AMPLIACIÓN DE REDES

(2º I.T.I.S.)

PRÁCTICA 5

CONFIGURACIÓN DE ROUTERS:
NAT y NAPT

Unidad Docente de Redes

Área de Arquitectura y Tecnología
de Computadoras
Departamento de Informática
Universidad de Castilla-La Mancha
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

1. Objetivo
El objetivo de esta práctica es que el alumno adquiera los conocimientos prácticos sobre
NAT (Network Addresses Translation) y NAPT (Network Address Port Translation) en
la configuración de routers. El objetivo final de esta práctica es observar el
funcionamiento y la configuración de los mismos, observando sus ventajas en lo
referente al uso de direcciones IP privadas con conectividad global a Internet, en ambos
sentidos. Este objetivo se puede desglosar en los siguientes objetivos parciales:

1. Permitir a usuarios internos con direcciones IP privadas acceder a Internet

- Utilizando únicamente NAT dinámico dado un rango de varias direcciones
IP “legales”.
- Utilizando NAPT dada una única dirección IP “legal”.
- Utilizando NAPT dada una única dirección IP “legal” (la de la interfaz).

2. Permitir a Internet acceder a dispositivos de la red interna con direcciones IP

privadas.
- Utilizando únicamente NAT dinámico y estático dado un rango de varias
direcciones IP “legales”.
- Utilizando NAT estático y NAPT dado una única dirección IP “legal”.
- Utilizando NAPT y NAT estático dada una única dirección IP “legal” (la de
la interfaz).

3
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

2. NAT
Uno de los grandes problemas existentes hoy día con el direccionamiento en Internet
con IPv4, es la falta de direcciones globales (“legales”) IP para tener conectividad
global a Internet. Prácticamente, el espacio de direccionamiento IPv4 se ha dado por
agotado debido a la explosión en el uso de Internet. Para resolver esta problemática, se
han diseñado procedimientos para aliviar esta situación hasta que quede totalmente
implantado IPv6. Estos procedimientos son el uso de CIDR (Classless Inter-Domain
Routing), NAT (Network Address Translation) y NAPT (Network Address Port
Translation).

NAT es un mecanismo que puede ser utilizado para modificar las direcciones IP que
viajan dentro de los paquetes IP. Este mecanismo es siendo muy utilizado hoy en día,
fundamentalmente para permitir a redes (sitios) que utilizan un direccionamiento IP con
direcciones privadas (RFC 1918) poder tener conectividad global en Internet. NAT
opera habitualmente sobre un dispositivo de red fronterizo (router), que conecta las dos
redes: red interna y red externa(Internet).

NAT permite a un host en una red privada (inside network) con una dirección IP
privada, comunicarse transparentemente con un host destino (outside network) en una
red pública o global. Esto se consigue modificando la dirección fuente IP de los
paquetes que atraviesan el dispositivo NAT. NAT mantendrá una tabla con las
traducciones de direcciones IP que deberá llevar a cabo en ambos sentidos. En la
terminología de NAT, inside network es el conjunto de redes que están sujetas a una
traducción, y el resto de redes son consideradas outside networks. En la siguiente figura
podemos observar el funcionamiento habitual de NAT.

4
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

En la figura anterior una compañía (inside network) utiliza la dirección privada de red
192.168.1.0/24, y la red externa (outside network) utiliza la dirección de red
207.139.221.0/24. Utilizando NAT, estas dos redes pueden comunicarse de forma
transparente a los hosts. NAT traduce la dirección IP fuente de los paquetes que se
originan en la inside network y la cambia por una dirección IP válida (legal) en la
outside network. El proceso inverso se producirá cuando el paquete viaje de regreso
desde la outside network hacia la inside network.

3. Tipos de NAT
Dependiendo de la forma en la que se hacen las asignaciones entre direcciones existen
diferentes tipos de hacer NAT.
3.1 NAT Dinámico
Con NAT dinámico, se permite a un conjunto de hosts pertenecientes a la inside
network comunicarse de forma transparente con los hosts de la outside network. Con
NAT dinámico el establecimiento inicial de la traducción es unidireccional y
proveniente de la inside network. Es decir, las traducciones no existen en la tabla NAT
hasta que un router recibe tráfico desde la inside network que requiere una traducción.
Una vez establecida dicha traducción temporal (únicamente válida para una sesión
dada), se puede producir la comunicación bidireccional. Hasta entonces el host
perteneciente a la outside network no puede comunicarse con el host de la inside
network.

