Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Preguntas frecuentes sobre NAT

Anuncio 
Preguntas frecuentes sobre NAT
Preguntas
Introducción
¿Qué es NAT?
¿Cuáles son las principales diferencias entre la función NAT® de Cisco IOS y la implementación de la función NAT de Cisco
PIX Firewall?
¿En qué plataformas de ruteo de Cisco está disponible NAT de Cisco IOS? ¿Cómo puedo hacer el pedido?
¿NAT se ejecuta antes o después del ruteo?
¿Cómo adquieren el reconocimiento de ruteo las direcciones IP creadas mediante NAT?
¿Cuántas sesiones NAT simultáneas son soportadas en el NAT de Cisco IOS?
¿Qué tipo de desempeño de ruteo puedo esperar cuando uso la función NAT del software Cisco IOS?
¿Se puede aplicar la NAT de Cisco IOS a las subinterfaces?
¿Se puede usar la función NAT de Cisco IOS con HSRP para proporcionar enlaces redundantes a un ISP?
¿Soporta la función NAT de Cisco IOS traducciones de entrada en un troncal serie que ejecuta Frame Relay y es compatible
con las traducciones de salida en el lado Ethernet?
¿Puede un único router NAT permitir a algunos usuarios usar NAT y permitir a otros usuarios de la misma interfaz
Ethernet continuar con su propia IP estática?
¿Qué es PAT, o sobrecarga de NAT?
En una configuración de PAT (sobrecarga de NAT), ¿cuál es el número máximo de traducciones que se pueden establecer
para cada dirección IP global interna?
¿Cómo funciona PAT?
¿Cuál es el número máximo de agrupaciones IP de NAT que se pueden configurar (con el comando ip nat pool <name>)?
¿Qué es la superposición de direcciones de IP según se entiende en el contexto de NAT?
¿Es posible crear una configuración con traducciones NAT estáticas y dinámicas?
¿Puede el software Cisco IOS soportar múltiples tablas NAT externas?
¿Por qué debo configurar una máscara de subred cuando configuro una agrupación de direcciones NAT?
¿Puedo asignar direcciones IP de la subred de la interfaz exterior del router NAT a una agrupación NAT dinámica?
¿Gestiona correctamente el router los redireccionamientos de ICMP?
¿La función NAT de Cisco es compatible con todo el tráfico de las aplicaciones?
¿Por qué la función NAT de Cisco IOS no es compatible con el tráfico SNMP?
¿Cómo se manejan los protocolos de resolución de dirección (ARP) para las direcciones IP generadas por NAT?
La función NAT de Cisco IOS, ¿es compatible con las consultas de DNS?
¿Soporta la función NAT de Cisco IOS listas de control de acceso (ACL) que permiten ninguno o todos los paquetes?
¿Por qué el FTP activo funciona con (reenvío de puerto) estático/ampliado pero no funciona con PAT?
Introducción
En este documento se ofrecen respuestas a algunas de las preguntas más frecuentes relacionadas con la función Traducción de direcciones de red
(NAT) del software Cisco IOS®.
Consulte Convenciones de consejos técnicos de Cisco para obtener más información acerca de convenciones de los documentos.
P. ¿Qué es NAT?
R. NAT significa traducción de direcciones de red. La función NAT se ha diseñado para simplificar y conservar direcciones IP.
Permite que las interredes IP privadas que usan direcciones IP no registradas puedan conectarse a Internet. NAT se ejecuta en un
router, generalmente, conectando dos redes juntas, y traduce las direcciones privadas (no universalmente únicas) de la red interna en
direcciones legales antes de reenviar paquetes a otra red. Como parte de esta funcionalidad, NAT se puede configurar para anunciar
una o muy pocas direcciones para toda la red al mundo exterior. De esta forma, se ofrece más seguridad y se oculta de forma efectiva
toda la red interna del mundo que está detrás de dicha dirección. NAT ofrece una doble función de seguridad y conservación de red,
y generalmente, se implementa en entornos de acceso remoto. Consulte Cómo funciona NAT para obtener más detalles sobre el
funcionamiento de NAT.
