NAT en Ingeniería de Sistemas TIC

NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. NAT tiene el beneficio adicional de proporcionar cierto grado de privacidad y seguridad adicional a una red, ya que oculta las direcciones IPv4 internas de las redes externas.

Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas válidas. Cuando un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna del dispositivo a una dirección pública del conjunto de NAT.

En general, los routers NAT funcionan en la frontera de una red de rutas internas. El router de frontera realiza el proceso de NAT, es decir, traduce la dirección privada interna del dispositivo a una dirección pública, externa y enrutable. A los fines de este capítulo, se muestra una dirección pública.

Terminología de NAT

Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción.

Al utilizar NAT, las direcciones IPv4 se designan de distinto modo, según si están en la red privada o en la red pública (Internet), y si el tráfico es entrante o saliente.

NAT incluye cuatro tipos de direcciones:

  • Dirección local interna
  • Dirección global interna
  • Dirección local externa
  • Dirección global externa

Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:

Dirección interna: la dirección del dispositivo que se traduce por medio de NAT.

NAT también usa los conceptos de local o global con relación a las direcciones:

Dirección local: cualquier dirección que aparece en la porción interna de la red. En general, la dirección del dispositivo externo no se traduce, ya que suele ser una dirección IPv4 pública.

Desde la perspectiva del servidor web, el tráfico que se origina en la PC1 parece provenir de 209.165.200.226, la dirección global interna.

El router NAT, el R2 en la ilustración, es el punto de demarcación entre las redes internas y externas, así como entre las direcciones locales y globales.

Terminología de NAT (cont.)

Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer referencia a direcciones específicas. De acuerdo con la terminología de NAT, la dirección local interna 192.168.10.10 se traduce a la dirección global interna 209.165.200.226. Por lo general, las direcciones externas globales y locales son iguales. Si bien es poco frecuente, esta dirección podría ser diferente de la dirección globalmente enrutable del destino.

En la ilustración, se muestra cómo se dirige el tráfico que se envía desde una computadora interna hacia un servidor web externo a través del router con NAT habilitada. También se muestra cómo se dirige y se traduce inicialmente el tráfico de retorno.

El R1 reenvía el paquete al R2.

Cuando el paquete llega al R2, el router con NAT habilitada para la red, el R2 lee la dirección IPv4 de origen del paquete para determinar si este cumple con los criterios especificados para la traducción. El R2 agrega esta asignación de dirección local a global a la tabla de NAT.

El R2 revisa la tabla de NAT y encuentra una entrada para esta asignación.

NAT estática

Existen tres tipos de traducción NAT:

Traducción estática de direcciones (NAT estática): asignación de direcciones uno a uno entre una dirección local y una global. Este método también se conoce como “sobrecarga” (NAT con sobrecarga).

NAT estática

La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales. Estas asignaciones son configuradas por el administrador de red y se mantienen constantes.

Para las redes externas, estos dispositivos tienen direcciones IPv4 públicas.

La NAT estática resulta útil, en especial para los servidores web o los dispositivos que deben tener una dirección constante que sea accesible tanto desde Internet, como desde el servidor web de una empresa.

La NAT estática requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas.

NAT dinámica

La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una dirección IPv4 pública disponible del conjunto.

En la ilustración, la PC3 accede a Internet mediante la primera dirección disponible del conjunto de NAT dinámica. Al igual que la NAT estática, la NAT dinámica requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas.

Comparación entre NAT y PAT

Hacer un resumen de las diferencias entre NAT y PAT contribuye a la comprensión de ambas.

NAT reenvía los paquetes entrantes a su destino interno mediante la dirección IPv4 de origen de entrada proporcionada por el host en la red pública. Esto se denomina “seguimiento de conexiones”.

Estos mensajes y otros protocolos que no utilizan los números de puerto TCP o UDP varían y exceden el ámbito de este currículo.

Beneficios de NAT

Como se resalta en la ilustración, NAT proporciona muchos beneficios, incluido lo siguiente:

  • NAT conserva el esquema de direccionamiento legalmente registrado al permitir la privatización de las intranets.
  • NAT conserva las direcciones mediante la multiplexación de aplicaciones en el nivel de puerto.
  • Con la NAT con sobrecarga, los hosts internos pueden compartir una única dirección IPv4 pública para todas las comunicaciones externas. En este tipo de configuración, se requieren muy pocas direcciones externas para admitir varios hosts internos.
  • NAT aumenta la flexibilidad de las conexiones a la red pública.
  • NAT proporciona coherencia a los esquemas de direccionamiento de red interna.
  • Para cambiar el esquema de direcciones IPv4 públicas en una red que no utiliza direcciones IPv4 privadas ni NAT, se requiere redireccionar todos los hosts en la red existente. NAT permite mantener el esquema de direcciones IPv4 privadas existente a la vez que facilita el cambio a un nuevo esquema de direccionamiento público.
  • NAT proporciona seguridad de red. Debido a que las redes privadas no anuncian sus direcciones ni su topología interna, son razonablemente seguras cuando se utilizan en conjunto con NAT para obtener acceso externo controlado. Sin embargo, NAT no reemplaza a los firewalls.

