PAT

1. Escenario PAT

En este tema, aprenderás a configurar y verificar PAT. Incluye una actividad Packet Tracer para poner a prueba tus habilidades y conocimientos. Existen dos formas de configurar PAT, según cómo el ISP asigna las direcciones IPv4 públicas. En primera instancia, el ISP asigna una única dirección IPv4 pública que se requiere para que la organización se conecte al ISP y, en la otra, asigna más de una dirección IPv4 pública a la organización.

Ambos métodos se demostrarán utilizando el escenario mostrado en la figura.

2. Configurar PAT para usar una Única Dirección IPv4

Para configurar PAT para que utilice una única dirección IPv4, simplemente agrega la palabra clave overload al comando ip nat inside source. El resto de la configuración es similar a la configuración NAT estática y dinámica, excepto que con PAT, varios hosts pueden usar la misma dirección IPv4 pública para acceder a Internet.

En el ejemplo, todos los hosts de la red 192.168.0.0/16 (coincidencia ACL 1) que envían tráfico a través del router R2 a Internet se traducirán a la dirección IPv4 209.165.200.225 (dirección IPv4 de la interfaz S0/1/1). Los flujos de tráfico se identificarán mediante números de puerto en la tabla NAT porque la palabra clave overload está configurada.

R2(config)# ip nat inside source list 1 interface serial 0/1/0 overload
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface Serial0/1/1
R2(config-if)# ip nat outside

3. Configurar PAT para usar un Pool de Direcciones

Un ISP puede asignar más de una dirección IPv4 pública a una organización. En este escenario, la organización puede configurar PAT para utilizar un grupo de direcciones públicas IPv4 para la traducción.

Si se emitió más de una dirección IPv4 pública para un sitio, estas direcciones pueden ser parte de un pool utilizado por PAT. El pequeño pool de direcciones se comparte entre un mayor número de dispositivos, con múltiples hosts que utilizan la misma dirección IPv4 pública para acceder a Internet. Para configurar PAT para un pool de direcciones NAT dinámico, simplemente agrega la palabra clave overload al comando ip nat inside source.

La topología de este escenario se repite en la figura para tu conveniencia.

En el ejemplo, NAT-POOL2 está enlazado a una ACL para permitir la traducción de 192.168.0.0/16. Estos hosts pueden compartir una dirección IPv4 del pool porque PAT está habilitado con la palabra clave overload.

R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2(config)# 
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial0/1/1
R2(config-if)# ip nat outside
R2(config-if)# end
R2#

4. Analizar PAT: PC a Servidor

El proceso de sobrecarga de NAT es el mismo si se usa un pool de direcciones o si se usa una sola dirección. En esta figura, PAT está configurado para usar una única dirección IPv4 pública, en lugar de un pool de direcciones. PC1 quiere comunicarse con el servidor web, Svr1. Al mismo tiempo, otro cliente, la PC2, desea establecer una sesión similar con el servidor web Svr2. Tanto la PC1 como la PC2 se configuran con direcciones IPv4 privadas, con el R2 habilitado para PAT.

En la figura se muestran los siguientes pasos:

1. Tanto PC1 como PC2 están enviando paquetes a Svr1 y Svr2, respectivamente. PC1 tiene la dirección IPv4 de origen 192.168.10.10 y está usando el puerto de origen TCP 1444. PC2 tiene la dirección IPv4 de origen 192.168.10.11 y casualmente utiliza el mismo puerto de origen TCP de 1444.
2. El paquete de PC1 llega primero a R2. Usando PAT, R2 modifica la dirección IPv4 del origen a 209.165.200.225 (dirección global interna). No hay otros dispositivos en la tabla NAT que usen el puerto 1444, por lo que PAT mantiene el mismo número de puerto. El paquete es entonces reenviado hacia Svr1 en 209.165.201.1.
3. A continuación, el paquete del PC2 llega a R2. PAT está configurado para usar una única dirección IPv4 global interna para todas las traducciones, 209.165.200.225. Similar al proceso de traducción para PC1, PAT cambia la dirección IPv4 de origen de PC2 a la dirección global interna 209.165.200.225. Sin embargo, PC2 tiene el mismo número de puerto de origen que una entrada actual de PAT, la traducción para PC1. PAT incrementa el número de puerto de origen hasta que es un valor único en su tabla. En este caso, la entrada del puerto de origen en la tabla NAT y el paquete para PC2 recibe 1445.

