IP : Servicios de direccionamiento IP

Preguntas frecuentes sobre NAT

19 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (26 Abril 2013) | Comentarios

Preguntas

Introducción
¿Qué es NAT?
¿Cuáles son las principales diferencias entre la función NAT® de Cisco IOS y la implementación de la función NAT de Cisco PIX Firewall?
¿En qué plataformas de ruteo de Cisco está disponible NAT de Cisco IOS? ¿Cómo puedo hacer el pedido?
¿NAT se ejecuta antes o después del ruteo?
¿Cómo adquieren el reconocimiento de ruteo las direcciones IP creadas mediante NAT?
¿Cuántas sesiones NAT simultáneas son soportadas en el NAT de Cisco IOS?
¿Qué tipo de desempeño de ruteo puedo esperar cuando uso la función NAT del software Cisco IOS?
¿Se puede aplicar la NAT de Cisco IOS a las subinterfaces?
¿Se puede usar la función NAT de Cisco IOS con HSRP para proporcionar enlaces redundantes a un ISP?
¿Soporta la función NAT de Cisco IOS traducciones de entrada en un troncal serie que ejecuta Frame Relay y es compatible con las traducciones de salida en el lado Ethernet?
¿Puede un único router NAT permitir a algunos usuarios usar NAT y permitir a otros usuarios de la misma interfaz Ethernet continuar con su propia IP estática?
¿Qué es PAT, o sobrecarga de NAT?
En una configuración de PAT (sobrecarga de NAT), ¿cuál es el número máximo de traducciones que se pueden establecer para cada dirección IP global interna?
¿Cómo funciona PAT?
¿Cuál es el número máximo de agrupaciones IP de NAT que se pueden configurar (con el comando ip nat pool <name>)?
¿Qué es la superposición de direcciones de IP según se entiende en el contexto de NAT?
¿Es posible crear una configuración con traducciones NAT estáticas y dinámicas?
¿Puede el software Cisco IOS soportar múltiples tablas NAT externas?
¿Por qué debo configurar una máscara de subred cuando configuro una agrupación de direcciones NAT?
¿Puedo asignar direcciones IP de la subred de la interfaz exterior del router NAT a una agrupación NAT dinámica?
¿Gestiona correctamente el router los redireccionamientos de ICMP?
¿La función NAT de Cisco es compatible con todo el tráfico de las aplicaciones?
¿Por qué la función NAT de Cisco IOS no es compatible con el tráfico SNMP?
¿Cómo se manejan los protocolos de resolución de dirección (ARP) para las direcciones IP generadas por NAT?
La función NAT de Cisco IOS, ¿es compatible con las consultas de DNS?
¿Soporta la función NAT de Cisco IOS listas de control de acceso (ACL) que permiten ninguno o todos los paquetes?
¿Por qué el FTP activo funciona con (reenvío de puerto) estático/ampliado pero no funciona con PAT?
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se ofrecen respuestas a algunas de las preguntas más frecuentes relacionadas con la función Traducción de direcciones de red (NAT) del software Cisco IOS®.

Consulte Convenciones de consejos técnicos de Cisco para obtener más información acerca de convenciones de los documentos.

P. ¿Qué es NAT?

R. NAT significa traducción de direcciones de red. La función NAT se ha diseñado para simplificar y conservar direcciones IP. Permite que las interredes IP privadas que usan direcciones IP no registradas puedan conectarse a Internet. NAT se ejecuta en un router, generalmente, conectando dos redes juntas, y traduce las direcciones privadas (no universalmente únicas) de la red interna en direcciones legales antes de reenviar paquetes a otra red. Como parte de esta funcionalidad, NAT se puede configurar para anunciar una o muy pocas direcciones para toda la red al mundo exterior. De esta forma, se ofrece más seguridad y se oculta de forma efectiva toda la red interna del mundo que está detrás de dicha dirección. NAT ofrece una doble función de seguridad y conservación de red, y generalmente, se implementa en entornos de acceso remoto. Consulte Cómo funciona NAT para obtener más detalles sobre el funcionamiento de NAT.