P. ¿Cuáles son las principales diferencias entre la función NAT® de Cisco IOS y la implementación de la función
NAT de Cisco PIX Firewall?
R. La función NAT del software Cisco IOS no es diferente de la función NAT de PIX Firewall. Las principales diferencias tienen
que ver con los diferentes tipos de tráfico compatibles con la función NAT de Cisco IOS y en la implementación de NAT en PIX.
Consulte Cisco PIX 500 Series Firewalls (Firewalls Cisco PIX serie 500) y los NAT Configuration Examples (Ejemplos de
configuración de NAT) si desea información detallada acerca de la configuración de la función NAT en PIX (incluidos los tipos de
tráfico que son compatibles).
P. ¿En qué plataformas de ruteo de Cisco está disponible NAT de Cisco IOS? ¿Cómo puedo hacer el pedido?
R. La herramienta de Cisco Software Advisor (solamente clientes registrados) Asesor de software) (buscar por función) ofrece a los
clientes una herramienta para identificar la versión y la plataforma de cualquier función Cisco IOS que esté disponible. Si desea
saber si NAT es compatible con una determinada plataforma, vaya a Software Advisor (solamente clientes registrados) Asesor de
software), seleccione la opción Find software with the features I need (Encontrar software con las funciones que necesito),
especifique el producto y la información de software, y seleccione la función NAT y después la plataforma en cuestión. La
herramienta proporciona el mínimo software Cisco IOS que es compatible con la función de la plataforma.
Por motivos históricos:
Cuando se lanzó por primera vez en la versión 11.2 del software Cisco IOS, NAT sólo estaba disponible en las imágenes Plus.
Con Cisco IOS 11.3, PAT estaba disponible en todas las imágenes de IP mientras que la versión completa de NAT (1-1 y
PAT) sólo lo estaba en las imágenes Plus.
Con la versión 12.0 del software Cisco IOS, todas las imágenes IP ofrecen la función NAT completa.
Esta tabla proporciona información de compatibilidad de Cisco IOS y NAT.
Versión
Soporte
Soporte de
del
de NAT
NAT en
Soporte
software
en
imágenes
IP fácil
Cisco
imágenes
base
IOS
Plus
Plataformas de hardware
soportadas
Cisco 1000, 2500, 4x00, AS5200,
7200, RSP7000, 7500
11.2
Ninguno
NAT
Ninguno
11.2P
Ninguno
NAT
Cisco 1000, 1600, 2500, 3620, 3640,
Ninguno 4x00, AS5200, AS5300, Cat5000
RSM, 7200, RSP7000, 7500
11.3
Únicamente
NAT
PAT
Fase 1
Cisco 1000, 1600, 2500, 3620, 3640,
4x00, AS5200, 7200, RSP7000, 7500
11.3T
Únicamente
NAT
PAT
Fase 1
Cisco 1000, 1600, 2500, 2600, 3620,
3640, 4x00, AS5200, AS5300,
Cat5000 RSM, 7200, RSP7000, 7500
12.0
NAT
Fase 1
Cisco 1600, 2500, 2600, 3620, 3640,
4000, 4500, 4700, AS5x00, Cat5000
RSM, 7200, RSP7000, 7500
Fase 2
Cisco 8001 , 1400, 1600, 1700, 25002 ,
2600, 36x0,MC3810, C4x00,
AS5x00,Cat5000 RSM, Cat5000
RSFC, 7100, 7200, uBR9x0,
uBR72003 , RSP7000, 7500
Fase 2
Cisco 8001 , 1400, 1600, 1700, 25002 ,
2600, 36x0, MC3810, C4x00,
AS5x00, Cat5000 RSM, Cat5000
RSFC, 7100, 7200, ubr9x0, uBR72003
, RSP7000, 7500, RPM
Fase 2
Cisco 8001 , 1400, 16004 , 17002,4,
2500, 2600, 36x0, MC3810, C4x00,
AS5x00, Cat5000 RSM, Cat5000
RSFC, 7100, 7200, ubr9x0, uBR72003
, RSP7000, 7500, RPM
12.0T
12.1
12.1T
12.2
NAT
NAT
NAT
NAT
NAT
NAT
NAT
NAT
NAT
Fase 2
Cisco1400, 1601-1604, 1601R1605R,1720,1750,25012525,2610XM-2611XM,2620-2621,
2620XM-2621XM, 2650XM2651XM, 2650-2651,
3620,3640,3640A, 3660, 4500,7100,
7200,7500,800,8850RPMPR,AS5300, AS5400,CAT4500AGM, CAT5000-RSM,
ICS7700,MC3810,SLT,UBR910, 920
12.2T
12.3
NAT
NAT
12.3T
NAT
NAT
NAT
NAT
Fase 2
Cisco 1710, 1721,1751,1751V,1760,1720,1750,25012525,2610XM-2611XM,2620-2621,
2620XM-2621XM, 2650XM2651XM, 2650-2651,
3620,3640,3640A, 3660,
3725,3745,6400-NPR-1, 6400-NPR2SV,6400-NSP,7100,
7200,7400,7500,800,8850RPMPR,AS5300,
AS5350,AS5400,AS5400HPX,
CAT4500-AGM, CVA 120,
CAT5000-RSM,
ICS7700,MC3810,SLT, SOHO76,
77, 78, UBR7200,UBR905,925.
Fase 2
Cisco 1400, 1601-1604, 1601R1605R,1710,1720,1721,1750,1751V,1751,1760,2501-2525,2610XM2611XM, 2620XM-2621XM,
2650XM-2651XM, 2650-2651,2691,
3620,3631,3640,3640A, 3660,
3725,3745,6400-NRP1, 6400-NRP2SV, 6400- NSP,
7200,7301,7400,7500,800,8850RPMPR,AS5300, AS5350,
AS5400,AS5400HPX, AS5850RSC,CAT4224,CAT4500-AGM,
CVA120, ICS7700,MC3810,SCT,
SOHO76,77,78, UBR905, 925.
Fase 2
Cisco 1701,1710,1711,
1712,1720,1721,1751-V,1751,1760,
2610XM-2611XM, 2620XM2621XM, 2650XM-2651XM, 2691,
28X1,3620,3631,3640,3640A, 3660,
3725,3745,6400-NRP1, 6400-NRP2SV, 6400- NSP,
7200,7301,7400,7500,800,8850RPMPR,AS5300, AS5350,
AS5400,AS5400HPX, AS5850RSC,CAT4224,CAT4500-AGM,
CVA120, ICS7700,MC3810,SCT,
SOHO78, SOHO91, 96,97, UBR905,
925, VG224.,
Nota: Puede conseguir esta información en el Feature Navigator Tool (Navegador de funciones de Cisco) (solamente clientes registrados).
No se encuentra disponible la funcionalidad NAT en uBR7200 en la imagen del software del proveedor del servicio. La
funcionalidad del servidor de Protocolo de configuración de host dinámico (DHCP) se encuentra disponible en uBR7200 en la
imagen del software del proveedor del servicio (-p).
En 2500 a partir de la versión principal 11.2 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no
son compatibles con NAT.
En 2600 a partir de la versión principal 12.2T del software Cisco IOS en imagen Enterprise Base.
En 3620 a partir de la versión principal 11.2P del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no
son compatibles con NAT.
En 3640 a partir de la versión principal 11.3 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no
son compatibles con NAT.
En 4000 a partir de la versión principal 11.2 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no
son compatibles con NAT.
En 4500 a partir de la versión principal 11.2 del software Cisco IOS en imagen Enterprise plus. Las imágenes Enterprise no
son compatibles con NAT.
En AS5300 a partir de la versión principal 11.2P del software Cisco IOS en imagen Enterprise plus. AS5800 es compatible con
NAT. Compatibilidad para SIP y compatibilidad NAT para NetMeeting Directory.
Catalyst 5000 RSM a partir de la versión principal 11.3T del software Cisco IOS en imagen Enterprise. 7200 – Se ofrece
compatibilidad para NAT a partir de la versión principal 11.2 del software Cisco IOS.
