Configuración de la NAT
-
Configurar la NAT estática
-
Configurar la NAT dinámica
-
Configurar PAT
Resumen
Se detalla la configuración, la verificación y el análisis de la NAT estática, la NAT dinámica y PAT.
Se explica cómo configurar la NAT estática, la NAT dinámica y PAT mediante la CLI. También a configurar el reenvío de puertos mediante y describir NAT64.
Tabla de Contenido
1. Configuración de NAT estática
La NAT estática es una asignación uno a uno entre una dirección interna y una dirección externa. Permite que los dispositivos externos inicien conexiones a los dispositivos internos mediante la dirección pública asignada de forma estática. Por ejemplo, se puede asignar una dirección global interna específica a un servidor web interno de modo que se pueda acceder a este desde redes externas.
En la Imagen 1, se muestra una red interna que contiene un servidor web con una dirección IPv4 privada. El router R2 se configuró con NAT estática para permitir que los dispositivos en la red externa (Internet) accedan al servidor web. El cliente en la red externa accede al servidor web mediante una dirección IPv4 pública. La NAT estática traduce la dirección IPv4 pública a la dirección IPv4 privada.
Existen dos pasos básicos para configurar las traducciones NAT estáticas.
- Paso 1. Consiste en crear una asignación entre la dirección local interna y las direcciones globales internas. Por ejemplo, la dirección local interna 192.168.10.254 y la dirección global interna 209.165.201.5 se configuraron como traducción NAT estática.
- Paso 2. Una vez configurada la asignación, las interfaces que participan en la traducción se configuran como interna o externa con respecto a NAT. En el ejemplo, la interfaz Serial 0/0/0 del R2 es una interfaz interna, y la interfaz Serial 0/1/0 es una interfaz externa.
Los paquetes que llegan hasta la interfaz interna del R2 (Serial 0/0/0) desde la dirección IPv4 local interna configurada (192.168.10.254) se traducen y, luego, se reenvían hacia la red externa. Los paquetes que llegan a la interfaz externa del R2 (Serial 0/1/0), que están dirigidos a la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la dirección local interna (192.168.10.254) y, luego, se reenvían a la red interna.
1.1. Comandos para configurar NAT estática
En la siguiente tabla, se describen los comandos necesarios para configurar la NAT estática.
Acción | Comando |
---|---|
Se establece la traducción estática entre una dirección local interna y una dirección global interna. | Router(config)# ip nat inside source static local-ip global-ip |
Especificar la interfaz interna. | Router(config)# interface number type |
Marque la interfaz como conectada al interior. | Router(config-if)# ip nat inside |
Salga del modo de configuración de interfaz. | Router(config-if)# exit |
Especificar la interfaz externa. | Router(config)# interface number type |
Marque la interfaz como conectada al exterior. | Router(config-if)# ip nat outside |
En la Imagen 2, se muestran los comandos necesarios en el R2 para crear una asignación de NAT estática al servidor web en la topología de ejemplo.
Con la configuración que se muestra, el R2 traduce los paquetes del servidor web con la dirección 192.168.10.254 a la dirección IPv4 pública 209.165.201.5. El cliente de Internet dirige solicitudes web a la dirección IPv4 pública 209.165.201.5. El R2 reenvía ese tráfico al servidor web en 192.168.10.254.
1.2. Verificación de NAT estática
El comando show ip nat translations es útil para verificar el funcionamiento de NAT. Este comando muestra las traducciones NAT activas. A diferencia de las traducciones dinámicas, las traducciones estáticas siempre figuran en la tabla de NAT.
Debido a que el ejemplo es una configuración NAT estática, siempre figura una traducción en la tabla de NAT, independientemente de que haya comunicaciones activas. Si se emite el comando durante una sesión activa, el resultado también indica la dirección del dispositivo externo.
Otro comando útil es show ip nat statistics. Este comando muestra información sobre la cantidad total de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad de direcciones que se asignaron.
Para verificar que la traducción NAT funcione, es conveniente borrar las estadísticas de todas las traducciones anteriores con el comando clear ip nat statistics antes de realizar la prueba.
Antes de cualquier comunicación con el servidor web, el comando show ip nat statistics no muestra ningún acierto actual. Una vez que el cliente establece una sesión con el servidor web, el comando show ip nat statistics muestra cinco aciertos. De este modo, se verifica que se lleva a cabo la traducción de NAT estática en el R2.