Con NAT dinámico la traducción entre direcciones privadas y globales se realiza de

forma dinámica, de entre un conjunto de direcciones globales, previamente definido.
Una vez que dicha dirección global ya no va a ser usada, se libera para poder ser
utilizada en otra sesión posterior. Las traducciones dinámicas tienen un tiempo de vida
en inactividad, después del cual son eliminadas de la tabla NAT.

5
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

3.2 NAT estático

Con NAT estático, las traducciones existen en la tabla NAT desde el momento en que se
configuran y ellas permanecen activas indefinidamente en dicha tabla hasta que es
borrada mediante comandos de configuración. Con un NAT estático, la comunicación
entre hosts puede ser iniciada por cualquiera de ellos, independientemente desde donde
este ubicado, ya que la asociación dirección privada-dirección global se ha hecho de
forma estática y permanente hasta que no se indique lo contrario por parte del
administrador. Este tipo de NAT se utiliza cuando se desea que un host de la inside
network sea accesible en cualquier momento desde la outside network. La dirección
global que se le asigne a este dispositivo interno debe ser conocido (vía DNS) por los
hosts de la outside network, y no puede ser utilizada para NAT dinámico.

3.3 NAPT
NAPT amplia un nivel más el concepto de traducción/asociación, utilizando también los
identificadores de puerto de la capa de transporte. Utilizando los identificadores de
puerto (TCP/UDP) en las traducciones, se consigue traducir/asociar varias direcciones
IP privadas a una única dirección global IP, utilizando multiplexación de puertos
utilizando una única dirección global IP. NAPT permite a numerosos hosts de la inside
network compartir una única dirección perteneciente a la outside network. La ventaja de
NAPT es que con una única dirección IP global se pueden mantener hasta 6.400
sesiones simultáneas (limitación de NAPT), mientras que con NAT, por cada dirección
de inside network se necesitaba una dirección global IP. NAT y NAPT pueden ser
utilizados a la vez, dependiendo de la versión del IOS (no en la 12.0 y 12.2). La ventaja
de esta combinación es que cuando NAT agota el conjunto de direcciones IP globales
que le han sido asignadas, NAPT puede ser utilizado hasta que alguna de las
traducciones NAT sea liberada (y en consecuencia su dirección global).

6
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

4. Consideraciones en el diseño de NAT/NAPT

Cuando se utiliza NAT y NAPT en una red, hay varias cuestiones que tienen que tenerse
en consideración. Varios factores contribuyen a elegir el tipo de NAT a utilizar, tal
como el número de direcciones globales IP disponibles. Las siguientes consideraciones
son guías generales para el diseño y desarrollo de NAT/NAPT.

1. ¿Con cuántas direcciones IP globales se dispone para realizar traducciones?. Si

existe un número limitado de direcciones en comparación con la cantidad de
dispositivos internos (por ejemplo, 8 direcciones globales para 250 hosts
internos), NAPT o una combinación de NAT dinámico y NAPT puede ser la
solución más correcta.

2. Cuando se utiliza NAT estático, se deben implementar medidas de seguridad

para limitar el tipo de tráfico permitido para alcanzar el dispositivo interno, ya
que al ser estático, dicho dispositivo interno podrá se accedido desde cualquier
dispositivo externo de forma directa, sin que el dispositivo interno se haya
comunicado previamente con el.

3. Las prestaciones del router que implementará el NAT deben tenerse en cuenta
para todos los tipos de NAT, ya que NAT incrementa el tiempo de
procesamiento de los paquetes en el interior de un router, ya que cuando un
paquete IP atraviesa un router con NAT la cabecera IP debe ser modificada.
NAT/NAPT también requieren capacidades de almacenamiento en el router para
albergar la tabla NAT. Cada traducción de NAT consume 160 bytes de RAM.

4. No todas las aplicaciones funcionan correctamente al atravesar un NAT!!.

Solo se asegura que funcionan aquellas cuyo tráfico TCP/UDP no transporte
direcciones IP fuente /destino en la porción de datos del paquete IP para su
funcionamiento. En caso contrario, será necesario el uso de ALG (Application
Layer Gateways). Algunos ejemplos del tipo de tráfico que Cisco IOS NAT
soporta son: http, TFTP, Telnet, Archie, Finger, NTP, NFS, rlogin, rsh. Los
siguientes ejemplos de aplicaciones a pesar de transportar direcciones IP fuente
/destino en la porción de datos del paquete IP para su funcionamiento, para ellos
el Cisco IOS NAT proporciona funciones de ALG: ICMP, FTP (including
PORT and PASV commands), NetBIOS over TCP/IP, RealAudio, CuSeeMe,
Streamworks, DNS, H.323/NetMeeting (IOS 12.0(1)/12.0(1)T or later),
VDOLive (IOS 11.3(4), 11.3(4)T or later), Vxtreme (IOS 11.3(4), 11.3(4)T or
later), IP Multicast (IOS 12.0(1)T source address translation only). Por ultimo
los siguentes ejemplos de aplicaciones no son soportados por Cisco IOS NAT:
Routing table updates, DNS zone transfers, BOOTP, Talk, ntalk, SNMP,
NetShow.

