Preguntas frecuentes sobre la traducción de direcciones de red (NAT)

Introducción

En este documento se brindan las respuestas para las preguntas frecuentes sobre la traducción de direcciones de red (NAT).

NAT genérica

P. ¿Qué es NAT?

R. La traducción de direcciones de red (NAT) está diseñada para la conservación de direcciones IP. Permite que se conecten a Internet las redes de IP privada que emplean direcciones IP no registradas. NAT opera en routers, que en general conectan dos redes, y convierte las direcciones privadas (no exclusivas globalmente) de la red interna en direcciones legales, antes de que se reenvíen los paquetes a otra red.

Se puede configurar NAT para que difunda al mundo exterior solo una dirección para toda la red. Esto brinda más seguridad, al ocultar de hecho detrás de esa dirección toda la red interna. NAT ofrece la doble función de seguridad y conservación de direcciones, y suele implementarse en entornos de acceso remoto.

P. ¿Cómo funciona NAT?

R. Básicamente, NAT permite que un solo dispositivo, como un router, actúe como un agente entre Internet (o una red pública) y una red local (o una red privada), lo que significa que solo se requiere una única dirección IP única para representar un grupo completo de equipos a cualquier cosa fuera de su red.

P. ¿Cómo configuro NAT?

R. Para configurar la NAT tradicional, necesita configurar al menos una interfaz en un router (NAT externa) y otra interfaz en el router (NAT interna) y un conjunto de reglas para traducir las direcciones IP en los encabezados de paquetes (y cargas útiles si se desea). Para configurar la interfaz virtual de NAT (NVI), necesita al menos una interfaz configurada con NAT activada y con el mismo conjunto de reglas antes mencionado.

Para ver más información, consulte Guía de configuración de servicios de direcciones IP de Cisco IOS o Configuración de la interfaz virtual de NAT.

P. ¿Cuáles son las diferencias principales entre las implementaciones de NAT del Cisco IOS^® Software y Cisco PIX Security Appliance?

R. La NAT basada en el software Cisco IOS no es fundamentalmente diferente de la función NAT en el Cisco PIX Security Appliance. Una de las principales tiene que ver con los diferentes tipos de tráfico admitidos por cada implementación. Consulte Ejemplos de Configuración de NAT para obtener más información sobre la configuración de NAT en los dispositivos Cisco PIX (incluye los tipos de tráfico soportados).

P. ¿En qué hardware de routing de Cisco está disponible la NAT de Cisco IOS? ¿Cómo se puede comprar el hardware?

R. La herramienta Cisco Feature Navigator permite a los clientes identificar una función (NAT) y averiguar en qué versión de versión y hardware está disponible esta función del software Cisco IOS. Consulte Buscador de funciones de Cisco para ver cómo usar esta herramienta.

P. ¿La NAT ocurre antes o después del ruteo?

R. El orden en que se procesan las transacciones mediante NAT se basa en si un paquete va de la red interna a la red externa o de la red externa a la red interna. La traducción del interior al exterior se realiza tras el routing, mientras que la inversa se realiza antes. Consulte Orden de operación de NAT para ver más información.

P. ¿Se puede implementar NAT en un entorno de LAN inalámbrica pública?

R. Sí. La función de compatibilidad de NAT con direcciones IP estáticas permite que los usuarios de dichas direcciones establezcan una sesión IP en un entorno de LAN inalámbrica pública.

P. ¿NAT hace el balanceo de carga TCP para los servidores en la red interna?

R. Sí. Con NAT, puede establecer un host virtual en la red interna que coordine la compartición de cargas entre hosts reales.

P. ¿Puedo limitar el número de traducciones NAT?

R. Sí. La función de limitación de traducciones NAT permite establecer el máximo de operaciones de NAT simultáneas en un router. Además de brindar a los usuarios más control sobre el modo de uso de las direcciones de NAT, esta función se puede emplear para limitar los efectos de virus, gusanos y ataques de denegación de servicio.

P. ¿Cómo se aprende o se propaga el ruteo para las subredes o direcciones IP que utiliza NAT?

A.Se aprende el ruteo para las direcciones IP creadas por NAT si:

• El grupo de direcciones globales internas se obtiene de la subred de un router del siguiente salto.

• La entrada de ruta estática se configura en el router del siguiente salto y se redistribuye dentro de la red de routing.

Cuando la dirección global interna coincide con la interfaz local, NAT instala un alias de IP y una entrada de ARP, en cuyo caso el router emplea proxy-arp para estas direcciones. Si no desea este comportamiento, use la palabra clave no-alias.

Al configurar un grupo de NAT, se puede usar la opción add-route para la inyección de rutas automática.

P. ¿Cuantas sesiones NAT concurrentes admite Cisco IOS NAT?

R. El límite de sesión NAT está limitado por la cantidad de DRAM disponible en el router. Cada traducción NAT consume alrededor de 312 bytes de DRAM. Por ende, 10 000 traducciones (más de lo habitual en un router) consumen alrededor de 3 MB. Es decir que el hardware de routing típico posee memoria más que suficiente para miles de traducciones NAT.

P. ¿Qué tipo de rendimiento de ruteo se puede esperar cuando se utiliza Cisco IOS NAT?

R. Cisco IOS NAT admite switching de Cisco Express Forwarding, fast switching y process switching. En la versión 12.4T y las posteriores, ya no se ofrece la ruta de switching rápido. Para la plataforma Cat6k, el orden de switching es Netflow (ruta de switching de HW), CEF y ruta de proceso.