P. ¿Cuáles son las principales diferencias entre la función NAT® de Cisco IOS y la implementación de la función NAT de Cisco PIX Firewall?

R. La función NAT del software Cisco IOS no es diferente de la función NAT de PIX Firewall. Las principales diferencias tienen que ver con los diferentes tipos de tráfico compatibles con la función NAT de Cisco IOS y en la implementación de NAT en PIX. Consulte Cisco PIX 500 Series Firewalls (Firewalls Cisco PIX serie 500) y los NAT Configuration Examples (Ejemplos de configuración de NAT) si desea información detallada acerca de la configuración de la función NAT en PIX (incluidos los tipos de tráfico que son compatibles).

P. ¿En qué plataformas de ruteo de Cisco está disponible NAT de Cisco IOS? ¿Cómo puedo hacer el pedido?

R. La herramienta de Cisco Software Advisor (solamente clientes registrados) Asesor de software) (buscar por función) ofrece a los clientes una herramienta para identificar la versión y la plataforma de cualquier función Cisco IOS que esté disponible. Si desea saber si NAT es compatible con una determinada plataforma, vaya a Software Advisor (solamente clientes registrados) Asesor de software), seleccione la opción Find software with the features I need (Encontrar software con las funciones que necesito), especifique el producto y la información de software, y seleccione la función NAT y después la plataforma en cuestión. La herramienta proporciona el mínimo software Cisco IOS que es compatible con la función de la plataforma.

Por motivos históricos:

  • Cuando se lanzó por primera vez en la versión 11.2 del software Cisco IOS, NAT sólo estaba disponible en las imágenes Plus.
  • Con Cisco IOS 11.3, PAT estaba disponible en todas las imágenes de IP mientras que la versión completa de NAT (1-1 y PAT) sólo lo estaba en las imágenes Plus.
  • Con la versión 12.0 del software Cisco IOS, todas las imágenes IP ofrecen la función NAT completa.

Esta tabla proporciona información de compatibilidad de Cisco IOS y NAT.

