ESCALAMIENTO DE

REDES CON NAT

QUE ES?

• NAT permite a direcciones privadas ser

traducidas en públicas, direcciones enrutables.
• Esto conserva las direcciones IP registradas de
organizaciones y le permite al paquete ser
transportado sobre redes públicas externas,
tales como Internet.
• Una variación de NAT, llamada Port Address
Translation (PAT), permite muchas direcciones
privadas internas ser traducidas a una o más
direcciones públicas externas.
 Direccionamiento Privado

• Network Address
Translation conserva
direcciones IP contando
con el espacio de Internal Address CIDR
direcciones IP privadas RFC 1918
Range Prefix
reutilizables especificado
en el RFC 1918. Class A 10.0.0.0 10.255.255.255 10.0.0.0/8

• Las organizaciones son Class B 172.16.0.0 172.31.255.255 172.16.0.0/12

libres de usar estas Class C 192.168.0.0 192.168.255.255

192.168.0.0/1
6
direcciones IP privadas
dentro de sus redes
Estas direcciones son para uso privado
internas.
e interno de la red solamente y no
pueden ser enrutadas a internet.
NAT

Un dispositivo con NAT-activado típicamente opera en la

frontera de una red cerrada.
Los dispositivos dentro de la red interna tienen
direccionamiento IP privado que deberá ser traducido
a público, a direcciones ruteables.
Términos de NAT

• Dirección Inside local— La dirección IP asignada a

un host en la red de inside. Esta dirección es
probablemente direccionamiento privado del RFC
1918.
• Dirección Inside global— Una dirección IP legítima
asignada por la NIC o proveedor de servicio que
representa una o más direcciones IP locales hacia
el mundo.
• Dirección Outside local— La dirección IP de un host
de outside como es conocida para los hosts que
están en la red de inside.
• Dirección Outside global— La dirección IP asignada
al host en la red de outside. El propietario del
host asigna esta dirección.
 Características de NAT
Inside

• NAT estático está diseñado para permitir asociación uno-a-uno de

direcciones local y global.
• NAT dinámico está diseñado para asociar una dirección IP privada a una
dirección IP pública.
Beneficios de NAT

• Elimina la re-asignación para cada host de una

nueva dirección IP cuando se cambia a un
nuevo ISP. Los hosts conservan la dirección IP
privada.
• Elimina la necesidad de re-direccionar todos
los hosts que requieren acceso externo,
ahorrando tiempo y dinero.
• Conserva direcciones a través de aplicaciones
de multiplexaje nivel-puerto (port-level)
• Protege la seguridad de la red.
 Conceptos de Network Address Translation

NAT
• NAT es el proceso de
cambiar una dirección por E0 S1
otra en el encabezado del 10.1.1.1 165.193.3.1
paquete de IP.
• El host de inside en la IP
10.1.1.11 puede aparecer SA SA
como IP 165.193.1.35 a la 10.1.1.11 165.193.1.35
red externa.
• El router de NAT traduce de
inside (E0) a outside (S1). Internet

Inside Host
10.1.1.11
SA= Source Address
NAT Cambia el Encabezado de IP

• Como un paquete es NAT

enrutado a través
de un dispositivo E0 E1
capaz de hacer NAT, 10.1.1.1 165.193.3.1
la dirección IP
origen en el
paquete de la red
privada interna (no SA SA
enrutable) podría 10.1.1.11 165.193.1.35
ser traducida a una
dirección ip externa
(enrutable).

Inside Host Outside Host

10.1.1.11
SA= Source Address
Tabla de NAT
•La tabla de NAT registra las asociaciones de inside
a outside.
Inside & Outside

Local & Global

 Direcciones Inside & Outside
NAT
• Dirección de Inside e0 e1
- La dirección IP de un host 10.1.1.1 165.193.3.1
ubicado en la red interna
• Podría ser una dirección Inside
privada no enrutable. address

Destination
Local Host
Host
10.0.0.11
165.193.3.2
 DIrecciones Inside & Outside
NAT

• Dirección de Outside e0 e1
- Dirección IP de un host 10.1.1.1 165.193.3.1
ubicado en la red externa
• Podría ser una dirección
Outside
públicamente enrutable
address

