Configuración de traducción de dirección de red: Introducción Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Pasos de inicio rápido para configurar y desplegar NAT Definición de interfaces interior y exterior de NAT Ejemplo: Permiso para que lo usuarios internos accedan a Internet Configuración de NAT para permitir que los usuarios internos accedan a Internet Configuración de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga Ejemplo: Habilitación de Internet para acceder a dispositivos internos Configuración de NAT para permitir el acceso a dispositivos internos desde Internet Ejemplo: Redirigir el tráfico de TCP a otro puerto o dirección TCP Configuración de NAT para redireccionar el tráfico TCP a otro puerto o dirección TCP Ejemplo: Uso de NAT durante una transición de red Configuración del uso de NAT durante una transición de la red Ejemplo: Utilización de NAT en redes superpuestas Verificación de funcionamiento de NAT Conclusión

Introducción En este documento se explica cómo configurar Traducción de dirección de red (NAT) en un router Cisco para utilizarlo en situaciones de red comunes. Este documento está dirigido a quienes utilizan NAT por primera vez. Nota: En este documento, cuando se hace referencia a Internet o a un dispositivo de Internet, se está haciendo referencia a un dispositivo de cualquier red externa.

Requisitos previos Requisitos Para comprender este documento, es preciso disponer de un conocimiento básico de los términos utilizados en relación con NAT. Algunas definiciones se pueden encontrar en NAT: Local and Global Definitions (NAT: definiciones locales y globales)

Componentes utilizados La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación. Routers de la serie 2500 de Cisco Versión 12.2(10b) del software Cisco IOS® La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando antes de ejecutarlo.

Convenciones Si desea obtener más información sobre las convenciones del documento, consulte las Convenciones sobre consejos técnicos de Cisco.

Pasos de inicio rápido para configurar y desplegar NAT Cuando se configura NAT, en ocasiones es difícil saber por dónde empezar, en especial si se está iniciando en el uso de NAT. Los pasos que indicamos a continuación le servirán de guía para definir qué desea que NAT realice y cómo configurarlo:

1. Defina las interfaces NAT interior y exterior. ¿Existen usuarios fuera de las interfaces múltiples? ¿Hay varias interfaces que van a Internet? 2. Defina qué está tratando de lograr con NAT. ¿Está intentando permitir que los usuarios internos accedan a Internet? ¿Está intentando permitir que Internet acceda a los dispositivos internos (como el servidor de correo o el servidor Web)? ¿Está intentando redireccionar el tráfico TCP a otro puerto o a otra dirección TCP? ¿Está utilizando NAT durante una transición de red? Por ejemplo, ha cambiado la dirección IP de un servidor y hasta que todos los clientes estén actualizados, desea que aquellos que todavía no lo estén puedan tener acceso al servidor a través de la dirección IP original, al mismo tiempo que los clientes que sí lo estén puedan acceder al servidor utilizando la dirección nueva. ¿Está utilizando NAT para permitir que las redes superpuestas se comuniquen? 3. Configure NAT para poder lograr lo que definió arriba. Basándose en lo que definió en el paso 2, deberá determinar qué función, de las que indicamos a continuación, utilizará: NAT estático NAT dinámico Sobrecarga Cualquier combinación de las anteriores 4. Verifique el funcionamiento de NAT. Todos los ejemplos de NAT que se exponen a continuación le servirán de guía para los pasos 1 a 3 de Inicio rápido mencionados anteriormente. Estos ejemplos describen algunas situaciones habituales en las que Cisco recomienda implementar NAT.

Definición de interfaces interior y exterior de NAT El primer paso al implementar NAT es definir las interfaces internas y externas de NAT. Puede ser que le resulte más fácil definir su red interna como interior y la red externa como exterior. Sin embargo, los términos interno y externo también están sujetos a decisión. La siguiente figura muestra un ejemplo de esto.

