Capitulo 6

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 9

Capitulo 6

¿Qué es NAT?
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas.
Esto se logra al permitir que las redes utilicen direcciones IPv4 privadas internamente y
al proporcionar la traducción a una dirección pública solo cuando sea necesario. NAT
tiene el beneficio percibido de agregar un grado de privacidad y seguridad a una red, ya
que oculta las direcciones IPv4 internas de redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4
públicas válidas. Estas direcciones públicas se conocen como “conjunto de NAT”.
Cuando un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada
traduce la dirección IPv4 interna del dispositivo a una dirección pública del conjunto de
NAT. Para los dispositivos externos, todo el tráfico entrante y saliente de la red parece
tener una dirección IPv4 pública del conjunto de direcciones proporcionado.
En general, los routers NAT funcionan en la frontera de una red de rutas internas. Una
red de código auxiliar es una o más redes con una única conexión a su red vecina, una
entrada y una salida de la red. En el ejemplo de la ilustración, el R2 es un router de
frontera. Visto desde el ISP, el R2 forma una red de rutas internas.
Cuando un dispositivo dentro de la red de rutas internas desea comunicarse con un
dispositivo fuera de su red, el paquete se reenvía al router de frontera. El router de
frontera realiza el proceso de NAT, es decir, traduce la dirección privada interna del
dispositivo a una dirección pública, externa y enrutable.

Terminología de NAT
Según la terminología de NAT, la red interna es el conjunto de redes sujetas a
traducción. La red externa se refiere a todas las otras redes.

Cuando se usa NAT, las direcciones IPv4 tienen diferentes designaciones en función de
si están en la red privada o en la red pública (internet), y si el tráfico es entrante o
saliente.

NAT incluye cuatro tipos de direcciones:

Dirección local interna


Dirección global interna
Dirección local externa
Dirección global externa
Al determinar qué tipo de dirección se utiliza, es importante recordar que la
terminología de NAT siempre se aplica desde la perspectiva del dispositivo con la
dirección traducida:

Dirección interna: - la dirección del dispositivo que NAT está traduciendo.


Dirección externa: - la dirección del dispositivo de destino.
NAT también usa los conceptos de local o global con relación a las direcciones:

Dirección local: -una dirección local es cualquier dirección que aparece en la parte
interna de la red.
Dirección global: - una dirección global es cualquier dirección que aparece en la parte
externa de la red.
Los términos “interna” y “externa” se combinan con los términos “global” y “local”
para hacer referencia a direcciones específicas. El enrutador NAT, R2 en la figura, es el
punto de demarcación entre las redes internas y externas. R2 está configurado con un
grupo de direcciones públicas para asignar a los hosts internos. Consulte la tabla de red
y NAT de la figura para obtener la siguiente explicación de cada uno de los tipos de
direcciones NAT.

Tipos de NAT
NAT estático
Ahora que ha aprendido acerca de NAT y cómo funciona, este tema discutirá las muchas
versiones de NAT que están disponibles para usted.
La NAT estática consiste en una asignación uno a uno entre direcciones locales y
globales. Estas asignaciones son configuradas por el administrador de red y se
mantienen constantes.
En la ilustración, el R2 se configuró con las asignaciones estáticas para las direcciones
locales internas del Svr1, la PC2 y la PC3. Cuando estos dispositivos envían tráfico a
Internet, sus direcciones locales internas se traducen a las direcciones globales internas
configuradas. Para redes externas, estos dispositivos parecen tener direcciones IPv4
públicas.
La NAT estática es particularmente útil para servidores web o dispositivos que deben
tener una dirección coherente a la que se pueda acceder desde Internet, como el servidor
web de una empresa. También es útil para dispositivos que deben ser accesibles por
personal autorizado cuando se encuentra fuera del sitio, pero no por el público en
general en Internet. Por ejemplo, un administrador de red de PC4 puede usar SSH para
obtener acceso a la dirección global interna de Svr1 (209.165.200.226). R2 traduce esta
dirección global interna a la dirección local interna 192.168.10.10 y conecta la sesión a
Svr1.
La NAT estática requiere que haya suficientes direcciones públicas disponibles para
satisfacer la cantidad total de sesiones de usuario simultáneas.

NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el
orden de llegada. Cuando un dispositivo interno solicita acceso a una red externa, la
NAT dinámica asigna una dirección IPv4 pública disponible del conjunto.
En la figura, PC3 ha accedido a Internet utilizando la primera dirección disponible en el
grupo NAT dinámico. Las demás direcciones siguen disponibles para utilizarlas. Al
igual que la NAT estática, la NAT dinámica requiere que haya suficientes direcciones
públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas.