5. La desventaja de NAT/NAPT es la perdida de conectividad IP extremo a

extremo. Es mucho más difícil tracear paquetes que atraviesa varios NATs. Por
otro lado, una ventaja del uso de NAT/NAPT es que se hace mas difícil, por no
decir imposible para hackers determinar la fuente de un paquete para tracear u
obtener la fuente original de los datos.

7
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

4. Pasos para la configuración de NAT y NAPT

Cuando se quiere configurar NAT y/o NAPT es difícil a veces saber por donde
empezar. Los siguientes pasos pueden ser una guía para configurar NAT y NAPT.

1. Definir los interfaces que utilizarán NAT/NAPT como inside/outside.

2. Definir la función que se quiere que realice NAT/NAPT
a. ¿Permitir a usuarios internos acceder a Internet?
b. ¿Permitir a Internet acceder a dispositivos de la red interna?
c. ¿Redireccionar tráfico TCP a otro puerto/dirección TCP?
d. ¿Utilizar NAT durante una transición o cambio en la red?
e. ¿Utilizar NAT para permitir que redes con espacio de direccionamiento
solapado puedan comunicarse?
3. Configurar NAT/NAPT acorde a lo que se quiere hacer y que ha quedado
definido en el paso 2. En función de ello se necesitará utilizar:
a. NAT estático
b. NAT dinámico
c. NAPT
d. Cualquier combinación con las anteriores
4. Verificar el funcionamiento de NAT/NAPT

5. Comandos de configuración de NAT y NAPT en CISCO IOS

5.1 Comandos de configuración

Comando de configuración de la interface

El primer paso para implementer NAT es definir los interfaces que van a participar en el
NAT y de que tipo son: inside (conectada a la red interna) o outside (conectada a la red
externa). Para ello se utiliza, desde el modo de configuración de la interfaz, el comando
ip nat:

Router(config-if)# ip nat { inside | outside }

donde inside indica que la interfaz está conectada a la red interna (la red sujeta a la
traducción de NAT), y outside indica que la interfaz está conectada a la red externa. Se
debe especificar al menos una interface inside y una interface outside en el router sobre
el cual se desea configurar NAT. Solo los paquetes que llegan a una de las interfaces
configuradas con ip nat estarán sujetos a una posible traducción. Para eliminar la
condición de NAT sobre una interface utiliza la forma no del comando (no ip nat {
inside | outside })

Comandos de configuración global

Definición de un conjunto de direcciones (pool)

Para la asignación dinámica de direcciones por parte de NAT se debe definir un
conjunto(rango) de direcciones IP. Estas direcciones serán utilizadas por NAT conforme
las vaya necesitando. Este conjunto podría definir o un conjunto global interno, un
conjunto local externo, o un conjunto rotatorio. Para ello se utiliza, desde el modo de
configuración global, el comando ip nat pool. Para eliminar una o más direcciones
utiliza la forma no de este comando.

8
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

Router(config)# ip nat pool <name> <start-ip> <end-ip> { netmask <netmask> |

prefix-length <prefix-length>

Name es el nombre que le asignamos al conjunto de direcciones (pool).

Start-ip es la primera dirección IP del conjunto (rango).
End-ip es la última dirección IP del conjunto (rango).
Netmask netmask especifica la mascara de red/subred de la red a la cual
pertenece el conjunto de direcciones.
Prefix-length prefix-length indica el número de 1´s que tiene la mascara.

En el siguiente ejemplo se especifica un conjunto de direcciones globales con el nombre

net-208, que contiene el rango de direcciones IP desde 207.139.221.10 a la
207.139.221.128.

ip nat pool net-208 207.139.221.10 207.139.221.128 netmask 255.255.255.0

ó
ip nat pool net-208 207.139.221.10 207.139.221.128 prefix-length 24

Habilitar la traducción de direcciones fuente internas

Para habilitar NAT para la traducción de direcciones fuente internas utiliza, desde el
modo de configuración global, el comando ip nat inside source. Para eliminar una
traducción estática o una asociación dinámica a un conjunto de direcciones IP utiliza la
forma no de este comando.