Ejemplo: Permiso para que lo usuarios internos accedan a Internet Es posible que desee permitir que los usuarios internos tengan acceso a Internet, aunque puede que no disponga de suficientes direcciones válidas para acomodar a todos. Si todas las comunicaciones con dispositivos de Internet van a originarse en los dispositivos internos, necesitará una única dirección válida o un agrupamiento de direcciones válidas. La figura siguiente muestra un diagrama de red simple con las interfaces del router definidas como interiores y exteriores:

En este ejemplo, queremos que NAT permita a ciertos dispositivos (los primeros 31 de cada subred) en el interior originar la comunicación con dispositivos en el exterior al traducir sus direcciones no válidas a una dirección o un conjunto de direcciones válidos. La agrupación se ha definido como el rango de las direcciones 172.16.10.1 a 172.16.10.63. Ahora ya está listo para configurar NAT. Para poder cumplir lo que ha definido anteriormente, utilice NAT dinámico. Con este NAT dinámico, la tabla de traducciones del router estará vacía al principio y se irá llenando cuando el tráfico que debe traducirse pase a través del router. (En oposición a NAT estático, donde una traducción se configura estáticamente y se pone en la tabla de traducciones sin necesidad de que haya tráfico). En este ejemplo, podemos configurar NAT para traducir todos los dispositivos internos a una única dirección válida o todos los dispositivos internos a la misma dirección válida. Este segundo método se denomina sobrecarga. A continuación se proporciona un ejemplo de cómo configurar cada método.

Configuración de NAT para permitir que los usuarios internos accedan a Internet Router NAT interface ethernet 0 ip address 10.10.10.1 255.255.255.0 ip nat inside

!--- Define Ethernet 0 con una dirección IP y como interfaz NAT interior. interface ethernet 1 ip address 10.10.20.1 255.255.255.0 ip nat inside !--- Define Ethernet 1 con una dirección IP y como interfaz NAT interior. interface serial 0 ip address 172.16.10.64 255.255.255.0 ip nat outside !--- Define serial 0 con una dirección IP y como interfaz NAT exterior. ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24 ! !--- Define una agrupación de NAT llamada no-overload con un rango de direcciones !--- 172.16.10.1 - 172.16.10.63. ip nat inside source list 7 pool no-overload ! ! !--- Indica que a todos los paquetes recibidos en la interfaz interna que !--- tienen permiso de la lista de acceso 7 !--- se les traducirá la dirección de origen a una dirección que esté fuera de la !--- agrupación NAT "no-overload". access-list 7 permit 10.10.10.0 0.0.0.31 access-list 7 permit 10.10.20.0 0.0.0.31 !--- La lista de acceso 7 permite paquetes con direcciones de origen comprendidas entre !--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.

Nota: Cisco recomienda encarecidamente que no configure con permit any las listas de acceso a las que hacen referencia comandos de NAT. Si utiliza permit any, NAT puede llegar a consumir demasiados recursos de router, lo que a su vez puede producir problemas en la red.

Observe que en la configuración anterior, access-list 7 sólo permite las primeras 32 direcciones de la subred 10.10.10.0 y las primeras 32 direcciones de la subred 10.10.20.0. Por lo tanto, sólo se traducen estas direcciones de origen. Pueden existir otros dispositivos con otras direcciones en la red interna pero no se traducirán. El último paso consiste en verificar que NAT esté funcionando correctamente.

Configuración de NAT para permitir el acceso a Internet a los usuarios internos usando sobrecarga Router NAT interface ethernet 0 ip address 10.10.10.1 255.255.255.0 ip nat inside !--- Define Ethernet 0 con una dirección IP y como interfaz NAT interior. interface ethernet 1 ip address 10.10.20.1 255.255.255.0 ip nat inside !--- Define Ethernet 1 con una dirección IP y como interfaz NAT interior. interface serial 0 ip address 172.16.10.64 255.255.255.0 ip nat outside !--- Define serial 0 con una dirección IP y como interfaz NAT exterior. ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24 ! !--- Define una agrupación de NAT llamada ovrld con un rango de una única !--- dirección IP, 172.16.10.1. ip nat inside source list 7 pool ovrld overload ! ! ! ! !--!--!--!--!---

Indica que a todos los paquetes recibidos en la interfaz interna que tienen permiso de la lista de acceso 7 se les traducirá la dirección de origen a una dirección que esté fuera de la agrupación de NAT denominada ovrld. Las traducciones se sobrecargarán, lo que permitirá traducir varios dispositivos internos a la misma dirección IP válida.

access-list 7 permit 10.10.10.0 0.0.0.31 access-list 7 permit 10.10.20.0 0.0.0.31 !--- La lista de acceso 7 permite los paquetes que tienen direcciones de origen comprendidas entre !--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.

