IP : Servicios de direccionamiento IP

Configuración de traducción de dirección de red: Introducción

19 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (16 Marzo 2006) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Pasos de inicio rápido para configurar y desplegar NAT
Definición de interfaces interior y exterior de NAT
Ejemplo: Permiso para que lo usuarios internos accedan a Internet
     Configuración de NAT para permitir que los usuarios internos accedan a Internet
     Configuración de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga
Ejemplo: Habilitación de Internet para acceder a dispositivos internos
     Configuración de NAT para permitir el acceso a dispositivos internos desde Internet
Ejemplo: Redirigir el tráfico de TCP a otro puerto o dirección TCP
     Configuración de NAT para redireccionar el tráfico TCP a otro puerto o dirección TCP
Ejemplo: Uso de NAT durante una transición de red
     Configuración del uso de NAT durante una transición de la red
Ejemplo: Utilización de NAT en redes superpuestas
Verificación de funcionamiento de NAT
Conclusión
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se explica cómo configurar Traducción de dirección de red (NAT) en un router Cisco para utilizarlo en situaciones de red comunes. Este documento está dirigido a quienes utilizan NAT por primera vez.

Nota: En este documento, cuando se hace referencia a Internet o a un dispositivo de Internet, se está haciendo referencia a un dispositivo de cualquier red externa.

Requisitos previos

Requisitos

Para comprender este documento, es preciso disponer de un conocimiento básico de los términos utilizados en relación con NAT. Algunas definiciones se pueden encontrar en NAT: Local and Global Definitions (NAT: definiciones locales y globales)

Componentes utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

  • Routers de la serie 2500 de Cisco

  • Versión 12.2(10b) del software Cisco IOS®

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando antes de ejecutarlo.

Convenciones

Si desea obtener más información sobre las convenciones del documento, consulte las Convenciones sobre consejos técnicos de Cisco.

Pasos de inicio rápido para configurar y desplegar NAT

Cuando se configura NAT, en ocasiones es difícil saber por dónde empezar, en especial si se está iniciando en el uso de NAT. Los pasos que indicamos a continuación le servirán de guía para definir qué desea que NAT realice y cómo configurarlo:

  1. Defina las interfaces NAT interior y exterior.

    • ¿Existen usuarios fuera de las interfaces múltiples?

    • ¿Hay varias interfaces que van a Internet?

  2. Defina qué está tratando de lograr con NAT.

  3. Configure NAT para poder lograr lo que definió arriba. Basándose en lo que definió en el paso 2, deberá determinar qué función, de las que indicamos a continuación, utilizará:

    • NAT estático

    • NAT dinámico

    • Sobrecarga

    • Cualquier combinación de las anteriores

  4. Verifique el funcionamiento de NAT.

Todos los ejemplos de NAT que se exponen a continuación le servirán de guía para los pasos 1 a 3 de Inicio rápido mencionados anteriormente. Estos ejemplos describen algunas situaciones habituales en las que Cisco recomienda implementar NAT.

Definición de interfaces interior y exterior de NAT

El primer paso al implementar NAT es definir las interfaces internas y externas de NAT. Puede ser que le resulte más fácil definir su red interna como interior y la red externa como exterior. Sin embargo, los términos interno y externo también están sujetos a decisión. La siguiente figura muestra un ejemplo de esto.

12a.gif

Ejemplo: Permiso para que lo usuarios internos accedan a Internet

Es posible que desee permitir que los usuarios internos tengan acceso a Internet, aunque puede que no disponga de suficientes direcciones válidas para acomodar a todos. Si todas las comunicaciones con dispositivos de Internet van a originarse en los dispositivos internos, necesitará una única dirección válida o un agrupamiento de direcciones válidas.

La figura siguiente muestra un diagrama de red simple con las interfaces del router definidas como interiores y exteriores:

12b.gif

En este ejemplo, queremos que NAT permita a ciertos dispositivos (los primeros 31 de cada subred) en el interior originar la comunicación con dispositivos en el exterior al traducir sus direcciones no válidas a una dirección o un conjunto de direcciones válidos. La agrupación se ha definido como el rango de las direcciones 172.16.10.1 a 172.16.10.63.

