Configuración de NAT Estática

En esta sección se abarca la configuración, la verificación y el análisis de la NAT estática. Se detalla los comandos junto con un ejemplo práctico.

La NAT estática es una asignación uno a uno entre una dirección interna y una dirección externa. La NAT estática permite que los dispositivos externos inicien conexiones a los dispositivos internos mediante la dirección pública asignada de forma estática. Por ejemplo, se puede asignar una dirección global interna específica a un servidor web interno de modo que se pueda acceder a este desde redes externas.

En la Imagen 1, se muestra una red interna que contiene un servidor web con una dirección IPv4 privada. El router R2 se configuró con NAT estática para permitir que los dispositivos en la red externa (Internet) accedan al servidor web. El cliente en la red externa accede al servidor web mediante una dirección IPv4 pública. La NAT estática traduce la dirección IPv4 pública a la dirección IPv4 privada.

1. Pasos para configurar NAT estáticas

Existen dos pasos básicos para configurar las traducciones NAT estáticas.

• Paso 1: El primer paso consiste en crear una asignación entre la dirección local interna y las direcciones globales internas. Por ejemplo, en la Imagen 1, la dirección local interna 192.168.10.254 y la dirección global interna 209.165.201.5 se configuraron como traducción NAT estática.

• Paso 2: Una vez configurada la asignación, las interfaces que participan en la traducción se configuran como interna o externa con respecto a NAT. En el ejemplo, la interfaz Serial 0/0/0 del R2 es una interfaz interna, y la interfaz Serial 0/1/0 es una interfaz externa.

Los paquetes que llegan hasta la interfaz interna del R2 (Serial 0/0/0) desde la dirección IPv4 local interna configurada (192.168.10.254) se traducen y, luego, se reenvían hacia la red externa. Los paquetes que llegan a la interfaz externa del R2 (Serial 0/1/0), que están dirigidos a la dirección IPv4 global interna configurada (209.165.201.5), se traducen a la dirección local interna (192.168.10.254) y, luego, se reenvían a la red interna.

A continuación, se describen los comandos necesarios para configurar la NAT estática.

• Se establece la traducción estática entre una dirección local interna y una dirección global interna:

Router(config)# ip nat inside source static local-ip global-ip

• Especifica la interfaz interna:

Router(config)# interface tipo número

• Marca la interfaz como conectada al interior:

Router(config-if)# ip nat inside

• Sale del modo de configuración de interfaz:

Router(config-if)# exit

• Especifica la interfaz externa.

Router(config)# interface tipo número

• Marca la interfaz como conectada al exterior.

Router(config-if)# ip nat outside

2. Ejemplo de configuración de NAT estáticas

En la Imagen 2, se muestran los comandos necesarios en el R2 para crear una asignación de NAT estática al servidor web en la topología de ejemplo.

Con la configuración que se muestra, el R2 traduce los paquetes del servidor web con la dirección 192.168.10.254 a la dirección IPv4 pública 209.165.201.5. El cliente de Internet dirige solicitudes web a la dirección IPv4 pública 209.165.201.5. El R2 reenvía ese tráfico al servidor web en 192.168.10.254.

Establishes static translation between an inside local address and
an inside global address.
R2(config)# ip nat inside source static 192.168.10.254 209.165.201.5

R2(config)# interface Serial0/0/0
R2(config-if)# ip address 10.1.1.2 255.255.255.252
Identifies interface serial 0/0/0 as an inside NAT interface.
R2(config-if)# ip nat inside
R2(config-if)# exit

R2(config)# interface Serial0/1/0
R2(config-if)# ip address 209.165.200.1 255.255.255.252
Identifies interface serial 0/1/0 as the outside NAT interface.
R2(config-if)# ip nat outside

3. Proceso de NAT estática

Con la configuración anterior, en la Imagen 3 se muestra el proceso de traducción de NAT estática entre el cliente y el servidor web. En general, las traducciones estáticas se utilizan cuando los clientes en la red externa (Internet) necesitan llegar a los servidores en la red interna.

• 1. El cliente desea establecer una conexión al servidor web. El cliente envía un paquete al servidor web con la dirección IPv4 pública de destino 209.165.201.5. Esta es la dirección global interna del servidor web.
• 2. El primer paquete que recibe del cliente en su interfaz NAT externa ocasiona que el R2 revise su tabla de NAT. Una vez que se encuentra la dirección IPv4 de destino en la tabla de NAT, se traduce.
• 3. El R2 reemplaza la dirección global interna 209.165.201.5 por la dirección local interna 192.168.10.254. Luego, el R2 reenvía el paquete hacia el servidor web.
• 4. El servidor web recibe el paquete y responde al cliente con la dirección local interna, 192.168.10.254.
• 5a. El R2 recibe el paquete del servidor web en su interfaz NAT interna con la dirección de origen de la dirección local interna del servidor web, 192.168.10.254.
• 5b. El R2 busca una traducción para la dirección local interna en la tabla de NAT. La dirección se encuentra en esa tabla. R2 traduce la dirección de origen y la convierte en la dirección global interna de 209.165.201.5, y reenvía el paquete en dirección al cliente.
• 6. El cliente recibe el paquete y continúa la conversación. El router NAT lleva a cabo los pasos 2 a 5b para cada paquete. (El paso 6 no aparece en la ilustración).

4. Verificación de NAT estática

Un comando que resulta útil para verificar el funcionamiento de NAT es show ip nat translations. Este comando muestra las traducciones NAT activas. A diferencia de las traducciones dinámicas, las traducciones estáticas siempre figuran en la tabla de NAT.

A continuación, se muestra el resultado de este comando con el ejemplo de configuración anterior.

La traducción estática siempre está presente en la tabla de NAT.

R2# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 209.165.201.5 192.168.10.254 --- ---
R2#

Debido a que el ejemplo es una configuración NAT estática, siempre figura una traducción en la tabla de NAT, independientemente de que haya comunicaciones activas. Si se emite el comando durante una sesión activa, el resultado también indica la dirección del dispositivo externo.

La traducción estática durante una sesión activa.

R2# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 209.165.201.5 192.168.10.254 209.165.200.254 209.165.200.254
R2#

Otro comando útil es show ip nat statistics. El comando show ip nat statistics muestra información sobre la cantidad total de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el conjunto y la cantidad de direcciones que se asignaron.

R2# clear ip nat statistics

R2# show ip nat statistics
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Peak translations: 0
Outside interfaces:
 Serial0/0/1
Inside interfaces: 
 Serial0/0/0
Hits: 0 Misses: 0

Client PC establishes a session with the web server

R2# show ip nat statistics 
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Peak translations: 2, occurred 00:00:14 ago
Outside interfaces:
 Serial0/1/0
Inside interfaces: 
 Serial0/0/0
Hits: 5 Misses: 0
<Se omitió el resultado>

Para verificar que la traducción NAT funcione, es conveniente borrar las estadísticas de todas las traducciones anteriores con el comando clear ip nat statistics antes de realizar la prueba.

Antes de cualquier comunicación con el servidor web, el comando show ip nat statistics no muestra ningún acierto actual. Una vez que el cliente establece una sesión con el servidor web, el comando show ip nat statistics registra un aumento a cinco resultados coincidentes en la interfaz interna (Serial0/0/0). De este modo, se verifica que se lleva a cabo la traducción de NAT estática en el R2.