El rendimiento depende de varios factores:

• El tipo de aplicación y su tipo de tráfico

• Si las direcciones IP están integradas

• El intercambio y la inspección de varios mensajes

• El puerto de origen requerido

• La cantidad de traducciones

• Las otras aplicaciones que se ejecuten en el momento

• El tipo de hardware y de procesador

P. ¿Se puede aplicar NAT de Cisco IOS a las subinterfaces?

R. Sí. Las traducciones NAT de origen o destino pueden aplicarse en cualquier interfaz o subinterfaz que tenga una dirección IP (incluso interfaces de marcadores). NAT no puede configurarse con la interfaz virtual inalámbrica. La interfaz virtual inalámbrica no existe al momento de escribir en NVRAM. Por ende, el router pierde la configuración de NAT en la interfaz virtual inalámbrica.

P. ¿Se puede utilizar Cisco IOS NAT con el protocolo de router en espera en caliente (HSRP) para proporcionar enlaces redundantes a un ISP?

R. Sí. NAT ofrece redundancia de HSRP. Sin embargo, es diferente a la SNAT (NAT con estado). La NAT con HSRP es un sistema sin información de estado. La sesión actual no se mantiene ante las fallas. Durante la configuración de NAT estática (cuando un paquete no coincide con ninguna configuración de regla ESTÁTICA), el paquete se envía sin traducción.

P. ¿La NAT de Cisco IOS admite traducciones entrantes en una interfaz Frame Relay? ¿Es compatible con las traducciones de salida en el lado Ethernet?

R. Sí. El encapsulamiento no es relevante para NAT. Se puede emplear NAT cuando hay una dirección IP en una interfaz y la interfaz es de NAT interna o externa. Debe haber un interior y un exterior para que funcione NAT. Si emplea NVI, debe haber al menos una interfaz con NAT activada. Consulte ¿Cómo se configura NAT? para ver más detalles.

P. ¿Puede un router con NAT habilitada permitir que algunos usuarios utilicen NAT y otros usuarios en la misma interfaz Ethernet para continuar utilizando sus propias direcciones IP?

R. Sí. Esto se puede hacer mediante una lista de acceso donde se describan los grupos de hosts o redes que requieren NAT. Todas las sesiones del mismo host se traducirán o pasarán por el router sin traducción.

Para definir las reglas que determinan la traducción de los dispositivos IP, se pueden emplear listas de acceso, listas de acceso ampliadas y mapas de rutas. Siempre deben especificarse la dirección de red y la correspondiente máscara de subred. La palabra clave any no debe utilizarse en lugar de la dirección de red o la máscara de subred. Con la configuración de NAT estática, cuando un paquete no coincide con ninguna configuración de regla ESTÁTICA se lo hace pasar sin traducción.

P. Al configurar para PAT (sobrecarga), ¿cuál es el número máximo de traducciones que se pueden crear por dirección IP global interna?

A. PAT (sobrecarga) divide los puertos disponibles por dirección IP global en tres rangos: 0-511, 512-1023 y 1024-65535. PAT asigna un puerto de origen único para cada sesión UDP o TCP. Intenta asignar el mismo valor de puerto de la solicitud original, pero, si el puerto ya está ocupado, comienza a buscar desde el comienzo de ese rango de puertos hasta hallar uno disponible para asignarlo a la conversación. Existe una excepción para la base de códigos 12.2S. La base de códigos 12.2S emplea una lógica de puerto diferente y no ofrece reserva de puertos.

P. ¿Cómo funciona PAT?

R. PAT funciona con una dirección IP global o con varias direcciones.

PAT con una dirección IP

Condición	Descripción
1	NAT/PAT inspecciona el tráfico y lo evalúa según una regla de traducción.
2	La regla representa una configuración de PAT.
3	Si PAT conoce el tipo de tráfico y ese tipo de tráfico tiene "un grupo de puertos específicos o puertos que negocia" para utilizar, PAT los separa y no los asigna como identificadores exclusivos.
4	Si una sesión sin requisitos de puertos especiales intenta conectarse con el exterior, PAT traduce la dirección IP de origen y verifica la disponibilidad del puerto de origen (433, por ejemplo). Nota: Para el protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP), los intervalos son: 1-511, 512-1023, 1024-65535. Para el protocolo de mensajes de control de Internet (ICMP), el primer grupo comienza en 0.
5	Si el puerto de origen solicitado está disponible, PAT lo asigna y la sesión continúa.
6	Si no está disponible, PAT comienza a buscar desde el comienzo del mismo grupo (desde 1 para aplicaciones de UDP o TCP, y desde 0 para ICMP).
7	Al hallar un puerto disponible, lo asigna y la sesión continúa.
8	Si no hay puertos disponibles, el paquete se pierde.

PAT con varias direcciones IP

Condición	Descripción
1-7	Las primeras siete condiciones son las mismas que para cuando hay una sola dirección IP.
8	Si no hay puertos disponibles en el mismo grupo en la primera dirección IP, NAT pasa a la siguiente dirección IP del grupo e intenta asignar el puerto de origen solicitado.
9	Si el puerto de origen solicitado está disponible, NAT lo asigna y la sesión continúa.
10	Si no está disponible, NAT comienza a buscar desde el comienzo del mismo grupo (desde 1 para aplicaciones de UDP o TCP, y desde 0 para ICMP).
11	Si existe un puerto disponible, éste es asignado y la sesión prosigue.
12	Si no hay puertos disponibles, el paquete se rechaza, a menos que haya disponible otra dirección IP en el grupo.