Ahora ya está listo para configurar NAT. Para poder cumplir lo que ha definido anteriormente, utilice NAT dinámico. Con este NAT dinámico, la tabla de traducciones del router estará vacía al principio y se irá llenando cuando el tráfico que debe traducirse pase a través del router. (En oposición a NAT estático, donde una traducción se configura estáticamente y se pone en la tabla de traducciones sin necesidad de que haya tráfico).

En este ejemplo, podemos configurar NAT para traducir todos los dispositivos internos a una única dirección válida o todos los dispositivos internos a la misma dirección válida. Este segundo método se denomina sobrecarga. A continuación se proporciona un ejemplo de cómo configurar cada método.

Configuración de NAT para permitir que los usuarios internos accedan a Internet

Router NAT

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside



!--- Define Ethernet 0 con una dirección IP y como interfaz NAT interior.
interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Define Ethernet 1 con una dirección IP y como interfaz NAT interior.

interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Define serial 0 con una dirección IP y como interfaz NAT exterior.

 ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
 !
!--- Define una agrupación de NAT llamada no-overload con un rango de direcciones
 !--- 172.16.10.1 - 172.16.10.63.


ip nat inside source list 7 pool no-overload
 !
 !
 !--- Indica que a todos los paquetes recibidos en la interfaz interna que
 !--- tienen permiso de la lista de acceso 7
 !--- se les traducirá la dirección de origen a una dirección que esté fuera de la
 !--- agrupación NAT "no-overload".


access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- La lista de acceso 7 permite paquetes con direcciones de origen comprendidas entre
 !--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31. 

Nota: Cisco recomienda encarecidamente que no configure con permit any las listas de acceso a las que hacen referencia comandos de NAT. Si utiliza permit any, NAT puede llegar a consumir demasiados recursos de router, lo que a su vez puede producir problemas en la red.

Observe que en la configuración anterior, access-list 7 sólo permite las primeras 32 direcciones de la subred 10.10.10.0 y las primeras 32 direcciones de la subred 10.10.20.0. Por lo tanto, sólo se traducen estas direcciones de origen. Pueden existir otros dispositivos con otras direcciones en la red interna pero no se traducirán.

El último paso consiste en verificar que NAT esté funcionando correctamente.

Configuración de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga

Router NAT

interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside


!--- Define Ethernet 0 con una dirección IP y como interfaz NAT interior.

interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Define Ethernet 1 con una dirección IP y como interfaz NAT interior.

interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Define serial 0 con una dirección IP y como interfaz NAT exterior.

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
 !

!--- Define una agrupación de NAT llamada ovrld con un rango de una única
!--- dirección IP, 172.16.10.1.

ip nat inside source list 7 pool ovrld overload
 !
 !
 !
 !

!--- Indica que a todos los paquetes recibidos en la interfaz interna que
!--- tienen permiso de la lista de acceso 7 se les traducirá la dirección de origen 
!--- a una dirección que esté fuera de la agrupación de NAT denominada ovrld. 
!--- Las traducciones se sobrecargarán, lo que permitirá traducir varios 
!--- dispositivos internos a la misma dirección IP válida.

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- La lista de acceso 7 permite los paquetes que tienen direcciones de origen comprendidas entre 
!--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31. 

En la segunda configuración anterior, observe que el agrupamiento NAT "ovrld" sólo posee un rango de una dirección. La palabra clave overload utilizada en el comando ip nat inside source list 7 pool ovrld overload permite que NAT traduzca varios dispositivos internos a una única dirección del agrupamiento.

Otra variación de este comando es ip nat inside source list 7 interface serial 0 overload, que configura NAT a sobrecarga en la dirección que está asignada a la interfaz serial 0.

