Configuración de la NAT

Se explica cómo configurar la NAT estática, la NAT dinámica y PAT mediante la CLI. También a configurar el reenvío de puertos mediante y describir NAT64.

¡Bienvenido a CCNA desde Cero!: Este tema forma parte del Capítulo 5 del curso de Cisco CCNA 4, para un mejor seguimiento del curso puede ir a la sección CCNA 4 para guiarse del índice.

1. Configuración de NAT estática

La NAT estática es una asignación uno a uno entre una dirección interna y una dirección externa. Permite que los dispositivos externos inicien conexiones a los dispositivos internos mediante la dirección pública asignada de forma estática. Por ejemplo, se puede asignar una dirección global interna específica a un servidor web interno de modo que se pueda acceder a este desde redes externas.

Topología de NAT estática

Imagen 1: Topología de NAT estática

En la Imagen 1, se muestra una red interna que contiene un servidor web con una dirección IPv4 privada. El router R2 se configuró con NAT estática para permitir que los dispositivos en la red externa (Internet) accedan al servidor web. El cliente en la red externa accede al servidor web mediante una dirección IPv4 pública. La NAT estática traduce la dirección IPv4 pública a la dirección IPv4 privada.

Existen dos pasos básicos para configurar las traducciones NAT estáticas.

  • Paso 1. Consiste en crear una asignación entre la dirección local interna y las direcciones globales internas. Por ejemplo, la dirección local interna 192.168.10.254 y la dirección global interna 209.165.201.5 se configuraron como traducción NAT estática.
  • Paso 2. Una vez configurada la asignación, las interfaces que participan en la traducción se configuran como interna o externa con respecto a NAT. En el ejemplo, la interfaz Serial 0/0/0 del R2 es una interfaz interna, y la interfaz Serial 0/1/0 es una interfaz externa.

Los paquetes que llegan hasta la interfaz interna del R2 (Serial 0/0/0) desde la dirección IPv4 local interna configurada (192.168.10.254) se traducen y, luego, se reenvían hacia la red externa. Los paquetes que llegan a la interfaz externa del R2 (Serial 0/1/0), que están dirigidos a la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la dirección local interna (192.168.10.254) y, luego, se reenvían a la red interna.

1.1. Comandos para configurar NAT estática

En la siguiente tabla, se describen los comandos necesarios para configurar la NAT estática.

Tabla de Comandos para configurar NAT estática.
AcciónComando
Se establece la traducción estática entre una dirección local interna y una dirección global interna.Router(config)# ip nat inside source static local-ip global-ip
Especificar la interfaz interna.Router(config)# interface number type
Marque la interfaz como conectada al interior.Router(config-if)# ip nat inside
Salga del modo de configuración de interfaz.Router(config-if)# exit
Especificar la interfaz externa.Router(config)# interface number type
Marque la interfaz como conectada al exterior.Router(config-if)# ip nat outside

En la Imagen 2, se muestran los comandos necesarios en el R2 para crear una asignación de NAT estática al servidor web en la topología de ejemplo.

Configuración NAT estática de ejemplo

Imagen 2: Configuración NAT estática de ejemplo

Con la configuración que se muestra, el R2 traduce los paquetes del servidor web con la dirección 192.168.10.254 a la dirección IPv4 pública 209.165.201.5. El cliente de Internet dirige solicitudes web a la dirección IPv4 pública 209.165.201.5. El R2 reenvía ese tráfico al servidor web en 192.168.10.254.

1.2. Verificación de NAT estática

El comando show ip nat translations es útil para verificar el funcionamiento de NAT. Este comando muestra las traducciones NAT activas. A diferencia de las traducciones dinámicas, las traducciones estáticas siempre figuran en la tabla de NAT.

Verificación de las traducciones de NAT estática

Imagen 3: se muestra el resultado con el ejemplo de configuración anterior

Debido a que el ejemplo es una configuración NAT estática, siempre figura una traducción en la tabla de NAT, independientemente de que haya comunicaciones activas. Si se emite el comando durante una sesión activa, el resultado también indica la dirección del dispositivo externo.

Otro comando útil es show ip nat statistics. Este comando muestra información sobre la cantidad total de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad de direcciones que se asignaron.

Comando show ip nat statistics

Imagen 4: Comando show ip nat statistics

Para verificar que la traducción NAT funcione, es conveniente borrar las estadísticas de todas las traducciones anteriores con el comando clear ip nat statistics antes de realizar la prueba.


Antes de cualquier comunicación con el servidor web, el comando show ip nat statistics no muestra ningún acierto actual. Una vez que el cliente establece una sesión con el servidor web, el comando show ip nat statistics muestra cinco aciertos. De este modo, se verifica que se lleva a cabo la traducción de NAT estática en el R2.