7500 – Se ofrece compatibilidad para NAT a partir de la versión principal 11.2.
En Cisco 3825 y 3845 en imágenes Base IP a partir de la versión 12.3T del software Cisco IOS.
NAT es compatible en 1600, a partir de la versión 11.3 base IP del software Cisco IOS y en 2500 a partir de la versión 11.3
base IP del software Cisco IOS.
1
NAT es compatible con todas las imágenes del software Cisco IOS para Cisco 800 a partir de la versión 12.0(3)T del
software Cisco IOS.
1 NAT es compatible con todas las imágenes del software Cisco IOS para Cisco 1700 a partir de la versión 12.2ZH del
software Cisco IOS.
3 NAT y la funcionalidad de servidor DHCP sólo están disponibles en la plataforma uBR7200 en la imagen del software
Service Provider Plus (-ps) a partir de la versión 12.0(3)T del software Cisco IOS.
4 Todas las plataformas que no sean uBR7200 requieren una imagen J u O (Enterprise o Cisco IOS Firewall respectivamente)
para conseguir la compatibilidad para la aplicación NetMeeting de Microsoft dentro de la función NAT de Cisco IOS.
P. ¿NAT se ejecuta antes o después del ruteo?
R. La traducción de adentro hacia fuera ocurre después del ruteo y la traducción de afuera hacia adentro tiene lugar antes del ruteo.
Consulte Secuencia de funcionamiento de NAT si desea más información.
P. ¿Cómo adquieren el reconocimiento de ruteo las direcciones IP creadas mediante NAT?
R. Se tiene conocimiento del ruteo para las direcciones IP creadas por NAT si:
La agrupación de direcciones globales internas se deriva de la subred de un router de salto siguiente (next hop).
La entrada de ruta estática se configura en el router de salto siguiente (next hop) y se redistribuye en la red de ruteo.
P. ¿Cuántas sesiones NAT simultáneas son soportadas en el NAT de Cisco IOS?
R. La cantidad de DRAM disponible en el router determina el límite de la sesión NAT. Cada traducción NAT consume cerca de 160
bytes de DRAM. El resultado es que 10.000 traducciones (más de lo que habitualmente gestionaría un único router) pueden consumir
alrededor de 1,6 MB. Por lo tanto, una plataforma de ruteo normal dispone de memoria suficiente para soportar miles de
traducciones NAT.
P. ¿Qué tipo de desempeño de ruteo puedo esperar cuando uso la función NAT del software Cisco IOS?
R. La función NAT de Cisco IOS soporta la conmutación de Cisco Express Forwarding (CEF), la conmutación rápida y la
conmutación de procesos.
El desempeño depende de estos factores:
El tipo de aplicación y el tipo de tráfico (¿incluye direcciones IP?)
¿Los mensajes múltiples reciben intercambio que necesita ser examinado?
¿Necesita un puerto de origen específico o negocia uno?
Cantidad de traducciones.
¿Qué más se ejecuta en el equipo al mismo tiempo?
El tipo de plataforma y procesador.
Para la mayoría de aplicaciones, la reducción del desempeño producida por la función NAT debería ser insignificante.
P. ¿Se puede aplicar la NAT de Cisco IOS a las subinterfaces?
R. Sí. Puede aplicar traducciones NAT de origen y/o de destino a cualquier interfaz o subinterfaz que contenga una dirección IP
(incluidas las interfaces de marcador).
P. ¿Se puede usar la función NAT de Cisco IOS con HSRP para proporcionar enlaces redundantes a un ISP?
R. No. En este escenario y en versiones anteriores de Cisco IOS, el router en espera no tiene la tabla de traducción del router activo.
Es por ello que cuando la transición tiene lugar, las conexiones exceden el tiempo de espera y no pueden establecerse.
En la versión 12.2(13)T del software Cisco IOS y en versiones posteriores, la función Stateful Failover of Network Address
Translation se puede configurar para que funcione con el Protocolo de ruteo de en espera en caliente (HSRP) para proporcionar
redundancia. Consulte NAT - Soporte para la asignación estática con HSRP para alta disponibilidad si desea más información.
