【Red informática】IPv4 NAT

Language 2023-07-29 18:29:54 views: null

Escriba el título del directorio aquí

Antecedentes de uso de NAT

Una dirección IPv4 pública no es suficiente para asignar a cada dispositivo una dirección única para la conexión a Internet.

Estas direcciones privadas se pueden usar dentro de una empresa o sitio para permitir que los dispositivos se comuniquen localmente. Sin embargo, debido a que estas direcciones no identifican a ninguna empresa o negocio, las direcciones IPv4 privadas no se pueden enrutar a través de Internet. Para que un dispositivo con una dirección IPv4 privada acceda a dispositivos y recursos fuera de la red local, primero se debe traducir la dirección privada a una dirección pública.
inserte la descripción de la imagen aquí

NAT proporciona traducción de direcciones privadas a direcciones públicas. Esto permite que los dispositivos con direcciones IPv4 privadas accedan a recursos fuera de su red privada. NAT combinado con direcciones IPv4 privadas se convierte en un método efectivo para guardar direcciones IPv4 públicas. Una sola dirección IPv4 pública puede ser compartida por cientos o incluso miles de dispositivos, mientras que cada dispositivo está configurado con una dirección IPv4 privada única.

principio NAT

inserte la descripción de la imagen aquí

NAT sirve para muchos propósitos, pero su propósito principal es guardar direcciones IPv4 públicas .

Un enrutador habilitado para NAT se puede configurar con una o más direcciones IPv4 públicas válidas. Estas direcciones públicas se denominan grupos de direcciones NAT . Cuando un dispositivo interno envía tráfico fuera de la red, un enrutador habilitado para NAT traduce la dirección IPv4 interna del dispositivo a una dirección pública en el conjunto de NAT. Para el dispositivo externo, todo el tráfico hacia y desde la red parece tener una dirección IPv4 pública extraída del grupo de direcciones proporcionado.

Los enrutadores NAT generalmente funcionan en los límites de la red stub. Una red stub es una red que tiene una única conexión con sus vecinos, con una entrada y una salida. En el ejemplo de la figura, R2 es el enrutador de borde. Para los ISP, R2 constituye una red stub.

Cuando un dispositivo dentro de una red auxiliar quiere comunicarse con un dispositivo fuera de su red, reenvía el paquete a un enrutador de borde. Los enrutadores de borde realizan un proceso NAT que traduce la dirección privada interna de un dispositivo a una dirección pública enrutable externamente.

Tipo de dirección NAT

inserte la descripción de la imagen aquí

Cuando se utiliza NAT, las diferentes direcciones IPv4 se denominan de manera diferente dependiendo de si la dirección se encuentra en una red privada o pública (Internet) y si el tráfico es entrante o saliente.

Al decidir qué dirección usar, es importante recordar que la terminología NAT siempre se aplica desde la perspectiva del dispositivo con la dirección traducida:

内部地址 - 经过 NAT 转换的设备的地址。

外部地址 - 目标设备的地址。

NAT también utiliza la noción de local o global con respecto a las direcciones:

本地地址 - 本地地址是在网络内部出现的任何地址。

全局地址 - 全局地址是在网络外部出现的任何地址。

Entonces, combinados, NAT incluye cuatro tipos de direcciones:

  • Dirección local interna: la dirección de origen vista desde el interior de la red
  • Dirección global interna: dirección de origen vista desde la red externa
  • Dirección local externa: la dirección del destino como se ve desde la red externa
  • Dirección global externa: la dirección del destino como se ve desde el interior de la red

inserte la descripción de la imagen aquí

En la figura, PC1 tiene una dirección local interna de 192.168.10.10. Desde la perspectiva de PC1, el servidor web tiene una dirección externa de 209.165.201.1. Cuando se envía un paquete desde la PC1 a la dirección global del servidor web, la dirección local interna de la PC1 se traduce a 209.165.200.226 (la dirección global interna). La dirección del dispositivo externo generalmente no se traduce porque generalmente es una dirección IPv4 pública.

Tenga en cuenta que la PC1 tiene diferentes direcciones locales y globales, mientras que el servidor web usa la misma dirección IPv4 pública para las direcciones locales y globales. Desde la perspectiva del servidor web, el tráfico que se origina en PC1 parece provenir de 209.165.200.226 (la dirección global interna).

El enrutador NAT (R2 en el diagrama) es el punto de demarcación entre las redes internas y externas y entre las direcciones locales y globales.

NAT estática y NAT dinámica

Hay tres tipos de traducciones NAT:

Traducción de direcciones estáticas (NAT estática): asignación de direcciones uno a uno entre direcciones locales y direcciones globales.

