lunes, 22 de diciembre de 2014

NAT IOS (Network Address Translation )


NAT permite a los host que no tienen una IP publica acceder a Internet.


Cisco IOS soporta varios tipos de NATs .


NAT Estático (Static NAT) 

Permite  mapear una IP a otra estaticamente 

Para la terminología de Cisco , la IP privada del host en la red interna es llamada "inside local" y la IP publica con la que el host saldrá  Internet es conocida como "Inside Global"

Ejemplo de la configuración:

interface GigabitEthernet0/0
ip address 10.2.2.5 255.255.255.0
ip nat inside

interface Serial0/0/0
ip address 200.1.1.251 255.255.255.0
ip nat outside

ip nat inside source static 10.1.1.2 200.1.1.2
ip nat inside source static 10.5.5.1 200.1.1.1


NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 200.1.1.1 10.5.5.1 --- ---
--- 200.1.1.2 10.1.1.2 --- ---
NAT# show ip nat statistics
Total active translations: 2 (2 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0/0
Inside interfaces:GigabitEthernet0/0
Hits: 100 Misses: 0
Expired translations: 0
Dynamic mappings:


NAT Dinámico (Dynamic NAT) 


Muy similar al NAT estático , creando una asociación "one-to-one" entre  IPs privadas y publicas.

Pero esta vez ese mapeo es dinámico,  creando un pool de posibles IPs a las que las IPs privadas se pueden traducir. 


Manualmente se puede borrar las entradas dinámicas de la tabla de traducciones con el comando "clear ip nat traslations "

Ejemplo de la configuración:

NAT# show running-config
!

interface GigabitEthernet0/0
ip address 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
ip address 200.1.1.251 255.255.255.0
ip nat outside

access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1
!
ip nat pool test 200.1.1.1 200.1.1.2 netmask 255.255.255.252
ip nat inside source list 1 pool test
!


NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 200.1.1.1 10.1.1.1 --- ---
NAT# show ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
Ethernet0/0
Hits: 69 Misses: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
access-list 1 pool fred refcount 1
pool fred: netmask 255.255.255.252
start 200.1.1.1 end 200.1.1.2
type generic, total addresses 2, allocated 1 (50%), misses 0


NAT con traducción de puertos  (PAT or NAT Overload ) 


La mayoría de las redes necesitan que todos sus host salgan a Internet , si utilizamos NAT estático cada host deberá tener una IP publica diferente asignada , lo cual es muy costoso y no provee escalabilidad. 

PAT soluciona este problema haciendo posible traducir múltiples IP privadas a una sola IP publica. 

Con el mapeo de PAT , no solo se seleccionan las IPs , sino que también agrega un numero de puerto único a la traducción, creando una combinación única en su tabla de traducciones. 

PAT puede crear hasta 65000 traducciones simultaneas. 

Ejemplo de la configuración:

NAT# show running-config
!
interface GigabitEthernet0/0
ip address 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
ip address 200.1.1.249 255.255.255.252
ip nat outside
!
ip nat inside source list 1 interface Serial0/0/0 overload
!
access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1
!
NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 200.1.1.249:3212 10.1.1.1:3212 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.249:3213 10.1.1.2:3213 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.249:38913 10.1.1.2:38913 170.1.1.1:23 170.1.1.1:23

NAT# show ip nat statistics
Total active translations: 3 (0 static, 3 dynamic; 3 extended)
Outside interfaces:
Serial0/0/0
Inside interfaces:
GigabitEthernet0/0
Hits: 103 Misses: 3
Expired translations: 0
Dynamic mappings:
-- Inside Source
access-list 1 interface Serial0/0/0 refcount 3



NAT Troubleshooting

  • Asegurarse que la configuración incluye los comandos "ip nat inside" y "ip nat outside" en las interfaces y que este correctamente posicionadas. 
  • Para el NAT estático , asegurarse que las IPs privadas y publicas estén en el orden correcto. 
  • Si utiliza NAT dinámico , asegúrese que el ACL contenga las IPs correctas, y  que el pool tenga suficientes IPs para las traducciones requeridas.
  • Asegurarse que no haya ningún ACL previamente aplicado en la interfaz. 

Espero sea de ayuda

- Randy -




No hay comentarios:

Publicar un comentario