P. ¿Qué son los agrupamientos IP de NAT?

R. Los grupos de IP NAT son un rango de direcciones IP que se asignan para la traducción NAT según sea necesario. Para definir un grupo, se emplea el comando de configuración:

ip nat pool <name> <start-ip> <end-ip> 
     {netmask <netmask> | prefix-length <prefix-length>}
     [type {rotary}]

Ejemplo 1

En el siguiente ejemplo se traduce de hosts internos de la red 192.168.1.0 o 192.168.2.0 a la red exclusiva a nivel global 10.69.233.208/28:

ip nat pool net-208 10.69.233.208 10.69.233.223 prefix-length 28 
ip nat inside source list 1 pool net-208
!
interface ethernet 0
ip address 10.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

Ejemplo 2

En el siguiente ejemplo, la meta es definir una dirección virtual, cuyas conexiones entrantes se distribuyan entre un grupo de hosts reales. El grupo define las direcciones de los hosts reales. La lista de acceso define la dirección virtual. Si aún no existe una traducción, los paquetes de TCP de la interfaz de serie 0 (la interfaz externa) cuyos destinos figuren en la lista de acceso se convierten en una dirección del grupo.

ip nat pool real-hosts 192.168.15.2 192.168.15.15 prefix-length 28 type rotary
ip nat inside destination list 2 pool real-hosts
!
interface serial 0
ip address 192.168.15.129 255.255.255.240
ip nat outside
!
interface ethernet 0
ip address 192.168.15.17 255.255.255.240
ip nat inside
!
access-list 2 permit 192.168.15.1

P. ¿Cuál es el número máximo de agrupaciones IP de NAT configurables (ip nat pool "name")?

R. En la práctica, el número máximo de agrupaciones IP configurables está limitado por la cantidad de DRAM disponible en el router en particular. (Cisco recomienda configurar 255 grupos). Cada grupo no debe superar los 16 bits. En la versión 12.4(11)T y las posteriores, IOS suma CCE (motor de clasificación común). Esto marca un límite de 255 grupos para NAT. En la base de códigos 12.2S, no hay restricciones para la cantidad de grupos.

P. ¿Cuál es la ventaja de usar route-map vs ACL en un conjunto NAT?

R. Un route-map está protegiendo a los usuarios externos no deseados para llegar a los usuarios/servidores internos. También puede establecer una correspondencia entre una dirección IP interna y diferentes direcciones globales internas según la regla. Para ver más información, consulte Uso de NAT con varios grupos mediante mapas de rutas.

P. ¿Qué es la "superposición" de direcciones IP en el contexto de NAT?

R. La superposición de direcciones IP se refiere a una situación en la que dos ubicaciones que desean interconectarse utilizan el mismo esquema de direcciones IP. Esto no es inusual; suele suceder al fusionar o adquirir empresas. Sin soporte especial, las dos ubicaciones no podrán conectarse y establecer sesiones. La dirección IP superpuesta puede ser una dirección pública asignada a otra compañía, una dirección privada asignada a otra compañía o puede provenir del rango de direcciones privadas como se define en RFC 1918 .

Las direcciones IP privadas no permiten routing y exigen traducciones NAT para permitir conexiones con el mundo exterior. La solución supone interceptar las respuestas de consultas de nombres del sistema de nombres de dominio (DNS) que van del exterior al interior, configurar una traducción para la dirección externa y preparar la respuesta de DNS antes de reenviar al host interno. Se necesita un servidor DNS de ambos lados del dispositivo de NAT para determinar qué usuarios quieren tener una conexión entre las dos redes.

NAT puede inspeccionar y traducir direcciones presentes en los registros de DNS A y PTR, como se indica en Uso de NAT en redes superpuestas.

P. ¿Qué son las traducciones NAT estáticas?

R. Las traducciones NAT estáticas tienen mapeo uno a uno entre direcciones locales y globales. Los usuarios también pueden configurar traducciones de direcciones estáticas en el nivel del puerto, y emplear el resto de la dirección IP para otras traducciones. Esto suele suceder al realizar traducciones de direcciones de puertos (PAT).

En el siguiente ejemplo se muestra cómo configurar el mapa de rutas para permitir la traducción del exterior al interior para NAT estática:

ip nat inside source static 1.1.1.1 2.2.2.2 route-map R1 reversible
!
ip access-list extended ACL-A
permit ip any 30.1.10.128 0.0.0.127'
route-map R1 permit 10
match ip address ACL-A

P. ¿Qué se entiende por el término sobrecarga NAT; ¿Se trata de PAT?

R. Sí. La sobrecarga de NAT es PAT, que supone el uso de un grupo con un rango de una o más direcciones, o el uso de una dirección IP de interfaz en combinación con el puerto. Al sobrecargar, se crea una traducción totalmente ampliada. Se trata de una entrada de tabla de traducción que contiene la dirección IP y el puerto de origen/destino, y se suele denominar PAT o sobrecarga.

PAT (o sobrecarga) es una función de la NAT de Cisco IOS empleada para convertir direcciones privadas internas (locales internas) en una o más direcciones IP externas (globales internas, generalmente registradas). Para distinguir las conversaciones, se utilizan números de puerto de origen únicos en cada traducción.

P. ¿Qué son las traducciones NAT dinámicas?

R. En las traducciones NAT dinámicas, los usuarios pueden establecer la correspondencia dinámica entre las direcciones locales y globales. La correspondencia dinámica se logra al definir las direcciones locales que se van a traducir y el grupo de direcciones o la dirección IP de interfaz desde donde se asignarán direcciones globales, y asociar las dos partes.

