IP : Traducción de direcciones de red (NAT)

Configurando el NAT estático y dinámico simultáneamente

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (20 Mayo 2008) | Inglés (19 Diciembre 2015) | Comentarios


Contenido


Introducción

En algunos casos, es posible que sea necesario configurar comandos NAT (Traducción de dirección de red) estáticos y dinámicos en un router Cisco. Este documento explica cómo hacer esto y proporciona un caso hipotético a modo de ejemplo.

prerrequisitos

Requisitos

Los conocimientos del concepto básico de NAT y las operaciones son útiles.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 3600 Series routers

  • Software Release 12.3(3) del ½ del ¿Â de Cisco IOSïÂ

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Configuración de NAT

Con la NAT dinámica, las traducciones no existen en la tabla NAT hasta que el router recibe tráfico que requiere traducción. Las traducciones dinámicas tienen un periodo de agotamiento del tiempo de espera, después del cual son borradas de la tabla de traducción.

Con la NAT estática, existen traducciones en la tabla de traducción de la NAT tan pronto como se configuran el o los comandos NAT y continúan en la tabla de traducción hasta que se borran el o los comandos estáticos NAT.

El siguiente diagrama de red es un ejemplo:

http://www.cisco.com/c/dam/en/us/support/docs/ip/network-address-translation-nat/13778-9a.gif

Estos comandos están configurados en el router NAT como se muestra anteriormente:

Router NAT
version 12.3

ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0
 


!--- Refer to 
ip nat pool
 for more details on the command.
.

ip nat inside source list 7 pool test  


!--- Refer to 
ip nat inside source
 for more details on the command.


ip nat inside source static 10.10.10.1 172.16.131.1

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside

 interface s 0

 ip address 172.16.130.2 255.255.255.0

 ip nat outside

ip route 192.168.1.0 255.255.255.0 172.16.130.1

 access-list 7 permit 10.10.10.0 0.0.0.255

La configuración en el dispositivo de OutsideA es:

Router de OutsideA
version 12.3
hostname outsideA

!
!
!
interface Serial1/0

ip address 172.16.130.1 255.255.255.0

serial restart-delay 0

clockrate 64000

!

interface FastEthernet2/0

ip address 192.168.1.1 255.255.255.0

speed auto

half-duplex

ip route 172.16.131.0 255.255.255.0 172.16.130.2

La configuración en el dispositivo del InsideA es:

Router del InsideA
version 12.3

!
interface Ethernet1/0
 ip address 10.10.10.1 255.255.255.0
 half-duplex
!
ip route 0.0.0.0 0.0.0.0 10.10.10.254
!
!

Usando el comando show ip nat translations, usted puede ver el contenido de la tabla de traducción:

NATrouter#show ip nat translations
Pro Inside global    Inside local    Outside local    Outside global
--- 172.16.131.1     10.10.10.1      ---              ---

Note que solamente la traducción estática está enumerada en la tabla de traducción. Esta entrada traduce la dirección interna global nuevamente a la dirección interna local, lo que significa que los dispositivos de la nube externa pueden enviar paquetes a la dirección global 172.16.131.1 y alcanzan el dispositivo en la nube externa, que posee la dirección local 10.10.10.1.

Lo mismo se muestra abajo:

outsideA#ping 172.16.131.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

 

NATrouter#debug ip nat 

18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]

No se genera ni se ingresa ninguna otra traducción en la tabla de traducción hasta que el router recibe un paquete en su interfaz interna con una dirección de origen permitida por la lista de control de acceso (ACL) 7.

Sin embargo, como todavía no se han ingresado traducciones dinámicas, los dispositivos externos no pueden comunicarse con los internos (excepto 10.10.10.1), ni siquiera si envían paquetes a una dirección global (172.16.131.2 a través de 172.16.131.10). Cuando el router recibe un paquete destinado a una de estas direcciones globales, verifica la tabla de traducción para una traducción existente. Si no hay ninguna, intenta rutear el paquete. Este comportamiento de NAT se explica con más detalles en Configuración de muestra utilizando el comando ip nat outside source list y Configuración de muestra utilizando el comando ip nat outside source static.

En la topología anterior, si la comunicación entre los dispositivos internos y externos de la red sólo se origina por los dispositivos internos, la traducción dinámica funciona bien. ¿Pero qué si agregan a un servidor de correo electrónico en la red interna que necesita recibir los paquetes originados por el exterior? Ahora, debe configurar una entrada estática NAT para que los servidores de correo electrónico externos puedan comunicarse con el servidor de correo electrónico interno. Si en el ejemplo anterior el servidor de correo electrónico es el dispositivo con la dirección local 10.10.10.1, ya tiene una traducción estática.

Sin embargo, en casos donde no tiene direcciones globales para reservar y necesita configurar estadísticamente un solo dispositivo para NAT, puede utilizar una configuración como la que figura a continuación.

Router NAT
ip nat inside source list 7 interface serial 0 overload


ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25

!--- Refer to 
ip nat inside source
 for more details on the command.


 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside 

!--- For more details the ip nat inside|outside command,
!--- please refer to 
ip nat inside
.


 interface s 0

ip address 172.16.130.2 255.255.255.0

ip nat outside 

 access-list 7 permit 10.10.10.0 0.0.0.255

 ip route 0.0.0.0 0.0.0.0 172.16.130.1

En el ejemplo anterior, se configuró NAT para que realice un sobrecarga en la dirección IP del Serial 0. Esto significa que más de una dirección local interna puede ser traducida dinámicamente a la misma dirección global, en este caso, el direccionamiento asignado al serial0. además, NAT se configura estáticamente para traducir los paquetes originados de la dirección local 10.10.10.1 con el puerto TCP 25 (S TP) al puerto TCP serial 25 del IP Address 0's. Puesto que esto es una entrada NAT estática, los servidores de correo electrónico en el exterior pueden originar los paquetes S TP (puerto TCP 25) a la dirección global de 172.16.131.254.

Nota: Aunque sea posible utilizar a la misma dirección global para el dinámico y NAT estática, siempre que sea posible sea mejor utilizar a diversas direcciones globales.

La tabla de traducción de NAT tiene la entrada siguiente:

NATRouter#show ip nat translations

   Pro Inside global    Inside local   Outside local Outside global

   tcp 172.16.130.2:25  10.10.10.1:25      ---          --- 

La salida nacional del IP del debug muestra la traducción de NAT cuando el InsideA de los accesos del dispositivo del outsideA:

04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1    [9919]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931]

   04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]

   04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935]

   04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]

En síntesis, NAT dinámico requiere paquetes para ser conmutados a través del router NAT con el propósito de generar traducciones NAT en la tabla de traducción. Si usted utiliza el comando ip nat inside, estos paquetes deben originar del interior. Si usa el comando ip nat outside, estos paquetes deben originarse en el exterior.

La NAT estática no requiere la conmutación de los paquetes por el router y las traducciones se ingresan de manera estática a la tabla de traducción.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 13778