En la segunda configuración anterior, observe que el agrupamiento NAT "ovrld" sólo posee un rango de una dirección. La palabra clave overload utilizada en el comando ip nat inside source list 7 pool ovrld overload permite que NAT traduzca varios dispositivos internos a una única dirección del agrupamiento. Otra variación de este comando es ip nat inside source list 7 interface serial 0 overload, que configura NAT a sobrecarga en la dirección que está asignada a la interfaz serial 0. Cuando se configura una sobrecarga, el router mantiene suficiente información de los protocolos de nivel superior (por ejemplo, números de puerto TCP o UDP) para traducir la dirección global a la dirección local correcta. Para obtener información sobre las definiciones de direcciones globales y locales, consulte NAT: Local and Global Definitions (NAT: definiciones locales y globales) El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Habilitación de Internet para acceder a dispositivos internos Puede necesitar que dispositivos internos intercambien información con dispositivos en Internet, donde se inicia la comunicación desde los dispositivos de Internet, por ejemplo, el correo electrónico. Por lo general, los dispositivos de Internet envían correo electrónico a un servidor de correo que reside en la red interna.

Configuración de NAT para permitir el acceso a dispositivos internos desde Internet En este ejemplo, primero definiremos las interfaces interiores y exteriores de NAT, tal como se muestra en el diagrama de red anterior. En segundo lugar, definiremos que queremos que los usuarios del interior puedan originar comunicaciones con el exterior. Los dispositivos del exterior deben poder originar comunicaciones sólo con el servidor de correo electrónico del interior. El tercer paso consistirá en configurar NAT. Para realizar las operaciones que acabamos de indicar, podemos configurar juntos NAT dinámico y estático. Para obtener más información sobre cómo configurar este ejemplo, consulte Configuring Static and Dynamic NAT Simultaneously (Configuración simultánea de NAT estática y dinámica). El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Redirigir el tráfico de TCP a otro puerto o dirección TCP Tener un servidor Web en una red interna es otro ejemplo de cuándo podría ser necesario que los dispositivos en Internet inicien comunicación con los dispositivos internos. En algunos casos, el servidor Web interno puede configurarse para escuchar el tráfico Web en un puerto TCP que no sea el puerto 80. Por ejemplo, el servidor Web interno puede estar configurado para escuchar el puerto TCP 8080. En dicho caso, puede utilizar NAT para redireccionar al puerto TCP 8080 el tráfico que estaba destinado al puerto TCP 80.

Después de definir las interfaces tal como se indica en el diagrama de red anterior, es posible que decida que NAT redireccione a 172.16.10.8:8080 los paquetes del exterior destinados 172.16.10.8:80. Para ello, puede utilizar un comando nat estático para traducir el número de puerto TCP. A continuación mostramos una configuración de ejemplo.

Configuración de NAT para redireccionar el tráfico TCP a otro puerto o dirección TCP Router NAT interface ethernet 0 ip address 172.16.10.1 255.255.255.0 ip nat inside !--- Define Ethernet 0 con una dirección IP y como interfaz NAT interior. interface serial 0 ip address 200.200.200.5 255.255.255.252 ip nat outside !--- Define serial 0 con una dirección IP y como interfaz NAT exterior. ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!--- Comando de NAT estático que indica que cualquier paquete recibido dentro de la !--- interfaz con una dirección IP de origen de 172.16.10.8:8080 se !--- traducirá a 172.16.10.8:80.

Observe que la descripción de la configuración del comando de NAT estático indica que todos los paquetes recibidos en la interfaz interna con una dirección IP de 172.16.10.8:8080 se traducirán a 172.16.10.8:80. Lo mismo ocurre con todos los paquetes recibidos en la interfaz externa con una dirección de destino de 172.16.10.8:80, cuyo destino se traducirá a 172.16.10.8:8080. El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Uso de NAT durante una transición de red La implementación de NAT es útil para redireccionar dispositivos en la red o para reemplazar un dispositivo por otro. Por ejemplo, si todos los dispositivos de la red usan un determinado servidor y debe reemplazarse este servidor por uno nuevo que tenga una nueva dirección IP, la reconfiguración de todos los dispositivos de red para que usen la dirección del nuevo servidor tomará algo de tiempo. Mientras tanto, puede utilizar NAT para configurar los dispositivos mediante la dirección anterior para traducir sus paquetes a fin de comunicarse con el servidor nuevo.

