Configuración de Traducción de dirección de red

Opciones de descarga

  • PDF     (468.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (258.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (275.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:24 de abril de 2025
ID del documento:13772

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describe cómo configurar la Network Address Translation (NAT) en un router de Cisco.

    Prerequisites

    Requirements

    Para entender este documento, hay que tener un conocimiento básico de los términos que se utilizan en relación con NAT. 

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco 2500 Series Routers

    • Versión 12.2(10b) del software del IOS® de Cisco

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Convenciones

    Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

    Pasos de inicio rápido para configurar e implementar NAT

    Nota: En este documento, cuando se hace referencia a Internet o a un dispositivo de Internet, se está haciendo referencia a un dispositivo de cualquier red externa.

    En ocasiones, cuando se configura el proceso NAT, resulta difícil saber por dónde empezar, especialmente si no se tienen conocimientos al respecto. Los pasos incluidos a continuación lo guiarán para definir qué quiere que realice NAT y cómo configurar este proceso:

    1. Defina las interfaces NAT interiores y exteriores.

      • ¿Existen usuarios fuera de las interfaces múltiples?

      • ¿Hay varias interfaces disponibles para Internet?

    2. Defina lo que desea lograr con NAT.

      • ¿Desea permitir que los usuarios internos accedan a Internet?

      • ¿Desea permitir que Internet acceda a los dispositivos internos (como un servidor de correo o un servidor web)?

      • ¿Desea redirigir el tráfico TCP a otro puerto o dirección TCP?

      • ¿Desea utilizar NAT durante una transición de red (por ejemplo, ha cambiado una dirección IP de servidor y hasta que pueda actualizar todos los clientes, desea que los clientes no actualizados puedan acceder al servidor con la dirección IP original y permitir que los clientes actualizados accedan al servidor con la nueva dirección)?

      • ¿Desea permitir que se comuniquen las redes que se superponen?

    3. Configure NAT para lograr lo que definió previamente. En función de lo que haya definido en el paso 2, debe determinar cuáles de las siguientes funciones debe utilizar:

      • NAT estática

      • NAT dinámica

      • Overloading

      • Cualquier combinación de estas funciones.

    4. Verifique el funcionamiento de NAT.

    Cada uno de estos ejemplos de NAT lo guía a través de los pasos 1 a 3 de los Pasos de inicio rápido de la imagen anterior. Estos ejemplos describen algunos escenarios frecuentes en los cuales Cisco recomienda la implementación de NAT.

    Defina las interfaces NAT interiores y exteriores

    El primer paso de la implementación de NAT consiste en definir las interfaces NAT interiores y exteriores. Le resultará más sencillo definir la red interna como interna y la red externa como externa. Sin embargo, los términos interno y externo también están sujetos a decisión. Esta figura muestra un ejemplo de esto.

    NAT TopologyTopología NAT

    Examples

    1. Permitir el acceso de usuarios internos a Internet

    ¿Es posible que desee permitir a los usuarios internos acceder a Internet, pero no tiene suficientes direcciones válidas para alojar a todos. Si toda la comunicación con los dispositivos en Internet es iniciada por los dispositivos internos, usted necesita una sola dirección válida o un conjunto de direcciones válidas.

    Esta imagen muestra un diagrama de red simple con las interfaces del router definidas como internas y externas.

    Available Valid AddressesDirecciones válidas disponibles

    En este ejemplo, desea que NAT permita que ciertos dispositivos (los primeros 31 de cada subred) en el interior originen comunicación con dispositivos en el exterior y traduzcan su dirección no válida a una dirección válida o conjunto de direcciones. El conjunto se ha definido como el rango de las direcciones de 172.16.10.1 a 172.16.10.63.

    Ahora puede configurar NAT. Para lograr lo que se define en la imagen anterior, utilice NAT dinámica. Con NAT dinámica, la tabla de traducción en el router está inicialmente vacía y se completa una vez que el tráfico que necesita ser traducido pasa por el router. Esto se opone a la NAT estática, en la que una traducción se configura estáticamente y se coloca en la tabla de traducción sin la necesidad de ningún tráfico.