Traducción dinámica de direcciones (NAT dinámica): mapeo de direcciones de muchos a muchos entre direcciones locales y direcciones globales. Las conversiones se realizan según disponibilidad. Por ejemplo, si hay 100 direcciones locales internas y 10 direcciones globales internas, solo 10 de las 100 direcciones locales internas se pueden traducir a la vez. Esta limitación de la NAT dinámica la hace menos práctica que la traducción de direcciones de puertos para redes de producción.

Traducción de dirección de puerto (PAT): asignación de direcciones de muchos a uno entre direcciones locales y direcciones globales. Este método también se conoce como sobrecarga (sobrecarga NAT). Por ejemplo, si hay 100 direcciones locales internas y 10 direcciones globales internas, PAT usa el puerto como un parámetro adicional para brindar un efecto multiplicador que permite reutilizar cualquiera de las 10 direcciones globales internas hasta 65,536 veces (esto dependiendo de si el flujo de tráfico se basa en UDP, TCP o ICMP).

Ventajas y desventajas de NAT

NAT tiene muchas ventajas, que incluyen:

  • NAT permite el direccionamiento privado de la intranet, manteniendo así un esquema de direccionamiento público registrado legalmente
  • NAT mejora la flexibilidad de conectarse a redes públicas
  • NAT proporciona consistencia en los esquemas de direccionamiento de la red interna (las organizaciones pueden cambiar de ISP sin cambiar ningún cliente interno)
  • NAT proporciona seguridad de red (ocultar la dirección IPv4 del usuario)

Sin embargo, el hecho de que los hosts de Internet parezcan estar comunicándose directamente con el dispositivo habilitado para NAT, en lugar de hosts reales dentro de la red privada, crea varios problemas:

  • afectar el rendimiento de la red
  • Pérdida de direccionamiento de extremo a extremo
  • También se pierde la trazabilidad de IPv4 de extremo a extremo
  • complica el uso de protocolos de tunelización
  • La conexión TCPl de origen puede estar interrumpida

Configurar NAT estático

El NAT estático es un mapeo uno a uno entre direcciones internas y externas.
inserte la descripción de la imagen aquíComo se muestra en la topología anterior, si NAT no está configurado, desde el servidor web, falla el ping al cliente, pero el ping a la interfaz R2 S0/0/0. El comando ping debería tener éxito.

Al configurar la traducción de NAT estática, hay dos tareas básicas:

Paso 1. La primera tarea es establecer un mapeo entre las direcciones locales internas y las direcciones globales internas .

Router(config)#ip nat inside source static local-ip global-ip

Por ejemplo, la dirección local interna 192.168.10.254 y la dirección global interna 209.165.201.5 en la Figura 1 se han configurado para traducción NAT estática.

Router(config)#ip nat inside source static 192.168.10.254 209.165.201.5

Paso 2. Después de configurar la asignación, configure la interfaz que participa en la traducción como una interfaz interna o externa (a diferencia de NAT).

Router(config)#interface 内部接口类型编号
Router(config)#ip nat inside
Router(config)#interface 外部接口类型编号
Router(config)#ip nat outside

En este ejemplo, la interfaz Serial 0/0/0 de R2 es la interfaz interna y Serial 0/1/0 es la interfaz externa.

Router(config)#interface Serial 0/0/0
Router(config)#ip nat inside
Router(config)#interface Serial 0/1/0
Router(config)#ip nat outside

Ver traducción NAT

Verifique la configuración de NAT estática con el siguiente comando:

show running-config

show ip nat translations

show ip nat statistics

Configurar NAT dinámico

La NAT estática proporciona una asignación permanente entre direcciones locales internas y direcciones globales internas, mientras que la NAT dinámica permite la asignación automática de direcciones locales internas a direcciones globales internas.

Al igual que la NAT estática, la NAT dinámica requiere la configuración de las interfaces internas y externas que participan en la NAT. Sin embargo, la NAT estática crea una asignación permanente a una sola dirección, mientras que la NAT dinámica utiliza un grupo de direcciones .

inserte la descripción de la imagen aquí
Paso 1. Utilice el comando ip nat pool para definir el conjunto de direcciones que se utilizará para la traducción . El grupo de direcciones suele ser un grupo de direcciones públicas. Estas direcciones se definen indicando la dirección IPv4 inicial y la dirección IPv4 final en el grupo. Las palabras clave de longitud de prefijo o máscara de red indican qué bits de dirección pertenecen a la red y qué bits pertenecen a los hosts dentro de ese rango de direcciones.

Paso 2. Configure una ACL estándar para identificar (permitir) solo aquellas direcciones que se traducirán. Las ACL que son demasiado amplias pueden tener consecuencias no deseadas. Recuerde que hay una declaración de denegación implícita al final de cada ACL.

