NAT - Traducción de direccións
Sumario
Introducción
A traducción de enderezos de rede, coñecido coma NAT (Network Address Translation) ou enmascaramento IP, é un mecanismo definido no RFC 1631 e utilizado por routers consistente en convertir en tempo real os enderezos utilizados nos paquetes transportados.
Esta técnica foi orixinariamente utilizada para evitar a necesidade de asignar un novo enderezo a cada host con un movemento da rede ou cambio de proveedor de servizos de internet: pero fíxose esencial e popular para conservar o espazo de dirección ante o agotamento de dirección IPv4 libres,xa que un único enderezo enrutable a través de internet (IP pública) pode ser usado para toda unha rede LAN na que cada equipo terá a súa ip privada.
Outra ventaxa tamén importante é que establece un mecanismo de seguridade engadido para o acceso a unha rede local.
Como inconvintes, sinalar o retardo que engade o encamiñador NAT en traducir os enderezos, unha maior complexidade para administrar e comprender o funcionamento da rede e a imposbilidade de seguir a traza dun determinado mensaxe que se perde no interior da rede privada.
Enderezos privados
No RFC 1918 fíxanse para IPv4 uns rangos de enderezos privados que poden ser utilizados sen petición previa a IANA. Son:
Nome | Rango de enderezos IP | Cantidade de IP | Nº de Redes | Cantidade de IP por Red | Descripción da clase de cada unha das redes | Maior bloque de CIDR (máscara de subrede) |
Definido en |
---|---|---|---|---|---|---|---|
Bloque de 24 bits | 10.0.0.0 – 10.255.255.255 | 16.777.214 | 1 | 16.777.214 | Clase A | 10.0.0.0/8 (255.0.0.0) | RFC 1597 (obsoleto), RFC 1918 |
Bloque de 16 bits | 172.16.0.0 – 172.31.255.255 | 1.048.576 | 16 | 65.534 | Clase B | 172.16.0.0/12 (255.240.0.0) | |
Bloque de 16 bits | 192.168.0.0 – 192.168.255.255 | 65.534 | 256 | 254 | Clase C | 192.168.0.0/16 (255.255.0.0) | |
Bloque de 16 bits | 169.254.0.0 – 169.254.255.255 | 65.534 | 1 | 65.534 | Clase B simple | 169.254.0.0/16 (255.255.0.0) | RFC 3330, RFC 3927, coñecido como APIPA |
Para o protocolo IPv6 tamén está definido un rango de enderezos reservados para redes privadas, en concreo o fec0::/10; pero o RFC 3879 declarou obsoleto o seu uso porque por un lado o espazo de enderezos de IPv6 é suficiente para cubrir as necesidades actuáis e fururas, e porque vai en contra da filosofía de que cada equipo esté identificado por un enderezo único.
Xeitos de funcionamento
NAT Estática
Configuración
1. Establecer unha correspondencia entre un enderezo privado e outro público:
ip nat inside source static enderezo_privado enderezo_público
Tamén se pode establecer unha correspondencia entre un enderezo privado e outro público para o acceso dende a rede pública a rede privado, utilizando o seguinte comando
ip nat ouside source static enderezo_público enderezo_privado
2. Especificar cal é a interfaz interna do encaminador NAT cos seguintes comandos:
interface nome ip nat inside
3. Especificar cal é a interfaz externa do encaminador NAT cos seguintes comandos:
interface nome ip nat outside
NAT Dinámica
Configuración
1. Creamos o almacén de dirección públicas
ip nat pool nome inicial final {netmask máscara | prefix prefixo} Nome identifica o almacén inicial e final especifican o rango de dirección públicas disponibles máscara e prefixo especifican a máscara de rede ou prefixo destes enderezos
2. Creamos a lista de equipos da rede privada para os que se vai a realizar a traducción NAT
Access-list número permit enderezo wildcard
3. Configuramos a traducción dinámica baseada no almacén de dirección creado no paso anterior.
ip nat inside source list número pool nome Nome especifica o nome do almacén e número especifica a lista de control de acceso
4. Especificar cal é a interfaz interna do encaminador NAT cos seguintes comandos:
interface nome ip nat inside
5. Especificar cal é a interfaz externa do encaminador NAT cos seguintes comandos:
interface nome ip nat outside
PAT (Port Address Translation - Traducción de Enderezos por Porto)
Tamén coñecida coma NAT de sobrecarga, NAPT (Network Address Port Translation - Traducción de Enderezos de Rede por Porto), NAT de única dirección ou NAT multiplexado a nivel de porto.
Consiste en asginarlle un único enderezo público a todos os equipos dunha mesma rede privada; para conseguir este aforro, o protocol PAT utiliza tamén os números de porto asociados os servizos que os equipos utilizan.
Configuración
1.
2.
3.
4.
5. Especificar cal é a interfaz interna do encaminador NAT cos seguintes comandos:
interface nome ip nat inside
6. Especificar cal é a interfaz externa do encaminador NAT cos seguintes comandos:
interface nome ip nat outside
Validación da configuración
clear ip nat translation Utilízase para eliminar as entradas dinámicas de correspondencias que están almacenadas na táboa nat show ip nat translations Amosa as correspondencias entre enderezos privados e públicos que están activas show ip nat statistics Amosa información estadística sobrea a traducción de enderezos nat debug ip nat Activa a visualización dos eventos que produce o protocolo NAT incluíndo cales son as correspondencias entre enderezos privados e públicos que se están traducindo