Direcciones Pblicas y Privadas NAT-PAT

Julio Andrs Valenzuela

2004, Cisco Systems, Inc. All rights reserved.

Direcciones IP pblicas y privadas

Existen dos tipos de direcciones IP: pblicas y privadas. Las direcciones pblicas se pueden enrutar a la Internet, no as las direcciones privadas que son slo para el uso interno de una red. Es necesario registrar las direcciones de Internet pblicas con una autoridad de Internet como por ejemplo, el Registro Americano de Nmeros de Internet (ARIN). Estas direcciones de Internet pblicas pueden alquilarse a una ISP tambin.

2004, Cisco Systems, Inc. All rights reserved.

Direcciones IP pblicas y privadas

Cada direccin pblica le pertenece a una red particular. Sin embargo, varias redes pueden utilizar la misma direccin privada. La siguiente tabla muestra los bloques de direcciones privadas disponibles:

2004, Cisco Systems, Inc. All rights reserved.

Direcciones IP pblicas y privadas

Para que un paquete pueda ser enrutado hay que traducir la direccin de origen (una direccin IP privada) a una direccin IP pblica. Dos mecanismos que logran esto son NAT y PAT.

2004, Cisco Systems, Inc. All rights reserved.

NAT y PAT

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NAT

La Traduccin de Direcciones de Red (NAT o Network Address Translation) es un mecanismo que permite traducir una direccin IP privada a una pblica de forma que los paquetes pertenecientes a un host puedan ser enrutados.

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NAT
Cuando un host dentro de una red desea hacer una transmisin a un host en el exterior, enva el paquete al router del gateway fronterizo.
El router del gateway fronterizo realiza el proceso de NAT, traduciendo la direccin privada interna de un host a una direccin pblica, enrutable y externa.

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NAT
Un router que ejecuta NAT generalmente opera en la frontera de una red stub (una red que posee una sola conexin a la red del ISP).

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a NAT

Cisco define los siguientes trminos:

-Direccin local interna: la direccin IP privada asignada al host en mi red.

-Direccin global interna: la direccin IP pblica asignada a uno o varios hosts en mi red. -Direccin externa (local o global): la direccin IP pblica asignada a un host externo a mi red.
9

2004, Cisco Systems, Inc. All rights reserved.

Tipos de NAT
Existen dos tipos de NAT:
- NAT esttico: utilizado para servidores de empresas o dispositivos de networking. Cada direccin IP privada se asocia con una sola direccin IP pblica especfica.

- NAT dinmico: utilizado para los hosts. Cada direccin IP privada se asocia a una direccin IP pblica dentro de un conjunto de direcciones IP pblicas disponibles.

2004, Cisco Systems, Inc. All rights reserved.

10

Ejemplo del uso de NAT

El siguiente es un ejemplo del uso de NAT:
Inside Outside 10.0.0.10
SA

SA

179.8.9.80 10.0.0.2

Internet

10.0.0.2

NAT Table
Inside Local IP Address 10.0.0.2 10.0.0.10 Inside Global IP Address 179.9.8.80 179.9.8.10

2004, Cisco Systems, Inc. All rights reserved.

11

Introduccin a PAT
Una tcnica relacionada con NAT dinmica es la Traduccin de Direcciones por Puerto (PAT), tambin conocida como sobrecarga de direcciones pblicas.
PAT asocia varias direcciones IP privadas a una sola direccin IP pblica, asignndole a cada host un nmero de puerto.
12

2004, Cisco Systems, Inc. All rights reserved.

Introduccin a PAT
Cuando se hace una traduccin, PAT intenta asignarle a la direccin IP pblica el mismo nmero de puerto que se le asign a la direccin IP original (la privada). Si el nmero de puerto original est en uso, PAT asigna el primer nmero de puerto disponible comenzando desde el principio del grupo de puertos correspondiente 0-511, 512-1023, o 102465535. En teora, el nmero total de direcciones internas que se pueden traducir a una sola direccin externa podra ser hasta 65,536 por direccin IP. En realidad, el nmero de puertos que se pueden asignar a una sola direccin IP es aproximadamente 4000.
2004, Cisco Systems, Inc. All rights reserved.

13

Ejemplo del uso de PAT

El siguiente es un ejemplo del uso de PAT:
Inside Outside 10.0.0.3

202.6.3.2

SA 10.0.0.3:2333

SA 179.9.8.80:1345 SA

Internet

SA 10.0.0.2:1456

179.9.8.80:2333

126.23.2.2 NAT Table

Inside Local IP Address 10.0.0.2:1456 10.0.0.3:2333 Inside Global IP Address 179.9.8.80:1456 179.9.8.80:2333 Outside Local IP Address 202.6.3.2:80 126.23.2.2:80 Outside Global IP Address 202.6.3.2:80 126.23.2.2:80

10.0.0.2

2004, Cisco Systems, Inc. All rights reserved.

14

Ventajas de NAT y PAT

NAT y PAT ofrecen las siguientes ventajas:
- NAT y PAT elimina la reasignacin de una nueva direccin IP a cada host cuando se cambia a un nuevo ISP ya que cada host mantiene su direccin IP privada. -NAT y PAT protege la seguridad de la red ya que las redes externas no conocen las direcciones privadas de los hosts de la red interna. -PAT conserva las direcciones mediante la multiplexin a nivel de puerto de la aplicacin. Con PAT, los hosts internos pueden compartir una sola direccin IP pblica para toda comunicacin externa.
15

2004, Cisco Systems, Inc. All rights reserved.

