Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
NAT
Cisco Routing & Switching Captulo 11
El espacio de direcciones IPv4 no es lo suficientemente grande para asignar una direccin nica a cada dispositivo que se conecta a Internet. Mediante el RFC 1918, se defini un espacio de direcciones privadas con el fin de que se usen de forma independiente nicamente dentro de la red privada de una organizacin. Las direcciones privadas no se enrutan en Internet, mientras que las direcciones pblicas si. El espacio de direcciones privadas puede aliviar el problema de falta de direcciones IPv4, pero ya que no se enrutan en los dispositivos de Internet, deben traducirse a direcciones pblicas. NAT es el proceso utilizado para realizar esa traduccin.
Caractersticas NAT
NAT es un proceso usado para traducir direcciones IP NAT se usa especialmente para conservar el espacio de direcciones pblicas IPv4. Usualmente, NAT se implementa en dispositivos de frontera como routers firewalls. NAT permite el uso de direcciones privadas internamente y la traduccin correspondiente a direcciones pblicas slo cuando es necesario. Los dispositivos dentro de una organizacin pueden tener asignadas direcciones IP privadas y operar con direcciones IP nicas en el mbito local, sin embargo, estas no son direcciones IP globalmente nicas pues habr otras organizaciones usando iguales direcciones de forma interna. Cuando el trfico debe enviarse recibirse hacia desde otras organizaciones Internet, el router de frontera debe traducir las direcciones privadas a direcciones pblicas, estas direcciones deben ser nicas en el mbito global.
Caractersticas NAT
Qu es NAT?
Cuando un host en la red privada inicia una conexin con el exterior, utiliza su direccin IP como direccin origen del mensaje. El mensaje es procesado por el dispositivo que realiza el NAT, modificando la IP origen del paquete utilizando una direccin pblica en lugar de la direccin privada inicial. Con este encabezado, se transmite el paquete a su destino. El mensaje de respuesta obviamente usa la direccin origen del paquete de solicitud como direccin destino de la respuesta. Cuando el NAT recibe el paquete de respuesta, modifica la direccin destino para que coincida con la direccin IP del host que inici la comunicacin. NAT usa la informacin del encabezado de Capa 4 para el reenvo de paquetes a los dispositivos correspondientes.
Guarda una tabla con la informacin necesaria para el envo de los paquetes entre los destinos correctos.
Terminologa NAT
Dentro de la red interna, se tienen dispositivos que usan direcciones IP privadas. Las redes externas corresponden a todas las dems redes qu slo pueden identificarse unvocamente mediante direcciones IP pblicas. NAT incluye cuatro tipos de direcciones:
Inside local address Inside global address Outside local address Outside global address
Direcciones locales Las direcciones percibidas por la red interna. Direcciones globales Direcciones en la red externa
Terminologa NAT
Tipos de NAT
NAT esttico
El NAT esttico usa un mapeo uno-a-uno de direcciones locales y globales. Este mapeo es configurado manualmente y permanece constante. El NAT esttico es particularmente til cuando los servidores alojados al interior de la red, deben tambin ser accedidos desde las redes externas. La administracin de los servidores puede realizarse mediante SSH desde una red externa, usando la correspondiente direccin global interna.
Tipos de NAT
NAT esttico
Tipos de NAT
NAT dinmico
El NAT dinmico usa un conjunto de direcciones pblicas y las asigna en orden de llegada de la solicitud (first-come, first-served). Cuando un dispositivo interno solicita acceso a una red externa, el NAT dinmico asigna una direccin IPv4 pblica del conjunto de direcciones disponibles. El NAT dinmico requiere suficientes direcciones IP pblicas disponibles para satisfacer el total de sesiones internas simultneas.
Tipos de NAT
NAT dinmico
Tipos de NAT
PAT (Port Address Translation) mapea mltiples direcciones IPv4 privadas a una direccin IPv4 pblica, puede mapear un conjunto de direcciones privadas IPv4 a un conjunto menor de direcciones IPV4 pblicas. PAT usa el par puerto origen y direccin IP origen para rastrear qu trfico pertenece a qu cliente interno. PAT tambin se conoce como NAT con sobrecarga (NAT overload). Al usar tambin el nmero de puerto, PAT reenva los paquetes respuesta al dispositivo correcto. El proceso PAT tambin valida que los paquetes entrantes correspondan a paquetes solicitado, agregando as un elemento adicional de seguridad.
Tipos de NAT
NAT traduce direcciones IPv4 en una asignacin 1:1 entre una direccin privada IPv4 y una direccin pblica IPv4. PAT modifica tanto la direccin como el nmero de puerto. NAT reenva los paquetes entrantes hacia el destino interno tomando como referencia la direccin IPv4 entrante proporcionada por el host en la red pblica. Con PAT, hay generalmente una muy pocas direcciones IPv4 direcciones pblicas expuestas. PAT permite traducir protocolos que no usan nmeros de puerto como ICMP, cada uno de estos protocolos es soportados diferencialmente por PAT.
Beneficios:
Permite el uso de una nica direccin pblica a varios dispositivos en redes privadas.
Incrementa la flexibilidad de las conexiones a la red pblica. Proporciona consistencia para el esquema de direcciones interno. Proporciona una forma bsica de seguridad de red.