Router(config)# ip nat inside source {list {access-list-number | name} { pool name |

interface interface-name}[overload] | static local-ip global-ip}

List access-list number es el número de lista de acceso IP estándar. Únicamente

los paquetes cuya dirección fuente pasan la lista de acceso son traducidos
dinámicamente utilizando las direcciones globales del pool name.
List name es el nombre de lista de acceso IP estándar.
Pool name es el nombre del conjunto de direcciones que serán asignadas de
forma dinámica.
Overload (opcional) habilita al router para que utilice una única dirección global
para varias direcciones locales utilizando NAPT.
Interface interface es el nombre de la interfaz cuya dirección IP será asignada
de forma dinámica utilizando NAPT
Static local-ip establece una traducción estática simple entre local-ip y global-
ip. Esta dirección global IP asignada al dispositivo interno será la dirección que
será vista desde el exterior.

Este comando tiene tres formas: NAT estático, NAT dinámica y NAPT. La forma que
utiliza la lista de acceso establece traducción dinámica. Los paquetes cuyas direcciones
encajan en la lista de acceso estándar son traducidos dinámicamente utilizando las
direcciones globales del pool name. Alternativamente, si se utiliza la palabra clave
static se establece NAT estático entre local-ip y global-ip. Si se utiliza la palabra clave
overload se establece NAPT para los paquetes cuyas direcciones encajan en la lista de
acceso estándar utilizando las dirección global del pool name.

9
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

En el siguiente ejemplo se especifica que el tráfico originado desde 192.168.1.0 hacia

cualquier lugar será traducido dinámicamente (NAT dinámico) basado en su dirección
fuente utilizando el siguiente conjunto(rango) de direcciones IP 207.139.221.10-
207.139.221.128. Se traducirá la dirección fuente y no la dirección destino.

ip nat pool net-207 207.139.221.10 207.139.221.128 netmask 255.255.255.0

access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 pool net-207

Para habilitar una traducción estática (NAT estático) entre el host interno 192.168.1.10
y la dirección global IP 207.139.221.10 se utilizaría el siguiente comando:

ip nat inside source static 192.168.1.10 207.139.221.10

Para habilitar NAPT especificando que el tráfico originado desde 192.168.1.0 hacia
cualquier lugar será traducido basado en su dirección fuente utilizando una única
dirección IP 207.139.221.10 se introduciría las siguientes líneas de comandos.

ip nat pool net-207 207.139.221.10 207.139.221.10 netmask 255.255.255.0

access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 pool net-207 overload

Configuración de los timeouts de traducción

Las traducciones dinámicas expiran después de un cierto periodo de tiempo sin uso.
Cuando NAPT no esta configurado, la entradas en la tabla de traducciones dinámicas
espiran a las 24 horas sin uso. Estos tiempos pueden ser ajustados, en modo de
configuración global, con el comando ip nat translation. Para deshabilitar un time-out
utiliza la forma no de este comando.

Router(config)# ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout |

finrst-timeout} seconds

Timeout especifica el valor de timeout que se aplica a las traducciones

dinámicas excepto a las traducciones NAPT. El valor por defecto es 24 horas.
Udp-timeout especifica el valor de timeout que se aplica a los puertos UDP. El
valor por defecto es 300 segundos.
Dns-timeout especifica el valor de timeout que se aplica a a las conexiones de
DNS. El valor por defecto es 60 segundos.
Tcp-timeout especifica el valor de timeout que se aplica a los puertos TCP.
El valor por defecto es 24 horas.
Finrst-timeout especifica el valor de timeout que se aplica a los paquetes Finish
y Reset TCP, los cuales terminan una conexión. El valor por defecto es 60
segundos.
Seconds es el número de segundos.

En el siguiente ejemplo se especifica que las traducciones NAT expirarán a los 600
segundos de inactividad.

ip nat translation timeout 600

10
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

5.2 Comandos de verificación

Mostrar traducciones activas

Para mostrar traducciones NAT activas utiliza, en modo privilegiado, el comando

Router# show ip nat translations [ verbose ]

verbose opcionalmente muestra información adicional para cada traducción,

incluyendo la antigüedad de dicha entrada.

Mostrar estadísticas de las traducciones NAT

Para mostrar estadísticas de las traducciones NAT utiliza, en modo privilegiado, el
comando

Router# show ip nat statistics

Router#show ip nat statistics

Total translations: 2 (0 static, 2 dynamic; 0 extended)
Outside interfaces: Serial0
Inside interfaces: Ethernet1
Hits: 135 Misses: 5
Expired translations: 2
Dynamic mappings:
— Inside Source
access-list 1 pool net-208 refcount 2
pool net-208: netmask 255.255.255.240
start 171.69.233.208 end 171.69.233.221
type generic, total addresses 14, allocated 2 (14%), misses 0

Total translations Número de traducciones activas en el sistema.