P. ¿Qué es ALG?

R. ALG es una puerta de enlace de capa de aplicación (ALG). NAT presta el servicio de traducción para todo tráfico de protocolo de control de transmisión/protocolo de datagramas de usuarios (TCP/UDP) que no lleve direcciones IP de origen o destino en el flujo de datos de aplicación.

Estos protocolos son FTP, HTTP, SKINNY, H232, DNS, RAS, SIP ,TFTP, telnet, archie, finger, NTP, NFS, rlogin, rsh y rcp. Los protocolos específicos que integran información de direcciones IP en la carga útil deben admitir un gateway de nivel de aplicación (ALG).

Para ver más información, consulte Uso de gateways de nivel de aplicación con NAT.

P. ¿Es posible crear una configuración con traducciones NAT estáticas y dinámicas?

R. Sí. Sin embargo, no se puede emplear la misma dirección IP para la configuración estática de NAT ni en el grupo para configuración dinámica de NAT. Todas las direcciones IP públicas deben ser exclusivas. Tenga en cuenta que las direcciones globales empleadas en traducciones estáticas no se excluyen automáticamente en los grupos dinámicos que contienen esas mismas direcciones globales. Deben crearse grupos dinámicos para excluir las direcciones asignadas a entradas estáticas. Para ver más información, consulte Configuración de NAT estática y dinámica en simultáneo.

P. Cuando un traceroute se realiza a través de un router NAT, ¿debe traceroute mostrar la dirección NAT-Global o debe filtrar la dirección NAT-Local?

R. Traceroute desde el exterior siempre debe devolver la dirección global.

P. ¿Cómo PAT asigna el puerto?

R. NAT introduce funciones adicionales de puerto: rango completo y mapa de puertos.

• La primera permite que NAT use todos los puertos, más allá de su rango predeterminado.

• La segunda permite que NAT reserve un rango de puertos definido por el usuario para aplicaciones específicas.

Para ver más información, consulte Rangos de puertos de origen definidos por el usuario para PAT.

Desde la versión 12.4(20)T2 en adelante, NAT presenta aleatorización de puertos para puertos simétricos y L3/L4.

• La aleatorización permite que NAT seleccione al azar cualquier puerto global para la solicitud de puerto de origen.

• Con puertos simétricos, NAT puede admitir la opción independiente de las terminales.

P. ¿Cuál es la diferencia entre la fragmentación IP y la segmentación TCP?

A. La fragmentación de IP ocurre en la Capa 3 (IP); Mientras que la segmentación de TCP se da en la capa 4 (TCP). La fragmentación de IP sucede cuando desde una interfaz se envían paquetes más grandes que la unidad máxima de transmisión (MTU) de la interfaz. Estos paquetes deben fragmentarse o descartarse al enviarse desde la interfaz. Si en el encabezado de IP del paquete no se configuró el bit de no fragmentar (DF), el paquete se fragmenta. Si en el encabezado IP del paquete figura el bit de DF, el paquete se rechaza y un mensaje de error de ICMP indica que el valor de MTU del siguiente salto se regresará al remitente. Todos los fragmentos de un paquete de IP llevan la misma identificación en el encabezado de IP, lo cual permite al receptor final armar con los fragmentos el paquete de IP original. Para ver más información, consulte Resuelva problemas de fragmentación de IP, MTU, MSS y PMTUD con GRE e IPsec.

La segmentación de TCP sucede cuando una aplicación de una estación final está enviando datos. Los datos de la aplicación se dividen en partes del tamaño que TCP considere ideal para el envío. Estas unidades de datos que pasan de TCP a IP se denominan segmentos. Los segmentos de TCP se envían en datagramas de IP. Estos datagramas de IP luego pueden convertirse en fragmentos de IP al avanzar por la red y encontrar enlaces de MTU más bajos de lo que necesitan para pasar.

TCP primero divide estos datos en segmentos de TCP (según el valor de MSS de TCP), agrega el encabezado de TCP y pasa este segmento a IP. Luego IP agrega un encabezado de IP para enviar el paquete al host final remoto. Si el paquete de IP con el segmento de TCP es más grande que la MTU de IP en una interfaz saliente de la ruta entre los hosts de TCP, IP fragmenta el paquete de IP/TCP para que quepa. La capa IP junta estos fragmentos del paquete de IP en el host remoto y luego el segmento de TCP completo (enviado originalmente) se envía a la capa de TCP. La capa de TCP no tiene idea de que IP había fragmentado el paquete en tránsito.

NAT admite fragmentos de IP, pero no admite segmentos de TCP.

P. ¿NAT soporta la fragmentación de IP y la segmentación de TCP fuera de orden?

A. NAT soporta solamente los fragmentos IP fuera de orden debido al reensamblado virtual ip.

P. ¿Cómo depurar la fragmentación IP y la segmentación TCP?

A. NAT utiliza la misma CLI de depuración para la fragmentación de IP y la segmentación de TCP: debug ip nat frag.

P. ¿Hay alguna MIB de NAT compatible?

R. No. No hay MIB NAT soportado, incluyendo CISCO-IETF-NAT-MIB.

P. ¿Qué es el tiempo de espera TCP y cómo se relaciona con el temporizador TCP NAT?

R. Si no se completa el protocolo de enlace de tres vías y NAT ve un paquete TCP, NAT iniciará un temporizador de 60 segundos. Tras completarse el protocolo de enlace triple, NAT emplea de forma predeterminada un temporizador de 24 horas para una entrada de NAT. Si un host final envía un RESET, NAT cambia el temporizador predeterminado de 24 horas a 60 segundos. En el caso de FIN, NAT cambia el temporizador predeterminado de 24 horas a 60 segundos cuando recibe FIN y FIN-ACK.

P. ¿Puedo cambiar la cantidad de tiempo que tarda una traducción NAT a tiempo de espera de la tabla de traducción NAT?

R. Sí. Puede cambiar los valores de tiempo de espera de NAT de todas las entradas o de diferentes tipos de traducciones NAT (como udp-timeout, dns-timeout, tcp-timeout, finrst-timeout, icmp-timeout, pptp-timeout, syn-timeout, port-timeout y arp-ping-timeout).

P. ¿Cómo evito que el protocolo ligero de acceso a directorios (LDAP) adjunte bytes adicionales a cada paquete de respuesta LDAP?

R. La configuración de LDAP agrega los bytes adicionales (resultados de búsqueda de LDAP) mientras procesa mensajes de tipo Search-Res-Entry. LDAP adjunta 10 bytes de resultados de búsquedas en cada paquete de respuesta de LDAP. Si por estos 10 bytes adicionales el paquete supera la unidad máxima de transmisión (MTU) de una red, el paquete se rechaza. En ese caso, Cisco recomienda desactivar este comportamiento de LDAP mediante el comando de CLI no ip nat service append-ldap-search-res para que los paquetes se puedan enviar y recibir.

P. ¿Cuál es la recomendación de ruta para la dirección IP local interna/externa en el cuadro NAT?

R. Se debe especificar una ruta en el cuadro NAT configurado para la dirección IP global interna para funciones como NAT-NVI. De la misma manera, debe especificarse una ruta en la caja de NAT para la dirección IP local externa. En este caso, todos los paquetes en dirección del interior al exterior que empleen la regla estática externa necesitan este tipo de ruta. En dichos escenarios, al indicar la ruta para la dirección IP global interna/local externa, también debe configurarse la dirección IP del siguiente salto. Si no hay configuración del siguiente salto, se considera que hay un error de configuración y se genera un comportamiento indefinido.

NVI-NAT solo está presente en la ruta de la función de salida. Si tiene una subred conectada directamente con NAT-NVI o tiene la regla de traducción NAT externa configurada en la caja, en esos escenarios debe indicar una dirección IP del siguiente salto falsa y también un ARP asociado para el siguiente salto. Esto es necesario para que la infraestructura subyacente entregue el paquete a NAT para la traducción.

P. ¿La NAT de Cisco IOS soporta las ACL con una palabra clave "log"?

R. Cuando configura Cisco IOS NAT para la traducción NAT dinámica, se utiliza una ACL para identificar los paquetes que se pueden traducir. La arquitectura de NAT actual no admite ACL con la palabra clave "log".

NAT de voz

P. ¿NAT admite el protocolo de control de clientes skinny (SCCP) v17 que se suministra con Cisco Unified Communications Manager (CUCM) V7?

R. CUCM 7 y todas las cargas de teléfono predeterminadas para CUCM 7 admiten SCCPv17. La versión de SCCP utilizada viene determinada por la versión común más alta entre CUCM y el teléfono cuando éste se registra.

NAT todavía no admite SCCP v17. Hasta que se implemente el soporte NAT para SCCP v17, el firmware debe degradarse a la versión 8-3-5 o inferior para que se negocie SCCP v16. CUCM6 no encontrará el problema de NAT con ninguna carga telefónica mientras utilice SCCP v16. Cisco IOS no admite actualmente la versión 17 de SCCP.

P. ¿Qué versiones de carga de CUCM /SCCP/firmware son compatibles con NAT?

A. NAT admite la versión 6.x de CUCM y versiones anteriores. Estas versiones de CUCM se lanzan con la carga de firmware telefónico predeterminada 8.3.x (o anteriores) que admite SCCP v15 (o anteriores).

NAT no admite las versiones de CUCM 7.x o posteriores. Estas versiones de CUCM se lanzan con la carga de firmware telefónico predeterminada 8.4.x que admite SCCP v17 (o posteriores).

Si se emplea CUCM 7.x o posteriores, debe instalarse una carga de firmware anterior en el servidor TFTP de CUCM, para que los teléfonos usen una carga de firmware con SCCP v15 o anterior y sean compatibles con NAT.

P. ¿Qué es la mejora de la asignación de puertos PAT del proveedor de servicios para RTP y RTCP?

R. La función Service Provider PAT Port Allocation Enhancement for RTP and RTCP garantiza que para las llamadas de voz SIP, H.323 y Skinny. Los números de puerto empleados para flujos RTP sean pares, mientras que para los flujos RTCP sean el siguiente número impar. El número de puerto se convierta en un número dentro del rango especificado en conformidad con RFC-1889. Las llamadas con números de puerto dentro del rango pasen a tener otro número dentro de este rango mediante una traducción PAT. La traducción PAT de los números de puerto fuera de este rango no genera un número dentro del rango.

P. ¿Qué es el protocolo de inicio de sesión (SIP) y se pueden NATtear los paquetes SIP?

R. El protocolo de inicio de sesión (SIP) es un protocolo de control de capa de aplicación basado en ASCII que se puede utilizar para establecer, mantener y finalizar llamadas entre dos o más terminales. Fue desarrollado por el Grupo de Trabajo de Ingeniería de Internet (IETF) para conferencias multimedia por IP. La implementación de SIP de Cisco permite que las plataformas Cisco compatibles envíen la configuración de llamadas de voz y multimedia por redes IP.

Se puede usar NAT con los paquetes SIP.

