Configuración de NAT Dinámica

En esta sección se abarca la configuración, la verificación y el análisis de la NAT dinámica. Se detalla los comandos junto con un ejemplo práctico.

Mientras que la NAT estática proporciona una asignación permanente entre una dirección local interna y una dirección global interna, la NAT dinámica permite la asignación automática de direcciones locales internas a direcciones globales internas. Por lo general, estas direcciones globales internas son direcciones IPv4 públicas. La NAT dinámica utiliza un grupo o un conjunto de direcciones IPv4 públicas para la traducción.

Al igual que la NAT estática, la NAT dinámica requiere que se configuren las interfaces interna y externa que participan en la NAT. Sin embargo, mientras que la NAT estática crea una asignación permanente a una única dirección, la NAT dinámica utiliza un conjunto de direcciones.

La topología de ejemplo que se muestra en la Imagen 1 tiene una red interna que usa direcciones del espacio de direcciones privadas definido en RFC 1918. Hay dos LAN conectadas al router R1: 192.168.10.0/24 y 192.168.11.0/24. El router R2, es decir, el router de frontera, se configuró para NAT dinámica con un conjunto de direcciones IPv4 públicas de 209.165.200.226 a 209.165.200.240.

El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se encuentra disponible para cualquier dispositivo en la red interna según el orden de llegada. Con la NAT dinámica, una única dirección interna se traduce a una única dirección externa. Con este tipo de traducción, debe haber suficientes direcciones en el conjunto para admitir a todos los dispositivos internos que necesiten acceso a la red externa al mismo tiempo. Si se utilizaron todas las direcciones del conjunto, los dispositivos deben esperar que haya una dirección disponible para poder acceder a la red externa.

1. Pasos para configurar NAT dinámicas

A continuación, se muestran los pasos y los comandos utilizados para configurar la NAT dinámica.

• Paso 1: Defina el conjunto de direcciones que se utilizará para la traducción con el comando ip nat pool. Por lo general, este conjunto es un grupo de direcciones públicas. Las direcciones se definen indicando la primera y la última dirección IPv4 del conjunto. Las palabras clave netmask o prefix-length indican qué bits de la dirección pertenecen a la red y cuáles al host en el rango de direcciones.

ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}

• Paso 2: Configure una ACL estándar para identificar (permitir) solo aquellas direcciones que se deben traducir. Una ACL demasiado permisiva puede generar resultados impredecibles. Recuerde que al final de cada ACL hay una instrucción implícita para denegar todo.

access-list número-lista-acceso permit origen [wildcard-origen]

• Paso 3: Conecte la ACL al conjunto. Se utiliza el comando ip nat inside source list acceso-lista-número pool nombre del conjunto para vincular la ACL al conjunto. El router utiliza esta configuración para determinar qué dirección (pool) recibe cada dispositivo (list).

ip nat inside source list número-lista-acceso pool nombre

• Paso 4: Identifique qué interfaces son internas con respecto a NAT; es decir, cualquier interfaz que se conecte a la red interna.

interface tipo número
ip nat inside

• Paso 5: Identifique qué interfaces son externas con respecto a NAT; es decir, cualquier interfaz que se conecte a la red externa.

interface tipo número 
ip nat outside

2. Ejemplo de configuración de NAT dinámicas

En la Imagen 2, se muestra una topología y una configuración de ejemplo. Esta configuración permite la traducción para todos los hosts en la red 192.168.0.0/16, que incluye las LAN 192.168.10.0 y 192.168.11.0, cuando generan tráfico que ingresa por S0/0/0 y sale por S0/1/0. Estos hosts se traducen a una dirección disponible del conjunto en el rango de 209.165.200.226 a 209.165.200.240.

Defina un conjunto de direcciones IPv4 públicas con el nombre de conjunto NAT-POOL1.

R2(config)# <b>ip nat pool NAT-POOL1 209.165.200.226
209.165.200.240 netmask 255.255.255.224

Defina las direcciones que se pueden traducir.

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255

Conecte NAT-POOL1 a la ACL 1.

R2(config)# <b>ip nat inside source list 1 pool NAT-POOL1

Identifique la interfaz serial 0/0/0 como interfaz NAT interna.

R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside

Identifique la interfaz serial 0/1/0 como interfaz NAT externa.

R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside

3. Proceso de NAT dinámica

Con la configuración anterior, en las ilustraciones se muestra el proceso de traducción de NAT dinámica entre dos clientes y el servidor web:

3.1. De adentro hacía fuera

• 1. Los hosts con las direcciones IPv4 de origen (PC1 y PC2) envían paquetes para solicitar la conexión al servidor en la dirección IPv4 pública (209.165.200.254).
• 2. El R2 recibe el primer paquete del host 192.168.10.10. Debido a que este paquete se recibió en una interfaz configurada como interfaz NAT interna, el R2 verifica la configuración NAT para determinar si este paquete debe traducirse. Como la ACL permite este paquete, el R2 lo traduce. El R2 consulta su tabla de NAT. Debido a que no hay entrada de traducción para esta dirección IPv4, R2 determina que la dirección de origen 192.168.10.10 se debe traducir de manera dinámica. El R2 selecciona una dirección global disponible del conjunto de direcciones dinámicas y crea una entrada de traducción, 209.165.200.226. La dirección IPv4 de origen inicial (192.168.10.10) es la dirección local interna, y la dirección traducida es la dirección global interna (209.165.200.226) en la tabla de NAT.