Hits Número de veces que el software necesita hacer una traducción y la encuentra ya
creada en la tabla.
Misses Número de veces que el software necesita hacer una traducción y no la
encuentra en la tabla y debe de crear una entrada nueva.
Expired translations Número de traducciones que han expirado desde que se arranco el
router.
Borrar traducciones dinámicas
Para borrar las traducciones dinámicas NAT de la tabla de traducciones antes de que
expiren, utiliza en modo privilegiado, el comando

Router# clear ip nat translation {* | [inside global-ip local-ip] [outside local-ip

global-ip]}
ó
Router# clear ip nat translation protocol { [inside global-ip global-port local-ip local-
port] [outside local-ip global-ip]}

Debugging
Para activar el debug de NAT, utiliza, en modo privilegiado, el comando

Router# debug ip nat [ <list> ] [ detailed ]

11
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

5.2 Ejemplos de configuración

Ejemplo 1: Configuración de NAT entre una red privada e Internet, para permitir
a usuarios internos acceder a Internet.
La compañía XYZ ha decidido permitir a sus empleados acceder a Internet. Se ha
contratado con un proveedor de servicios de Internet (ISP) una línea dedicada y se ha
adquirido un router para encaminar el tráfico interno hacia el ISP. El ISP ha asignado un
rango de 128 direcciones IP globales (207.139.221.0/25) a la compañía para utilizarlas
con tal fin. Los administradores de la red de la compañía XYZ han utilizado la dirección
privada 192.168.1.0/24 para sus dispositivos internos (ver figura). La configuración de
este router para conseguir tal fin podría ser la siguiente:

Router# configure terminal

interface ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no shutdown
interface serial0
ip address 207.139.221.1 255.255.255.128
ip nat outside
no shutdown
exit
access-list 10 permit 192.168.1.0 0.0.0.255
ip nat pool net-207 207.139.221.2 207.139.221.126 netmask 255.255.255.128
ip nat pool net-207-napt 207.139.221.127 207.139.221.127 netmask 255.255.255.128

ip nat inside source list 10 pool net-207

ip nat inside source list 10 pool net-207-napt overload

NOTA: NAPT ocurrirá una vez que NAT haya utilizado todas las direcciones
disponibles en net-207 pool. Esta opción NO está disponible en todas las versiones del
IOS (en la 12.0 y 12.2, NO lo está).

12
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

Ejemplo 2: Configuración de NAT entre una red privada e Internet, para permitir
a Internet acceder a dispositivos de la red interna.
La compañía del ejemplo anterior ha decidido instalar un servidor Web y un servidor de
correo en una de sus LAN, como un DMZ (en una red aparte). Esta red donde se
ubicaran los servidores utilizará la red privada 192.168.2.0/24 (ver figura). Para permitir
a Internet acceder a dispositivos de la red interna (siendo cualquier usuario de Internet,
el que inicie la conexión) se deberán utilizar traducciones estáticas para las direcciones
de los servidores. La configuración de este router para conseguir tal fin podría ser la
siguiente:

192.168.2.2 192.168.2.3

Router# configure terminal

interface ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no shutdown
interface serial0
ip address 207.139.221.1 255.255.255.128
ip nat outside
no shutdown
interface ethernet1
ip address 192.168.2.1 255.255.255.0
ip nat inside
no shutdown
exit
access-list 10 permit 192.168.1.0 0.0.0.255
ip nat pool net-207 207.139.221.4 207.139.221.126 netmask 255.255.255.128
ip nat pool net-207-napt 207.139.221.127 207.139.221.127 netmask 255.255.255.128

ip nat inside source list 10 pool net-207

ip nat inside source list 10 pool net-207-napt overload.com
ip nat inside source static 192.168.2.2 207.139.221.2
ip nat inside source static 192.168.2.3 207.139.221.3
NOTA: NAPT ocurrirá una vez que NAT haya utilizado todas las direcciones disponibles en net-207
pool. Esta opción NO está disponible en todas las versiones del IOS.(en la 12.0 y 12.2, NO lo está).

13
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

Ejemplo 3: Configuración simultánea de NAT estática y dinámica.