Versión del software Cisco IOS Soporte de NAT en imágenes base Soporte de NAT en imágenes Plus Soporte IP fácil Plataformas de hardware soportadas
11.2 Ninguno NAT Ninguno Cisco 1000, 2500, 4x00, AS5200, 7200, RSP7000, 7500
11.2P Ninguno NAT Ninguno Cisco 1000, 1600, 2500, 3620, 3640, 4x00, AS5200, AS5300, Cat5000 RSM, 7200, RSP7000, 7500
11.3 Únicamente PAT NAT Fase 1 Cisco 1000, 1600, 2500, 3620, 3640, 4x00, AS5200, 7200, RSP7000, 7500
11.3T Únicamente PAT NAT Fase 1 Cisco 1000, 1600, 2500, 2600, 3620, 3640, 4x00, AS5200, AS5300, Cat5000 RSM, 7200, RSP7000, 7500
12.0 NAT NAT Fase 1 Cisco 1600, 2500, 2600, 3620, 3640, 4000, 4500, 4700, AS5x00, Cat5000 RSM, 7200, RSP7000, 7500
12.0T NAT NAT Fase 2 Cisco 8001, 1400, 1600, 1700, 25002, 2600, 36x0,MC3810, C4x00, AS5x00,Cat5000 RSM, Cat5000 RSFC, 7100, 7200, uBR9x0, uBR72003, RSP7000, 7500
12.1 NAT NAT Fase 2 Cisco 8001, 1400, 1600, 1700, 25002, 2600, 36x0, MC3810, C4x00, AS5x00, Cat5000 RSM, Cat5000 RSFC, 7100, 7200, ubr9x0, uBR72003, RSP7000, 7500, RPM
12.1T NAT NAT Fase 2 Cisco 8001, 1400, 16004, 17002,4, 2500, 2600, 36x0, MC3810, C4x00, AS5x00, Cat5000 RSM, Cat5000 RSFC, 7100, 7200, ubr9x0, uBR72003, RSP7000, 7500, RPM
12.2 NAT NAT Fase 2 Cisco1400, 1601-1604, 1601R-1605R,1720,1750,2501-2525,2610XM-2611XM,2620-2621, 2620XM-2621XM, 2650XM-2651XM, 2650-2651, 3620,3640,3640A, 3660, 4500,7100, 7200,7500,800,8850RPM-PR,AS5300, AS5400,CAT4500-AGM, CAT5000-RSM, ICS7700,MC3810,SLT,UBR910, 920
12.2T NAT NAT Fase 2 Cisco 1710, 1721,1751,1751-V,1760,1720,1750,2501-2525,2610XM-2611XM,2620-2621, 2620XM-2621XM, 2650XM-2651XM, 2650-2651, 3620,3640,3640A, 3660, 3725,3745,6400-NPR-1, 6400-NPR-2SV,6400-NSP,7100, 7200,7400,7500,800,8850RPM-PR,AS5300, AS5350,AS5400,AS5400HPX, CAT4500-AGM, CVA 120, CAT5000-RSM, ICS7700,MC3810,SLT, SOHO76, 77, 78, UBR7200,UBR905,925.
12.3 NAT NAT Fase 2 Cisco 1400, 1601-1604, 1601R-1605R,1710,1720,1721,1750,1751-V,1751,1760,2501-2525,2610XM-2611XM, 2620XM-2621XM, 2650XM-2651XM, 2650-2651,2691, 3620,3631,3640,3640A, 3660, 3725,3745,6400-NRP1, 6400-NRP-2SV, 6400- NSP, 7200,7301,7400,7500,800,8850RPM-PR,AS5300, AS5350, AS5400,AS5400HPX, AS5850- RSC,CAT4224,CAT4500-AGM, CVA120, ICS7700,MC3810,SCT, SOHO76,77,78, UBR905, 925.
12.3T NAT NAT Fase 2 Cisco 1701,1710,1711, 1712,1720,1721,1751-V,1751,1760, 2610XM-2611XM, 2620XM-2621XM, 2650XM-2651XM, 2691, 28X1,3620,3631,3640,3640A, 3660, 3725,3745,6400-NRP1, 6400-NRP-2SV, 6400- NSP, 7200,7301,7400,7500,800,8850RPM-PR,AS5300, AS5350, AS5400,AS5400HPX, AS5850- RSC,CAT4224,CAT4500-AGM, CVA120, ICS7700,MC3810,SCT, SOHO78, SOHO91, 96,97, UBR905, 925, VG224.,

Nota: Puede conseguir esta información en el Feature Navigator Tool (Navegador de funciones de Cisco) (solamente clientes registrados).

