Académique Documents
Professionnel Documents
Culture Documents
Para resumir, casi groseramente, la utilidad de NAT podríamos decir que sirve para
conectar a una o más redes LAN internas a Internet mediante una sola IP pública (o
un grupo de ellas). En realidad NAT provee dos funcionalidades básicas que es la
razón por la cual se ha seguido preferiendo este mecanismo para el
funcionamiento de la mayoría de las LAN: Ahorro de direcciones públicas (y por
ende, mucho dinero) y seguridad.
Todas las direcciones IP que no estén en ese rango ni en los demás rangos
especiales (APIPA, Loopbacks, Clase E, Clase D, etc.), son direcciones IP públicas.
Dicho esto entonces ahora podemos comprender mejor como opera NAT. Para eso
vamos a ver la siguiente red de ejemplo.
La red LAN con los PC y el router utilizan el bloque 192.168.0.0/24 mientras que el
ISP ha asignado la IP pública 200.1.1.1/29 al router en su puerta WAN. En esta red
se ha implementado NAT para que todos los PC puedan salir a Internet y sean
reconocidos mediante la IP 200.1.1.1. De no existir esto, cada uno de los PC
necesitaría una dirección IP pública única para poder acceder a Internet,
encareciendo el costo de los servicios.
Por ahora vamos a describir 4 tipos de NAT básicos. Hay otras implementaciones
más complejas como NAT-T que por lo general se utiliza para resolver problemas
de conectividad con VPNs y acceso a redes detrás de un NAT.
1. NAT dinámico
Configuración:
Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask
255.255.255.248
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool RANGOPUBLICO
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1
Router(config-if)# ip nat outside
Luego el paso más importante es definir el sentido del NAT. Siempre la LAN será la
red de “adentro” e Internet será la red de “afuera”. Por lo mismo se declara la
FastEthernet0/0 de nuestro router como interna con el comando ip nat inside y se
hace lo propio en la interfaz que apunta hacia Internet con el comando ip nat
outside.
Mucho cuidado con no invertir este orden por que NAT nunca funcionará. En todos
los tipos de NAT se debe definir las interfaces inside y outside.
2. NAT estático
Configuración :
Basta con la declaración del mapeo en la línea ip nat inside source static
3. PAT
Configuración:
En este caso también creamos una ACL estándar para seleccionar las IP de la red
LAN que serán traducidas en el PAT y luego con el comando ip nat inside source list
1 interface f0/1 overload asociamos esa ACL (que le dimos el número 1) con la
interfaz WAN donde haremos la sobrecarga. La
Imagínense que hay 300 máquinas en una LAN donde se está haciendo PAT y cada
PC está generando una gran cantidad de conexiones simultáneas hacia Internet,
como por ejemplo, la descarga de música mediante una aplicación P2P o está
siendo víctima de un ataque DoS. Solo por ejemplificar, supongamos que cada
máquina genera 200 conexiones simultáneas. Ya habrán problemas porque 200
conexiones por 300 PC son 75000 sesiones que deberá manejar el router en su
asociación PAT, pero acabamos de decir que solamente se pueden establecer un
máximo de 65536 traducciones simultáneas en una dirección IP, por lo que 9464
conexiones no tendrían éxito y expirarían. ¿Ha experimentado el hecho de intentar
abrir una página Web esperando una gran cantidad de tiempo y al segundo intento
abre en forma instantánea? Bueno, esto es un síntoma de una saturación en el PAT
de un Router.
Para solucionar ese problema simplemente podemos asociar una nueva IP pública
a la sobecarga o un rango de ellas, multiplicando las cantidades de sesiones
simultáneas que se permitan en la traducción de puertos.
Esta vez hemos “ampliado” la capacidad del PAT agregando un pool de direcciones
a la sobrecarga de la traducción. Ya no solamente se utiliza la IP 200.1.1.1 para
conectar a todos desde Internet, si no que se utilizan también las direcciones
200.1.1.2 a la 200.1.1.4.
Eso es todo. No es tan complicado como se ve. Claro, hay cierta terminología que
se aplica dentro de NAT que no hemos cubierto en los ejemplos mostrados que
explicamos ahora. Vale la pena detenerse un poco a comprender bien estos
términos porque por lo general causan confusión entre los alumnos e instructores
(me incluyo).
– Inside Global: Es la dirección IP pública que está siendo utilizada para traducir las
IP privadas. La IP WAN del Router en la interfaz f0/1 es considerada Inside Global,
así mismo como todas las IP de los rangos públicos.
Comandos útiles:
debug ip nat
3. Elimine las ACL y los comandos NAT creados anteponiendo la palabra “no”.
Ejemplo: