IP : Servicios de direccionamiento IP

Configuración simultánea de NAT estático y dinámico

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (24 Enero 2006) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración de NAT
Discusiones relacionadas de la comunidad de soporte de Cisco
Información relacionada

Introducción

En algunos casos, es posible que sea necesario configurar comandos NAT (traducción de dirección de red) estáticos y dinámicos en un router Cisco. En este documento se explica cómo realizar esta operación y se proporciona un caso de ejemplo.

Requisitos previos

Requisitos

Será útil poseer conocimientos básicos de conceptos y operaciones de NAT.

Para obtener información adicional, consulte la sección Información relacionada de este documento.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Routers de la serie Cisco 3600

  • Versión 12.3(3) del software Cisco IOS®

La información que contiene este documento se creó a partir de dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Si desea más información sobre convenciones de documentos, consulte las Convenciones sobre consejos técnicos de Cisco.

Configuración de NAT

Con NAT dinámico, las traducciones no existen en la tabla NAT hasta que el router recibe tráfico que requiere traducción. Las traducciones dinámicas tienen un periodo de tiempo de espera, después del cual se borran de la tabla de traducción.

Con NAT estático, existen traducciones en la tabla de traducción de la NAT tan pronto como se configuran comandos NAT y permanecen en ella hasta que se borran los comandos estáticos NAT.

El siguiente diagrama de red es un ejemplo:

9a.gif

Estos comandos están configurados en el router NAT como se muestra anteriormente:

Router NAT

version 12.3


ip nat pool test 172.16.131.2 172.16.131.10 netmask 255.255.255.0




!--- Consulte
 ip nat pool
 para obtener más información sobre el comando.
.

ip nat inside source list 7 pool test

  !--- Consulte
 ip nat inside source
 para obtener más información sobre el comando.

ip nat inside source static 10.10.10.1 172.16.131.1

 interface e 0

 ip address 10.10.10.254 255.255.255.0

 ip nat inside interface s 0

 ip address 172.16.130.2 255.255.255.0

 ip nat outside

ip route 192.168.1.0 255.255.255.0 172.16.130.1

 access-list 7 permit 10.10.10.0 0.0.0.255

A continuación, indicamos la configuración en el dispositivo OutsideA:

Router OutsideA

version 12.3

hostname outsideA


!
!
!
interface Serial1/0


ip address 172.16.130.1 255.255.255.0


serial restart-delay 0


clockrate 64000


!


interface FastEthernet2/0


ip address 192.168.1.1 255.255.255.0


speed auto


half-duplex


ip route 172.16.131.0 255.255.255.0 172.16.130.2

A continuación, indicamos la configuración en el dispositivo InsideA:

Router InsideA

version 12.3


!

interface Ethernet1/0
 ip address 10.10.10.1 255.255.255.0
 half-duplex
!
ip route 0.0.0.0 0.0.0.0 10.10.10.254
!
!

Si ejecuta el comando show ip nat translations, podrá ver el contenido de la tabla de traducción:

NATrouter#show ip nat translations
Pro Inside global    Inside local    Outside local    Outside global
--- 172.16.131.1     10.10.10.1      ---              ---

Verá que sólo la traducción estática figura en la tabla de traducción. Esta entrada traduce la dirección interna global nuevamente a la dirección interna local, lo que significa que los dispositivos de la nube externa pueden enviar paquetes a la dirección global 172.16.131.1 y alcanzan el dispositivo de la nube interna, que posee la dirección local 10.10.10.1.

A continuación se muestra lo mismo:

outsideA#ping 172.16.131.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.131.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms


 NATrouter#debug ip nat

18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1005]
18:12:06: NAT: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1005]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1006]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1006]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1007]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1007]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1008]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1008]
18:12:06: NAT*: s=172.16.130.1, d=172.16.131.1->10.10.10.1 [1009]
18:12:06: NAT*: s=10.10.10.1->172.16.131.1, d=172.16.130.1 [1009]

No se genera ni se agrega ninguna otra traducción en la tabla de traducción hasta que el router recibe un paquete en su interfaz interna con una dirección de origen permitida por la lista de control de acceso (ACL) 7.