2. Configuración de NAT dinámica
La topología de ejemplo que se muestra en la ilustración tiene una red interna que usa direcciones del espacio de direcciones privadas definido en RFC 1918. Hay dos LAN conectadas al router R1: 192.168.10.0/24 y 192.168.11.0/24. El router R2, es decir, el router de frontera, se configuró para NAT dinámica con un conjunto de direcciones IPv4 públicas de 209.165.200.226 a 209.165.200.240.
El conjunto de direcciones IPv4 públicas (conjunto de direcciones globales internas) se encuentra disponible para cualquier dispositivo en la red interna según el orden de llegada. Con la NAT dinámica, una única dirección interna se traduce a una única dirección externa.
Con este tipo de traducción, debe haber suficientes direcciones en el conjunto para admitir a todos los dispositivos internos que necesiten acceso a la red externa al mismo tiempo. Si se utilizaron todas las direcciones del conjunto, los dispositivos deben esperar que haya una dirección disponible para poder acceder a la red externa.
2.1. Comandos para configurar NAT dinámica
En la figura 1, se muestran los pasos y los comandos utilizados para configurar la NAT dinámica.
Acción | Comando |
---|---|
Definir el conjunto de direcciones globales que se debe usar para la traducción. | ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} |
Configurar una lista de acceso estándar que permita las direcciones que se deben traducir. | access-list access-list-number permit source [source-wildcard] |
Especificar la lista de acceso y el conjunto que se definieron en los pasos anteriores para establecer la traducción dinámica de origen. | ip nat inside source list access-list-number pool name |
Identificar la interfaz interna. | interface type number ip nat inside |
Identificar la interfaz externa. | interface type number ip nat outside |
A continuación se muestra la configuración de ejemplo (ver Imagen 6).
R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224 R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255 R2(config)# ip nat inside source list 1 pool NAT-POOL1 R2(config)# interface Serial0/0/0 R2(config-if)# ip nat inside R2(config)# interface Serial0/1/0 R2(config-if)# ip nat outside
Esta configuración permite la traducción para todos los hosts en la red 192.168.0.0/16, que incluye las LAN 192.168.10.0 y 192.168.11.0, cuando generan tráfico que ingresa por S0/0/0 y sale por S0/1/0. Estos hosts se traducen a una dirección disponible del conjunto en el rango de 209.165.200.226 a 209.165.200.240.
2.2. Verificación de NAT dinámica
El resultado del comando show ip nat translations muestra los detalles de las dos asignaciones de NAT anteriores. El comando muestra todas las traducciones estáticas que se configuraron y todas las traducciones dinámicas que se crearon a causa del tráfico.
Si se agrega la palabra clave verbose, se muestra información adicional acerca de cada traducción, incluido el tiempo transcurrido desde que se creó y se utilizó la entrada.
De manera predeterminada, a las entradas de traducción se les agota el tiempo de espera después de 24 horas, a menos que se vuelvan a configurar los temporizadores con el comando ip nat translation timeout timeout-seconds en el modo de configuración global.
Comando para borrar entradas dinámicas
Para borrar las entradas dinámicas antes de que se agote el tiempo de espera, utilice el comando clear ip nat translation en el modo de configuración global. Es útil borrar las entradas dinámicas al probar la configuración NAT.
Como se muestra en la tabla, este comando se puede utilizar con palabras clave y variables para controlar qué entradas se deben borrar.
Descripción | Comando |
---|---|
Elimina todas las entradas de traducción dinámica de direcciones de la tabla de traducción NAT. | clear ip nat translation * |
Elimina una entrada de traducción dinámica simple que contiene una traducción interna o una traducción interna y una externa. | clear ip nat translation inside global-ip local-ip [outside local-ip global-ip] |
Elimina una entrada de traducción dinámica extendida. | clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside local-ip local port global-ip global-port] |
El comando show ip nat statistics muestra la información sobre la cantidad total de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad de direcciones que se asignaron.
También puede utilizar el comando show running-config y buscar los comandos de NAT, ACL, interfaz o conjunto con los valores requeridos. Examínelos detenidamente y corrija cualquier error que detecte.
3. Configuración de PAT
Existen dos formas de configurar PAT, según cómo el ISP asigna las direcciones IPv4 públicas. En primer lugar, el ISP asigna más de una dirección IPv4 pública a la organización y, en segundo lugar, asigna una única dirección IPv4 pública que se requiere para que la organización se conecte al ISP.