Destination
Local Host
Host
10.0.0.11
165.193.3.2
Direcciones Local & Global

NAT
• Dirección de Local –
dirección IP de un host e0 e1
interno o externo según 10.1.1.1 165.193.3.1
aparece en el encabezado
de IP interno. Red Interna Red
Externa

Encabezado Interno de IP (Direcciones

Locales)
Dirección Dirección
Origen Destino Host Destino
Host Local
165.193.3.2
10.0.0.11 165.193.3.2 10.0.0.11
Direcciones Local & Global

NAT
• Dirección Global e0 e1
• - Dirección IP de un host
interno o externo según 10.1.1.1 165.193.3.1
aparece en el encabezado
de IP externo. Red Interna Red
Externa

Encabezado de IP Externo (Direcciones

Globales)
Dirección Dirección
Host Destino
Origen Destino Host Local
165.193.3.2
165.193.1.35 165.193.3.2 10.0.0.11
Direcciones Local & Global
• Inside Local Address– Encabezado IP Interno
dirección interna de un host (Direcciones Locales)
local
Dirección
Dirección Origen
• Outside Local Address – Destino
dirección interna del sistema 10.0.0.11 165.193.3.2
destino Inside Local Outside Local
Address Address
• Inside Global Address –
dirección externa de un host Encabezado IP Externo
local (Direcciones Globales)
• Outside Global Address – Dirección Origen
Dirección
dirección externa del sistema Destino

destino 165.193.1.35 165.193.3.2

Inside Global Outside Global

Address Address
Traducción del Encabezado de IP

•Inside Local Encabezado IP Interno

(Direcciones Locales)
Direcciones que se Dirección Origen
Dirección

volvieron Inside Global Destino

10.0.0.11 165.193.3.2
Addresses Inside Local Outside Local
Address Address
NAT
•Outside Local Encabezado IP Externo
(Direcciones Globales)
Direcciones que se Dirección Origen
Dirección
Destino
volvieron Outside 165.193.1.35 165.193.3.2
Global Addresses Inside Global Outside Global
Address Address
Network Address Translation

Internal Network
Dirección
Dirección Origen
Destino
10.1.1.11 165.193.3.2
Inside Local
Outside Local
Address
Address

Network Address Translation

External Network
Dirección
Dirección Origen
Destino
 
165.193.1.35
Inside Global 165.193.3.2
Outside Global
Address
Address
NAT Dinámico
NAT Dinámico
• NAT puede ser dinámico o estático.
• NAT Dinámico traduce direcciones inside usando un
conjunto (pool) de direcciones globales.
• Cada dirección inside local es dinámicamente asignada a
una dirección inside global de un conjunto (pool) de
direcciones definido administrativamente.
• NAT Dinámico habilita los hosts en una red privada para
acceder a internet traduciendo las direcciones privadas
en direcciones públicas.
Tráfico de Entrada
• Conforme un paquete de entrada
ingresa en el router de NAT destinado
para un host en la red interna, la Inside Local Inside Global
dirección global es referenciada en la IP Address IP Address
tabla de NAT y reemplazada con la
dirección inside local. 10.0.0.110 204.168.1.33
10.0.0.111 204.168.1.34
10.0.0.112 204.168.1.35

DA DA

10.1.1.112 204.168.1.35

Local Address Global Address

Configure NAT Dinámico
1. Defina un conjunto de direcciones globales para ser
asignadas como se necesite.
router(config)# ip nat pool pool-name
start-ip end-ip netmask netmask
1. Defina una lista de acceso estándar para identificar cuáles
hosts serán traducidos.
• router(config)# access-list number permit
network mask
2. Establezca traducción de origen dinámica, identificando la
lista de acceso definida en el paso previo.
• router(config)# ip nat inside source list
access-list-num pool pool-name
3. Identifique interfaces como inside u outside con respecto a
NAT.
• router(config-if)# ip nat {inside|outside}
Ejemplo de Configuración de
NAT Dinámico
Confirmando la Operación de
NAT
 Troubleshooting NAT

outgoing
incoming
NAT Estático
NAT Estático
• Permite a los dispositivos con
una dirección privada ser vistos
en una red pública.
• Las traducciones estáticas son
ingresadas directamente en la
configuración y están siempre
en la tabla de traducciones.
• Típicamente usado para
servidores de web. SA SA
10.1.1.11 192.168.1.35

