Mostrando entradas con la etiqueta NAT. Mostrar todas las entradas
Mostrando entradas con la etiqueta NAT. Mostrar todas las entradas

lunes, 22 de diciembre de 2014

NAT IOS (Network Address Translation )


NAT permite a los host que no tienen una IP publica acceder a Internet.


Cisco IOS soporta varios tipos de NATs .


NAT Estático (Static NAT) 

Permite  mapear una IP a otra estaticamente 

Para la terminología de Cisco , la IP privada del host en la red interna es llamada "inside local" y la IP publica con la que el host saldrá  Internet es conocida como "Inside Global"

Ejemplo de la configuración:

interface GigabitEthernet0/0
ip address 10.2.2.5 255.255.255.0
ip nat inside

interface Serial0/0/0
ip address 200.1.1.251 255.255.255.0
ip nat outside

ip nat inside source static 10.1.1.2 200.1.1.2
ip nat inside source static 10.5.5.1 200.1.1.1


NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 200.1.1.1 10.5.5.1 --- ---
--- 200.1.1.2 10.1.1.2 --- ---
NAT# show ip nat statistics
Total active translations: 2 (2 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0/0
Inside interfaces:GigabitEthernet0/0
Hits: 100 Misses: 0
Expired translations: 0
Dynamic mappings:


NAT Dinámico (Dynamic NAT) 


Muy similar al NAT estático , creando una asociación "one-to-one" entre  IPs privadas y publicas.

Pero esta vez ese mapeo es dinámico,  creando un pool de posibles IPs a las que las IPs privadas se pueden traducir. 


Manualmente se puede borrar las entradas dinámicas de la tabla de traducciones con el comando "clear ip nat traslations "

Ejemplo de la configuración:

NAT# show running-config
!

interface GigabitEthernet0/0
ip address 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
ip address 200.1.1.251 255.255.255.0
ip nat outside

access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1
!
ip nat pool test 200.1.1.1 200.1.1.2 netmask 255.255.255.252
ip nat inside source list 1 pool test
!


NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 200.1.1.1 10.1.1.1 --- ---
NAT# show ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
Ethernet0/0
Hits: 69 Misses: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
access-list 1 pool fred refcount 1
pool fred: netmask 255.255.255.252
start 200.1.1.1 end 200.1.1.2
type generic, total addresses 2, allocated 1 (50%), misses 0


NAT con traducción de puertos  (PAT or NAT Overload ) 


La mayoría de las redes necesitan que todos sus host salgan a Internet , si utilizamos NAT estático cada host deberá tener una IP publica diferente asignada , lo cual es muy costoso y no provee escalabilidad. 

PAT soluciona este problema haciendo posible traducir múltiples IP privadas a una sola IP publica. 

Con el mapeo de PAT , no solo se seleccionan las IPs , sino que también agrega un numero de puerto único a la traducción, creando una combinación única en su tabla de traducciones. 

PAT puede crear hasta 65000 traducciones simultaneas. 

Ejemplo de la configuración:

NAT# show running-config
!
interface GigabitEthernet0/0
ip address 10.1.1.3 255.255.255.0
ip nat inside
!
interface Serial0/0/0
ip address 200.1.1.249 255.255.255.252
ip nat outside
!
ip nat inside source list 1 interface Serial0/0/0 overload
!
access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.1
!
NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 200.1.1.249:3212 10.1.1.1:3212 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.249:3213 10.1.1.2:3213 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.249:38913 10.1.1.2:38913 170.1.1.1:23 170.1.1.1:23

NAT# show ip nat statistics
Total active translations: 3 (0 static, 3 dynamic; 3 extended)
Outside interfaces:
Serial0/0/0
Inside interfaces:
GigabitEthernet0/0
Hits: 103 Misses: 3
Expired translations: 0
Dynamic mappings:
-- Inside Source
access-list 1 interface Serial0/0/0 refcount 3



NAT Troubleshooting

  • Asegurarse que la configuración incluye los comandos "ip nat inside" y "ip nat outside" en las interfaces y que este correctamente posicionadas. 
  • Para el NAT estático , asegurarse que las IPs privadas y publicas estén en el orden correcto. 
  • Si utiliza NAT dinámico , asegúrese que el ACL contenga las IPs correctas, y  que el pool tenga suficientes IPs para las traducciones requeridas.
  • Asegurarse que no haya ningún ACL previamente aplicado en la interfaz. 

Espero sea de ayuda

- Randy -




Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Comentarios (Atom)