Traducción de la dirección del puerto


La traducción de la dirección del puerto (PAT), también conocida como “NAT con
sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública
o a algunas direcciones. Esto es lo que hacen la mayoría de los enrutadores domésticos.
El ISP asigna una dirección al enrutador, sin embargo, varios miembros del hogar
pueden acceder simultáneamente a Internet. Esta es la forma más común de NAT tanto
para el hogar como para la empresa.
Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que
cada dirección privada también se rastrea con un número de puerto. Cuando un
dispositivo inicia una sesión TCP / IP, genera un valor de puerto de origen TCP o UDP,
o un ID de consulta especialmente asignado para ICMP, para identificar de forma única
la sesión. Cuando el router NAT recibe un paquete del cliente, utiliza su número de
puerto de origen para identificar de forma exclusiva la traducción NAT específica.
PAT garantiza que los dispositivos usen un número de puerto TCP diferente para cada
sesión con un servidor en Internet. Cuando llega una respuesta del servidor, el número
de puerto de origen, que se convierte en el número de puerto de destino en la
devolución, determina a qué dispositivo el router reenvía los paquetes. El proceso de
PAT también valida los paquetes entrantes que han solicitado, lo que agrega un grado de
seguridad a la sesión.
A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555, en
este ejemplo) para identificar el dispositivo en el que se originó el paquete. La dirección
de origen (SA) es la dirección local interna con el número de puerto asignado TCP /
UDP agregado. La dirección de destino (DA) es la dirección global externa con el
número de puerto de servicio agregado. En este ejemplo, el puerto de servicio es 80, que
es HTTP.
Para la dirección de origen, el R2 traduce la dirección local interna a una dirección
global interna con el número de puerto agregado. La dirección de destino no cambia,
pero ahora se conoce como la dirección IPv4 global externa. Cuando el servidor web
responde, se invierte la ruta.

Siguiente puerto disponible


En el ejemplo anterior, los números de puerto del cliente, 1331 y 1555, no se
modificaron en el router con NAT habilitada. Esta no es una situación muy probable,
porque existe una gran posibilidad de que estos números de puerto ya se hayan
conectado a otras sesiones activas.
PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen
original ya está en uso, PAT asigna el primer número de puerto disponible a partir del
comienzo del grupo de puertos apropiado 0-511, 512-1,023 o 1,024-65,535. Cuando no
hay más puertos disponibles y hay más de una dirección externa en el conjunto de
direcciones, PAT avanza a la siguiente dirección para intentar asignar el puerto de origen
inicial. Este proceso continúa hasta que no haya más puertos ni direcciones IPv4
externas disponibles.
En la animación, los anfitriones han elegido el mismo número de puerto de 1444. Esto
resulta aceptable para la dirección interna, porque los hosts tienen direcciones IPv4
privadas únicas. Sin embargo, en el router NAT, se deben cambiar los números de
puerto; de lo contrario, los paquetes de dos hosts distintos saldrían del R2 con la misma
dirección de origen. Este ejemplo supone que los primeros 420 puertos en el rango
1,024 - 65,535 ya están en uso, por lo que se usa el siguiente número de puerto
disponible, 1445.
Cuando los paquetes se devuelven desde fuera de la red, si el número de puerto de
origen fue modificado previamente por el enrutador habilitado para NAT, el número de
puerto de destino volverá a cambiar al número de puerto original por el enrutador
habilitado para NAT.

Paquetes sin segmento de capa 4


¿Qué sucede con los paquetes IPv4 que transportan datos que no son segmentos TCP o
UDP? Estos paquetes no contienen un número de puerto de capa 4. PAT traduce la
mayoría de los protocolos comunes transmitidos mediante IPv4 que no utilizan TCP o
UDP como protocolo de la capa de transporte. El más común de ellos es ICMPv4. PAT
maneja cada uno de estos tipos de protocolos de manera diferente. Por ejemplo, los
mensajes de consulta, las solicitudes de eco y las respuestas de eco de ICMPv4 incluyen
una ID de consulta. ICMPv4 utiliza la ID de consulta para identificar una solicitud de
eco con su respectiva respuesta. La ID de consulta aumenta con cada solicitud de eco
enviada. PAT utiliza la ID de consulta en lugar de un número de puerto de capa 4.