Después de definir las interfaces tal como se indica más arriba, es posible que decida que NAT permita que los paquetes del exterior destinados a la antigua dirección del servidor (172.16.10.8) se traduzcan y se envíen a la nueva dirección del servidor. Observe que el nuevo servidor está en una LAN diferente y que los dispositivos de esta LAN o de cualquier otra LAN a la que se pueda llegar a través de esta LAN (dispositivos en la parte interna de la red) deberían ser configurados, si es posible, para utilizar la dirección IP del nuevo servidor. Se puede utilizar NAT estático si es necesario. A continuación mostramos una configuración de ejemplo.

Configuración del uso de NAT durante una transición de la red Router NAT interface ethernet 0 ip address 172.16.10.1 255.255.255.0 ip nat outside !--- Define Ethernet 0 con una dirección IP y como interfaz NAT exterior. interface ethernet 1 ip address 172.16.50.1 255.255.255.0 ip nat inside !--- Define Ethernet 1 con una dirección IP y como interfaz NAT interior. interface serial 0 ip address 200.200.200.5 255.255.255.252 !--- Define serial 0 con una dirección IP. Esta interfaz no !--- participa en NAT. ip nat inside source static 172.16.50.8 172.16.10.8 !--- Indica que todos los paquetes recibidos en la interfaz interna con !--- una dirección IP de 172.16.50.8 se traducirán a 172.16.10.8.

Observe que el comando de NAT de origen interno de este ejemplo también implica que a los paquetes recibidos en la interfaz exterior con una dirección de destino de 172.16.10.8 se les traducirá la dirección de destino a 172.16.50.8. El último paso consiste en verificar que NAT esté funcionando correctamente.

Ejemplo: Utilización de NAT en redes superpuestas Cuando se asignan direcciones IP a los dispositivos internos que ya están siendo utilizados por otros dispositivos en Internet, se produce una superposición de redes. La superposición de redes también se produce cuando dos empresas que utilizan ambas direcciones IP RFC 1918 en sus redes, se fusionan. Estas dos redes necesitan comunicarse, preferentemente sin tener que reasignar direcciones a todos los dispositivos. Consulte Utilización de NAT en redes superpuestas para obtener más información acerca de cómo configurar NAT para este objetivo.

Verificación de funcionamiento de NAT Una vez que haya configurado NAT, compruebe que esté funcionando como esperaba. Puede hacer esto de diversas maneras: utilizando un analizador de redes, comandos show o comandos debug . Para consultar un ejemplo detallado de verificación de NAT, consulte Verificación del funcionamiento de NAT y resolución de problemas básicos de NAT.

Conclusión Los ejemplos de este documento muestran que los pasos de inicio rápido pueden ayudarle a configurar y desplegar NAT. Dichos pasos de inicio rápido incluyen: 1. Definición de NAT dentro y fuera de las interfaces. 2. Definición de lo que está tratando de lograr con NAT. 3. Configuración de NAT para poder lograr lo que definió en el paso 2. 4. Verificación del funcionamiento de NAT. En todos los ejemplos anteriores, se han utilizado diversos tipos del comando ip nat inside. También puede utilizar el comando ip nat outside para conseguir los mismos objetivos, siempre teniendo en cuenta el orden de operaciones de NAT. Para consultar ejemplos de configuraciones con comandos ip nat outside, consulte Configuración de muestra usando el comando ip nat outside source list y Ejemplo de configuración usando el comando ip nat outside source static. Los ejemplos anteriores también han demostrado lo siguiente: Comando

Acción

ip nat inside source

Traduce el origen de los paquetes IP que viajan del interior al exterior. Traduce el destino de los paquetes IP que viajan del exterior al interior.

ip nat outside source

Traduce el origen de los paquetes IP que viajan del exterior al interior. Traduce el destino de los paquetes IP que viajan del interior al exterior.

© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 19 Mayo 2008 http://www.cisco.com/cisco/web/support/LA/7/74/74548_12.html