P. ¿Soporta la función NAT de Cisco IOS traducciones de entrada en un troncal serie que ejecuta Frame Relay y es
compatible con las traducciones de salida en el lado Ethernet?
R. Sí.
P. ¿Puede un único router NAT permitir a algunos usuarios usar NAT y permitir a otros usuarios de la misma
interfaz Ethernet continuar con su propia IP estática?
R. Sí. Puede conseguirlo si usa una ACL que describa el conjunto de hosts o redes que requieren traducción NAT. Todas las sesiones
en el mismo host se traducen o pasan a través del router sin ser traducidas.
Las ACL, ACL extendidas y mapas de ruta pueden usarse para definir reglas que indiquen qué dispositivos IP se traducirán.
Especifique siempre la dirección de red y la máscara de subred adecuada. No utilice la palabra clave any en lugar de la dirección de
red y máscara de subred.
ip nat inside source static 10.1.1.10 140.16.1.254
!--- Traducción estática para el servidor DNS ns.bar.com.
ip nat outside source static 10.1.1.10 192.168.1.254
!--- Traducción estática para el servidor DNS ns.foo.com.
ip nat pool iga 140.16.1.1 140.16.1.253 netmask 255.255.255.0
!--- Traducciones dinámicas de dirección IL->IG.
ip nat pool ola 192.168.1.1 192.168.1.253 netmask 255.255.255.0
!--- Traducciones dinámicas de dirección OG->OL.
ip nat inside source list 1 pool iga
ip nat outside source list 2 pool ola
access-list 1 permit 10.2.17.0 .255.255.255.0
!--- Traducir todo el tráfico desde los hosts internos 10.2.17.
access-list 2 permit 10.0.0.0 255.0.0.0
!--- Traducir todo el tráfico originado externamente.
P. ¿Qué es PAT, o sobrecarga de NAT?
R. PAT, o la sobrecarga de NAT, es una función de NAT de Cisco IOS y puede usarse para traducir muchas direcciones privadas
internas (en el área local) hacia una o más direcciones IP externas (generalmente registradas - dentro del área global). Para distinguir
las conversaciones, se usan números de puerto de origen únicos en cada traducción.
Con la sobrecarga de NAT se crea un registro en la tabla de traducción que contiene la dirección completa y la información de puerto
de origen.
P. En una configuración de PAT (sobrecarga de NAT), ¿cuál es el número máximo de traducciones que se pueden
establecer para cada dirección IP global interna?
R. PAT (la sobrecarga de NAT) divide los puertos disponibles por dirección IP global en tres intervalos de 0-511, 512-1023, y 102465535. PAT (sobrecarga de NAT), asigna un único puerto de origen para cada sesión de Protocolo de datagrama de usuario (UDP) o
Protocolo de control de transmisión (TCP). Intenta asignar el mismo valor de puerto de la solicitud original. Sin embargo, si el puerto
de origen original ya se ha usado, comienza a buscar desde el principio del rango de puerto determinado para encontrar el primer
puerto disponible y asignarlo a la conversación.
P. ¿Cómo funciona PAT?
R. PAT con una dirección IP:
1. NAT/PAT inspecciona el tráfico y lo hace coincidir con una regla de traducción.
2. La regla coincide con una configuración de PAT.
3. ¿Conoce PAT el tipo de tráfico y tiene éste un conjunto específico de puertos, o puertos que negocie y vaya a utilizar? Si los
tiene, resérvelos y no los asigne como identificadores únicos.
4. Las sesiones sin requisitos de puertos especiales intentan conectarse. PAT traduce la dirección IP de origen y comprueba la
disponibilidad del puerto de origen creado (por ejemplo, 433). Los grupos son 1-511, 512-1023 y 1024-65535.
Nota: Para TCP y UDP, los grupos son 1-511, 512-1023, 1024-65535. Para ICMP, el primer grupo empieza en 0.
5. Si el puerto de origen solicitado está disponible, asigna el puerto de origen y la sesión continúa.
6. Si el puerto de origen solicitado no está disponible, la función NAT comienza a buscar desde el principio del grupo
correspondiente. En este ejemplo, empieza en 1 para aplicaciones TCP o UDP y en 0 para ICMP.