Desventajas de la NAT

Imagen

Configuración de NAT estática

La NAT estática es una asignación uno a uno entre una dirección interna y una dirección externa. La NAT estática permite que los dispositivos externos inicien conexiones a los dispositivos internos mediante la dirección pública asignada de forma estática. El router R2 se configuró con NAT estática para permitir que los dispositivos en la red externa (Internet) accedan al servidor web. La NAT estática traduce la dirección IPv4 pública a la dirección IPv4 privada.

Existen dos pasos básicos para configurar las traducciones NAT estáticas. Por ejemplo, en la figura 1, la dirección local interna 192.168.10.254 y la dirección global interna 209.165.201.5 se configuraron como traducción NAT estática. En el ejemplo, la interfaz Serial 0/0/0 del R2 es una interfaz interna, y la interfaz Serial 0/1/0 es una interfaz externa.

Los paquetes que llegan a la interfaz externa del R2 (Serial 0/1/0), que están dirigidos a la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la dirección local interna (192.168.10.254) y, luego, se reenvían a la red interna.

En la figura 2, se describen los comandos necesarios para configurar la NAT estática.

En la figura 3, se muestran los comandos necesarios en el R2 para crear una asignación de NAT estática al servidor web en la topología de ejemplo. El R2 reenvía ese tráfico al servidor web en 192.168.10.254.

Utilice el verificador de sintaxis de la figura 4 para configurar una entrada de NAT estática adicional en el R2.

Verificación de NAT estática

El comando show ip nat translations es útil para verificar el funcionamiento de NAT. Este comando muestra las traducciones NAT activas. Debido a que el ejemplo es una configuración NAT estática, siempre figura una traducción en la tabla de NAT, independientemente de que haya comunicaciones activas. Si se emite el comando durante una sesión activa, el resultado también indica la dirección del dispositivo externo, como se muestra en la figura 1.

Otro comando útil es show ip nat statistics.

Como se muestra en la figura 2, el comando show ip nat statistics muestra información sobre la cantidad total de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad de direcciones que se asignaron.

Para verificar que la traducción NAT funcione, es conveniente borrar las estadísticas de todas las traducciones anteriores con el comando clear ip nat statistics antes de realizar la prueba.

Antes de cualquier comunicación con el servidor web, el comando show ip nat statistics no muestra ningún acierto actual. Una vez que el cliente establece una sesión con el servidor web, el comando show ip nat statistics muestra cinco aciertos. De este modo, se verifica que se lleva a cabo la traducción de NAT estática en el R2.

Configuración de NAT dinámica

Paso 1. Defina el conjunto de direcciones que se utilizará para la traducción con el comando ip nat pool. Para conectar la ACL al conjunto, se utiliza el comando ip nat inside source list access-list-number number pool pool-name. Identifique qué interfaces son internas con respecto a NAT; es decir, cualquier interfaz que se conecte a la red interna.

Identifique qué interfaces son externas con respecto a NAT; es decir, cualquier interfaz que se conecte a la red externa.

Estos hosts se traducen a una dirección disponible del conjunto en el rango de 209.165.200.226 a 209.165.200.240.

Utilice el verificador de sintaxis de la figura 4 para configurar la NAT dinámica en el R2. Cuando se asignan varias direcciones locales internas a una dirección global interna, los números de puerto TCP o UDP de cada host interno distinguen entre las direcciones locales.

Sin embargo, la cantidad de direcciones internas a las que se puede asignar una única dirección IP es aproximadamente 4000.

En primer lugar, el ISP asigna más de una dirección IPv4 pública a la organización y, en segundo lugar, asigna una única dirección IPv4 pública que se requiere para que la organización se conecte al ISP.

Esto es similar a la NAT dinámica, con la excepción de que no existen suficientes direcciones públicas para realizar una asignación uno a uno entre direcciones internas y externas. La diferencia principal entre esta configuración y la configuración para NAT dinámica uno a uno es que se utiliza la palabra clave overload.

La configuración de ejemplo que se muestra en la figura 2 establece la traducción de sobrecarga para el conjunto de NAT denominado NAT-POOL2. La interfaz S0/0/0 se identifica como interfaz interna, y la interfaz S0/1/0 se identifica como interfaz externa.

Los flujos de tráfico se identifican por los números de puerto en la tabla de NAT, ya que se utilizó la palabra clave overload.

Defina una ACL para permitir que se traduzca el tráfico.

Identifique cuáles son las interfaces internas con respecto a NAT. Es decir, toda interfaz que se conecte a la red interna.

Identifique cuál es la interfaz externa con respecto a NAT. Esta debe ser la misma interfaz identificada en la instrucción de la traducción de origen del paso 2.

La configuración es similar a la de NAT dinámica, excepto que, en lugar de un conjunto de direcciones, se utiliza la palabra clave interface para identificar la dirección IPv4 externa. Por lo tanto, no se define ningún pool de NAT.

NAT para IPv6

NAT para IPv6 se utiliza en un contexto muy diferente del de NAT para IPv4, como se muestra en la ilustración. Las variedades de NAT para IPv6 se usan para proporcionar acceso de manera transparente entre redes solo IPv6 y redes solo IPv4. No se utiliza como forma de traducción de IPv6 privada a IPv6 global.

No obstante, para colaborar en el cambio de IPv4 a IPv6, el IETF elaboró varias técnicas de transición que admiten una variedad de situaciones de IPv4 a IPv6, como dual-stack, tunneling y traducción.

Esto permite que el paquete IPv6 se transmita a través de una red solo IPv4.

La NAT para IPv6 no se

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.