Para el segundo host, 192.168.11.10, el R2 repite el procedimiento, selecciona la siguiente dirección global disponible del conjunto de direcciones dinámicas y crea una segunda entrada de traducción, 209.165.200.227.

• 3. El R2 reemplaza la dirección de origen local interna de la PC1, 192.168.10.10, por la dirección global interna traducida 209.165.200.226 y reenvía el paquete. El mismo proceso se lleva a cabo para el paquete de la PC2 con la dirección traducida para esta computadora (209.165.200.227).

3.2. De fuera hacía adentro

 

• 4. El servidor recibe el paquete de la PC1 y responde con la dirección IPv4 de destino 209.165.200.226. Cuando el servidor recibe el segundo paquete, responde a la PC2 con la dirección IPv4 de destino 209.165.200.227.
• 5a. Cuando el R2 recibe el paquete con la dirección IPv4 de destino 209.165.200.226, realiza una búsqueda en la tabla de NAT. Con la asignación de la tabla, el R2 vuelve a traducir la dirección a la dirección local interna (192.168.10.10) y reenvía el paquete hacia la PC1.
• 5b. Cuando el R2 recibe el paquete con la dirección IPv4 de destino 209.165.200.227, realiza una búsqueda en la tabla de NAT. Con la asignación de la tabla, el R2 vuelve a traducir la dirección a la dirección local interna (192.168.11.10) y reenvía el paquete hacia la PC2.
• 6. La PC1 y la PC2 reciben los paquetes y continúan la conversación. El router lleva a cabo los pasos 2 a 5 para cada paquete. (El paso 6 no aparece en las ilustraciones).

4. Verificación de NAT estática

El resultado del comando show ip nat translations que aparece más abajo, muestra los detalles de las dos asignaciones de NAT anteriores. El comando muestra todas las traducciones estáticas que se configuraron y todas las traducciones dinámicas que se crearon a causa del tráfico.

R2# show ip nat translations 
Pro Inside global    Inside local   Outside local  Outside global 
--- 209.165.200.226  192.168.10.10  ---            --- 
--- 209.165.200.227  192.168.11.10  ---            --- 
R2#
R2# show ip nat translations verbose 
Pro Inside global    Inside local   Outside local  Outside global 
--- 209.165.200.226  192.168.10.10  ---            --- 
    create 00:17:25, use 00:01:54 timeout:86400000, left 
23:58:05, Map-Id(In): 1, 
    flags: 
none, use_count: 0, entry-id: 32, lc_entries: 0 
--- 209.165.200.227  192.168.11.10  ---            --- 
create 00:17:22, use 00:01:51 timeout:86400000, left 
23:58:08, Map-Id(In): 1, 
flags: 
none, use_count: 0, entry-id: 34, lc_entries: 0 
R2#

Si se agrega la palabra clave verbose, se muestra información adicional acerca de cada traducción, incluido el tiempo transcurrido desde que se creó y se utilizó la entrada.

De manera predeterminada, las entradas de traducciones caducan luego de 24 horas, a menos que se hayan reconfigurado los temporizadores con el comando ip nat translation timeout tiempodeespera-segundos en el modo de configuración global.

4.1. Borrar entradas dinámicas

Para borrar entradas dinámicas antes de se exceda el tiempo de espera, utilice el comando clear ip nat translation en modo EXEC con privilegios. Es útil borrar las entradas dinámicas al probar la configuración NAT. Como se muestra en la tabla, este comando se puede utilizar con palabras clave y variables para controlar qué entradas se deben borrar. Se pueden borrar entradas específicas para evitar interrumpir las sesiones activas. Utilice el comando clear ip nat translation * en modo EXEC con privilegios para borrar todas las traducciones de la tabla.

R2# clear ip nat translation * 
R2# show ip nat translations
R2#

Tabla para Despejar traducciones NAT.

Comando	Descripción
clear ip nat translation *	Elimina todas las entradas de traducción dinámica de direcciones de la tabla de traducción NAT.
clear ip nat translation inside ip-global ip-local [outside ip-local ip-global]	Elimina una entrada de traducción dinámica simple que contiene una traducción interna o una traducción interna y una externa.
clear ip nat translation protocolo inside ip-global puerto-global ip-local puerto-local [outside ip-local puerto local ip-global puerto-global]	Elimina una entrada de traducción dinámica extendida.

Nota: solo se borran de la tabla las traducciones dinámicas. Las traducciones estáticas no pueden borrarse de la tabla de traducción.

El comando show ip nat statistics muestra la información sobre la cantidad total de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad de direcciones que se asignaron.

R2# clear ip nat statistics
PC1 and PC2 establish sessions with the server 
R2# show ip nat statistics 
Total active translations: 2 (0 static, 2 dynamic; 0 extended) 
Peak translations: 6, occurred 00:27:07 ago 
Outside interfaces: 
Serial0/0/1 
Inside interfaces: 
Serial0/1/0 
Hits: 24 Misses: 0 
CEF Translated packets: 24, CEF Punted packets: 0 
Expired translations: 4 
Dynamic mappings: 
-- Inside Source 
[Id: 1] access-list 1 pool NAT-POOL1 refcount 2 
pool NAT-POOL1: netmask 255.255.255.224 
start 209.165.200.226 end 209.165.200.240 
type generic, total addresses 15, allocated 2 (13%), misses 0 
Total doors: 0 
Appl doors: 0 
Normal doors: 0 
Queued Packets: 0 
R2#

También puede utilizar el comando show running-config y buscar los comandos de NAT, ACL, interfaz o conjunto con los valores requeridos. Examínelos detenidamente y corrija cualquier error que detecte.