  • No se encuentra disponible la funcionalidad NAT en uBR7200 en la imagen del software del proveedor del servicio. La funcionalidad del servidor de Protocolo de configuración de host dinámico (DHCP) se encuentra disponible en uBR7200 en la imagen del software del proveedor del servicio (-p).
  • En 2500 a partir de la versión principal 11.2 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no son compatibles con NAT.
  • En 2600 a partir de la versión principal 12.2T del software Cisco IOS en imagen Enterprise Base.
  • En 3620 a partir de la versión principal 11.2P del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no son compatibles con NAT.
  • En 3640 a partir de la versión principal 11.3 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no son compatibles con NAT.
  • En 4000 a partir de la versión principal 11.2 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no son compatibles con NAT.
  • En 4500 a partir de la versión principal 11.2 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no son compatibles con NAT.
  • En AS5300 a partir de la versión principal 11.2P del software Cisco IOS en imagen Enterprise plus. AS5800 es compatible con NAT. Compatibilidad para SIP y compatibilidad NAT para NetMeeting Directory.
  • Catalyst 5000 RSM a partir de la versión principal 11.3T del software Cisco IOS en imagen Enterprise. 7200 – Se ofrece compatibilidad para NAT a partir de la versión principal 11.2 del software Cisco IOS.
  • 7500 – Se ofrece compatibilidad para NAT a partir de la versión principal 11.2.
  • En Cisco 3825 y 3845 en imágenes Base IP a partir de la versión 12.3T del software Cisco IOS.
  • NAT es compatible en 1600, a partir de la versión 11.3 base IP del software Cisco IOS y en 2500 a partir de la versión 11.3 base IP del software Cisco IOS.
  • 1 NAT es compatible con todas las imágenes del software Cisco IOS para Cisco 800 a partir de la versión 12.0(3)T del software Cisco IOS.
  • 1 NAT es compatible con todas las imágenes del software Cisco IOS para Cisco 1700 a partir de la versión 12.2ZH del software Cisco IOS.
  • 3 NAT y la funcionalidad de servidor DHCP sólo están disponibles en la plataforma uBR7200 en la imagen del software Service Provider Plus (-ps) a partir de la versión 12.0(3)T del software Cisco IOS.
  • 4 Todas las plataformas que no sean uBR7200 requieren una imagen J u O (Enterprise o Cisco IOS Firewall respectivamente) para conseguir la compatibilidad para la aplicación NetMeeting de Microsoft dentro de la función NAT de Cisco IOS.

P. ¿NAT se ejecuta antes o después del ruteo?

R. La traducción de adentro hacia fuera ocurre después del ruteo y la traducción de afuera hacia adentro tiene lugar antes del ruteo. Consulte Secuencia de funcionamiento de NAT si desea más información.

P. ¿Cómo adquieren el reconocimiento de ruteo las direcciones IP creadas mediante NAT?

R. Se tiene conocimiento del ruteo para las direcciones IP creadas por NAT si:

  • La agrupación de direcciones globales internas se deriva de la subred de un router de salto siguiente (next hop).
  • La entrada de ruta estática se configura en el router de salto siguiente (next hop) y se redistribuye en la red de ruteo.

P. ¿Cuántas sesiones NAT simultáneas son soportadas en el NAT de Cisco IOS?

R. La cantidad de DRAM disponible en el router determina el límite de la sesión NAT. Cada traducción NAT consume cerca de 160 bytes de DRAM. El resultado es que 10.000 traducciones (más de lo que habitualmente gestionaría un único router) pueden consumir alrededor de 1,6 MB. Por lo tanto, una plataforma de ruteo normal dispone de memoria suficiente para soportar miles de traducciones NAT.

P. ¿Qué tipo de desempeño de ruteo puedo esperar cuando uso la función NAT del software Cisco IOS?

R. La función NAT de Cisco IOS soporta la conmutación de Cisco Express Forwarding (CEF), la conmutación rápida y la conmutación de procesos.

El desempeño depende de estos factores:

  • El tipo de aplicación y el tipo de tráfico (¿incluye direcciones IP?)
  • ¿Los mensajes múltiples reciben intercambio que necesita ser examinado?
  • ¿Necesita un puerto de origen específico o negocia uno?
  • Cantidad de traducciones.
  • ¿Qué más se ejecuta en el equipo al mismo tiempo?
  • El tipo de plataforma y procesador.

Para la mayoría de aplicaciones, la reducción del desempeño producida por la función NAT debería ser insignificante.

P. ¿Se puede aplicar la NAT de Cisco IOS a las subinterfaces?

R. Sí. Puede aplicar traducciones NAT de origen y/o de destino a cualquier interfaz o subinterfaz que contenga una dirección IP (incluidas las interfaces de marcador).

P. ¿Se puede usar la función NAT de Cisco IOS con HSRP para proporcionar enlaces redundantes a un ISP?

R. No. En este escenario y en versiones anteriores de Cisco IOS, el router en espera no tiene la tabla de traducción del router activo. Es por ello que cuando la transición tiene lugar, las conexiones exceden el tiempo de espera y no pueden establecerse.

