con las direcciones internas

R2(config)#ip nat inside source list 20 pool ejemplo overload

Definicin de las interfaces de entrada y salida del NAT. Puede haber varias interfaces de entrada !

R2(config)#interface Serial 0/1/0 R2(config-if)#ip nat outside

Configuracin de PAT:

Direccin nica

Para PAT, puede utilizarse la direccin IP de la interfaz externa del router, por lo tanto, no se requiere la definicin de un pool de direcciones:

Definicin de la lista de direcciones que tendrn acceso al NAT. Asociar a la lista de direcciones del punto anterior, la traduccin NAT a travs de la interfaz de salida del mismo: R(config)#ip nat inside source list #ACL interface tipo_numero overload

Identificacin de la interfaz de salida del NAT Identificacin de la interfaz de entrada del NAT

Anlisis de PAT

Anlisis de PAT

Verificacin de las traducciones PAT

Reenvo de puertos

El reenvo de puertos es el acto de reenviar un puerto de red desde un nodo de red a otro. Un paquete enviado a una direccin IP pblica y puerto de un router puede reenviarse a una direccin IP privada y puerto en la red interna. El reenvo de puertos es til en situaciones donde los servidores tienen direcciones privadas, no alcanzables desde las redes externas.

Reenvo de puertos - Ejemplo

Reenvo de puertos - Configuracin

En Cisco IOS, el reenvo de puertos es esencialmente una traduccin NAT esttica con un nmero de puerto TCP UDP especfico.

NAT para IPv6?

NAT se cre para atender el problema de escasez de direcciones IPv4. IPv6 con direcciones de 128 bits, proporciona 340 sextillones de direcciones (2128) El espacio de direcciones no es un problema para IPv6. IPv6 por diseo, hace innecesario el uso de direcciones privadas y el uso de NAT; sin embargo, IPv6 implementa una forma de direcciones privadas y su implementacin es diferente de la implementacin de IPv4

Configuracin de NAT e IPv6 IPv6 Unique Local Addresses

Las direcciones nicas locales IPv6 (ULAs) estn diseadas para permitir comunicaciones IPv6 dentro de un sitio interno. Las ULAs no pretenden proporcionar un espacio adicional de direcciones IPv6. Las ULAs tienen el prefijo FC00::/7, resultante de un primer hexteto en el rango FC00 a FDFF. Las ULAs tambin se conocen como direcciones IPv6 locales (no deben confundirse con las direcciones IPv6 de enlace local)

NAT para IPv6?

IPv6 tambin usa NAT, pero en un contexto completamente diferente. En IPv6, NAT se usa para proporcionar comunicacion transparente entre IPv6 e IPv4. NAT64 no pretende ser una solucin permanente, es mas bien un mecanismo de transicin. (NAT-PT) Network Address Translation-Protocol Translation fue otro mecanismo de transisin para IPv6, pero ahora se considera obsoleto de acuerdo con las recomendaciones de la IETF. La recomendacin actual es NAT64.

NAT para IPv6

Solucin de problemas NAT

Solucin de problemas de NAT

Uso de comandos debug

Resumen

NAT es una opcin utilizada para ayudar a resolver la escasez de direcciones IPv4 NAT conserva el espacio de direcciones pblicas y reduce la sobrecarga administrativa en la administracin, movimientos y cambios. NAT est diseado especficamente para IPv4 y presenta diferentes opciones:

NAT esttico NAT dinmico NAT con sobrecarga (PAT)

La configuracin de NAT depende del tipo de NAT a configurar. El funcionamiento de NAT puede verificarse con los comandos show y debug apropiados. El reenvi de puertos permite acceder a dispositivos internos desde una red externa. Como una medida transitoria, puede utilizarse NAT para traduccin entre direcciones IPv4 e IPv6