7. Si existe un puerto disponible, éste se asigna y la sesión prosigue.
8. Si no hay puertos disponibles, el paquete se pierde.
PAT con múltiples direcciones IP:
Use la misma lógica que con la dirección IP única (pasos 1 a 8) y:
1. Si ningún puerto está disponible en el grupo relevante en la primera dirección IP, NAT pasa a la próxima dirección IP en el
grupo y trata de asignar el puerto de origen requerido en primer lugar.
2. Si el puerto de origen solicitado está disponible, asigna el puerto de origen y la sesión continúa.
3. Si el puerto de origen solicitado no está disponible, la función NAT comienza a buscar desde el principio del grupo
correspondiente. En este ejemplo, empieza en 1 para aplicaciones TCP o UDP y en 0 para ICMP.
4. Si existe un puerto disponible, éste se asigna y la sesión prosigue.
5. Si ningún puerto está disponible, se descarta el paquete a menos que otra dirección IP esté disponible en la agrupación y hasta
que se hayan verificado todas las direcciones IP.
P. ¿Cuál es el número máximo de agrupaciones IP de NAT que se pueden configurar (con el comando ip nat pool
<name>)?
R. No hay un límite real. En la práctica, sin embargo, el número máximo de agrupaciones IP configurables está limitado por la
cantidad de DRAM disponible en el router que se está usando.
P. ¿Qué es la superposición de direcciones de IP según se entiende en el contexto de NAT?
R. La superposición de direcciones IP hace referencia a la situación en la que las dos ubicaciones que desean interconectarse usan el
mismo esquema de direcciones IP. No es un caso poco frecuente, y ocurre a menudo cuando se adquieren compañías o cuando éstas
se fusionan. Sin soporte especial, las dos ubicaciones no pueden conectarse y establecer sesiones. Las direcciones IP superpuestas
pueden ser direcciones públicas asignadas a otras compañías, direcciones privadas ya asignadas a otras compañías o procedentes del
rango de direcciones privadas definidas en RFC 1918 . Las direcciones IP privadas no pueden enrutarse y requieren traducciones
NAT para permitir las conexiones al mundo exterior. La solución pasa por interceptar las respuestas de la consulta de nombre DNS
desde afuera hacia adentro, establecer una traducción para la dirección externa y reparar la respuesta DNS antes de que ésta se
reenvíe al host interno. Se requiere la participación de un servidor DNS en ambos lados del dispositivo NAT, para determinar los
usuarios que desean conectarse entre las dos redes.
NAT puede inspeccionar y efectuar la traducción de dirección en los contenidos de los registros DNS A y PTR. Consulte Utilización
de NAT en redes superpuestas si desea más información.
P. ¿Es posible crear una configuración con traducciones NAT estáticas y dinámicas?
R. Sí, es posible. Las advertencias que usan las direcciones globales en las traducciones estáticas no se excluyen automáticamente
con las agrupaciones dinámicas que contienen estas direcciones globales. Debe crear agrupaciones dinámicas para excluir
direcciones asignadas a través de entradas estáticas.
P. ¿Puede el software Cisco IOS soportar múltiples tablas NAT externas?
R. Sí, puede hacerlo si usa mapas de ruta. El comando dynamic translation puede especificar un mapa de ruta que debe procesarse
en lugar de una ACL. Un mapa de ruta permite al usuario hacer coincidir cualquier combinación de ACL, direcciones IP de salto
siguiente e interfaces de salida para determinar la agrupación que se va a usar. Consulte NAT Support for Multiple Pools Using
Route Maps (Soporte NAT para múltiples agrupaciones que usan mapas de ruta) si desea más información sobre la configuración de
NAT con mapas de ruta.
P. ¿Por qué debo configurar una máscara de subred cuando configuro una agrupación de direcciones NAT?
R. La máscara de subred se usa para verificar las direcciones asignadas desde la agrupación (por lo que no asigna las direcciones de
difusión de subred, por ejemplo). La máscara de subred debe coincidir con el tamaño de la subred a la cual se está traduciendo.