En la versión 12.2(13)T del software Cisco IOS y en versiones posteriores, la función Stateful Failover of Network Address Translation se puede configurar para que funcione con el Protocolo de ruteo de en espera en caliente (HSRP) para proporcionar redundancia. Consulte NAT - Soporte para la asignación estática con HSRP para alta disponibilidad si desea más información.

P. ¿Soporta la función NAT de Cisco IOS traducciones de entrada en un troncal serie que ejecuta Frame Relay y es compatible con las traducciones de salida en el lado Ethernet?

R. Sí.

P. ¿Puede un único router NAT permitir a algunos usuarios usar NAT y permitir a otros usuarios de la misma interfaz Ethernet continuar con su propia IP estática?

R. Sí. Puede conseguirlo si usa una ACL que describa el conjunto de hosts o redes que requieren traducción NAT. Todas las sesiones en el mismo host se traducen o pasan a través del router sin ser traducidas.

Las ACL, ACL extendidas y mapas de ruta pueden usarse para definir reglas que indiquen qué dispositivos IP se traducirán. Especifique siempre la dirección de red y la máscara de subred adecuada. No utilice la palabra clave any en lugar de la dirección de red y máscara de subred.

ip nat inside source static 10.1.1.10 140.16.1.254
!--- Traducción estática para el servidor DNS ns.bar.com.

ip nat outside source static 10.1.1.10 192.168.1.254
!--- Traducción estática para el servidor DNS ns.foo.com.

ip nat pool iga 140.16.1.1 140.16.1.253 netmask 255.255.255.0
!--- Traducciones dinámicas de dirección IL->IG.

ip nat pool ola 192.168.1.1 192.168.1.253 netmask 255.255.255.0
!--- Traducciones dinámicas de dirección OG->OL.

ip nat inside source list 1 pool iga

ip nat outside source list 2 pool ola

access-list 1 permit 10.2.17.0 .255.255.255.0
!--- Traducir todo el tráfico desde los hosts internos 10.2.17.

access-list 2 permit 10.0.0.0 255.0.0.0
!--- Traducir todo el tráfico originado externamente.

P. ¿Qué es PAT, o sobrecarga de NAT?

R. PAT, o la sobrecarga de NAT, es una función de NAT de Cisco IOS y puede usarse para traducir muchas direcciones privadas internas (en el área local) hacia una o más direcciones IP externas (generalmente registradas - dentro del área global). Para distinguir las conversaciones, se usan números de puerto de origen únicos en cada traducción.

Con la sobrecarga de NAT se crea un registro en la tabla de traducción que contiene la dirección completa y la información de puerto de origen.

P. En una configuración de PAT (sobrecarga de NAT), ¿cuál es el número máximo de traducciones que se pueden establecer para cada dirección IP global interna?

R. PAT (la sobrecarga de NAT) divide los puertos disponibles por dirección IP global en tres intervalos de 0-511, 512-1023, y 1024-65535. PAT (sobrecarga de NAT), asigna un único puerto de origen para cada sesión de Protocolo de datagrama de usuario (UDP) o Protocolo de control de transmisión (TCP). Intenta asignar el mismo valor de puerto de la solicitud original. Sin embargo, si el puerto de origen original ya se ha usado, comienza a buscar desde el principio del rango de puerto determinado para encontrar el primer puerto disponible y asignarlo a la conversación.

P. ¿Cómo funciona PAT?

R. PAT con una dirección IP:

  1. NAT/PAT inspecciona el tráfico y lo hace coincidir con una regla de traducción.
  2. La regla coincide con una configuración de PAT.
  3. ¿Conoce PAT el tipo de tráfico y tiene éste un conjunto específico de puertos, o puertos que negocie y vaya a utilizar? Si los tiene, resérvelos y no los asigne como identificadores únicos.
  4. Las sesiones sin requisitos de puertos especiales intentan conectarse. PAT traduce la dirección IP de origen y comprueba la disponibilidad del puerto de origen creado (por ejemplo, 433). Los grupos son 1-511, 512-1023 y 1024-65535.