Desventajas
Degradacin del desempeo. Degradacin de la funcionalidad extremo-a-extremo. Prdida de la trazabilidad rastreo extremo-a-extremo. Aumenta la complejidad de los tneles. Puede interrumpirse la inicializacin de conexiones TCP.
Crear un mapa entre las direcciones internas locales y las direcciones externas locales. Definir cules interfaces pertenecen a la red interna y cules pertenecen a la red externa.
El primer paquete recibido por R2 a travs de la interfaz NAT externa requiere la consulta de la tabla NAT
Durante una sesin activa se registran los parmetros de la sesin asociados a la tabla NAT.
Mediante el comando show ip nat statistics se puede consultar informacin referente al total de traducciones activas, parmetros de configuracin y nmero de direcciones. Deben borrarse las estadsticas antes de usar el comando
clear ip nat statistics
Borrado y consulta de estadsticas
El conjunto de direcciones IPv4 pblicas (inside global address pool) est disponible para cualquier dispositivo en la red interna de acuerdo con el rden de solicitud (first-come, first-served). Con NAT dinmico, una nica direccin interna se traduce a una nica direccin externa. El conjunto de direcciones pblicas debe ser lo suficientemente grande para satisfacer todas las demandas internas. Un dispositivo no puede comunicarse a una red externa si no hay direcciones pblicas disponibles.
2. 3.
4.
5.
Definicin de un conjunto de direcciones globales a usar en la traduccin. Definicin de una lista de direcciones internas que tendrn acceso al servicio NAT. Asociar a la traduccin el conjunto de direcciones externas y la lista de direcciones internas. Identificar las interfaces de entrada del NAT Identificar las interfaces de salida del NAT
Configuracin de PAT:
Rango de direcciones
PAT con un rango de direcciones Ejemplo
R2(config)#ip nat pool ejemplo 209.165.200.226 209.165.200.240 netmask 255.255.255.224 R2(config)#access-list 20 permit 192.168.0.0 0.0.255.255
Definicin de las interfaces de entrada y salida del NAT. Puede haber varias interfaces de entrada !
Configuracin de PAT:
Direccin nica
Para PAT, puede utilizarse la direccin IP de la interfaz externa del router, por lo tanto, no se requiere la definicin de un pool de direcciones:
Definicin de la lista de direcciones que tendrn acceso al NAT. Asociar a la lista de direcciones del punto anterior, la traduccin NAT a travs de la interfaz de salida del mismo: R(config)#ip nat inside source list #ACL interface tipo_numero overload
Identificacin de la interfaz de salida del NAT Identificacin de la interfaz de entrada del NAT
Anlisis de PAT
Anlisis de PAT
Reenvo de puertos
El reenvo de puertos es el acto de reenviar un puerto de red desde un nodo de red a otro. Un paquete enviado a una direccin IP pblica y puerto de un router puede reenviarse a una direccin IP privada y puerto en la red interna. El reenvo de puertos es til en situaciones donde los servidores tienen direcciones privadas, no alcanzables desde las redes externas.
En Cisco IOS, el reenvo de puertos es esencialmente una traduccin NAT esttica con un nmero de puerto TCP UDP especfico.
NAT se cre para atender el problema de escasez de direcciones IPv4. IPv6 con direcciones de 128 bits, proporciona 340 sextillones de direcciones (2128) El espacio de direcciones no es un problema para IPv6. IPv6 por diseo, hace innecesario el uso de direcciones privadas y el uso de NAT; sin embargo, IPv6 implementa una forma de direcciones privadas y su implementacin es diferente de la implementacin de IPv4
Las direcciones nicas locales IPv6 (ULAs) estn diseadas para permitir comunicaciones IPv6 dentro de un sitio interno. Las ULAs no pretenden proporcionar un espacio adicional de direcciones IPv6. Las ULAs tienen el prefijo FC00::/7, resultante de un primer hexteto en el rango FC00 a FDFF. Las ULAs tambin se conocen como direcciones IPv6 locales (no deben confundirse con las direcciones IPv6 de enlace local)
IPv6 tambin usa NAT, pero en un contexto completamente diferente. En IPv6, NAT se usa para proporcionar comunicacion transparente entre IPv6 e IPv4. NAT64 no pretende ser una solucin permanente, es mas bien un mecanismo de transicin. (NAT-PT) Network Address Translation-Protocol Translation fue otro mecanismo de transisin para IPv6, pero ahora se considera obsoleto de acuerdo con las recomendaciones de la IETF. La recomendacin actual es NAT64.
Resumen
NAT es una opcin utilizada para ayudar a resolver la escasez de direcciones IPv4 NAT conserva el espacio de direcciones pblicas y reduce la sobrecarga administrativa en la administracin, movimientos y cambios. NAT est diseado especficamente para IPv4 y presenta diferentes opciones:
La configuracin de NAT depende del tipo de NAT a configurar. El funcionamiento de NAT puede verificarse con los comandos show y debug apropiados. El reenvi de puertos permite acceder a dispositivos internos desde una red externa. Como una medida transitoria, puede utilizarse NAT para traduccin entre direcciones IPv4 e IPv6