P. ¿Puedo asignar direcciones IP de la subred de la interfaz exterior del router NAT a una agrupación NAT
dinámica?
R. Sí. El router NAT responde a las solicitudes de ARP para estas direcciones IP en la agrupación dinámica.
P. ¿Gestiona correctamente el router los redireccionamientos de ICMP?
R. Sí.
P. ¿La función NAT de Cisco es compatible con todo el tráfico de las aplicaciones?
R. El tráfico de aplicación es transparente para la función NAT de Cisco IOS a menos que:
Existen direcciones IP incluidas en la porción de datos.
Una aplicación requiere valores de puertos de origen/destino negociados o establecidos previamente.
La función NAT del software Cisco IOS efectúa una inspección de estado y necesita tener conocimientos previos de todas las
aplicaciones que incluyen o requieren puertos de origen específicos.
Cisco soporta, por ejemplo, la traducción de las direcciones IP incluidas en los registros DNS A y PTR, y es compatible con FTP y
las versiones 2.11 (4.3.2519) y 3.01 (4.4.3385) de NetMeeting porque reserva los valores del puerto de origen que necesitan. Cisco
no asigna estos valores del puerto de origen cuando usa la función PAT o la función de sobrecarga de NAT de Cisco IOS.
Con direcciones IP incluidas, la función NAT del software Cisco IOS debe tener conocimiento de mensajes que contengan las
direcciones incluidas y el desplazamiento dentro de estos mensajes. Si la dirección o direcciones incluidas se corresponden con
reglas configuradas, se traducen en función de la configuración. Una aplicación que incluye direcciones IP (desconocidas para el
NAT del software Cisco IOS) no funciona correctamente en una configuración de la función NAT de Cisco IOS.
Una excepción sería usar un protocolo de tunelización como el Protocolo de tunelización punto a punto (PPTP). En este caso, no se
traducen las direcciones IP incluidas en los paquetes de túnel. El usuario, sin embargo, tiene una extensión virtual de su red propia y
usa el esquema de direccionamiento de la red propia. Si este usuario fuera a acceder al exterior a través de su red propia, podría optar
por aplicar NAT en este momento.
Las direcciones IP incluidas son un problema, más allá del tipo de traducción que haya configurado en la función NAT de Cisco IOS
(simple, extendida, sobrecarga, entre otras).
Los valores de puerto de origen predefinidos o negociados sólo son un problema cuando usa la función PAT o sobrecarga de NAT de
Cisco IOS. PAT multiplexa varias conversaciones IP en una o más direcciones, y usa el puerto de origen para identificar de forma
exclusiva las conversaciones de cada dirección IP. La función PAT debe reservar todos los valores de puerto específicos de los que
tiene conocimiento en caso de que reciba una conversación para dichos tipos de aplicación (FTP, NetMeeting, etc.).
P. ¿Por qué la función NAT de Cisco IOS no es compatible con el tráfico SNMP?
R. El formato del paquete SNMP depende del MIB que se usa y no es descriptivo. No hay un único formato para las solicitudes y las
respuestas de SNMP que pueden procesarse de una manera general.
P. ¿Cómo se manejan los protocolos de resolución de dirección (ARP) para las direcciones IP generadas por NAT?
R. La función NAT de Cisco IOS genera un registro ARP para las direcciones IP creadas por la función NAT que señala la dirección
MAC de la interfaz al que está asociada la agrupación de direcciones IP de NAT.
Por ejemplo, cuando se efectúa la traducción de origen interna, si la agrupación de direcciones globales internas está asociada a un
subred de una interfaz externa (S0, por ejemplo), los registros ARP para estas direcciones IP usan la dirección MAC de S0.
