NAT (Network Address Translation)

Internet en sus inicios no fue pensado para ser una red tan extensa, por
ese motivo se reservaron slo 32 bits para direcciones, el equivalente
a 4.294.967.296 direcciones nicas, pero el hecho es que el nmero de
mquinas conectadas a Internet aument exponencialmente y las
direcciones IP se agotaban. Por ello surgi la NAT o Network Address
Translation (en castellano, Traduccin de Direcciones de Red)

La conversin de direcciones de red o NAT se desarroll para resolver la

falta de direcciones IP con el protocolo IPv4 (dentro de poco tiempo el
protocolo IPv6 resolver este problema).

De hecho, en las direcciones IPv4 la cantidad de direcciones IP

enrutables (que son nicas en el mundo) no es suficiente para permitir
que todos los equipos que lo requieran estn conectados a Internet.

Por lo tanto, el principio de NAT consiste en utilizar una conexin de

pasarela a Internet, que tenga al menos una interfaz de red conectada a
la red interna y al menos una interfaz de red conectada a Internet (con
una direccin IP enrutable) para poder conectar todos los equipos a la
red.
Es cuestin de crear, al nivel de la pasarela, una conversin de paquetes
desde la red interna hacia la red externa.

Por lo tanto, se configura cada equipo en la red que necesite acceso a

Internet para que utilice una pasarela de NAT (al especificar la direccin
IP de la pasarela en el campo "Gateway" [Pasarela] con sus parmetros
TCP/IP). Cuando un equipo de red enva una solicitud a Internet, la
pasarela hace la solicitud en su lugar, recibe la respuesta y la enva al
equipo que hizo la solicitud.

En concreto, las siglas corresponden a Network Address Translation, es

decir, traduccin de direcciones de red, un proceso necesario cuando se
intenta establecer comunicacin entre dos puntos de una red que no
resultan compatibles por no estar "hablando el mismo idioma"

La necesidad de entablar conversaciones entre puntos que no son

capaces de entenderse en primer lugar surge cuando una red como
Internet alcanza unas dimensiones que imposibilitan tener direcciones
suficientes (en este caso, direcciones IP) con las que identificar a todos
los equipos conectados a la misma. Como solucin de compromiso, en
absoluto ideal, esta enorme red se divide en compartimentos con sus
propias "reglas lingsticas". La NAT acta pues como intrprete entre
esos compartimentos, aunque sus capacidades de traduccin
simultnea.

La idea es sencilla, hacer que redes de ordenadores utilicen un rango de

direcciones especiales (IPs privadas) y se conecten a Internet usando
una nica direccin IP (IP pblica). Gracias a este parche, las grandes
empresas slo utilizaran una direccin IP y no tantas como mquinas
hubiese en dicha empresa. Tambin se utiliza para conectar redes
domsticas a Internet.

En la NAT existen varios tipos de funcionamiento:

Esttica
Una direccin IP privada se traduce siempre en una misma direccin IP
pblica. Este modo de funcionamiento permitira a un host dentro de la
red ser visible desde Internet.

Dinmica
El router tiene asignadas varias direcciones IP pblicas, de modo que
cada direccin IP privada se mapea usando una de las direcciones IP
pblicas que el router tiene asignadas, de modo que a cada direccin IP
privada le corresponde al menos una direccin IP pblica.

Cada vez que un host requiera una conexin a Internet, el router le

asignar una direccin IP pblica que no est siendo utilizada. En esta
ocasin se aumenta la seguridad ya que dificulta que un host externo
ingrese a la red ya que las direcciones IP pblicas van cambiando.
Sobrecarga
La NAT con sobrecarga o PAT (Port Address Translation) es el ms comn
de todos los tipos, ya que es el utilizado en los hogares. Se pueden
mapear mltiples direcciones IP privadas a travs de una direccin IP
pblica, con lo que evitamos contratar ms de una direccin IP pblica.
Adems del ahorro econmico, tambin se ahorran direcciones IPv4, ya
que aunque la subred tenga muchas mquinas, todas salen a Internet a
travs de una misma direccin IP pblica.