Ventajas de NAT
NAT resuelve nuestro problema de no tener suficientes direcciones IPv4, pero también
puede crear otros problemas. Este tema aborda las ventajas y desventajas de NAT.
NAT proporciona muchos beneficios, incluidos los siguientes:
NAT conserva el esquema de direccionamiento legalmente registrado al permitir la
privatización de las intranets. NAT conserva las direcciones mediante la multiplexación
de aplicaciones en el nivel de puerto. Con la sobrecarga NAT (PAT), los hosts internos
pueden compartir una única dirección IPv4 pública para todas las comunicaciones
externas. En este tipo de configuración, se requieren muy pocas direcciones externas
para admitir varios hosts internos.
NAT aumenta la flexibilidad de las conexiones a la red pública. Se pueden implementar
varios conjuntos y conjuntos de respaldo y de equilibrio de carga para asegurar
conexiones de red pública confiables.
NAT proporciona coherencia a los esquemas de direccionamiento de red interna. Para
cambiar el esquema de direcciones IPv4 públicas en una red que no utiliza direcciones
IPv4 privadas ni NAT, se requiere redireccionar todos los hosts en la red existente. Los
costos de redireccionamiento de hosts pueden ser considerables. NAT permite mantener
el esquema de direcciones IPv4 privadas existente a la vez que facilita el cambio a un
nuevo esquema de direccionamiento público. Esto significa que una organización podría
cambiar los ISP sin necesidad de modificar ninguno de sus clientes internos.
Usando direcciones IPv4 RFC 1918, NAT oculta las direcciones IPv4 de los usuarios y
otros dispositivos. Algunas personas consideran esto una característica de seguridad; sin
embargo, la mayoría de los expertos están de acuerdo en que NAT no proporciona
seguridad. Un firewall con detección de estado es lo que brinda seguridad al perímetro
de la red.

Desventajas de la NAT
NAT tiene inconvenientes. El hecho de que los hosts en Internet parezcan comunicarse
directamente con el dispositivo habilitado para NAT, en lugar de con el host real dentro
de la red privada, crea una serie de problemas.
Una desventaja del uso de NAT se relaciona con el rendimiento de la red, en especial, en
el caso de los protocolos en tiempo real como VoIP. NAT aumenta los retrasos de
reenvió porque la traducción de cada dirección IPv4 dentro de los encabezados de los
paquetes lleva tiempo. Al primer paquete siempre se aplica el switching de procesos por
la ruta más lenta. El router debe revisar todos los paquetes para decidir si necesitan
traducción. El router debe modificar el encabezado de IPv4 y, posiblemente, el
encabezado TCP o UDP. El checksum del encabezado de IPv4, junto con el checksum
de TCP o UDP, se debe volver a calcular cada vez que se realiza una traducción. Si
existe una entrada de caché, el resto de los paquetes atraviesan la ruta de switching
rápido; de lo contrario, también se retrasan.
Esto se vuelve más un problema a medida que los grupos de direcciones IPv4 públicas
para ISP se agotan. Muchos ISP tienen que asignar a los clientes una dirección IPv4
privada en lugar de una dirección IPv4 pública. Esto significa que el router del cliente
traduce el paquete de su dirección IPv4 privada a la dirección IPv4 privada del ISP.
Antes de reenviar el paquete a otro proveedor, el ISP realizará NAT de nuevo,
traduciendo sus direcciones IPv4 privadas a una de sus pocas direcciones IPv4 públicas.
Este proceso de dos capas de traducción NAT se conoce como Carrier Grade NAT
(CGN).
Otra desventaja del uso de NAT es que se pierde el direccionamiento de extremo a
extremo. Esto se conoce como el principio de extremo a extremo. Muchos protocolos y
aplicaciones de Internet dependen del direccionamiento de extremo a extremo desde el
origen hasta el destino. Algunas aplicaciones no funcionan con NAT. Por ejemplo,
algunas aplicaciones de seguridad, como las firmas digitales, fallan porque la dirección
IPv4 de origen cambia antes de llegar a destino. Las aplicaciones que utilizan
direcciones físicas, en lugar de un nombre de dominio calificado, no llegan a los
destinos que se traducen a través del router NAT. En ocasiones, este problema se puede
evitar al implementar las asignaciones de NAT estática.
También se reduce el seguimiento IPv4 de extremo a extremo. El seguimiento de los
paquetes que pasan por varios cambios de dirección a través de varios saltos de NAT se
torna mucho más difícil y, en consecuencia, dificulta la resolución de problemas.
El uso de NAT también genera complicaciones en la utilización de protocolos de
tunneling, como IPsec, porque NAT modifica valores en los encabezados, lo que hace
fallar las comprobaciones de integridad
Los servicios que requieren que se inicie una conexión TCP desde la red externa, o
“protocolos sin estado”, como los servicios que utilizan UDP, pueden interrumpirse. A
menos que el router NAT esté configurado para admitir dichos protocolos, los paquetes
entrantes no pueden llegar a su destino. Algunos protocolos pueden acomodar una
instancia de NAT entre los hosts participantes (FTP en modo pasivo, por ejemplo), pero
fallan cuando NAT separa ambos sistemas de Internet.