Internet

Inside Host
10.1.1.11
Configure NAT Estático

1. Establezca traducción estática entre direcciones de

inside y outside.
• router(config)# ip nat inside source static
local-ip global-ip
2. Identifique interfaces como inside u outside con
respecto a NAT.
• router(config-if)# ip nat {inside|outside}
 Configurando NAT Estático
e0 s0

SA SA
10.1.1.11 192.168.1.35

Internet

Inside Host
10.1.1.11
router(config)# ip nat inside source static 10.1.1.11 192.168.1.35
router(config)#interface e0
rotuer(config-if)#ip nat inside
router(config)#interface s0
rotuer(config-if)#ip nat outside
Port Address
Translation
Port Address Translation (PAT)

192.168.1.33:1743
• PAT es el proceso de asociar
dinámicamente múltiples
192.168.1.33:4376
direcciones inside a una o más
direcciones globalmente
enrutables.
192.168.1.33:1103
• Utiliza números de puerto
para diferenciar entre los
hosts de inside.
PAT
• Algunas veces llamado
overloading.

10.0.0.111:1103 10.0.0.110:4376

10
.0.
0.1
12
:17
43
 Características de PAT

PAT usa números de puerto origen únicos en la dirección IP

inside global para distinguir entre traducciones.
El router PAT mantiene la cuenta de las diferentes
conversaciones asociando números de puerto TCP y UDP en
la tabla de NAT.
Configurando PAT (Overloading
NAT)

• Configure un pool de NAT. (U overload una

interface.)
• Genere una lista de acceso para determinar
cuál dirección deberá ser traducida.
• Asigne esta lista de acceso al pool de NAT y
configúrelo para overload.
• Asigne inside y outside a las interfaces.
Overloading NAT

1. Configure el pool de NAT

• Rango de direcciones:
• ip nat pool bigpool 192.168.1.33 192.168.1.57 netmask
255.255.255.224
• Dirección simple:
• ip nat pool smallpool 192.168.1.33 192.168.1.33
netmask 255.255.255.224
2. Crea una lista de acceso estándar para identificar cuál dirección
deberá ser traducida
• access-list 24 permit 10.0.0.0 0.255.255.255
3. Asigne esta lista de acceso para el pool de NAT y configúrelo para
overload
• ip nat inside source list 24 pool bigpool overload
4. Asigne inside y outside a las interfaces
• router(config-if)# ip nat {inside|outside}
Configurando PAT

Interface is
used in place
of a NAT pool.
Despliega traducciones activas

Verificando PAT
router#sh ip nat tran
Pro Inside global Inside local Outside local Outside global
tcp 12.215.221.161:58713 192.168.1.17:58713 12.224.201.213:33143 12.224.201.213:33143
tcp 12.215.221.161:58731 192.168.1.17:58731 134.215.240.122:6348 134.215.240.122:6348
tcp 12.215.221.161:58539 192.168.1.17:58539 198.107.1.170:6346 198.107.1.170:6346

Despliega traducciones estáticas

router#sh ip nat stat
Total active translations: 922 (0 static, 922 dynamic; 922 extended)
Outside interfaces:
Ethernet1
Inside interfaces:
Ethernet0
Hits: 91218894 Misses: 358943
Expired translations: 355669
Dynamic mappings:
-- Inside Source
access-list 2 interface Ethernet1 refcount 922
Aspectos de NAT
Resumen
• Direcciones privadas son para uso interno, privado y no pueden ser
enrutadas por un router a Internet público.
• NAT altera el encabezado de IP de un paquete así que la dirección
destino, la dirección origen, o ambas direcciones son reemplazadas con
diferentes direcciones.
• PAT usa números de puerto origen únicos en la dirección IP inside global
para distinguir entre traducciones.
• Las traducciones de NAT pueden ocurrir dinámica o estáticamente y
pueden ser utilizadas para una variedad de situaciones.
• El proceso para verificar la configuración de NAT y PAT incluye los
comandos clear y show.
 A S
A CI
GR