NAT Terminologa de NAT Direccin local interna: No las asignan los RIR (Registros Regionales de Internet) o un proveedor de servicios;

lo ms probable es que sea una direccin RFC 1918 privada. ( 10.x.x.x; 172.16.x.x-172.31.x.x o 192.168.x.x) Direccin global interna: direccin pblica vlida que se asigna al host interno cuando sale del router NAT. Direccin global externa: direccin IP a la que se puede acceder y que fue asignada a un host en Internet. Direccin local externa: direccin IP local asignada a un host en la red externa. En la mayora de las situaciones, esta direccin es idntica a la direccin global externa de ese dispositivo externo. Asignacin dinmica y asignacin esttica Hay dos tipos de traduccin NAT: dinmica (conjunto de direcciones pblicas y las asigna en orden de llegada) y esttica (sistema de asignacin de uno a uno entre las direcciones locales y las globales, y estas asignaciones son constantes); las dos asignaciones necesitan una cantidad suficientes de direcciones globales internas para permitir las conexiones necesarias simultaneas. Sobrecarga de NAT (NAT OVERLOAD, TAMBIEN LLAMADO PAT) La sobrecarga de NAT (a veces llamada Traduccin de la direccin del puerto, [PAT, Port Address Translation]) asigna varias direcciones IP privadas a una nica direccin IP pblica o a un grupo pequeo de direcciones IP pblicas. Es lo que hacen la mayora de los routers. Con la sobrecarga de NAT, es posible asignar varias direcciones a una o slo algunas direcciones porque cada direccin privada tambin se identifica por un nmero de puerto, el router por defecto conserva el puerto de origen de la direccin de origen que se va a traducir, pero si ese puerto ya est siendo utilizado por otra traduccin le da el siguiente, si se hubieran consumido todos los puertos disponibles para la primera direccin global interna, se asigna la siguiente direccin con el puerto de la direccin de origen. Seguimiento de la conexin: a diferencia de NAT, PAT lleva un control de los pares de puertos pblicos. Ventajas de NAT Conserva el esquema de direccionamiento legalmente registrado Aumenta la flexibilidad de las conexiones con la red pblica. Brinda regularidad para esquemas de direccionamiento de redes internas. Brinda seguridad de red

Desventajas de NAT Disminuye el rendimiento Disminuye la funcionalidad de extremo a extremo Se pierde la capacidad de rastreo IP de extremo a extremo El tunneling es ms complicado Puede interrumpirse el inicio de conexiones TCP Las arquitecturas deben reconstruirse para adaptarse a los cambios.

Configuracin de NAT NAT ESTATICO En modo de conf global: (config)# ip nat inside source static <ip local internet> <ip global internet> Pasar a modo de conf de interfaces: Interfaz o interfaces por donde entra la ip local, o ip,s locales: (config-if)# ip nat inside interfaz por donde sale la ip global interna, o ip,s globales internas: (config-if)# ip nat outside NAT DINAMICO En modo de conf global: 1 Se crea el pool (config)# ip nat pool <nombre> <start-ip global internet > <end-ip global internet > netmask <netmask> En lugar de la mscara podemos poner el prefijo de longitud: (config)# ip nat pool <nombre> <start-ip global internet > <end-ip global internet > prefix-length <prefijo de longitud> 2 Se crea una lista de acceso para permitir las direcciones locales internas que se van a traducir: (config)# access-list <numero> permit <ip locales internas> <wildcard de ip locales internas> 3 Asociamos el pool creado con la ACL: (config)#ip nat inside source list <numero> pool <nombre> 4 Establecemos las interfaces de entrada y salida Pasar a modo de conf de interfaces: Interfaz o interfaces por donde entra la ip local, o ip,s locales: (config-if)# ip nat inside Interfaz o interfaces por donde sale el pool creado: (config-if)# ip nat outside NAT SOBRECARGADO (PAT) Tenemos que diferenciar si solo se dispone de una direccin ip global o de varias (proporcionadas por el ISP) CASO A) Una sola direccin asignada (en este caso la direccin ip de la interfaz outside es la asignada por el ISP): En modo de conf global: 1 Se crea la lista de acceso de ip,s que pueden ser traducidas

(config)# access-list <numero> permit <ip locales internas> <wildcard de ip locales internas> 2 Se asocial la lista de acceso con la interfaz o interfaces de salida (config)#ip nat inside source list <numero> interface <identificador de la interfaz outside> overload 3 Establecemos las interfaces de entrada y salida Pasar a modo de conf de interfaces: Interfaz o interfaces por donde entra la ip local, o ip,s locales: (config-if)# ip nat inside Interfaz o interfaces por donde sale el pool creado: (config-if)# ip nat outside

CASO B) Varias direcciones asignadas por el ISP: La configuracin es idntica al NAT dinmico, slo se tiene que aadir overload en la asociacin entre la ACL y el POOL: En modo de conf global: 1 Se crea el pool (config)# ip nat pool <nombre> <start-ip global internet > <end-ip global internet > netmask <netmask> En lugar de la mscara podemos poner el prefijo de longitud: (config)# ip nat pool <nombre> <start-ip global internet > <end-ip global internet > prefix-length <prefijo de longitud> 2 Se crea una lista de acceso para permitir las direcciones locales internas que se van a traducir: (config)# access-list <numero> permit <ip locales internas> <wildcard de ip locales internas> 3 Asociamos el pool creado con la ACL: (config)#ip nat inside source list <numero> pool <nombre> overload 4 Establecemos las interfaces de entrada y salida Pasar a modo de conf de interfaces: Interfaz o interfaces por donde entra la ip local, o ip,s locales: (config-if)# ip nat inside Interfaz o interfaces por donde sale el pool creado: (config-if)# ip nat outside

RESUMEN DE CONFIGURACIN NAT ESTATICO (config)# ip nat inside source static <ip local internet> <ip global internet> NAT DINAMICO (config)# ip nat pool <nombre> <start-ip global internet > <end-ip global internet > netmask <netmask> (o bien en lugar de netmask: prefix-length <prefijo de longitud>) (config)# access-list <numero> permit <ip locales internas> <wildcard de ip locales internas> (config)#ip nat inside source list <numero> pool <nombre> NAT SOBRECARGADO (PAT) CASO A) Una sola direccin asignada (en este caso la direccin ip de la interfaz outside es la asignada por el ISP): (config)# access-list <numero> permit <ip locales internas> <wildcard de ip locales internas> (config)#ip nat inside source list <numero> interface <identificador de la interfaz outside> overload CASO B) Varias direcciones asignadas por el ISP: (config)# ip nat pool <nombre> <start-ip global internet > <end-ip global internet > netmask <netmask> (o bien en lugar de netmask: prefix-length <prefijo de longitud>) (config)# access-list <numero> permit <ip locales internas> <wildcard de ip locales internas> (config)#ip nat inside source list <numero> pool <nombre> overload EN TODOS LOS CASOS DESPUES DE CONFIGURAR LAS OPCIONES EN MODO GLOBAL (config-if)# ip nat inside (config-if)# ip nat outside