2. Configuración de NAT dinámica

La topología de ejemplo que se muestra en la ilustración tiene una red interna que usa direcciones del espacio de direcciones privadas definido en RFC 1918. Hay dos LAN conectadas al router R1: 192.168.10.0/24 y 192.168.11.0/24. El router R2, es decir, el router de frontera, se configuró para NAT dinámica con un conjunto de direcciones IPv4 públicas de 209.165.200.226 a 209.165.200.240.

Topología NAT Dinámica

Imagen 5: Topología NAT Dinámica

El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se encuentra disponible para cualquier dispositivo en la red interna según el orden de llegada. Con la NAT dinámica, una única dirección interna se traduce a una única dirección externa.

Con este tipo de traducción, debe haber suficientes direcciones en el conjunto para admitir a todos los dispositivos internos que necesiten acceso a la red externa al mismo tiempo. Si se utilizaron todas las direcciones del conjunto, los dispositivos deben esperar que haya una dirección disponible para poder acceder a la red externa.

2.1. Comandos para configurar NAT dinámica

En la figura 1, se muestran los pasos y los comandos utilizados para configurar la NAT dinámica.

Tabla de Comandos para configurar NAT dinámica.
AcciónComando
Definir el conjunto de direcciones globales que se debe usar para la traducción.ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
Configurar una lista de acceso estándar que permita las direcciones que se deben traducir.access-list access-list-number permit source [source-wildcard]
Especificar la lista de acceso y el conjunto que se definieron en los pasos anteriores para establecer la traducción dinámica de origen.ip nat inside source list access-list-number pool name
Identificar la interfaz interna.interface type number
ip nat inside
Identificar la interfaz externa.interface type number
ip nat outside

A continuación se muestra la configuración de ejemplo (ver Imagen 6).

R2(config)# ip nat pool NAT-POOL1 209.165.200.226
209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL1
R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside
R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside

Esta configuración permite la traducción para todos los hosts en la red 192.168.0.0/16, que incluye las LAN 192.168.10.0 y 192.168.11.0, cuando generan tráfico que ingresa por S0/0/0 y sale por S0/1/0. Estos hosts se traducen a una dirección disponible del conjunto en el rango de 209.165.200.226 a 209.165.200.240.

2.2. Verificación de NAT dinámica

El resultado del comando show ip nat translations muestra los detalles de las dos asignaciones de NAT anteriores. El comando muestra todas las traducciones estáticas que se configuraron y todas las traducciones dinámicas que se crearon a causa del tráfico.

Comando show ip nat translations

Imagen 6: Comando show ip nat translations

Si se agrega la palabra clave verbose, se muestra información adicional acerca de cada traducción, incluido el tiempo transcurrido desde que se creó y se utilizó la entrada.

De manera predeterminada, a las entradas de traducción se les agota el tiempo de espera después de 24 horas, a menos que se vuelvan a configurar los temporizadores con el comando ip nat translation timeout timeout-seconds en el modo de configuración global.

Comando para borrar entradas dinámicas

Para borrar las entradas dinámicas antes de que se agote el tiempo de espera, utilice el comando clear ip nat translation en el modo de configuración global. Es útil borrar las entradas dinámicas al probar la configuración NAT.

Como se muestra en la tabla, este comando se puede utilizar con palabras clave y variables para controlar qué entradas se deben borrar.

Tabla de Comandos para Despejar traducciones NAT.
DescripciónComando
Elimina todas las entradas de traducción dinámica de direcciones de la tabla de traducción NAT.clear ip nat translation *
Elimina una entrada de traducción dinámica simple que contiene una traducción interna o una traducción interna y una externa.clear ip nat translation inside global-ip local-ip [outside local-ip global-ip]
Elimina una entrada de traducción dinámica extendida.clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside local-ip local port global-ip global-port]

Nota: solo se borran de la tabla las traducciones dinámicas. Las traducciones estáticas no pueden borrarse de la tabla de traducción.

El comando show ip nat statistics muestra la información sobre la cantidad total de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad de direcciones que se asignaron.

Verificación de NAT dinámica

Imagen 7: Verificación de NAT dinámica

También puede utilizar el comando show running-config y buscar los comandos de NAT, ACL, interfaz o conjunto con los valores requeridos. Examínelos detenidamente y corrija cualquier error que detecte.

3. Configuración de PAT

Existen dos formas de configurar PAT, según cómo el ISP asigna las direcciones IPv4 públicas. En primer lugar, el ISP asigna más de una dirección IPv4 pública a la organización y, en segundo lugar, asigna una única dirección IPv4 pública que se requiere para que la organización se conecte al ISP.