    En este ejemplo, puede configurar NAT para traducir cada uno de los dispositivos interiores a una sola dirección válida o para traducir cada uno de los dispositivos interiores a la misma dirección válida. Este segundo método se conoce como overloading. Aquí se incluye un ejemplo de cómo configurar cada método.

    Configuración de NAT para permitir que los usuarios internos accedan a Internet

    Router NAT 
    interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.

 
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24


!--- Defines a NAT pool named no-overload with a range of addresses 
    !--- 172.16.10.1 - 172.16.10.63.
    

ip nat inside source list 7 pool no-overload 


!--- Indicates that any packets received on the inside interface that 
    !--- are permitted by access-list 7 has 
    !--- the source address translated to an address out of the 
    !--- NAT pool "no-overload".
    

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
    !--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.

    Nota: Cisco recomienda encarecidamente no configurar las listas de acceso a las que hacen referencia los comandos NAT con permit any. Si utiliza permit any en NAT, consume demasiados recursos del router que pueden causar problemas de red.

    Observe en la configuración anterior que la lista de acceso 7 sólo permite las primeras 32 direcciones de la subred 10.10.10.0 y las primeras 32 direcciones de la subred 10.10.20.0. Por lo tanto, sólo se traducen estas direcciones de origen. Puede haber otros dispositivos con otras direcciones en la red interna, pero éstas no se traducen.

    Configuración de NAT para permitir que los usuarios internos accedan a Internet con sobrecarga

    Router NAT 
    interface ethernet 0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface ethernet 1
 ip address 10.10.20.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 172.16.10.64 255.255.255.0
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
    

!--- Defines a NAT pool named ovrld with a range of a single IP 
    !--- address, 172.16.10.1.
    

ip nat inside source list 7 pool ovrld overload


!--- Indicates that any packets received on the inside interface that 
    !--- are permitted by access-list 7 has the source address 
    !--- translated to an address out of the NAT pool named ovrld. 
    !--- Translations are overloaded, which allows multiple inside 
    !--- devices to be translated to the same valid IP address. 
    
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!--- Access-list 7 permits packets with source addresses ranging from 
    !--- 10.10.10.0 through 10.10.10.31 and 10.10.20.0 through 10.10.20.31.

    Observe que en la segunda configuración anterior, el conjunto ovrld NAT sólo tiene un rango de una dirección. La palabra clave sobrecarga usada en el comando ip nat inside source list 7 pool ovrld overload permite que NAT traduzca múltiples dispositivos interiores a la única dirección en el conjunto.

    Otra variación de este comando isip nat inside source list 7 interface serial 0 overload, que configura NAT para sobrecargar en la dirección asignada a la interfaz serial 0.

    Cuando overloading se configura, el router mantiene suficiente información de protocolos de nivel superior (por ejemplo, números de puerto TCP o UDP) para traducir la dirección global de nuevo a la dirección local correcta. Para ver las definiciones de dirección global y local, consulte NAT: Definiciones de Direcciones Globales y Locales.

    2. Permitir que Internet acceda a dispositivos internos

    Puede necesitar dispositivos internos para intercambiar información con dispositivos en Internet, donde la comunicación se inicia desde los dispositivos de Internet, por ejemplo, el correo electrónico. Es habitual que los dispositivos de Internet envíen correo electrónico a un servidor de correo que reside en la red interna.

    Originate CommunicationsOriginar comunicaciones

    Configuración de NAT para permitir que Internet acceda a los dispositivos internos

    En este ejemplo, primero define las interfaces NAT interiores y exteriores, tal como se muestra en del diagrama de red anterior.

    En segundo lugar, define que quiere que los usuarios en el interior puedan iniciar comunicación con el exterior. Los dispositivos externos deben poder iniciar la comunicación únicamente con el servidor de correo interno.

    El tercer paso es configurar NAT. Para lograr lo que ha definido, puede configurar NAT estática y NAT dinámica simultáneamente. Para obtener más información sobre cómo configurar este ejemplo, consulte Configuración simultánea de NAT estática y dinámica.