Dada la topología de red de la figura se desea permitir el acceso al dispositivo A desde

el exterior a la vez que se desea tener acceso al exterior desde la red interna
(10.10.10.0/24). Para ello se permite utilizar el rango de direcciones externas
172.16.132.1 – 172.16.131.10. La configuración del router para conseguir tal fin podría
ser la siguiente:

NOTA: Con NAT dinámico, las traducciones no existen en la tabla NAT hasta que un router recibe
tráfico que requiere una traducción. Las traducciones dinámicas tienen un tiempo de vida en inactividad,
después del cual son eliminadas de la tabla NAT. Con NAT estático, las traducciones existen en la tabla
NAT desde el momento en que se configuran y ellas permanecen indefinidamente en dicha tabla hasta
que es borrada mediante comandos de configuración.

Router# configure terminal

interface e 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
no shutdown
interface s 0
ip address 172.16.131.254 255.255.255.0
ip nat outside
no shutdown
access-list 7 deny host 10.10.10.1
access-list 7 permit 10.10.10.0 0.0.0.255
ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0
ip nat inside source list 7 pool test
ip nat inside source static 10.10.10.1 172.16.131.1

14
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 172.16.131.1 10.10.10.1 --- ---
Observa que solo la traducción estática es mostrada en la tabla NAT. Esta entrada
traduce la dirección global interna a la dirección local interna, lo cual significa que
cualquier dispositivo externo puede enviar paquetes a la dirección global 172.16.131.1 y
alcanzar el dispositivo en la red interna, en cual tiene la dirección local 10.10.10.1.
Ninguna otra entrada aparecerá en la tabla NAT hasta que el router reciba un paquete
por su interface inside con una dirección fuente permitida por la ACL 7.

Observa también que la ACL 7 deniega la dirección del dispositivo 10.10.10.1 que es
utilizado en la traducción estática. Esto servirá para que los paquetes con dirección
fuente 10.10.10.1 no generen traducciones NAT dinámicas. Esto es necesario ya que la
dirección 10.10.10.1 ya esta siendo utilizada en el NAT estático. Si no pusiéramos esta
condición también podría utilizar traducciones dinámicas ya que 10.10.10.1 cumpliría
con la ACL-7. Esta práctica debe de ser tenida en cuenta cuando se configuren NAT
estático y dinámico simultáneamente.

Ejemplo 4: Configuración simultánea de NAT estática y NAPT.

Dada la topología de red de la figura anterior se desea permitir el acceso al dispositivo

A (servidor de correo electrónico) desde el exterior a la vez que se desea tener acceso al
exterior desde la red interna (10.10.10.0/24). Para ello se permite utilizar únicamente la
dirección IP de la interfaz serial 0 del router hacia la red externa. La configuración del
router para conseguir tal fin podría ser la siguiente:
Router# configure terminal
interface e 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
no shutdown
interface s 0
ip address 172.16.131.254 255.255.255.0
ip nat outside
no shutdown
access-list 7 deny host 10.10.10.1
access-list 7 permit 10.10.10.0 0.0.0.255
ip nat inside source list 7 interface serial 0 overload
ip nat inside source static tcp 10.10.10.1 25 172.16.131.254 25

En este ejemplo hemos configurado NAPT sobre la dirección IP de la interface serial 0

del router. Esto significa que mas de una dirección local interna será traducida
dinámicamente sobre la misma dirección IP global, utilizando las direcciones de puerto
(TCP/UDP) para distinguir las sesiones. Además, hemos configurado estáticamente
NAT para que los paquetes dirigidos al servidor de correo electrónico ubicado en
10.10.10.1 puedan ser dirigidos por los dispositivos externos al puerto 25 de la IP de la
interfaz s 0 del router.

15
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

6. Casos prácticos
Para realizar los diferentes casos prácticos que se plantean como tareas para esta
práctica tendremos en cuenta la topología del laboratorio de Redes (NAT y NAPT)
que ha sido diseñada para este fin. En ella podemos observar las siguientes
características:
1. Existen tres redes internas, y una única red externa (acceso a Internet) cada una con su
router fronterizo con la red externa para configurar NAT/NAPT. Estos routers son
Madrid, Jaen y Guadalajara. Por lo tanto solo se configurará el NAT/NAPT en estos
tres routers, el resto de subredes saldrán a través de estos.
2. Cada red interna trabajará separadamente del resto (de hecho las hemos desconectado
entre sí), y se verá como una única red interna que quiere conectarse a Internet en
ambos sentidos a través de la red externa 161.67.17.0/22
3. El Centro de Datos de la EPSA hará de ISP para nosotros, proporcionándonos acceso a
INTERNET a nuestras redes con direccionamiento privado. El rango de direcciones que
se nos ha asignado son:
a. Para la red interna 1: 161.67.17.227-161.67.17.231
b. Para la red interna 2: 161.67.17.232-161.67.17.236
c. Para la red interna 3: 161.67.17.237-161.67.17.245
4. Se han situado dos maquinas en el laboratorio con conexión únicamente a la red externa
161.67.17.0/22 (255.255.252.0) para realizar pruebas de conectividad posteriormente.
Son las maquinas con direcciones 161.67.17.225 y 161.67.17.226. Podrían ser las
terminales 3 de Madrid y Barcelona (por ejemplo)