    Nota: Para TCP y UDP, los grupos son 1-511, 512-1023, 1024-65535. Para ICMP, el primer grupo empieza en 0.

  5. Si el puerto de origen solicitado está disponible, asigna el puerto de origen y la sesión continúa.
  6. Si el puerto de origen solicitado no está disponible, la función NAT comienza a buscar desde el principio del grupo correspondiente. En este ejemplo, empieza en 1 para aplicaciones TCP o UDP y en 0 para ICMP.
  7. Si existe un puerto disponible, éste se asigna y la sesión prosigue.
  8. Si no hay puertos disponibles, el paquete se pierde.

PAT con múltiples direcciones IP:

Use la misma lógica que con la dirección IP única (pasos 1 a 8) y:

  1. Si ningún puerto está disponible en el grupo relevante en la primera dirección IP, NAT pasa a la próxima dirección IP en el grupo y trata de asignar el puerto de origen requerido en primer lugar.
  2. Si el puerto de origen solicitado está disponible, asigna el puerto de origen y la sesión continúa.
  3. Si el puerto de origen solicitado no está disponible, la función NAT comienza a buscar desde el principio del grupo correspondiente. En este ejemplo, empieza en 1 para aplicaciones TCP o UDP y en 0 para ICMP.
  4. Si existe un puerto disponible, éste se asigna y la sesión prosigue.
  5. Si ningún puerto está disponible, se descarta el paquete a menos que otra dirección IP esté disponible en la agrupación y hasta que se hayan verificado todas las direcciones IP.

P. ¿Cuál es el número máximo de agrupaciones IP de NAT que se pueden configurar (con el comando ip nat pool <name>)?

R. No hay un límite real. En la práctica, sin embargo, el número máximo de agrupaciones IP configurables está limitado por la cantidad de DRAM disponible en el router que se está usando.

P. ¿Qué es la superposición de direcciones de IP según se entiende en el contexto de NAT?

R. La superposición de direcciones IP hace referencia a la situación en la que las dos ubicaciones que desean interconectarse usan el mismo esquema de direcciones IP. No es un caso poco frecuente, y ocurre a menudo cuando se adquieren compañías o cuando éstas se fusionan. Sin soporte especial, las dos ubicaciones no pueden conectarse y establecer sesiones. Las direcciones IP superpuestas pueden ser direcciones públicas asignadas a otras compañías, direcciones privadas ya asignadas a otras compañías o procedentes del rango de direcciones privadas definidas en RFC 1918leavingcisco.com. Las direcciones IP privadas no pueden enrutarse y requieren traducciones NAT para permitir las conexiones al mundo exterior. La solución pasa por interceptar las respuestas de la consulta de nombre DNS desde afuera hacia adentro, establecer una traducción para la dirección externa y reparar la respuesta DNS antes de que ésta se reenvíe al host interno. Se requiere la participación de un servidor DNS en ambos lados del dispositivo NAT, para determinar los usuarios que desean conectarse entre las dos redes.

NAT puede inspeccionar y efectuar la traducción de dirección en los contenidos de los registros DNS A y PTR. Consulte Utilización de NAT en redes superpuestas si desea más información.

P. ¿Es posible crear una configuración con traducciones NAT estáticas y dinámicas?

R. Sí, es posible. Las advertencias que usan las direcciones globales en las traducciones estáticas no se excluyen automáticamente con las agrupaciones dinámicas que contienen estas direcciones globales. Debe crear agrupaciones dinámicas para excluir direcciones asignadas a través de entradas estáticas.