Cuando se configura una sobrecarga, el router mantiene suficiente información de los protocolos de nivel superior (por ejemplo, números de puerto TCP o UDP) para traducir la dirección global a la dirección local correcta. Para obtener información sobre las definiciones de direcciones globales y locales, consulte NAT: Local and Global Definitions (NAT: definiciones locales y globales)

El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Habilitación de Internet para acceder a dispositivos internos

Puede necesitar que dispositivos internos intercambien información con dispositivos en Internet, donde se inicia la comunicación desde los dispositivos de Internet, por ejemplo, el correo electrónico. Por lo general, los dispositivos de Internet envían correo electrónico a un servidor de correo que reside en la red interna.

12c.gif

Configuración de NAT para permitir el acceso a dispositivos internos desde Internet

En este ejemplo, primero definiremos las interfaces interiores y exteriores de NAT, tal como se muestra en el diagrama de red anterior.

En segundo lugar, definiremos que queremos que los usuarios del interior puedan originar comunicaciones con el exterior. Los dispositivos del exterior deben poder originar comunicaciones sólo con el servidor de correo electrónico del interior.

El tercer paso consistirá en configurar NAT. Para realizar las operaciones que acabamos de indicar, podemos configurar juntos NAT dinámico y estático. Para obtener más información sobre cómo configurar este ejemplo, consulte Configuring Static and Dynamic NAT Simultaneously (Configuración simultánea de NAT estática y dinámica).

El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Redirigir el tráfico de TCP a otro puerto o dirección TCP

Tener un servidor Web en una red interna es otro ejemplo de cuándo podría ser necesario que los dispositivos en Internet inicien comunicación con los dispositivos internos. En algunos casos, el servidor Web interno puede configurarse para escuchar el tráfico Web en un puerto TCP que no sea el puerto 80. Por ejemplo, el servidor Web interno puede estar configurado para escuchar el puerto TCP 8080. En dicho caso, puede utilizar NAT para redireccionar al puerto TCP 8080 el tráfico que estaba destinado al puerto TCP 80.

12d.gif

Después de definir las interfaces tal como se indica en el diagrama de red anterior, es posible que decida que NAT redireccione a 172.16.10.8:8080 los paquetes del exterior destinados 172.16.10.8:80. Para ello, puede utilizar un comando nat estático para traducir el número de puerto TCP. A continuación mostramos una configuración de ejemplo.

Configuración de NAT para redireccionar el tráfico TCP a otro puerto o dirección TCP

Router NAT

interface ethernet 0
  ip address 172.16.10.1 255.255.255.0
 ip nat inside


!--- Define Ethernet 0 con una dirección IP y como interfaz NAT interior.

interface serial 0
 ip address 200.200.200.5 255.255.255.252
 ip nat outside

!--- Define serial 0 con una dirección IP y como interfaz NAT exterior.

ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Comando de NAT estático que indica que cualquier paquete recibido dentro de la 
!--- interfaz con una dirección IP de origen de 172.16.10.8:8080 se 
!--- traducirá a 172.16.10.8:80. 

Observe que la descripción de la configuración del comando de NAT estático indica que todos los paquetes recibidos en la interfaz interna con una dirección IP de 172.16.10.8:8080 se traducirán a 172.16.10.8:80. Lo mismo ocurre con todos los paquetes recibidos en la interfaz externa con una dirección de destino de 172.16.10.8:80, cuyo destino se traducirá a 172.16.10.8:8080.

El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Uso de NAT durante una transición de red

La implementación de NAT es útil para redireccionar dispositivos en la red o para reemplazar un dispositivo por otro. Por ejemplo, si todos los dispositivos de la red usan un determinado servidor y debe reemplazarse este servidor por uno nuevo que tenga una nueva dirección IP, la reconfiguración de todos los dispositivos de red para que usen la dirección del nuevo servidor tomará algo de tiempo. Mientras tanto, puede utilizar NAT para configurar los dispositivos mediante la dirección anterior para traducir sus paquetes a fin de comunicarse con el servidor nuevo.

