El concepto de NAT consiste en utilizar una direccin IP enrutable o un
nmero limitado de direcciones IP para conectar todas las mquinas a
travs de la traduccin, en la pasarela de internet, entre la direccin interna no enrutable de la mquina que se desea conectar y la direccin IP de la pasarela. Adems, el proceso de traduccin de direcciones permite a las compaas asegurar la red interna siempre y cuando oculte la asignacin de direcciones internas. Para un observador que se ubica fuera de la red, todos los pedidos parecen provenir de la misma direccin IP.
Un router o, ms precisamente, la pasarela hace coincidir una direccin IP
privada (por ejemplo, 192.168.0.1) con una direccin IP pblica enrutable en internet y, en cierto sentido, realiza la traduccin mediante la modificacin de la direccin en el paquete IP. La traduccin de las direcciones estticas permite conectar mquinas de red interna a internet de manera transparente, aunque no resuelve el problema de escasez de direcciones debido a que se necesitan direcciones IP enrutables para conectar n mquinas de la red interna.
La NAT dinmica permite compartir una direccin IP enrutable (o una
cantidad reducida de direcciones IP enrutables) entre varias mquinas con
direcciones privadas. As, todas las mquinas de la red interna poseen la misma direccin IP virtual en forma externa. Por esta razn, el trmino "enmascaramiento de IP" se usa en ciertos casos para procesar la NAT dinmica. Para poder multiplexar compartir diferentes direcciones IP con una o ms direcciones IP enrutables, la NAT dinmica utiliza la traduccin de direcciones de puerto, es decir, la asignacin de un puerto de origen diferente para cada solicitud, de modo que se pueda mantener una correspondencia entre los pedidos que provienen de la red interna y las respuestas de las mquinas en internet, las cuales estn dirigidas a la direccin IP del router.
Router(config)# ip nat pool RANGOPUBLICO 200.1.1.2 200.1.1.4 netmask
255.255.255.248 Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255 Router(config)# ip nat inside source list 1 pool RANGOPUBLICO Router(config)# interface FastEthernet0/0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# interface FastEthernet0/1 Router(config-if)# ip nat outside
Se pueden conectar N estaciones privadas a Internet utilizando
solamente una IP pblica. Es posible ocultar la cantidad real de direcciones privadas dificultando la tarea de un posible atacante.
Cada conexin de una estacin de la LAN interna hacia Internet utiliza
un puerto de la IP pblica, permitiendo un mximo de 216 conexiones como mximo (65.536) Inaplicable en redes de gran tamao (+ de 500 hosts)
INSIDE LOCAL
INSIDE GLOBAL
OUTSIDE LOCAL
OUTSIDE GLOBAL
IP ORIGEN D: Ubicacin del Dispositivo P: Ubicacin del Paquete
200.1.1.1 D: INSIDE (*) P: GLOBAL
IP DESTINO 200.1.1.2 D: OUTSIDE P: GLOBAL
(*) Se refiere a la ubicacin del PC0, no del R1
Direccin IP de la red LAN interna
(Privada, del RFC 1918) Direccin IP Pblica del Router Direccin IP de una mquina externa segn como es vista desde la LAN, no siempre es una IP pblica