Para poder hacer esto el router hace uso de los puertos. En los
protocolos TCP y UDP se disponen de 65.536 puertos para establecer
conexiones. De modo que cuando una mquina quiere establecer una
conexin, el router guarda su IP privada y el puerto de origen y los
asocia a la IP pblica y un puerto al azar. Cuando llega informacin a
este puerto elegido al azar, el router comprueba la tabla y lo reenva a la
IP privada y puerto que correspondan.

Solapamiento
Cuando una direccin IP privada de una red es una direccin IP pblica
en uso, el router se encarga de reemplazar dicha direccin IP por otra
para evitar el conflicto de direcciones.

Ventajas de la NAT

El uso de la NAT tiene varias ventajas:

La primera y ms obvia, el gran ahorro de direcciones IPv4 que supone,
recordemos que podemos conectar mltiples mquinas de una red a
Internet usando una nica direccin IP pblica.
Seguridad. Las mquinas conectadas a la red mediante NAT no son
visibles desde el exterior, por lo que un atacante externo no podra
averiguar si una mquina est conectada o no a la red.
Mantenimiento de la red. Slo sera necesario modificar la tabla de
reenvo de un router para desviar todo el trfico hacia otra mquina
mientras se llevan a cabo tareas de mantenimiento.

Desventajas de la NAT

Recordemos que la NAT es solo un parche, no una solucin al verdadero

problema, por tanto tambin tiene una serie de desventajas asociadas a
su uso:
Checksums TCP y UDP: El router tiene que volver a calcular el checksum
de cada paquete que modifica. Por lo que se necesita mayor potencia de
computacin.
No todas las aplicaciones y protocolos son compatibles con NAT. Hay
protocolos que introducen el puerto de origen dentro de la zona de datos
de un paquete, por lo que el router no lo modifica y la aplicacin no
funciona correctamente.
Espacio de la direccin

La organizacin que administra el espacio de direcciones pblicas

(direcciones IP enrutables) es la Agencia de Asignacin de Nmeros de
Internet (IANA, Internet Assigned Number Authority). RFC 1918 define un
espacio de direccin privada que permite que cualquier organizacin
asigne direcciones IP a equipos en su red interna sin correr el riesgo de
entrar en conflicto con una direccin IP pblica asignada por la IANA.
Estas direcciones conocidas como no enrutables corresponden a las
siguientes series de direcciones:

Clase A: desde 10.0.0.0 hasta 10.255.255.255;

Clase B: desde 10.16.0.0 hasta 172.31.255.255;
Clase C: desde 192.168.0.0 hasta 192.168.255.55
Todos los equipos de una red interna, conectados a Internet a travs de
un router y que no posean una direccin IP pblica, deben utilizar una
direccin que se encuentre dentro de estas series. Para redes
domsticas pequeas, generalmente se utiliza la serie de direcciones
comprendidas entre 192.168.0.1 y 192.168.0.255.
Conversin esttica

El principio de NAT esttica consiste en vincular una direccin IP pblica

con una direccin IP interna privada en la red. Por lo tanto, el router (o
ms precisamente la pasarela) permite que una direccin IP privada (por
ejemplo 192.168.0.1) est vinculada con una direccin IP enrutable
pblica en Internet y lleva a cabo la conversin, en cualquier direccin,
al cambiar la direccin en el paquete IP.

Por consiguiente, la conversin de direcciones de red esttica permite

que equipos de una red interna estn conectados a Internet de manera
transparente, pero no resuelve el problema de falta de direcciones, en la
medida en que n direcciones IP enrutables son necesarias para conectar
n equipos a la red interna.

Conversin dinmica

La NAT dinmica permite que diversos equipos con direcciones privadas

compartan una direccin IP enrutable (o un nmero reducido de
direcciones IP enrutables). Entonces visto desde afuera, todos los
equipos de la red interna prcticamente poseen la misma direccin IP.
sta es la razn por la cual a veces se utiliza el trmino
"enmascaramiento IP" para indicar la conversin de direcciones de red
dinmica.