5. Analizar PAT: Servidor a PC

En esta segunda figura, los pasos de los servidores a los PCs son los siguientes:

4. Los servidores utilizan el puerto de origen del paquete recibido como puerto de destino, y la dirección de origen como dirección de destino para el tráfico de retorno. Los servidores parecen comunicarse con el mismo host en 209.165.200.225; sin embargo, no es así.
5. A medida que llegan los paquetes, R2 localiza la entrada única en su tabla NAT utilizando la dirección de destino y el puerto de destino de cada paquete. En el caso del paquete de Svr1, la dirección IPv4 de destino de 209.165.200.225 tiene múltiples entradas pero sólo una con el puerto de destino 1444. Utilizando la entrada de su tabla, R2 cambia la dirección IPv4 de destino del paquete a 192.168.10.10, sin que sea necesario realizar ningún cambio en el puerto de destino. El paquete es entonces reenviado hacia PC1.
6. Cuando el paquete de Svr2 llega, R2 realiza una traducción similar. Se localiza la dirección IPv4 de destino de 209.165.200.225, de nuevo con múltiples entradas. Sin embargo, usando el puerto de destino de 1445, R2 es capaz de identificar de manera única la entrada de la traducción. La dirección IPv4 de destino se cambia a 192.168.10.11. En este caso, el puerto de destino también debe ser modificado de nuevo a su valor original de 1444, que se almacena en la tabla NAT. El paquete es entonces reenviado hacia PC2.

6. Verificar PAT

El router R2 se configuró para proporcionar PAT a los clientes de 192.168.0.0/16. Cuando los hosts internos salen del router R2 a Internet, se traducen a una dirección IPv4 del grupo PAT con un número de puerto de origen único.

Los mismos comandos utilizados para verificar NAT estático y dinámico se utilizan para verificar PAT, como se muestra en la salida de ejemplo. El comando show ip nat translations muestra las traducciones de dos hosts diferentes a diferentes servidores web. Observa que se asigna la misma dirección IPv4 209.165.200.226 (dirección global interna) a dos hosts internos distintos. Los números de puerto de origen en la tabla de NAT distinguen las dos traducciones.

R2# show ip nat translations
Pro Inside global          Inside local         Outside local      Outside global
tcp 209.165.200.225:1444  192.168.10.10:1444  209.165.201.1:80   209.165.201.1:80
tcp 209.165.200.225:1445  192.168.11.10:1444  209.165.202.129:80 209.165.202.129:80
R2#

En el siguiente ejemplo, el comando show ip nat statistics verifica que NAT-POOL2 haya asignado una única dirección para ambas traducciones. El resultado incluye información sobre la cantidad y el tipo de traducciones activas, los parámetros de configuración NAT, la cantidad de direcciones en el pool y la cantidad que se asignó.

R2# show ip nat statistics 
Total active translations: 4 (0 static, 2 dynamic; 2 extended)
Peak translations: 2, occurred 00:31:43 ago
Outside interfaces:
  Serial0/1/1
Inside interfaces: 
  Serial0/1/0
Hits: 4  Misses: 0
CEF Translated packets: 47, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool NAT-POOL2 refcount 2
 pool NAT-POOL2: netmask 255.255.255.224
	start 209.165.200.225 end 209.165.200.240
	type generic, total addresses 15, allocated 1 (6%), misses 0
(output omitted)
R2#

7. Packet Tracer – Configurar PAT

En esta actividad de Packet Tracer, cumplirás los siguientes objetivos:

• Parte 1: Configurar NAT Dinámico con Sobrecarga
• Parte 2: Verificar NAT Dinámico con Implementación de Sobrecarga
• Parte 3: Configurar PAT mediante una interfaz
• Parte 4: Verificar la implementación de la interfaz PAT

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.