P. ¿Puede el software Cisco IOS soportar múltiples tablas NAT externas?

R. Sí, puede hacerlo si usa mapas de ruta. El comando dynamic translation puede especificar un mapa de ruta que debe procesarse en lugar de una ACL. Un mapa de ruta permite al usuario hacer coincidir cualquier combinación de ACL, direcciones IP de salto siguiente e interfaces de salida para determinar la agrupación que se va a usar. Consulte NAT Support for Multiple Pools Using Route Maps (Soporte NAT para múltiples agrupaciones que usan mapas de ruta) si desea más información sobre la configuración de NAT con mapas de ruta.

P. ¿Por qué debo configurar una máscara de subred cuando configuro una agrupación de direcciones NAT?

R. La máscara de subred se usa para verificar las direcciones asignadas desde la agrupación (por lo que no asigna las direcciones de difusión de subred, por ejemplo). La máscara de subred debe coincidir con el tamaño de la subred a la cual se está traduciendo.

P. ¿Puedo asignar direcciones IP de la subred de la interfaz exterior del router NAT a una agrupación NAT dinámica?

R. Sí. El router NAT responde a las solicitudes de ARP para estas direcciones IP en la agrupación dinámica.

P. ¿Gestiona correctamente el router los redireccionamientos de ICMP?

R. Sí.

P. ¿La función NAT de Cisco es compatible con todo el tráfico de las aplicaciones?

R. El tráfico de aplicación es transparente para la función NAT de Cisco IOS a menos que:

  • Existen direcciones IP incluidas en la porción de datos.
  • Una aplicación requiere valores de puertos de origen/destino negociados o establecidos previamente.

La función NAT del software Cisco IOS efectúa una inspección de estado y necesita tener conocimientos previos de todas las aplicaciones que incluyen o requieren puertos de origen específicos.

Cisco soporta, por ejemplo, la traducción de las direcciones IP incluidas en los registros DNS A y PTR, y es compatible con FTP y las versiones 2.11 (4.3.2519) y 3.01 (4.4.3385) de NetMeeting porque reserva los valores del puerto de origen que necesitan. Cisco no asigna estos valores del puerto de origen cuando usa la función PAT o la función de sobrecarga de NAT de Cisco IOS.

Con direcciones IP incluidas, la función NAT del software Cisco IOS debe tener conocimiento de mensajes que contengan las direcciones incluidas y el desplazamiento dentro de estos mensajes. Si la dirección o direcciones incluidas se corresponden con reglas configuradas, se traducen en función de la configuración. Una aplicación que incluye direcciones IP (desconocidas para el NAT del software Cisco IOS) no funciona correctamente en una configuración de la función NAT de Cisco IOS.

Una excepción sería usar un protocolo de tunelización como el Protocolo de tunelización punto a punto (PPTP). En este caso, no se traducen las direcciones IP incluidas en los paquetes de túnel. El usuario, sin embargo, tiene una extensión virtual de su red propia y usa el esquema de direccionamiento de la red propia. Si este usuario fuera a acceder al exterior a través de su red propia, podría optar por aplicar NAT en este momento.

Las direcciones IP incluidas son un problema, más allá del tipo de traducción que haya configurado en la función NAT de Cisco IOS (simple, extendida, sobrecarga, entre otras).

Los valores de puerto de origen predefinidos o negociados sólo son un problema cuando usa la función PAT o sobrecarga de NAT de Cisco IOS. PAT multiplexa varias conversaciones IP en una o más direcciones, y usa el puerto de origen para identificar de forma exclusiva las conversaciones de cada dirección IP. La función PAT debe reservar todos los valores de puerto específicos de los que tiene conocimiento en caso de que reciba una conversación para dichos tipos de aplicación (FTP, NetMeeting, etc.).

P. ¿Por qué la función NAT de Cisco IOS no es compatible con el tráfico SNMP?

R. El formato del paquete SNMP depende del MIB que se usa y no es descriptivo. No hay un único formato para las solicitudes y las respuestas de SNMP que pueden procesarse de una manera general.