P. La función NAT de Cisco IOS, ¿es compatible con las consultas de DNS?
R. Sí, la función NAT de Cisco IOS no traduce la dirección o direcciones que aparecen en las respuestas de DNS en búsquedas de
nombre (consultas A) y búsquedas inversas (consultas PTR). Si un host exterior envía una búsqueda de nombre a un servidor DNS
en el interior y ese servidor responde con una dirección local, el código NAT traduce esa dirección local en una global. Al revés
también es cierto, y es la forma en que Cisco soporta direcciones IP que se superponen. Un host interno hace una consulta a un
servidor DNS externo, la respuesta contiene una dirección que coincide con la ACL especificada en el comando de origen externo y
el código traduce la dirección externa global en una dirección local externa.
Los valores Tiempo para vivir (TTL) de todos los registros de recursos DNS (RR) que reciben las traducciones de dirección en
cargas útiles de RR se establecen automáticamente en cero.
La función NAT de Cisco IOS no traduce las direcciones IP incluidas en las transferencias de zona DNS.
P. ¿Soporta la función NAT de Cisco IOS listas de control de acceso (ACL) que permiten ninguno o todos los
paquetes?
R. Cuando configura la función NAT de Cisco IOS para la traducción NAT dinámica, se usa una ACL para identificar los paquetes
que se pueden traducir. La arquitectura actual de NAT no soporta el uso de ninguno o de todos los paquetes en las ACL que usa
NAT. Si se usa ninguno o todos los paquetes, puede producirse un comportamiento inesperado.
P. ¿Por qué el FTP activo funciona con (reenvío de puerto) estático/ampliado pero no funciona con PAT?
R. El motivo es que cuando abre la conexión FTP, se conecta con el puerto 21 en el servidor remoto FTP. Pero cuando ejecuta "ls",
"put", get" o cualquier otro comando que necesite usar un puerto de datos, el servidor abre otra conexión para el cliente. Cuando abre
la conexión FTP original desde dentro y el router finge que es usted un determinado IP externo, y selecciona un número de puerto
aleatorio para usar, el servidor FTP cree que está hablando con dicha dirección IP y dicho número de puerto. Por lo tanto, cuando
tiene que abrir otra vez la conexión de datos, debido a un "get" o "ls", intenta abrir una conexión TCP desde el puerto 20 a un puerto
aleatorio que el servidor decida. Mientras, en el IP externo con el que cree que está hablando, el router oye tráfico dirigido a su IP
externo, pero no tiene ninguna correlación PAT para dicho número de puerto aleatorio que el servidor ha seleccionado. Por lo tanto,
no sabe que el tráfico debe volver atrás, al cliente.
El puerto 20 no se establece nunca. La solución es usar el modo "FTP pasivo". El FTP pasivo tiene el cliente abierto en las
conexiones del puerto 21 y del puerto 20 desde el inicio. El router tiene conocimiento de los dos y no sólo del puerto 21, y permite al
servidor abrir el puerto 20.
Consulte Análisis del protocolo de transferencia de archivo (FTP)
si desea más información sobre FTP.
Necesita traducciones ampliadas para el puerto 20 y 21 con correlaciones estáticas (dirección de ejemplo)
ip nat inside source static tcp 192.168.0.4 20 66.46.64.82 20 extendable
ip nat inside source static tcp 192.168.0.4 21 66.46.64.82 21 extendable
La forma de trabajar del FTP activo no permite el uso de la función NAT dinámico. En este caso, sólo se puede usar la función NAT
estático. Ésta es una limitación de FTP.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 19 Mayo 2008
http://www.cisco.com/cisco/web/support/LA/7/76/76169_nat-faq.html
Documentos relacionados
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Desarrollo del mantenimiento de red
Configuración SPA9xx detrás del NAT y de experimentar el
Configuración SPA9xx detrás del NAT y de experimentar el
Actividad de clase: Revisión de NAT
Actividad de clase: Revisión de NAT
Packet Tracer: configuración de NAT dinámica (instrucciones)
Packet Tracer: configuración de NAT dinámica (instrucciones)
Actividad de clase: NAT conceptual (instrucciones)
Actividad de clase: NAT conceptual (instrucciones)
Actividad de clase: Propuesta de trabajo a distancia
Actividad de clase: Propuesta de trabajo a distancia
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Packet Tracer: verificación y resolución de problemas de configuración NAT (instrucciones)
Descargar
Anuncio
Anuncio