Para poder "multiplexar" (compartir) las diferentes direcciones IP en una

o varias direcciones IP enrutables, la NAT dinmica utiliza la Conversin
de direcciones por puerto (PAT, Port Address Translation), es decir, la
asignacin de un puerto de origen diferente para cada solicitud, de
manera que se pueda mantener una correspondencia entre las
solicitudes que provienen de la red interna y las respuestas de los
equipos en Internet, todas enviadas a la direccin IP del router.

Habilitacin de puertos

La conversin de direcciones de red slo permite solicitudes

provenientes de la red interna hacia la red externa, con lo cual es
imposible que un equipo externo enve un paquete a un equipo de la red
interna. En otras palabras, los equipos de la red interna no pueden
funcionar como un servidor con respecto a la red externa.

Por esta razn, existe una extensin NAT llamada "habilitacin de

puertos" o mapeo de puertos que consiste en configurar la pasarela para
enviar todos los paquetes recibidos en un puerto particular a un equipo
especfico de la red interna. Por lo tanto, si la red externa necesita
acceder a un servidor Web (puerto 80) que funciona en un equipo
192.168.1.2, ser necesario definir una regla de habilitacin de puertos
en la pasarela, con lo cual se redirigirn todos los paquetes TCP
recibidos en el puerto 80 al equipo 192.168.1.2.

Activacin de puertos
La mayora de las aplicaciones cliente-servidor realiza una solicitud a
travs de un host remoto en un puerto determinado y a su vez abre un
puerto para recuperar los datos. Sin embargo, ciertas aplicaciones
utilizan ms de un puerto para intercambiar datos con el servidor. ste
es el caso, por ejemplo, del FTP, para el que se establece una conexin
por el puerto 21, pero los datos se transfieren por el puerto 20. Por lo
tanto, con NAT, despus de una solicitud de conexin en el puerto 21 de
un servidor FTP remoto, la pasarela espera una conexin en un solo
puerto y rechazar la solicitud de conexin en el puerto 20 del cliente.

Existe un mecanismo derivado de la NAT llamado "activacin de

puertos" que permite autorizar la conexin con determinados puertos
(habilitacin de puertos) si se completa una condicin (solicitud). Por lo
tanto, se trata de una habilitacin de puertos condicional que permite
que un puerto se abra slo cuando una aplicacin lo solicita. De esta
manera, el puerto no permanece permanentemente abierto.

Tipos de NAT
Los dispositivos NAT no tienen un comportamiento uniforme y se ha
tratado de clasificar su uso en diferentes clases. Existen cuatro tipos de
NAT:

NAT de cono completo (Full-Cone NAT). En este caso de comunicacin

completa, NAT mapear la direccin IP y puerto interno a una direccin y
puerto pblico diferentes. Una vez establecido, cualquier host externo
puede comunicarse con el host de la red privada enviando los paquetes
a una direccin IP y puerto externo que haya sido mapeado. Esta
implementacin NAT es la menos segura, puesto que una atacante
puede adivinar qu puerto est abierto.

NAT de cono restringido (Restricted Cone NAT). En este caso de la

conexin restringida, la IP y puerto externos de NAT son abiertos cuando
el host de la red privada quiere comunicarse con una direccin IP
especfica fuera de su red. El NAT bloquear todo trfico que no venga
de esa direccin IP especfica.
NAT de cono restringido de puertos (Port-Restricted Cone NAT). En una
conexin restringida por puerto NAT bloquear todo el trfico a menos
que el host de la red privada haya enviado previamente trfico a una IP
y puerto especifico, entonces solo en ese caso sa IP:puerto tendrn
acceso a la red privada.

NAT Simtrico (Symmetric NAT). En este caso la traduccin de direccin

IP privada a direccin IP pblica depende de la direccin IP de destino
donde se quiere enviar el trfico.
SQAL
Ejemplo de Configuracin
En esta seccin del artculo, se indicar la forma bsica(s) de la
configuracin de un NAT en un router. Los pasos usados en esta seccin
siguen la forma de programar un servidor NAT en un router Cisco.

Conseguir un router real podra no ser fcil para llevar a cabo esta
experiencia, sin embargo, puede optar por utilizar un simulador de
router real, como el Cisco Packet Tracer. Eso supone que en esta
muestra, contamos con 3 routers, un Switch y tres computadores.