P. ¿Qué es el soporte transversal de NAT alojada para el controlador de límite de sesión (SBC)?

R. La función NAT Traversal Alojada de Cisco IOS para SBC permite que un router de gateway de nivel de aplicación (ALG) SIP NAT de Cisco IOS actúe como SBC en una gateway IP a IP multiservicio de Cisco, lo que ayuda a garantizar la entrega fluida de servicios de voz sobre IP (VoIP).

Consulte Configuración de NAT Traversal Alojada de Cisco IOS para el Controlador de Borde de Sesión para obtener más información.

P. ¿Cuántas llamadas SIP, Skinny y H323 puede gestionar una CPU y una memoria del router con NAT?

R. El número de llamadas manejadas por un router NAT depende de la cantidad de memoria disponible en la caja y de la potencia de procesamiento de la CPU.

P. ¿Un router NAT soporta la segmentación TCP de paquetes Skinny y H323?

A. IOS-NAT soporta la segmentación TCP para H323 en la línea principal 12.4 y la segmentación TCP para SKINNY desde 12.4(6)T en adelante.

P. ¿Hay que tener en cuenta alguna advertencia al utilizar una configuración de sobrecarga de NAT en una implementación de voz?

R. Sí. En esos casos, necesita el mensaje de registro para hacer NAT y crear una asociación de afuera hacia adentro a fin de llegar a este dispositivo interno. El dispositivo interno envía este registro de forma periódica y actualiza por NAT este puerto desprotegido/esta asociación a partir de la información del mensaje de la señal.

P. ¿Se conocen problemas causados por la ejecución del comando clear ip nat trans * o el comando clear ip nat trans forced en una implementación de voz?

R. En las implementaciones de voz cuando ejecuta un comando clear ip nat trans * o un comando clear ip nat trans forced y tiene NAT dinámica, eliminará el agujero de clavija/asociación y debe esperar el siguiente ciclo de registro desde el dispositivo interno para restablecer esto. Cisco recomienda no utilizar estos comandos en las implementaciones de voz.

P. ¿NAT admite la solución de coubicación de voz?

R. No. Actualmente no se admite la solución de ubicación compartida. Se considera que la siguiente implementación con NAT (en la misma caja) es una solución de coubicación: CME/DSP-Farm/SCCP/H323.

P. ¿NVI admite Skinny ALG, H323 ALG y TCP SIP ALG?

R. No. Tenga en cuenta que UDP SIP ALG (utilizado en la mayoría de las implementaciones) no se ve afectado.

NAT con VRF/MPLS

P. ¿Un router NAT soportará alguna vez NATting en el mismo espacio de dirección en un VRF que se está NATted en un espacio de dirección global? Actualmente, recibo esta advertencia: "% similar static entry (1.1.1.1 —> 22.2.2.2) ya existe" cuando intento configurar lo siguiente:

72UUT(config)#ip nat inside
	 source static 1.1.1.1 22.2.2.2 72UUT(config)#ip nat inside source static
	 1.1.1.1 22.2.2.2 vrf RED 

R. La NAT heredada soporta la configuración de dirección de superposición sobre diferentes VRFs. Debería configurar la superposición por regla con la opción match-in-vrf y configurar ip nat inside/outside en el mismo VRF para tráfico de ese VRF específico. La compatibilidad con superposición no incluye la tabla de routing global.

Debe agregar la palabra clave match-in-vrfpara las entradas de NAT estática de VRF superpuestos para diferentes VRF. Sin embargo, no se puede superponer direcciones de NAT de vrf y globales.

72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
72UUT(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf

P. ¿La NAT heredada soporta VRF-Lite (NATting de un VRF a otro VRF)?

R. No. Debe utilizar NVI para NATting entre diferentes VRF. Puede usar NAT antiguas para hacer NAT de VRF a global o hacer NAT dentro del mismo VRF.

NAT NVI

P. ¿Qué es NAT NVI?

A. NVI significa interfaz virtual NAT. Permite que NAT traduzca entre dos VRF. Debería usarse esta solución en lugar de traducción de direcciones de redes en una sola interfaz física.

P. ¿Se debe utilizar NAT NVI al realizar NAT entre una interfaz en global y una interfaz en un VRF?

R. Cisco recomienda utilizar NAT heredada para VRF a NAT global (ip nat inside/out) y entre interfaces en el mismo VRF. NVI se usa para NAT entre diferentes VRF.

P. ¿Se admite la segmentación TCP para NAT-NVI?

R. No hay soporte para la segmentación TCP para NAT-NVI.

P. ¿NVI admite Skinny ALG, H323 ALG y TCP SIP ALG?

R. No. Tenga en cuenta que UDP SIP ALG (utilizado en la mayoría de las implementaciones) no se ve afectado.

P. ¿La segmentación TCP es compatible con SNAT?

R. SNAT no admite ningún TCP ALG (como SIP, SIP, SKINNY, H323 o DNS). Por ende, no se admite la segmentación de TCP. Pero sí se admiten UDP SIP y DNS.

SNAT

P. ¿Qué es la NAT stateful (SNAT)?

R. SNAT permite que dos o más traductores de direcciones de red funcionen como un grupo de traducción. Un miembro del grupo se encarga de tráfico que exige la traducción de la información de direcciones IP. Además, informa al traductor de respaldo sobre los flujos activos en el momento. El traductor de respaldo luego puede usar dicha información para preparar duplicados de las entradas de la tabla de traducción. Por ende, si el traductor activo se ve afectado por una falla crítica, el tráfico se puede pasar rápidamente al traductor de respaldo. El flujo de tráfico continúa porque se usan las mismas traducciones de direcciones de redes y ya se había definido el estado de las traducciones.

P. ¿Se soporta la segmentación TCP con SNAT?

R. SNAT no admite ningún TCP ALG (como SIP, SIP, SKINNY, H323 o DNS). Por ende, no se admite la segmentación de TCP. Pero sí se admiten UDP SIP y DNS.

P. ¿Es SNAT compatible con el ruteo asimétrico?

R. El ruteo asimétrico soporta NAT habilitando como cola. De forma predeterminada, las colas están activadas. Sin embargo, de 12.4(24)T en adelante, no se admiten las colas. Los clientes deben asegurarse de que los paquetes se envíen correctamente y de que se agregue la demora adecuada para que el routing asimétrico funcione bien.

NAT-PT (v6 a v4)

P. ¿Qué es NAT-PT?

A. NAT-PT es la traducción de v4 a v6 para NAT. La traducción de protocolo (NAT-PT) es un mecanismo de traducción IPv6-IPv4, tal y como se define en RFC 2765 y RFC 2766 , que permite que los dispositivos solo IPv6 se comuniquen con dispositivos solo IPv4 y viceversa.

P. ¿Se admite NAT-PT en la ruta de Cisco Express Forwarding (CEF)?

R. NAT-PT no se soporta en la trayectoria CEF.

P. ¿Qué ALG se soportan en NAT-PT?

A. NAT-PT soporta TFTP/FTP y DNS. No se admite voz ni SNAT en NAT-PT.

P. ¿Admite ASR 1004 NAT-PT?

R. Aggregation Services Routers (ASR) utiliza NAT64.

Plataformas Cisco 7300/7600/6k

P. ¿Está disponible la NAT stateful (SNAT) en Catalyst 6500 en el tren SX?

R. SNAT no está disponible en Catalyst 6500 en el tren SX.

P. ¿Se soporta NAT con reconocimiento de VRF en el hardware en el 6k?

R. El hardware de esta plataforma no admite NAT que reconozca VRF.

P. ¿El 7600 y el Cat6000 soportan NAT que reconoce VRF?

R. En la plataforma 65xx/76xx, no se admite NAT que reconozca VRF y se bloquean las CLI.

Nota: Puede implementar un diseño aprovechando un FWSM que se ejecuta en modo transparente de contexto virtual.

Plataforma Cisco 850

P. ¿El Cisco 850 soporta el Skinny NAT ALG en la versión 12.4T?

R. No. No hay soporte para Skinny NAT ALG en 12.4T en la serie 850.

Implementación de NAT

P. ¿Cómo implemento NAT?

A. NAT habilita redes IP privadas que utilizan direcciones IP no registradas para conectarse a Internet. NAT convierte la dirección privada (RFC1918) de la red interna en direcciones que permiten routing de forma legal antes del reenvío de los paquetes a otra red.

P. ¿Cómo implemento NAT con voz?

R. La función NAT support for voice permite que los mensajes SIP incrustados que pasan a través de un router configurado con la traducción de direcciones de red (NAT) se traduzcan de nuevo al paquete. Se emplea un gateway de capa de aplicación (ALG) con NAT para traducir los paquetes de voz.

P. ¿Cómo integro NAT con VPNs MPLS?

R. La integración de NAT con la función MPLS VPNs permite configurar varias VPNs MPLS en un único dispositivo para que funcionen juntas. NAT puede distinguir de qué VPN recibe el tráfico IP aunque todas usen el mismo esquema de direccionamiento IP. Esta mejora permite que varios clientes de VPN de MPLS compartan servicios y garantiza que todas las VPN estén totalmente separadas entre sí.

P. ¿La asignación estática NAT admite HSRP para alta disponibilidad?

R. Cuando se activa una consulta de protocolo de resolución de direcciones (ARP) para una dirección configurada con asignación estática de traducción de direcciones de red (NAT) y propiedad del router, NAT responde con la dirección BIA MAC en la interfaz a la que apunta el ARP. Dos routers hacen de HSRP activo y en espera. Sus interfaces de NAT interna deben estar activadas y configuradas para pertenecer a un grupo.

P. ¿Cómo puedo implementar NAT NVI?

R. La función de interfaz virtual (NVI) de NAT elimina el requisito de configurar una interfaz como NAT interna o NAT externa.

P. ¿Cómo implemento el balanceo de carga con NAT?

R. Hay dos tipos de balanceo de carga que se pueden hacer con NAT: se puede equilibrar la carga entrante de un grupo de servidores para distribuirla, o bien, se puede equilibrar la carga de tráfico a Internet de los usuarios con dos o más proveedores de servicios.

Para ver más información sobre el equilibrio de carga saliente, consulte Equilibrio de carga de NAT de IOS para conexiones de dos proveedores de servicios de Internet.

P. ¿Cómo implemento NAT junto con IPSec?

R. Existe soporte para IP Security (IPSec) Encapsulating Security Payload (ESP) a través de NAT e IPSec NAT Transparency.

La función de ESP de IPSec mediante NAT permite admitir varios túneles o conexiones de ESP de IPSec simultáneos, mediante un dispositivo de NAT de Cisco IOS configurado en el modo de sobrecarga o traducción de direcciones de puertos (PAT).

La función de transparencia de NAT de IPSec ofrece compatibilidad para que el tráfico de IPSec pase por puntos de NAT o PAT de la red ocupándose de las incompatibilidades conocidas entre NAT e IPSec.

P. ¿Cómo implemento NAT-PT?

R. NAT-PT (traducción de direcciones de red: traducción de protocolo) es un mecanismo de traducción IPv6-IPv4, como se define en RFC 2765 y RFC 2766 , que permite que los dispositivos solo IPv6 se comuniquen con dispositivos solo IPv4 y viceversa.

