Cómo configurar los 4 tipos de NAT en routers Cisco:
- Dynamic NAT
- Static NAT
- PAT (NAT overload)
- PAT con múltiples IP (Dynamic NAT con overload)
Al final de la diapositiva sale un video de cómo configurar esto.
2. 2Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
NAT = Network Address Translation (Traducción de
Direcciones de Red)
PAT = Port Address Translation (Traducción de
Direcciones de Puertos)
IMPLEMENTACIÓN DE NAT
3. 3Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Direcciones IP Públicas y Privadas
Según el RFC (Request For Comments) 1918, las direcciones IP se
clasifican en Públicas y Privadas.
4. 4Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Direcciones IP Públicas y Privadas
Bloques de IP privadas:
•10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
•172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
•192.168.0.0/16 (192.168.0.0 – 192.168.255.255)
Cualquier IP que no esté en ese rango se considera PÚBLICA
5. 5Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
¿Las siguientes IP son públicas o privadas?
a) 11.105.33.102
b)192.168.33.25
c) 200.33.145.1
d)192.169.1.1
e) 172.17.3.207
6. 6Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
¿Las siguientes IP son públicas o privadas?
a) 11.105.33.102 (Pública)
b)192.168.33.25 (Privada)
c) 200.33.145.1 (Pública)
d)192.169.1.1 (Pública)
e) 172.17.3.207 (Privada)
LAS IP PRIVADAS NO SON ENRUTABLES EN INTERNET
7. 7Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
8. 8Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Existen varios tipos de NAT:
-Dynamic NAT
-Static NAT (1:1)
-PAT o NAT con Sobrecarga
-PAT o NAT con Sobrecarga sobre múltiples IP
-NAT-T
-Source NAT
-Entre otros
9. 9Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
En esta presentación solo veremos 4
tipos:
-NAT Dinámico
-NAT Estático
-PAT (Overload)
-PAT (Overload) con múltiples IP públicas
10. 10Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 1: NAT Dinámico
NAT DINÁMICO
En el NAT dinámico, las direcciones IP internas de cada cliente de una
LAN se asocian dinámicamente con cada IP externa (pública).
11. 11Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 1: NAT Dinámico
Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask 255.255.255.248
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool RANGOPUBLICO
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1
Router(config-if)# ip nat outside
12. 12Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 1: NAT Dinámico
VENTAJAS:
-Permite “esconder” las direcciones internas de una LAN asociándolas con
IP públicas.
-Asocia dinámicamente IP públicas a IP privadas, permitiendo mantener
un direccionamiento privado dentro de la LAN
DESVENTAJAS:
-Por cada IP privada, debe existir una IP pública
-Solamente se pueden “natear” tantas IP privadas como IP públicas se
tengan
13. 13Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 2: NAT Estático
NAT ESTÁTICO
En el NAT estático es posible asignar estáticamente una dirección IP
pública única a una dirección IP privada, asegurando disponibilidad y
acceso desde Internet hacia un servidor ubicado en la LAN.
Este método puede convivir con otros mecanismos de NAT
14. 14Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 2: NAT Estático
Router(config)# ip nat inside source static 192.168.0.10 200.1.1.5
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1
Router(config-if)# ip nat outside
15. 15Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 3: NAT con Sobrecarga (PAT)
NAT CON SOBRECARGA (PAT)
Es quizá el tipo de NAT más ampliamente utilizado hoy en las
organizaciones y consiste en permitir que múltiples IP privadas se
conecten a Internet utilizando una sola IP (sobrecargándola). Aquí la
traducción se hace en base a puertos.
16. 16Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 3: NAT con Sobrecarga (PAT)
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface f0/1 overload
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1
Router(config-if)# ip nat outside
17. 17Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 3: NAT con Sobrecarga (PAT)
VENTAJAS:
-Se pueden conectar N estaciones privadas a Internet utilizando
solamente una IP pública.
- Es posible ocultar la cantidad real de direcciones privadas dificultando
la tarea de un posible atacante.