NAT estático
Escenario NAT estático
En este tema, aprenderá a configurar y verificar la NAT estática. Incluye una actividad
Packet Tracer para poner a prueba tus habilidades y conocimientos. La NAT estática es
una asignación uno a uno entre una dirección interna y una dirección externa. La NAT
estática permite que los dispositivos externos inicien conexiones a los dispositivos
internos mediante la dirección pública asignada de forma estática. Por ejemplo, se puede
asignar una dirección global interna específica a un servidor web interno de modo que
se pueda acceder a este desde redes externas.
La figura muestra una red interna que contiene un servidor web con una dirección IPv4
privada. El enrutador R2 está configurado con NAT estática para permitir que los
dispositivos en la red externa (Internet) accedan al servidor web. El cliente en la red
externa accede al servidor web mediante una dirección IPv4 pública. La NAT estática
traduce la dirección IPv4 pública a la dirección IPv4 privada.
Configurar la NAT estática
Hay dos tareas básicas al configurar traducciones NAT estáticas:
Paso 1. El primer paso consiste en crear una asignación entre la dirección local interna y
las direcciones globales internas. Por ejemplo, la dirección local interna 192.168.10.254
y la dirección global interna 209.165.201.5 en la figura están configuradas como una
traducción NAT estática.
Paso 2. Una vez configurada la asignación, las interfaces que participan en la traducción
se configuran como interna o externa con respecto a NAT. En el ejemplo, la interfaz R2
Serial 0/1/0 es una interfaz interna y la Serie 0/1/1 es una interfaz externa.
Con esta configuración, los paquetes que llegan a la interfaz interna de R2 (Serie 0/1/0)
desde la dirección IPv4 local interna configurada (192.168.10.254) se traducen y luego
se reenvían hacia la red externa. Los paquetes que llegan a la interfaz externa de R2
(Serie 0/1/1), que se dirigen a la dirección IPv4 global interna configurada
(209.165.201.5), se traducen a la dirección local interna (192.168.10.254) y luego se
envían a dentro de la red.
Analizar NAT estático
Con la configuración anterior, en la ilustración se muestra el proceso de traducción de
NAT estática entre el cliente y el servidor web. Por lo general, las traducciones estáticas
se usan cuando los clientes de la red externa (internet) necesitan comunicarse con los
servidores de la red interna (interna).
El cliente desea establecer una conexión al servidor web. El cliente envía un paquete al
servidor web con la dirección IPv4 pública de destino 209.165.201.5. Esta es la
dirección global interna del servidor web.
El primer paquete que recibe del cliente en su interfaz NAT externa ocasiona que el R2
revise su tabla de NAT. La dirección IPv4 de destino de 209.165.201.5 se encuentra en
la tabla NAT y se traduce a 192.168.10.254.
El R2 reemplaza la dirección global interna 209.165.201.5 por la dirección local interna
192.168.10.254. Luego, el R2 reenvía el paquete hacia el servidor web.
El servidor web recibe el paquete y responde al cliente utilizando la dirección local
interna, 192.168.10.254 como la dirección de origen del paquete de respuesta.
(a) R2 recibe el paquete del servidor web en su interfaz interna NAT con la dirección de
origen de la dirección local interna del servidor web, 192.168.10.254.
(b) R2 verifica la tabla NAT para una traducción de la dirección local interna. La
dirección se encuentra en esa tabla. R2 traduce la dirección de origen 192.168.10.254 a
la dirección global interna de 209.165.201.5 y reenvía el paquete hacia el cliente.
(No se muestra) El cliente recibe el paquete y continúa la conversación. El router NAT
lleva un cabo los pasos 2 a 5b para cada paquete.
Verificar NAT estático
Para verificar el funcionamiento de NAT, ejecute el show ip nat translations comando.
Este comando muestra las traducciones NAT activas. Debido a que el ejemplo es una
configuración NAT estática, siempre figura una traducción en la tabla de NAT,
independientemente de que haya comunicaciones activas.
Otro comando útil es show ip nat statistics, el que muestra información sobre el número
total de traducciones activas, los parámetros de configuración de NAT, el número de
direcciones en el grupo y el número de direcciones que se han asignado.
Para verificar que la traducción NAT está funcionando, es mejor borrar las estadísticas
de cualquier traducción anterior utilizando el clear ip nat statistics comando antes de
realizar la prueba.
Después de que el cliente establece una sesión con el servidor web, show ip nat
statisticsmuestra un aumento de cuatro hits en la interfaz interna (Serial0 / 1/0). De este
modo, se verifica que se lleva a cabo la traducción de NAT estática en el R2.