3.1. Configuración de PAT para un conjunto de direcciones IP públicas
Si se emitió más de una dirección IPv4 pública para un sitio, estas direcciones pueden ser parte de un conjunto utilizado por PAT. Esto es similar a la NAT dinámica, con la excepción de que no existen suficientes direcciones públicas para realizar una asignación uno a uno entre direcciones internas y externas. Una gran cantidad de dispositivos comparte el pequeño conjunto de direcciones.
Descripción | Comando |
---|---|
Definir el conjunto de direcciones globales que se debe usar para la traducción de sobrecarga. | ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} |
Definir una lista de acceso estándar que permita las direcciones que se deben traducir. | access-list número-lista-acceso permit origen [wildcard-origen] |
Especificar la lista de acceso y el conjunto que se definieron en los pasos anteriores para establecer la traducción de sobrecarga. | ip nat inside source list número-lista-acceso pool nombre overload |
Identificar la interfaz interna. | interface tipo número ip nat inside |
Identificar la interfaz externa. | interface tipo número ip nat outside |
La configuración de ejemplo que se muestra en la figura 2 establece la traducción de sobrecarga para el conjunto de NAT denominado NAT-POOL2. NAT-POOL2 contiene las direcciones de 209.165.200.226 a 209.165.200.240.
R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224 R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255 R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload R2(config)# interface Serial0/0/0 R2(config-if)# ip nat inside R2(config)# interface Serial0/1/0 R2(config-if)# ip nat outside
Los hosts en la red 192.168.0.0/16 están sujetos a traducción. La interfaz S0/0/0 se identifica como interfaz interna, y la interfaz S0/1/0 se identifica como interfaz externa.
3.2. Configuración de PAT para una única dirección IPv4 pública
En la Imagen 9, se muestra la topología de una implementación de PAT para la traducción de una única dirección IPv4 pública. En el ejemplo, todos los hosts de la red 192.168.0.0/16 (que coincide con la ACL 1) que envían tráfico a Internet a través del router R2 se traducen a la dirección IPv4 209.165.200.225 (dirección IPv4 de la interfaz S0/1/0). Los flujos de tráfico se identifican por los números de puerto en la tabla de NAT, ya que se utilizó la palabra clave overload.
En la siguiente tabla se muestran los pasos que se deben seguir para configurar PAT con una única dirección IPv4. Si solo hay una única dirección IPv4 pública disponible, la configuración de sobrecarga generalmente asigna la dirección pública a la interfaz externa que se conecta al ISP. Todas las direcciones internas se traducen a la única dirección IPv4 cuando salen de la interfaz externa.
Descripción | Comando |
---|---|
Definir una lista de acceso estándar que permita las direcciones que se deben traducir. | access-list número-lista-acceso permit source [source-wildcard] |
Especificar las opciones de ACL, interfaz de salida y sobrecarga para establecer la traducción dinámica de origen. | ip nat inside source list access-list-number interface type number overload |
Identificar la interfaz interna. | interface tipo número ip nat inside |
Identificar la interfaz externa. | interface tipo número ip nat outside |
La configuración es similar a la de NAT dinámica, excepto que, en lugar de un conjunto de direcciones, se utiliza la palabra clave interface para identificar la dirección IPv4 externa. Por lo tanto, no se define ningún pool de NAT.
3.3. Verificación de una PAT
El router R2 se configuró para proporcionar PAT a los clientes de 192.168.0.0/16. Cuando los hosts internos salen del router R2 a Internet, se traducen a una dirección IPv4 del conjunto de PAT con un único número de puerto de origen.
Para verificar PAT, se usan los mismos comandos que se usan para verificar la NAT estática y dinámica.
R2# show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 209.165.200.226:51839 192.168.10.10:51839 209.165.201.1:80 209.165.201.1:80 tcp 209.165.200.226:42558 192.168.11.10:42558 209.165.202.129:80 209.165.202.129:80 R2#
El comando show ip nat translations muestra las traducciones de dos hosts distintos a servidores web distintos. Observe que se asigna la misma dirección IPv4 209.165.200.226 (dirección global interna) a dos hosts internos distintos. Los números de puerto de origen en la tabla de NAT distinguen las dos transacciones.
El comando show ip nat statistics verifica que NAT-POOL2 haya asignado una única dirección para ambas traducciones. El resultado incluye información sobre la cantidad y el tipo de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad que se asignó.
Puedes consultar los siguientes artículos para completar la sección: Reenvío de Puertos con IOS
y la Configuración de NAT e IPv6.