No obstante, como todavía no se han introducido traducciones dinámicas, los dispositivos externos no pueden comunicarse con los internos (excepto 10.10.10.1), ni siquiera si envían paquetes a una dirección global (172.16.131.2 a través de 172.16.131.10). Cuando el router recibe un paquete destinado a una de estas direcciones globales, busca en la tabla de traducción si existe una traducción. Si no hay ninguna, intenta enrutar el paquete. Este comportamiento de NAT se trata en profundidad en Configuración de muestra usando el comando ip nat outside source list y en Configuración de muestra usando el comando ip nat outside source static.

En la topología anterior, si la comunicación entre los dispositivos internos y externos de la red sólo la originan los dispositivos internos, la traducción dinámica funciona bien. Pero ¿qué ocurrirá si se agrega un servidor de correo electrónico en la red interna que necesite recibir paquetes que provengan del exterior? Ahora, debe configurar una entrada estática NAT para que los servidores de correo electrónico externos puedan comunicarse con el servidor de correo electrónico interno. Si en el ejemplo anterior el servidor de correo electrónico es el dispositivo con la dirección local 10.10.10.1, ya tiene una traducción estática.

No obstante, en casos en los que no tenga direcciones globales para reservar y necesite configurar estáticamente un solo dispositivo para NAT, puede utilizar una configuración como la que figura a continuación:

Router NAT

ip nat inside source list 7 interface serial 0 overload


ip nat inside source static tcp 10.10.10.1 25 172.16.130.2 25


!--- Consulte
 ip nat inside source
 para obtener más información sobre el comando.

 interface e 0
 ip address 10.10.10.254 255.255.255.0 
 ip nat inside 

!--- Para obtener más detalles sobre el comando ip nat inside|outside,
!--- consulte ip nat inside
.

 interface s 0

ip address 172.16.130.2 255.255.255.0

ip nat outside  

access-list 7 permit 10.10.10.0 0.0.0.255 
ip route 0.0.0.0 0.0.0.0 172.16.130.1

En el ejemplo anterior, se ha configurado NAT para que realice una sobrecarga en la dirección IP del Serial 0. Esto significa que se puede traducir dinámicamente más de una dirección local interna a la misma dirección global, en este caso, la dirección asignada a Serial 0. Asimismo, NAT se configura estáticamente de modo que los paquetes que tienen su origen en la dirección local 10.10.10.1 con el puerto TCP 25 (SMTP) se traducen al puerto TCP 25 de la dirección IP de serial 0. Dado que esta es una entrada NAT estática, los servidores de correo electrónico del exterior pueden originar paquetes SMTP (puerto TCP 15) a la dirección global de 172.16.131.254.

Nota: Aunque se puede utilizar la misma dirección global para NAT estático y dinámico, siempre que sea posible es mejor utilizar direcciones globales diferentes.

La tabla de traducción NAT tiene la entrada siguiente:

NATRouter#show ip nat translations
   Pro Inside global    Inside local   Outside local Outside global   
   tcp 172.16.130.2:25  10.10.10.1:25      ---          --- 

El resultado de debug ip nat muestra la traducción NAT cuando el dispositivo outsideA accede a InsideA:

04:21:16: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1    [9919]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [0]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9922]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9923]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [1]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [2]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [3]

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9927]

   04:21:16: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [4]

   04:21:16: NAT: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [5] 

   04:21:16: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9931] 

   04:21:17: NAT*: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9934]

   04:21:17: NAT: s=192.168.1.3, d=172.16.130.2->10.10.10.1 [9935] 

   04:21:17: NAT*: s=10.10.10.1->172.16.130.2, d=192.168.1.3 [6]

En síntesis, NAT dinámico requiere que los paquetes se conmuten a través del router NAT con el propósito de generar traducciones NAT en la tabla de traducción. Si ejecuta el comando ip nat inside , dichos paquetes deberán originarse desde el interior. Si ejecuta el comando ip nat outside , los paquetes deberán originarse desde el exterior.

NAT estático no requiere la conmutación de los paquetes a través del router y las traducciones se introducen de manera estática en la tabla de traducción.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 13778