NAT dinámica
Escenario NAT dinámico
En este tema, aprenderá cómo configurar y verificar NAT dinámico. Incluye una
actividad Packet Tracer para poner a prueba tus habilidades y conocimientos. Aunque la
NAT estática proporciona una asignación permanente entre una dirección local interna y
una dirección global interna, la NAT dinámica asigna automáticamente direcciones
locales internas a direcciones globales internas. Por lo general, estas direcciones
globales internas son direcciones IPv4 públicas. La NAT dinámica, como la NAT
estática, requiere la configuración de las interfaces internas y externas que participan en
NAT con los comandos de configuración de la interfaz ip nat inside e ip nat outside . Sin
embargo, mientras que la NAT estática crea una asignación permanente a una única
dirección, la NAT dinámica utiliza un conjunto de direcciones.
La topología de ejemplo que se muestra en la ilustración tiene una red interna que usa
direcciones del espacio de direcciones privadas definido en RFC 1918. Hay dos LAN
conectadas al router R1: 192.168.10.0/24 y 192.168.11.0/24. El router R2, es decir, el
router de frontera, se configuró para NAT dinámica con un conjunto de direcciones IPv4
públicas de 209.165.200.226 a 209.165.200.240.
El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se
encuentra disponible para cualquier dispositivo en la red interna según el orden de
llegada. Con la NAT dinámica, una única dirección interna se traduce a una única
dirección externa. Con este tipo de traducción, debe haber suficientes direcciones en el
grupo para acomodar todos los dispositivos internos que necesitan acceso concurrente a
la red externa. Si todas las direcciones del grupo están en uso, un dispositivo debe
esperar una dirección disponible antes de poder acceder a la red externa.

PAT
Escenario PAT
En este tema, aprenderá a configurar y verificar PAT. Incluye una actividad Packet
Tracer para poner a prueba tus habilidades y conocimientos. Existen dos formas de
configurar PAT, según cómo el ISP asigna las direcciones IPv4 públicas. En primera
instancia, el ISP asigna una única dirección IPv4 pública que se requiere para que la
organización se conecte al ISP y, en la otra, asigna más de una dirección IPv4 pública a
la organización
Configurar PAT para usar una única dirección IPv4
Para configurar PAT para que utilice una única dirección IPv4, simplemente agregue la
palabra clave overload al ip nat inside source comando. El resto de la configuración es
similar a la configuración NAT estática y dinámica, excepto que con PAT, varios hosts
pueden usar la misma dirección IPv4 pública para acceder a Internet.
En el ejemplo, todos los hosts de la red 192.168.0.0/16 (coincidencia ACL 1) que envían
tráfico a través del enrutador R2 a Internet se traducirán a la dirección IPv4
209.165.200.225 (dirección IPv4 de la interfaz S0 / 1/1). Los flujos de tráfico se
identificarán mediante números de puerto en la tabla NAT porque la palabra overload
clave está configurada.

NAT64
¿NAT para IPv6?
Debido a que muchas redes utilizan IPv4 e IPv6, es necesario que exista una forma de
utilizar IPv6 con NAT. En este tema se explica cómo se puede integrar IPv6 con NAT.
Con una dirección de 128 bits, IPv6 proporciona 340 sextillones de direcciones. Por lo
tanto, el espacio de direcciones no es un problema. IPv6 se desarrolló con la intención
de hacer innecesario NAT para IPv4 con traducción entre direcciones IPv4 públicas y
privadas. Sin embargo, IPv6 sí incluye su propio espacio de direcciones privadas IPv6,
direcciones locales únicas (ULA).
Las direcciones IPv6 locales únicas (ULA) se asemejan a las direcciones privadas en
IPv4 definidas en RFC 1918, pero con un propósito distinto. Las direcciones ULA están
destinadas únicamente a las comunicaciones locales dentro de un sitio. Las direcciones
ULA no están destinadas a proporcionar espacio de direcciones IPv6 adicional ni a
proporcionar un nivel de seguridad.
IPv6 proporciona la traducción de protocolos entre IPv4 e IPv6 conocida como NAT64.

También podría gustarte