3.1. Configuración de PAT para un conjunto de direcciones IP públicas

Si se emitió más de una dirección IPv4 pública para un sitio, estas direcciones pueden ser parte de un conjunto utilizado por PAT. Esto es similar a la NAT dinámica, con la excepción de que no existen suficientes direcciones públicas para realizar una asignación uno a uno entre direcciones internas y externas. Una gran cantidad de dispositivos comparte el pequeño conjunto de direcciones.

Tabla de pasos para configurar PAT para un conjunto de direcciones IP públicas.
DescripciónComando
Definir el conjunto de direcciones globales que se debe usar para la traducción de sobrecarga.ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
Definir una lista de acceso estándar que permita las direcciones que se deben traducir.access-list número-lista-acceso permit origen [wildcard-origen]
Especificar la lista de acceso y el conjunto que se definieron en los pasos anteriores para establecer la traducción de sobrecarga.ip nat inside source list número-lista-acceso pool nombre overload
Identificar la interfaz interna.interface tipo número
ip nat inside
Identificar la interfaz externa.interface tipo número
ip nat outside

La diferencia principal entre esta configuración y la configuración para NAT dinámica uno a uno es que se utiliza la palabra clave overload. La palabra clave overload habilita PAT.

La configuración de ejemplo que se muestra en la figura 2 establece la traducción de sobrecarga para el conjunto de NAT denominado NAT-POOL2. NAT-POOL2 contiene las direcciones de 209.165.200.226 a 209.165.200.240.

Ejemplo de PAT con conjunto de direcciones

Imagen 8: Ejemplo de PAT con conjunto de direcciones

R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside
R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside

Los hosts en la red 192.168.0.0/16 están sujetos a traducción. La interfaz S0/0/0 se identifica como interfaz interna, y la interfaz S0/1/0 se identifica como interfaz externa.

3.2. Configuración de PAT para una única dirección IPv4 pública

En la Imagen 9, se muestra la topología de una implementación de PAT para la traducción de una única dirección IPv4 pública. En el ejemplo, todos los hosts de la red 192.168.0.0/16 (que coincide con la ACL 1) que envían tráfico a Internet a través del router R2 se traducen a la dirección IPv4 209.165.200.225 (dirección IPv4 de la interfaz S0/1/0). Los flujos de tráfico se identifican por los números de puerto en la tabla de NAT, ya que se utilizó la palabra clave overload.

PAT con dirección única

Imagen 9: PAT con dirección única

En la siguiente tabla se muestran los pasos que se deben seguir para configurar PAT con una única dirección IPv4. Si solo hay una única dirección IPv4 pública disponible, la configuración de sobrecarga generalmente asigna la dirección pública a la interfaz externa que se conecta al ISP. Todas las direcciones internas se traducen a la única dirección IPv4 cuando salen de la interfaz externa.

Tabla de pasos para configurar PAT para una única dirección IPv4 pública
DescripciónComando
Definir una lista de acceso estándar que permita las direcciones que se deben traducir.access-list número-lista-acceso permit source [source-wildcard]
Especificar las opciones de ACL, interfaz de salida y sobrecarga para establecer la traducción dinámica de origen.ip nat inside source list access-list-number interface type number overload
Identificar la interfaz interna.interface tipo número
ip nat inside
Identificar la interfaz externa.interface tipo número
ip nat outside

La configuración es similar a la de NAT dinámica, excepto que, en lugar de un conjunto de direcciones, se utiliza la palabra clave interface para identificar la dirección IPv4 externa. Por lo tanto, no se define ningún pool de NAT.

3.3. Verificación de una PAT

El router R2 se configuró para proporcionar PAT a los clientes de 192.168.0.0/16. Cuando los hosts internos salen del router R2 a Internet, se traducen a una dirección IPv4 del conjunto de PAT con un único número de puerto de origen.

Para verificar PAT, se usan los mismos comandos que se usan para verificar la NAT estática y dinámica.

R2# show ip nat translations
Pro Inside global          Inside local         Outside local       Outside global
tcp 209.165.200.226:51839  192.168.10.10:51839  209.165.201.1:80    209.165.201.1:80
tcp 209.165.200.226:42558  192.168.11.10:42558  209.165.202.129:80  209.165.202.129:80
R2#

El comando show ip nat translations muestra las traducciones de dos hosts distintos a servidores web distintos. Observe que se asigna la misma dirección IPv4 209.165.200.226 (dirección global interna) a dos hosts internos distintos. Los números de puerto de origen en la tabla de NAT distinguen las dos transacciones.

Verificación de las estadísticas de PAT

Imagen 10: Verificación de las estadísticas de PAT

El comando show ip nat statistics verifica que NAT-POOL2 haya asignado una única dirección para ambas traducciones. El resultado incluye información sobre la cantidad y el tipo de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad que se asignó.

Puedes consultar los siguientes artículos para completar la sección: Reenvío de Puertos con IOS
y la Configuración de NAT e IPv6.

Deja un Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.