Entendendo NAT em Roteadores Cisco

H alguns anos, com o esgotamento dos endereos IPv4 cada vez mais prximo, foi necessrio encontrar uma alternativa para diminuir a velocidade de
alocao de endereos IPv4 e aproveitar ainda melhor aqueles que j haviam sido alocados para os provedores de servio (RFC-1631). Uma dessas
alternativas foi a utilizao de muitos endereos privados (conforme definido no RFC-1918) que posteriormente deveriam ser traduzidos para um (ou mais)
endereo pblico para assim haver conectividade entre endereos pblicos da Internet e endereos privados. Essa estratgia ficou conhecida como NAT
(Network Address Translation).
A Cisco, por sua vez, possui uma terminologia e uma maneira particular de implementar os trs principais tipos de NAT (esttico, dinmico e traduo de
portas), no entanto, existem algumas informaes importantes sobre roteamento e NAT Virtual Interfaces que devem ser entendidas tambm, e isso que
vamos tratar neste post. Para comear, necessrio entender a terminologia local e global, assim como inside e outside.

Inside local address: o endereo atribudo a interface de rede de uma estao, por exemplo (escopo local).
Inside global address: o endereo pblico que representa um ou mais endereosinside local (escopo global ou a Internet).
Outside local address: a forma como um endereo IP pblico visto na rede interna. Geralmente este endereo roteado somente pelos
roteadores internos (no roteado na Internet e, portanto, possui um escopo local).
Outside global address: um endereo pblico da Internet ( roteado na Internet).

claro, tambm, que esta terminologia existe para nos auxiliar a entender onde estas definies e posteriores configuraes sero utilizadas, j que os
roteadores no possuem a inteligncia necessria para distinguir um endereo pblico de um endereo privado (no final, sero somente zeros-e-uns). A
figura abaixo (fornecida gentilmente pela Cisco) representa estas definies.

Essas definies sero importantes para escolher quais interfaces sero classificadas comoinside e outside e como sero construdas as regras de traduo.
Seguindo o exemplo da figura abaixo, um host com endereo IP 192.168.0.1 (inside local) envia um pacote para o endereo 72.72.72.1 (DA - outside local e
outside global). Ao passar (da interface INSIDE para OUTSIDE) por um roteador com NAT habilitado poder ter traduzido o endereo de origem (SA) de
192.168.0.1 (inside local) para 200.200.200.1 (inside global). Esta traduo permite que o host 192.168.0.1 estabelea uma comunicao com o host
72.72.72.1. O pacote com a resposta do host 72.72.72.1 ter como endereo de destino 200.200.200.1 (inside global) e novamente ao passar pelo roteador
com NAT habilitado ser traduzido - agora o endereo de destino - de 200.200.200.1 para 192.168.0.1 (inside local), fazendo com que os pacotes cheguem
at o seu destino correto. Exemplo:

Com isso, podemos ver como fica a configurao para um ambiente com NAT esttico como exemplificado na figura acima.
ip nat inside source static 192.168.0.1 200.200.200.1
! interface INSIDE
interface fast0/0
ip nat inside
! interface OUTSIDE
interface serial0/0
ip nat outside
A utilizao de "inside source" ou "outside source" na regra de traduo (NAT) altera a forma como traduzido o endereo dos pacotes de acordo com o
sentido do trfego:
- ip nat inside source

Traduz o endereo de ORIGEM dos pacotes que trafegam da interface inside para outside.
Traduz o endereo de DESTINO dos pacotes que trafegam da interface outside para inside.

- ip nat outside source

Traduz o endereo de ORIGEM dos pacotes que trafegam da interface outside para intside.

Traduz o endereo de DESTINO dos pacotes que trafegam da interface inside para outside.

Podemos agora verificar se est tudo funcionando conforme o planejado com o seguinte comando:

Router#show ip nat translations

Pro
Inside global
Outside global
--200.200.200.1
---

Inside local
192.168.0.1

Outside local
---

Ainda temos dois tipos de NAT que no sero discutidos aqui, tal como o NAT dinmico e a traduo de porta (tambm conhecido como PAT, ou Port Address
Translation). Estes outros tipos de NAT seguem o padro apresentado acima.
Vamos analisar uma outra questo importante quando estamos trabalhando com NAT...
NAT Virtual Interface
Um dos problemas que podemos enfrentar quando habilitamos NAT utilizando interfaces INSIDE e OUTSIDE a necessidade de inserir rotas para os endereos
traduzidos. Isso acontece pois a ordem de traduo e roteamento ocorre em momentos diferentes durante o processamento de um pacote dependendo do
sentido do trfego. No sentido inside-to-outside a traduo feita DEPOIS da deciso de roteamento. No sentido contrrio (outside-to-inside) a traduo
acontece primeiro. A ordem completa pode ser encontrada aqui.
A partir da verso 12.3T a Cisco introduziu o conceito de NAT Virtual Interface (NVI)*. Dessa forma, a traduo dos endereos ocorre de forma simtrica e
no necessrio inserir rotas para os endereos traduzidos. Quando uma interface est habilitada para fazer NAT utilizando NVI, o pacote que adentrar esta
interface ser roteado para a interface NVI (onde ocorre a traduo) e depois roteado mais uma vez utilizando a tabela de roteamento. A configurao
utilizando NVI para o exemplo que citamos acima a seguinte:
ip nat source static 192.168.0.1 200.200.200.1
interface fast0/0
ip nat enable
interface serial0/0
ip nat enable
Veja que dessa forma no necessrio declarar nenhuma interface como inside ou outside, ou mesmo declarar o sentido de traduo no comando de NAT
esttico. Esta nova funcionalidade resolve tambm o problema de traduo para endereos roteados para uma mesma interface de entrada (j que pode
existir casos em que um pacote pode entrar por uma interface outside e nunca alcanar a interface inside correspondente, conforme descrito neste artigo).
Para encerrar este post, gostaria de reforar que at aqui no foi apresentado nenhum mecanismo ou forma de segurana relacionada com a utilizao (ou a
no utilizao) de NAT, apesar de, no passado, muitos profissionais acreditarem que a simples utilizao de traduo de endereos poderia aumentar a
segurana de um ambiente...
Veja tambm:

Cisco NAT: Global and local definition.

Cisco Configuring Network Address Translation: Getting Started.
The Inside and Outside of NAT (Internetwork Experts CCIE Blog).
Cisco NAT: Order of Operation.
CiscoIOS 12.3T: NAT Virtual Interface.