Implementación de NAT/PAT en routers Cisco

Por Paulo Colomés
www.redescisco.net

2Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
NAT = Network Address Translation (Traducción de
Direcciones de Red)
PAT = Port Address Translation (Traducción de
Direcciones de Puertos)
IMPLEMENTACIÓN DE NAT

Direcciones IP Públicas y Privadas
Según el RFC (Request For Comments) 1918, las direcciones IP se
clasifican en Públicas y Privadas.

Direcciones IP Públicas y Privadas
Bloques de IP privadas:
•10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
•172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
•192.168.0.0/16 (192.168.0.0 – 192.168.255.255)
Cualquier IP que no esté en ese rango se considera PÚBLICA

¿Las siguientes IP son públicas o privadas?
a) 11.105.33.102
b)192.168.33.25
c) 200.33.145.1
d)192.169.1.1
e) 172.17.3.207

¿Las siguientes IP son públicas o privadas?
a) 11.105.33.102 (Pública)
b)192.168.33.25 (Privada)
c) 200.33.145.1 (Pública)
d)192.169.1.1 (Pública)
e) 172.17.3.207 (Privada)
LAS IP PRIVADAS NO SON ENRUTABLES EN INTERNET

Existen varios tipos de NAT:
-Dynamic NAT
-Static NAT (1:1)
-PAT o NAT con Sobrecarga
-PAT o NAT con Sobrecarga sobre múltiples IP
-NAT-T
-Source NAT
-Entre otros

En esta presentación solo veremos 4
tipos:
-NAT Dinámico
-NAT Estático
-PAT (Overload)
-PAT (Overload) con múltiples IP públicas

IMPLEMENTACIÓN DE NAT CASO 1: NAT Dinámico
NAT DINÁMICO
En el NAT dinámico, las direcciones IP internas de cada cliente de una
LAN se asocian dinámicamente con cada IP externa (pública).

Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask 255.255.255.248
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool RANGOPUBLICO
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config-if)# ip nat outside

VENTAJAS:
-Permite “esconder” las direcciones internas de una LAN asociándolas con
IP públicas.
-Asocia dinámicamente IP públicas a IP privadas, permitiendo mantener
un direccionamiento privado dentro de la LAN
DESVENTAJAS:
-Por cada IP privada, debe existir una IP pública
-Solamente se pueden “natear” tantas IP privadas como IP públicas se
tengan

IMPLEMENTACIÓN DE NAT CASO 2: NAT Estático
NAT ESTÁTICO
En el NAT estático es posible asignar estáticamente una dirección IP
pública única a una dirección IP privada, asegurando disponibilidad y
acceso desde Internet hacia un servidor ubicado en la LAN.
Este método puede convivir con otros mecanismos de NAT

IMPLEMENTACIÓN DE NAT CASO 2: NAT Estático
Router(config)# ip nat inside source static 192.168.0.10 200.1.1.5

IMPLEMENTACIÓN DE NAT CASO 3: NAT con Sobrecarga (PAT)
NAT CON SOBRECARGA (PAT)
Es quizá el tipo de NAT más ampliamente utilizado hoy en las
organizaciones y consiste en permitir que múltiples IP privadas se
conecten a Internet utilizando una sola IP (sobrecargándola). Aquí la
traducción se hace en base a puertos.

Router(config)# ip nat inside source list 1 interface f0/1 overload

VENTAJAS:
-Se pueden conectar N estaciones privadas a Internet utilizando
solamente una IP pública.
- Es posible ocultar la cantidad real de direcciones privadas dificultando
la tarea de un posible atacante.
-DESVENTAJAS:
- Cada conexión de una estación de la LAN interna hacia Internet utiliza
un puerto de la IP pública, permitiendo un máximo de 216 conexiones
como máximo (65.536)
- Inaplicable en redes de gran tamaño (+ de 500 hosts)

IMPLEMENTACIÓN DE NAT CASO 4: NAT con Sobrecarga y
múltiples IP públicas
NAT CON SOBRECARGA Y MÚLTIPLES IP
PÚBLICAS
Este tipo de NAT es una variación del PAT tradicional pero se agrega un
grupo de IP públicas para hacer la traducción. Esto permite tener más de
65536 conexiones simultáneas (que es lo que permite una sola IP).

Router(config)# ip nat pool RANGO_PAT_PUBLICO 200.1.1.1 200.1.1.4 netmask 255.255.255.248
Router(config)# ip nat inside source list 1 pool RANGO_PAT_PUBLICO overload

VENTAJAS:
-Permite la utilización de un rango de IP públicas y balancear
dinámicamente la carga de los puertos hacia Internet
- Ideal para organizaciones con un gran número de hosts que deben
conectarse simultáneamente hacia Internet. Consideremos un
escenario donde hay 1000 hosts en la LAN privada y 14 o 30 IP
públicas.
DESVENTAJAS:
-Para acceder a un host de la LAN interna hay que hacer un
redireccionamiento de puertos (RDR), limitando algunas
características de extremo a extremo

COMANDOS ÚTILES:
1. # show ip nat translations
2. # show ip nat static
3. # debug ip nat
4. # clear ip nat translations *

Inside, Outside, Local, Global
R1# show ip nat translations
Pro Inside global Inside local Outside local Outside global
Tcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333

Cuando quieras saber si una IP corresponde a
Inside local, Inside Global, Outside Local u
Outside Global, recuerda lo siguiente:
1. Inside u Outside se refiere a la ubicación del dispositivo que
generó el paquete
2. Local o Global se refiere a la ubicación actual del paquete

El PC 192.168.0.3 se conecta mediante la IP pública 200.1.1.1 hacia Internet
(simulado con PC1 con 200.1.1.2)

INSIDE
LOCAL
INSIDE
GLOBAL
OUTSIDE
LOCAL
OUTSIDE
GLOBAL

IP ORIGEN IP DESTINO
192.168.0.3 200.1.1.2
D: INSIDE D: OUTSIDE
P: LOCAL P: LOCAL
D: Ubicación del Dispositivo
P: Ubicación del Paquete

IP ORIGEN IP DESTINO
200.1.1.1 200.1.1.2D: Ubicación del Dispositivo
P: Ubicación del Paquete
D: INSIDE (*) D: OUTSIDE
P: GLOBAL P: GLOBAL
(*) Se refiere a la ubicación del PC0, no del R1

R1# show ip nat translations
Pro Inside global Inside local Outside local Outside global
Tcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333

INSIDE LOCAL: Dirección IP de la red LAN interna (Privada, del
RFC 1918)
INSIDE GLOBAL: Dirección IP Pública del Router
OUTSIDE LOCAL: Dirección IP de una máquina externa según
como es vista desde la LAN, no siempre es una IP pública
OUTSIDE GLOBAL: Dirección IP Pública del servidor remoto

Q&A

Implementación de NAT/PAT en routers Cisco

Más contenido relacionado

La actualidad más candente (20)

Similar a Implementación de NAT/PAT en routers Cisco (20)

Más de Paulo Colomés (11)

Último (20)

Implementación de NAT/PAT en routers Cisco