5. El router de salida hacia Internet de los routers Madrid, Jaen y Guadalajara es

161.67.18.1. Para tener conectividad hacia fuera deberás tener en cuenta que las tablas
de encaminamiento de todos los routers consideran esta opción o la que le corresponda.
(ip route 0.0.0.0 0.0.0.0 161.67.18.1 en Madrid, Jaen y Guadalajara, ip route

0.0.0.0 0.0.0.0 x.x.x.x(siguiente salto), en el resto )

6. Los DNS que nos proporciona el ISP son 161.67.8.208 y/ó 161.67.1.28. (útiles para la
configuración del TCP/IP de las estaciones)
7. Cada grupo de alumnos debe participar en la configuración NAT/NAPT del router
según a la red interna a la que pertenezca, para ello los que no estén físicamente en las
consolas correspondientes a Madrid, Jaen y Guadalajara se pueden conectar vía Telnet
con el router que le toque y participar en la configuración parcial que le corresponda.
Tener cuidado con la parte de configuración que realiza cada pareja de alumnos pues
estaréis varios modificando la configuración NAT del router simultáneamente. Poneros
de acuerdo en la parte que configura cada uno.
8. Para verificar el funcionamiento de NAT/NAPT se recomienda utilizar los comandos de
verificación vistos anteriormente. Otro mecanismo de depuración bastante potente es
activar el debug con debug ip nat y realizar un ping entre las direcciones involucradas
en la comunicación, para ver realmente como esta funcionando el NAT.
9. Para desarrollar esta práctica realiza los casos prácticos planteados A y B, y dentro de
cada caso realiza las diferentes tareas configurando NAT/NAPT acorde a las
condiciones impuestas en cada tarea, verificando su funcionamiento. Anota todo lo que
consideres de interés.

16
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

CASO PRÁCTICO A: PERMITIR A TODOS LOS USUARIOS INTERNOS

ACCEDER A INTERNET.
Sigue los siguientes pasos para cada una de las tareas propuestas:
Paso 0. Realiza un ping desde cualquier máquina de tu red interna a la máquina externa
161.67.17.225 o intenta salir a Internet conectándote a alguna Web. ¿Has podido?. ¿Por
qué si o por que no?.
Paso 1. Definir los interfaces que utilizarán NAT/NAPT como inside/outside.
Paso 2. Definir la función que se quiere que realice NAT/NAPT
Paso 3. Configurar NAT/NAPT acorde a lo que se quiere hacer utilizando las
restricciones que impone cada tarea.
Paso 4. Verificar el funcionamiento de NAT/NAPT. Para ello activa debug ip nat y
borra la tabla NAT con clear ip nat translation *. Realiza un ping desde cualquier
máquina de tu red interna a la máquina externa 161.67.17.225 o intenta salir a Internet
conectándote a alguna Web. ¿Qué tipo de información proporciona el debug?. ¿Los
resultados obtenidos son acorde a lo esperado?. Si los ping NO son exitosos utiliza los
comandos de verificación para depurar los errores. Para cada una de las tareas responde
estas preguntas:
a. ¿Qué ocurre si estáis conectados a Internet mas dispositivos que el número de
direcciones IP “legales” que tiene vuestro rango?.
b. Muestra las traducciones activas que tienes con el comando show ip nat
translations y las estadísticas de las traducciones NAT con show ip nat
statistics. ¿Los resultados obtenidos son acorde a lo esperado?.
c. ¿Cuanto tiempo duran las entradas en la tabla NAT?
d. Anota todo lo que consideres de interés.

Tarea 1. Utilizando únicamente NAT dinámico dado un rango de varias

direcciones IP “legales”. Como ayuda vamos a indicar el de Madrid. Modifica
posteriormente los timeouts para observar las diferencias.