    3. Redireccione el tráfico TCP a otro puerto o dirección TCP

    Un servidor web en la red interna es otro ejemplo de cuándo puede ser necesario que los dispositivos de Internet inicien la comunicación con los dispositivos internos. En algunos casos, el servidor web interno se puede configurar para escuchar el tráfico web en un puerto TCP distinto del puerto 80. Por ejemplo, el servidor web interno se puede configurar para escuchar el puerto TCP 8080. En este caso, puede usar NAT para redirigir el tráfico destinado al puerto TCP 80 al puerto TCP 8080.

    Web Traffic TCP PortPuerto TCP de tráfico web

    Después de definir las interfaces como se muestra en el diagrama de red anterior, puede decidir que desea que NAT redirija los paquetes desde el exterior destinados a 172.16.10.8:80 a 172.16.10.8:8080. Puede utilizar un comando static nat para traducir el número del puerto TCP a fin de lograr lo que desea. Un configuración se muestra aquí a modo de ejemplo.

    Configuración de NAT para redirigir el tráfico TCP a otro puerto o dirección TCP

    Router NAT 
    interface ethernet 0 
 ip address 172.16.10.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 0 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 10.200.200.5 255.255.255.252
 ip nat outside

!--- Defines serial 0 with an IP address and as a NAT outside interface.


ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Static NAT command that states any packet received in the inside 
    !--- interface with a source IP address of 172.16.10.8:8080 is 
    !--- translated to 172.16.10.8:80.

    Nota: La descripción de la configuración para el comando NAT estático indica que cualquier paquete recibido en la interfaz interna con una dirección de origen de 172.16.10.8:8080 se traduce a 172.16.10.8:80. Esto también implica que cualquier paquete recibido en la interfaz externa con una dirección de destino de 172.16.10.8:80 tiene el destino traducido a 172.16.10.8:8080.

    show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.16.10.8:80     172.16.10.8:8080   ---                ---

    4. Utilice NAT para una transición de red

    NAT es útil cuando necesita redireccionar dispositivos en la red o cuando reemplaza un dispositivo con otro. Por ejemplo, si todos los dispositivos en la red utilizan un servidor determinado y este servidor debe ser sustituido por un nuevo con una nueva dirección IP, la reconfiguración de todos los dispositivos de red para que utilicen la nueva dirección del servidor lleva un tiempo. Mientras tanto, usted puede utilizar NAT para configurar los dispositivos con la dirección vieja a fin de traducir sus paquetes para que se comuniquen con el nuevo servidor.

    NAT Network TransitionTransición de red NAT

    Una vez que haya definido las interfaces NAT como se muestra en la imagen anterior, puede decidir que desea que NAT permita que los paquetes del exterior destinados a la dirección del servidor antiguo (172.16.10.8) se traduzcan y envíen a la nueva dirección del servidor. Tenga en cuenta que el nuevo servidor se encuentra en otra LAN y que los dispositivos de esta LAN o cualquier dispositivo al que se pueda acceder a través de esta LAN (dispositivos de la parte interna de la red) deben configurarse para utilizar la nueva dirección IP del servidor, si es posible.

    Puede utilizar NAT estática para lograr lo que desea. Este es un ejemplo de configuración.

    Configuración de NAT para su uso a través de una transición de red

    Router NAT 
    interface ethernet 0
 ip address 172.16.10.1 255.255.255.0
 ip nat outside

!--- Defines Ethernet 0 with an IP address and as a NAT outside interface.


interface ethernet 1
 ip address 172.16.50.1 255.255.255.0
 ip nat inside

!--- Defines Ethernet 1 with an IP address and as a NAT inside interface.


interface serial 0
 ip address 10.200.200.5 255.255.255.252

!--- Defines serial 0 with an IP address. This interface is not 
    !--- participating in NAT.
    

ip nat inside source static 172.16.50.8 172.16.10.8

!--- States that any packet received on the inside interface with a 
    !--- source IP address of 172.16.50.8 is translated to 172.16.10.8.

    Nota: El comando NAT de origen interno en este ejemplo también implica que los paquetes recibidos en la interfaz externa con una dirección de destino de 172.16.10.8 tienen la dirección de destino traducida a 172.16.50.8.