Paso 3. Enlace la ACL y el grupo de direcciones . El comando ip nat inside source list access-list-number pool pool name se usa para vincular ACL y el grupo de direcciones. Los enrutadores utilizan esta configuración para determinar qué dispositivos (listas) reciben qué direcciones (grupos).

Paso 4. Determine qué interfaces son internas para NAT, es decir, cualquier interfaz conectada a la red interna.

Paso 5. Determine qué interfaces son externas para NAT, es decir, cualquier interfaz conectada a la red externa.

inserte la descripción de la imagen aquí
La figura anterior muestra una topología de ejemplo junto con la configuración. Esta configuración permitirá que el tráfico generado por todos los hosts en la red 192.168.0.0/16, incluida la LAN 192.168.10.0 y la LAN 192.168.11.0, se traduzca a medida que ingresa a S0/0/0 y sale de S0/1/0. Estos hosts se traducirán a una de las direcciones disponibles en el grupo de direcciones en el rango 209.165.200.226 - 209.165.200.240.

//使用池名称 PUBLIC-POOL,定义从 209.165.200.226 到 209.165.200.240的公有 IPv4 地址池。
R2(config)# ip nat pool PUBLIC-POOL 209.165.200.226 209.165.200.240 netmask 255.255.255.224

//配置 ACL 1 以允许 NAT 转换来自 192.168.0.0/24 网络的设备。
R2(config)# access-list 1 permit 192.168.0.0 0.0.0.255

//绑定 PUBLIC-POOL 与 ACL 2。
R2(config)# ip nat inside source list 1 pool PUBLIC-POOL

// 配置恰当的内部 NAT 接口。
R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside

//配置恰当的外部 NAT 接口。
R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside

Verificar NAT dinámica

inserte la descripción de la imagen aquí

PALMADITA

PAT (también conocida como sobrecarga de NAT) permite que un enrutador use una dirección global interna para muchas direcciones locales internas , guardando así direcciones en el grupo de direcciones globales internas. En otras palabras, una dirección IPv4 pública puede usarse para cientos o incluso miles de direcciones IPv4 privadas internas. Cuando se configura este tipo de traducción, el enrutador guarda suficiente información de los protocolos de capa superior (como los números de puerto TCP o UDP) para traducir la dirección global interna nuevamente a la dirección local interna correcta. Cuando varias direcciones locales internas se asignan a una dirección global interna, el número de puerto TCP o UDP de cada host interno se puede usar para distinguir las diferentes direcciones locales.

Nota: En teoría, la cantidad total de direcciones internas que se pueden traducir a una dirección externa puede llegar a 65 536 por dirección IPv4. Sin embargo, la cantidad de direcciones internas que se pueden asignar a una sola dirección IPv4 es de aproximadamente 4000.

Hay dos formas de configurar PAT, dependiendo de cómo su ISP asigne direcciones IPv4 públicas. En la primera asignación, el ISP asigna múltiples direcciones IPv4 públicas al negocio, y en la otra, le asigna al negocio una única dirección IPv4 a través de la cual se conecta al ISP.

Configurar PAT

inserte la descripción de la imagen aquí

La figura anterior muestra los pasos para configurar PAT con un conjunto de direcciones. La principal diferencia entre esta configuración y la configuración dinámica de NAT uno a uno es el uso de la palabra clave de sobrecarga . La palabra clave de sobrecarga habilita PAT.
inserte la descripción de la imagen aquí

//使用池名称 NAT-POOL-OVERLOAD,定义从 209.165.200.226 到 209.165.200.240 的公有 IPv4 地址池。
R2(config)# ip nat pool NAT-POOL-OVERLOAD 209.165.200.226 209.165.200.240 netmask 255.255.255.224
//配置 ACL 1 以允许 NAT 转换来自 10.0.0.0/8 网络的设备。
R2(config)# access-list 3 permit 10.0.0.0 0.255.255.255
//绑定 NAT-POOL-OVERLOAD 与 ACL 3。
R2(config)# ip nat inside source list 3 pool NAT-POOL-OVERLOAD overload
//配置恰当的内部 NAT 接口。
R2(config)# interface Serial0/0/0
R2(config-if)# ip nat inside
//配置恰当的外部 NAT 接口。
R2(config)# interface Serial0/1/0
R2(config-if)# ip nat outside

Sin NAT, el problema de agotamiento del espacio de direcciones IPv4 podría haber ocurrido mucho antes del año 2000. Sin embargo, NAT también tiene algunas limitaciones, que se analizan más adelante en este capítulo. Para lidiar con el agotamiento del espacio de direcciones IPv4 y las limitaciones de NAT, eventualmente se requerirá una transición a IPv6.

Supongo que te gusta

Origin blog.csdn.net/weixin_45884316/article/details/123589085
Recomendado
Clasificación
Diario
Más
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)
2024-04-24(31)

Code World

© 2018 codetd.com