12e.gif

Después de definir las interfaces tal como se indica más arriba, es posible que decida que NAT permita que los paquetes del exterior destinados a la antigua dirección del servidor (172.16.10.8) se traduzcan y se envíen a la nueva dirección del servidor. Observe que el nuevo servidor está en una LAN diferente y que los dispositivos de esta LAN o de cualquier otra LAN a la que se pueda llegar a través de esta LAN (dispositivos en la parte interna de la red) deberían ser configurados, si es posible, para utilizar la dirección IP del nuevo servidor.

Se puede utilizar NAT estático si es necesario. A continuación mostramos una configuración de ejemplo.

Configuración del uso de NAT durante una transición de la red

Router NAT

interface ethernet 0 
ip address 172.16.10.1 255.255.255.0 
ip nat outside


!--- Define Ethernet 0 con una dirección IP y como interfaz NAT exterior.

interface ethernet 1 
ip address 172.16.50.1 255.255.255.0 
ip nat inside

!--- Define Ethernet 1 con una dirección IP y como interfaz NAT interior.

interface serial 0
 ip address 200.200.200.5 255.255.255.252

!--- Define serial 0 con una dirección IP. Esta interfaz no 
!--- participa en NAT.

ip nat inside source static 172.16.50.8 172.16.10.8

!--- Indica que todos los paquetes recibidos en la interfaz interna con 
!--- una dirección IP de 172.16.50.8 se traducirán a 172.16.10.8.

Observe que el comando de NAT de origen interno de este ejemplo también implica que a los paquetes recibidos en la interfaz exterior con una dirección de destino de 172.16.10.8 se les traducirá la dirección de destino a 172.16.50.8.

El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Utilización de NAT en redes superpuestas

Cuando se asignan direcciones IP a los dispositivos internos que ya están siendo utilizados por otros dispositivos en Internet, se produce una superposición de redes. La superposición de redes también se produce cuando dos empresas que utilizan ambas direcciones IP RFC 1918leavingcisco.com en sus redes, se fusionan. Estas dos redes necesitan comunicarse, preferentemente sin tener que reasignar direcciones a todos los dispositivos. Consulte Utilización de NAT en redes superpuestas para obtener más información acerca de cómo configurar NAT para este objetivo.

Verificación de funcionamiento de NAT

Una vez que haya configurado NAT, compruebe que esté funcionando como esperaba. Puede hacer esto de diversas maneras: utilizando un analizador de redes, comandos show o comandos debug . Para consultar un ejemplo detallado de verificación de NAT, consulte Verificación del funcionamiento de NAT y resolución de problemas básicos de NAT.

Conclusión

Los ejemplos de este documento muestran que los pasos de inicio rápido pueden ayudarle a configurar y desplegar NAT. Dichos pasos de inicio rápido incluyen:

  1. Definición de NAT dentro y fuera de las interfaces.

  2. Definición de lo que está tratando de lograr con NAT.

  3. Configuración de NAT para poder lograr lo que definió en el paso 2.

  4. Verificación del funcionamiento de NAT.

En todos los ejemplos anteriores, se han utilizado diversos tipos del comando ip nat inside. También puede utilizar el comando ip nat outside para conseguir los mismos objetivos, siempre teniendo en cuenta el orden de operaciones de NAT. Para consultar ejemplos de configuraciones con comandos ip nat outside, consulte Configuración de muestra usando el comando ip nat outside source list y Ejemplo de configuración usando el comando ip nat outside source static.

Los ejemplos anteriores también han demostrado lo siguiente:

Comando

Acción

ip nat inside source
  • Traduce el origen de los paquetes IP que viajan del interior al exterior.

  • Traduce el destino de los paquetes IP que viajan del exterior al interior.

ip nat outside source
  • Traduce el origen de los paquetes IP que viajan del exterior al interior.

  • Traduce el destino de los paquetes IP que viajan del interior al exterior.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 13772