    5. Utilice NAT para redes que se superponen

    Las redes que se superponen se producen cuando se asignan direcciones IP a dispositivos internos que ya están siendo utilizados por otros dispositivos en Internet. Estas redes también se producen cuando dos empresas, que utilizan direcciones IP RFC 1918 en sus redes, se fusionan. Estas dos redes deben comunicarse, preferiblemente sin necesidad de redireccionar todos sus dispositivos.

    Diferencia entre la asignación de uno a uno y de varios a varios

    Una configuración NAT estática crea un mapping uno a uno y traduce a una dirección específica a otra dirección. Este tipo de configuración crea una entrada permanente en la tabla NAT siempre que la configuración esté presente y habilita los hosts internos y externos para iniciar la conexión. Esta configuración es particularmente útil para los hosts que brindan servicios de aplicación, como correo, web y FTP, entre otros. Por ejemplo:

    Router(config)#ip nat inside source static 10.3.2.11 10.41.10.12
Router(config)#ip nat inside source static 10.3.2.12 10.41.10.13

    NAT dinámica es útil cuando la cantidad de direcciones disponibles es inferior al número real de hosts por traducir. Crea una entrada en la tabla de NAT cuando el host inicia una conexión y establece un mapping uno a uno entre las direcciones. No obstante, el mapping puede variar y depende de la dirección registrada disponible en el conjunto en el momento de la comunicación. NAT dinámica permite que las sesiones sean iniciadas solamente desde redes interiores o exteriores para las cuales se configura. Las entradas de NAT dinámica se quitan de la tabla de traducción si el host no se comunica durante un período específico que es configurable. Luego la dirección vuelve al conjunto para que la use otro host.

    Por ejemplo, complete estos pasos de la configuración detallada:

    1. Cree un conjunto de direcciones.

      Router(config)#ip nat pool MYPOOLEXAMPLE 10.41.10.1 10.41.10.41 netmask 255.255.255.0

    2. Cree una lista de acceso para las redes internas que se deben asignar.

      Router(config)#access-list 100 permit ip 10.3.2.0 0.0.0.255 any

    3. Asocie la lista de acceso 100 que selecciona la red interna 10.3.2.0 0.0.0.255 que se debe ingresar al conjunto MYPOOLEXAMPLE y luego sobrecargue las direcciones.

      Router(config)#ip nat inside source list 100 pool MYPOOLEXAMPLE overload

    Verifique el funcionamiento de NAT

    Una vez que haya configurado NAT, verifique que funcione según lo esperado. Puede hacer esto de diversas maneras: con un analizador de red, comandos show o comandos debug. Para obtener un ejemplo detallado de la verificación de NAT, consulte Verificar el Funcionamiento de NAT y NAT Básica.

    Conclusión

    Los ejemplos de este documento muestran los pasos de inicio rápido que pueden ayudarle a configurar e implementar NAT.

    Estos pasos de inicio rápido incluyen:

    1. Defina las interfaces NAT interiores y exteriores.

    2. ¿Qué desea lograr con NAT?

    3. Configure NAT para lograr lo que definió en el Paso 2.

    4. Verifique el funcionamiento de NAT.

    En cada uno de los ejemplos anteriores, se utilizaron varias formas del comando ip nat inside. También puede utilizar el comando ip nat outsidecommand para lograr los mismos objetivos, pero tenga en cuenta el orden de operaciones de NAT. Para ver ejemplos de configuración que utilizan los comandos ip nat outsidecommands, consulte Configure IP NAT Outside Source List Command.

    Los ejemplos anteriores también demostraron estas acciones:

    Comando Acción

    ip nat inside source
    • Traduce el origen de los paquetes IP que viajen desde el interior hacia el exterior.
    • Traduce el destino de los paquetes IP que viajan desde el exterior hacia el interior.

    ip nat outside source
    • Traduce el origen de los paquetes IP que viajan desde el exterior hacia el interior.
    • Traduce el destino de los paquetes IP que viajan desde el interior hacia el exterior.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    24-Apr-2025
    Formato actualizado.
    2.0
    03-Nov-2023
    Requisitos de estilo actualizados, SEO y formato.
    1.0
    10-Dec-2001
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Cisco TAC Engineers

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco