Introducción
Antes de nada es recomendable volver a ver este vídeo introductorio:
Preguntas sobre el vídeo:
- ¿Cómo sabe el router a qué dispositivo de la LAN a la que va el paquete de respuesta?
- ¿El router analiza la dirección MAC para realizar el trabajo del NAT satisfactoriamente?
- ¿Qué es el NAT? ¿En qué dispositivo suele estar?
- ¿Cuál es la IP de la puerta de enlace?
- ¿Cuál es el rango de direcciones IP? ¿Cómo se puede calcular?
- ¿Es lo mismo la puerta enlace que el gateway? ¿Qué le(s) corresponde(n)?
- ¿Por qué existen las IPs privadas? ¿No podrían ser todas públicas y así ahorrarnos el paso de traducción?
Y ver también este video:
Características de un NAT
Como sabes, no hay suficientes direcciones IPv4 públicas para asignar una dirección única a cada dispositivo conectado a Internet. Las redes suelen implementarse mediante el uso de direcciones IPv4 privadas, según se definen en RFC 1918. El rango de direcciones incluido en RFC 1918 se incluye en la siguiente tabla. Es muy probable que la computadora que utilizas tenga asignada una dirección privada.
| Clase | Rango de @ privadas | Prefijo | Nº de redes |
|---|---|---|---|
| Clase A | 10.0.0.0 a 10.255.255.255 | 10.0.0.0/8 | 1 red |
| Clase B | 172.16.0.0 a 172.31.255.255 | 172.16.0.0/12 | 16 redes |
| Clase C | 192.168.0.0 a 192.168.255.255 | 192.168.0.0/16 | 256 redes |
¿Cuál es la dirección IP de tu equipo? ¿Es pública o privada?
¿Por qué el rango de direcciones privadas de Clase B se define del siguiente modo: 172.16.0.0/12?
Estas direcciones privadas se utilizan dentro de una organización o un sitio para permitir que los dispositivos se comuniquen localmente. Sin embargo, debido a que estas direcciones no identifican a una sola empresa u organización, las direcciones IPv4 privadas no se pueden enrutar a través de Internet. Para permitir que un dispositivo con una dirección IPv4 privada acceda a recursos y dispositivos fuera de la red local, primero se debe traducir la dirección privada a una dirección pública.
NAT proporciona la traducción de direcciones privadas a direcciones públicas, como se muestra en la figura. Esto permite que un dispositivo con una dirección IPv4 privada acceda a recursos fuera de su red privada, como los que se encuentran en Internet. NAT, combinado con direcciones IPv4 privadas, ha sido el método principal para preservar las direcciones IPv4 públicas. Se puede compartir una única dirección IPv4 pública entre cientos o incluso miles de dispositivos, cada uno configurado con una dirección IPv4 privada exclusiva.
Traducción de direcciones privadas a públicas
¿Quién es el culpable de que sigamos usando IPv4?
Sin NAT, el agotamiento del espacio de direcciones IPv4 habría ocurrido mucho antes del año 2000. Sin embargo, NAT tiene limitaciones y desventajas, que se explorarán más adelante en este módulo. La solución al agotamiento del espacio de direcciones IPv4 y a las limitaciones de NAT es la transición final a IPv6.
¿Qué es un NAT?
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas. Esto se logra al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar la traducción a una dirección pública solo cuando sea necesario. NAT tiene el beneficio percibido de agregar un grado de privacidad y seguridad a una red, ya que oculta las direcciones IPv4 internas de redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4 públicas válidas. Estas direcciones públicas se conocen como “NAT pool”. Cuando un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada traduce la dirección IPv4 interna del dispositivo a una dirección pública del conjunto de NAT. Para los dispositivos externos, todo el tráfico entrante y saliente de la red parece tener una dirección IPv4 pública del pool de direcciones proporcionado.
¿Cómo funciona un NAT?
La traducción de estas direcciones de red (NAT) es un mecanismo que permite a varias máquinas de una LAN con direcciones privadas para que puedan acceder a una red externa, por ejemplo Internet, con una IP pública. Esta traducción de direcciones también es llamada enmascaramiento IP.
¿Es lo mismo NAT que enmascaramiento IP?
Para que sea posible hacer esa traducción de direcciones ha de haber un dispositivo que se encargue de hacer esa traducción en ambos sentidos que generalmente es un router.
Funcionamiento de un NAT
Terminología NAT
Cuando se usa NAT, las direcciones IPv4 tienen diferentes designaciones en función de si están en la red privada o en la red pública (internet), y si el tráfico es entrante o saliente.
NAT incluye cuatro tipos de direcciones:
- Dirección local interna.
- Dirección global interna.
- Dirección local externa.
- Dirección global externa.
Desde el punto de vista del ordenador que envía el mensaje detrás de un router:
- Dirección local (privada) interna (origen). Por ejemplo: 192.168.1.10
- Dirección global (pública) interna (origen). Por ejemplo: la @ IP pública del IES Tiempos Modernos: 40.77.167.227.
- Dirección local (privada) externa (destino). Por ejemplo: La @ IP de Google: 142.250.184.163.
- Dirección global (pública) externa (destino). Por ejemplo: La @ IP de Google: 142.250.184.163.
Al determinar qué tipo de dirección se utiliza, es importante recordar que la terminología de NAT siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:
- Dirección interna: La dirección del dispositivo que NAT está traduciendo. Se puede ver como la dirección origen.
- Dirección externa: La dirección del dispositivo de destino. Se puede ver como la dirección destino.
NAT también usa los conceptos de local o global con relación a las direcciones:
- Dirección local: Una dirección local es cualquier dirección que aparece en la parte interna de la red. Se puede ver como la dirección privada.
- Dirección global: Una dirección global es cualquier dirección que aparece en la parte externa de la red. Se puede ver como la dirección pública.
Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer referencia a direcciones específicas. El router NAT, R2 en la figura, es el punto de demarcación entre las redes internas y externas. R2 está configurado con un pool de direcciones públicas para asignar a los hosts internos. Consulta la tabla de red y NAT de la figura para obtener la siguiente explicación de cada uno de los tipos de direcciones NAT.
Terminología de NAT
PC1 tiene una dirección local interna de 192.168.10.10. Desde la perspectiva de la PC1, el servidor web tiene la dirección externa 209.165.201.1. Cuando se envían los paquetes de la PC1 a la dirección global del servidor web, la dirección local interna de la PC1 se traduce al 209.165.200.226 (dirección global interna). La dirección del dispositivo externo generalmente no se traduce porque esa dirección suele ser una dirección IPv4 pública.
Observa que la PC1 tiene distintas direcciones locales y globales, mientras que el servidor web tiene la misma dirección IPv4 pública en ambos casos. Desde la perspectiva del servidor web, el tráfico que se origina en la PC1 parece provenir de 209.165.200.226, la dirección global interna.
¿Qué es un NAT?
Tipos de NAT
Existen 3 tipos de NAT:
- NAT estático (de correlación)
- NAT dinámico (ocultación)
- PAT (con correlación de puerto)
NAT estático
El NAT estático consiste en una asignación uno a uno entre direcciones locales y globales. Estas asignaciones son configuradas por el administrador de red y se mantienen constantes.
NAT Estático
En la ilustración, el R2 se configuró con las asignaciones estáticas para las direcciones locales internas del Svr1, el PC2 y el PC3. Cuando estos dispositivos envían tráfico a Internet, sus direcciones locales internas se traducen a las direcciones globales internas configuradas. Para redes externas, estos dispositivos parecen tener direcciones IPv4 públicas.
El NAT estático es particularmente útil para servidores web o dispositivos que deben tener una dirección coherente a la que se pueda acceder desde Internet, como el servidor web de una empresa. También es útil para dispositivos que deben ser accesibles por personal autorizado cuando se encuentra fuera del sitio, pero no por el público en general en Internet. Por ejemplo, un administrador de red de PC4 puede usar SSH para obtener acceso a la dirección global interna de Svr1 (209.165.200.226). R2 traduce esta dirección global interna a la dirección local interna 192.168.10.10 y conecta la sesión a Svr1.
El NAT estático requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas.
¿Un router con NAT estática convierte a un router en un dispositivo de capa 4?
Configurar NAT estática
Para configurar una NAT estática puedes seguir los pasos del artículo NAT Estática o seguir los pasos del siguiente vídeo:
NAT dinámica
El NAT dinámico utiliza un pool de direcciones públicas y las asigna según el orden de llegada. Cuando un dispositivo interno solicita acceso a una red externa, el NAT dinámico asigna una dirección IPv4 pública disponible del pool.
NAT dinámica
En la figura, el PC3 ha accedido a Internet utilizando la primera dirección disponible en el pool NAT dinámico. Las demás direcciones siguen disponibles para utilizarlas. Al igual que el NAT estático, el NAT dinámico requiere que haya suficientes direcciones públicas disponibles para satisfacer la cantidad total de sesiones de usuario simultáneas.
¿Cuántos usuarios pueden tener acceso a internet con un pool de 3 direcciones IP?
¿Cuántos usuarios simultáneos pueden tener acceso a internet con un pool de 3 direcciones IP?
¿Un router con NAT dinámica convierte a un router en un dispositivo de capa 4?
Configurar NAT dinámica
Para configurar una NAT estática puedes seguir los pasos del artículo NAT Dinámica o seguir los pasos del siguiente vídeo:
PAT
La traducción de la dirección del puerto (PAT, Port Address Translation), también conocida como “NAT con sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a algunas direcciones. Esto es lo que hacen la mayoría de los routers domésticos. El ISP asigna una dirección al router, sin embargo, varios miembros del hogar pueden acceder simultáneamente a Internet. Esta es la forma más común de NAT tanto para el hogar como para la empresa.
¿Qué es el ISP?
¿Qué tipo de NAT usan la mayoría de los routers domésticos?
Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que cada dirección privada también se rastrea con un número de puerto. Cuando un dispositivo inicia una comunicación, genera un valor de puerto de origen TCP o UDP para identificar de forma única la sesión. Cuando el router NAT recibe un paquete del cliente, utiliza su número de puerto de origen para identificar de forma exclusiva la traducción NAT específica.
Proceso de PAT
Proceso de PAT paso a paso
Proceso de PAT: Paso 1
Proceso de PAT: Paso 2
Proceso de PAT: Paso 3
Proceso de PAT: Paso 4
Proceso de PAT: Paso 5
A medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555, en este ejemplo) para identificar el dispositivo en el que se originó el paquete. La dirección de origen (SA, source address) es la dirección local interna con el número de puerto asignado TCP / UDP agregado. La dirección de destino (DA, destination address) es la dirección global externa con el número de puerto de servicio agregado. En este ejemplo, el puerto de servicio es 80, que es HTTP.
Para la dirección de origen, el R2 traduce la dirección local interna a una dirección global interna con el número de puerto agregado. La dirección de destino no cambia, pero ahora se conoce como la dirección IPv4 global externa. Cuando el servidor web responde, se invierte la ruta.
¿Qué diferencias hay entre un NAT y un PAT?
| NAT | PAT |
|---|---|
| Mapeo uno a uno entre las direcciones Locales Internas y Globales Internas. | Una dirección Interna Global puede ser mapeada a muchas direcciones Locales Internas. |
| Utiliza sólo direcciones IPv4 en el proceso de traducción. | Utiliza direcciones IPv4 y números de puertos de origen TCP o UDP en el proceso de traducción. |
| Se requiere una dirección única Global Interna para cada host interno que acceda a la red externa. | Una única y exclusiva dirección Global Interna puede ser compartida por muchos hosts internos que acceden a la red exterior. |
¿Es lo mismo PAT que NAT con sobrecarga?
¿Un router con PAT convierte a un router en un dispositivo de capa 4?
Configurar PAT
Para configurar una NAT estática puedes seguir los pasos del artículo PAT o seguir los pasos del siguiente vídeo:
Siguiente puerto disponible
En el ejemplo anterior, los números de puerto del cliente, 1331 y 1555, no se modificaron en el router con NAT habilitada. Esta no es una situación muy probable, porque existe una gran posibilidad de que estos números de puerto ya se hayan conectado a otras sesiones activas.
PAT intenta conservar el puerto de origen inicial. Sin embargo, si el puerto de origen original ya está en uso, PAT asigna el primer número de puerto disponible a partir del comienzo del grupo de puertos apropiado 0-511, 512-1023 o 1024-65535.
Ejemplo de funcionamiento PAT
Supongamos que tenemos un host, que llamaremos CLIENTE y que tiene por dirección IP 10.1.1.5 y máscara de toda la red 255.0.0.0, que quiere acceder a Internet solicitando páginas a través de su navegador. La conexión a Internet se ha realizado en otro host de la red al que llamaremos ROUTER con dirección IP 10.1.1.1 y que está en la misma red que CLIENTE.
Cuando el ROUTER realiza una conexión a Internet, su proveedor le proporciona una dirección IP a la interfaz de red WAN por la que se conecta remotamente que es 213.97.2.12.
Debemos tener en cuenta que los pasos 1 y 4 se producen dentro de una LAN, mientras que los números 2 y 3 proceden de una WAN.
Esquema de un ejemplo de utilización de enmascaramiento IP
¿De que tipo es la red del CLIENTE?
¿Tiene el ROUTER la primera @ disponible de la red?
El CLIENTE lo configuraremos para que la ruta por defecto apunte a ROUTER.
Si el navegador en el CLIENTE solicita una página al servidor 225.10.2.150 por el puerto 1345, como el CLIENTE no tiene acceso por red al host 225.10.2.150, mandará el mensaje por la ruta de defecto al ROUTER. Si el ROUTER tiene habilitado el servicio de enmascaramiento, sustituirá la dirección IP del CLIENTE por la suya propia en la interfaz WAN (213.97.2.12) y el número de puerto por otro que tenga libre, haciéndole la petición al servidor web cuya dirección es 225.10.2.150. Cuando el servidor web le conteste, el ROUTER sustituirá la dirección IP WAN suya (213.97.2.12) por la dirección IP propia en su red de área local (10.1.1.1) y se lo mandará a CLIENTE por el puerto por el que este se quedó esperando, en nuestro ejemplo, el 1345. De este modo, CLIENTE ha recibido sus datos transparentemente, es decir, sin enterarse de nada.
Ejemplo enmascaramiento IP sin cambio de puerto
Ejemplo enmascaramiento IP con cambio de puerto
Otro ejemplo de funcionamiento PAT
Ejemplo de enmascaramiento IP: Envío
Ejemplo de enmascaramiento IP: Respuesta
¿Por qué los puertos también se traducen aleatoriamente?
Ejemplo de enmascaramiento IP: Conflicto de mismo puerto
Ejemplo de enmascaramiento IP: Fallo de traducción