P. ¿Cómo implemento NAT de multidifusión?

R. Es posible NAT de la IP de origen para una secuencia de multidifusión. No se puede usar mapas de rutas al hacer NAT dinámica para multidifusión; para esto solo se admiten listas de acceso.

Para ver más información, consulte Cómo funciona NAT multidifusión en los routers Cisco. En los grupos multidifusión de destino se hace NAT mediante una solución de reflejo de servicio multidifusión.

P. ¿Cómo implemento la NAT con estado (SNAT)?

R. SNAT habilita el servicio continuo para las sesiones NAT asignadas dinámicamente. Las sesiones de definición estática reciben el beneficio de la redundancia sin necesidad de SNAT. Ante la ausencia de SNAT, las sesiones que emplean correspondencias de NAT dinámica finalizarían en caso de una falla crítica y deberían restablecerse. Solo se admite la configuración de SNAT mínima. Antes de llevar a cabo implementaciones en el futuro, debería hablar con el equipo de su cuenta de Cisco para validar el diseño en relación con las restricciones actuales.

Se recomienda SNAT para los siguientes escenarios:

• El modo principal/respaldo no se recomienda, ya que le faltan algunas funciones que sí tiene HSRP.

• Para escenarios de conmutación por falla y para configuraciones de 2 routers. Es decir, si falla un router, el otro se hace cargo de inmediato (la arquitectura de SNAT no está diseñada para manejar flapeo de interfaces).

• Se admite el escenario de routing no asimétrico. El routing asimétrico solo se puede hacer si la latencia en el paquete de respuesta es superior a la existente entre 2 routers SNAT para intercambiar los mensajes de SNAT.

Por el momento, la arquitectura de SNAT no está diseñada para aceptar robustez; por ende, no se espera que estas pruebas sean exitosas:

• Eliminación de entradas de NAT mientras hay tráfico.

• Cambio de parámetros de interfaces (como cambio de direcciones IP, apagar/no apagar, etc.) mientras hay tráfico.

• No se espera que los comandos específicos de SNAT clear o show se ejecuten bien; no se recomiendan.

  Estos son algunos de los comandos relativos a SNAT clear y show:

  clear ip snat sessions *
  clear ip snat sessions 
          
          
  clear ip snat translation distributed *
  clear ip snat translation peer < IP address of SNAT peer>
  sh ip snat distributed verbose
  sh ip snat peer < IP address of peer>
  

• Si el usuario desea eliminar entradas, se puede usar los comandos clear ip nat trans forced o clear ip nat trans *.

  Si el usuario desea ver entradas, se puede usar los comandos show ip nat translation, show ip nat translations verbose y show ip nat stats. Si se configura el servicio interno, también mostrará información de SNAT.

• No se recomienda eliminar traducciones NAT en el router de respaldo. Siempre elimine las entradas de NAT en el router SNAT principal.

• SNAT no es HA; por ende, las configuraciones en los dos routers deberían ser iguales. Los dos routers deberían ejecutar la misma imagen. También asegúrese de que la plataforma subyacente empleada para los dos routers SNAT sea la misma.

Mejores prácticas para NAT

P. ¿Existen prácticas recomendadas de NAT?

R. Sí. Estas son las mejores prácticas para NAT:

1. Al utilizar NAT dinámica y estática, la ACL que define la regla para NAT dinámica debería excluir los hosts locales estáticos a fin de que no haya superposición.

2. Trate de no usar ACL para NAT con permit ip any any, porque los resultados pueden ser imprevisibles. A partir de 12.4(20)T, NAT traduce paquetes de protocolo de routing y HSRP generados de manera local si se envían fuera de la interfaz externa, y también los paquetes encriptados de manera local que coincidan con la regla de NAT.

3. Cuando tenga redes superpuestas para NAT, use la palabra clave match-in-vrf.

   Debe agregar la palabra clave match-in-vrf en las entradas de NAT estática de VRF superpuestas para diferentes VRF, pero no se puede superponer direcciones de NAT de vrf y globales.

   Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf RED match-in-vrf
   

   Router(config)#ip nat inside source static 1.1.1.1 22.2.2.2 vrf BLUE match-in-vrf
   

4. Los grupos de NAT con el mismo rango de direcciones no pueden usarse en VRF diferentes, a menos que se emplee la palabra clave match-in-vrf.

   Por ejemplo:

     ip nat pool poolA 171.1.1.1 171.1.1.10 prefix-length 24
     ip nat pool poolB 171.1.1.1 171.1.1.10 prefix-length 24
     ip nat inside source list 1 poolA vrf A match-in-vrf
     ip nat inside source list 2 poolB vrf B match-in-vrf 
   

   Nota: Aunque la configuración CLI es válida, sin la palabra clave match-in-vrf no se admite la configuración.

5. Al implementar equilibrio de carga de proveedores de servicios de Internet con sobrecarga de interfaz de NAT, la mejor práctica es usar un mapa de rutas con coincidencia en interfaz en lugar de coincidencia en ACL.

6. Al utilizar correspondencias de grupos, no debería usar dos correspondencias diferentes (ACL o mapa de rutas) para compartir la misma dirección de grupo de NAT.

7. Al implementar las mismas reglas de NAT en dos routers diferentes en el escenario de conmutación por falla, debería usar redundancia de HSRP.

8. No defina una misma dirección global interna en NAT estática y en un grupo dinámico. Esto puede generar resultados no deseados.

Información Relacionada

• Soporte Técnico y Documentación - Cisco Systems