-DESVENTAJAS:
- Cada conexión de una estación de la LAN interna hacia Internet utiliza
un puerto de la IP pública, permitiendo un máximo de 216 conexiones
como máximo (65.536)
- Inaplicable en redes de gran tamaño (+ de 500 hosts)
18. 18Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 4: NAT con Sobrecarga y
múltiples IP públicas
NAT CON SOBRECARGA Y MÚLTIPLES IP
PÚBLICAS
Este tipo de NAT es una variación del PAT tradicional pero se agrega un
grupo de IP públicas para hacer la traducción. Esto permite tener más de
65536 conexiones simultáneas (que es lo que permite una sola IP).
19. 19Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 4: NAT con Sobrecarga y
múltiples IP públicas
Router(config)# ip nat pool RANGO_PAT_PUBLICO 200.1.1.1 200.1.1.4 netmask 255.255.255.248
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool RANGO_PAT_PUBLICO overload
Router(config)# interface FastEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit
Router(config)# interface FastEthernet0/1
Router(config-if)# ip nat outside
20. 20Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT CASO 4: NAT con Sobrecarga y
múltiples IP públicas
VENTAJAS:
-Permite la utilización de un rango de IP públicas y balancear
dinámicamente la carga de los puertos hacia Internet
- Ideal para organizaciones con un gran número de hosts que deben
conectarse simultáneamente hacia Internet. Consideremos un
escenario donde hay 1000 hosts en la LAN privada y 14 o 30 IP
públicas.
DESVENTAJAS:
-Para acceder a un host de la LAN interna hay que hacer un
redireccionamiento de puertos (RDR), limitando algunas
características de extremo a extremo
21. 21Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
COMANDOS ÚTILES:
1. # show ip nat translations
2. # show ip nat static
3. # debug ip nat
4. # clear ip nat translations *
22. 22Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Inside, Outside, Local, Global
R1# show ip nat translations
Pro Inside global Inside local Outside local Outside global
Tcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333
23. 23Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Inside, Outside, Local, Global
Cuando quieras saber si una IP corresponde a
Inside local, Inside Global, Outside Local u
Outside Global, recuerda lo siguiente:
1. Inside u Outside se refiere a la ubicación del dispositivo que
generó el paquete
2. Local o Global se refiere a la ubicación actual del paquete
24. 24Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Inside, Outside, Local, Global
El PC 192.168.0.3 se conecta mediante la IP pública 200.1.1.1 hacia Internet
(simulado con PC1 con 200.1.1.2)
25. 25Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Inside, Outside, Local, Global
INSIDE
LOCAL
INSIDE
GLOBAL
OUTSIDE
LOCAL
OUTSIDE
GLOBAL
26. 26Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Inside, Outside, Local, Global
IP ORIGEN IP DESTINO
192.168.0.3 200.1.1.2
D: INSIDE D: OUTSIDE
P: LOCAL P: LOCAL
D: Ubicación del Dispositivo
P: Ubicación del Paquete
27. 27Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Inside, Outside, Local, Global
IP ORIGEN IP DESTINO
200.1.1.1 200.1.1.2D: Ubicación del Dispositivo
P: Ubicación del Paquete
D: INSIDE (*) D: OUTSIDE
P: GLOBAL P: GLOBAL
(*) Se refiere a la ubicación del PC0, no del R1
28. 28Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Inside, Outside, Local, Global
R1# show ip nat translations
Pro Inside global Inside local Outside local Outside global
Tcp 200.1.1.1:3333 192.168.0.3:6500 200.1.1.1:3333 200.1.1.1.:3333
29. 29Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
INSIDE LOCAL: Dirección IP de la red LAN interna (Privada, del
RFC 1918)
INSIDE GLOBAL: Dirección IP Pública del Router
OUTSIDE LOCAL: Dirección IP de una máquina externa según
como es vista desde la LAN, no siempre es una IP pública
OUTSIDE GLOBAL: Dirección IP Pública del servidor remoto
30. 30Por Paulo Colomés - Redes Cisco.NET - www.redescisco.net - 2010
IMPLEMENTACIÓN DE NAT
Q&A