Configuracin de NAT esttico

Configuracin de NAT esttica: (donde 10.1.1.2 es ip-local y 80.37.203.25 es ip-global)
Router#config t Router(config)# ip nat inside source static 10.1.1.2 80.37.203.25 Router(config)# interface s0 Router(config-if)# ip nat outside Router(config)# interface e0 Router(config-if)# ip nat inside

2004, Cisco Systems, Inc. All rights reserved.

16

Configuracin de NAT esttico

2004, Cisco Systems, Inc. All rights reserved.

17

Configuracin de NAT dinmico

Hay que definir un conjunto (pool) de direcciones IP pblicas disponibles:
Router(config)#ip nat pool nat-pool 179.9.8.80 179.9.8.95 netmask 255.255.255.240

Hay que definir una lista de acceso que indique cules direcciones privadas se podrn traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255

Hay que asociar ambas listas:

Router(config)#ip nat inside source list 1 pool nat-pool
2004, Cisco Systems, Inc. All rights reserved.

18

Configuracin de NAT dinmico

Router#config t Router(config)# ip nat pool 1 179.9.8.80 179.9.8.95 netmask 255.255.255.0 2. Crear una lista de acceso estndard que permita las direcciones internas que se deben traducir. Router(config)# access-list 1 permit 192.168.8.0 0.0.0.255 3.Configurar la NAT dinmica basada en la direccin de origen especificando la lista de acceso definida en el paso anterior. Router(config)# ip nat inside source list 1 pool 1 4.Especificar la interfaz interna y marcarla como conectada al interior. Router(config)# interface e0 Router(config-if)# ip nat inside Router(config-if)# exit 5.Especificar la interfaz externa y marcarla como conectada al exterior. Router(config)# interface s0

Router(config)# ip nat outside

2004, Cisco Systems, Inc. All rights reserved.

19

Configuracin de NAT dinmico

2004, Cisco Systems, Inc. All rights reserved.

20

Configuracin de PAT
Hay que definir una lista de acceso que indique cules direcciones privadas se podrn traducir:
Router(config)#access-list 1 permit 10.0.0.0 0.0.255.255

Hay que indicar la interfaz serial que estar sobrecargada (overloaded) traduciendo varias direcciones privadas a una sola pblica:
Router(config)#ip nat inside source list 1 interface serial0/0 overload

2004, Cisco Systems, Inc. All rights reserved.

21

Configuracin de PAT dinmico

1. Primero deberemos definir una lista de acceso IP estndard que permita las direcciones locales internas que se deben traducir: Router(config)# access-list 1 permit 192.168.8.0 0.0.0.255 2. Establecer la traduccin dinmica de origen, especificando la lista de acceso definida en el paso anterior. Router(config)# ip nat inside source list 1 interface serial0/0 overload nota: la palabra overload habilita PAT 3. Especificar la direccin global como un conjunto que se usar para la sobrecarga. Router(config)# ip nat pool 1 179.9.8.20 netmask 255.255.255.240 4. Establecer la traduccin de sobrecarga:

Router(config)# ip nat inside source list 1 pool 1 overload

5. Especificar la interfaz interna y marcarla como conectada al interior. Router(config)# interface e0 Router(config-if)# ip nat inside Router(config-if)# exit 6. Especificar la interfaz externa y marcarla como conectada al exterior.

Router(config)# interface s0
Router(config-if)# ip nat outside Router(config-if)# exit

2004, Cisco Systems, Inc. All rights reserved.

22

Configuracin de PAT

2004, Cisco Systems, Inc. All rights reserved.

23

Limpieza de la tabla NAT

Router#config t Router(config)#ip nat trans timeout 3600 Router#end Router# wr

2004, Cisco Systems, Inc. All rights reserved.

24

Verificacin de la configuracin de NAT y PAT

Para ver la traduccin NAT en un router se usa el comando show ip nat translations. Para ver las estadsticas de NAT y PAT se usa el comando show ip nat statistics.

Para eliminar todas las entradas de traduccin de direcciones dinmicas se usa el comando clear ip nat translation *
Para eliminar una entrada de traduccin de dinmica se usa el comando clear ip nat translation inside <global-ip> <local-ip>
2004, Cisco Systems, Inc. All rights reserved.

25

Verificacin de la configuracin de NAT y PAT

2004, Cisco Systems, Inc. All rights reserved.

26

Diagnstico de fallas en la configuracin de NAT y PAT

Utilice el comando debug ip nat para verificar la operacin de NAT visualizando la informacin acerca de cada paquete que el router traduce.

2004, Cisco Systems, Inc. All rights reserved.

27

Diagnstico de fallas en la configuracin de NAT y PAT

2004, Cisco Systems, Inc. All rights reserved.

28

Problemas con NAT

Permitir la traduccin de direcciones causa una prdida en la funcionalidad. NAT aumenta el retardo debido a la traduccin. Es posible que se comprometa el desempeo, ya que, en la actualidad, NAT se logra a travs de la conmutacin de procesos. Una desventaja significativa que surge al implementar y utilizar NAT, es la prdida de la posibilidad de rastreo IP de extremo a extremo.
2004, Cisco Systems, Inc. All rights reserved.

29