P. ¿Cómo se manejan los protocolos de resolución de dirección (ARP) para las direcciones IP generadas por NAT?

R. La función NAT de Cisco IOS genera un registro ARP para las direcciones IP creadas por la función NAT que señala la dirección MAC de la interfaz al que está asociada la agrupación de direcciones IP de NAT.

Por ejemplo, cuando se efectúa la traducción de origen interna, si la agrupación de direcciones globales internas está asociada a un subred de una interfaz externa (S0, por ejemplo), los registros ARP para estas direcciones IP usan la dirección MAC de S0.

P. La función NAT de Cisco IOS, ¿es compatible con las consultas de DNS?

R. Sí, la función NAT de Cisco IOS no traduce la dirección o direcciones que aparecen en las respuestas de DNS en búsquedas de nombre (consultas A) y búsquedas inversas (consultas PTR). Si un host exterior envía una búsqueda de nombre a un servidor DNS en el interior y ese servidor responde con una dirección local, el código NAT traduce esa dirección local en una global. Al revés también es cierto, y es la forma en que Cisco soporta direcciones IP que se superponen. Un host interno hace una consulta a un servidor DNS externo, la respuesta contiene una dirección que coincide con la ACL especificada en el comando de origen externo y el código traduce la dirección externa global en una dirección local externa.

Los valores Tiempo para vivir (TTL) de todos los registros de recursos DNS (RR) que reciben las traducciones de dirección en cargas útiles de RR se establecen automáticamente en cero.

La función NAT de Cisco IOS no traduce las direcciones IP incluidas en las transferencias de zona DNS.

P. ¿Soporta la función NAT de Cisco IOS listas de control de acceso (ACL) que permiten ninguno o todos los paquetes?

R. Cuando configura la función NAT de Cisco IOS para la traducción NAT dinámica, se usa una ACL para identificar los paquetes que se pueden traducir. La arquitectura actual de NAT no soporta el uso de ninguno o de todos los paquetes en las ACL que usa NAT. Si se usa ninguno o todos los paquetes, puede producirse un comportamiento inesperado.

P. ¿Por qué el FTP activo funciona con (reenvío de puerto) estático/ampliado pero no funciona con PAT?

R. El motivo es que cuando abre la conexión FTP, se conecta con el puerto 21 en el servidor remoto FTP. Pero cuando ejecuta "ls", "put", get" o cualquier otro comando que necesite usar un puerto de datos, el servidor abre otra conexión para el cliente. Cuando abre la conexión FTP original desde dentro y el router finge que es usted un determinado IP externo, y selecciona un número de puerto aleatorio para usar, el servidor FTP cree que está hablando con dicha dirección IP y dicho número de puerto. Por lo tanto, cuando tiene que abrir otra vez la conexión de datos, debido a un "get" o "ls", intenta abrir una conexión TCP desde el puerto 20 a un puerto aleatorio que el servidor decida. Mientras, en el IP externo con el que cree que está hablando, el router oye tráfico dirigido a su IP externo, pero no tiene ninguna correlación PAT para dicho número de puerto aleatorio que el servidor ha seleccionado. Por lo tanto, no sabe que el tráfico debe volver atrás, al cliente.

El puerto 20 no se establece nunca. La solución es usar el modo "FTP pasivo". El FTP pasivo tiene el cliente abierto en las conexiones del puerto 21 y del puerto 20 desde el inicio. El router tiene conocimiento de los dos y no sólo del puerto 21, y permite al servidor abrir el puerto 20.

Consulte Análisis del protocolo de transferencia de archivo (FTP)leavingcisco.com si desea más información sobre FTP.

Necesita traducciones ampliadas para el puerto 20 y 21 con correlaciones estáticas (dirección de ejemplo)

ip nat inside source static tcp 192.168.0.4 20 66.46.64.82 20 extendable
ip nat inside source static tcp 192.168.0.4 21 66.46.64.82 21 extendable  

La forma de trabajar del FTP activo no permite el uso de la función NAT dinámico. En este caso, sólo se puede usar la función NAT estático. Ésta es una limitación de FTP.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 26704