Madrid# configure terminal exit

interface f0/0 router rip
ip address 172.20.40.1 255.255.248.0 network 172.20.0.0
ip nat inside network 161.67.17.0
no shutdown exit
interface s0/0 ip route 0.0.0.0 0.0.0.0 161.67.18.1
ip address 172.20.8.1 255.255.248.0 access-list 1 permit 172.20.40.0 0.0.7.255

ip nat inside access-list 1 permit 172.20.48.0 0.0.7.255

no shutdown access-list 1 permit 172.20.56.0 0.0.7.255

interface f0/1 access-list 1 permit 172.20.8.0 0.0.7.255

ip address 161.67.17.112 255.255.252.0 access-list 1 permit 172.20.16.0 0.0.7.255

ip nat outside ip nat pool red-int1 161.67.17.227

no shutdown 161.67.17.231 netmask 255.255.252.0

ip nat inside source list 1 pool red-int1

Tarea 2. Utilizando NAPT dada una única dirección IP “legal”.

Tarea 3. Utilizando NAPT dada una única dirección IP “legal” (la de la interfaz).

17
 PRÁCTICA 5. CONFIGURACIÓN DE ROUTERS: NAT y NAPT

CASO PRÁCTICO B: PERMITIR A INTERNET ACCEDER A DISPOSITIVOS

DE LA RED INTERNA (a la vez que se sigue permitiendo acceder a Internet)
Sigue los siguientes pasos para cada una de las tareas propuestas:
Paso previo: Seleccionar una máquina de vuestra red interna que sea la que deseéis que
sea accesible desde fuera. Anotar su IP para utilizarla en la configuración posterior.
Paso 0. Realiza un ping desde la maquina 161.67.17.226 a la maquina de tu red interna
que elegiste para tener acceso desde fuera. ¿Has podido?. ¿Por qué si o por que no?.
Paso 1. Definir los interfaces que utilizarán NAT/NAPT como inside/outside.
Paso 2. Definir la función que se quiere que realice NAT/NAPT
Paso 3. Configurar NAT acorde a lo que se quiere hacer utilizando las restricciones que
impone cada tarea.
Paso 4. Verificar el funcionamiento de NAT/NAPT. Para ello activa debug ip nat y
borra la tabla NAT con clear ip nat translation *. Realiza un ping desde la maquina
161.67.17.226 a la maquina de tu red interna que elegiste para tener acceso desde fuera.
Para comprobar que sigues teniendo acceso hacia fuera realiza un ping desde cualquier
máquina de tu red interna a la máquina externa 161.67.17.225 o intenta salir a Internet
conectándote a alguna Web. ¿Qué tipo de información proporciona el debug?. ¿Los
resultados obtenidos son acorde a lo esperado?. Si los ping NO son exitosos utiliza los
comandos de verificación para depurar los errores. Para cada una de las tareas responde
estas preguntas:
a. ¿Pueden conectarse desde otros host de otras redes internas al host de tu red
interna que hiciste accesible desde fuera?. ¿Puedes conectarte desde cualquier
host de tu red interna a los hosts que han hecho accesibles desde fuera las
otras redes internas?.
b. Muestra las traducciones activas que tienes con el comando show ip nat
translations y las estadísticas de las traducciones NAT con show ip nat
statistics. ¿Los resultados obtenidos son acorde a lo esperado?. Anota todo lo
que consideres de interés.
Tarea 1. Utilizando únicamente NAT dinámico y estático dado un rango de varias
direcciones IP “legales”. Como ayuda vamos a indicar el de Madrid.
Madrid# configure terminal router rip
interface f0/0 network 172.20.0.0
ip address 172.20.40.1 255.255.248.0 network 161.67.17.0
ip nat inside exit
no shutdown ip route 0.0.0.0 0.0.0.0 161.67.18.1
interface s0/0 access-list 1 deny host 172.20.40.3

ip address 172.20.8.1 255.255.248.0 access-list 1 permit 172.20.40.0 0.0.7.255

ip nat inside access-list 1 permit 172.20.48.0 0.0.7.255

no shutdown access-list 1 permit 172.20.56.0 0.0.7.255

interface f0/1 access-list 1 permit 172.20.8.0 0.0.7.255

ip address 161.67.17.112 255.255.252.0 access-list 1 permit 172.20.16.0 0.0.7.255

ip nat outside ip nat pool red-int1 161.67.17.228

no shutdown 161.67.17.231 netmask 255.255.252.0

exit ip nat inside source list 1 pool red-int1

ip nat inside source static 172.20.40.3

161.67.17.227

Tarea 2. Utilizando NAT estático y NAPT dado una única dirección IP “legal”.
Tarea 3. Utilizando NAPT y NAT estático dada una única dirección IP “legal” (la
de la interfaz). (Utilizar el Cliente/Servidor de ECHO, puerto 7).

18